Writely nimmt neue User an

Writely hat nach langer Zeit wieder 'aufgemacht' und nimmt neue Reservierungen an. Ich war leider etwas zu spät, um mich noch vor der Übernahme durch Google anzumelden und habe die letzten Monate gespannt darauf gewartet, das wieder neue Nutzer angenommen werden.
Zusammen mit Google Spreadsheets und Google Calendar nimmt die 'Google Office Suite' langsam Gestalt an.

ZD-Net: Blog feeds may carry security risk

Bei ZDNet gefunden: erste Untersuchungen von News-Readern durch Bill Auger von der Sicherheitsfirma SPI Dynamics zeigen erhebliche Lücken vieler Programme. JavaScript in einem eingelesenen Newsfeed wird in vielen Readern anscheinend ungeprüft ausgeführt.

Attackers could insert malicious JavaScript in content that is transferred to subscribers of data feeds that use the popular RSS or Atom formats.

The problem doesn't affect only blogs--any kind of information feed using any kind of format could potentially be used to transmit malicious content to a subscriber. People, for example, subscribe to mailing lists and news Web sites via RSS.

SPI Dynamics examined a number of online and offline applications used to read RSS and Atom feeds. In many cases, any JavaScript code delivered on the feed would run on the user's PC, meaning it could be vulnerable to attack.

Die Ursachen dieser Issues sind auch klar: die Programme verarbeiten unerwartete Daten (also z.B. JavaScript) nicht richtig, ein Problem, das ich immer wieder bei allen möglichen Programmen feststellen kann.

Many of the popular feed reading applications are faulted because the designers have failed to add valuable security checks, Auger said. In particular, the applications should not allow JavaScript that is included in feeds to run. Instead, it should be filtered out, he said.

Der gleiche Design-Fehler, ungenügene Datenüberprüfung, ist Ursache für viele verschiedene Angriffsarten wie SQL Injection, Cross Site Scripting und einige der intelligenteren Phishing-Angriffe.

Bei den gefundenen Lücken in Feed-Readern sind natürlich insbesondere Browser-Plugins gefährdet, da hier über eingeschmuggeltes JavaScript auch der Browser angegriffen werden kann. Noch schlimmer: einige Reader nutzen die Funktionen des Internet Explorers, und umgehen dabei die Browser-internen Abschottungen:

Additionally, some reader software on Windows systems uses Internet Explorer to display feed content, but doesn't use basic security settings that isolate the content. Instead, the JavaScript is downloaded to the PC and has full access, which can fully expose a person's PC.

SPI Dynamics hat einige Möglichkeiten aufgeführt, wie Angreifer diese Lücken ausnutzen können:

Attackers could exploit the problem by setting up a malicious blog and enticing a user to subscribe to the RSS feed. More likely, however, they would add malicious JavaScript to the comments on a trusted blog, Auger said. "A lot of blogs will take user comments and stick them into their own RSS feeds," he said.

Also, attackers could send malicious code to mailing lists that offer RSS or Atom feeds and commandeer vulnerable systems that way, Auger said. Feeds are popular because they let people consolidate information streams from multiple sites, such as blogs, in one application, called a feed reader, removing the need to surf to multiple sites.

Ein weiteres Angriffsszenario kombiniert diese Lücken mit einem Problem, das gerade auf meinem Schreibtisch auf eine Lösung wartet: Injection-Lücken in den Server-Funktionen, die Feeds erzeugen. Wenn solche Feed-Provider-Funktionen XML-Injection-Lücken haben, können Angreifer diese Funktionen mit zusätzlichem XML aufrufen, dieses zusätzliche XML wird als Teil des Feeds wieder ausgegeben. So können selbst Feeds von vertrauenswürdigen Stellen plötzlich gefährliche Inhalte liefern.

