Interessante Zeiten ...

Security-Awareness a la Google Mail

2011-12-01T23:16:00.000+01:00

... ganz netter Ansatz von Google Mail, um Nutzer darauf hinzuweisen, dass es vielleicht KEINE gute Idee ist, überall dasselbe Passwort zu nutzen ...

Google Doodle für Stanislaw Lem

2011-11-23T18:58:00.005+01:00

Das Google Doodle des Tages ehrt Stanislaw Lem zum 60. Jubiläum seines ersten erschienenen Buches mit einem animierten und interaktiven Film mit Szenen aus der Kyberiade.

Besonders nett: die Schluß-Animation mit dem Roboter, der alles auf 'N' erschaffen kann und beim Erschaffen von 'Nichts' den ganzen Bilschirm leert, inklusive der Google-Steuerelemente, Eingabefelder und Links.http://www.blogger.com/img/blank.gif

Sprechende Fehlermeldung? Wohl kaum ...

2011-11-18T18:59:00.003+01:00

Was will mir diese Fehlermeldung bei der Installation wohl sagen???

GoogleMaps: auf der Suche nach ungewöhnlichen Orten

2011-11-18T18:10:00.007+01:00

Bei der GoogleMaps-Suche kommen ganz interessante Ergebnisse heraus, wenn man bei seiner Suche nach eher ...beschreibenden Orts-Bezeichnungen sucht. So liefert eine Routenplanung von Essen zu Ziel "Ar*** der Welt" als Zielpunkt die Südtribüne im Dortmunder Stadion.

Das Ergebnis hängt übrigens vom Startort ab, von München aus ist der Ar*** der Welt das Oktoberfest, in Hamburg ist es das Millerntor-Stadion. Das Ziel liegt so oft beim nächstgelegenen Stadion, dass man wohl eher von Absicht ausgehen muss.

Auch andere Ziele liefern interessante Ergebnisse, von Bremen aus ist "wo sich Fuchs und Hase Gute Nacht sagen" bei Walsrode, während man von Köln aus nach Attendorn geleitet wird, wenn man sucht "wo der Hund begraben ist"

iPod-Player für's Bad

2011-11-18T18:07:00.004+01:00

Einige Apple-User nehmen ihren iPod ja überall mit hin, um auch wirklich an jedem Ort Musik hören zu können ... braucht man dazu DIESEN iPod-Player im Bad ???

WinAMP angreifbar über manipulierte Flash-Videos

2010-07-14T14:05:00.003+02:00

Über mehrere Lücken im WinAMP-Player können manipulierte Flash-Videos einen Integer oder Buffer Overflow im Player auslösen. Immer wieder interessant, wie Lücken in bestimmten Dateiformaten gerade immer dann auftauchen, wenn man's in einem Projekt am wenigstens gebrauchen kann...

30 Jahre Pacman

2010-05-21T21:30:00.005+02:00

Ist das wirklich schon dreissig Jahre her? Muss wohl, am 22. Mai 1980 wurde Pacman das erste mal veröffentlicht. Und pünktlich zum Geburtstags setzt Google ein eigenes Google-Doodle für Pacman, das sogar über die Cursortasten spielbar ist.

UPDATE: Anscheinend kollidiert das Google-Doodle mit dem CoolPreview-Plugin. Das lädt wohl im Hintergrund Google zusammen mit dem (sound-unterstützen) Pacman-Doodle. Hat zu einer entsprechenden Fehlermeldung "When I open firefox I get pacman sounds in the background" im Support-Forum mit in der Zwischenzeit sechs Seiten von Folge-Posts geführt (siehe hier).

Ausserdem hat sich der Support wohl genötigt gefühlt, direkt auf der Startseite eine entsprechenden Hinweis zu setzen:

Mein Vorname ist Bobby'); DROP TABLE Students; --

2010-04-09T16:52:00.002+02:00

Gefunden im Internet ...

... kein Kommentar

XSS-Angriffe über META-Felder

2010-04-08T14:07:00.003+02:00

Aus dem heise-Newsticker: nettes Beispiel für Cross-Site-Scripting-Angriffe über Datenfelder, von denen man das eigentlich nicht javascript:void(0)erwarten würde. Im konkreten Fall wurde von nCircle in den Meta-Daten von SSL-Zertifikaten und den WHOIS-Domian-Informationen JavaScript-Code eingetragen.
Konkrete Angriffsmöglichkeiten bei bestimmten Web-Applikationen hat's darüber auch schon gegeben.

nCircle hat diese "Meta Information Cross Site Scripting"-Schwachstelle (MIXSS) unter dieser Seite beschrieben.

Richtig neu ist das aber nicht. Der Grundsatz 'never trust external data' gilt natürlich auch für solche Informationen. Als weitere potenzielle Quellen werden z.B. die Banner von SMTP-Servern und die Header-Informationen von HTTP-Servern genannt.

PDF-Exploit on the way...

2010-03-31T16:12:00.003+02:00

Gelesen bei heise.de: es gibt in PDF-Dokumenten eine erhebliche konzeptionelle Sicherheitslücke, über die Angreifer mit entsprechend vorbereiteten PDF-Dokumenten potenziell jedes Programm starten können, und damit natürlich auf dem Rechner des ahnungslosen Nutzers beliebiges Unheil anrichten können.

Dabei werden keine fehlerhaften Implementierungen ausgenutzt, sondern die Option "Launch Actions/Launch File" genutzt, die Teil der PDF-Spezifikation ist. Betroffen sind daher (da eine Standard-PDF-Spezifikation) nicht nur die Original-Reader von Adobe, sondern auch andere Programme wie z.B. Foxit.

Besonderer persönlicher Nebeneffekt: mein aktuelles Projekt nutzt eine Funktionalität die auf PDF aufsetzt als Highlight und Kern-Feature des ganzen Projekts.

Fehlt da das Attachement?

2010-03-23T08:50:00.004+01:00

Gerade bei Googlemail gesehen:

Bei bestimmten Schlüsselwörtern geht GoogleMail wohl davon aus, dass man ein Attachement mitschicken wollte. Wenn das fehlt, kommt eine Warnmeldung.

Praktisch, bei Outlook passiert mir das immer wieder, dass ich eine Mail versende und den Anhang vergesse ... und nicht nur mir.

Wenn die Kollegen zuviel automatisieren ...

2010-03-22T17:16:00.003+01:00

Gerade hat Google mich dazu aufgefordert, zu beweisen dass ich ein Mensch bin...

... keine Ahnung, was die Kollegen in meinem Firmennetz da grade betreiben.

Handy-Botnetz? (Noch) nur im Labor ...

2010-03-15T17:22:00.003+01:00

Netter Artikel bei der Computerwoche: Amerikanische Forscher haben ein experimentelles Botnetz für Smartphones entwickelt. Eine von Ihnen Wetter-App für Android-Smartphones hat sich in einer Woche auf fast 10.000 Smartphones verbreitet.

Die Applikation war zwar harmlos, die Forscher haben aber auch eine nicht so harmlose Variante erstellt.
Sie erlaubt Remote-Kontrolle des Smartphones, kann private Daten aus dem Telefon ausspionieren und Spam-Mails weiterleiten.

Im Hinblick auf die technische Leistungsfähigkeit moderner Handys und bei der beobachteten Verbreitung in nur einer Woche kommt da ein Ganz nettes Botnetz zusammen. Und Handys sind normalerweise deutlich länger aktiviert und damit kontrolierbar als Computer.

Info's zum Mariposa-Botnetz

2010-03-12T13:28:00.004+01:00

Ganz interessant mal Zahlen zu der aktuellen Größen von Botnetzen zu kriegen: das in Spanien ausgehobene Mariposa-Netz hatte laut Security-Fokus bis zu 12.7 Millionen Rechner unter Kontrolle. Ausserdem sind persönliche Daten von 800.000 Personen von den Betreibern zusammengestellt worden, darunter Login-Daten für Banken und Email-Passwörter

Zero-Day-Exploits: MS ganz vorne

2009-03-20T10:49:00.003+01:00

Der Sicherheits-Dienstleister Secunia hat in seinem Sicherheitsbericht für das vergangene Jahr 2008 auch eine Übersicht über die Zero-Day-Exploits veröffentlicht. Wie auch schon in den Vorjahren bleiben Microsoft-Produkte ganz weit vorne: von den insgeamt zwölf gemeldeten Expoits betrafen neun direkt Microsoft-Software. Die restlichen drei betrafen 3rd-Party-ActiveX-Controls ... und damit indirekt eigentlich auch wieder Microsoft.

Google Earth als Ermittlungs-Instrument der Schweizer Polizei

2009-02-11T14:12:00.002+01:00

Beim Rechercieren für den vorigen Artikel (googeln nah "Google" und "HASH") bin ich über diesen Blog-Post gestolpert: die Schweizer Polizei hat eine größere Hash-Plantage ausgenommen, gefunden haben sie die per Google Earth.

Website von Wolfgang Schäuble gehackt

2009-02-11T13:38:00.002+01:00

Bei heise.de gelesen: die offizielle Website von Wolfgang Schäuble wurde Opfer eines Defacement-Angriffs, und mit einem Link auf Informationen zur Vorratsdatenspeicherung versehen.

Angriffspunkt war offenbar eine Lücke im eingesetzten OpenSource-CMS TYPO3.

Über eine ungeschützte URL kann eine Konfigurationsdatei mit einem Passwort-Hash abgerufen werden, dieser Hash-Wert kann über eine Google-Suche reverse-engineered werden.

Die Lücke war am Vortag zusammen mit einem einzuspielenden Patch offiziell bekanntgegeben worden ... allerdings waren die Angreifer schon innerhalb weniger Stunden aktiv, während die Administratoren wohl länger gebraucht haben, das übliche Problem der Zero-Day-Attacks.

Übrigens kann man über Google auch relativ einfach (Stichwort Google-Hacking) Typo3-Installationen finden, die mit betroffenen Versionen laufen.

Browser-Unterstützung bei MSN

2009-01-08T13:22:00.004+01:00

Nicht mehr so ganz up-to-date, was bei MSN an offizieller Browser-Unterstützung angeboten wird:

Der Firefox 2.x wird nicht mehr aktiv weiterentwickelt. Firefox 3 ist seit über einem halben Jahr verfügbar, und hat in den Browser-Statistiken den Firefox 2 längt überholt. Das scheint bei Microsoft aber noch keiner gemerkt zu haben.

In meinem aktuellen Projekt diskutieren wir übrigens gerade darüber, die offizielle Unterstützung für Firefox 2 fallen zu lassen.

2008-12-30T19:11:00.003+01:00

Bei heise.de wird beschrieben, wie Hacker die Wii von Nintendo soweit geknackt haben, das sie Linux nativ zum Laufen bekommen. War gar nicht so einfach, einige genutzte Schwachstellen waren:

der Arbeitsspeicher der WII wird bei einem Neustart nicht neu initialisiert
eigene Verifikations-Prozesse für Verschlüsselungs-Keys
einmal verifizierte Signaturen werden automatisch als gültig angenommen und nicht erneut überprüft.
ein Speicherüberlauf in einem der Wii-Spiele
die Firmware des eingebauten DBD-Laufwerks

Den Artikel sollte man sich mal etwas genauer durchsehen, daraus kann man auch etwas erkennen, wie Hacker sich von Lücke zu Lücke vortasten.

Auch ganz netter Kommentar zum Schluss:

Für Michael Steil, einem der führenden Xbox-Hacker, sind somit alle wichtigen Spielekonsolen mit Ausnahme der Playstation 3 gebrochen. Dies liegt seiner Meinung nach daran, dass Sony das Gerät von vornherein für Linux geöffnet hat und es damit für viele Hacker "uninteressant" geworden sei. Cracker und Softwarepiraten, für die ein Knacken der Playstation noch weit oben auf der Wunschliste stehe, hätten allein keine guten Karten.

