Warum man – scheißegal, was irgendwelche profitorientierten Websites einen deshalb beim Besuch aufdringlich in die Augen flennen – immer und überall mit scharfgeschaltetem Adblocker im Browser unterwegs sein sollte? Ganz einfach: Damit man nicht an einer völlig unerwarteten Stelle auf einer respektablen Website über den Umweg eines Adservers von Kriminellen geownt wird. Mit NoScript und ABP wäre das jedenfalls nicht passiert – mit einem dieser dauernd von irgendwelchen Spezialexperten empfohlenen Virenscanner hingegen sehr wohl, wenn der Schadcode noch nicht zwei, drei Tage alt war. Und die Websites, die einen deshalb anpflaumen, fordern also allen Ernstes, dass man auf einen wirksamen Schutz verzichtet, der verhindert, dass man zum Opfer der organisierten Internetkriminalität wird. Das ist besonders heiter bei irgendwelchen Websites, die einen auf fachliche Kompetenz mit diesem ganzen Computerkram machen…
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Ach, apropos Windohs: Den Messenger von Microsoft gibts ja nicht mehr, der ist ja vor kurzem von Skeip abgelöst worden. Und es ist nicht nur so, dass Skeip auf das Bedürfnis seiner Nutzer nach Datenschutz scheißt, nein, Skeip erfreut seine Nutzer auch gerade mit einer klaffenden Sicherheitslücke, die es ermöglicht, den Skeip-Account von jemanden zu übernehmen, dessen Mailadresse man kennt.
-
Nachtwächter
Ehrlich gesagt, zum hochkonzentrierten Telekom-Internet-Security-Bullshit erwarte ich einen treffenden Kommentar von Fefe. Bei mir ist gerade ein Overflow eingetreten. Deshalb nur kurz ein Hinweis, was aus der Sicht dieser Leute Intelligenz ist – Viren haben selber so viel Intelligenz, dass sie sich in Unternehmensnetzwerken die wichtigen Daten eigenständig suchen – nämlich nichts weiter als ein Programmablauf. So klingt das ganze »intelligente« Gelaber dieser Sicherheits-Spezialexperten aber auch. Und wie immer, wenn der Bullshit in alles mit sich reißenden Strömen fließt, ist Hans-Peter Friedrich nicht weit. Tollste Idee zur Erhöhung der Sicherheit ist ein Gütesiegel!!1!ELF!
-
Nachtwächter
Facepalm des Tages: Dass man per E-Mail (ohne jede Signatur, also nicht nur deanonymisiert, sondern beliebig fälschbar) wählen lässt, ist ja schon hirnrissig genug und schreit eigentlich nach der Wiedereinführung der Prügelstrafe für Leute, die so eine Idee haben. Aber damit nicht genug in New Jersey:
Idioten bei der Arbeit!
-
Nachtwächter
Und Leute: Lasst immer schön eure ganze Kommunikation im Internet über irgendwelche zentralen Dienstleister laufen, denn das freut jeden, der mehr über euch wissen will und einfach an alle gewünschten Daten rankommt. Nein, dafür braucht man keinen Gerichtsbeschluss, dafür reicht es, eine private Sicherheitsfirma zu sein. Oder, um es mit Skype zu sagen: Natürlich nehmen wir den Datenschutz ernst. Das Schutzbedürfnis seiner Kunden und Nutzer nimmt Skype, dieser Laden, dem man nicht einen Millimeter übern Weg trauen sollte, hingegen weniger ernst.
-
Nachtwächter
Wenn man eine Sicherheitslücke findet, sollte man die besser immer sofort und möglichst unzensierbar publik machen. Firmen wie Oracle ist das nämlich egal, so lange sich die Entscheider dort vormachen können, niemand wisse von der Schwachstelle. Und dann werden halt in einem Internet mit der gut entwickelten Internet-Kriminalität der Zehner Jahre die Menschen monatelang mit einem unsicheren Softwarepaket allein gelassen, auch wenn die Behebung der Lücke in dreißig Minuten zu bewerkstelligen ist, keine Seiteneffekte hat und nur die Änderung von 25 Zeichen im Quelltext erfordert.
