Wer kennt sie nicht, die furchtbar nervigen, sog. CAPTCHA-Bilder, die zwischen Computer und Mensch unterscheiden sollen um somit der vollautomatisierten Spam-Flut aus dem Weg zu gehen.
Das ganze funktioniert ja ganz gut, auch wenn es einige Ansätze gibt, die nervigen Dinger auch mit Computern auszulesen. Manchmal stellen sich da aber auch unüberwindbare Barrieren in den Weg, die es selbst Menschen schwer machen, das Formular abzusenden.
Die Bilder haben aber auch einen riesigen Nachteil: Benutzer, die solche Formularfelder ausfüllen, müssen jedesmal die Zeichen abtippen, was nicht nur nervig ist, sondern auch Benutzer mit Sehschwäche oder gar blinde Menschen ausschließt. Manche Seiten versuchen dem aus dem Weg zu gehen, indem sie das CAPTCHA vorlesen. Aber Taubblinde Menschen könnten auch damit nichts anfangen.
Weiterlesen…
Passwörter – jeder kennt sie, jeder hasst sie, zumindest wenn man sie vergisst. Dass das altbekannte Passwort wohl bald, zumindest bei lokalen Systemen keine Chance mehr hat zeigt diese Nachricht von Hardware-Mag:
ElcomSoft, ein russisches Unternehmen, hat jüngst eine Technologie zum Patent angemeldet, mit der Passwörter 20-mal schneller geknackt werden können als bisher.
[...]
Ein aktueller Dual-Core-Rechner würde rund zehn Millionen Kennwörter pro Sekunde prüfen können. Damit dauere es etwa zwei Monate, das richtige Passwort zu finden. Durch die Miteinbeziehung der GPU lasse sich der Zeitraum auf drei bis fünf Tage verringern, so ElcomSoft.
Sehe ich das richtig, dass die Entwicklung hier in eine völlig falsche Richtung geht? Damit kann man ja die meisten Passwörter sehr viel schneller herausfinden. Schäuble und alle Datensammler können sich da ja schonmal die Hände reiben.
Der Kampf gegen die Webseiten-Sicherheitslücken geht weiter – und es sieht nicht besser aus als noch vor gut einem Jahr. Gleich 5 Webseiten habe ich wieder gefunden, die für sogenannte XSS-Angriffe nicht (ausreichend) gesichert waren. Mittels XSS kann man in den meisten Fällen den kompletten Inhalt der Webseite verändern und den Benutzer somit in die Irre führen.
Diesmal handelt es sich um folgende Webseiten:
Auch hier gilt wieder: Alle Beispiele funktionierten am 3. Oktober 2007 in Browsern wie Opera oder Firefox. Diese Beispiele dienen nur der Demonstration, die Webseitenbetreiber wurden sofort nach der Veröffentlichung dieses Beitrages benachrichtigt.
XSS ist weiterhin eine ernstzunehmende Bedrohung und sollte nicht unterschätzt werden. Für dieses Problem gibt es allerdings eine sehr leichte Lösung: Man muss einfach alle vom Benutzer eingegebenen Daten (vor allem bei Suchfunktionen) durch die PHP-Funktion htmlspecialchars filtern. Das wäre zumindest die leichteste Lösung…
* Namen auf Wunsch entfernt
Gerade eben durften ich und Steffen über eine derbe Sicherheitslücke im Kundenbereich von WoltLab stolpern. So ist es möglich anhand der Session-ID der Anmeldung ohne jegliche Daten Zugriff auf den Kundenbereich und damit Daten des Kunden zu haben.
Um es etwas einfacherer zu beschreiben: Meldet man sich im Kundenbereich von WoltLab an, generiert dieses eine Session-ID. Nicht ungewöhnlich für PHP-Scripte um eigentlich Sicherheit zu zeugen. Jedoch wird diese ID für jegliche Aktion genutzt, auch für den Download von Updates und Komplettversionen…
Also: Achtet darauf, dass ihr niemanden ausversehens eine WoltLab-URL mit Session-ID zukommen lasst. Ansonsten seid ihr eure Lizenz schneller los als ihr WBB3 sagen könnt. Und dabei ist es egal, ob dies ein Freund ist der euch das Forum einrichten und installieren soll! Ladet die Datei dann am besten selbst und versendet sie via e-Mail o.ä. an den Freund…
Bild: Deutsches Hygiene-Museum (dhmd.de)
Datenkrake passt da doch recht gut… denn Google hat kürzlich ein Patent für eine Methode eingereicht, mit dessen man psychologische Profile von Spielern erstellen kann. Das ganze ist natürlich nur für den einen Zweck gut, personalisierte Werbung zu schalten. Natürlich. Genauso, wie wenn die eigene Post von GMail durchsucht wird (was Google ja immerhin mittlerweile unterlässt).
Ich kann mir kaum vorstellen, dass Google alle diese Daten auch für sich behält. Na denn, ade schöne Welt…
[via heise.de]
Was genau das bringt erklärt Arno in seinem Blog schön anschaulich – lesenswert! 
(gefunden bei Missi)
Ein Tag mit Paul verdeutlicht, wie wir täglich überwacht werden (können) – das lass ich jetzt einfach mal unkommentiert im Raum stehen.
[via jot*be daily]
Scheint so, denn es gibt immernoch viele Webseiten, die Angreifern Tür und Tor öffnen, da diese nicht gegen XSS geschützt sind.
XSS wird oft unterschätzt, aber es kann dennoch einen sehr großen Schaden verursachen.
Mehr Informationen zu XSS gibt es außerdem bei Wikipedia.
Auch Manuel hat schon vor über einem Monat auf Sicherheitslücken in Webseiten hingewiesen, bei den betroffenen Seiten gab es aber bislang keinerlei Reaktion.
Das sind aber noch lange nicht alle Seiten, auch bei den folgenden konnte ich einen Schadcode einfügen und so die Webseite komplett verändern (JavaScript mal vorausgesetzt).
Hinweis: Alle Beispiele funktionierten noch am 29. Dezember 2006, allerdings nicht im Internet Explorer. Außerdem dienen diese nur der Veranschaulichung, nicht dazu, den Webseiten oder Benutzern Schaden zuzufügen. Die Webseitenbetreiber wurden sofort nach der Veröffentlichung dieses Beitrages benachrichtigt.
Verhindern kann man so etwas übrigens ganz leicht, indem man die eingegebenen Daten nicht wieder direkt im Browser anzeigen lässt.
In PHP kann man die HTML-Zeichen zum Beispiel mit der Funktion htmlspecialchars() durch die jeweilige Entität ersetzen – und der ganze Zauber funktioniert schon nicht mehr.
Update 1, 13:45: Netzwelt.de hat die Sicherheitslücke geschlossen – das ging aber flott.
Update 2, 21:10: Hartware.de hat nun die Sicherheitslücke ebenfalls geschlossen
Update 3, 02.01.07: Bei Stern Shortnews ist XSS nun auch nicht mehr möglich.
2