Während der Rückreise sah das Umfeld schon eher nach dem 21. Jahrhundert aus. Handys, plärrende Ohrstöpsel mit Kabeln die zu Taschen (oder waren es Körperöffnungen?) an ungeahnten Stellen führten und natürlich auch Schlepptops.

Ich suchte mir wieder einen 4er-Sitzplatz mit Tisch. Die Plätze mit Tisch sind einfach bequemer, wenn ich etwas Totholz wie DIE ZEIT dabei habe und darin auch lesen möchte. Erst saß ich noch alleine in dem Bereich, da es bis zur Abfahrt noch ca. 10 Minuten dauerte. Der erste der sich am 4er nebenan setzte packte sofort sein Notebook demonstrativ auf den Tisch und schaute sich vorsichtig um, so nach dem Motto “Schaut, habt ihrs alle gesehen? Ein neues super cooooles Notebook! Und das ist MEINS!” Ein paar Minuten später kam eine Frau herein und setzte sich zu dem Herrn mit dem Notebook, auch sie legte ihres auf den Tisch. Beide taxierten den Wert des Fremdgerätes — was, laut dem Mienenspiel der beiden, wohl unentschieden ausging. Zu guter Letzt kam noch jemand mit E-Spielzeug, der sich an meinen Tisch setzte. Die Gegner von der anderen Seite sahen nur kurz herüber und sahen schon auf den ersten Blick: “Das ist keine Konkurrenz für uns!” Denn sie kramte weiter in ihrer Tasche und er versuchte angestrengt zu ergründen wie dieser Fahrplan der Bahn wieder ordnungsgemäß zusammenzufalten ist, den er so gedankenlos in die Hände genommen hatte, was er wohl mittlerweile bereute. Nach getaner Arbeit, legte er den Plan wieder an seinen angestammten Platz, wobei ein Mr.Beansches Lächeln über sein Gesicht huschte.

Let’s Fight

Der Herr am Neben4er öffnete als erster sein Notebook und drückte eine Taste. Nach nur wenigen Sekunden ertönte der typische Startklang von Windows (Meine erste Amtshandlung nach einer Neuinstallation war, ist und wird immer sein: DIESEN Sound abtöten!) Mein Gegenüber verzog keine Miene, obwohl er ganz bestimmt jede Millisekunde mitgestoppt hatte. Er wartete noch ab, denn nun war erst die Frau an der Reihe. Sie öffnete ihr Notebook, kramte dabei noch etwas in ihrer Tasche und drückte nebenbei ein Knöpfchen ihres Lieblings. Auch hier kam nach wenigen Sekunden der Windows-Startklang, ähnlich schnell, ähnlich kraftvoll wie bei ihrem Gegenüber — der erwartete Gleichstand.

Nun war mein Tischgegenüber an der Reihe. Nach dem Aufklappen drückte er sofort eine Taste an seinem ThinkPad von Lenovo. Ich hörte die Festplatte rattern, aber keinen Startklang?! Wow! Ein User von der Sorte die auch den Startklang von Windows hassen. Gut! Ich las weiter mein Totholz.

Einige Minuten (!) später… Der Windows-Startklang! Ich zog DIE ZEIT etwas höher, damit der Post-IBM-Notbuch-Mann mein Grinsen nicht sehen konnte. Sorry dafür, aber manchmal kann auch ich mir Gefühlsäußerungen nicht verkneifen. Die folgenden zwei Stunden hörte ich an seiner gepressten Atmung förmlich die innerlichen Flüche, ob diesem Stück Technik. Ich wollte ihm schon empfehlen es einmal mit einer schlanken Linux-Distribution zu versuchen, denn diese können u.U. auch alte Hardware noch tauglich für das 21. Jahrhundert machen. Ich entschied mich gegen diesen Gedanken, da ich nicht verantworten kann, dass da jemand sein (gehasstes) System hinrichtet, was zumindest irgendwie funktioniert.

Vielleicht ist die sehr lange Startphase des ThinkPads auch durch ein verwurmtes, trojanisiertes, virenverseuchtes Windows bedingt. Vor Jahren hatte ich ein Notebook geschenkt bekommen. Windows 98 an Bord (aber kein Virenscanner) und mit einer Startzeit von geschlagenen 10 Minuten. Der Besitzer kaufte sich ein neues Arbeitsgerät. Nachdem die Platte geputzt war und XP lief, startete das alte Notebook ganz normal in weniger als dreißig Sekunden.

Die Frau am Neben4er bekam nach einiger Zeit einen Zuschauer, geschätzte sieben oder acht Jahre alt. Irgendwann fragte er: “Was muss man da machen?” Aus ihrer Erklärung schloss ich, sie vertrieb sich die lange Fahrzeit mit dem Spielen von Mahjong. Schräg hinter mir spielte auch jemand mit Technikkrams, mit Klängen die lauter und kraftvoller als die der Notebooks waren — ein Smartphone. Als Spielzeug in der Bahn muss es also kein Notebook sein. ;O)

Der OberNerd in diesem Quartett, der vermutlich mehr Stunden pro Woche am Computer verbringt als die anderen drei zusammen, liest eine Zeitung. Für die die mich kennen, vielleicht etwas bizarr, aber wer so viele Stunden an der Kiste verbringt wie ich, ist auch mal froh seine Ruhe vor dem “Computerzeugs” (™ by W.S.) zu haben.


Wer sich einmal die Zeit nimmt und Menschen mit technischem Spielzeug beobachtet, der wird ganz ähnliches wie ich beobachten können. Wer ganz selbstverständlich mit Handy, Notebook & Co. umgeht und für wen dies irgendwie noch Neuland ist. Die Notebook-Drillinge waren jenseits der 40, zwar noch nicht alle Silversurfer (die Gruppe 50+) aber eher nicht mit Computern aufgewachsen. Mein Gegenüber könnte auch schon 50+ sein, was man heute gar nicht mehr so leicht einschätzen kann. In meiner Kindheit hatten 50jährige schon tiefe Furchen schwerer Arbeit im Gesicht — heute arbeiten viele Berufstätige körperlich nicht mehr so schwer wie damals.

Appetizer aus DIE ZEIT – Ausgabe 26

Etwas für Verschwörungstheoretiker?

• Habt weniger Angst
  Er sei links, liberal und konservativ, sagt Joachim Gauck von sich. Wofür steht der Präsidentschaftskandidat?
  Ein Gespräch
• Kalter Krieg
  In der vornehmen Atlantik-Brücke streiten Friedrich Merz und Walter Leisler Kiep wie die Kesselflicker
• Der Sog des Ostens
  Die Türkei kehrt sich von ihren alten Verbündeten in Amerika und Europa ab
  von Josef Joffe
• Insel der Eintracht
  Josef Joffe: Warum die Europäer plötzlich wieder Amerika lieben

Und was verbindet diese vier Artikel? Der Verein Atlantik-Brücke.
Mitglieder darin sind u.a.: Joachim Gauck, Friedrich Merz, Walter Leisler Kiep und Josef Joffe. (Alle Links führen zu de.wikipedia.org)

Weiß man von Josef Joffes Mitgliedschaft im obigen Verein, ist seine Kritik an der Politik der Türkei einfacher einzuordnen.

