Schon mitbekommen? Google.cn wird nicht mehr seine Suchergebnisse zensieren lassen, und geht somit einen offenen Konflikt mit der chinesischen Regierung ein.
Google nennt sogar einen Rückzug aus dem chinesischen Markt als mögliche Konsequenz dieses Konfliktes.

Mit Javascript Quick’n'Dirty die Basis einer Zahl konvertieren:

javascript:alert(parseInt(123,5).toString(2))

Wobei in diesem Beispiel die Zahl ‘123′ in der Basis ‘5′ in die Basis ‘2′ umgerechnet wird.

Damit ich nicht jedesmal die Bookmarks durchforsten muss, hier mal die ganze Prozedur zum Kompilieren von ffmpeg inkl. MP3-Support in einem Aufwasch:

sudo apt-get install lame libmp3lame-dev subversion gcc;
svn checkout svn://svn.mplayerhq.hu/ffmpeg;
./configure --enable-libmp3lame --extra-cflags=-I/local/include --extra-ldflags=-L/local/lib;
make;
sudo make install;

Dem apt-get habe ich noch subversion und gcc hinzugefügt, weil es vielleicht nicht jeder auf seiner Kiste hat. Jedenfalls kann man mit der selbst kompilierten Entwicklerversion von ffmpeg schön mit Macromedia Flash Videos (.flv-Dateien) herumspielen.

Ich wundere mich gerade, was bei echo => $picfile created in einem Shellscript, das Screenshots eines Videos anlegt, alles so schief gehen kann.

Der genannte Befehl gibt nicht => 123.jpg created aus, sondern speichert “=” in der Datei 123.jpg.

Mensch

Habe soeben mal eine Sicherheitslücke in Wordpress 2.8.5 gemeldet. Mal schauen ob sie mich diesmal verlinken

Update: Antwort bereits eingetroffen, sie arbeiten an einem Fix. Nett.

Update: Und jetzt gibt es auch Wordpress 2.8.6, alle schön updaten!

oder: Sicherheitslücken in Audible.de, Borromedien.de, ReifenDirekt.de, weg.de und safer-shopping.de

Anmerkung: Diese Story ist nicht als Eigenwerbung gedacht, und es würde mir sehr leid tun, wenn es so rüberkommt. Die ganze Sache hat mich rein privat verfolgt und ich beschloss mal einen Blick drauf zu werfen!

Als ich heute Mittag auf Fefe’s Blog über den Libri-Datenskandal im Bezug auf das Homepage-Sicherheitssigel des TÜV SÜD gelesen habe, war für mich eines sofort klar:

Mein Softwareprojekt wird an diesem Freitagmittag keine großen Sprünge mehr machen, und ich werde diesem ominösen, aber auch sehr seriös anmutenden Sicherheitssiegel auf den Zahn fühlen!

Gesagt, getan. Die Homepage des TÜV SÜD zu diesem lukrativen Geschäftsfeld zeigt ein mit McAfee SECURE – vormals HackerSafe – vergleichbares Geschäftskonzept auf: Man zahle für eine Sicherheitsüberprüfung der Homepage, dann darf man sich mit einem kleinen Bild schmücken das Sicherheit suggeriert.

Schon bei HackerSafe gab es harsche Kritik wegen der allzu bereitwilligen Vergabe des Prädikats “Dies ist eine sichere Webseite, gib uns all deine Daten”, und die wird es nach Lektüre dieses Beitrags verdientermaßen auch beim TÜV SÜD geben.

.. also nahm ich kurzfristig einige Stichproben aus den Referenzkunden unter die Lupe; ein kurzer Test auf XSS und SQL-Injection, das übliche eben.

Auf der Hälfte der von mir “überprüften” Seiten existieren Sicherheitslücken.

• Audible.de
• Borromedien.de
• ReifenDirekt.de
• weg.de
• .. und sogar auf safer-shopping.de, der TÜV-eigenen Seite !!!

Welche Art von Sicherheitslücken?