Tja, darüber sollte vielleicht der ein oder andere Hardware-Hersteller mal nachdenken...

Defective by Design: Apple gerät (wieder) ins Visier der Anti-DRM-Kampagne

2008-11-27T18:46:00.002+01:00

bei heise.de gelesen: die Free Software Foundation versucht dem ausufernden Digital Rights Management DRM mit der Kampagne Defective by Design entgegenzuwirken.

Bis zum Jahresende soll jeden Tag ein besonders abstruses Beispiel vorgestellt werden. Erster Kandidat ist Apple mit fast der gesamten Produktpalette. Bei iPhone und iPod mit den DRM-geschützten Musikstücken aus dem iTunes geht das ja noch so einigermassen.

Den Vogel schiessen aber die neuen MacBooks ab. Sie sind (dank DRM-geschützter HDCP-Verschlüsselung) nicht mehr in der Lage, High-Definition-Filme auf einem externen Bildschirm auszugeben, der diese Verschlüsselung nicht unterstützt. Da geht dann der Kauf eines MacBooks gleich mit der Anschaffung eines neuen Monitors einher.

Ich find's irgendwie lustig, das die doch so auf innovatives Design versessene Apple-Gemeinde sich jetzt mit dem Label "Defective by Design" auseinandersetzen muss.

PinguPanik bei Microsoft

2008-11-24T21:03:00.003+01:00

Microsoft versucht seinen MSN Messenger etwas zu pushen und bietet ein "Spiel des Monats", das man über den Messenger gegeneinander spielen kann. Für diesen Monat ist es (passend zum anstehenden Winter) eine virtuelle Schneeballschlacht. Ziel des Schneeballwerfens: Pinguine!

Ein Schelm, wer dabei an einen Seitenhieb gegen Linux denkt...

Google sucht nach der Grippewelle

2008-11-17T20:26:00.002+01:00

Google hat jetzt einige Auswertungen auf die in ihrer Suchmaschine eingegebenen Suchbegriffe online gestellt. Konkret geht's um Internet-Suchen zum Thema 'Grippe', Nutzer suchen eben vermehrt nach diesen Informationen, wenn die Grippe in der Nachbarschaft umgeht. Google korrelliert solche Suchanfragen mit den Geo-Koordinaten der suchenden Nutzer. So kann Google Auswertungen über die geographische Verteilung der Grippe in den USA treffen, die deutlich schneller sind als die entsprechenden Vorhersagen der amerikanischen Gesundheitsbehörde.

Google hat das exemplarisch zurück bis ins Jahr 2004 zusammengestellt, und kann eine beeindruckende Übereinstimmung mit den Daten des amerikanischen Centers for Disease Control and Prevention (CDC) erreichen.

Man muss nur mal weiterdenken, was man noch ableiten könnte: Wahlvorhersagen, Börsenkurse, Kaufverhalten von Neuwagen, oder die Gewinner beim Eurovision Song Contest.

Kleiner Update: auch userfriendly hat schon einen passenden Kommentar dazu .

Wie man im Web2.0 mit Fehler umgeht

2008-11-17T13:31:00.004+01:00

Der Spielehersteller EA Games hat in seinem Golfspiel "Tiger Woods PGA Tour 08" einen klitzekleinen Fehler drin: die Spielfigur von Tiger Woods kann über Wasser gehen und so auch noch verlorengeglaubte Bälle spielen.

Ein Nutzer hat den Bug gefunden und ein entsprechendes Video bei YouTube online gestellt. Und wie reagiert man auf so etwas RICHTIG in der Web2.0-Zeit? Nicht mit Verschleierungen, nicht mit Anwälten, sondern auf dieselbe Art: mit einem YouTube-Video. Verlinkt sind beide Videos bei www.website-boosting.de.

So kann EA Games einen (peinlichen) Programmierfehler noch positiv vermarkten: das zweite Video von EA Games wurde fünfmal so häufig aufgerufen.

Seitensprung in Second Life, Scheidung in First Life

2008-11-14T17:30:00.003+01:00

Aus einer dpa-Meldung: eine englische Ehefrau hat nach einem (virtuellen) Seitensprung ihres Mannes in Second Life eine (reale) Scheidung eingeleitet. Da wird die Schein-Welt von Second Life doch wieder etwas realer.

Microsoft liefert einen Patch nach sieben Jahren

2008-11-14T17:25:00.002+01:00

Microsoft hat nach sieben (!) Jahren einen Patch für eine Sicherheitslücke im SMB-Protokoll. Seit 2001 bastelte Microsoft an der Lösung, jetzt ist sie endlich da.

Sowas kann man sichwohl nur als Mega-Konzern leisten. Wenn ich daran denke, wie sich mein Kunde anstellt, wenn er mal einen Tag auf einen Patch warten muss...

IT und Humor...

2008-11-12T18:08:00.004+01:00

Neulich auf der Autobahn gesehen: ein Lieferwagen wirbt für die drei Kern-Dienste seiner Firma:
* Elektro
* Sitcom
* IT-Service

Nun bin ich ja der erste, der zugibt, das es in der IT manchmal auch sehr lustig zugehen kann ...

YouTube-Video für WII

2008-10-15T15:05:00.002+02:00

gefunden über meinen firmeninternen Blog: Nintendo hat für seine Wii-Console ein beeindruckendes Video bei YouTube eingestellt.

Google Chrome - eine Gefahr?

2008-09-22T14:00:00.003+02:00

Bei der Computerwoche läuft gerade eine Umfrage zu Google Chrome, mit interessanten Ergebnissen. Die anfängliche Euphorie über die Geschwindigkeit und Usability des Browsers hat sich durch die zwischenzeitlich bekannt gewordenen Sicherheitsprobleme und die unklare Weiternutzung der gesammelten Daten doch deutlich verschoben.

Bisheriger Zwischenstand:

Google Chrome wird aus meiner Sicht primär...
15 % ...der beste Browser von allen
19 % ...ein Internet-Betriebssystem
67 % ...eine Gefahr für private und Unternehmensdaten

Jar-Jar-Binks-Salat

2008-09-11T15:26:00.002+02:00

Kein Kommentar ...

Viren auf der ISS

2008-09-08T19:03:00.003+02:00

Die Computer an Bord der ISS (International Space Station) sind von einem Computer-Virus befallen worden. Der ist wohl eher harmlos, er sucht 'nur' nach Passwörtern für Online-Spiele, nichts was einen Absturz verursachen kann (im wahrsten Sinne des Wortes).

Auf den Rechner der ISS hat es aber (bisher) keinen Virenscanner gegeben. Die Rechner sind nicht mit dem Internet verbunden, alle Daten laufen (theorethisch) über einen zentralen Rechner, der den Datentransfer untersucht und filtert. Das hat wohl jemand für ausreichend sicher erachtet. Leider hilft das in der heutigen Zeit nicht weiter: die Vermutung ist, das der Virus über einen infizierten USB-Stick oder ein anderes externes Gerät auf die ISS gekommen ist. Auch schon vorher scheint das mit dem zentralen Filtern nicht so richtig gut geklappt zu haben, laut NASA ist das nicht der erste Virenbefall.

Hoffentlich lernen einige Sicherheits-Verantwortliche etwas daraus. Der Schutz von IT-Systemen ist immer nur so gut wie das schwächste Glied in der Kette. Und eine Sicherheits-Struktur in der Zeit der stark vernetzten Systeme und mobilen Endgeräte allein auf eine "perimeter defense" aufzubauen, ohne sich um die "endpoint security" zu kümmern, ist schon sträflich leichtsinnig.

Unsichere Kekse

2008-08-12T17:47:00.004+02:00

Auf der Sicherheitskonferenz Defcon hat Mike Perry demonstriert, wie man Cookies von verschlüsselten HTTPS-Verbindungen auslesen kann. Hintergrund: viele Server setzen das secure-Flag des Cookies nicht, der Browser übermittelt das Cookie dann auch die unverschlüsselten Verbindungen mit.

Das Auslesen der Cookies erfolgt durch 'Einbinden' von Grafiken in andere Websites, die unter Kontrolle des Angreifers stehen. Diese Grafiken werden per HTTP eingebunden, der Browser sendet das Cookie dann unverschlüsselt mit. Über z.B. WLANs mit Netzwerk-Sniffern, ARP-Spoofing oder gehackte Caches kann dieser ungeschützte Netzwerktraffic mitgelesen werden.

Auf der Seite der großen Anbieter sind davon u.a. GMail und Amazon betroffen, die ihre Cookies ohne secure-Flag senden.

Das iPhone im Mixer

2008-08-06T15:33:00.000+02:00

Danach kann man vermutlich nicht mehr telefonieren....

10 Wege, eine CD oder DVD zu zerstören

2008-08-04T18:21:00.002+02:00

Bei Tom's Hardware hat man eine sicher nicht ganz ernst gemeinte Testreihe durchgeführt, wie man CDs und DVDs am besten zerstören kann:

Kochendes Wasser: CD wird deformiert, aber nicht erkennbar zerstört
offenes Feuer: CD wird zerstört, stinkt aber stark
Einfrieren: ergebnislos
Ceran-Feld: schnelle zerstörung, aber aufwendige Reinigung
Killer-Magnete: völlig wirkungslos
Mikrowelle: sofortige Zerstörung

heise.de: Sicherheitsangriffe über Business Logic Flaws

2008-07-30T18:01:00.004+02:00

heise.de zitiert den Security-Spezialisten Jeremiah Grossman, der Business Logic Flaws in Web-Anwendungen als den Angriffspunkt der Zukunft sieht.

Diese Angriffe lehnen sich an die Technik des "Forceful Browsing" an, sind aber deutlich ausgefeilter. So können z.B. bei Kenntnis der entsprechenden Abläufe bestimmte Prozessschritte umgangen werden, oder unzureichende Absicherungen leicht ausgehebelt werden.

Angriffe dieser Art stellen eine ganz neue Herausforderung an die Entwicklung von Software. Die ursächlichen Fehler geschehen NICHT in der Entwicklung (wie bei Cross-Site-Scripting oder SQL-Injection), auch NICHT im Operating (wie bei offenen Ports und fehlenden Patches). Die Ursache liegt grösstenteils auf Seiten der beauftragenden Fachabteilungen, die ihre Anforderungen an umzusetzende Prozess-Abläufe auch unter dem Gesichtspunkt der Sicherheit betrachten muss.

Nett zu lesen ist auch das Dokument "Seven Business Logic Flaws That Put Your Website At Risk" von Jeremiah Grossman

Wie klingt ein Virus?

2008-07-22T13:46:00.003+02:00

Aus der Computerwoche ...

Der Wurm "Worm.Win32.GetCodec.a" verbreitet sich alleine über Audio-Files. Dazu werden die Audio-Files in WMA umgewandelt, und ein infizierter WMA-Tag eingefügt. Beim Öffnen von infizierten Dateien wird über diesen WMA-Tag ein Browser-Fenster geöffnet mit der Information, ein neuer Codec müsse geladen werden. Natürlich wird dann kein Codec geladen, sondern ein Trojaner, der den Rechner übernimmt.

Der Wurm setzt an einer durchaus erfolgreichen Stelle an: den eigenen Audio-Dateien werden die meisten Nutzer vertrauen, ohne misstrauisch zu werden.

Gen-Informationen in der Wikipedia

2008-07-08T14:42:00.002+02:00

... aus dem heise-Newsticker: Gen-Forscher nutzen die Wikipedia, um ihre Forschungsergebnisse direkt zu publizieren und auf einfache Weise einer breiten Öffentlichkeit zugänglich zu machen. Ein Wikipedia-Bot sammelt die Informationen aus den Gen-Datenbanken der Forscher und fügt sie in die Wikipedia ein. Die eingefügten Daten werden über spezielle Tags identifiziert, so dass die anderen Inhalte nicht zerstört werden.

heise.de: Hackerangriff auf Kaffeemaschine möglich

2008-06-18T19:57:00.003+02:00

Hacking von Kaffeemaschinen, no Comment. In meiner letzten Firma hatten wir auch eine Kaffeemaschine von Jura ... wenn DIE einer gehackt hätte und es keinen Kaffee mehr gegeben hätte ... undenkbar!