Überparteilichkeit, Unabhängigkeit und/oder Objektivität ist eine Mär — auch und vor allem im Journalismus. Daher ist es wichtig zu wissen wer etwas geschrieben hat und nicht nur was geschrieben wurde. Ich lese gerne etwas vom Herausgeber der ZEIT. Da ich meine zu wissen was er seinen Lesern mit auf den Weg geben möchte, in welche Richtung er sie schubsen möchte, kann ich auch gut mit dem leben was ich an Ansichten und Meinungen nicht teile.

Kommt der Input immer nur von Gleichgesinnten kann der Geist nicht wachsen.

Etwas für Wirtschafts- und Entwicklungshilferealisten?

“Die Freiheit wird 50”

Afrika feiert — nein, nicht nur die Fußball-WM, sondern auch ein halbes Jahrhundert Ende der Kolonialzeit.
(…)
Der Kongo ist der größte und fragilste Jubilar. 64 Millionen Einwohner mit einem durchschnittlichen Pro-Kopf-Einkommen von jährlich 290 Dollar und Bodenschätzen im Wert von Milliarden unter den Füßen. Wichtigste Exportgüter: Diamanten, Kupfer, Kobalt und Schlagzeilen über Rebellen und Massengräber.

Etwas Humor!

60 SEKUNDEN FÜR – Umfragen

Die Erde dreht sich um die Sonne. Äpfel fallen auf den Boden.
(…)
Der Hightech-Branchenverband Bitkom hat dazu Entscheidendes beizutragen.
… Menschen ab 14 Jahren: Das Internet bedeutet ihnen mehr als Waschmaschinen oder Schwiegermütter. Wer hätte das gedacht?

“Schwiegermutter, Waschmaschine, Internet” (pressebox.de)

In der Mitte des ZEIT MAGAZINs findet man eine
RÜCKTRITTSERKLÄRUNG
SCHLUSS MIT DIESEM GEMURKSE, ZURÜCKTRETEN MUSS EINFACHER WERDEN — MIT DIESEM FORMULAR

5. Hiermit trete ich zum ____.____.20____ von meinem o.g. Amt zurück, weil
(…)
[ ] ich glaube, dass mich ________________ (Namen einfügen) nicht mehr lieb hat
[ ] mich alle mal können; insbesondere die/ der
________________ (Namen einfügen)
die/ der ist wirklich viel fieser, als man das im Fernsehen so denkt
(hab ich erst auch nicht geglaubt, ist aber so)
(…)
[ ] ich ganz großen Scheiß gebaut hab, weiß ich selber.
Sorry, sorry, sorry!
[ ] ich’s jetzt einfach machen muss (war natürlich nur ‘ne taktische Drohung, jetzt komm ich da nicht mehr raus)
[ ] es irgendwie alle fordern, sogar meine Berater
— ich weiß auch nicht, warum

(…)

9. An dieser Rücktrittserklärung haben mitgewirkt:
[ ] meine Frau
[ ] meine Kanzlerin
[ ] Wieso »meine Kanzlerin«? Ich bin doch die Kanzlerin!

Auch aus dem ZEIT MAGAZIN:

Mit dieser KINDERTÜR können sich kleine Leute ganz groß fühlen. Ideal für den Pariser Präsidentenpalast. www.minjjoo.com

Und wo sind die Links zu den Artikeln? Hier geht es zum Print-Archiv der Ausgabe 26/2010 (zeit.de). Aber (was für ein Zufall <g>) keiner der von mir erwähnten Artikel ist online verfügbar — denn, DAS ist Premium-Content und den gibt es nur auf Totholz. :O)


nein! ich bin kein offizieller oder inoffizieller mitarbeiter der ZEIT — ich lese sie einfach nur gerne.

• Englisch
• Deutsch mit Kommentare
• Deutsch ohne Kommentare – 1
• Deutsch ohne Kommentare – 2

Die Frankfurter Rundschau hat da schon eine mögliche Antwort für Mark Zuckerberg vorformuliert: “Nach der Kritik an Facebook – Sehr geehrte Frau Aigner!” (fr-online.de)

Verbraucherschutzministerin Aigner droht Facebook in einem offenen Brief, ihre Mitgliedschaft zu kündigen – wenn das Online-Netzwerk nicht den Datenschutz überarbeite. FR-online.de schlägt Facebook-Gründer Zuckerberg eine angemessene Antwort vor.

Frau Aigner hat aktuell 3.348 “Freunde” in Facebook, wobei man das Attribut “Freund” nicht überbewerten darf, denn kennen tut man sich ja nicht wirklich. Bei “Freunden” im Netz muss ich immer an das alte Comic der blonden Rita (hs-albsig.de) denken.

Auch der Andreas Metz gehört nun zu ihren “Freunden”:

Wobei, ich denke Frau Aigner und er kennen sich nicht, und echte Freunde werden sie wohl auch nie werden. ;O)


Welche und mit wie vielen Menschen teilt Andreas seine Daten in Facebook, wenn er die Privatsphäre-Einstellungen nach der Registrierung nicht editiert und nur eine Freundin hat?

• Alle* (ca. 1.500.000.000 Internetnutzer)
  • Öffentliche Suchergebnisse: Erstelle einen öffentlichen Sucheintrag, damit andere Personen eine Vorschau deines Facebook-Profils in Suchmaschinen finden können.
    (Vor ein paar Tagen stand hier noch:
    Diese Einstellung gestattet Suchmaschinen auf deine öffentlich zugänglichen Informationen sowie auf alle Daten, die du für „Alle“ freigegeben hast, zuzugreifen. Dazu gehören keine Informationen, die du lediglich mit deinen Freunden oder Freunden deiner Freunde geteilt hast.
• Alle (ca. 400.000.000 Facebooknutzer)
  • Über mich: „Über mich“ bezieht sich auf den „Über mich“-Abschnitt in deinem Profil
  • Persönliches: Interessen, Aktivitäten, Favoriten
  • Familie und Beziehung: Familienmitglieder, Beziehungsstatus, „Interessiert an“ und „Auf der Suche nach“
  • Ausbildung und Beruf: Schulen, Hochschulen und Arbeitsplätze
  • Beiträge von mir: Standardeinstellung für Statusmeldungen, Links, Notizen, Fotos und Videos, die du postest
  • Webseite
  • Mich als FreundIn hinzufügen: Bestimme, wer dich in Suchergebnissen und von deinem Profil aus als FreundIn hinzufügen kann
  • Mir eine Nachricht schicken: Bestimme, wer dir in Suchergebnissen und von deinem Profil aus eine Nachricht senden kann
  • Facebook-Suchergebnisse: Wer dein Suchergebnis auf Facebook sehen kann
• Freunde von Freunden (3.347 Facebooknutzer)
  • Geburtstag: Geburtstag und -jahr
  • Religiöse Ansichten und politische Einstellung
  • Fotos und Videos von mir: Fotos und Videos, in denen du markiert wurdest
  • Beiträge von Freunden: Bestimme, wer Beiträge von deinen Freunden in deinem Profil sehen kann
  • Heimatstadt
• Nur Freunde (1 Facebooknutzer)
  • Kommentare zu Beiträgen: Bestimme, wer die von dir erstellten Beiträge kommentieren kann
  • IM-Nutzername
  • Handynummer
  • Andere Telefonnummer
  • Aktuelle Adresse
  • E-Mail-Adresse

(Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit und Aktualität.)

