Offenheit des tages

Beim Hack der Videoplattform DailyMotion gelang es unbekannten Angreifern Ende 2016, in die Server der Seite einzubrechen und eine Datenbank mit über 87 Millionen Nutzerkonten – inklusive knapp 18 Millionen Passwort-Hashes – mitgehen zu lassen. Nun wird deutlich, dass dies deswegen möglich war, weil die Betreiber der Seite ihren Quellcode auf GitHub veröffentlicht hatten. Unter anderem fand sich in dem Code-Repository das Passwort eines DailyMotion-Administrators

Heise! Wo ist das ein häck, wenn man ein völlig offen im internetz herumliegendes passwort verwendet? Das ist nix weiter als das nutzen frei verfügbarer informazjonen, das eintreten durch eine tür, die für besucher weit geöffnet war.

Aber hej, immerhin hat DailyMotion kräftig strafe dafür latzen müssen, dass sie nach dieser im internetze ausgesprochenen einladung mal eben 87 milljonen nutzerdatensätze (mit gehäschten und gesalzenen passwörtern) mit mäjhladressen veröffentlicht haben. Fünfzigtausend øre!!!1! Das ist bestimmt fast schon ein prozent der portokasse!!!!1! Das entspricht sex hundertstel ørecent pro veröffentlichter mäjhladresse. So viel ist die privatsfäre und spämmfreiheit von menschen zurzeit in scheißeuropa wert!

Fläsch des tages

Ich schreibe schon gar nichts eigenes mehr zur heise-meldung mit der fläsch-sicherheitslücke des tages. Nur eines: wer fläsch nicht deinstallieren kann oder möchte, sollte im brauser „click to play“ aktivieren.

Und ja: wenn ich höre, dass eine fläsch-lücke in dailymotion ausgebeutet wurde, dann glaube ich nicht, dass sie von dailymotion ausgebeutet wurde, sondern in form eingebetteter fläsch-werbung. Ah ja, ganz am ende schreibt das reklame-finanzierte heise onlein auch diese wichtige informazjon hin…

Da der Schadcode über Anzeigennetzwerke verteilt wird […]

…damit auch ja keiner den zusammenhang unmittelbar auffasst. Gegen diesen angriffsvektor gibt es ein sehr wirksames mittel: den adblocker. Niemals, niemals, niemals ohne adblocker im internet unterwegs sein! Dass die kwantitätsjornalisten von heise onlein nicht das „anzeigennetzwerk“ beim namen nennen, stinkt übrigens zum himmel. Halbwegs seriöse vermarkter haben selbstverständlich ladefähige anschriften ihrer kunden und würden im kommenden strafverfahren alles für die ermittlung dieser verbrecher tun und dies auch offensiv kommunizieren, um den eigenen ruf vor der beschmutzung durch solche machenschaften zu schützen. Offenbar ist so viel seriosität von einem reklamearschloch schon zu viel verlangt, und stattdessen wirds mit totschweigen geflickt.

Einer noch am ende: Dass diese scheißklitische namens „adobe“ nicht dazu imstande ist, ihre sicherheitstexte so zu veröffentlichen, dass ich sie mit einem gesicherten webbrauser mit deaktiviertem javascript lesen kann, diskwalifiziert „adobe“ für alle sicherheitsangelegenheiten. Vielleicht sollte man fläsch einfach mal von „adobe“ enteignen…

Schadsoftwäjhrschleuder des tages

Schadsoftwäjhrschleuder des tages ist „dailymotion“. Auch, wenn das im heise-artikel und in den verlinkten kwellen nicht so deutlich benannt wurde wie vor ein paar monaten

Derartige Angriffe können überall lauern – auch auf renommierten Webseiten wie Dailymotion. Die Attacke läuft meist über Werbebanner, die von den Betrügern geschaltet werden, nachdem sie den von der Ziel-Webseite genutzten Adserver kompromittiert haben

…gehe ich davon aus, dass auch diesmal die infekzjöse kackscheiße über einen von kriminellen übernommenen ad-sörver zu „dailymotion“ gelangt ist. Oder um es anders zu sagen: Ich gehe davon aus, dass bei ganz vielen leuten, die sich auf ihr ziemlich wirkungsloses antivirus-schlangenöl verlassen haben, jetzt ein kompjuter anderer leute auf dem schreibtisch steht — und zum ausgleich dafür bei niemandem, der einen adblocker (nach möglichkeit um noscript ergänzt) verwendet. Und deshalb würde ich immer davon abraten, ohne adblocker im web unterwegs zu sein. Egal, welche webseit. Die überall eingeblendete reklame kann „infekzjös“ sein, und zwar auf die übelste weise. Und wenn irgendwelchen webklitschen keine seriöse geschäftsidee kommt, als irgendwelchen dritten das privileg einzuräumen, irgendeine javascript-scheiße mit reklame einzubetten, tja, dann werden sie halt insolvent gehen. Vielleicht fällt ihnen vorher noch mal ein, dass man reklame auch in eigener verantwortung vermarkten könnte, ohne ein schweres sicherheitsloch für jeden besucher aufzureißen…