Wannawork

Ich komme gerade aus dem Kopfschütteln nicht mehr raus. Die IHK, oder genauer, deren Dienstleister, hat ein interessante Vorstellung von Datenschutz und Sicherheit.

Vorhin habe ich einen Newsletter der IHK erhalten. Aber die IHK will natürlich garantieren, das dieser Newsletter auch für jeden klar Sichtbar von der IHK geschickt wurde. Normalerweise macht man jetzt irgendwas mit Email-Signaturen und so. Aber das ist anscheinend zu kompliziert für die IHK-Zielgruppe. Man hat sich was ganz kreatives einfallen lassen. Kommt Ihr nie drauf.

In jeder verschickten EMail steht im Kopf folgendes:

************T R A I N E X – M A I L**************************************
* SICHERHEITSKONTROLLE: Der Absender dieser E-Mail (*****@ihk-nordwestfalen.de)
* kann als authentifziert gelten, wenn folgende Aussage richtig ist:
* Ihr Passwort ist 8 Zeichen lang
* und das zweite Zeichen Ihres Passwortes ist das Zeichen: z

Coole Idee, oder? Das ganze hat gleich mehrere Probleme:

• Der Absender der Mail war “****@webb24.de”, also jemand ganz anderes. Das würde mich schon echt misstrauisch machen.
• Was noch viel schlimmer ist: Die haben mein Passwort im Klartext gespeichert bei sich
• Jetzt ist jedem, der meine Mail mitlesen kann, klar, wie lang das Passwort ist und welches das 2. Zeichen ist. Viel einfacher kann man es niemandem machen, ein Passwort zu knacken.
• Wieso macht das klar, wer die Mail verschickt hat? Ich könnte auch alles mögliche andere dahin schreiben.

Das ganze hat mich so dermaßen gewurmt, das ich da direkt mal hingeschrieben habe. Die Antworten von dem Dienstleiter waren echt erschütternd. Darum lieber Dienstleister, hier nochmal: heutzutage macht man das ganze anders.

• Verschlüsselte Passwörter in der Datenbank. Und zwar mit Salt. Dann kan man nie aus dem Datenbank-Eintrag das Passwort zurückrechnen.
• EMail unterschreibt man mit Signaturen, die die Echtheit wirklich gewährleisten.
• Niemals Teile des Passwortes durch die Gegend schicken, oder sogar die Länge des Passwortes.

So langsam wird meine ToDo-Liste immer kleiner. Einer der ToDo’s war es, die Photos einer Photo-Session auf dem ehemaligen Zechengelände in Ahlen endlich mal zu bearbeiten. Eines der Photos war besonders cool:

Das werde ich heute nochmal ausdrucken und dann überall hinhängen, wo ich auf die Vorratsdatenspeicherung und Schäubles Machenschaften hinweisen will .

Ich habe mich ja letztens mal über Access aufgereget. Aber gestern habe ich etwas erzählt bekommen, das ich echt übel finde. Das ganze zeigt mir nämlich, das selbst angebliche “Access-Profis” pfuschen was das Zeug hält.

Es gibt ein Access-Magazin, dessen Namen ich lieber hier nicht nenne, das eine etwas “kreative” Art der Abo-Verwaltung hat . Dieses Magazin hat nämlich ein Online-Archiv aller Ausgaben. Man hat nur Zugriff auf diesen Bereich, wenn man ein Abo besitzt.

Jetzt würde jeder sagen: klar, kein Problem. Jeder Nutzer bekommt einen eigenen Datensatz mit der Information, ob er noch zahlender Kunde ist. Damit kann er sich anmelden, sein Abo kündigen, etc. Sowas hustet ein normaler Programmierer innerhalb sehr kurzer Zeit raus.

Und wie haben die das gelöst? Nun, ganz einfach. Jeden Monat wird ein neuer Benutzername/Passwort-Login erzeugt und ins Heft gedruckt. Alle, die die aktuellste Ausgabe haben, kennen nun den gemeinsamen Login für diesen Monat.

Aua.

http://de.wikipedia.org/wiki/Cross-Site_Scripting

Okay, damit auch der letzte Programmierer es rafft, mal hier ein kleiner Exkurs zum Thema Hacken von Webseiten.

Es gibt etwas, das man bei Webseiten echt vermeiden sollte: Eingaben von Nutzern ungefiltert wieder auf der Webseite auszugeben. Zum Beispiel den Text, der in einem Eingabefeld eingegeben wird, direkt auf der Seite darstellen mit:

Warum man das nicht darf? Ganz einfach. Wenn man nun in dem Eingabefeld folgendes eingibt:

wird auf der Webseite folgendes Stück HTML erzeugt:

Und das führt dazu, dass dieser Code ausgeführt wird. Der Nutzer sieht also diese Alert-Box.

Alert-Boxen sind natürlich noch harmlos, aber man kann hier so gut wie alles unterbringen. Zum Beispiel kann man so die Seite eines Web-Shops so umbauen, dass der Nutzer denkt, er wäre noch auf der Seite von dem Betreiber, aber in Wirklichkeit gibt er seine Kreditkarten-Daten gerade auf einer anderen Seite ein.

Das ganze ist also höchst gefährlich!

Der Fix dazu ist aber verflucht einfach:

Dies führt dazu, das die > und < durch &gt; und &lt; ersetzt werden und der Code nicht mehr ausgeführt werden kann.

Ihr werdet erschreckt sein, welche gut besuchten Internetseiten diese Fehler aufweisen. Gebt einfach mal:

in ein paar Suchfeldern von Webseiten ein, Ihr werdet überrascht sein, wie viele dumme Idioten anscheinend für die Erstellung von Webseiten verantwortlich sind!

Bei Wikipedia gibt’s einen auch einen Artikel mit weiteren verlinkten Texten zu dem Thema.

Wieso haben eigentlich 90% der Nutzer des TV-Browsers, die Netzwerk-Probleme melden, die GData Internet Security installiert?

Mittlerweile habe ich auch schon mehrere Mails an GData geschrieben, dass die das mal fixen sollen, aber leider bis jetzt noch keine Reaktion erhalten.

Die einzige Möglichkeit, das wieder zum laufen zu bringen, ist folgende: in den Optionen des AntiVirus Moduls das “Internetinhalte (HTTP) verarbeiten” deaktivieren. Dann werden keine Inhalte aus dem Netz analysiert, die per HTTP geladen werden, aber das ist eh nicht sooo tragisch.

Irgendwie verschluckt sich die GData mit den GZip-Dateien, die wir mit dem TV-Browser runterladen wollen.

Update: Ich habe am 6. Juli 2008 endlich eine Antwort erhalten. Das Problem soll angeblich in GData Internet Security 2009 behoben sein. Wir werden sehen…