Die Sicherheitslücken wurden durch Screenshots dokumentiert, um die angesprochenen Webseiten nicht in Verlegenheit zu bringen. Sie sind aber allesamt auch von einem 16jährigen mit etwas Fleiß auffindbar. Und auch wenn es sich nur um Cross-Site Scripting (XSS) handelt, kann man damit von Session-Hijacking über Phishing bis zu einem XSS-Wurm viele lustige Sachen machen. Vor allem mit einem vertrauenserweckenden https:// in der Adresse!

Audible.de Sicherheitslücke

Audible.de Sicherheitslücke: Die Banane tanzt.

Auf Audible.de ist das TÜV SÜD Sicherheitssiegel ziemlich versteckt am Rand der Homepage unten links angebracht. Die Seite erscheint auch sehr solide, jedenfalls bis man sich etwas tiefer in die Archive eingräbt, und sie funktioniert auch mit einem https:// am Anfang der URL. Feine Sache!

Borromedien.de Sicherheitslücke

Borromedien XSS Sicherheitslücke

Ein weiter Bücherversand, von dem ich vorher noch nie gehört habe. Das TÜV-Siegel ist eindrucksvoll unter dem Login-Feld angebracht, und in dessen direktem Umfeld tritt ironischerweise eine Cross-Site Scripting Lücke auf. Ich hätte gerne ein schöneres Fundstück auf Borromedien präsentiert, aber der Programmierer hat scheinbar einen Sinn für Humor!

ReifenDirekt.de / delti.com Sicherheitslücke

ReifenDirekt.de Sicherheitslücke mit SSL-Unterstützung. Auf die Sache mit der Banane bin ich immernoch stolz!

Reifendirekt.de ist ein sehr guter und auch preiswerter Reifenversand, ich habe dort letzt erst Sommerreifen gekauft. Leider läuft die ganze Seite über https://, und da macht sich eine XSS-Lücke leider nicht gut. Das TÜV-Siegel haben sie zum Glück aber schon mal in Richtung Seitenende verschoben. Die Lücke gibts umsonst

weg.de Sicherheitslücke

weg.de Sicherheitslücke, wenn auch nur auf optionaler Domain. Banana's still dancing!

Weg.de hat es schon ein bisschen schwerer gemacht. Aber es ist natürlich logisch dass Benutzerinput gut gefiltert wird, wenn die Software den ganzen Tag Suchanfragen nach nettem Urlaub parsen muss.

Das ist nun nicht ganz weg.de sondern cardelmar.de, aber afaik benutzen die nur eine eigene Domain für eine bestimmte Urlaubskategorie. Auf ein paar anderen zur Seite gehörenden Domains bröckelt es auch ein bisschen..

TÜV SÜD (safer-shopping.de) Sicherheitslücke

Safer-Shopping.de Sicherheitslücke (TÜV SÜD). Jetzt hat sich die Banane eingebrannt, nicht wahr?

.. last but not least gibt es auf der Sicherheits-Homepage des TÜV SÜD eine nette Sicherheitslücke. Mit SSL.

Damit verliert die ganze Sache mit dem Sicherheitssiegel leider enorm an Glaubwürdigkeit, wenn der einzige Punkt im Programm, an dem ein String als Parameter akzeptiert wird die Filterung nicht richtig hinbekommt.

Dies sind die Momente, die das Leben wieder lebenswert machen

Fazit

Bis auf große Versicherungsgesellschaften wie AXA, HanseMerkur und Karstadt-Quelle Versicherungen, sind die vom TÜV SÜD für besondere Homepagesicherheit zertifizierten Webshops kein Deut sicherer als andere Seiten.

Selbst ohne Benutzerkonto präsentieren sie bösartigen Personen genügend Angriffsfläche für allerlei Sachen die am Ende die Kunden ausbaden müssen. Unter einer Sicherheitszertifizierung hätte ich mir zumindest einen groben Penetrationtest vorgestellt, der bei den aufgezeigten Homepages mit großer Wahrscheinlichkeit nicht durchgeführt wurde, da selbst ein Wald-und-Wiesen-Hacker wie ich Erfolg hatte.

