Archiv für die Kategorie ‘WWW’

Security DAU

von LimeLoop am 25. Mai 2006 um 04:12 Uhr

Mittlerweile ist mir klar warum man(n) mit IT-Security soviel Kohle machen kann. Nahezu wöchentlich kommen mir absolute Security DAUs unter. Sowie heute erlebt. Ich war heute wegen meiner Führerscheinprüfung in der Fahrschule, um mir mein Profil für die Übungs-CD auf den USB-Stick laden zu lassen. In Österreich läuft das so das man eine CD bekommt (für die stolze 25€ zu berappen sind) und die Lernfortschritte die der Schüler erreicht werden in eine Datei auf USB-Stick/Diskette eingetragen.

Da die Fahrschule mit Ende Juni schließen wird, habe ich das Büro verwundert betreten. Keine Möbel mehr, alles leer, unmotivierte Mitarbeiter, nur mehr ein paar PC´s für die theoretische Prüfung stehen noch rum. Auf meine Bitte hin “man möge mir die Profildiskette erstellen und aushändigen, weiters brauche ich die Übungs-CD” wurde mir nur geantwortet “musst du schauen wie das geht, ich weiß das nicht und die Sekretärin wurde schon gekündigt”. Toll dachte ich mir. Also mit dem USB-Stick mal zum Büro-Rechner.

Ich hab mich dann mal dort umgesehen. Nicht nur das ich die komplette Software somit kostenlos auf meinen Stick kopieren konnte und mir beim durchklicken meine Profil-Datei selbst erstellt habe, nein auch die kompletten Finanzen, Bilanzen und internen Dateien waren für mich frei zugänglich. Natürlich hab ich als “!eof friendly-hacker” die Daten liegen gelassen wo sie waren und hab den Geschäftsführer telefonisch darauf aufmerksam gemacht das ich jederzeit seine internen Dateien an die Konkurrenz aushändigen hätte können. Ich habe kaum Hoffnung das sich der Umgang mit sensiblen Daten ändern wird.

Schlussendlich ist mir das aber auch ziemlich egal. Falls ich bei der Prüfung durchfalle kann ich ja noch immer einen Erpressungsversuch starten *fg*

Nützliches für den USB-Stick

von Khark am 15. Mai 2006 um 23:08 Uhr

Ich glaube darüber, das USB-Sticks praktisch sind, muss man sich nicht erst streiten.
Noch praktischer wird es, wenn man auf diesen USB-Sticks Programme ablegen kann die ohne Installation lauffähig sind. Also unabhängig davon sind, welche Rechte man auf dem Gastsystem hat.

PuTTY und WinSCP (in der Standalone Version) sind da ja nur die Spitze des Eisberges.
Im IRC hat mich D-Tick auf http://portableapps.com/ aufmerksam gemacht.
Dort gibt es einen portablen Firefox, Thunderbird, Sunbird, Gimp, VLC, ClamWin (Virenscanner), FileZilla (FTP-Programm), OpenOffice, usw.
Bei der Erstellung der portablen Programmversionen wurde extra Wert darauf gelegt, das keine Spuren der benutzten Programme auf dem Gastsystem zurückbleiben oder zumindest keine privaten Daten des Anwenders.

Kombiniert mit einigen Programmen von http://www.nirsoft.net/ und http://www.snapfiles.com/features/ed_usb_software.html hat Geek doch dann langsam alles für Windows dabei, was man mal so brauchen könnte.

Und da http://portableapps.com/ ganz nett ist und der Kerl noch mehr Anwendungen portabel machen will hat es die Seite gleich mal in unsere Linkliste geschafft.