Wer seine persönlichen Daten gerne mit aller Welt teilen möchte der soll dies tun, und wer dies nicht möchte, der lässt es bleiben, aber diese ständige Nölerei an Facebook nervt schon etwas. Dem letzten User sollte klar sein, dass Facebook kein Interesse an privaten, ungeteilten Daten hat. Mit Daten die nur der Besitzer sehen kann, mit denen kann man kein Geld verdienen. Facebook und auch anderer Social Networks sind nicht kostenlos, man bezahlt mit seinen Daten — dies sollte jedem User bewusst sein.

Ich finde das Vorgehen von Frau Aigner gegen Facebook inkonsequent. Entweder akzeptier ich die Konditionen eines Anbieters, dann nutze ich deren Dienste oder ich bin nicht damit einverstanden, dann suche ich mir einen anderen Dienstleister.


Die Werbung auf dem Profil von Frau Aigner passt nicht so gut zur “Bundesministerin für Ernährung, Landwirtschaft und Verbraucherschutz“:

Klick auf die Werbung: http://www.facebook.com/pages/Erfurt-Germany/2500-pro-Woche-Verdienen-Online/303259996646

Und dort wird dann http://www.geld-verdienen-jetzt.info/ beworben, mit “100% BEWÄHRT”em System um in Online-Casinos viel Geld zu verdienen. ;O)

Diese Werbung für Online-Casinos ist dem von “Dr. Norbert Wintersiegel” sehr ähnlich: “400-600 Euro täglich im Online-Casino verdienen – risikofrei?” (wissenswert.ws)

Ok, ich behaupte nicht das Frau Aigner die Werbung selber schaltet, aber solche Werbung würde ich ungern neben meinem persönlichen Profil wiederfinden.

Facebook ist es wohl eher egal wer wofür wirbt, Hauptsache er bezahlt dafür. :O)

Eine Stunde nach meiner Veröffentlichung klingelt bei mir das Telefon. Wie ich die Nummer im Display sehe da ahne ich schon wer es sein könnte. Nachdem ich mich gemeldet habe sagte da jemand “Hier ist xyz von 12345.” Sorry, aber da konnte ich mir das Lachen nicht verkneifen, was wohl bei ihm nicht so gut ankam. Naja, ich bin auch nur ein Mensch und manche Gefühlsäußerungen kann auch ich nicht unterdrücken. Er war etwas aufgeregt und forderte mich auf den Link (reflektives XSS) innerhalb von 2 Minuten zu entfernen. Das erste Gespräch war recht kurz. Den Link habe ich entfernt, da ich ja meine eigentliche Intention erreicht hatte — der Betreiber war aufgewacht, zwar etwas unsanft, aber er war hellwach.

Nach ein paar Minuten rief er dann wieder an, diesmal deutlich ruhiger, da man an der Website daran arbeitete die Lücke zu schließen, womit mein Link nichts interessantes mehr zeigte. Diesmal konnte ich ein paar Worte mit ihm wechseln. Leider weiß ich nicht ob er in der Technikabteilung arbeitet und die technischen Hintergründe der Lücke versteht oder ob er nur das Resultat gesehen hat und einen Hacker mit bösen Absichten vermutete.

Man war wohl in dem Unternehmen gar nicht amüsiert über meinen Link, was ich mit der Aufforderung beantwortete, dass man Hinweise zu Lücken doch bitte ernster nehmen sollte und entsprechend handelt. Seine Erwiderung darauf war:

Es geht Sie überhaupt nichts an, was wir auf unseren Seiten tun oder nicht. (…) Sie haben kein Recht über uns zu richten.

Leider muss ich da widersprechen. Wenn mir Schadsoftware untergeschoben wird, weil jemand unwillens ist Sicherheitslücken zu schließen, von denen er Kenntnis hat, dann geht mich dies sehr wohl etwas an. Wer eine Website betreibt die Millionen von Visits pro Monat hat (laut IVW zweistellig), kann für sich nicht in Anspruch nehmen, eher im privaten Kämmerlein zu wurschteln. Wer eine so große Anzahl von Besuchern hat, also potenzielle Opfer von Cyberkriminellen, der hat auch eine entsprechend große Verantwortung dem Seitenbesucher gegenüber.

Ein wirkliches Gespräch war leider nicht möglich, da er mir auch mit

Können Sie sich das leisten? Da werden Sie 30 Jahre Freude dran haben.

drohte, so nach dem Motto: “Wir verklagen sie bis ans Ende ihrer Tage.” Er war noch etwas aufgeregt und dachte nur daran Stärke zu demonstrieren. Er demonstrierte und ich habe mein Ziel erreicht — die Lücke wurde geschlossen.


Dies ist ein schönes Beispiel dafür, wie Cross-Site Scripting noch immer unterschätzt wird und erst gehandelt wird, wenn die ersten Opfer zu beklagen sind. Der Seitenbetreiber fühlte sich in diesem Fall als Opfer, ist aber, wenn man es genau betrachtet, eher der Handlager von Cyberkriminellen gewesen und ob des Wissens um die Lücken als Mittäter einzustufen.

Wer die Türen zu seinem Waffenschrank, trotz mahnenden Hinweisen, offen lässt, der würde bei einem verübten Verbrechen mit seinen Waffen wohl auch auf der Anklagebank landen.


Ich weiß es nicht mit Bestimmtheit, aber ich nehme an meine Hinweise wurden von der Technikabteilung als ungefährlich eingestuft. Das meine Hinweise angekommen waren hatte der Anrufer bestätigt. Leider denken viele bei XSS nur an Verunstaltungen, bei denen sofort zu erkennen ist, dass die Website eine entsprechende Lücke aufweist. Mein Link zeigte auch ein Fake, allerdings im richtigen Kontext zu der Website. Eher schlicht gestrickte Geister konnten annehmen dass es echt war, wahrscheinlich aber nur aufgrund der Reputation der Website selber — womit wir wieder bei der Verantwortung des Seitenbetreibers sind.

