Diesen wunderschönen Schnappschuss vorm alten Rathaus in Hannover verlinke ich, obwohl er beim skriptverseuchten Zwitscherchen herumliegt: Auf der linken Seite stehen Renate Künast und Jürgen Trittin herum und präsentieren ein »Energiesparauto«, und um die Ecke warten ihre Dienstwagen auf sie. Besser kann man nicht zusammenfassen, was an den Grünen zum Himmel stinkt.
Schlagwort Epic RSS
-
Nachtwächter
-
Nachtwächter
Doch, klar kann Linux unsicherer als Windows sein. Aber nur, wenn man sich PDFs mit Software von Adobe anschaut.
-
Nachtwächter
Reklamebrüller des Tages: Enjoy the silence! Hierbei hinderliche Tonträger wurden von den Turntables entfernt.
-
Nachtwächter
Datenschleuder des Tages: »Mister Spex« verkauft nicht nur Brillen, sondern »veröffentlicht« auch mal eben Mailadressen, Adressen und Klartext-Passwörter [!] seiner Kunden. Hey, Leute! Die Idee, einen Hash von Passwörtern vorzuhalten, mit dem man das eingegebene Passwort vergleicht, ist aus den Sechziger Jahren. Dahinter sicherheitstechnisch zurückgehen ist wirklich ziemlich aua. Und ein deutliches Indiz dafür, dass man seine Kunden dort so richtig verachtet.
-
Nachtwächter
Warum geschlossene Treiber Scheiße sind? Zum Beispiel, weil Nvidia es sich einen ganzen Monat lang am Arsche vorbeigehen lässt, dass man mit ihrem Treiber root-Rechte bekommen kann, obwohl schon ein fertiger Exploit herumlief. Macht ja nichts, wenn vielleicht irgendwo ein paar Leute geownt werden.
Gruß auch an Golem, diese IT-News für Profis, die so gern das ^M in einem C-Quelltext zeigen, weil sie offenbar nicht wissen, wie man recode verwendet…
-
Nachtwächter
Datenschleuder des Tages ist die Fleischbörse meetOne, die mal eben Namen, Mailadressen und unverschlüsselte Passwörter [!] von 900.000 Nutzern im Internet veröffentlicht hat. Ja, völlig frei und ohne großen Hack zugänglich. Dazu gabs dann auch alle weiteren Profilinfos, eben alles das, was Menschen sonst noch auf eine so genannte »Singlebörse« (fürchterliches Wort) stellen. Vor allem, wenn man sich die Stellungnahme von Seiten meetOnes anschaut, nachdem dieses Sicherheitsloch, in dem man das ganze Sonnensystem unterbringen konnte, zugestopft wurde: Laut Henning sei das ›Ausmaß der Lücke […] überschaubar‹, weil ›zu keiner Zeit sensible Daten wie Abrechnungsdaten ausgelesen werden konnten‹. Wos um Geld geht, sind die Daten sensibel, und wos ziemlich direkt in die Intimsphäre reinragt… ähm… eher weniger. Genau so wurde dort auch programmiert. Einfach nur episch, so etwas könnte sich kein noch so zynischer Satiriker besser ausdenken! Wer trotz solcher »bedauerlicher Einzelfälle« immer noch irgendwelchen Web-Klitschen seine Daten geben will: Bitte, immer nur zu! Ihr seid erwachsene und somit zumindest formell geschäftsfähige Menschen…
-
Nachtwächter
Yahoo ist ja keine kleine Klitsche. Die haben mal eben bestätigt, dass sie die Passwörter wirklich im Klartext gespeichert haben. Nicht mal für einen (unsicheren) MD5-Hash hats gereicht. Bei so einer Datenschleuder lohnt sich der Hack.
So viel zum Thema: Warum man nach Möglichkeit niemanden ohne zwingenden Grund Daten anvertrauen sollte, egal, wie groß und renommiert der Laden ist.
-
Nachtwächter
Security-Facepalm des Tages: Obwohl eHarmony seine Nutzer dazu aufforderte, starke Passwörter unter anderem mit Groß- und Kleinbuchstaben zu verwenden, speicherten sie die Passwörter alle in Grossbuchstaben und schwächten die ohnehin schwache Sicherung damit noch weiter.
-
Nachtwächter
Datenschleuder des Tages: LinkedIn hat millionenfach die Kombination Nutzername und Passworthash »veröffentlicht«. Wenn ich Kommentar Vier im verlinkten Netzpoltik-Artikel Glauben schenken darf, gehören die Mailadressen auch dazu, und dann wohl auch noch viel mehr persönliche Daten. Tja, die unnötige Zentralisation der gesamten Kommunikation auf irgendwelchen Web-Zwo-Nullsites hat eben alles ganz bequem gemacht.
Ich bin ja mal gespannt, was LinkedIn verpatzt hat, dass es dazu gekommen ist. Mein erster Tipp ohne weitere Informationen: SQL-Injection. Einfach nur, weil das immer noch so häufig geht.