Firefox 3.0 kommt ... und Mozilla plant einen Weltrekord

2008-06-09T19:36:00.003+02:00

Die Version 3.0 des Firefox-Browser steht unmittelbar bevor. Und Mozilla plant einen Guiness Weltrekord aufzustellen, mit den meisten Downloads innerhalb von 24 Stunden. Unter www.spreadfirefox.com/de/worldrecord kann man ein Versprechen abgeben, den Browser herunterzuladen, aktuell sind schon knapp eine Million Menschen dabei

Neulich im Support ...

2007-12-17T09:23:00.000+01:00

"Ich hab da einen FATAL ERROR"
"Und wo sind die anderern dreiviertel ?"

Anti-Terror mit der Stasi

2007-11-15T09:13:00.000+01:00

Bei telepolis gefunden, anscheinend hat das BKA bei Ermittlungen systematisch und in größerem Umfang auf Daten der Stasi zurückgegriffen. Von beiden Seiten (BKA und Stasi-Unterlagen-Behörde) wurden diese Daten ohne Bedenken genutzt, das es sich hier um Daten handelt, die aus heutiger Sicht in einem Unrechtsstaat mit Unrechts-Mitteln erstellt wurden.

Mal ganz abgesehen davon, das man die Authentizität der Daten und die für einen Rechtsstaat "angemessene" Bewertung der aufgezeichneten Ereignisse gar nicht in Frage gestellt hat!

www.bahn.de, Bahn-Streik und DDoS

2007-11-14T16:33:00.001+01:00

... wollte grade was bei der Deutschen Bahn nachsehen, aber die Seite lädt und lädt und lädt ... kein Wunder, die erste Information heisst "Streikinformation". Der Bahnstreik scheint da zu einem ungeplanten DDoS-Angriff zu führen ...

"Jede Website wird ständig einer Sicherheitsprüfung unterzogen"

2007-07-27T13:56:00.000+02:00

... aus einem Interview mit Jeremiah Grossman, Gründer von WhiteHat Security ...

Everyone with a website gets a "vulnerability assessment", probably several per day. Whether you pay for the results or not is another matter.

heise.de: Wii-Spielekonsole sorgt für Quoteneinbrüche im japanischen Fernsehen

2007-07-19T12:29:00.000+02:00

Bei heise.de wurde über eine (zumindest für Fernsehsender) beunruhigende neue Konkurrenz berichtet: in Japan sind die Nutzer am frühen Abend wohl immer weniger vor dem Fernseher, sondern vor der Spiele-Konsole:

Die Sendeanstalten in Japan verzeichnen seit einiger Zeit sehr schwache Einschaltquoten zur Hauptsendezeit. Sie machen dafür Nintendos Wii-Konsole verantwortlich, die sich im Land der aufgehenden Sonne konstant hoher Verkaufszahlen erfreut. Die Sender vermuten, dass die Japaner in den frühen Abendstunden lieber mit der Wii spielen und das Fernsehprogramm ignorieren.

Seit der ersten Juliwoche konnte keine Sendung mehr als 9 Prozent Marktanteil verbuchen.

Für Fernsehsender eine bisher völlig ungewohnte Situation:

Ein Vorstandsvorsitzender des japanischen Senders TBS meinte, dass dies eine ganz neue Situation für die Sender sei. Sonst würden die Sendeanstalten immer nur untereinander konkurrieren, nun stehe ihnen mit der Wii ein völlig neuer Gegner beim Kampf um die Aufmerksamkeit der Zuschauer gegenüber.

Das deckt sich mit einigen anderen Auswertungen, wonach gerade jüngere Zuschauer immer weniger fernsehen und mehr im Internet surfen. Auch bei mir ist der Fernsehkonsum deutlich zurückgegangen, der Fernseher läuft oft auch nur im Hintergrund, während meine wesentliche Aufmerksamkeit dem Internet gilt.

Noch ist dies erst der Anfang, aber die Tendenz wird sich sicher fortsetzen. Die Fernsehsender sollten sich gut überlegen, wie sie mit dieser neu entstandenen Konkurrenz umgehen: einfach ignorieren kann es nicht sein, sonst werden wir in 10 oder 20 Jahren ein Fernsehsender-Sterben erleben, wie es ja auch schon ein Kinosterben gegeben hat.

Web 2.0 in zwei Sätzen erklärt

2007-07-02T16:08:00.000+02:00

Question: please describe web 2.0 to me in 2 sentences or less.
Answer: you make all the content. they keep all the revenue.

Was kostet Sicherheit ? Und was kostet keine Sicherheit ?

2007-06-27T14:47:00.000+02:00

Sicherheit ist teuer. Keine Sicherheit ist teurer!

Wer's nicht glaubt, in diesem Artikel werden die Kosten eines Sicherheits-Vorfalls beim amerikanischen Handelskonzern TJX genannt. Demnach sind im ersten Quartal dieses Jahres bereits 20 Millionen Dollar an Kosten entstanden, nur für die Untersuchung des Sicherheitsvorfalls, die Beseitigung der Sicherheitslücken und die Kommunikation an die Betroffenen. Hinzu kommen Schadensersatzforderungen und verlorenes Vertrauen.

In its quarterly filing with the Securities and Exchange Commission, TJX acknowledged that the computer intrusion still under investigation has cost it $20 million during the first quarter alone, and that costs were expected to continue to mount in future quarters.

TJX stated in the filing that the $20 million in costs tied to the data breach was spent on investigating the security lapse, strengthening computer security and communicating with customers about the compromise of sensitive financial data.

Erfolg ?

2007-06-27T14:36:00.000+02:00

In der CW gefunden, eigentlich über Outsourcing, passt aber auf vieles

Fast immer ist das erste Vorhaben von überwältigendem Erfolg gekrönt – vom Lernerfolg.

Versenden von News aus heise.de - Wo ist der Button ?

2007-05-30T11:23:00.000+02:00

Ab und zu versende ich interessante Artikel aus verschiedenen Newslettern, unter anderem auch aus heise.de. Seit meiner letzen Nutzung der Versandfunktion hat heise.de ein CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) eingebaut.

Leider ist es so ungünstig platziert, das ich fast eine Minute den "Absenden"-Button gesucht habe: versteckt zwischen mehreren Eingabefeldern und dominiert von der deutlich 'schwereren' CAPTCHA-Grafik ist der Button nur noch schwer zu erkennen.

Google mit Tastatur-Bedienung

2007-05-23T12:28:00.000+02:00

Gerade im Firmen-Blog gefunden: ein experimentelles Feature von Google Labs bietet die Tastaturbedienung für die Google Suche. Man kann das Feature aktivieren, indem man den Parameter esrch=BetaShortcuts in die Suchanfrage einbindet.

Wer die Google Suche in Firefox nutzt, kann auch das Such-Plugin entsprechend erweitern. Dazu bearbeite man die Datei

C:\Programme\Mozilla Firefox\searchplugins\google.xml

und fügt an geeigneter Stelle die folgende Zeile ein

<Param name="esrch" value="BetaShortcuts"/>

OpenProxies, Content Spammer und Blacklists

2007-05-22T08:05:00.000+02:00

Aus gegebenem Anlass anbei ein paar nützliche Links, um IP-Adressen auf 'böses' Verhalten zu untersuchen. Gerade für WebMaster und Betriebsmanager manchmal ganz nützlich, um 'ihre' IP's auf ein eventuelles Hacking zu untersuchen.

Für die Überprüfung, ob eine IP als OpenProxy konfiguriert ist, habe ich bisher noch nichts gefunden. Um zu prüfen, eine bestimmte IP-Adresse auf OpenProxy-Listen auftaucht, ist Google aber eine gute Möglichkeit: einfach die IP-Adresse angeben (in Anführungszeichen), die Trefferliste kann man schnell 'durchscannen'. IP-Adressen tauchen normalerweise sehr selten als Text im WWW auf ... ausser eben auf diesen Listen.

ProjectHoneypot.org sammelt Informationen über Server, die als Harvester, Spam-Server, Content Spammer oder Dictionary Attackers agieren.

Bei www.dnsstuff.com können über "Spam Database Lookup" IP-Adressen gegen 277 Blacklists gecheckt werden.

Google Analytics mit neuer Oberfläche

2007-05-21T08:03:00.000+02:00

Google Analytics hat seine Berichts-Oberfläche komplett neu gestaltet.

Im Announcement von Google sind viele tolle Neuerungen aufgeführt. Berichte können per eMail versendet oder als PDF exportiert werden, benutzerdefinierte Dashboard sollen das Wiederauffinden von angepassten Berichten vereinfachen, eine kontextbezogene Hilfe steht zur Verfügung, usw.

Warum man dafür die Oberfläche komplett umbauen musste, die Informationsarchitektur geändert hat und das Look-and-Feel geändert wurde, kann ich daraus aber noch nicht ableiten.

Was mich zumindest etwas versöhnt, ist die Darstellung in der Landkarten-Sicht, bisher war nur eine "Ganze Welt"-Sicht möglich, jetzt kann man in einzelne Kontinente und bis auf Länder-Ebene "hineinzoomen".

Ich warte ja noch darauf, das Google diese Sicht mit den Landkarten aus Google Maps kombiniert.

CW: 8 von 10 grossen Website sind angreifbar

2007-05-10T10:17:00.000+02:00

aus einer Meldung der Computerwoche:

IT-Security - Die meisten großen Internet-Seiten haben Schwachstellen

Bekannte und oft besuchte Websites sind besonders anfällig für Attacken - in der Regel betrifft es acht von zehn Angeboten. Zu diesem Ergebnis kommt eine gestern vorgelegte Untersuchung des Sicherheitsdienstleiters WhiteHat Security. Das Unternehmen prüft regelmäßig Hunderte von beliebten und stark besuchten Websites.

Die gefundenen Angriffsmöglichkeiten sind die üblichen Verdächtigen:
Cross-Site-Scripting: zwei Drittel aller Sites
Abruf von Programmcode: ein Drittel aller Sites
Content-Spoofing: ein Viertel aller Sites

Aus meiner Erfahrung heraus weiss ich wie aufwendig es sein kann, Lücken in der Software nachträglich zu finden und zu beseitigen. Die Ursachen liegen tief bei Entwicklung von Web-Anwendungen verborgen, viele Entwickler kennen sich mit dem Thema "Web Application Security" kaum aus, und kennen die Angriffsmethoden nicht. Die Implementierung einer sicheren Web-Anwendung muss ganz früh in der Konzeptionsphase der Software beginnen. Der Lösungs-Ansatz zur Vermeidung vieler dieser Lücken nutzt normalerweise zentrale Klassen, z.B. Filterklassen, die alle Ein- und Ausgaben prüfen.

Die Berücksichtigung in der SW-Entwicklung ist einfach ... wenn man es von Anfang an richtig macht. Falls so etwas nicht direkt von Anfang an vorgesehen ist, kann man z.B. eine Umstellung der Parameter-bearbeitung auf einen zentralen Filter nur mit sehr viel Aufwand nachziehen. Das nachträgliche "Hineinprüfen" von Security kann nicht funktionieren, und findet immer nur die nächstbeste Schwachstelle.

"Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt"

2007-05-08T10:11:00.000+02:00

seit einiger Tagen ist die neueste Trojaner-Mail unterwegs, gestern ist sie auch bei einem Kollegen aufgeschlagen:

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: 127.0.0.1

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 - 970738
Fax: 06131 - 970731
Mobil: 0171 - 7504699
Mail: Hcklein51 [at] aol.com

Wenn der geschockte Empfänger den Anhang öffnet, angeblich ja das Protokoll der Online-Durchsuchung, handelt er sich einen Trojaner ein.

Mal abgesehen von den ganzen Unstimmigkeiten, das LKA würde wohl kaum eine heimliche Durchsuchung zugeben, die aktuell sogar noch illegal ist, ich halte es für unwahrscheinlich, das das LKA Rheinland-Pfalz eMail-Adressen bei AOL hat, und die Polizei wird den Bundestrojaner wohl kaum Bundestrojaner nennen (ich frage mich immer, wie lange die Verfasser über solche Mails nachdenken, wenigstens sind diesmal keine haarsträubenden Rechtschreibfehler dabei) ... es dürfte doch noch genug Leute geben, denen diese Details nicht auffallen und die eher in Panik den Anhang aufmachen.

Ich vermute mal, bei den Bundestrojaner-Verantwortlichen in Berlin hat sich KEINER darüber Gedanken gemacht, das genau solche Mails in Umlauf kommen und den Botnetzen zusätzliche Ressourcen liefern ... und damit indirekt auch dem Terrorismus Vorschub leisten: die meisten Experten sind sich einig, das die Terror-Anschläge des 21. Jahrhunderts nicht mit Briefbomben sondern mit IP-Paketen erfolgen. Jede Terrorismus-Gruppe kann für wenig Geld ein grosses Botnetz mit einigen zehntausend Rechnern anmieten, die "moralische Barriere" der Botnetz-Betreiber ist bekanntlich niedrig.
Erfolgreiche Angriffe von Hackern haben schon mehrfach schwere Störungen ausgelöst. Und ein gezielter Angriff gegen wichtige zentrale Knoten oder die Internet-Infrastruktur könnten das Internet tagelang zusammenbrechen lassen ... die Kosten für die Weltwirtschaft wären enorm.

Stasi 2.0

2007-05-05T13:41:00.000+02:00

... kein Kommentar

ecin: "Virtuelle Plätzchen liegen schwer im Magen" ... wohl nicht schwer genug

2007-05-03T19:13:00.000+02:00

Bei Auswertungen des Besucher-Verhaltens werden oft langlebige Cookies genutzt, die Nutzer über verschiedene Visits hinweg identifizieren sollen.

Ein Artikel bei ecin listet die Probleme auf, die sich dabei ergeben, wenn Nutzer ihre Cookies löschen. Demnach löschen 30% der Internet-Nutzer ihre Cookies Internet-Nutzer. Wie stark die Auswirkung dieser 30% sind, wurde in einer Studie von comScore untersucht.

Das häufige Zurücksetzen der Cookies kann dazu führen, dass Publikumsgrößen um einen Faktor von bis zu 2,5 zu groß angegeben werden. Werbung von Drittanbietern würde falsch bemessen und zu teuer verkauft, Nutzungsdaten lieferten überhöhte Ergebnisse.

Die Studie lässt das aber so klingen, als wäre das die Schuld der Nutzer, die als „Serienzurücksetzer“ diffamiert werden.

Ich bin da ein wenig paranoid, weil ich durchaus weiss, WAS man mit solchen Cookies alles auswerten kann. Viele Sites (amazon ist da ein bekanntes Beispiel) nutzen das User-Verhalten zur Bestimmung von kontext-sensitiver Werbung, abhängig von meinem Surf-Verhalten. Dahinter steckt natürlich ein solches langlebiges Cookie, das über viele Besuche hinweg hilft, ein Profil aufzubauen, auch wenn ich mich gar nicht anmelde.

Noch "schlimmer" wird das, wenn die Werbung gar nicht direkt vom der Site kommt, sondern über den grossen Werbe-Anbieter angezeigt wird (nachdem Google DoubleClick übernommen hat, gibt es ja nur noch einen). Denn dann kann dasselbe Cookie für alle Auftritte genutzt werden, die diesen Werbe-Anbieter nutzen. Dieser kann so sehr genau verfolgen, auf welchem Auftritt ich mir was angesehen habe, und Site-übergreifende Profile erstellen, die meine Buch-Interessen mit meinen Google-Suchen, gelesenenen Zeitungs-Artikeln, eingekauften Nahrungsmitteln und vielen weiteren Informationen korrelliert.

Und wie es um das Datenschutz-Selbstverständnis großer amerikanischer Firmen bestellt ist, haben wir ja schon an einigen Beispielen erfahren.

30% der Nutzer löschen ihre Cookies regelmässig ... heisst aber auch, 70% machen das nicht! Ich kann jedem nur raten, das zu tun. Um die bewusste oder unbewusste "Sammelwut" etwas einzuschränken, hilft mir der Firefox sehr: mein Browser ist so eingestellt, das er Cookies mit Schliessen des Browsers löscht. Einstellbar unter Tools --> Options --> Privacy --> Cookies: Keep until --> "I close Firefox"

SecondLife und FirstLife

2007-05-03T14:16:00.000+02:00

Bei dem ganzen Hype um SecondLife muss man sich nicht wundern, das auch die ein oder andere satirische Site sich des Thema's annimmt. Bei www.getafirstlife.com werden die Vorzüge des "First Life" gepriesen ... direkt angelehnt an die Startseite von SecondLife.

ecin: aktive Beteiligung an Web2.0 ist selten

2007-05-02T16:11:00.000+02:00

ecin hat eine Studie von Hitwise zusammengefasst, in der die Beteiligung von Nutzern an Web2.0-Sites ausgewertet wurde. Demnach stellen lediglich ein Bruchteil der Nutzer einer typischen Web2.0-Site "user generated Content" zur Verfügung.

Bei YouTube etwa erfolgen nur 0,16 Prozent der Zugriffe durch Personen, die selbst Filme hochladen. Ganz ähnlich bei der Foto-Community Flickr, wo ebenfalls nur zwei Promille der Besucher selbst Bilder einstellen.

Das es auch anders geht, zeigt Wikipedia. Dort werden bei 4,6 Prozent aller Visits Artikel bearbeitet.

Bei mir selber kann ich da ein ähnliches Verhalten feststellen, auf Wikipedia ändere ich eigentlich recht viel ... und wenn es nur Schreibfehler sind. Andere Web2.0-Sites sind dagegen weniger im meinem Änderungs-Fokus. Das liegt auch daran, wie einfach Änderungen an der Wikipedia sind. Insbesondere das eine Anmeldung zur Änderung nicht notwendig ist. Wenn ich mich bei jedem kleinen Schreibfehler anmelden müsste, würde ich mir das wohl auch schenken.

Selbsterklärende Funktionsnamen in Excel ?

2007-04-26T13:48:00.000+02:00

Ich bin gestern über die Excel-Funktionen SUCHEN und FINDEN gestolpert. Beide dienen dazu, eine Zeichenfolge in einem Text zu bestimmen ... aber was könnte nur der Unterschied zwischen SUCHEN und FINDEN sein ?

Die Excel-Hilfe schafft Klarheit:

SUCHEN unterscheidet bei der Suche nach einer Zeichenfolge nicht zwischen Groß- und Kleinbuchstaben.
SUCHEN ähnelt FINDEN , nur dass FINDEN die Schreibweise berücksichtigt, also zwischen Groß- und Kleinbuchstaben unterscheidet.

Ein perfektes Beispiel für "How to write unmaintainable Code"

User-Feedback und Web2.0

2007-04-15T11:40:00.000+02:00

Das ärgert mich immer wieder: einige Web2.0-Anwendungen liefern kein passendes Feedback darüber, ob ich nun eine Aktion ausgelöst habe oder nicht.
Bei Web 1.0 war das noch deutlich einfacher: wenn man geklickt hatte, wurde der Bildschirm weiss. Wenn man nicht geklickt hatte, blieb der Inhalt stehen. Dieses Feedback war einfach und deutlich.
Bei einigen Web2.0-Anwendungen gibt es aber kein visuelles Feedback, ob nun eine Aktion ausgelöst wurde oder nicht. Meist trifft das mit weiteren schlechten Usability-Eigenschaften zusammen:

extrem kleine Steuerelemente, die schwierig mit der Maus zu treffen sind
Objekte, die wie Steuerelemente aussehen, aber keine sind
langsame Reaktion auf User-Input

Zusammen führt das dazu, das man mehrere Sekunden warten muss, um dann festzustellen, ob eine Aktion eigentlich ausgelöst wurde oder nicht. Einfach nur ärgerlich!

Google übernimmt DoubleClick

2007-04-14T01:24:00.000+02:00

Das Google DoubleClick übernimmt, das google dafür über 3 Millarden Dollar zahlt, das die anderen beiden Microsoft und Yahoo alarmiert sind ... das alles kann man in den aktuellen Berichten lesen.

Aber irgendwas hat mich daran gestört, irgend ein mentales Jucken. Also habe ich mir die Definiton von Web 2.0 bei O'Reilly angesehen:

Web 1.0: DoubleClick
Web 2.0: Google AdSense

... diese Übernahme ist also ziemlich Web1.0 von Google ...

Phishing, XSS und Banken

2007-04-02T18:40:00.000+02:00

So ganz langsam scheinen einige Banken dem Thema "Phishing über Cross-Site-Scripting (XSS)" doch mehr Aufmerksamkeit zu schenken. Beim Einloggen in's Online-Banking meiner Bank erhalte ich seit neuestem die folgende Meldung

Bitte beachten Sie: AAAA-Bank erfragt bzw. überprüft Ihre TAN niemals in einem separaten, zweiten Fenster. Ihre TAN wird ausschließlich innerhalb der AAAA-Bank Online Seiten erfragt.

Zumindest ein erster kleiner Schritt in Richtung "Nutzer-Awareness". Wenn da plötzlich ein weiteres Fenster aufgeht, sollten Nutzer vorsichtig sein. jetzt muss die Bank nur noch das Popup-Fenster in den Griff bekommen, in dem die Meldung erscheint.

Übrigens: bei vorhandenen XSS-Lücken kann meistens auch ein iFrame eingebunden werden, da hilft der Warnhinweis mit dem eigenen Fenster auch nicht mehr viel (siehe auch "Phishmarkt" oder "Die Rückkehr des Prangers"). Ein iFrame ist aber selbst für Experten oft nur schwer zu erkennen.

Stadt Zürich veröffentlicht Baustellen auf Google Earth

2007-03-19T21:50:00.000+01:00

Die Stadt Zürich nutzt Google Earth, um die Bewohner von Zürich über geplante Baustellen im Stadgebiet zu informieren. Monatlich aktualisiert, werden für die großen Baustellen die betroffenen Straßen farblich hervorgehoben, die voraussichtlichen Zeiten und teilweise Informationen über die geplanten Arbeiten angezeigt.

Neulich im Usability-Test

2007-02-21T19:47:00.000+01:00

Just a quote.

Post-Test-Befragung: »Und haben Sie elementare Dinge, Funktionen oder anderes vermisst, das Sie von anderen Websites kennen oder schätzen?«

»Ja! Nackte Frauen!«

Web-Analytics für alle

2007-02-18T15:44:00.000+01:00

gefunden über ECIN: bei IdealObserver gibt's ein Überblick über Web-Analytics-Software.

Die Lösungen können anhand mehrerer Kriterien eingeschränkt werden. Neben technischen Parametern der Umsetzung (z.B. LOG-File-basiert versus Pagedot-basiert) sind auch funktionale Auswahlen möglich (z.B. Unterstützung von Kampagnen, Clickstream-Analysen). Zu den einzelnen Produkten gibt es teilweise ausführliche Detail-Informationen

IdealObserver bietet zwei kostenpflichtige Varianten mit 73 bzw. 51 Lösungen an. Es gibt auch eine kostenfreie Übersicht mit 15 Lösungen, die wird dann aber schon etwas dünn, wenn man auf bestimmte Varianten einschränkt.