Da die Lücke innerhalb einer halben Stunde geschlossen werden konnte, kann es nicht an den Kosten oder technischen Problemen gelegen haben, dass über Monate nichts unternommen wurde, es war wohl einfach nur grenzenlose Dummheit und verantwortungsloses Desinteresse der IT-Verantwortlichen.


Diesmal habe ich etwas übertrieben, das gebe ich gerne zu, aber wie oft hätte ich denn noch auf die Lücken hinweisen sollen?

Millionen von Besuchern auf einer Website bedeuten nicht nur attraktive Zahlen für Werbekunden, sie bedeuten auch attraktive Zahlen für Cyberkriminelle. Stark frequentierte Seiten ziehen vermehrt Cyberkriminellen an und dem muss jedes Unternehmen Rechnung tragen. Die Behebung von Sicherheitslücken wird bisher oft nur als Kostenfaktor gesehen, wobei Reputationsverlust, der wirtschaftliche Schaden für sich selber und andere gerne ausser Acht gelassen werden, und nicht zu vergessen der Schaden der dem Besucher selber droht — ich erwähne nur den Passwort-Manager des Firefox.

2 computer verbinden für internet windows 98

Hallo?! Bei dem “98″ könnte man vermuten das es sich um eine Jahreszahl handelt?! Verschrotten – nicht verbinden!

md5 unsicher für passwörter

Ungesalzen ist MD5 genau so unsicher wie anderer Algorithmen, weil es

md5 cracker

gibt.

streng vertraulich type=xls

Also wenn, dann muss es filetype:xls oder ext:xls heißen. Man wird allerdings z.B. vom Bund oder seinen Behörden kaum etwas finden, es sei denn ein frustrierter Beamter will seinem Ärger Luft machen.

robots.txt disallow filetype .txt bnd

suchen? Hier http://www.bnd.de/robots.txt stehts doch!?

mitarbeit bnd
bnd vorstellungsgespräch
bnd braucht mitarbeiter
Vorstellungsgespräch beim BND
einstellungsgespräch beim bnd
inoffizielle Mitarbeiter bnd

absturz firefox 5 warum?

Aktuell sind wir beim Firefox 3.6 – also ist der Trojaner wohl nicht so gut gecodet?!

warum erscheinen meine gespeicherten dateien in der google suchmaschine

Da tipp ich mal auf aktiviertes Directory-Listing – kann und sollte man abschalten.

Was macht ein Linkbuilder?
wie linkbuilder werden
linkbuilding woher links bekommen

Ist Suchmaschinen-Spammer bereits ein erstrebenswerter Beruf?

wo wohne ich

In einer Welt in der verwirrte Menschen leben?!

wie kann ich im studivz den schutz abschalten
hat studivz meine ip adressdaten?
ip adresse nicht anzeigen studivz
können andere meine ip adresse sehen? studivz
studivz ip abschalten

ab wann und wieviel uhr werden bei studivz die ip adresse gespeichert?

Vom 32. Januar bis zum 35. Februar des Folgejahrhunderts und zwischen 6 Uhr 62 und 28 Uhr, bei 1,5 Promille Schweiß-Alkohol… so oder so ähnlich, das macht jeder etwas anders. ;O)

wird facebook account wirklich gelöscht

Nein!

sie hat bei Facebook die google suche aktiviert

Und nun?

Geheime Google Hacks

… findet man kaum über die Google-Suche – dann wären sie ja nicht mehr geheim.

kann gott mein aussehen verändern?

warum benutzt gott ein buch
Was soll ich mit Gott auf dieser Erde?
Ist Gott eine Notbremse
ist gott ein spielverderber
Meine Identität in Gott
sicherheit bei gott

quellcode gottes
update gott
gott bot internet
internet verglichen mit gott
surft Gott im Internet
Wo ist Gott im Web 2.0
findet gott ballerspiele ok?

gott unmoralisch
dummer gott
gott ist nicht unfähig
wo ist gott auf dieser welt?
gott und erwartungen
wie findet man zu Gott
mein Gott ist richtige Gott

Wie geht mit einem Korinthenkacker um

Einfach zustimmend nicken und schon hat man seine Ruhe. ;O)

Mir fiel bereits an den vergangenen Tagen auf dass nach meinem alten Eintrag gesucht wurde. Schon knapp eineinhalb Jahre ist es her, da verglich ich die SEO-Künste von sueddeutsche.de und welt.de: “Süddeutsche gegen SEO”


Wenn ich mir den Artikel vom “UPLOAD Blog” durchlese

Wer als Blogger das Angebot der Süddeutschen annimmt, soll zunächst die iPhone-App der Zeitung herunterladen. Wozu das genau notwendig sein sollte, war mir auf den ersten Blick nicht so recht klar, denn nicht nur ein praktischer Lobeshymnen-Baukasten wird dem Blogger frei Haus geliefert (s.u.), auch passende Screenshots sind gleich dabei.

und die Erklärungsversuche bzw. die Schadenbegrenzung dazu, als Kommentar im Blogeintrag
Peter Bilz-Wohlgemuth verantwortlich für sueddeutsche.de-Marketing

1. Wir wollten eine virale Kampagne lancieren
(…) Wir haben jedoch immer betont, dass wir mitnichten „lobende Blogposts“ haben wollen, (…) hier der Blogger die Freiheit hat, zu entscheiden, was er schreibt und was nicht.

Trigami-Chef Remo Uherek

1. Wir als Trigami haben grossen Mist gebaut! Punkt.

2. Unsere interne Qualitätskontrolle hat versagt, und diesen Fehler nehme ich auf meine Kappe, denn ich habe die entsprechenden Mitarbeiter persönlich eingeschult.

So wirklich kauf ich den beiden die Geschichte nicht ab.

Trigami ist im Verhältnis zur Süddeutschen natürlich ein Zwerg und versucht kleine Brötchen zu backen, in der Hoffnung evtl. doch mal wieder mit den Jungs ins Geschäft zu kommen. Und es macht sich einfach nicht gut, wenn man einen bereits verlorenen Kunden öffentlich der Dummheit oder gar der Lüge bezichtigt.

Woher kamen denn die Textbausteine für den “Lobeshymnen-Baukasten”? Sitzen bei Trigami Leute, die ohne jegliche Informationen vom Kunden, Werbetexte verfassen und diese – ohne Rücksprache mit dem Kunden – den Bloggern übermitteln? Wohl kaum! Die Textbausteine kamen doch wohl eher von der Marketingabteilung von sueddeutsche.de selber. Und was haben die Marketing-Menschen gedacht warum sie diese Werbebotschaften abliefern sollen? Weil dem Otto-Normal-Blogger, der für Trigami “Text-Reviews” (trigami.com) schreibt, nichts einfällt? Vielleicht sind sie es auch einfach nur – aus dem eigenen Tagesgeschäft – gewöhnt, das Hersteller Einfluss auf die Berichterstattung über sie und ihre Produkte nehmen.

