Security des tages

Hej, die website hat TLS, die ist sicher. Kannst sogar aufs schlösschen klicken, das ist wirklich ih-bäh, nicht irgendein phisher. Gut, dass inzwischen alles so klicki-klicki sicher ist, sonst gäbe es ja richtig viel kriminalität:

Denn die gefälschten Login-Seiten sehen dem Original nicht nur zum verwechseln ähnlich – die Betrüger haben diese auch auf einem eBay-Server abgelegt. Dazu nutzen sie die Artikelbeschreibung

😯

Diese Masche ist bereits seit 2015 bekannt und gegenüber heise Security sprach auch eBay von einer gängigen Methode. Neu ist die Nutzung von SSL, welche Sicherheit suggeriert

Ah, ich verstehe, kennt man schon ein paar jährchen bei ih-bäh, den trick. Na, dann ist es ja völlig verständlich, dass ih-bäh da gar nix machen kann. Nicht.

Auch weiterhin viel spaß mit dieser obersten priorität, welche die sicherheit und der schutz von… ähm… vor trickbetrügern bei den großen, milljardenschweren internetzklitischen hat! Gefühlte sicherheit fühlt sich doch gut an, und das schlösschen im brauser stimmt auch. Was will man da noch mehr? :mrgreen:

Drei, zwei, eins, meins…

Ebay, dieser virtuelle garahschenflohmarkt, ist nicht TLS-verschlüsselt. Das heißt: fast nicht. Beim anmelden und auf den hilfeseiten [!] schon. Und das bedeutet, dass jemand, der den datenverkehr mitsnifft (na, offenes WLAN irgendwo) über die cookies die sitzung und das benutzerkonto einfach übernehmen kann und dann damit machen kann, was er will.

Und ich habe mich immer gewundert, warum gerade bei ebay so viel scheiße passiert.

Aus einem anonymen kommentar…

EBay verkauft/leekt [sic!] sämtliche persönlichen Daten (Mail-Adresse, Adresse, Vor-, Nachname, Telefonnummer, …) an Internetkriminelle.
PayPal tut dies (bis jetzt) „nur“ mit der Mail-Adresse

Natürlich mit den üblichen vorbehalten — der kommentar ist völlig anonym verfasst (einschließlich mäjhladresse über einen dienstleister für wegwerfadressen), muss nicht stimmen, mache ich mir auch nicht inhaltlich zueigen, sondern weise nur darauf hin — weitergegeben. Es klingt für mich aber keineswegs unplausibel. Und nur für den fall, dass ich diesen kommentar eines anonym bleibenden lesers demnächst in der BRD löschen muss, weil jemand im lande des vollumfänglichen rechtsschutzes für beleidigte leberwürste seine anwaltshorden losschickt, an den dunkelkammern von hamburg und köln das internetz durchlöschen zu lassen, gibt es hier noch ein kleines bildschirmfoto, gehostet in einem land, in dem die freiheit der meinungsäußerung in einer richtigen verfassung drinsteht. Und eine archivierung über das internetzarchiv.

Ebay-aukzjon des tages

Meine Stiefel aus dem Dschungelcamp 2016 RTL, nur dort getragen. Original und die Stiefel haben nicht nur tausende Kakerlaken zertreten, sondern auch alles andere im Dschungelcamp in Australien mitgemacht. Das Dschungelcamp klebt praktisch noch dran! Ich muss sagen sie sind bequem, haben mir aber gar kein Glück gebracht. Vielleicht haben Sie eine Freude an dem exklusiven Stück Dschungelcamp 2016!

Vielleicht sollte ich auch einfach mal eine mischung aus schlamm, kakerlaken und leder versteigern. Bringt nur nix, denn ich war nicht im fernsehen…

Erfreuliches aus der hamburger dunkelkammer

Wer mit einem spämmer wie „ebay“ seine geschäfte macht und deshalb dafür verantwortlich ist, dass andere die spämm über „ebay“ bekommen, ist ein spämmer. Das ist genau die gleiche kacke wie bei „amazon„, die neulich beim OLG hamm für illegal erklärt wurde.

Liebe abmahnanvergewälte und sonstige jurageier, nutzt eure schangse! Sorgt dafür, dass die kooperazjon mit großen, gewerbsmäßigen spämm-klitschen für jeden, der sich darauf einlässt, ein unkalkulierbares kostenrisiko wird! Anstand wäre mir auch lieber gewesen. Aber den haben die ehrenwerten kaufleute nun einmal nicht. Sonst wären sie ja auch keine kaufleute geworden.