Zum Nachdenken: Für diesen Report habe ich inkl. Artikelschreiben ca. 3 Stunden benötigt, für ein kommerzielles Siegel kann man doch wohl einen Studenten kurz drüberschauen lassen, oder?

Anmerkungen

Falls Sie mit einer der angesprochenen Webseiten etwas am Hut haben, so schreiben sie mich an und ich zeige ihnen gerne den genauen Ort der Sicherheitslücken, damit die Sache möglichst schnell aus der Welt geschafft ist. Kontaktmöglichkeiten siehe Impressum.

EDIT: Da ich jetzt schon darauf angesprochen wurde: Ja, die Sicherheitslücken wurden den jeweiligen Homepages natürlich sofort auf verschiedenen Wegen mitgeteilt. Mit dem Aufruf zur Kontaktaufnahme in diesem Blogpost wollte ich nur die Sysadmins erreichen, die man eher auf Heise als im Kundensupport findet. Wenn ein Unternehmen erstmal die Alexa-5000 “Schallmauer” durchbrochen hat, dann dauert es manchmal länger, bis das Supportticket den richtigen Bearbeiter findet, als wenn der IT-ler eines Unternehmens die Sache sowieso in den News liest und sich nicht an mich herantraut.

Falls jemandem von den Quadratwurzeln meine 2 Cents gefallen hat so möge er sich doch bitte bei mir melden. Schon erledigt, dankeschön!

Alle Rechtschreibfehler dürfen behalten werden, ich genieße ab sofort meinen Freitag Abend!

Ich habe mich nun endlich hingesetzt, und die neue Version von easyComment reif für die Massen gemacht. In easyComment 1.2 gibt es folgende Neuerungen:

• mehrere Kommentar-Profile sind möglich
• Textmutation im Kommentar. z.B. wird aus Du {Affe|Pferd}! entweder “Du Affe!” oder “Du Pferd!”.
• bessere Bedienung

Herunterladen kann man die neue Version von Mozilla.org, die anderen erhalten sie regulär über das Firefox-Update:

https://addons.mozilla.org/en-US/firefox/addon/9095/ !

Wie es sich gerade im Twitter abzeichnet, wurde Mexiko nach Drogenkriegen und Schweinepest nun auch noch von einem schweren Erdbeben mit 5,6 bis 5,8 Punkten auf der Richterskala getroffen.

Dieses Erdbeben in Mexiko wird dem Land jetzt noch etwas weiter zusetzen. Berichtet wird unter anderem auch auf Tagesschau.de und Reuters.com von “auf die Straße fliehenden Menschen” und “6.0 earthquake no. of Acapulco”.

Erdbeben in MexikoNachrichtenagenturen melden “schweres” Erdbeben in Mexiko-Stadt. US-Geologiebehörde: Stärke 5,8.

In case anybody is searching an up-to-date Wammu & Gammu repository for Ubuntu Linux, check this out: https://launchpad.net/~nijel/+archive/ppa.

In order to use it, just add it to your APT sources.list:

deb http://ppa.launchpad.net/nijel/ppa/ubuntu intrepid main
deb-src http://ppa.launchpad.net/nijel/ppa/ubuntu intrepid main

.. and import the corresponding Key from the Ubuntu Keyserver:

sudo apt-key adv –recv-keys –keyserver keyserver.ubuntu.com AD829E29A018BAF8C3842FB080E7349A06ED541C

At this point, a normal sudo apt-get update && sudo apt-get upgrade will give you the latest version of Gammu, 1.24.00!

Hope I could help anybody out there.

Hey, nach einigen Wochen hat es mich jetzt richtig genervt, dass in vi und nano immer die Umlaute so müllig dargestellt werden. Eine Abhilfe gibt es, wenn man einfach mal

LC_ALL=de_DE.UTF8

In die ~/.bash_rc einfügt und die Shell neustartet. Jetzt sieht endlich wieder das scharfe S “scharf” aus!