Und was hat ein offen als Werbung gekennzeichneter Blogeintrag mit einer “virale(n) Kampagne” zutun?

Etwas Text für die sueddeutsche.de-Marketingabteilung:

Virales Marketing (auch Viralmarketing oder manchmal Virusmarketing) ist eine Marketingform, die soziale Netzwerke und Medien nutzt, um mit einer meist ungewöhnlichen oder hintergründigen Nachricht auf eine Marke, ein Produkt oder eine Kampagne aufmerksam zu machen.

Quelle: de.wikipedia.org

Wie ungewöhnlich und hintergründig… wenn am Anfang eines Blogeintrages “Trigami-Anzeige” steht… ;O)


Noch kurz etwas zu den “Advertorials” (trigami.com):

Advertorials sind redaktionelle Werbetexte, geschrieben von Bloggern, 100% positiv durch Inhaltskontrolle Ihrerseits.

Da diese Werbeform Spam ist, sollte sie auch eine andere Kennzeichnung in den Blogs bekommen als die üblichen “Text-Reviews” (trigami.com). Bei den “Text-Reviews” ist mir zwar auch klar das der Blogger nicht zu böse/ehrlich über ein Produkt oder eine Dienstleistung schreibt, da er ja auch zukünftig noch Aufträge von Trigami bekommen möchte, aber solchen Beiträgen kann ich, u.U. je nach Blogger, trotzdem noch einen Wert abgewinnen. Leider sieht man dem wertlosen Spam-Eintrag nicht an, das der Text und die Zielrichtung vom Auftraggeber zu “100%” vorgegeben wurde.

Diese Geschichte hat mich erst auf diese “Advertorials” gebracht, was nun dazu führt, dass ich alle Beiträge, bei denen “Trigami-Anzeige” steht, als wertlosen Spam einordnen muss.

Eine größere vierstellige Zahl von Unternehmen und Domaininhabern (…) Angebot, für 99 Euro eine .co.de-Subdomain (…)

Websuche-Chef Martin Steinkamp, (…) wehrt sich gegen die Kritik. Man gebe den angeschriebenen Unternehmen die Möglichkeit, die Subdomains mit einer kurzen Rückmeldung kostenlos sperren zu lassen. Bei den 99 Euro Jahresgebühr sei immerhin 10 Gigabyte Speicherplatz mit im Paket (…)

Ich bekam auch eine Snailmail von diesen komischen Menschen:

wie Sie wissen gibt es in sehr vielen Ländern der Welt Domains mit einem co. vor dem Ländercode

Außer co.uk oder co.jp gibt es kaum wirklich relevante Domains.

Da Sie mit www.peinlicheseite.de eine der wichtigsten Seiten im deutschen Markt betreiben,…

Bullshit! Die Domain bzw. die Website ist so peinlich, dass ich sie hier nicht einmal nennen möchte.

Im heise-Artikel steht:

Die jetzt Angeschriebenen seien übrigens handverlesen, versicherte Steinkamp gegenüber heise online. Websearch will sich nicht der DeNIC-Whois-Datenbank bedient haben.

Bullshit! Die peinlicheseite.de kennt kein Mensch, ok, außer einem Freund, für den ich sie registriert habe und mir selber. Und wo wollen die die Adressdaten her haben? Aus dem Impressum der Seite auf jeden Fall nicht, denn da stehe ich nicht drin. Mit meinen Namen gibt es außer in der Whois-Datenbank der DENIC keine Verbindung.

Sie sind jetzt berechtigt, die Domain peinlicheseite.co.de zu bestellen

Ich bin auch berechtigt die BLÖD zu lesen, aber muss ich denn jeden Schwachsinn mitmachen?

Wenn Sie auf dieses Schreiben überhaupt nicht antworten, ist es möglich, dass die Domain peinlicheseite.co.de in der Landrushphase durch einen Dritten registriert wird.

Soll sich doch jemand eine wertlose Subdomain für 99 € einrichten lassen. Aber ein Schreiben bekommen die trotzdem von mir und darin fordere ich sie auf, mir darüber Auskunft zu geben, woher sie meine Adresse haben. Auch diese Info ist mir wurscht, aber die sollen noch bisl Arbeit und Kosten haben. Wenn das nun alle angeschriebenen Domaininhaber machen würden… dann hätte sich diese co.de-Aktion ja wirklich gelohnt. ;O)

Und auf der Rückseite, dem “Antwortformular”, steht bei der Adresse:

An die co.de Vergabestelle

Uii, wie wichtig das klingt – was für Komiker.

Auch die anderen Projekte dieser Truppe sind eher peinlich, da passt dieses gut rein. :O)


Dass wirklich ärgerliche an der Aktion ist, viele werden aus Unwissenheit und/oder Angst, denn das Schreiben von denen beginnt mit Rechtliche Klärung wegen peinlichedomain.co.de, bezahlen und gar nicht realisieren, dass sie da 99 € pro Jahr für etwas fast wertloses hinblättern.

Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich.
(…)
Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle hinterlegten Daten der Schüler eingesehen werden.
(…)
Die Kennwörter waren (…) im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.

Passworte im Klartext speichern, das kennen wir ja schon von Symantec, aber diese dann nach Ähnlichkeit prüfen und nicht nach Gleichheit?

LIKE-Operator?! Watt’n datt scho widder?

LIKE ist ein Vergleichsoperator wie auch =, !=, < oder >. Vergleicht man z.B. eine Liste von IP-Adressen aus einer Webstatistik mit ‘ip’ LIKE ’65.55.%’, so werden einem alle Einträge angezeigt die mit ’65.55.’ anfangen, also Zugriffe die über die Microsoft-Suchmaschine Bing erfolgt sind.

Einige Beispiele:

• ‘abc’ LIKE ‘abc’ => wahr
• ‘abc’ LIKE ‘a%’ => wahr
• ‘abc’ LIKE %b%’ => wahr
• ‘abc’ LIKE ‘c’ => falsch

Aber, und das ist in diesem Fall entscheidend:

• ‘abc’ LIKE ‘%’ => immer wahr

Dies bedeutet… wir ahnen es schon… geben wir als Passwort % ein, so werden wir immer erfolgreich eingeloggt. Wer Passworte mit LIKE prüft, der sollte an der höchsten Rah an den Daumen aufgehängt werden.

Da ich kein Schiff zur Hand habe, nehme ich mal Google. ;O)


Die Seite wurde erst einmal vom Netz genommen, weswegen man auf http://www.haefft.de/ z.Zt. mit

Liebe Häfftlinge,

haefft.de ist leider offline. Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert,…

Das reicht mir schon… An diese Anrede “Häftlinge” könnte ich mich gewöhnen, wenn die Verantwortlichen hinter Gitter sitzen. “mögliche Sicherheitsprobleme”… “mögliche”… “MÖGLICHE”!