Spämm hat jede nur denkbare ächtung verdient. Immer. Wenn riesige unternehmen wie „ebay“ und „amazon“ die illegale und asozjale spämm zum bestandteil ihres geschäftsmodells erheben, dann sind ihre partner, die dieses geschäft erst ermöglichen, die eigentlichen täter.

Ja, „ebay“-hungerkaufmann und „amazon“-krämer: du bist die spämm, du loch, du!

Gut, dass dein geschäft in der BRD zurzeit schlicht illegal ist. Ich hoffe, die abmahnschriebe, die du hoffentlich morgen schon im briefkasten hast, tun dir so richtig weh! Sonst merkst du ja leider nix mehr, du vollidjot! Hättest du deine eigenen vertriebskanäle aufgemacht, hättest du auch nicht zum spämmer werden müssen — und wenn du einigermaßen umsatz machst, wäre das sogar billiger geworden als die gebühren, die sich solche kraken wie „ebay“ und „amazon“ bei jedem geschäft unterm nagel reißen. Aber nein, du bist eben ein vollidjot. Und ein stinkender, widerwärtiger spämmer, der schlicht illegal handelt.

Security des tages

Bei „ebay“ gibt es eine fiese XSS-lücke, die es ermöglicht, mit der webseit von „ebay“ selbst nach passwörtern zu phishen. In der domäjhn von „ebay“. Mit schlösschen im brauser. Wo man sich sogar die einzelheiten angucken kann, weil es das zertifikat vom „ebay“ ist.

Aber ihr klickt ja hoffentlich nicht in mäjhls herum, wenn die scheinbar von banken, internetz-diensten oder virtuellen garagenflohmärkten wie „ebay“ kommen, oder?! Ihr verwendet doch hoffentlich immer die lesezeichen eures webbrausers, oder?! Denn das phishing läuft ja meist über mäjhl, um einen link zuzustecken…

Unerschütterliches misstrauen gegenüber mäjhl ist wichtiger als jedes schlangenöl! Die frage, warum „ebay“ — immerhin eine klitsche, die ihr geschäft über dieses internetzdingens macht — nicht damit beginnt, seine mäjhl digital zu signieren und seine nutzer darüber aufzuklären, was es damit auf sich hat und wie man damit im alltag umgeht, bitte an „ebay“ stellen! Ach, „ebay“ haftet gar nicht für die betrugsgeschäfte, die dann in fremder identität über „ebay“ laufen, sondern verdient auch noch dran? Na, dann ist ja alles klar!

Feierfox (mit „iceweasel“-geschmack) des tages

Der feierfox in der debian-geschmacksrichtung namens „iceweasel“ ist wirklich sehr darum bemüht, den erwartungen seiner nutzer zu entsprechen. Deshalb lädt er zum beispiel noch bevor man irgendwas in die adressleiste eingegeben hat das „favicon“ von ihh-bäh und amazon runter. Das ist ein extrem wichtiges funkzjonsmerkmal. Wo kämen wir auch hin, wenn der brauser nicht schon damit anfinge, die erste reklame (von zwei üblen, träckenden und die privatsfäre der menschen mit füßen tretenden scheißläden aus den USA) runterzuladen, bevor wir auch nur damit rumbrausen? Oder, ums mal so zu sagen, wies dann gesagt wird, damit anwender auch kapiert, wer herr ist:

If you don’t want the functions that Firefox provides, don’t use it.

Ich bin inzwischen viel zu kaputt, um das fette dingens zu forken und einen „dietfox“ draus zu machen (einschließlich kompromisslos datenschützender voreinstellungen), aber jemand muss es tun! Dringend! Die alternative zum fork ist, dass sich der feierfox immer weiter in eine als „freie softwäjhr“ getarnte, halbtrojanische reklameplattform für halbseidene klitschen ohne seriöses geschäftsmodell verwandelt. Das kann keiner wollen, krohm gibts doch schon…

[via Rosa Elefant]

Datenschleuder des tages

Das schoppsystem „magento“, das unter anderem bei ihh-bäh-schopps eingesetzt wird, hat es angreifern ermöglicht, große datenbanken mit kreditkartendaten (und vielleicht sogar weiteren kundendaten) aufzubauen.

