Google Safe Browsing hat kürzlich Phishingaktivitäten auf xxx.de festgestellt.

[drexlma]

Nach dem Upgrade auf die Version 2 bekomme ich sowohl aufm Handy als auch aufm Desktop Chrome eine Warnung.

Downgrade ich, kommt keine Meldung.

Reproduzieren:

1. Login in Froxlor
2. Seite aufrufen admin_customers.php?page=customers
3. Auf einen Kunden klicken damit man sich mit ihm einloggt

[d00p]

Wie hast du froxlor bezogen (tarball, debian paket, etc.)? Wie wurde das update durchgeführt? Sofern es reproduzierbar nenne mir doch bitte (auch gern via DM) die domain damit ich prüfen kann was zu dieser Meldung führen soll

[drexlma]

Vorab hier:
Tarball ist die original installation. Danach per Web-auto-Update.

ich teste es die tage bei anderen Kunden von mir noch.

Hab ein Request schon an google gestellt.

[bhueske]

Das gleiche habe ich auch bei einer meiner Installationen. Installiert wurde es per Tarball noch als Version 0.10 und dann immer per Web-Updater geupdated.

Das unterliegende System ist ein Ubuntu 22.04 (Apache 2.4 - PHP-FPM 8.0).

[d00p]

Wir konnten bisher leider nicht feststellen, was genau im Code einen phishing-verdacht verursachen sollte

[d00p]

Ggfls behoben durch Anpassungen beim Setzen des Cookies, siehe c56e0b9#diff-c2296ae20a75ceef36611d6532b747ef1e788a4996856152f5800f4a021bb762 da wir vermuten, dass u.U. das Setzen von $_SERVER['HTTP_HOST'] hier problematisch gewesen sein könnte

[drexlma]

ok irgend was stört google trotzdem

das ist echt kritisch weil die Hauptdomain nun auch gesperrt ist...

[d00p]

Hast du mehrere froxlor instanzen auf verschiedenen subdomains der hauptdomain liegen?

[drexlma]

super ... sehr sehr ärgerlich

[drexlma]

Hast du mehrere froxlor instanzen auf verschiedenen subdomains der hauptdomain liegen?

nur auf einer.

[drexlma]

bzw. hab mehere Server aber für diesen server mit dieser domain gibts nur eine Instanz mit der sv1 als subdomain

[d00p]

ja wie gesagt, wir bekommen leider keinerlei detail infos von google noch sonst woher, wir wissen leider auch nicht was google hier als "social engineering content" einstuft - es ist uns ein rätsel

[d00p]

@drexlma die false positives bekommen wohl auch mehr leute: https://support.google.com/webmasters/thread/207009639?hl=de&sjid=10802434342134259044-EU

[drexlma]

shit. aber mit v1 gabs nie probleme, erst mit v2.
also ich hab mich eingeloggt, bin auf kunden, hab auf den Kundennamen geklickt um mich mit ihm einzuloggen, hab die mail adressen angeschaut.
und dann war ich gesperrt, irgend was dabei. Davor war ich Wochen nicht drin, und mein browser hat das automatisiert an google gemeldet.

[d00p]

shit. aber mit v1 gabs nie probleme, erst mit v2.

ist mir bewusst - wir wissen dennoch nicht wo google hier "social engineering inhalte" erkennt - wenn du nen tipp hast, gern

Was der Chrome browser da ggfls alles "local" macht und meldet weiss ich nicht - google kann jedenfalls sonst nicht einfach bereiche indizieren, die login geschützt sind

[d00p]

Wir haben aktuell noch die "hidden" fields für das redirecten zur letzten seite bei session timeout...das könnte google möglicherweise noch stören, wir schauen mal das wir da noch was dran machen, dass der login so leicht und sauber wie möglicht ist, im schlimmsten fall halt auf kosten irgendwelcher redirects nach logout - das ist nicht das schlimmste

[drexlma]

ja muss mein browser gewesen sein. ja google loggt sich definitv nicht ein.

ist das n change zu v1 mit dem hidden-field? mit v1 war das ja nie n thema. außer google hat das selbst was an der detection angepasst.

[d00p]

nö, das war auch in 0.9 und 0.10 schon so - aber was anderes fällt uns einfach wirklich nicht mehr ein was es noch sein könnte...chrome entwickelt das ja auch weiter und ggfls werden halt sachen jetzt anders eingeschätzt oder was auch immer als noch vor 2-3 jahren

[drexlma]

hm wobei ich das problem am Feb 26 ja nur mit v2 hatte, mit v1 nicht. hm.

[d00p]

ja, ist uns bewusst - ich kann aber google leider nicht in die karten schauen. Ich habe doch jetzt gesagt das wir was tun, also bring doch nich zum 3. mal "aber mit v1 gings" - das ist uns klar

[dtugend]

@drexlma Klingt eher so als ob sich jemand an Goolge als an Froxlor wenden muss - vielleicht auch ein GDPR fall, aber praktisch hat Google ja Supportpersonal abgebaut - ka :-(

[drexlma]

leider wieder, diesmal bei einem anderen Kunden, mit der aktuellen Version.

[dtugend]

Da Froxlor nicht auf der selben domain sondern ggf. (wenn überhaupt) nur selben IP läuft, könnte das ggf. was mit NGINX setup zu tun haben vielleicht?
Weil wir hatten das Problem mit Froxlor 2 zum Glück noch nie, verwenden aber kein NGINX, sondern nur Apache2?

[d00p]

passiert auch mit apache - kann hier nur leider keine neueren erkenntnisse geben. Wir wissen schlichtweg nicht woher es kommen soll. Wenn jemand mehr info hat, gerne melden

[drexlma]

Ich schau mal ob ich bei allen drei fällen bei uns etwas durch Korrelation der Access Logs was rausfinden kann.

[dtugend]

Falls möglich schau auch bitte in die Error logs (z.B. nach Zertifikatsfehler oder so).
(Sorry, dass ich schon wieder nerve, ich habe Angst, dass das problem bei uns auch irgendwann auftritt.)

[d00p]

Nächster Versuch das zu fixen: 2d30394 (kommt mit 2.0.22)