Die Beratergebühr bitte!

von Khark am 5. Mai 2006 um 22:38 Uhr

Mit einer offenen ICQ-Session und einer mit komplett unbekannten UIN-/Nick-Kombination fing alles an:

Er: hallo?
Ich: hallo, wer bist du?
Er: hallo?
Ich: selber hallo. sag wer du bist oder du landest im ignore.
Er: aus dem rootforum da hab ich deine icq nummer her
wollt nur mal fragen ob du mir helfen könntest bei einem serverproblem
bin ich nun schon auf der ignore ^^
Ich: nee. ich bin nur gerade von 2wochen dauerarbeit wiedergekommen sorry.
muss auch gleich wieder weg
– worum geht es den genau?
Er: also
mein server ist überlastet da sehr viele qmail prozesse offen sind also er empfängt anscheind laufend mails
und die normalen mails lassen sich nicht mehr abholen
die kommen zeitverzeögert um fast 1 tag an
hast du ne ahnung woran das liegen könnte das qmail so viele prozesse offen hat?
Ich: uff. nö. mailserver hab ich noch nie betrieben :D
Er: ist doch standart ^^
Ich: ich bin grad am planen welchen imapd ich nehme und wie ich den konfiguriere.. aber praktische erfahrungen gehen gegen 0
bei debian ist exim dabei. den nutze ich aber nur lokal

Er: aber über ssh gestaltet sich das alles ziehmlig schwierig
^^ Mein Lieblingssatz :-)

Ich: hm? was soll an ssh schwierig sein?
unter linux hat man doch auch nur die konsole :D
Er: sowas zu kofigurieren
Ich: öhm…
Er: ich arbeite lieber mit grafikoberfläche
Ich: du, ganz ehrlich, wenn du sowas sagst, dann schmeiss deinen server weg
Er: kenne leider viel zu wenige konsolenbefehle
ich würd ihn ja gerne wegwerfen und nen webpack nehmen nur geht das nicht
Ich: wieso? gibt doch nette anbieter, die dir ein vhcs/confixx etc. zur seite stellen
Er: ja haben aber meistens eine zugriffsbegrenzung
bei hosteurope 100 user pro webpack
also gleichzeitige zugriffe auf eine domain
Ich: dann such dir einen managed server, mit service agreement
Er: sowas wäre genial nur wo finde ich sowas?
Ich: hmm http://webhostlist.de/ die haben im forum ein rubrik “suche hoster” oder so.
schreib da rein was du brauchst und gucke was man dir anbietet oder such selbst danach :D
Er: k danke da werde ich mal nachschauen
muss schon seriös sein

Blog mal wieder…

von Khark am 4. Mai 2006 um 14:26 Uhr

Jaja… Ich kann aber z.Z. nicht wirklich bloggen, weil ich in Paderborn bei Siemens sitze. Das ich dort kein Internet habe ist nur ein Problem.
Das sited keine Zeit hat ist auch doof und dass das Hotel in dem ich bin alle Einwahlrufnummern für Internet by Call (0800, 0900, 019x, etc.) gesperrt hat erst recht. Ok.. 4-5KB/s für 6cent/Minute ist wirklich nicht mein Fall.
Das reicht ja noch nichtmal für eine SSH-Session.

Das 4. Problem wäre, das ich kein Internetcafe in Paderborn finde, wo ich meinen Laptop anschließen kann…

In einem wäre es gegangen, wenn ich mein WLAN-Zeugs dabei gehabt hätte.. Wobei ich mir nicht so recht sicher bin, ob die Frau mit “USB” wirklich WLAN meinte. Der Dialog spielte sich ungefähr wie folgt ab:
Ich: Guten Tag, ich habe mal eine Frage. Kann ich bei Ihnen mit meinem Laptop online gehen?
Sie: Ja, setzen sie sich einfach an einen der Computer da drüben.
Ich: Nein… Ich will mit meinem Laptop über ihren Anschluss ins Internet. Also das ich meinen Laptop direkt anschließe und mich nicht an einen Ihrer Computer setze.
Sie: Was? Wie? Haben Sie den USB?
Ich: USB?? Klar hab ich USB-Anschlüsse. Nur was hat das mit Netzwerk zu tun?
Sie: Ja, wenn sie USB haben, dann können Sie sich doch so ein Dingen anstecken und dann darüber reingehen.
Ich: Ach so. Sie meinen einen Wireless LAN. Nein, die Karte hab ich nicht mit. Kann ich mir nicht einfach ein Kabel von einem PC nehmen?
Sie: Nein, das dürfen wir nicht. Nur über USB.