Ich wünsche euch auch weiterhin viel spaß beim bekwemen bargeldlosen bezahlen im internet! Die liste der datenschleudern wird länger und länger und länger… 😦

Security und „ebay“ des tages

Es scheint möglich zu sein¹, in eine „ebay“-nachricht an einen anderen nutzer von „ebay“ eine datei einzubetten, in deren dateiname javascript eingebettet ist — über diesen XSS-angriff kann das „ebay“-konto beim betrachten der nachricht gepwnt werden. Das problem war bei „ebay“ seit mehr als einem jahr bekannt, dagegen gemacht wurde nichts. Da bekommt der alte reklamespruch „drei-zwei-eins-meins“ gleich eine ganz neue bedeutung.

Ich wünsche euch auch weiterhin viel spaß beim vertrauen auf die dicken, bunten sicherheitsversprechen großer web-geschäftemacher!

Habe ich eigentlich schon einmal erwähnt, dass ich javascript für eine pest halte?!

¹Ich habe es nicht ausprobiert, meldung via full disclosure.

Bot des tages

Der bot, der als user-agent die nichts sagende zeichenfolge 007ac9 Crawler angibt und in diesem monat immerhin stolze 15.400 anfragen auf das spämmblog (mit seinen zurzeit insgesamt 3.200 einträgen) losgelassen hat, wird von der SEO-klitsche sistrix betrieben. Als ob SEO — also auf suchmaschinen gerichtete spämm-techniken — noch nicht widerwärtig genug wäre, hat sistrix sich einen ganz tollen text ausgedacht, falls mal jemand danach sucht:

Wir von SISTRIX haben es uns zur Aufgabe gemacht, Inhalte und Netzwerke im Internet zu untersuchen, um Informationsmonopole, wie sie derzeit durch Suchmaschinengiganten entstanden sind, aufzubrechen. Die dafür notwendigen Informationen sammelt zum Teil der 007AC9 Crawler.

So so, fast schon für einen guten zweck und vor allem gegen die gefährlichen großen monopole… *schwallkotz!*

Ich als empfindsames wesen, das manchmal erbrechen muss, wenn es mit widerwärtiger heuchelei und nichtssagenden reklame-frasen konfrontiert wird, werde bei nächster gelegenheit (ich sitze gerade an einer kiste, an der ich nicht wirklich gut arbeiten kann) den gesamten IP-bereich von sistrix sperren. Noch lieber würde ich diese SEO-nuckler und suchmaschinen-manipulatöre aus der welt entfernen; diese netzvampire, die einfach nur massenhaft daten für ihre „dienstleistung“ einsammeln, um mit hilfe dieser daten besser dafür sorgen zu können, dass menschen nicht mehr finden, was sie suchen, und stattdessen das, was nach meinung von werbelügenden suchmaschinen-verschmutzern im brote der geldmacht gefunden werden soll. Dass widerliche und letztlich kundenverachtende klitschen wie „ebay“, „tui“ und die „lufthansa“ ihre eigene reputazjon dadurch in die scheiße ziehen lassen, dass sie mit so einem halbseidenen, vampiristischen und in seiner selbstdarstellung intelligenzverachtend verlogenem pack gemeinsame sache machen, ist deren problem, das hoffentlich auch einmal — am besten schon heute — am umsatz spürbar wird.

Geh sterben, du vampir von scheiß-SEO, und stirb grausam! 👿

„Cloud“ des tages

Kennt ihr den schon? Durch die „cloud“ ist alles im internet, bei ganz großen anbietern mit riesigen sörverparks, da kann es praktisch keine ausfälle geben. Mit gruß von meikrosoft an „easyjet“, „toyota“, „tesco“, ihh-bäh, „boeing“ und äppel:

The point about Azure was that they guarantee that your site will always be up because there are multiple places, effectively, where your software can run. If there’s one problem, it should happily switch to run elsewhere.

And that’s just not happening today – we’re completely out.

Bwhahahaha! Auch weiterhin viel spaß in der „cloud“!

Ieh-bäh des tages

Kundenbewertungen auf ieh-bäh sind jetzt nicht mehr dazu geeignet, sich eine meinung über den verkäufer zu bilden. Wer dort etwas schlechtes schreibt, wird gelöscht (und möglicherweise sogar schadenersatzpflichtig), und zwar selbst dann, wenn das sachlich richtig gewesen sein sollte. In jedem fall muss vor abgabe einer negativen bewertung — selbst, wenn diee sachlich richtig ist — mit dem verkäufer kontakt aufnehmen. Auch, wenn der verkäufer aus china, russland oder sonstwoher kommt. Auch, wenn er einem ein… sagen wir mal… elektrogerät mit lebensgefährlichen sachmängeln verkauft hat.