Microsoft, Google und Yahoo sind die besucherstärksten Sites im Dezember

2007-02-15T22:01:00.000+01:00

Bei ecin gefunden: die Analysten von comScore haben die besucherstärksten Sites im Dezember 2006 (Unique-Visitors) untersucht. Die 'grossen Drei' sind auch hier ganz vorne, und erstaunlich nah beieinander:

Auf Platz eins liegen die Sites von Microsoft mir 508 Millionen .
Google ist mit halben Milliarde auf Platz 2 nur knapp dahinter.
Dritter ist Yahoo mit 476 Millionen Besuchern.

Platz vier geht an Time-Warner, auf Platz fünf landet eBay. Wikipedia mit allen Länderauftritten schafft es auf Platz 6 noch vor Amazon auf dem siebten Platz.

silicon.de: Rumänischer Präsident bedankt sich bei Gates für Windows-Raubkopien

2007-02-11T14:58:00.000+01:00

Gefunden bei silicon.de: der rumänischer Präsident Trajan Basescu bedankt sich bei Bill Gates für Raubkopien von Microsoft Windows.

Im Rahmen der Einweihung des neues Microsoft-Technikzentrums in Bukarest fand Basescu folgende Erklärung:

Illegale Kopien von Microsoft seien es gewesen, die das Wachstum der IT-Industrie in Rumänien ermöglicht hätten. "Piraterie hat der jungen Generation dabei geholfen, Computer zu entdecken. Das hat die Entwicklung der IT-Industrie in Rumänien gefördert." Die Rumänen hätten dadurch ihre Kreativität erst richtig entfalten können. Microsoft habe sozusagen so in Rumänien investiert.

Kommentare von Bill Gates gab es nicht dazu.

Rumänien zählt zu den aufsteigenden IT-Ländern, wegen der guter Ausbildung und auch wegen den niedrigen Löhnen. Sicherlich auch ein Grund, warum das Microsoft-Technikzentrum dort gegründet wurde. Ob das Land OHNE die Windows-Raubkopien als Investitions-Standort für Microsoft so interessant wäre, wage ich zu bezweifeln ... vielleicht bringt das Bill Gates doch mal zum Nachdenken.

Auch eine Lösung....

2007-02-02T14:06:00.000+01:00

Beruflich schlage ich mich grade mit einer zugekauften Software rum, die unter (geringer) Last einfach nur noch LANGSAM ist. Der Hersteller ist am Problem dran, seine heutige Rückmeldung war:

Wir arbeiten an Alternativen, die das (Last-) Verhalten verbessern sollen. Eine davon ist das Drosseln der Anfragen auf ein Maß, in dem (unsere Software) nicht in den Überlastungsbereich geht.

Ich muss da immer an diesen schlechten Arzt-Witz denken:

Patient: "Herr Doktor, wenn ich SO mache, tut es immer weh"
Arzt: "Dann machen Sie doch nicht mehr SO"

heise.de: Sprechende Sicherheitslücke in Vista

2007-02-01T17:45:00.000+01:00

Kaum ist Windows Vista verfügbar, schon taucht die erste richtig lustige Sicherheits-Lücke auf.

Das Spracherkennungssystem von Windows Vista lässt sich missbrauchen, um einem Rechner unauthorisierte Befehle übers Netz zu schicken. Wie Microsoft inzwischen bestätigte, könnte beispielsweise eine Webseite eine Audiodatei über die Systemlautsprecher abspielen, die eine aktivierte Spracherkennung als Befehl des Anwenders interpretiert.

Demo-Exploits gibt es schon, die offenbar problemlos die Steuerung eines Windows-Vista-Systems ermöglichen. Und einen Lösungsvorschlag von Microsoft ebenfalls:

Microsoft empfiehlt Nutzern der Sprachsteuerung, die Lautsprecher oder das Mikrofon auszustellen, wenn sie den Rechner unbeaufsichtigt lassen.

Da kann man eigentlich nur hoffen, das die Spracherkennung von Vista auf dem Niveau "Dear aunt, let's set so double the killer delete select all" bleibt (siehe z.B. http://video.google.com/videoplay?docid=-1123221217782777472)

... ich kann mir auch nicht helfen, ich muss immer an diesen Comic bei UserFriendly denken ...

Windows Vista ist da ... auch auf der Strasse

2007-01-31T21:30:00.000+01:00

Kaum ist Windows Vista offiziell auch für Privat-Kunden zu erhalten, schon ist die Werbung draussen. Heute morgen auf dem Weg zur Arbeit kam ich an der folgenden Werbetafel vorbei ....

Hasta La Vista, Baby, ....

heise.de: Haftstrafen für holländische Bot-Netz-Betreiber

2007-01-31T19:37:00.000+01:00

heise.de berichtet über die Verurteilung von zwei holländischen Bot-Netz-Betreibern. Im Artikel wird auch beschrieben, das diesen beiden schon einiges an Rechen-Power zur Verfügung stand:

Laut Strafurteil seien etwa 50.000 Infektionen nachgewiesen. Die Staatsanwaltschaft geht allerdings davon aus, Ende 2005 mehrere Millionen PCs von den Bot-Netz-Betreibern hätten gesteuert werden können.

Selbst wenn es 'nur' 50.000 Rechner gewesen wären: das muss man mal in Relation stellen. Für Google (als einer der Firmen mit der größten Rechen-Power) ist Ende 2004 in einem sehr schönen Artikel bei ZDNet beschrieben worden, das Google über 30 Cluster mit jeweils bis zu 2.000 Rechnern hat ... zusammen also ungefähr 60.000. Eine andere große Firma mit viel Power unter der Haube ist Akamai, mit denen ich auch schon beruflich zu tun hatte. Die haben 'grade mal' 15.000 Rechner. Wenn man dann sieht, was ein 21- und ein 29-jähriger Holländer unter Kontrolle hatten ...

In dem Artikel wird zwischen den Zeilen auch klar, wie viel kriminelle Energie und wie wenig Skrupel diese beiden hatten. Da taucht so ziemlich alles auf, was es an Bösem im Computer-Umfeld gibt:

Zwischen Juni und Oktober 2005 haben die beiden Täter mit ihren Bot-Netz per Keylogging Identitäten gestohlen und sodann mit den fremdem Namen im Web eingekauft. Außerdem haben sie Adware auf den infizierten PCs installiert und Adware-Hersteller unter Androhung von Bot-Netz-Attacken erpresst. In mindestens einem Fall kam es tatsächlich zu einer DDoS-Attacke, die die Infrastruktur eines der Hersteller für mehrere Stunden lahmlegte.

Naja, mit 50.000 Rechner ist es keine Kunst, so ziemlich jedes System in den Boden zu fahren. Die Strafen sind dennoch eher gering geblieben, durch Anrechnung der Untersuchungshaft sind beide sofort wieder auf freiem Fuß. Auch noch erwähnenswert:

Eine Entschädigung für die Opfer der Identitätsdiebstähle ist offenbar nicht vorgesehen.

Wie eine solche Entschädigung aussehen könnte, kann ich mir nur schwer vorstellen, ich bin ja auch kein Jurist. Das die Juristen da aber auch nichts vorgesehen haben, passt ins Bild: scheint irgendwie ein generelles Problem zu sein, das die Justiz sich mit dem Thema 'Internet' schwer tut. Wenn die beiden Ausweise per Trickbetrug erbeutet hätten ... _dafür_ gibt es wahrscheinlich eine Regelung.

Portal-Konsolidierung die 2.: Flickr bald nur noch mit Yahoo-Account

2007-01-31T16:39:00.000+01:00

Google hat schon im November angefangen, den Zugang zu Blogger.com verstärkt nur mit einem Google-Account anzubieten. Jetzt ist Yahoo an der Reihe, der Zugang zu Flickr wird bald nur noch mit einem Yahoo-Account möglich sein. Heute bekam ich die folgende Mail:

Dear Old Skool Account-Holding Flickr Member,

On March 15th we'll be discontinuing the old email-based
Flickr sign in system. From that point on, everyone will
have to use a Yahoo! ID to sign in to Flickr.
...
95% of your fellow Flickrites already use this system and
their experience is just the same as yours is now, except
they sign in on a different page. It's easy to switch: it
takes about a minute if you already have a Yahoo! ID and
about five minutes if you don't.
...
Warmest regards,
- The Flickreenos

Internet im Flugzeug

2007-01-26T21:44:00.000+01:00

Bei heise war jetzt ein Artikel, das der Flugzeughersteller Boeing in seinem neueste Modell 787 das geplante Funknetz durch eine herkömmliche Verkabelung ersetzen will. Grund waren wohl Probleme mit der Durchsatzrate des Funknetzes.

Die Verkabelung hätte ja auch zusätzlich als Absicherung dienen können. Denn als ich das gelesen habe, kam mir dieses Bild des Sicherheits-Ballets der Flugbegleiter nicht mehr aus dem Kopf:

Im unwahrscheinlichen Fall eines plötzlichen Wireless-Verlustes in der Kabine fallen automatisch Netzwerkkabel aus der Decke über Ihnen.
Ziehen Sie ein Netzwerkkabel zu sich heran, stecken es fest in ihr Notebook und und surfen sie normal weiter. Verkabeln Sie sich selbst, bevor sie anderen Passagieren helfen.

Usability von Fehlermeldungen

2007-01-24T00:13:00.000+01:00

Gerade habe ich bei Technorati die folgende Fehlermeldung erhalten:

Eigentlich eine perfekte Fehlermeldung. Die meisten Nutzer können mit kryptischen Fehlermeldungen der Art 'seitenlanger Stacktrace' nichts anfangen. Und viel aussagekräftiger ist eine Standard 500-Internal-Server-Error Meldung auch nicht. Ausserdem gibt diese Fehlermeldung dem Nutzer nicht wieder das Gefühl, ER sei schuld am Fehler.

Heute habe ich noch das andere Extrem an nutzerfreundlichen Meldungen erhalten, leider aber keine Gelegenheit für einen Screenshot. Nach einem (wohl mal wieder notwendigen) Update von Windows kam eine Dialog-Box "Der Computer muss neu gestartet werden. Wollen Sie ihn jetzt neu starten?" ... mit deaktiviertem "Nein"-Button. Ich _hasse_ es, wenn man mich etwas fragt und dann gar nicht an einer Antwort interessiert ist.

Mylar - Bug-Tracking-Plugin für Eclipse

2007-01-22T20:30:00.000+01:00

Unter dem Namen 'Task-Forced Development' bietet das Eclipse-Plugin Mylar eine Möglichkeit, diverse Bug-Tracking-Software in die Entwicklung eng einzubinden. Aktuell wird BugZilla, TRAC und JIRA unterstützt.

Star Trek und Second Life

2007-01-17T08:17:00.000+01:00

Auf der Consumer Electronics Show hat Les Moonves von CBS die Pläne von CBS präsentiert, in Second Life ein ‘Star Trek Environment’ aufzubauen. Unter trekmovie.com wird gezeigt, wie das dann aussehen könnte: zwei Trekkies in Star Trek Kostümen lümmeln sich auf der Enterprise-Brücke ... lustig wegen den ganzen in-jokes.
Aber irgendwie passt das nicht so ganz zu den doch eher seriösen Versuchen der letzten Zeit, Second Life als realen Wirtschaftsraum, als Meeting-Bereich für große Firmen, als neue Werbe-Plattform zu etablieren.

Naja, frei nach William Shatner: "Get a second Life!"

Terroristen nutzen Google Earth

2007-01-16T09:11:00.000+01:00

n-tv berichtet, das Terroristen im Irak anscheinend Google Earth zur Planung ihrer Angriffe nutzen. Bei der Durchsuchung verdächtiger Häuser habe die britische Armee entsprechende Ausdrucke mit Satelliten-Aufnahmen der Militär-Lager rund um Basra gefunden.

