| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Wir haben auf dem 24C3 ja im Vortrag über Relay Angriffe das Video gesehen, wie auf einem britischen Chip&PIN-Terminal Tetris gespielt wird:
Hier gibt es ein anderes Beispiel wie ein Banking-Terminal der EasyCredit TeamBank AG:
Und wenn ich mir dann überlege wie einfach Skimming-Angriffe erst funktionieren, wenn man auf solchen Terminals einen Trojaner installieren kann … da ist der Hack der SEB-Bank ein Kinderstreich dagegen.
TV-Browser.org muss die Sender von ProSiebenSat.1 und RTL aus dem kostenlosen Programmguide nehmen, weil die Sender für die Veröffentlichung ihrer Programmdaten neuerdings Geld wollen. Dazu haben die beiden Sender extra die VG Media (PDF) gegründet, an dem ProSiebenSat1 und RTL zu je 50% beteiligt sind.
So ist das eben mit der freien Marktwirtschaft dem Turbokapitalismus für den insbesondere Bertelsmann als Haupteigentümer von RTL und die Bertelsmann-Stiftung stehen. Die Stiftung steht oft in der Kritik, ähnlich umstritten ist wohl nur noch die INSM. Und im Kapitalismus hilft nur eines … die kompletten Programme von ProSiebenSat.1 und RTL aus dem Programmguide herausnehmen. Einfach die Sender komplett ignorieren. Statt dessen lieber die Highlights anderer Sender bewerben. Am besten mit Bild und Text auf der Startseite. Ich wette es dauert nicht lange bis die beiden Senderfamilien bereit sind Werbung zu kaufen, nur um auch wieder auf der Startseite aufzutauchen.
(via Basicthinking)
Red Hat bietet eine LiveCD mit dem OLPC ISO-Image zum Download an. Kann man das eigentlich auf einem Asus EEE installieren? 😉
Auf meinem Server hier ist Logging ja weitgehend abgeschaltet (zumindest das Access-Log, nicht jedoch das Error-Log). Das hat den Vorteil, Daten die nicht vorhanden sind, muss (und kann) man im Zweifel nicht rausrücken. Der Apache schreibt die Logfiles standardmäßig sowieso nur in eine Datei und die kann man auch gut auf /dev/null verlinken. Dann ist das Log so zuverlässig weg wie die Daten auf einem Windows Home Server.
Manche machen das ja ein wenig anders. Der TÜV Rheinland zum Beispiel. Für den sind die Logfiles offensichtlich so wichtig, dass er sie direkt in eine SQL-Datenbank schreibt. Nicht ganz sauber programmiert zwar, aber das fällt meistens eh nicht nicht auf. Dieser Link (aus dem 24C3 Hacks-Wiki) zeigt das Problem auf. Als PHPSESSIONID einfach „‚UNION‘„übergeben und schon kackt das Logging ab. Ein wundervolles Beispiel für SQL-Injection. Wenn man sich den Sourcecode der Webseite direkt anschaut sieht man ganz unten das Problem:
Das muss nicht nur die PHPSESSIONID sein, das kann jeder andere Parameter auch sein. SQL-Injection durch einen modifizierten User-Agent beispielsweise 🙂
Der TÜV Rheinland offeriert seinen Kunden übrigens auch Penetrationstests und Software Entwicklung an. Ich würde mich ja schämen, meine eigenen Seiten nicht im Griff zu haben. Und noch peinlicher, das Problem ist mindestens seit einer Woche auf dem Wiki veröffentlicht. Kuckt denn beim TÜV Rheinland niemand in irgendwelche Logfiles?
Aber keine Sorge: wir bieten gerne jedem einen Sonderpreis auf unsere eigenen Penetrationstests an, der vorher den TÜV Rheinland beauftragt hatte und sich nun nicht mehr ganz sicher fühlt. Einfach eine Mail an mich mit dem Hinweis „TÜV Rheinland“ und es gibt 10% auf alle Leistungen 😉
Direkt geklaut von Fukami. Ich kenne niemanden der sich in Deutschland mit Flash besser auskennt. Es lohnt sich, sein Blog und sein Wiki zu lesen.
Aus den Kommentaren: Für Firefox gibt es die Objection Erweiterung, die ebenfalls LSOs bearbeiten kann.
und zwar in dem sie den Windows Explorer in die Quarantäne schieben bzw. je nach Einstellung gleich direkt löschen. Ich kenne das ja sonst nur von McAfee.
