Donnerstag, Dezember 01, 2011

Security-Awareness a la Google Mail

... ganz netter Ansatz von Google Mail, um Nutzer darauf hinzuweisen, dass es vielleicht KEINE gute Idee ist, überall dasselbe Passwort zu nutzen ...


Mittwoch, November 23, 2011

Google Doodle für Stanislaw Lem

Das Google Doodle des Tages ehrt Stanislaw Lem zum 60. Jubiläum seines ersten erschienenen Buches mit einem animierten und interaktiven Film mit Szenen aus der Kyberiade.

Besonders nett: die Schluß-Animation mit dem Roboter, der alles auf 'N' erschaffen kann und beim Erschaffen von 'Nichts' den ganzen Bilschirm leert, inklusive der Google-Steuerelemente, Eingabefelder und Links.http://www.blogger.com/img/blank.gif

Freitag, November 18, 2011

Sprechende Fehlermeldung? Wohl kaum ...

Was will mir diese Fehlermeldung bei der Installation wohl sagen???

GoogleMaps: auf der Suche nach ungewöhnlichen Orten

Bei der GoogleMaps-Suche kommen ganz interessante Ergebnisse heraus, wenn man bei seiner Suche nach eher ...beschreibenden Orts-Bezeichnungen sucht. So liefert eine Routenplanung von Essen zu Ziel "Ar*** der Welt" als Zielpunkt die Südtribüne im Dortmunder Stadion.

Das Ergebnis hängt übrigens vom Startort ab, von München aus ist der Ar*** der Welt das Oktoberfest, in Hamburg ist es das Millerntor-Stadion. Das Ziel liegt so oft beim nächstgelegenen Stadion, dass man wohl eher von Absicht ausgehen muss.

Auch andere Ziele liefern interessante Ergebnisse, von Bremen aus ist "wo sich Fuchs und Hase Gute Nacht sagen" bei Walsrode, während man von Köln aus nach Attendorn geleitet wird, wenn man sucht "wo der Hund begraben ist"

iPod-Player für's Bad

Einige Apple-User nehmen ihren iPod ja überall mit hin, um auch wirklich an jedem Ort Musik hören zu können ... braucht man dazu DIESEN iPod-Player im Bad ???

Mittwoch, Juli 14, 2010

WinAMP angreifbar über manipulierte Flash-Videos

Über mehrere Lücken im WinAMP-Player können manipulierte Flash-Videos einen Integer oder Buffer Overflow im Player auslösen. Immer wieder interessant, wie Lücken in bestimmten Dateiformaten gerade immer dann auftauchen, wenn man's in einem Projekt am wenigstens gebrauchen kann...

Freitag, Mai 21, 2010

30 Jahre Pacman

Ist das wirklich schon dreissig Jahre her? Muss wohl, am 22. Mai 1980 wurde Pacman das erste mal veröffentlicht. Und pünktlich zum Geburtstags setzt Google ein eigenes Google-Doodle für Pacman, das sogar über die Cursortasten spielbar ist.





UPDATE: Anscheinend kollidiert das Google-Doodle mit dem CoolPreview-Plugin. Das lädt wohl im Hintergrund Google zusammen mit dem (sound-unterstützen) Pacman-Doodle. Hat zu einer entsprechenden Fehlermeldung "When I open firefox I get pacman sounds in the background" im Support-Forum mit in der Zwischenzeit sechs Seiten von Folge-Posts geführt (siehe hier).

Ausserdem hat sich der Support wohl genötigt gefühlt, direkt auf der Startseite eine entsprechenden Hinweis zu setzen:

Freitag, April 09, 2010

Mein Vorname ist Bobby'); DROP TABLE Students; --

Gefunden im Internet ...

... kein Kommentar

Donnerstag, April 08, 2010

XSS-Angriffe über META-Felder

Aus dem heise-Newsticker: nettes Beispiel für Cross-Site-Scripting-Angriffe über Datenfelder, von denen man das eigentlich nicht javascript:void(0)erwarten würde. Im konkreten Fall wurde von nCircle in den Meta-Daten von SSL-Zertifikaten und den WHOIS-Domian-Informationen JavaScript-Code eingetragen.
Konkrete Angriffsmöglichkeiten bei bestimmten Web-Applikationen hat's darüber auch schon gegeben.

nCircle hat diese "Meta Information Cross Site Scripting"-Schwachstelle (MIXSS) unter dieser Seite beschrieben.