Gerade Feed-Aggregatoren (so wie z.B. A9) können da als Angriffspunkt dienen: der Nutzer muss gar nicht mehr auf einen Link klicken, den er per Mail erhält. Er aggregiert (scheinbar) vertrauenswürdige Feeds, die sogar von der richtigen Stelle kommen. Das diese Feeds bei der Registrierung bei A9 eine gefährliche Payload erhalten haben, kann man nicht feststellen. Und wer kann den schon überprüfen, wer einen Feed bei einem solchen Aggregator anmeldet ?

heise.de: Online-Zeitungen bremsen den Zeitungsleserschwund

heise.de verweist auf eine interessante Studie des "Pew Research Center For The People And The Press", die den Informations-Konsum von Amerikanern über verschiedene Kanäle untersucht hat

Vor zehn Jahren haben etwa 2 Prozent der erwachsenen US-Amerikaner mit "gewisser Regelmäßigkeit" Nachrichten im Internet nachgelesen. Heute, zehn Jahre später, ist der Anteil ... auf 31 Prozent angewachsen.

Soweit keine Überraschung, vor 10 Jahren ist das Internet schließlich noch deutlich weg gewesen von dem, was heute machbar ist. Zum einen ist natürlich die Durchdringung des Internets in den letzten zehn Jahren deutlich gestiegen, von etwas außerhalb des Techie-Kreises kaum Bekanntem zu einem Massen-Phänomen.

Hinzu kommt die deutlich höhere Nutzbarkeit des Internets. Personalisierte Nachrichten bei Google, News-Feeds, WikiNews, Aggregatoren, letzlich auch Blogging, all das ist erst in den letzen Jahren gekommen und hat das Konsumieren von Nachrichten über das Medium 'Internet' deutlich einfacher und komfortabler gemacht.

Der Aufstieg des Internets hat ... aber nicht dazu geführt, dass die Nachrichtenrezeption der US-Bürger seit den 90er-Jahren insgesamt zugenommen hat – im Gegenteil: Im Mai 2006 haben 81 Prozent der 3024 Befragten gesagt, dass sie sich am Vortag mit Nachrichten aus dem Radio, Fernsehen, der Zeitung oder dem Internet versorgt haben, im Januar 1994 waren es noch 90 Prozent.

Auch das ist wenig überraschend. Das Nachrichten-Bedürfnis konnte bereits 1994 ausreichend gedeckt werden, Fernsehen, Zeitungen, Radio haben für die meisten Menschen ausreichende Möglichkeiten gegeben. Mit dem Hinzukommen des Internets haben die Menschen kein höheres Informations-Bedürfnis, sie versorgen es nur anderns: in einem 'gesättigten' Markt werden zusätzliche Kanäle immer die bereits bestehenden Kanäle 'kannibalisieren'.

Die wirkliche Überraschung ergibt sich gerade dort, wo man es eigentlich nicht erwarten würde

Online-Zeitungen helfen dabei, den Leserschwund aufzuhalten, ergab die Auswertung weiter, und zwar ausgerechnet in der Altersgruppe, die von jeher nicht für eine übermäßige Zeitungslektüre bekannt war. In der Gruppe der 18- bis 29-Jährigen ist der Anteil der Zeitungsleser mit 29 Prozent gegenüber 1996 stabil geblieben, während er in allen anderen drei Altersklassen um jeweils mindestens 9 Prozentpunkte zurückging. Zwar haben von den jüngsten nur 20 Prozent angegeben, eine Print-Zeitung gelesen zu haben, aber 7 Prozent haben eine Online-Ausgabe gelesen und 2 Prozent in beiden Versionen. Das hat zu dem Ergebnis geführt, dass heute mehr US-Amerikaner im Alter von 18 bis 24 Jahren Zeitung lesen als vor zehn Jahren.

Das gerade die junge Handy-Generation auf den klassischen Journalismus setzt, hat mich dann doch schon etwas überrascht. Die Empfehlung für jede Zeitung kann aber nur sein: kümmert euch um euer Online-Angebot...