Heute gab es schon wieder Offline-Reklame:

Kritik üben darf man gerne an mir und meinem Blog, da habe ich kein Problem mit — aber mit Kritik an einem nicht vorhandenen Shop kann ich nichts anfangen.

Aha, ach wirklich, ihr seit ja richtig gut! Es ist nämlich sehr schwierig “Optimierungspotential” für einen Shop, in einem nicht existentem Shop, zu finden — meine Hochachtung! ;O)


Zu gutem Marketing gehört es auch seinen potenziellen Kunden zu kennen und ihm keinen Unsinn zu erzählen. Das was ich da bekommen habe ist 100% Spam, genau so effektiv wie der Werbemüll zu den blauen Pillen, den wahrscheinlich schon jeder, der eine E-Mail-Adresse nutzt, bekommen hat.

Ich wüsste ja zu gerne wie viel Spam er an Leute wie mich verteilt, die

1. keinen Shop betreiben,
2. sehr allergisch auf Reklame reagieren und
3. sich den Spass machen, seine Website genauer anzuschauen und sofort erkennen, dass er niemals ein Geschäftspartner wird, auch bedingt durch Punkt 1 und 2. :O)

Wer ist dieser Spammer? e-wolff nennt er sich und will u.a. auch kompetent in Sachen “Google-Optimierung” sein.

Es gibt auch noch andere Suchmaschinen, also halte ich mehr von Suchmaschinenoptimierung und dazu gehört als erster Punkt korrektes HTML.

25 Warnungen die der Html Validator (addons.mozilla.org) ausspuckt.
(Entgegen der Meldung auf addons.mozilla.org “Html Validator ist für MacOSX nicht verfügbar.” gibt es dieses Add-on auf der Website des Autors auch für das Äpfelchen: http://users.skynet.be/mgueury/mozilla/download.html)

Das hier aus der CSS-Datei
#spalte{
padding:0;
width:97px;
}
und dies

naja, nicht so ganz.

Wenn, dann
.spalte{
padding:0;
width:97px;
}
und
<li class="spalte">bla</li>
<li class="spalte">bla laber</li>
<li class="spalte">schwätz mich voll</li>

Wie war das noch?
target="_blank"
Jawoll!


Von HTML und Semantik hat er auch keine Ahnung… H1-Tags kennt er nicht… Alt- und Title-Tags natürlich auch nicht… Und der will Kunden u.a. zu SEO beraten?

Eine Website in dem Business ist auch eine Referenz und seine sieht nach “Ein Blinder philosophiert über Farben.” aus. :O)


Eine Sache hat der Spammer aber wirklich gut gemacht. Am Ende des Offline-Spam steht:

Adresse aus dem Datenbestand der Rexago Informations GmbH. Wenn Sie künftig keine e-wolff Angebote mehr erhalten möchten, können Sie jederzeit bei uns der Verwendung Ihrer Daten für Werbezwecke bei e-wolff widersprechen.

Da kann ich dann gleich zwei Widersprüche rausschicken.

Es wird Zeit das auch die Offline-Spam-Branche lernt, unverlangte Werbung ist unerwünscht und fördert die Negativwerbung. Ich bin da evtl. ein Extrembeispiel, aber wer mich mit Reklame nervt, der wird nie ans Ziel gelangen, da bezahle ich dann u.U. lieber mehr und gehe zur Konkurrenz.

Du hast von mir einen Hinweis bekommen, dass es Sicherheitslücken in deiner Website gibt und fragst dich nun “Warum schreibt der mir?” und vor allem “Schreibt der Kerl in seinem Blog darüber und stellt mich damit an den Online-Pranger?”

Ich will an dieser Stelle gar nicht lange über die unzulänglichen Webagenturen, Webmaster, IT-Web-2.0-High-End-Consultants-mit-tollem-Titel, kurz — Webfuzzies — schwadronieren. Es gibt einfach viele Websites die eklatante Sicherheitsmängel aufweisen, wo die internen Mitarbeiter offensichtlich überfordert sind und die externen Berater nur überbezahlte Bingospieler. (Buzzword-Bingo / de.wikipedia.org)


Ein paar Worte zur Erklärung und Beruhigung.

Wie?

Auf deine Website kann ich über verschiedene Wege gestoßen sein:

• Ich habe nach etwas im Internet gesucht und bin eher per Zufall Suchmaschine auf deine Website gekommen.
• In einem Artikel im Netz wurde deine Seite erwähnt, weshalb ich dich besucht habe.
• Jemand hat bei dir etwas ungewöhnliches (evtl. auch eine Sicherheitslücke) gefunden und mich darauf aufmerksam gemacht.
• Mir hat jemand deine Seite empfohlen und in den höchsten Tönen gelobt.
• oder… oder… oder…

Nimm meinen Hinweis nicht persönlich, ich kenne dich nicht, ich will Dir auch nichts Böses.

