Peter's Insider Blog

Eben ist mir folgendes passiert:

ich Suche bei Google.de nach hopp schwyz : Google findet 826 Resultate, ich enge das Suchresultat ein auf hopp schwyz lied beziehungsweise hopp schwyz fussball, beim ersten Fall findet Google 7400 Resultate, beim zweiten 7730 Resultate. Ich probiere das Ganze noch ein paar Mal durch. Ich verwende immer dieselben Einstellungen und erhalte immer dieselben Resultate, obwohl Google eigentlich logischerweise in den zweiten Fällen weniger finden sollte. Die Suchresultate werden ja bei Google automatisch verandet (logischer Operator AND). Was ist der Grund dafür?

Meine Kollegen und ich haben entschieden, dass es das Beste ist unsere Sammelaktion "1 Franken-Aktion für den Niger" in "1 Franken-Aktion für die Sahelzone" umzubennen.

- Zu den Begründungen gehört, dass das Land Niger, in einem Satz eingebaut, von aussen gehört, wie eine rassistische Bemerkung tönt, da viele Leute nicht wissen das Niger ein Land ist und es zusätzlich eine Hemmschwelle zu überwinden braucht um dieses Wort auszusprechen.

- Wir können so eine Grössere Region Ansprechen.

Die Sahelzone besteht aus folgenden Ländern/Landesteilen:

- Senegal - Norden
- Mauretanien - Süden
- Mali - Mitte
- Burkina Faso - Norden
- Niger - südliche Mitte
- Nigeria - äusserster Norden
- Tschad - Mitte
- Sudan - Mitte
- Äthiopien - Norden
- Eritrea
- Dschibuti
- Somalia - Norden

Das Bild sowie ein paar Informationen enstammen der deutschen Wikipedia.

XML erleichtert alles heisst es, XML über alles, die Meisten, die davon sprechen benutzen es als Schlagwort und sind sich dessen Fähigkeiten gar nicht so recht bewusst. Trotz/Gerade wegen seiner Simplizität ist XML eine sehr mächtige Auszeichnungssprache, welche den Datenaustausch oder allgemein den Ganzen Datenverkehr vereinfacht.

XML kann sogar der Musikindustrie helfen theorethisch und praktisch. Im Ordner von iTunes beispielsweise, gibt es die Datei mit dem Namen "iTunes Music Library.xml". Sie umfasst den Ganzen Datenbestand der iTunes Bibliothek im XML-Klartext. Mit anderen Worten jedes Lied seiner eigenen iTunes Bibliothek ist in dieser registriert. Blöderweise gibt es Benutzer die dieses File zusammen mit ihren Liedern in irgendeiner Tauschbörse freigeben. So können die Vertreter der Musikindustrie beziehungsweise der Strafverfolgungsbehörde nur noch diese XML-Datei runter laden die IP, Zeit und Datum mitloggen, die XML-Datei ins Microsoft Word oder Excel 2003 importieren und das ganze Portfolio der Gesetzesverstösse dem Staatsanwalt präsentieren. Anhand der Grösse dieser XML-Datei können sie sogar abwägen ob es sich lohnt.

Naja, so einfach wie ich es hier beschrieben habe geht es zwar nicht, aber ich wollte nur ein Vorteil von XML an einem praktischen Beispiel aufzeigen.

Folgende fiktive Aussagen von Jens Alder habe ich heute in der Bilanz, dem Magazin der Reichen und Schönen aus dem Jean Frey Verlag, entdeckt:

Da fragt man sich, was sich Alder von der KPN und der TDC verspricht, wobei mir zu der KPN zumindest was einfallen würde. Auf jedenfall sollte man ihn davon abhalten, einen der grossen KPN oder TDC aufzukaufen oder aber die Swisscom aufspalten.

Heute geht es in meinem Blog um den klassischen Referer, den HTTP_REFERER. Unter dem Referer versteht man einen Wert der vom Browser an den Zielserver gesandt wird, wenn man einen Link klickt, genauer gesagt handelt es sich dabei um die letzte besuchte Seite.

Für den Webmaster Segen auf der einen Seite, für den Datenschützer Graus auf der anderen Seite. Ein Referer wird nicht nur beim anklicken eines Links gesendet sondern auch wenn ein Bild von einer externen Webpage eingebunden wird, was unter anderem bei dem schwach frequentierten Argovia Chat zu einem gravierenden Sicherheitsproblem führen kann. Denn durch eine Sicherheitslücke lassen, sich externe Bilder in den Chat einbauen, und somit kann ein Script Kiddie, entweder eine als gif getarnte PHP-Datei in den Chat einbinden, und alle Referers mitloggen oder gleich das Log File seines Servers anschauen, wenn er denn Zugriff hat. Das wirklich gefährliche am Argovia Chat ist nämlich, dass dieser den Benutzernamen und das Passwort im Klartext in der Url überträgt. Auf einem Blick präsentieren sich ihm nun Namen, Passwörter und IP- Adressen aller am Chat-Beteiligten. Doch die Herren von Argovia waren ungefähr ähnlich Ignorant, wie diese Beispiel hier, als wir (Corinne, ich und andere) ihnen wiederholt diverseste Sicherheitslücken in der Chat Software aufgezeigt hatten.

Alle Benützer des Webmail von Bluewin und Bluemail hinterlassen ihre email Adresse in dem Referer, eigentlich nicht so schlimm, ausser man will unbekannt, unerkannt bleiben und keinen Spam erhalten.

Die Forensoftware phpBB2 erlaubt es den Benutzer als Ganze zu übernehmen,solange dieser online ist und nur falls er die Authentifikation über ein Cookie ausgeschaltet hat. Diese Problem habe ich vor einiger Zeit kurzerhand Referer Race Condition (RRC) getauft in Anlehnung an die klassische Race Condition.