Warum macht man bei der Wikipedia mit?

von MichiK am 1. Mai 2006 um 22:25 Uhr

Ich mache ja nun schon länger (erster Edit am 25. Februar 2004) bei der Wikipedia mit. Mal mehr, mal weniger aktiv. Ruhm und Ehre hat mir das nie eingebracht. Auch sonst nichts. Mal hat es Spaß gemacht, mal war es stressig. Egal.

Und grade sah ich diesen Telepolis-Artikel. Hint: Das dritte Bild. Mit dem Zählrohr. Da macht das virtuelle Ego gleich einen Riesensprung nach vorne …!

Du bist Blogger!

von Khark am 9. April 2006 um 19:41 Uhr

Da das ganze Thema mittlerweile ja völlig abgenuddelt ist, kann ich ja jetzt auch mal drüber schreiben :D

*hrhm* *räusper*

Einkaufen tust du beim Shopblogger. Surfen über den Hostblogger.
Dein Anwalt ist der Lawblogger und um deinen Rechner kümmert sich der .it-blogger.
Die PR für dein Blog macht der PR Blogger und deine Musik wurde vom MP3 Blogger kritisiert.

Du bist ein Blogger. Dein Leben findet im Internet statt. Statt ins Leben zu gehen selber Dinge zu erleben und etwas zu bewegen regst du dich über den Scheiss von anderen auf, den vor dir schon tausend andere Leute durchgenommen haben.

Herzlichen Glückwunsch,
DU bist ein Teil des modernen Deutschland’s (mit Deppenapostroph)

Domainregistrierungen

von Khark am 4. April 2006 um 12:52 Uhr

Ein IT’ler zum anderen: Ruf mal bei der Denic an. Wegen Registrierung unserer .eu Firmendomain.

Tjo.. Das hätte man evtl. in Sunrise Phase 1 oder 2 machen sollen.
Nu steht die betreffende Domain auf Status: Application Pending. Sprich da hat jemand einen Antrag in Sunrise Phase 2 gestellt.
Da betreffende Firma aber auch die Rechte am Firmennamen als sog. Wortmarke hat, hätte man den Antrag sogar in Sunrise Phase 1 stellen können.
- Wie dem auch sei. Beides hätte man nicht bei der Denic machen können. Die Denic ist ausschließlich für .de Domains und seit neustem ENUM zuständig.

Aber ich durfte ja nichts sagen, weil: Auszubildender und Fremdfirmenmitarbeiter.
Außerdem hätte ich dann wieder als Besserwisser dagestanden.

Somit hab ich nur freudig in mich hineingegrinst, als $Techniker 10min später die gleiche Auskunft von Denic bekam und nun freudig von einer “Sunrise Phase 1″ schwärmt.
- Soll ich ihm verklickern, das die seit dem 6./7. Februar 2006 vorbei ist?

Oder soll ich ihm und mir Zeit sparen und ihm gleich verklickern, was ein Whois-Server ist und was die versch. Stati bedeuten?

Ach.. Ich bin ja nur Azubi.. Was weiß ich den schon über DNS…

*aufreg*

Domain-Nepp

von Khark am 3. April 2006 um 18:16 Uhr

Heute hab ich seit langem mal wieder eine Spammail erhalten, die es sich zu bloggen lohnt.

Are you perhaps interested in buying kharkerlake.com?

The domain is for sale through Dommerce for $89.95.

If you are interested signup here:

http://www.dommerce.com/transfer/xx/xx/kharkerlake.com

Jessy

Da bietet mir also jemand an, kharkerlake.com für nur $89.95 zu kaufen.
kharkerlake.net besitze ich ja bereits.

Am Ende der Mail befand sich ein Link, der den Namen der Domain die man mir verkaufen will beinhaltete.
Somit ist klar, das die Datenbank dahinter schonmal registriert, welcher Mailaccount überhaupt aktiv ist. (Mailadressen von Accounts die gelesen werden sind mehr wert. Mailadressen von Accounts bei denen man die Interessen kennt noch mehr.)

