Warum HTML in mäjhl eine scheißidee ist

Ist der Mail-Client Thunderbird auf Computern installiert, könnten Angreifer Systeme unter anderem mit Schadcode attackieren […] Mozilla schreibt in einer Warnmeldung, dass Angreifer beispielsweise mit präparierten XSLT Stylesheets aus der iFrame-Sandbox ausbrechen könnten, umso etwa eigene Skripte auszuführen (CVE-2021-38503 „hoch“). Außerdem könnten Angreifer durch das Ausnutzen weiterer Lücken DoS-Zustande auslösen und Software crashen lassen.

Zumindest die XSLT-lücke gibt es nur, wenn HTML-mäjhl dargestellt wird — so, wie viele andere heftige sicherheitslücken des thunderbird. Schon die auswahl „darstellung als vereinfachtes HTML“ hilft gegen solche probleme, besser ist jedoch die reine textansicht. Keine sorge, man verpasst dadurch nichts, wenn man mal von reklame und spämm absieht. Klar, wenn man sich jetzt schnell die neue versjon zieht — macht es! — muss man nicht unbedingt an der konfigurazjon rummachen, aber vielleicht sollte man doch besser. Nicht, dass die spämmer mit einem heimlich installierten erpressungstrojaner mal ein paar stündchen schneller als die entwickler sind… 😉️

Mit der frage, warum die darstellung von HTML-mäjhl standard ist, müsst ihr euch allerdings an die mozilla foundation wenden.

Für einige der weiteren mit extralauter alarmtröte vom ehemaligen fachverlag heise angedeuteten lücken müsste man skripting in mäjhls erlauben. Das schaltet sogar die mozilla foundation standardmäßig ab. Und das ist gut so. Es gibt dafür keine einzige sinnvolle anwendung.

Aber hej, für HTML-mäjhl gibt es bei lichte betrachte auch keine einzige sinnvolle anwendung, und nur sicherheits- und privatsfärenprobleme. Wenn man ein stärker formatiertes dokument versenden will, gibt es die möglichkeit eines mäjhlanhanges. Ich kriege die meiste HTML-mäjhl von spämmern — und von leuten, die nicht wissen, wie man seine mäjhlsoftwäjhr konfiguriert und zu faul sind, das einfach mal kurz in diesem internetz zu suchen, weil es ihnen eh egal ist.

Die welt hat drauf gewartet!!!1!!

98.css ist eine CSS-bibliotek, um benutzerschnittstellen zu bauen, die wie windohs 98 aussehen… 😉

Schön, dass wir auf dem weg vom web 2.0 zum active web 98 dieses web 3.11 einfach überspringen.

Warum HTML-mäjhl scheiße ist, teil 12122

Wie man als krimineller seine phishing-spämms an den spämmfiltern vorbeibringt? Indem man sie als HTML-mäjhl verfasst, die einen font aus dem web nachlädt, dessen glyphen jeweils anderen zeichen des alfabetes entsprechen, so dass der dargestellte text für die filterprogramme wie sinnlose zeichenfolgen aussieht [link auf einen englischsprachigen text]:

So funkzjoniert es: die seite lädt einen eigenen font, der beispielsweise das „A“ als „E“, „B“ als „H“ und so weiter darstellt. Auf diese weise wird eine primitive verschlüsselung durch ersetzung erzeugt, die sicherheitsprogramme umgeht, die nach bestimmten schlüsselwörtern suchen. Während der softwäjhr nur eine folge zufälliger zeichen vorliegt, sieht der anwender lesbaren text

Wer sich bei benutzung eines unter verbrechern hochbeliebten mediums von seinem kompjuter kein „X“ für ein „U“ vormachen lassen möchte, sollte vielleicht besser eine richtige mäjhlsoftwäjhr wie den thunderbird nehmen — denn dort werden grundsätzlich keine ressourcen ungefragt aus dem web nachgeladen. Und spätestens, wenn man so etwas wie „rvar nxghnyvfvrehat vuerf xbagbf vfg abgjraqvt trjbeqra, ovggr xyvpxra fvr uvre“ liest, ist völlig klar, dass hier jemand trickst und man die spämm einfach löschen kann. Denn das gehirn ist immer noch der beste spämmfilter.

Und der beste schutz gegen phishing bleibt, dass man niemals in eine mäjhl klickt, sondern immer ein lesezeichen seines brausers verwendet. So kann man nicht auf „liebevoll“ von kriminellen nachgemachte webseits gelockt werden.