Was?

Wenn ich eine Website zum ersten Mal besuche, dann kann ich es einfach nicht lassen, hier und da etwas einzugeben, was eher unerwartet ist:

• In den Suchschlitz mal ein ">xss einwerfen…
• Die URL in der Adresszeile um ' or 1=2 -- erweitern…
• In die Download-URL ein paar ../ einfügen…
• Oder auch mal schauen was http://domain.tld/fileadmin/ auflistet…

Sollte ich bei diesen kleinen Einwürfen etwas ungewöhnliches sehen, was auch relevant im Sinne der IT-Sicherheit ist, so schaue ich noch einmal etwas genauer hin und erweitere ggf. meine Eingaben.

Wohin?

Wenn ich eine Sicherheitslücke in deiner Website ausgemacht habe, dann kontaktiere ich dich per:

• XING, in der Hoffnung dass die XING-Mail nicht in deinem Spamfilter hängen bleibt und Du kannst sofort schauen wer dir schreibt.
• Kontaktformular auf deiner Website, auch wieder in der Hoffnung, dass kein Spamfilter meinen Hinweis frisst.
• Direkte E-Mail von mir, mit der Gefahr, dass dein Spamfiler mich als Extremwerber einstuft, weil ich nicht lange um den heißen Brei herum schreibe, sondern gleich die Exploit-URL übergebe.

Jeweils je nach zu erwartendem Wissensstand, garniert mit Links zu weiteren Informationen, Beispielsweise zu Wikipedia.

Warum?

Wenn ich Kenntnis von Sicherheitslücken habe — so habe ich für mich entschieden — habe ich auch die Pflicht dazu Hinweise zu geben. Dies mag man nun als altruistisch oder gar spinnert einordnen — jeder wie er mag, mir ist es egal. Ich erwarte keinen Dank, da meine Hinweise unaufgefordert kommen, aber ich erwarte Ernsthaftigkeit in der Nachprüfung und Bearbeitung dieser.

Öffentlich?

In der Regel veröffentliche ich meine Funde/Hinweise (ca. 10 Stück pro Woche) nicht, nicht in diesem Blog und auch sonst nirgends. Zum einen möchte ich hier nicht öffentlich den Ankläger und Richter in einer Person spielen, zum anderen können veröffentlichte Sicherheitslücken Cyberkriminelle anlocken. Es gibt allerdings Ausnahmen von dieser Regel.

Wenn ich sicher bin dass mein Hinweis angekommen ist, entweder weil ich eine Rückmeldung per E-Mail oder per Telefon erhalten habe, dann schaue ich nach einigen Wochen wieder auf der Seite vorbei, ob mein Hinweis zur Schließung der Lücke genutzt wurde. Stelle ich dabei fest, dass die Lücke weiterhin besteht, so versende ich weitere Hinweise. Sollten auch wiederholte Hinweise nicht fruchten, so wiege ich ab, ob ein öffentliches Interesse bestehen könnte, die Lücke(n) zu veröffentlichen, weil viele Besucher Opfer von Cyberkriminellen werden könnten. Die Lücken die ich finde, die finden auch andere und diese Menschen haben nicht immer Gutes im Sinn.

Allen voran, Websites von Bund und Länder, Websites von staatlicher Seite sind auf meiner Liste mit erhöhtem öffentlichem Interesse. Hier scheue ich mich dann nicht, die Lücken in meinem Blog zu beschreiben. Aber auch hier vergehen viele Wochen oder Monate bis ich mich dazu durchringen kann, sie der Öffentlichkeit zu präsentieren. Der Staat hat eine ganz besondere Verantwortung, auch in Anbetracht des verlorenen Vertrauens durch die Vorratsdatenspeicherung und die weiterhin geforderten Netzsperren.

Privatwirtschaftliche Websites mit hohem öffentlichem Interesse schließen die von mir gemeldeten Lücken meist sehr schnell, da hier natürlich auch wirtschaftliche Interessen eine große Rolle spielen. Verlorenes Kundenvertrauen kann sich hier sehr schnell in sinkenden Umsatzzahlen widerspiegeln. Bisher gab es bei Unternehmen kaum einen Grund die Öffentlichkeit als Druckmittel einzusetzen.

Kosten?

Dich kostet mein Hinweis nichts. Ich will nichts von Dir, ich möchte nur dass die Lücken geschlossen werden. Trage auch Du einfach deinen Teil dazu bei das Internet etwas sicherer zu machen. Danke.