Aber trotzdem machte mich das natürlich neugierig. Hat sich da wirklich jemand meine Domain registriert, in der Hoffnung mir diese für unglaublich überteuerte 90 US-$ verkaufen zu können?
Und kann man diesen Domaingrabber evtl. Schaden, in dem man Interesse bekundet, dann aber abspringt?

Eine Whois-Anfrage später war klar, das kharkerlake.com noch nicht registriert ist.
Ergo hat $Domaingrabber noch kein Geld ausgegeben. Wird sich diese aber wohl registrieren, sobald ich auf den Link in der Mail klicke.

Bei einen Blick auf www.dommerce.com wurde dann auch ganz schnell klar, das dies auch nicht passiert.
Ich habe dort lediglich nur die Möglichkeit “meine” Domain zu kaufen, wenn ich die nötigen Angaben hinterlasse.
– Dooooooof :D

Bleibt wohl nur das Adressen sammeln über..

Aber auf der Seite findet sich wieder mal ein nettes Beispiel, wie man es nicht machen sollte.
Guckt mal auf http://www.dommerce.com/transfer/kharkerlake.com.
Kharkerlake dollars. – Weltherrschaft ich komme!!!

Kunstparker des Jahres

von MichiK am 15. Februar 2006 um 20:56 Uhr

Ich schicke von Zeit zu Zeit Fotos von diversen Aktionskunstwerken an kunstparker.de. Übrigens genau die richtige Seite für alle, die es auch hassen, wenn Leute absolut keine Manieren beim Parken haben… ;)

Jedenfalls wurde dort jetzt ein von mir fotografiertes Kunstwerk zum Kunstparker des Jahres 2005 gekürt.

*freu*

Wie wird gebloggt?

von MichiK am 16. Januar 2006 um 01:54 Uhr

Die “Forschungsstelle ‘Neue Kommunikationsmedien’” hat letztes Jahr im Oktober eine Umfrage du den Blogging-Gewohnheiten der deutschen Blogosphere veröffentlicht – davon habe ich damals irgendwie nichts mitbekommen, was nicht grade für meine Intergration in diese Blogosphere spricht – nun ja…

Die Ergebnisse der Umfrage lesen sich jedenfalls recht interessant, wobei ich zugeben muss, dass mich nicht sonderlich viel davon jetzt so sehr überrascht hat. Man darf gespannt sein, wie die angekündigte Folgeumfrage aussehen wird bzw. was aus den Ergebnissen der ersten Umfrage wohl wird.

Newsletter

von MichiK am 5. Januar 2006 um 03:18 Uhr

Ich wohne ja jetzt seit einer Weile in Leipzig und habe auch schon öfter über die hiesigen Straßenbahnen geflucht (z.B. hier, hier und hier). Nun die nächste Folge aus dieser lockeren Reihe von Verwünschungen…

Die LVB bieten einen Newsletter an. Eigentlich eine tolle Sache, denkt man – so weiß man (hoffentlich) immer rechtzeitig über Baustellen, Fahrplanänderungen und andere unangenehme Dinge bescheid. Dem Kenner fällt nun sofort die Checkbox auf: “E-Mail im HTML-Format empfangen” – Toll, dass man die Wahl hat. Wird natürlich nicht angekreuzt, ich will schließlich reinen Text.

Diese Checkbox hätte man sich schenken können. Die erste Mail, die irgendwann vor kurzem in meiner Mailbox aufgeschlagen ist, sieht nämlich so aus:

Sehr geehrte Damen und Herren,
vielen Dank für Ihre Bestellung des LVB-Newsletters. Wir freuen uns, Ihnen die 49. und letzte Ausgabe in diesem Jahr zusenden zu können. Den eigentlichen Inhalt finden Sie im angehangenen PDF-Dokument. Die Internetseiten der Leipziger Verkehrsbetriebe finden Sie unter www.lvb.de.
Mit freundlichen Grüßen
Leipziger Verkehrsbetriebe (LVB) GmbH

Toll. Einfach toll.
Saftladen… So macht man es nicht!