Auch 2019…

…wird überkomplexe blähsoftwäjhr nicht sicher zu kriegen sein. Aber der tipp, niemals HTML-mäjhls im „thunderbird“ anzeigen zu lassen und damit beinahe alle sicherheitsprobleme zu umgehen, wird vermutlich auch 2019 noch helfen. Gut, dass die ausführung von javascript in mäjhls (noch) standardmäßig abgeschaltet ist!

Wischofon des tages

Habt ihr ein wischofon? Und benutzt ihr da auch manchmal den webbrauser? Dann wisst ihr ja sicher schon, dass jede dahergelaufene webseit und jedes von irgendwelchen (vielleicht sogar kriminellen) hanseln bezahlte und dort eingebettete stück scheißreklame einfach und völlig ohne euch zu fragen die sensoren eures wischofones auslesen kann [link geht auch einen englischsprachigen text].

Wenn du guhgell mäpps in deinem wischofonbrauser benutzt, bekommst du ein kleines dialogfenster, das sagt „diese webseit will deinen aufenthaltsort wissen“, und du kannst das erlauben oder nicht […] Aber wenns um bewegungssensoren, lichtsensoren oder näherungssensoren geht, gibt es keinen mechanismus, um den anwender darauf hinzuweisen und ihn um erlaubnis zu bitten, so dass einfach unsichtbar für den anwender zugegriffen wird

Na und, ist doch nicht schlimm? Doch:

Die forscher weisen darauf hin, dass auf einer schädlichen webseit solche informazjonen für verschiedene angriffe benutzt werden könnten [… so ließen sich etwa] bewegungssensor-daten als eine art keylogger nutzen, um etwas wie eine PIN abzuleiten

Dank auch an das W3C (besetzt mit allen nach scheiße stinkenden scheiß-datensammler- und scheiß-überwachungsklitschen dieser welt), dass so etwas zum standard erhoben wird. Wenn man bei den wischofon-brausern wenigstens wie in richtigen brausern problemlos javascript abschalten könnte, um sich vor solchen vergewohltätigungen in den besuchten webseits zu schützen! Aber nein, das ist nicht vorgesehen. Schließlich sind das ja wanzen, also sollen sie auch lauschen.

Auch weiterhin ganz viel spaß und orwellness mit euren scheißwischofonen! Alle reden von faschistischen überwachungsstaat. Ihr macht ihn!

Heise erklärt die informazjonstechnik…

Heute: was ist eine programmiersprache.

HTML-formatierte mäjhl ist scheiße

Reine textmäjhls sind besser, wesentlich weniger aufwändig in der erstellung und werden zudem von ihren empfängern häufiger gelesen und beklickt. Ich bin nicht besonders überrascht. Aber ein paar werbelügenheinis und ein paar schlipsträger, die sich nicht einmal die mäjhlsoftwäjhr selbstständig einrichten können, die könnten bei so einer betrachtung aus allen wolken fallen…

Benutzt hier jemand den thunderbird?

[…] wurden neun Sicherheitslücken geschlossen, von denen fünf die höchste Gefahreneinstufung erhalten haben

Hui, speicherbereiche wurden nach der freigabe einfach weiterbenutzt… holt euch bloß schnell die aktuelle versjon, am besten genau jetzt! Die leute, die solche sicherheitslücken ausnutzen, um euch verschlüsselungstrojaner und dergleichen zu installieren, schlafen nämlich nicht.

Übrigens: alle wirklich üblen fehler scheinen in irgendeinem zusammenhang mit HTML-mäjhl und CSS zu stehen. Das ist der grund, weshalb man keine HTML-mäjhl verwendet. (Wenn man ein stark formatiertes dokument versenden will, kann man es auch anhängen.)

TLS des tages

Der Sicherheitsforscher Matthew Byrant hat eine kritische Sicherheitslücke im Zertifikatsausstellungsprozess von Comodo entdeckt. In Verifikationsmails, die dazu dienen, den Domaininhaber zu authentifizieren, lässt sich HTML-Code einschleusen. Damit kann man ein Opfer dazu bringen, den Domainverifikationscode an den Angreifer zu verschicken

Auch weiterhin viel spaß mit HTML-formatierter mäjhl und mit dem festen glauben an die mühelose „sicherheit“ durch das schlösschen, das im brauser angezeigt wird!