Die eigentliche Frage ist jedoch … warum gibt es vor der Veröffentlichung offensichtlich keine funktionierende Qualitätskontrolle? Sind sich die Kaspersky-Jungs so sicher, dass sie nichts falsch machen oder hat man die Endkontrolle einfach aus Kostengründen eingespart. Alleine wenn die weltweit verteilten eigenen Mitarbeiter die Software nutzen würden müsste so ein Fehler doch sofort auffallen. Und wen wollen die veräppeln wenn sie „unübliche Explorer-Version“ und „über Windows Update verteilt“ schreiben?
Naja, vielleicht verwendet Kaspersky intern ja auch F-Secure, ich bin damit jedenfalls (bisher) recht zufrieden 🙂 Oder man verzichtet ganz auf Virenscanner.
Microsoft hat den Windows Home Server verkackt. Das Problem tritt anscheinend auf, wenn Dateien durch eine der folgenden Anwendungen auf dem Windows Home Server abgespeichert werden:
Nun gut, dass sich Microsoft Windows mit nichts anderem verträgt ist ja nichts neues, aber das sich Microsoft Windows mit dem eigenen Microsoft Office nicht mehr verträgt ist besorgniserregend. Angeblich ist nur der Windows Home Server betroffen aber da der wiederum stark auf Windows Server 2003 basiert muss man sich doch Gedanken machen. Und nein, wer seine Daten freiwillig einem Microsoft Betriebssystem überlässt ist nicht automatisch selber schuld. Die Jungs aus Redmond nehmen eine Schweinekohle für ihre Software, da sollte man zumindest die Qualität eines OpenSource-Betriebssystems erwarten können.
Ich habe ja so den Verdacht, dass die Code Qualität bei Microsoft aktuell ganz stark nachlässt. Aber da hilft vermutlich nur warten:
40 Jahre 114 Tage 5 Stunden 44 Minuten 47 Sekunden … cool 🙂
Herr GröIaZ Schäuble, bitte übernehmen Sie:
Amazon verkauft Uran über das Internet!
Aber so einen Steampunk-Laptop hätte ich auch gerne 🙂
(via SZ)
Ja, ich weiß … diese Webseite hinterlässt Spuren im Internet die sich nie wieder tilgen lassen. Ich bin quasi auf immer und ewig im Netzwerk. Zum Glück meistens eher unauffällig … weder gehört mir diese Website noch diese hier. Allerdings ist dieser Beitrag von mir (und spiegelt immer noch meine aktuelle Meinung wieder) und hier hatte ich tatsächlich 1995 auf eine E-Mail geantwortet.
Nicht nur Personalabteilungen haben das Thema z.B. bei StudiVZ und Xing/OpenBC inzwischen aufgegriffen und nutzen die unbegrenzten Möglichkeiten zur Auswahl ihrer Mitarbeiter. Auch privat gibt es interessante Möglichkeiten wie die Süddeutsche herausgefunden hat. Suchmaschinen wie Stalkerati (der Name scheint Programm zu sein) erlauben es, in kurzer Zeit relevante Informationen über einen möglichen Bewerber herauszufinden.
Leider nutzen die großen Portale die gesammelten Daten hauptsächlich, um daraus maximalen Gewinn zu ziehen. In der Regel auf Kosten der Nutzer die sich der Gefahren nicht bewusst sind. StudiVZ und Facebook durch personalisierte Werbung, Xing durch Advanced Stalking, eigentlich sollte man sich wo nur möglich abmelden. Oder zumindest mit den eigenen Daten vorsichtig umgehen.