So überraschend ist es dann nun nicht, das nicht nur die allierten Truppen Satellitenaufklärung nutzen, sondern auch deren Gegner. Nicht umsonst haben die USA vor Beginn eines Krieges immer die (frei nutzbaren) GPS-Satelliten in der Genauigkeit eingeschränkt.

TechCrunch: Apple legt sich mit der Blogosphäre an

2007-01-15T17:41:00.000+01:00

Apple legt sich gerade mit der Blogosphäre an.

Nach der Veröffentlichung des neuen iPhones hat natürlich prompt jemand das iPhone-Design per Skin auch für anderen Geräte (Windows Mobile oder Palm) kopiert.

Das Apple gegen den Ersteller dieser Skins vorgeht, kann man ja grade noch so nachvollziehen. Obwohl es ja eigentlich schon üblich ist, ein neues Design per Skin auch auf anderen Geräten zu haben. So gibt es Vista-Skins für XP schon seit Monaten.

Allerdings leisten es sich die Anwälte von Apple, nicht gegen der Ersteller vorzugehen, sondern gegen jeden Blogger, der nur über dieses Design BERICHTET ... und damit machen sie sich in der Blogosphäre gerade keine Freunde.

Die USA und die Datensammel-Wut

2007-01-12T14:33:00.000+01:00

Gerade gehen so einige Nachrichten durch die Online-Presse, die sich kritisch mit der Datensammelwut der amerikanischen Behörden beschäftigen.
Gestern wurde bekannt (siehe heise), das das Department of Homeland Security sich nicht an seine eigenen Datenschutz-Bestimmungen und auch nicht an US-amerikanische Gesetze gehalten hat.

Neben den erfassten Flugdaten (immerhin 34 Informationen pro Passagier, unter anderem Namen, Anschrift, Zahlungsinformationen, besondere Essenswünsche, gebuchte Mietwagen und Hotels) wurden zusätzlich Daten von kommerziellen Adresshändlern hinzugefügt. Der Datenschutzbericht nennt dabei Name, Geburtsdatum, Geschlecht, Name des Ehepartners, zusätzliche Anschriften und Art der Anschrift (privat geschäftlich). Daten wie Längen- und Breitengrade der Anschrift und Sozialversicherungsnummern wurden zwar von den Adresshändlern geliefert, aber nicht genutzt. Es wurden keine Daten wie medizinische Daten, Einkommensverhältnisse usw. abgefragt ... obwohl diese natürlich auch zugänglich sind.

Was im Datenschutz-Bericht besonders irritiert: die Zusammenstellung dieser Daten wurde nicht etwa absichtlich durchgeführt, sondern ist wohl eher zufällig erfolgt. Das hinterlässt ein mulmiges Gefühl, was das Datenschutz-Selbstverständnis dieser Behörde betrifft.

Kurz darauf kam bei heise die nächste Meldung: der Justizausschuss des amerikanischen Senats hat eine bessere Kontrolle über die 199 Data-Mining-Programme bei den 52 verschiedenen Bundesbehörden gefordert. Experten wiesen dabei auf die völlige Nicht-Eignung solcher Rasterfahndungs-System zur Terroristenjagd hin

"Wir müssen nur auf die Terroristen-Beobachtungsliste der Regierung schauen, um die Ineffektivität von Data-Mining und Rasterfahndung zu sehen", erklärte (der demokratische Senator Patrick) Leahy. Auf der Liste würden derzeit 300.000 Namen geführt, darunter die von Kindern, Nonnen und sogar Kongressmitgliedern.

Apple streicht "Computer" aus dem Firmennamen

2007-01-10T07:38:00.000+01:00

bei heise gefunden: Steve Jobs hat auf der MacWorld verkündet, das "Apple Computer, Inc." zukünftig nur noch "Apple, Inc." heisst. Das Unternehmen trage damit der Tatsache Rechnung, dass es bereits heute einen Großteil seines Umsatzes nicht mehr mit Computern, sondern mit dem Verkauf von iPods sowie Musik und Filmen im iTunes Store mache.

Nielsen: Usability in the Movies -- Top 10 Bloopers

2007-01-09T21:40:00.000+01:00

Jakob Nielsen hat auf seiner Website einen schönen Artikel zu den 10 häufigsten Fehl-Annahmen in Kinofilmen zur Usability von Computer-Systemen geschrieben.

The Hero Can Immediately Use Any UI
Time Travelers Can Use Current Designs
The 3D UI: cool, aber schwer zu bedienen
Integration is Easy, Data Interoperates: sowas wie verschiedene Betriebssysteme oder Dateiformate scheint es in Filmen irgendwie nicht zu geben
Access Denied / Access Granted: ich kenne ja eine ganze Reihe von Computersystemen, aber auch ich habe noch nie einen "Access Granted" Dialog gesehen
Big Fonts
Star Trek's Talking Computer: genauso cool, aber für viele Aufgaben einfach zu umständlich
Remote Manipulators: Jakob Nielsen nennt Tomorrow Never Dies, aber in MIB 2 taucht's auch auf: Autos, die mit Gameboy-artigen Fernbedienungen gesteuert werden.
You've Got Mail is Always Good News
"This is Unix, It's Easy": das ist auch einer meiner liebsten Momente: in Jurassic Park rettet ein kleines Mädchen die Welt, weil sie Unix kennt ... ich brauche unbedingt die Telefonnummer!

Google sucht im All

2007-01-09T21:05:00.000+01:00

Google beteiligt sich (zusammen mit einer ganzen Reihe von astronomischen Forschungsinstituten) am "Large Synoptic Survey Telescope", einem neuen optischen Teleskop. Das Teleskop soll ab 2013 Bilder aus dem Weltraum mit einer Auflösung von
3 Milliarden Pixeln liefern. Am Tag sollen bei 5.000 Bildern ca. 30 Terabyte an Daten zusammenkommen.

Und hier kommt Google ins Spiel, als KnowHow-Provider für die Speicherung und permanente Bearbeitung großer Datenmengen. Denn am nächsten Tag sind ja die nächsten 30 TB da ....

Was nicht dabei steht: wird Google dann seine Such-Algorithmen auf diese Daten ansetzen, um z.B. bestimmte Muster leichter zu finden? Um neue Asteroiden, Sonnen mit Planeten, unbekannte Pulsare zu erkennen?
Ganz so neu wäre das nicht: schon vor fünf Jahren hatte ich Kontakt zum Suchmaschinen-Anbieter Convera. Deren Suchmaschine wurde damals bei der Suche nach Erdöl eingesetzt: Um Erdöl zu finden, werden seismische Untersuchungen durchgeführt (schön beschrieben z.B. bei Quarks). Um in den Unmengen der aufgezeichneten geologischen Daten dann bekannte Muster zu finden, wurde eben diese Suchmaschine eingesetzt.

Wie lang muss ein Passwort sein ?

2007-01-02T20:03:00.000+01:00

Das ist eine wirkliche Fehlermeldung von Windows, siehe auch http://support.microsoft.com/kb/276304

"Error Message: Your Password Must Be at Least 18.770 Characters and Cannot Repeat Any of Your Previous 30.689 Passwords"

Na wenn man sich da mal bloss nicht vertippt ...

Firefox Extension FireBug

2007-01-02T13:40:00.000+01:00

Ein Freund hat mich auf die Extension FireBug hingewiesen.

Highlights:

JavaScript debugger for stepping through code one line at a time
Status bar icon shows you when there is an error in a web page
A console that shows errors from JavaScript and CSS
Log messages from JavaScript in your web page to the console (bye bye "alert debugging")
An JavaScript command line (no more "javascript:" in the URL bar)
Spy on XMLHttpRequest traffic
Inspect HTML source, computed style, events, layout and the DOM

Firefox 2.0 Tuning

2006-12-22T09:15:00.000+01:00

Seit einigen Wochen bin ich auf den Firefox 2.0 umgestiegen ... und habe mich über einige der Änderungen geärgert. Jetzt habe ich die nervigsten Neuerungen wieder auf den 'alten' Stand gebracht:

Zum einen ärgert das 'Heraussrollen' der Tabs. Gerade bei Recherchen arbeite ich mit vielen gleichzeitg geöffneten Tabs, aber bei 10 bis 12 Tabs ist beim Firefox 2.0 Schluss, weitere Tabs verschwinden und lassen sich nur über langwieriges Scrollen finden.

Das liegt daran, das die Tab-Reiter mit einer gewissen Mindestbreite dargestellt werden. Diese ist default-mässig auf 100 Pixel, und dann passen eben (je nach Bildschirm-Auflösung nur 10 oder 12 Tabs auf dem Bildschirm.

Diese Default-Einstellung kann man ändern über
- about:config aufrufen
- den Eintrag "browser.tabs.tabMinWidth" von 100 auf 0 setzen
- den Browser neu starten
Schon werden die Tabs deutlich kleiner, zwar nicht bis auf 0 Pixel, denn ansteuern muss man sie ja noch können, aber zumindest bis auf knapp 40 Pixel runter, das Tab enthält dann nur noch das favicon. Das reicht dann für 25 bis 30 Tabs, erst dann scrollen weitere Tabs hinaus.

Was mich auch etwas nervt, ist der Schließen-Button auf jedem Tab. Eigentlich eine nette Idee. Wenn man aber mit vielen Tabs arbeitet und mal schnell 5 oder 6 schliessen will, sind die Schließen-Buttons aber jeweils an einer anderen Stelle, und man muss jedesmal mit der Maus hin-navigieren
Meistens nutze ich dann direkt die Tastatur (sechsmal CTRL-W tut's auch). Man kann's aber auch auf das alte Verhalten mit einem einzigen Schliessen-Button ändern.

Ähnliche Vorgehensweise:
- about:config aufrufen
- beim den Eintrag "browser.tabs.CloseButtons" von 1 auf 3 setzen
- den Browser neu starten

Das Ergebnis beider Aktionen sieht dann so aus:

Die dritte Änderung, die mich stört, ist die Minimierung der Steuermöglichkeiten in der unteren Symbolleiste bei der Find-As-You-Type-Funktion. In der Version 1.x gab es die VOR und ZURÜCK-Buttons und die HIGHLIGHT-Möglichkeit, diese sind im Firefox 2.0 jetzt nur noch in der Suchen-Funktion enthalten.

Durch folgenden Eintrag in die userChrome.css (unter Windows im Ordner C: \Dokumente und Einstellungen \<<account>> \Anwendungsdaten \Mozilla \Firefox \Profiles \<<profil>> \chrome) kann das 'alte' Verhalten wieder erstellt werden

#FindToolbar > * {display:-moz-box}

Schon sind bei Find-As-You-Type die gleichen Steuer-Möglichkeiten, die auch in der Suche enthalten sind:

CW: Reicher Russe zahlt drei Millionen Dollar für Vodka.com

2006-12-21T20:39:00.000+01:00

gerade gefunden:

Reicher Russe zahlt drei Millionen Dollar für Vodka.com
Der russische Milliardär Roustam Tariko, der Mann hinter der Unternehmensgruppe Russian Standard, hat drei Millionen Dollar für die Web-Adresse Vodka.com hingeblättert.

Die teuerste Domain, mit der ich persönlich bisher in Kontakt gekommen bin, hat übrigens 'nur' 500.000 Mark gekostet.

Wozu brauche ich eine Informations-Architektur ?

2006-12-21T20:15:00.000+01:00

Bei der Recherche für den vorigen Artikel habe ich etwas auf dem Auftritt eines großen Automobil-Herstellers gesurft, und schmerzlich eine durchgehende Informations-Architektur vermisst. Auf der Startseite werden alle verfügbaren Modelle aufgelistet. Allerdings verweist jedes Modell auf eine eigene Micro-Site, die leider alle komplett anders aufgebaut sind.