„Stackoverflow“ des tages

Das heitere pohsting des tages (in englisch, und eher für progger und häcker) ist die zurzeit oben stehende antwort auf diese kleine frage bei „stackoverflow“… 😉

Die frage, warum jemand der HTML parst, nicht einfach einen fertigen, bewährten und gut getesteten HTML-parser (oder, wenns XHTML ist, einen fertigen XML-parser) benutzt, wird darin allerdings nicht beantwortet. Genau das sollte man nämlich tun, wenn man vor diesem problem steht und keine lust auf die ganzen kopfschmerzen mit kommentaren, skriptbereichen und self contained tags hat. Geeigneten kohd sollte es für jede ernstzunehmende programmiersprache (also nahezu alles außer FORTRAN und COBOL) geben.

Guhgell (internetz-konzern) ist nicht fähig, sonderzeichen in einer webseit zu kohdieren…

Ein wichtiger text übers webdesein…

„Dies ist eine Internetseite„…

Blink blink blink

Oh, im neuen feierfox wird das <blink>-tägg abgeschafft. Ich wusste gar nicht, dass das noch unterstützt wird.

Wann wohl das letzte sinnlose, ehemalige „alleinstellungsmerkmal“ aus dem brauserkrieg der neunziger jahre endlich weg ist?

Fail des tages: die paypal-umfrage

Diese mäjhl von paypal war ein derartiger fail, dass ich zunächst gar nicht daran glaubte, dass sie überhaupt von paypal komme — denn solche patzer lassen mich sofort zweifeln. Aber die mäjhl kam sicher und zweifelsfrei von paypal. Natürlich war es eine HTML-formatierte mähl, die herrn Müller¹ folgendermaßen anspricht:

PayPal Customer Survey

Guten Tag, Peter M�ller […]

Kein weiterer kommentar. Wenn es Leute gibt, deren technische imkompetenz (es ist ja nicht so schwierig, sonderzeichen als HTML-entitäten zu kohdieren) und dummheit genau so schreiend ist wie die technische inkompetenz und dummheit der meisten spämmer, denn sind es werber, die das internetz für ihre saudumme kommunikazjon nutzen.

Dass man einfach vorher mal testet, was man da millionenfach aufs netz loslässt… ach wozu!

¹Natürlich ist „Peter Müller“ ein platzhalter für den wirklichen namen, der ebenfalls einen umlaut enthielt.

URLs aus einer HTML-datei extrahieren

Da fragt mich doch jemand, wie man mit einem regulären ausdruck und sed die URLs aus einer HTML-datei extrahieren kann. Meine erste reakzjon: „Damit ist sed ein bisschen überfordert, das wird eine sehr lange zeile“. Aber ich habe ja nochmal nachgedacht, und dann fiel mir ein, dass der textbrauser lynx dieses problem schon hervorragend löst, und etwa zwei minuten später ging die folgende funktion für die sh raus:

getlinks()
{
  for i
  do
    lynx -dump -listonly "$i" | sed 1,3d
  done | sed "s/ *[0-9]*\. *//" 
}

Diese funkzjon getlinks kann mit beliebig vielen HTML-dateien oder auch gültigen URLs als parameter aufgerufen werden, und lynx erledigt den größten teil der arbeit. Heraus kommt eine Liste mit den URLs, jede hübsch einzeln auf einer zeile und ohne weiteren kram, der die weitere verarbeitung in einem skript erschwert. Die ausgabe wird mit zwei sed-befehlen gefiltert. Der erste entfernt die laufenden nummern, die am anfang der zeilen stehen. Das sollte eigentlich auch mit der lynx-opzjon -nonumbers gehen, aber unglücklicherweise verstand der lynx auf der kiste, auf der dieses skript laufen sollte, ausgerechnet diese eine opzjon nicht und wir hatten keine lust, schnell einen neuen zu kompilieren. Der zweite audruck löscht einfach nur die ersten drei zeilen, die eine hier störende überschrift enthalten. Wer diese funkzjon benutzen will, sollte sich aber vorher einmal die ausgabe von lynx -dump -listonly anschauen, denn es ist nicht auszuschließen, dass die ausgabe in anderen versjonen ein bisschen anders aussieht.

Wenn es eine wirkliche stärke unixoider betriebssysteme gibt, denn ist es die art, wie man sich die bestehenden programme „zusammenstecken“ kann, um mit relativ wenig aufwand komplexe probleme zu lösen. Das war in den siebziger jahren schon ein starkes konzept, und es ist auch vierzig jahre später noch unendlich nützlich. Leider gerät es mit dem vordringen grafischer klickflächen immer mehr in vergessenheit, selbst bei menschen mit guten technischen kenntnissen — und in der folge werden viele probleme mit viel zu großem aufwand gelöst.