Eben hatte ich auf YouTube folgenden Fehler:
Rechnet Google ernsthaft damit, dass irgendwer diesen unverständlichen Datenblock zurückschickt?
pK0zSizYtvxnfD5f8vdx2ZaT6RCM7RSOPIOi7t8y3z7fCgK8aZf389D3QAeY ync04sYJA_EpStEklafKVBEeNciyLIhXasHvpQiBnWTR_1VYavZGE0wd7L0E UOMEaV7gpv2mA7S8BCHyUGhMUWhl3O-wsSWB89-DoyXrPibHuMyM-ThV9_5M pKuVOxeN5MOXp5z7jC8Rxsf3HUm1ZmZTqeqh8yEgnXQJPj-WIefiMa7K_-Sz g-UdlpFcTdi3SDHirOrsxJ4c5MNu7dCJ7TFudlaCBCsPWEfeh7nvW3b4-mgw YRPxI-uD0B59zj2x0RHvRidMRN0Hxqg0Jvu0IoHe0_wbpqqcrDJQ2hUE10jL zCE5a1YP4qRc4AYlQ8k_jVJv8fw3xWyoKa7EguBZoWYftaEWNWv0ca8Bhs97 9zWGg5giw_tAlFcLG5SeQ1C50Ik_9LeLwAcDWuf1ClUuhMgDBStCfzSQgwfE LGTW2tErRLMdEsftXmithFm7GowWknIvj9Ro-nGsF8suF8CZfuIsLtmirXdj uFBvXldNwAuVRX0Eg8yNmY7HniTDtLkzca1FImLsTkZjRorKHN3C7rDBKTD_ VuSGj6pRlKjQRZ6-Z9jLPUSgiCuMjU0-D63nfZmnOAeUQN0f5tcCS-Q803Tp LBTJ8DLrYpIqQA1-YVVGEHHPNn03qYvINBO4GRPBQoLe13VhBfI45ympN2tZ KSenERB-tJ9EOJdBjoReUGdSb5AkHYkGxrvSZJ48KXxhJQpASbJKeV3jkCyZ z0kpLTTa9RSDEIH_UILYRQWg3JhYaazi-hcm_PbkwkXV-50sOalFLc1ztYzt QZpmWv2UwnJUqkmC3c0owiHPRI9xKca5g-QEb9p1Z3oxBMnAd6EncU6wLgMX OMYztzbw0bOxsOKLh2v1Rdrdid_zQ-u-PFtoTgY5sACdTQnsijDM5WZFzzzI kfhuiVUCrkmmAmOunDYQVnfRAwdwiB8krHO91TaMqH53wJf12ylH--ye4NmC bUJeT45n2e6lUDcK1zxYi_q8CU71XSbgy0L5VV5YaFDxMw5egM62akSO3ASn fSL4d1xRqQea8G1whbeLkmEjhmYgIjAlT8RAQz78vrBvV2HAKOCIPYuwJ3q5 5NrzP991XSlKWL7rr6Qj3tnPmin6R6Aoe2SWH96qOIGCy9Mo9eeG4DE58X3m 2n01mvm5a2y5ZBCq5g4MTT6j5qUl8oMxQ1pEN6tKWQ0F6oMtyoULNLIQ9-W4 CLySOk7A_rdvHrQdHtFdr2J1VQ4HsoCE0BpZ8C-yK8LOYcVee1zBxmLvEJno 68MEwiCV-TXG-DdYeHxyRqrF
Ich rechne ja fest damit, dass der Datenblock meine IP-Adresse, meinen Browser, mein Betriebssystem, die aufgerufene URL, sonstige Daten aus dem Betriebssystem etc. enthält. Die Datenschutzbestimmungen von Google sind jedenfalls nicht gerade vertrauenserweckend. Naja, jetzt ist es ja eh öffentlich 🙂
Falls jemand den Datenblock dekodieren kann, wäre ich sehr verbunden. Ich habe zwar eine Anfrage an YouTube geschrieben aber ich erwarte eigentlich nicht, da eine Antwort zu bekommen. Offensichtlich kümmern sich ja nur Affen darum. Ein Service von Affen für Affen?
Nachtrag:
Base64 scheidet aus, weil in Base64-kodierten Dateien keine „-“ und „_“ vorkommen können. Der Wikipedia-Artikel zu Base64 verweist jedoch auf RFC 3548, in dem die Zeichen „+“ durch „-“ und „/“ durch „_“ ersetzt werden. Das bei Base64 übliche Padding mit „=“ zeigt z.B. auch dieser Screenshot. Eine schöne Javascript-Implementierung gibt es auch.
Nachtrag 2:
Bei YouTube sitzen anscheinend wirklich nur Affen an der Tastatur. Jedenfalls hat es bisher noch niemand geschafft, auf meine Anfrage zu reagieren. Für einen Laden von der Größe von Google finde ich das zumindest peinlich.