Nachtrag: Die Bestätigung durch LinkedIn, dass die Kombinationen Passwort-Hash und Nutzername echt sind. Natürlich neben der üblichen Entschuldung, direkt gefolgt von der ebenso üblichen Beteuerung, dass man die Sicherheit der Nutzer sehr ernst nehme. Aber dafür völlig mit ohne weitere Informationen, welche Daten noch abgegriffen werden konnten.
Nachtrag Zwei mit EPIC FAIL: Aber nein, die Passwort-Hashes in der Datenbank waren nicht gesaltet und die Passwörter werden gerade geknackt, dass es nur so rattert. Aber in all dieser geistigen Trübnis gibt auch ein kleines Lichtchen, denn LinkedIn hat jetzt versprochen, demnächst einmal gesaltete Passworthashes zu speichern. Ich wünsche den Spezialexperten von LinkedIn viel Spaß dabei, im Jahr 2012 eine kryptografische Technik aus den Siebziger Jahren nachzurüsten.
Ach ja, wer immer noch seine Daten brav bei solchen Läden abgibt, weil das alles so toll, sozial, unkompliziert und einfach ist: Glaubt nicht, dass an anderen Stellen mehr Sorgfalt gepflegt wird, wenns um den Schutz persönlicher Daten geht! LinkedIn ist kein kleines Forum von Bierdeckelsammlern. Schaut euch einfach an, wofür Geld da war und wofür es nicht da war. Geld war da für Werbung, um die Marke im Web und teilweise auch in der Journaille gegenwärtig zu machen. Geld war nicht da, um jemanden zu bezahlen, damit er ein paar übliche und wohlbekannte Sicherheitsmaßnahmen bei der Speicherung von Passwörtern implementiert. Allein daran, was dieser Laden für »sinnvolle Ausgaben« hält, und was dieser Laden offenbar für »sinnlose Ausgaben« hält, wird deutlich, wie sehr er seine Nutzer verachtet und ausschließlich als Grundlage für ein Businessmodell verwurstet. Ich bin mir sicher, dass es bei anderen Web-Zwo-Nullsites nicht viel besser aussieht.
-
Nachtwächter
Epic Fail! Eine Installation von Meikrosoft Windohs über das eingebaute Windohs Update mit Schadsoftware »anreichern«. Nur echt mit Zertifikat von Meikrosoft. Solche Updates macht man ja wegen der »Sicherheit«, da soll der Code auch »sicher« aus der richtigen Quelle stammen. Aber keine Sorge, Meikrosoft arbeitet schon daran, die fehlende »Sicherheit« durch weitere Schutzmaßnahmen weiter auszubauen…
-
Nachtwächter
Und ich dachte, ich könnte gar nicht mehr so richtig herzhaft lachen, aber dann las ich das hier: Dem Satiremagazin ›Titanic‹ ist es gelungen, ein Gedicht unter dem Namen ›Günter Grass‹ im Feuilleton der ›Süddeutschen Zeitung‹ zu platzieren. Kann man sich gar nicht ausdenken, diese Selbstsatire des Contentbetriebes!
Dass das Gedicht wirklich von der Titanic kommt, glaube ich allerdings erst, wenn ich es in der Titanic lese. Die erscheint mir im Moment tatsächlich am glaubwürdigsten.
Nachtrag: Don Alphonso stellt sich an die Blogbar und jaucht über die Twittrioten ab. Weil sie auf eine Satire in einer Zeitung reingefallen sind, auf deren Website er selbst bloggt. Langsam wird mir alles zu realmetasatirisch, ich schau mal zur seriösen Titanic rüber…
-
Nachtwächter
Eine ganz große sportliche Leistung in der Verbrennung des Geldes anderer Leute: 1,2 Megaeuro für ein HTML-Formular zum Stellen eines BAFöG-Antrages, das überdem rechtliche (und scheinbar auch technische) Schwächen hat. Die Leute, die einen derartigen Betrag für so wenig und fragwürdige Leistung ausgeben, müssen aber auch so richtig echte Spezialexperten sein!
Schneller Nachtrag: Ich habe es mir mal angeschaut, und es ist zum Gruseln. Die Datenübertragung ist HTTPS, aber weil da so ein richtiger Spezialexperte am Werke war, ist das Formular in einem IFRAME eingebettet, und zwar auf einer Seite, die ganz ordinäres HTTP macht. Aus Nutzersicht bedeutet das, dass es wie eine völlig unverschlüsselte Übertragung sehr persönlicher Daten über das Internet aussieht. Natürlich wird so auch aus Nutzersicht nicht deutlich, wohin die Datenübertragung überhaupt geht. Und irgendwelche Erläuterungen gibt es auch nicht. Brrr! Wie konnte so ein Strunz abgenommen werden! Und wieso eigentlich kostet eine HTML-FORM (okay, es sind schon ein paar mehr, aber der Aufwand ist gering) eigentlich 1,2 Megaeuro? Mann, mann, mann!