Das ist eigentlich eher kein Problem der Webapplikationen als Solches, aber die Implikationen sind es natürlich.

Um den Referer im Firefox den Referer auszuschalten, muss man about:config in die Adressleiste eingeben und Enter drücken, anschliessend zum Wert network.http.sendRefererHeader gehen und sein Wert wie folgt verändern:

0 - kein Referer senden

1 - Den Referer nur bei Webseiten senden

2 - (Standard) Den Referer bei Webseiten sowie Bilder senden

Meine Empfehlung ist es grundsätzlich die Refererübertragung auszuschalten (0).

Eine Empfehlung für Webapplikationen ist es Forwarderseiten zu erstellen, so das externe Links nicht direkt aufgerufen werden können. (Sofern man von seinen Usern nicht verlangen kann, die Referers auszuschalten oder einen modifizierten Browser zu verwenden, was innerhalb von Banken, Versicherungen und Sicherheitsunternehmen sicher sinnvoll ist.) Diese sollten allerdings zeitlich begrenzt sein, oder besser es sollten nur Webseiten weitergeleitet werden, welche in einer Datenbank abgespeichert sind. Sonst lassen sich solche Referers erstellen:

http://www.mary-kateandashley.com/leaving.php?http://live.rootquest.com

Hinweis: Mary-Kate and Ashley Olsen sind amerikanische Zwillinge, welche ein Vermögen von ungefähr einer Milliarde aufgebaut haben.

Die Seite des internationalen Fussballverbandes Fifa (fifa.com) wurde von einem "Hacker" defaced. Hier ein Screenshot:

Auf dem Yns WeBLOG gibt es weitere Screenshots.

Besorgniserregend an der Tatsache das die Website der Fifa defaced wurde finde ich, dass selbst so eine grosse Organisation nicht vor Deface-Angriffen geschützt ist und das die Seiten anscheinend ausreichend lang defaced geblieben sind,so dass Etliche User Screenshots davon machen konnten.

Wie aber haben diese Personen fifa.com defaced? Nach ein bisschen herumsurfen findet man den Term Fifa CMS, das gibt man dann in Google ein und erhält die Seite cms.fifa.com zurück. Dort sieht man bei dem gefundenen Eintrag folgenden Text:

FIFA.com CMS
Monday,14 Nov 2005. User Name. Password. Please enter your username and password
and click "Submit"
cms.fifa.com/

Mit anderen Worten am 14. November 2005 befand sich unter cms.fifa.com noch das Weblogin für das CMS (Content Managment System) der Fifa, dieses Weblogin scheint nun abgeschaltet worden zu sein. Und sollte mich nicht alles täuschen war dies der Einstieg für den Fifa Hack und somit waren wahrscheinlich keine Profis am Werk sondern eher durchschnittliche Script Kiddies, die wahrscheinlich besser mit Grafikprogrammen umgehen können als mit der Kommadozeile.

Was hat Live8 bewirkt? Wer spricht jetzt noch davon, es war die Gelegenheit DIE Gesellschaftsreform in Bewegung zu bringen. Man könnte von einer Revolution sprechen die uns bevorsteht. Denn die weltweit produzierten Nahrungsmittel reichen für 12 Milliarden Menschen. Moment denkt man, aber es gibt doch 6 Milliarden Menschen auf der Welt. Warum verhungern dann 100'000 Menschen pro Tag, wenn es Nahrungsmittel für die doppelte Erdbevölkerung gibt? - Ja Warum?

Nun Ja, der Trick am Ganzen ist das die Grösste Schwachstelle des heutigen Kapitalismus ist, dass das Geld wichtiger geworden ist als die Menschen. Wer regiert die Welt? die Regierungen? Quatsch. Das Volk? welches Volk? Nein die Regierung der Welt liegt in den Händen der Grosskonzerne, die auf grenzenlosen Profit ausgerichtet sind. So können wir auch verstehen, warum diese Leute entlassen, selbst wenn sie gerade ein Rekordergebnis vorweisen konnten. Nun was ist eigentlich an Geld so spannend, dass man unbegrenzte Mengen davon haben muss? Geld bedeutet Macht, die Gesellschaft wurde dahin geführt, dass diese für Geld beinahe alles macht.

Mit anderen Worten es ist Zeit für einen Aufschrei, bevor es zu spät ist. Wann ist es zu spät? Das wissen wir sobald es zu spät ist.

In letzter Zeit geht es drunter und drüber wegen dem Rootkit, das der Elektronikonzern Sony auf CD's im Amerikanischen Markt auf ein paar CD's gepackt hat. Dieser XCP genannte Kopierschutz installiert sich wie ein Rootkit unbemerkt auf dem PC, sobald man die CD in das Laufwerk gelegt hat und der berühmte Windows -Autostart aktiviert ist. Sie überwacht anschliessend das System und macht es u.U. instabil. Sony produziert, deswegen laufend Negativschlagzeilen. Das wird nun einige Leute davon abhalten das neue Videochatprogramm von Sony, welches auf dem Industriestandard SIP basiert und Skype konkurenziert, zu installieren. Der Dienst nennt sich übrigens IVE das steht für Instant Video Everywhere. Bedenklich im Hinblick auf das Sony Rootkit stimmt diese Aussage eines Sony Managers:

Ich glaube die meisten Menschen wissen gar nicht was ein Rootkit ist, warum sollen sie sich also darum kümmern?

Was wir jedoch für die Zukunft lernen können ist: Traue keinem Programm selbst/insbesondere wenn es von einem etablierten und angesehenen Konzern kommt. Schreibe deine Programme selbst, nur dann weisst du was du hast. Willkommen im digitalen 1984 - Big Brother is watching you! Der Übergang ist schleichend.