Richtig neu ist das aber nicht. Der Grundsatz 'never trust external data' gilt natürlich auch für solche Informationen. Als weitere potenzielle Quellen werden z.B. die Banner von SMTP-Servern und die Header-Informationen von HTTP-Servern genannt.

Mittwoch, März 31, 2010

PDF-Exploit on the way...

Gelesen bei heise.de: es gibt in PDF-Dokumenten eine erhebliche konzeptionelle Sicherheitslücke, über die Angreifer mit entsprechend vorbereiteten PDF-Dokumenten potenziell jedes Programm starten können, und damit natürlich auf dem Rechner des ahnungslosen Nutzers beliebiges Unheil anrichten können.

Dabei werden keine fehlerhaften Implementierungen ausgenutzt, sondern die Option "Launch Actions/Launch File" genutzt, die Teil der PDF-Spezifikation ist. Betroffen sind daher (da eine Standard-PDF-Spezifikation) nicht nur die Original-Reader von Adobe, sondern auch andere Programme wie z.B. Foxit.

Besonderer persönlicher Nebeneffekt: mein aktuelles Projekt nutzt eine Funktionalität die auf PDF aufsetzt als Highlight und Kern-Feature des ganzen Projekts.

Dienstag, März 23, 2010

Fehlt da das Attachement?

Gerade bei Googlemail gesehen:


Bei bestimmten Schlüsselwörtern geht GoogleMail wohl davon aus, dass man ein Attachement mitschicken wollte. Wenn das fehlt, kommt eine Warnmeldung.

Praktisch, bei Outlook passiert mir das immer wieder, dass ich eine Mail versende und den Anhang vergesse ... und nicht nur mir.

Montag, März 22, 2010

Wenn die Kollegen zuviel automatisieren ...

Gerade hat Google mich dazu aufgefordert, zu beweisen dass ich ein Mensch bin...



... keine Ahnung, was die Kollegen in meinem Firmennetz da grade betreiben.

Montag, März 15, 2010

Handy-Botnetz? (Noch) nur im Labor ...

Netter Artikel bei der Computerwoche: Amerikanische Forscher haben ein experimentelles Botnetz für Smartphones entwickelt. Eine von Ihnen Wetter-App für Android-Smartphones hat sich in einer Woche auf fast 10.000 Smartphones verbreitet.

Die Applikation war zwar harmlos, die Forscher haben aber auch eine nicht so harmlose Variante erstellt.
Sie erlaubt Remote-Kontrolle des Smartphones, kann private Daten aus dem Telefon ausspionieren und Spam-Mails weiterleiten.

Im Hinblick auf die technische Leistungsfähigkeit moderner Handys und bei der beobachteten Verbreitung in nur einer Woche kommt da ein Ganz nettes Botnetz zusammen. Und Handys sind normalerweise deutlich länger aktiviert und damit kontrolierbar als Computer.

Freitag, März 12, 2010

Info's zum Mariposa-Botnetz

Ganz interessant mal Zahlen zu der aktuellen Größen von Botnetzen zu kriegen: das in Spanien ausgehobene Mariposa-Netz hatte laut Security-Fokus bis zu 12.7 Millionen Rechner unter Kontrolle. Ausserdem sind persönliche Daten von 800.000 Personen von den Betreibern zusammengestellt worden, darunter Login-Daten für Banken und Email-Passwörter

Freitag, März 20, 2009

Zero-Day-Exploits: MS ganz vorne

Der Sicherheits-Dienstleister Secunia hat in seinem Sicherheitsbericht für das vergangene Jahr 2008 auch eine Übersicht über die Zero-Day-Exploits veröffentlicht. Wie auch schon in den Vorjahren bleiben Microsoft-Produkte ganz weit vorne: von den insgeamt zwölf gemeldeten Expoits betrafen neun direkt Microsoft-Software. Die restlichen drei betrafen 3rd-Party-ActiveX-Controls ... und damit indirekt eigentlich auch wieder Microsoft.