Auch weiterhin viel spaß beim einkaufen im internetz! Und: so richtig getaugt hat das mit den bewertungen auf ieh-bäh ja noch nie. Das sich leute mit reinen abzocker-angeboten¹ und andere kwasibetrüger auf der suche nach naiven opfern über eine solche rechtsprechung freuen können, macht wenigstens einmal mehr klar, was in der BRD vom recht geschützt wird, und was in der BRD vom recht unterdrückt wird. Aber an die staatliche und juristische kriminalitätsförderung sollte sich in der BRD sowieso jeder schon gewöhnt haben.

¹Wers — wie vom verkäufer offenbar beabsichtigt — nicht gleich sieht: da wurde ein pappkarton (eine originalverpackung, abgekürzt als „OVP“) mit abnutzungsspuren für 156 øre verkauft. Weil das angebot demnächst gelöscht wird, habe ich mal ein bildschirmfoto davon gemacht.

Javascript des tages

Die besucher einer iehbäh-aukzjon über eine von der iehbäh-webseit angebotene XSS-möglichkeit¹ auf eine iehbäh-phishingseit lotsen, um ihnen dort die zugangsdaten abzunehmen. Es gäbe ja einen guten schutz gegen diese form des angriffs: einfach kein javascript zulassen. Allerdings lässt sich iehbäh ohne javascript gar nicht mehr benutzen… und es gibt keinen einzigen technischen oder sachlichen grund, warum auf einer derartigen webseit überhaupt javascript erforderlich sein sollte. Einmal ganz davon abgesehen, dass diese drexseit von iehbäh ihren kohd von gefühlt hunderten von domäjhns holt, so dass es selbst mit noscript eine kwal ist, etwas anderes zu machen, als einfach nur zu erlauben.

Warum iehbäh dann nicht für die schäden haftbar gemacht wird, die durch den technisch und sachlich unnötigen zwang zu javascript entstehen? Tja, für solche läden gilt halt kein recht mehr.

Aber krasse idee von den iehbäh-machern, einfach die drei aukzjonen mit dem phishing zu löschen! :mrgreen:

¹Nee, XSS ist kein häck, sondern sollte immer als freiwilliges oder unfreiwilliges angebot des seitbetreibers betrachtet werden: betten sie ihren kohd hier ein!

Warum man „eBay“ keine daten gibt

Warum man „eBay“ oder irgendeiner anderen klitsche mit tollem modernen web-„geschäftsmodell“ keine daten gibt? Der folgende kommentar aus dem heiseforum gibt einen wirklich guten grund:

Gestern erhielt ich einen Anruf eines eBay Users ob ich eine Handtasche ersteigert hätte. Ihm wäre aufgefallen das die PayPal Adresse (Email) nicht mit der Adresse des ersteigeres zusammenpasse. Auf die Frage woher er meine Telefonnummer und Adresse hätte sagte er von eBay […]

Ja, dieses „eBay“ scheint die — zum teil deutlich in die privatsfäre hinragenden — gesammelten daten seiner nutzer einfach mal zu anderen nutzern weiterzutragen. Auch weiterhin viel spaß mit den ganzen datenschutzversprechen irgendwelcher unseriöser geschäftemacher im web! Und jetzt hier klicken, in das kästchen vor dem text „ich habe die nutzungsbedingungen gelesen und bin damit einverstanden“! Manche werden wohl erst dann aufwachen, wenn die bei solcher laxheit auch von arschlöchern abgegriffenen daten für einen identitätsmissbrauch verwendet werden, der zwei jahre lang ärger macht.

„eBay“ des tages

Nicht nur, dass „eBay“ gerade erst 145 milljonen nutzerdaten veröffentlicht hat, die webseit des beliebten garagenflohmarktes im web hat auch eine ausbeutbare XSS-schwachstelle. Ist aber nicht weiter schlimm, eBay weiß schon seit monaten davon und unternimmt nichts, weil… ähm… der schaden ja eh nur ein paar nutzer betreffen kann und diese grobe fahrlässigkeit keinerlei juristische konsekwenzen hat. Auch weiterhin viel spaß damit, jeder webseit ohne technische und sachliche notwendigkeit das ausführen von javascript zu gestatten, so dass sich ziemlich unkontrolliert fremder kohd im brauser „austoben“ kann!