Am Freitag gab es dann auch einen Blogeintrag dazu, der aber mittlerweile gelöscht wurde, wie auch der zweite Eintrag vom Samstag. Heute Nacht habe ich, in weiser paranoider Voraussicht, die Texte gespeichert.

Sicherheitsupdate auf Haefft.de
(Blogeintrag wurde gelöscht. Stand: 2 Uhr, 06.12.2009)

Freitag, 4.12.09, 19:15 Uhr
(…)
“Uns liegen nach aktueller Sachlage keine Informationen vor, dass tatsächlich Daten geklaut worden wären. Wir prüfen den Sachverhalt genau, gehen aber im Moment ausschließlich von einer gut gemeinten Warnaktion aus. Überdies behalten wir uns rechtliche Schritte gegen jeglichen Missbrauch vor!”

Das Dumme an Daten ist nur… man merkt es kaum, wenn jemand sie nur kopiert!

Unter Hochdruck arbeiten wir derzeit an der Beseitigung der Sicherheitslücken.

Im Google-Cache findet man aber noch eine ältere Version, in der es heißt:

Unter Hochdruck arbeitet die Webagentur schalk&friends an der Beseitigung der Sicherheitslücken

Und noch etwas aus dem zweiten Blogeintrag, bevor ich zur Webagentur komme:

Sicherheitsupdate Haefft.de – Teil 2
(Blogeintrag wurde gelöscht. Stand: 2 Uhr, 06.12.2009)

Berlin/München, 5.12.2009
Stellungnahme des GescHÄFFTsführers Stefan Klingberg:

Wir bedanken uns beim Chaos Computer Club (CCC) für die bekannt gewordenen Sicherheitslücken in unserer Schüler-Community Haefft.de.

Bidde was? Für die Sicherheitslücken kann er sich bei seiner “Webagentur” bedanken, dem CCC gebührt der Dank dafür, dass sie ihn darauf hingewiesen haben.

(…)
Allerdings zeigt die Pressemitteilung des CCC, dass zum Thema Haefft.de sehr wenig Hintergrundwissen vorliegt und leider auch etliche Dinge schlicht falsch dargestellt sind:
(…)
3.) Die beschriebene Sicherheitslücke ist nach vielen Jahren erstmals von einem Computer-Fachmann aufgezeigt worden.

Und wieder… Bidde was? Was will uns der gute Mann sagen? Im letzten Jahrzehnt ist nichts, im Zusammenhang mit Datenmissbrauch, bekannt geworden und deswegen kann es ja gar nicht so schlimm sein?!

4.) Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, (…)

Das kann ja nur bedeuten: Hast du gute Moderatoren, so ist das Ausspähen von persönlichen Daten halb so schlimm!

6.) Wir als Betreiber sind uns unserer Verantwortung gegenüber unseren Usern bewusst und versuchen mit geringen Mitteln eine kleine, sympathische Community zu finanzieren und zu erhalten. Leider ist nicht immer alles finanzierbar, was technisch geboten wäre.

Kann man daraus ablesen, dass man schon länger um die Unzulänglichkeiten wüsste und nur das Geld fehlte um sie zu fixen?

Wir würden uns mehr Fairness gegenüber einer kleinen Schüler-Community mit 1,5 Mio. Page Impressions im Monat und deren Agenturen wünschen. Sonst gibt es im Netz bald nur noch die Schuelervzs und Facebooks der Konzerne dieser Welt …

Oh ja, die armen Kleinen, die brauchen sich nicht um Datenschutz und IT-Sicherheit kümmern. ;O)

Einen wesentlichen Sicherheitsaspekt, die Wachsamkeit und das Engagement unser ehrenamtlich tätigen Moderatoren, hat der CCC leider nicht berücksichtigt.

JA! Diese BÖSEN HACKER vom CCC haben ein Traditionsunternehmen, welches noch nie Probleme hatte, in den Dreck gezogen! ;O)

Da gilt wohl wieder wie so oft, frei nach Saint-Exupéry: “Das Wesentliche ist für die Augen unsichtbar.”

Auch hier: JA! Zum Glück hat Google eine große Festplatte, in der viele viele Seiten auch nach dem Löschen, noch aus dem Cache abrufbar sind.


Nun noch etwas zur “Webagentur”.

Der Ausgangspunkt, wodurch ich auf die Agentur gekommen bin, war der erste Blogeintrag, der noch im Google-Cache zu finden ist. Erst dadurch habe ich bemerkt, dass der Name der Agentur aus dem ersten Blogeintrag entfernt wurde, was ich schon auffällig finde. Kann es sein dass die Agentur da interveniert hat?

Eine Suche nach site:schalk-and-friends.de häfft (google.de) fördert ein paar Seiten zutage, die erst kürzlich gelöscht wurden. Wo ich mich frage, warum sie gelöscht wurden. Das schalk&friends die “Webagentur” hinter Häfft ist, ist doch kein Geheimnis?!

• “Es handelt sich dabei um ein Abbild der Seite, wie diese am
  23. Nov. 2009 19:20:07 GMT angezeigt wurde.”
  “schalk&friends freut sich: haefft.de laut AGOF die Nummer 1” (google.de – Cache)
• ” Es handelt sich dabei um ein Abbild der Seite, wie diese am
  25. Nov. 2009 00:07:54 GMT angezeigt wurde.”
  “Häfft-Relaunch: Mehr Spaß im Web” (google.de – Cache)
• “Es handelt sich dabei um ein Abbild der Seite, wie diese am
  2. Dez. 2009 02:07:58 GMT angezeigt wurde.”
  “Häfftcard – die neue Vorteilskarte für Jugendliche” (google.de – Cache)
• “Es handelt sich dabei um ein Abbild der Seite, wie diese am
  20. Okt. 2009 22:22:19 GMT angezeigt wurde”
  “Start der ersten Social Networking-Plattform für aktive Schüler” (google.de – Cache)

“Häfftig shoppen auf Haefft.de” (schalk-and-friends.de)

Hintergrund:
Haefft.de ist eine beliebte Jugend-Communitys im deutschen Web. 1990 startete alles mit der Idee, ein Hausaufgabenheft zu erstellen, das origineller ist als die Herkömmlichen.

Und die Google-Cache-Version, “wie diese am 30. Nov. 2009 13:02:27 GMT angezeigt wurde.”

Hintergrund:
Haefft.de ist eine der beliebtesten Jugend-Communitys im deutschen Web. 1990 startete alles mit der Idee, ein Hausaufgabenheft zu erstellen, das origineller ist als die Herkömmlichen – das “Häfft”. 2006 setzte schalk&friends den Relaunch, der 1998 gegründeten Häfft-Community, um.