McDonalds vs. Burger King

von MichiK am 24. Dezember 2005 um 04:07 Uhr
  1. Cross-Site-Scripting ist geil. Hier klicken! (Oder hier nen Screenshot sehen.)
  2. Ich wüsste gerne, was dieses Plakat an exakt dieser Stelle wohl gekostet haben mag. BTW: Wer errät, wo das ist?

Liebe Kommentar-Spammer,

von MichiK am 15. Dezember 2005 um 06:12 Uhr

ich weiß ja, dass euer Leben nicht einfacher ist als unseres und dass ihr auch sehen müsst, wo ihr bleibt. Es wird immer schwieriger, im schnell wachsenden Web seine Seiten bekannt zu machen – mit einer Eintragung in ein paar Dutzend Suchmaschinen ist es nicht getan. Und von selbst landet man auch in keinen Linklisten. Ich kenne das… Man hat eine Seite und kein Schwein besucht sie. Ja. Ich kann euch verstehen.

Dennoch, tut mir (und meiner Mailbox, denn ich bekomme jeden Kommentar von euch per Mail, weil das Blog natürlich nicht doof ist und Spam schon 10 Meilen gegen den Wind riecht) bitte einen simplen, einfachen und dennoch sehr großen Gefallen:

Geht sterben.
Jetzt.

Danke für eure Aufmerksamkeit!

Telefonieren kostenlos?

von MichiK am 28. September 2005 um 02:50 Uhr

Verschenkt die Bundespost Deutsche Telekom T-Com ihre Telefonanschlüsse neuerdings? Die Seite “Alle Tarife auf einen Blick” sieht nämlich bei mir so aus:

Ganz allgemein scheint der laden gehörig den Arsch offen und wohl keine Kunden nötig zu haben. Ich suche jetzt bestimmt seit 20 Minuten auf deren Homepage nach den aktuellen Festnetz-Tarifen, finde aber nur diesen perversen Flash-Kram, der bei mir nicht funktioniert, weil irgendjemand dem “Webdesigner” wohl ins Hirn geschissen hat (falls vorhanden). Nirgendwo scheint es eine simple Liste mit den Tarifen zu geben. Und der Shop bewirft einen nur mit supertollen Spezialangeboten, die kein Mensch braucht oder “Paketen” mit Hardware, die ich nicht will. Zu allem Überfluss will der Haufen dann auch noch, dass man eine Telefonnummer angibt, wenn man ihnen eine E-Mail schicken will… Hallo? Sind die noch ganz klar im Kopf? Ich will einen Telefonanschluss von denen haben – hätte ich schon eine Nummer, würde ich doch garnichts von ihnnen wollen…

Ich stehe jetzt vor der Alternative, morgen mal im T-Punkt aufzuschlagen und dort ordentlich Frust abzulassen, der sich in letzter Zeit sowieso schon aufgestaut hat oder mir eine andere Firma zu suchen, die vielleicht mehr Interesse daran hat, mir günstig Telefon (analog reicht, kein ISDN oder so Schnickschnack) und DSL zu verkaufen. Vorschläge, Empfehlungen, Warnungen?

Nachtrag: Vielleicht liegt es auch daran, dass laut Homepage für meinen Bereich hier die Niederlassung in B*lefeld zuständig ist? Fnord.

Die Krankenkasse und das Studium

von MichiK am 6. September 2005 um 12:45 Uhr

Für die Uni brauche ich eine Bescheinigung meiner Krankenkasse. Soweit nichts neues, jeder der schonmal studiert hat, weiß was ich meine – und weiß, dass ich damit ein bisschen spät dran bin, ja – aber warum etwas eher tun als nötig?

Da ich zu faul bin, mich ans Telefon zu klemmen, gehe ich auf deren bunte, mit Werbung zugekleisterte Homepage und nach einer mittelgroßen Klickorgie lande ich tatsächlich bei den Infos für Studenten und sehe “Bescheinigung ganz einfach ausdrucken”. Sehr schön, genau das was ich brauche. Also draufgeklickt und was passiert? “Sie müssen sich erst für diesen Service anmelden.” Auch gut – hätte ich mir denken können. Also meine Daten eingegeben, die Versicherungsnummer rausgekramt, auf die Bestätigungs-E-Mail gewartet, anschließend wieder den Weg zum Formular gesucht und… “Sie können dieses Feature erst nutzen, wenn Sie den Freischaltcode eingegeben haben, den Sie per Post erhalten.” Verdammt… also warten.