So öffnen drei der acht Microsite ein weiteres unverlangtes Popup-Fenster. Zwei haben zumindest einen Link "Sollte keine automatische Weiterleitung erfolgen, klicken Sie bitte hier", um bei vorhandenem Popup-Blocker dem Nutzer eine Chance zu geben, doch noch etwas über dieses Modell zu erfahren, bei der anderen Microsite sind Nutzer mit einem kleinen Firmenlogo allein im Browser.

Beim ersten Modell sind die Hauptkategorien links oben untereinander angeordnet:

Design&Erlebnis
Leistung&Technik
Kontrolle&Sicherheit
Komfort&Aussttatung
Q-Tronic

Das gleiche Modell als Kombi hat eine komplette andere Hauptnavigation und bietet unten links nebeneinander die Punkte

Design Technik Raum Komfort QTronic Probefahrt Mobile Entertainment

Das dritte Modell hat dann eine deutlich emotionalere Navigation, auch diese Navigation unten links nebeneinander

Freiheit Stil Mut Heritage Registrieren Magazin

Beim vierten Modell sind die Navigationspunkte wieder anders, diesmal oben rechts angeordnet

Design Technik Sicherheit Entertainment News

Anbei das Ganze mal visualisiert.

Ich habe mich ja schon dran gewöhnt, mich auf einer WebSite mancher Firmen in eine manchmal abenteuerliche Informations-Architektur einzudenken. Aber das für jedes PRODUKT dieser Firma zu machen ... da hatte ich irgendwie keine Lust zu.

Drücken Sie "START" um den Wagen auszuschalten

2006-12-21T11:38:00.000+01:00

Vor einigen Jahren ging im Internet ein angeblich echter Mail-Verkehr zwischen Bill Gates von Microsoft und General Motors um. Auf die Aussage von Bill Gates

"If G.M. had kept up with technology like the computer industry has, we would all be driving twenty-five dollar cars that got one-thousand miles to the gallon."

gab es eine Reaktion von General Motors, in der einige Eigenarten von Computern und insbesondere des Windows-Betriebssystems auf Autos umgelegt wurden.

"If GM had developed technology like Microsoft, we would all be driving cars with the following characteristics:
...
13. You'd press the "start" button to shut off the engine.

Zumindest für den letzten Punkt ist es soweit, genau diesen Wagen hatte ich jetzt als Leihwagen:

Nachdem man das stylische Klötzchen, das den Schlüssel ersetzt, in den Schlitz neben dem Lenkrad eingesetzt hat, kann man den Wagen über den darunter befindlichen "Start"-Knopf anlassen ... und auch wieder ausschalten.
Zumindest steht auf dem Knopf noch unter "Start" (in klein) "stop"

Firefox 3.0 besteht Acid2-Test

2006-12-11T21:04:00.000+01:00

gerade bei heise.de gefunden, die aktuellste Entwickler-Version der Firefox 3.0 ist jetzt endlich soweit, den ACID2-Test zu bestehen.

Google Answers gibt auf ... und Yahoo! legt nach

2006-12-10T15:40:00.000+01:00

Vor einigen Tagen ging es ja schon durch die Presse: Google stellt seinen Dienst "Google Answers" ein.

Am Donnerstag und Freitag liefert UserFriendly den passende Strip dazu, in dem Yahoo! Answers als mögliche (wenn wohl auch nur wenig begeisternde) Alternative genannt wird.

Und heute sehe ich bei N24 eine Werbung für Yahoo! Answers.
Zufall ? Oder hat Yahoo! schnell die Lücke erkannt und reagiert ?

CW: Technik als Modeartikel

2006-12-06T00:01:00.000+01:00

Frank Niemann schreibt im CW Notizblog über den Vortrag “The people problem” von Gartner. Dort wird eine Zukunft skizziert, in der die Teenager von heute, die “Digital Natives”, in der Wirtschaft 'angekommen' sind.

Diese “Digital Natives” wüchsen mit MP3-Playern, Handys und PDAs auf und nutzten sie wie einen Gebrauchsgegenstand, ohne sich Gedanken über die Funktionsweise zu machen.
...
Zudem würde dann nicht mehr der Betrieb IT-Lösungen wie Notebooks bereitstellen, sondern die Anwender brächten ihre eigenen Geräte mit, weil ihr mobiler PC cooler ist als das schnöde Gerät, welches die IT als Standard definiert hat.

Frank Niemann ist das skeptisch, ob sich das so entwickeln wird:

Nette Vorstellungen sind das schon. Ob aber beispielsweise Banken oder Behörden es zulassen, dass ihre Mitarbeiter ihre eigenen Gerätschaften ans Firmennetz anstöpseln, wage ich zu bezweifeln. Firmen versuchen ja, möglichst standardisierte IT-Umgebungen zu schaffen: Eine Hardware, ein Betriebssystem und möglichst viel Standard-Software.

Diesen Punkt haben wir aber bereits heute erreicht. In vielen Firmen sind die Hälfte aller Beschäftigten Externe, die natürlich ihre eigenen Geräre mitbringen. Aber auch die fest angestellten Mitarbeiter bringen Vielfalt in die technologische Landschaft. Bei einer Sicherheits-Konferenz vor knapp zwei Jahren berichteten mehrere Sicherheits-Verantwortliche von großen Firmen bereits über die Probleme mit Blackberry's, PDA's, Designer-Handy und sonstigen Geräte, die vom Management oft aus Prestige-Gründen angeschafft werden. Der Begriff "Manager-Tamagotchi's" hat sich dafür schon durchgesetzt.

Zum einen gibt es die technologischen Probleme: das höhere Management lässt Erklärungen wie "kein zertifizierter Treiber" kaum gelten. Dann die Vielfalt der Geräte: diese werden ja nicht unter dem Gesichtspunkt 'das was alle haben' angeschafft, sondern 'das was sonst keiner hat'. Dann die sich daraus ergebenden Sicherheits-Probleme: das Aktuell-Halten und Patchen einer Vielzahl heterogener mobiler Endgeräte, die fast nie im Firmengelände sind, ist ein logistischer Alptraum. Hinzu kommt die nicht zu unterschätzende Verlust-Quote von kleinen leichten Geräten mit sensitiven Informationen, die in Flughafen-Lounges und Taxis vergessen werden.

Willkommen in der Welt von morgen.

AJAX und Security

2006-12-05T23:50:00.000+01:00

Bei SecurityFokus gerade einen interessanten Artikel zu AJAX und Sicherheit gefunden. Darin werden einige der neuen Lücken und Angriffsmöglichkeiten beschrieben, die sich durch den vermehrten Einsatz von AJAX Web-Anwendungen ergeben.
Wobei 'neu' übertrieben ist, keines dieser Themen ist wirklich neu, vieles nur allzu bekannt. Das läuft wieder auf dieselben Themen hinaus, die auch sonst immer die Problemkinder darstellen: saubere Session-Verwaltung und strenge Datenvalidierung.

clientseitige Sicherheitsüberprüfung

Mit der Einführung einer starken clientseitigen Logik besteht oft die Versuchung, Funktionalitäten (nur) clientseitig zu implementieren, die (auch) serverseitig implementiert werden müssen. Angreifer können clientseitige Validierungen natürlich leicht umgehen.

breitere Angriffsfläche

Mit AJAX werden viel mehr serverseitige Funktionen im Internet zur Verfügung gestellt. Statt einigen wenigen Funktionen werden plötzlich Nachlade-Funktionen, Auto-Vervollständigungen, Read-Ahead-Funktionen implementiert und auch von außen erreichbar gemacht. Damit gibt es viel mehr Punkte, bei denen Fehler gemacht werden können. Und der Aufwand, all diese Punkte auch zu testen, steigt erheblich.
Aus meiner bisherigen Erfahrung könnte ich drauf wetten, das für eine AJAX-Anwendung kein einziger Cent mehr für Sicherheitstests zur Verfügung gestellt wird.

AJAX-Anwendungen als Frontend zu Enterprise SOA's

Das SOA-Paradigma ist zwischenzeitlich ja in vielen Firmen umgesetzt, und verspricht auch ganz viele und tolle Dinge ... vielleicht sogar zu Recht.

Leider habe ich bisher den Eindruck erhalten, das die großen Anbieter und viele Beratungs-Firmen das Thema 'Sicherheit' dabei sträflich vernachlässigen und das immer so ganz einfach darstellen, man muss sich gar nicht drum kümmern, "da gibt es zentrale Sicherheits-Funktionen zur Authentifizierung und Autorisierung" und gut. Im Hinblick auf interne Angreifer schon etwas optimistisch.

Die Versuchung, aus einem AJAX-Client direkt einen Enterprise-WebService aufzurufen, ist groß. Wenn dann solche unsicheren Enterprise-Services plötzlich direkt aus einem AJAX-Client aufgerufen werden (und damit 'frei' im Internet stehen), wird leicht ein ganzen Firmennetz kompromittiert.

Neue Cross-Site Scripting (XSS) Möglichkeiten

Die Entkopplung der Nutzer-Interaktion von der Server-Interaktion bietet ganz neue Angriffs-Potenziale. Bei XSS-Angriffen auf klassische Web-Anwendungen kann der Nutzer oftmals ein ungewöhnliches Verhalten feststellen: die Applikation hängt oder reagiert langsam, merkwürdige Dinge werden angezeigt usw. Bei komplexen AJAX-Anwendungen kann dies aber für den Nutzer völlig unsichtbar im Hintergrund passieren. Während man völlig ungestört seine eMails in einer AJAX-Anwendung liest, wird im Hintergrund das Adressbuch ausgelesen.

Dazu kommt der Einsatz von relativ mächtigen AJAX-Frameworks (ich selber bin grade in einem solchen Auswahl-Prozess). Eine Lücke in einem solchen Framework kann Angreifern leicht Zugriff auf eine ganze Reihe von Sites geben .. ähnlich wie Lücken in Webservern, Betriebssystemen, Application Servern, ...

Für gefundene Lücken in Server-Software gibt es ausreichende Möglichkeiten: die Hersteller veröffentlichen Advisories, (mit einigen unrühmlichen Ausnahmen) relativ schnell Patches, und man kann leicht Betriebs-Prozesse zur Einbindung dieser Patches aufsetzen (habe ich selber schon gemacht).
Bei clientseitigen Bibliotheken ist das sicherlich deutlich schwieriger, ich hatte bisher nicht den Eindruck, das die Hersteller solcher Bibliotheken das Thema 'Security' so wichtig nehmen wie die Hersteller von Server-Software.

Wikipedia - das neue Google ?

2006-11-30T08:21:00.001+01:00

Letztens ist es mir wieder deutlich geworden: wenn man etwas wissen will im Internet, ist Wikipedia die deutlich bessere Quelle als die Suchmaschine von Google. Die Informationen sind von hoher Qualitär und zielgerichtet, und es gibt eine normalerweise eine gut gepflegte Liste von weiterführenden Links, die deutlich tiefer in die Materie führen.

Google dagegen bringt oft sinn-lose Sammlungen von Werbung, die gleichen hundertfach kopierten Pressemitteilungen ohne wirklichen Inhalt, und oft genug tote Links.

In der Zwischenzeit versuche ich es meistens entweder parallel in Google und Wikipedia oer direkt nur mit Wikipedia. Das geht übrigens nicht nur mir so, sondern auch einigen Bekannten.

Computerwoche-Newsletter und Usability

2006-11-28T22:36:00.000+01:00

Vor einiger Zeit habe ich mich für einige Newsletter der Computerwoche registriert. Das Abonnieren der Newsletter war ganz einfach: aus einer Übersichtliste einfach die passenden ausgewählt, Empfänger-eMail eingeben, einmal abspeichern und fertig.