Ich habe hier nur etwas per Google-Suche und Google-Cache zusammengetragen, es mag sich nun bitte jeder selber seine eigene Verschwörungstheorie zusammenspinnen, warum die Agentur so handelt oder ob dies alles nur Zufall ist.


Warum ich mir jetzt so viel Arbeit gemacht habe?

Ich finde es einfach zum KOTZEN, wenn Firmen mit den Daten, der Leichtgläubigkeit und dem entgegengebrachten Vertrauen, von Kindern und Jugendlichen ihr täglich Brot verdienen, Fehler machen und dann versuchen diese runterzuspielen oder sie gar ganz unter den Teppich zu kehren.


Zu den anderen Websites, die irgendwie zu Häfft gehören, sagen ich jetzt mal nichts…

4.) Der Häfft-Verlag wird eine Security Firma beauftragen, die das Internet Portal vor einer möglichen Freischaltung intensiv und umfassend testet.

Quelle: “Überarbeitung des Sicherheitskonzeptes von Haefft.de” (presse.haefft.de)

Es sollte das letzte Sparschwein geschlachtet werden, damit die “Security Firma” auch alle andern Seiten abklopfen kann.


Update: 0:20 Uhr – 07.12.2009
“Stellungnahme zur Meldung vom Chaos Computer Club (CCC) zu einem Sicherheitsproblem auf dem Portal www.haefft.de” (schalk-and-friends.de)

c) Die gesamte Webpräsenz besteht in den Grundlagen seit 1998 und wird nur teilweise von unserer Agentur betreut.
Darüber hinaus haben wir keine Gestaltungsmöglichkeiten. Insbesondere sind wir weder für das Hosting noch für das Datenschutzkonzept verantwortlich.

Wenn ich es richtig sehe, stand das Problem, welches der CCC gefunden hatte, nicht im Zusammenhang mit dem Hosting oder dem Datenschutzkonzept.

Vielleicht haben ja auch die Moderatoren selber am System rumgefingert:
“Bugs im Chat II” (google.de – Cache)

(…) das ich ab jetzt verantwortlich für die technische Entwicklung vom Chat bin. Kurz vorweg, wer mich nicht kennt: Ich bin kein bezahlter Programmierer von schalk & friends sondern langer Häfft-Freund und Moderator (…)

Gestern gab es mal wieder einen Kandidaten, den ich als würdig empfand, von mir besucht zu werden. In seinem Profil gab es natürlich auch den Link zu der Firma für die er arbeitet. Es handelt sich um eine Firma die sich auch IT-Security auf die Fahnen geschrieben hat. Naja, da kann ich nicht anders. :O)

Also habe ich gleich das Kontaktformular angesteuert und mein berüchtigtes ">xss als Name eingegeben und das Formular abgeschickt. Es wurde natürlich angezeigt, dass erforderliche Angaben fehlen würden, aber es wurde auch ausserhalb der Formularfelder das xss angezeigt. Also ist zumindest dieses Formular für Cross-Site Scripting anfällig.

Bei einer Firma die IT-Security ganz groß auf ihrer Website anbietet, kann ein solcher Fehler zu Reputationsverlust führen, auch wenn ein krimineller Hacker damit nichts wirklich Sinnvolles anfangen kann, da es auf der Website kein Login oder ähnliches gibt, was einen Angriff lohnen würde.

Also habe ich dem Besucher meines XING-Profils gleich einen kurzen Hinweis dazu geschickt. Womit die Angelegenheit für mich erledigt war. Meist kommt ein kurzes “Danke” oder auch gar nichts, als Reaktion. Dies ist auch OK so, ich brauche keine Bestätigung für mein Ego.

Von mehreren hundert E-Mails mit Hinweisen zu Sicherheitslücken, die ich in den letzten Jahren verschickt habe, ist die Reaktion auf diesen Hinweis einzigartig. Deswegen dieser Blogeintrag. :O)

Sehr geehrter Herr Schwarz,

und nun? Sind Sie nun stolz auf sich?

Ohne freundlichen Gruß
Karl xyz

Nein, auf

• Website ansurfen
• zum Kontakformular navigieren
• ">xss als Name eingeben
• Formular absenden

kann man nicht stolz sein – dies ist keine Herausforderung.

Dieser Mensch ist wohl so stolz auf die Website und seine Firma, dass er keine Kritik akzeptieren kann, auch wenn dieses Versagen eher bei dem Dienstleister zu suchen ist, der für die Website verantwortlich ist.

Da ich nun keine weiteren Aktivitäten, auf meinem Server mit dem Beispiel, verzeichnen konnte, musste ich davon ausgehen dass dieser Mensch meinen Hinweis nicht weitergegeben hatte. Also habe ich eine E-Mail an die Firma direkt versendet. Nach kurzer Zeit kam auch eine Antwort:

Guten Abend Herr Schwarz,

Vielen Dank für den Hinweis. Ich habe die Infos bereits im Hause weiter geleitet.

Ich werde mich in der kommenden Woche nochmals mit Ihnen in Verbindung setzen, da ich mich derzeit im Krankenstand befinde.

Viele Grüße aus xyz
gründer der firma

Vorstandsvorsitzender

Obwohl ich meine E-Mail an eine allgemeine Adresse geschickt habe, hat doch jemand meinen Hinweis für so wichtig gehalten, diese dem erkrankten Vorstandsvorsitzenden weiter zu leiten und für ihn war mein Hinweis so wichtig, dass er sogar selber antwortet.

Damit, so dachte ich, sei die Angelegenheit erst einmal erledig. Aber nein, heute kam dann eine Antwort von einem anderen Mitarbeiter:

Guten Morgen Herr Schwarz,

vielen Dank für Ihre konstruktive Kritik an unserer Web-Seite. Ich habe Ihre Mail an den Administrator weitergeleitet.

Wie glauben Sie denn, dass mein Kollege hätte reagieren sollen? Nur, weil sich jemand Ihr XING-Profil anschaut, nehmen Sie ungefragt dessen Internet-Präsenz unter die Lupe? Und danach lassen Sie es bei einer plakativen Aussage bewenden (“habe ich kurz auf Ihre Website geschaut und eine Lücke zu Cross-Site Scripting gesehen”). Wollten Sie wirklich Awareness betreiben wollen, sollten Sie dem geneigten Leser detailliertere Informationen zukommen lassen.

Lieber Herr Schwarz, bitte lassen Sie mich Ihnen meinen Standpunkt darlegen: Nur, weil die Themen Penetration Testing und/oder Ethical Hacking einen hohen Stellenwert bei Ihnen genießen und Sie professionell damit umgehen können, heißt dies nicht zwingend, dass dies auch für Andere gilt. Es ist uns sehr wohl bewusst, dass die XSS-Problematik nicht unbeachtet sein sollte, nur eben setzen wir anscheinend eine andere Priorität hierauf, als Sie.