Der Freischaltcode ist jetzt, fünf Tage später, da. Ich logge mich ein, hacke den Code in das entsprechende Feld, die Seite freut sich, dass ich mich authentifiziert habe und ich darf, so eine Meldung, jetzt alles tun. Also wieder durch die Seite zum entsprechenden Formular gewühlt, draufgeklickt, was passiert? “Uns fehlen noch Informationen, bitte rufen Sie uns an oder schicken Sie eine E-Mail.”

Gehts noch? Hätten die mir das nicht direkt am Anfang sagen können? Muss das wirklich sein, dass ich mich freue, die Sache ganz einfach online erledigen zu können, aber nun nach fünf Tagen Verzögerung doch wieder anrufen darf? Meine Zeit bleibt ja auch nicht stehen, sondern läuft weiter… Saftladen.

wetter.com ist lustig

von MichiK am 18. August 2005 um 22:48 Uhr

sonnig um 22 Uhr

Der gesuchte Ausdruck lautet “klar”. Die Sonne ist nämlich schon vor zwei Stunden untergegangen und es ist stockdunkel draußen… ;)

Gegen Vorratsdatenspeicherung

von MichiK am 31. Juli 2005 um 01:02 Uhr

Pauschale Überwachung ist böse. Vorratsdatenspeicherung ist erst recht böse. Da wohl keiner von uns eine an Orwells “1984″ erinnernde Welt möchte, erlaube ich mir hier mal, auf folgende Aktion hinzuweisen:

Data retention is no solution!

Wer die schon kennt und unterschrieben hat: Gut so! Weitersagen!
Wer die noch nicht kennt: Anschauen, unterschreiben! Weitersagen!

Phisher-Jagd

von MichiK am 18. Mai 2005 um 20:56 Uhr

Ich hatte bereits vor einigen Tagen berichtet, dass eine E-Mail-Adresse bereits nach einem einzigen Posting im Usenet verbrannt ist und mit Spam zugemüllt wird. Jetzt kam eine E-Mail mit folgendem Text:

You have added phoneseller@yahoo.com <http ://210.67.97.244/secure/login.html>as
a new email address for your eBay account.

If you did not authorize this change or if you need assistance with your
account, please contact eBay customer service at:

http://scgi.ebay.com/verify_id=ebay <http ://210.67.97.244/secure/login.html>

Thank you for using eBay!
The PayPal Team

Man beachte dabei den Trick mit der URL.

Der Quelltext dieser Seite stellt sich sehr interessant dar. Alles ist komplett in JavaScript geschrieben und wird mit der unescape()-Funktion in interpretierbaren Text verwandelt. Ist ja klar, so kann jemand, der in den Quelltext schaut, nichts auf den ersten Blick erkennen. Ich will mir also ein kleines Script schreiben und schauen, was diese Seite wirklich tut. Anschließend werden dann die Scripte, die hinter dem Formular hängen, fleißig mit Zufallsdaten gefüttert.

Selbst schuld, wer mir solche Mails schickt…

Links

von MichiK am 3. Mai 2005 um 19:56 Uhr

Wer eine Internetseite betreibt, muss damit rechnen, dass darauf auch Links gesetz werden (auch Deep-Links). Dazu hat auch der BGH mal was gesagt. Sogar wenn es um urheberrechtlich geschützte Werke geht, muss man damit rechnen, das Links darauf gesetzt werden.

In diesem Sinne:

Link
Link
Link

Ebay

von MichiK am 2. Mai 2005 um 18:48 Uhr

Ist das eine seltsame Ebay-Krankheit, wenn mein Vater ins Zimmer kommt, sagt “Du, der Papst-Golf steht jetzt schon bei 62 600 €” und mir keine andere Antwort einfällt als “Also gestern waren es noch 61 200…”?