-
Nachtwächter
Die Wischofone sind nun einmal die Security-Blauäugigkeit der Neunziger Jahre im Zeitalter der gut entwickelten Internet-Kriminalität der Zehner Jahre, da achtet auch keiner auf leidlich sichere Kryptografie: […] fielen den Forschern außer Bank- und Kreditkartendaten auch Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services in die Hände…
-
Nachtwächter
Was die »Sicherheit« durch digitale Signatur von Code wert ist, zeigt uns allen Adobe, damit wir niemals daran glauben…
Nachtrag: Scheint ja schon ein paar Jahre zu laufen, ohne dass es jemanden aufgefallen wäre.
-
Nachtwächter
Eine Sache, die ich am gegenwärtigen Security-Totalverkacken von Ändräut überhaupt nicht verstehen kann: Warum zum Henker kann ein Browser auf einem Wischofon bei der Anzeige einer beliebigen Website einfach über einen IFRAME oder eine Zeile JavaScript eine tel:-URL öffnen, also ohne Rückfrage eine beliebige, möglicherweise sauteure Telefonverbindung veranlassen?! Früher musste man sich die Dialer der Abzocker, die irgendwelche »Mehrwert-Nummern« gewählt haben, noch auf irgendwelchen fragwürdigen Websites unter Vorspiegelung falscher Tatsachen runterladen oder unter Ausnutzung von Sicherheitslücken reingewürgt bekommen. Guhgell hat da alles besser gemacht; diese meist unerwünschte Funktionalität ist ein fester Bestandteil älterer Ändräut-Versionen geworden. Ganz großes Kino!
-
Nachtwächter
Etwas für alle Freunde des fröhlichen Hacks. Auf einem SourceForge-Mirror lag eine Zeitlang eine offizielle Version von phpMyAdmin mit einer Backdoor herum. Wer zu den Menschen gehört, die immer auf dem neuesten Stand sind, sollte mal nachschauen, ob er die Datei server_sync.php in seiner Installation hat und sie löschen, denn darin ist die Backdoor. Es ist aber mindestens eine weitere Datei verändert worden, so dass gleich eine saubere Version von phpMyAdmin aufgespielt werden sollte.
-
Nachtwächter
Auch Samsung kann so richtig Scheiße mit seinen Wischofonen bauen. Das ist jedenfalls ein toller Bug: Mit einem Klick ist alles weg.
Ach ja, wenn es jetzt schon für jedes Skriptkiddie so einfach ist, mal eben einen Link über WhatsApp zu versenden und wenn WhatsApp besseres zu tun hat, als dieses klaffende Sicherheitsloch schnell und gut zu stopfen… tja, dann kann ich mir richtig vorstellen, welchen Spaß sich demnächst einige Leutchen machen könnten.
Nachtrag: Von derartigen Problemen sind noch mehr Wischofone mit Andräut betroffen.
-
Nachtwächter
WhatsApp des Tages: Was macht man, wenn man in seiner tollen Äpp fürs Wischofon ein übles Sicherheitsproblem verbaut hat? Etwa den Fehler beheben? Aber nein doch, man lässt den Fehler drin und schüchtert den Autoren eines Exploits mit Juratrollerei ein. Und die Leute, die den unsicheren Schrott auf ihrem Wischofon haben, dürfen sich eventuell über massenhaften Missbrauch ihrer Accounts durch Kriminelle »freuen«. Das ist Security für die Generation Stupidity mit ihren wische wische smart phones in der Tasche.
Nachtrag: Wer einen Account bei WhatsApp hat und verhindern möchte, dass seine Freunde und Kontakte von jedem dahergelaufenen Betrüger in einen längeren Dialog verwickelt werden können, der schließlich mit der Bitte »Ich bin echt in der Klemme, kannst du mir mal 300€ über Western Union rüberbeamen, gebs dir am Ersten zurück« endet (ein Szenario des Missbrauchs, das mir spontan einfällt) endet, findet hier eine wichtige Anleitung. Ein einfaches Deinstallieren reicht nicht, der Account bliebe bestehen und könnte weiter von jedem übernommen werden.