Auf den Seiten von Websense gibt es u.a. PDFs für deren Download man registriert sein muss. Solche Zwangsregistrierungen sind immer sehr dumm. Der der die Dokumente runterladen möchte, aber nicht jedem seine persönlichen Daten preisgeben will, wird einfach falsche Daten in die Felder einfügen. Also wird Websense nur einen Bruchteil der gewonnen Daten wirklich nutzen können, um einen potenziellen Kunden anzusprechen. Viel sinnvoller wäre es, die Downloads vollkommen offen zu gestalten und zusätzlich ein Registrierungsformular anzubieten, so nach dem Motto: “Hier ist der Download und wenn du möchtest, dann senden wir dir weitere Informationen zum Thema.”

Nach dem Absenden der leeren Formularfelder wird einem ein JavaScript-Alert mit dem Hinweis angezeigt, dass vom Namen der Firma, bis zur Anzahl der Mitarbeiter, alle Felder ausgefüllt sein müssen. Ich dachte mir, ich schalte mal JavaScript ab, um die (Vor)Prüfung der Daten zu übergehen und zu schauen was dann geprüft wird. Etwas belustigt konnte ich feststellen, dass nach dem Absenden des Formulars, der Download sofort startete. Die Jungs von Websense verlassen sich also darauf, dass jeder Interessent in seinem Browser JavaScript aktiviert hat und nicht weiß das man dies auch deaktivieren kann. Es ist schon bedenklich, wenn eine Firma seine potenziellen Kunden für dumm hält.

Wo speichert Webnonsense denn die persönlichen Daten ab? Da müsste dann noch eine SQL-Fehlermeldung kommen, weil ein leerer Datensatz nicht gespeichert werden konnte! ;O)

Was ich erst später sah, im Quellcode der Seite mit dem Formular gibt es ein Hidden-Feld, in dem der komplette Link des PDFs zu finden ist. Schon erstaunlich, dass in den Login-Formularen keine weiteren Hidden-Felder mit User/Password zu finden sind. ;O)

Wer solche lächerlichen Fehler macht, der macht ganz bestimmt auch andere:



Man kann es einfach nur lustig finden, wenn Websites von Parteien oder Politikern verunstaltet werden, wenn per XSS-Injektion eine Zeitung plötzlich die dollsten Geschichten verbreiten, aber bei Firmen die sich selber zu der IT-Security-Branche zählen, ist so etwas weniger lustig.

Firmen die Software verkaufen die vor Viren, Würmern und Trojanern schützen sollen, müssen ganz besonders auf die Sicherheit ihrer Websites achten. Dank der KurzURLs wird kaum jemand bemerken, wenn ihm per XSS-Link, zu einer eigentlich vertrauenswürdigen Website, ein Fake-Virenscanner angeboten wird.