Ich vermute, dass ich es Ihren Untersuchungen zu verdanken habe, über unsere Kontaktseite mehrmals am Tag mit einer sinnlosen Mail versorgt zu werden. Nochmals herzlichen Dank für die Information, jedoch empfinde ich Ihren Roboter als störend und bitte Sie daher um Deaktivierung.

Viele Grüße
Ralf xyz

Muss man einer Firma die IT-Security ihren Kunden anbietet, erklären was Cross-Site Scripting ist?

Meine Beispiele sind immer so gestaltet, dass man diese verstehen kann, auch ohne tiefgreifende XSS-Techniken zu kennen. Wäre die angeschriebene Firma nun eine aus dem Fleischereihandwerk gewesen, so hätte ich natürlich auch noch Links zu weiteren Erklärungen mitgeschickt. Ich dachte einfach bei einer IT-Security-Firma wäre so etwas nicht erforderlich.

Auch dies ist ein Novum. Noch nie hat eine IT-Firma meine Beispiele nicht nachvollziehen können und nachgefragt wie ich das gemacht habe.

Es ist uns sehr wohl bewusst, dass die XSS-Problematik nicht unbeachtet sein sollte, nur eben setzen wir anscheinend eine andere Priorität hierauf, als Sie.

Dies mag stimmen, womit sich auch die weit verbreitete Ignoranz erklären lässt. Also ist ihm die XSS-Problematik nicht wirklich bewusst, denn wenn es so wäre, dann würde er anders reagieren. Ich kann nur hoffen, das XSS noch vor der fehlerhaften Anzeige von Umlauten in einer Website, in seiner Prioritätenliste rangiert.

Und der einzige Roboter der von mir benutzt wird, ist das ">xss, was ich schon fast robotermäßig eingetippt habe, bevor sich die Website vollständig aufgebaut hat, was meiner relativ langsamen DSL-Verbindung geschuldet ist. ;O)

Wirklich goldig ist ja noch dies:

Nur, weil sich jemand Ihr XING-Profil anschaut, nehmen Sie ungefragt dessen Internet-Präsenz unter die Lupe?

Wenn eine Website nicht öffentlich ist, dann sollte man den Zugang dazu per Passwort absichern. Ist eine Website frei zugänglich, so muss man damit rechnen, dass jemand “dessen Internet-Präsenz unter die Lupe” nimmt. Ich hoffe diese Firma berät ihre Kunden nicht in die Richtung, dass kriminelle Hacker immer durch die Vordertür kommen und sich dabei an der Rezeption anmelden.


Meine (ungefragten) Untersuchungen beschränke ich immer nur auf Lücken, die keine Daten im System speichern. Die Beispiele zeigen immer nur reflektives Cross-Site Scripting, Cross-Site Request Forgery in selbst angelegten User-Accounts oder Fehlermeldungen die weitere Lücken vermuten lassen, z.B. SQL-Fehlermeldungen, die auf möglich SQL-Injection hinweisen.

OK, diese Menschen können meine Motivation (Das Internet im Alleingang retten. <g>) nicht kennen, aber diese beiden Mitarbeiter sind doch, meiner Meinung nach, irgendwie in ihrer Kommunikation gestört. Vielleicht gehören sie zu den Menschen, die immer nur Böses vermuten und nur so in der Hackordnung einer großen Firma nach oben kommen.

Zu der Hackordnung und Kompetenz in Firmen noch dies:
(Das Video wurde auf Youtube gelöscht.)

79.228.162.514.264.337.593.543.950.336 IPs

79 Quadrilliarden 228 Quadrillionen 162 Trilliarden 514 Trillionen 264 Billiarden 337 Billionen 593 Milliarden 543 Millionen 950 Tausend 336

Das bisherige IPv4 bietet einen Adressraum von rd. 4,3 Milliarden IPs. Die Jungs meinen also, sie müssten ein Vielfaches der bisher im Netz per IP erreichbaren Endgeräte ansteuern können?!


Wie viel sind den nun 79 Quadrilliarden?

Wenn eine Person eine Masse von 70 kg hat, dann heißt dies, daß der Körper dieser Person etwa
N = (70 kg / 0,018 kg) · 1,8·10²⁴ = 7·10²⁷ Atome enthält.

Quelle: harri-deutsch.de

Und die Bundeswehr möchte 7,9·10²⁷ 79·10²⁷ IPs für sich alleine adressieren können!?


Unserer Bundeswehr? Unserer Sandsackschlepper im Hochwasser? Wo man zu “Popp mich” (rettungsflieger.bundeswehr.de) aufgefordert wird? Und die auch mit “Conficker” (tagesschau.de) Erfahrung haben?

Glaubt irgendwer daran, dass die Bundeswehr überhaupt eine Ahnung davon hat, wie viele Adressen sie da für sich reservieren will?


Ich hoffe, der Bundi oder ich haben irgendwo einen Denkfehler gemacht.

Einfacher wäre es für dich den RSS-Feed meines Blogs zu abonnieren, denn dies hier ist nicht Twitter und so viel einigermaßen sinnvolles schreibe ich hier nicht, das ein Dauerbesuch irgendwie lohnen würde.

Laut Wikipedia gibt es RSS (de.wikipedia.org) schon seit 1999.

Je nachdem wie du drauf bist, kannst du in deinem Browser auch RSS-Feeds abonnieren, du kannst aber auch ein Programm dafür installieren oder den Google Reader (google.de) benutzen.

Wie du siehst gibt es verschiedene Möglichkeiten die Aktualisierung einer Website zu verfolgen, die nicht zwingend ein Blog sein muß. RSS ist auf jeden Fall sehr viel effektiver als 5-Minuten-Reloads.

Schönen Tach noch :O)


Update: 18:50 Uhr

Entweder hat er es nicht gelesen oder nicht verstanden…

Poschmanns Arbeitszeit heute: 7:59 – 17:33


Update: 08.10.2009 – 12:30 Uhr

Da Poschmann noch immer nicht lesen/verstehen mag, leite ich ihn automatisch zum Wikipediaeintrag über RSS weiter.

Ist evtl. etwas frech, aber ich will doch nur helfen. :O)


Update: 10.10.2009 – 9:00 Uhr

Nachdem ich ihn vorgestern weitergeleitet hatte und er dies doch wirklich nach mehreren Stunden bemerkte, änderte er hektisch den übermittelten Useragent, was natürlich nicht half.

Erst dachte ich, er hätte nun verstanden, aber nachdem ich die Weiterleitung entfernt hatte (die ich zwischenzeitlich auf seine eigene Domain einstellte), begann er wieder mit seinen 5-Minuten-Reloads. Naja, dann eben nicht.

Mit diesen DoS-Angriffen in Zeitlupe ist er wohl schon öfter aufgefallen, denn die IP-Adresse findet man in verschiedenen Blacklists.

Man gut das Firmen feste IP-Adressen haben. :O)