Kurz darauf fand ich DAS in meinem Posteingang:

Ein Opt-In für Newsletter ist ja üblich und durchaus sinnvoll. Aber das für JEDEN der Newsletter (die über eine einzelne Aktion abonniert wurden) eine eigene Bestätigungs-Email versendet wurde, die dann auch noch JEDE EINZELN bestätigt werden musste ... aus Usability-Sicht etwas daneben.

Hornbach's Guerilla-Marketing

2006-11-28T22:01:00.000+01:00

Seit einiger Zeit rege ich mich über den Werbespot von Hornbach auf. Dieser Pseudo-Doku-Stil, der direkt aus youtube zu stammen scheint: unscharf, schlechte Kamera-Führung, keine Schnitte, und die Stimmen aus dem Off "Nee, der lebt!" ist ja noch ganz lustig.

Aber dann habe ich mir das ganze mal etwas genauer angesehen. Ganz am Anfang und ziemlich versteckt wird die Domain des vermeintlichen Motorrad-Artisten www.ronhammer.com gezeigt. Und dieser Auftritt erweckt den Eindruck eines real existierenden Stuntman, dort wird mit keinem Wort mehr erwähnt, das es sich nur um eine Kunst-Figur handelt. Nun gut, selbst das könnte ich noch verkraften, sowas hat's ja auch schon früher gegeben, bei Zomtec war das aber deutlich lustiger.

Um den 'realen' Anstrich zu verstärken, hat aber jemand auch (erfolglos) versucht, einen entsprechenden Eintrag in die Wikipedia unter http://de.wikipedia.org/wiki/Ron_Hammer einzutragen. Glückerweise wurde das schnell entdeckt, und der Eintrag gesperrt.

An dieser Stelle habe ich dann einen gewissen ... Abscheu vor dieser Art des Guerilla-Marketings bekommen. Da kann ich nur sagen: Hornbach, schämt euch.

"Phishmarkt" oder "Die Rückkehr des Prangers"

2006-11-28T00:12:00.000+01:00

Der "Phishmarkt" bietet eine erschreckend umfangreiche Liste von Websites, bei denen Cross Site Scripting (XSS) möglich ist. Entsprechende Demos zeigen, wie mit einem per XSS eingebundenen IFRAME Nutzern ein gefälschter Login-Dialog angezeigt werden kann ... die URL stimmt, das Zertifikat stimmt, alle die Dinge, die einem Nutzer die Unterscheidung zwischen realen und gefälschten Seiten ermöglichen sollen.

Was mich besonders erschreckt ist die lange Liste von Banken, die betroffen sind. Gerade dort sollten die Verantwortlichen doch wissen, was mit solchen Lücken angerichtet werden kann. Erste reale Angriffe unter Ausnutzung von XSS hat es ja bereits gegeben.

Das Anprangern klappt aber teilweise ganz gut: gerade die Banken sind (im Allgemeinen) recht schnell mit dem Beseitigen der XSS-Lücken sind. Mit einigen unrühmlichen Ausnahmen: einige Lücken sind seit einem Jahr gelistet ... und funktonieren immer noch.

Blogger.com jetzt (nur noch?) mit GMail-Account

2006-11-27T23:27:00.000+01:00

Google konsolidiert seine Dienste: Blogger.com bietet seinen Nutzern jetzt eine Authentifizierung per GMail-Account. Die Umstiegs-Möglichkeit bietet unter beta.blogger.com ein paar nette zusätzliche Möglichkeiten (Drag&Drop für Template-Bearbeitung, Privacy-Einstellungen, ..) ... und keinen Rückweg. Wenn man einmal auf einen GMail-Account umgestellt hat, geht's nicht wieder zurück. Neue Nutzer werden zukünftig wohl nur noch mit einem GMail-Account mitmachen können.
Ähnliches hat Yahoo mit Flickr ja auch schon vorgemacht: bei flickr kann man sich auch nur noch mit seiner Yahoo!ID neu anmelden, und die Alt-Anmeldung ist zwischenzeitlich gut versteckt und nur nach mehreren Klicks erreichbar

"Second Life": virtuelles Leben wird realer

2006-11-20T22:40:00.000+01:00

Einige Bekannte schwärmen seit einiger Zeit von Second Life. In der letzten Zeit geht ja einiges zu diesem Thema durch die Blogs und Online-Welt, und mehr und mehr große Firmen erscheinen in Second Life. Doch eine andere Gruppe ist in den letzten Tagen ebenfalls vermehrt in Erscheinung getreten: die 'bösen Jungs' sind da!

Am 15. stand bei heise.de ein Bericht über das Programm CopyBot:

Mit CopyBot können Nutzer der virtuellen Welt beliebige Kopien der Gegenstände von Second Life anlegen – und zwar ohne das Einverständnis ihrer Eigentümer.

Das unerwünschte Kopieren ist nicht nur ärgerlich für die Besitzer selbst erschaffener Güter, sondern könnte auch das Wirtschaftssystem des stetig wachsenden "Metaversums" durcheinander bringen: In Second Life lassen sich Waren und Dienstleistungen kaufen und verkaufen. Gezahlt wird mit einer eigenen Währung – den Linden-Dollar. Nutzer, die sich stattdessen ihre Habseligkeiten zusammenkopieren, dürften sich damit wenig virtuelle Freunde machen.

Nur zur Klarstellung: die virtuellen Linden-Dollars aus Second Life lassen sich auch in reale Währung umtauschen, der aktuelle Umtauschkurs ist (gerüchteweise) etwa 1 Linden-Dollar = 0,004 US-Dollar. Auch bei eBay finden sich diverse Angebote zum Kauf virtuellen Geldes. Ein kopierter Gegenstand kann weiterverkauft so einige US-Dollar wert sein. Im realen Leben nennt man das Diebstahl oder Betrug. Anscheinend lohnt sich das virtuelle Stehlen mittlerweile.

Die zweite Meldung von heute: "Wurm dringt in virtuelle Spielewelt 'Second Life' ein"

Die virtuelle Online-Welt "Second Life" ist von einem digitalen Wurm attackiert worden, wie der Betreiber Linden Labs in seinem Blog schreibt. Der Grey Goo genannte Wurm soll Nutzerberichten zufolge rotierende goldene Ringe in der Spielewelt platziert haben.

Grey Goo soll dabei eine erhebliche Last auf den Datenbanken der Spielewelt erzeugt haben, in dessen Folge sich sämtliche Aktivitäten in der virtuellen Realität verlangsamten. Linden Labs sperrte daraufhin für eine halbe Stunde alle Logins, um die Welt vom Wurm und den Ringen zu befreien.

Realer Schaden scheint da noch nicht entstanden zu sein. Aber Second Life scheint dann doch schon doch ein interessantes Ziel für's Defacement zu sein. Und Angriffs-Szenarien, bei denen solche Würmer Viren oder Keylogger über virtuelle Welten auf reale Computer transportieren, kann man sich schon ausdenken.
Stellt sich die Frage: wie sicher ist Second Life eigentlich gegenüber einem Buffer Overflow ?

CW: Internet für Neckermann wichtiger als Katalog

2006-11-20T22:26:00.000+01:00

Aus der Computerwoche: für den Versandhändler Neckermann ist das Internet wichtiger als der klassische Katalog geworden. In der Zwischenzeit wird über den Internet-Shop mehr Umsatz erzielt als über den Katalog. Und 70% aller Neukunden werden über den Internet-Auftritt gewonnen.

Kaum zu glauben, das manche Firmen das Internet immer noch so stiefmütterlich behandeln, und das Potenzial anscheinend völlig verkennen.

Phishing leicht gemacht

2006-10-04T18:22:00.000+02:00

Das stand in der WAZ vom 7. September ... die Phisher können sich auf die deutsche Presse verlassen ...

BVWD: "Web 2.0 löst lange existierende Hoffungen und Versprechen der Internetwirtschaft ein"

2006-10-04T17:59:00.000+02:00

Der Bundesverband Digitale Wirtschaft BVDW hat mögliche Anwendungsmöglichkeiten von Web2.0 für Unternehmen untersucht.

BVDW-Experten ... sehen mit zunehmender Reichweite der verschiedenen Web2.0-Anwendungen lange existierende Hoffungen und Versprechen der Internetwirtschaft eingelöst. Weblogs, Videoblogs, RSS-Feeds & Co. - von vielen momentan noch als Phänomen unter Insidern und „Heavyusern“ abgetan, wird nach Meinung von BVDW-Gesamtvorstand Andrea Schulz und Jörg Rensmann ... nach und nach Einzug in die Kommunikationsstrategien der Unternehmen halten.

Besonders die Auswirkungen des "User generated Content" stellen aber erhebliche Anforderungen an die Unternehmen. Das klassische Content-Paradigma "Firmen stellen Content bereit und User lesen diesen" wird bereits heute durchbrochen. Über Wikis, Blogs, YouTube, usw. kann bereits heute jeder Nutzer eigenständig Content erstellen.

Unternehmen werden sich mittelfristig darauf einstellen müssen, dass sie die Kontrolle über ihr öffentliches Bild nicht behalten können. Sie können lediglich Plattformen anbieten, um den Überblick zu behalten und sich in die Kommunikation von Kunden, potentiellen Kunden oder Nicht-Kunden einzuklinken. Letztlich werden sie lernen müssen, transparent und ehrlich mit der Öffentlichkeit umzugehen.

Darauf sind aus meiner Erfahrung die meisten Firmen noch überhaupt nicht eingestellt. Hier ist immer noch die Vorstellung in den Köpfen "Der User kommt zu uns und liest, was wir ihm präsentieren". Das ist mehr und mehr vorbei, wenn Unternehmen den Nutzer noch erreichen wollen, müssen sie ihren Content dorthin bringen wo der User ist.

Darüber hinaus wird das Internet immer noch als ein weiterer Kommunikationskanal wie die anderen ("Fernseh-Werbung, Radio-Werbung, Print-Werbung, Internet") wahrgenommen. Ich habe auch noch in der letzten Zeit genug Werbekampagnen gesehen, die von der Print-Werbung 1:1 ins Internet übertragen worden sind. Das dies kein Einzelfall ist, können die Experten des BVDW bestätigen:

Wer angesichts dieser Tatsache immer noch auf Einbahnstraßenkommunikation setzt und seine Werbebotschaften aus TV- oder Printmedien eins zu eins ins Internet überträgt, der hat das Medium nicht verstanden und von dem fühlen sich die Internetnutzer, also letztlich seine Kunden, missverstanden.

Zum guten Schluß noch ein Zitat:

„Web 2.0 ist eine Haltung und keine Technologie“

Geldautomaten umprogrammiert

2006-10-02T15:54:00.000+02:00

Gerade gefunden: in Amerika hat ein Hacker es geschafft, Geldautomaten umzuprogrammieren. Die Geldautomaten waren danach der Meinung, statt der 20-Dollar-Scheine nur 5-Dollar-Scheine zu haben. Ergebnis: die vierfache Auszahlung.

Wie kann man so etwas machen? Nun, die Manuals der betroffenen Geldautomaten mit den Programmier-Anleitungen sind im Internet zu finden. Mit genauen Anweisungen, wie man über eine spezielle Code-Eingabe auf der Tastatur in der Operator-Modus kommt. Dazu wird natürlich ein Passwort verlangt ... aber das werksseitige Default-Passwort steht natürlich auch im Handbuch, mit der dringenden Empfehlung, dieses Passwort möglichst zu ändern ... ich muß wohl nicht mehr erzählen.

Aufgefallen ist das Ganze nur, weil der Hacker es 'vergessen' hat, dieProgrammierung zurückzunehmen. Erst neun Tage später hat eine Kundin das großzügige Verhalten des Geldautomaten gemeldet. Wieviele Kunden in der Zwischenzeit zuviel Geld erhalten haben ....