Müsst ihr verstehen

Nein, das ist keine satire und das ist nicht der postilljon:

Den Beschaffungsämtern der Bundeswehr und des Innenministeriums ist es bisher nicht gelungen, Schutzkleidung zu besorgen. Nun sollen Firmen wie BASF, VW, Lufthansa und Otto für Gesundheitsminister Spahn in China einkaufen gehen

[Archivversjon]

Man kann doch auch bei einem massenverrecken von menschen nicht die gelegenheit auslassen, die BRD-großindustrie in bananistan mit geld zu pämpern. VW, BASF, otto und die lufthansa können viel besser einkaufen als die korrupzjonsverwöhnte bundeswehr, die daran gewöhnt ist, bei jeder gelegenheit wirtschaftsfördernd übern tisch gezogen zu werden… 🍌

Da will ich mal hoffen, dass VW beim handel mit schutzkleidung für medizinisches personal weniger betrügt als bei der „einhaltung“ von abgasnormen seiner betrügerischen scheißmotoren.

Datenschleuder des tages

Datenschleuder des tages ist die lufthansa:

Am vergangenen Montag konnten Miles-and-More-Kunden zeitweise vertrauliche Daten anderer, zeitgleich im Portal eingeloggter Kunden sehen

Wie kriegt man es nur hin, so zu verkacken! Kunde max mustermann meldet sich an und kriegt eine eindeutige sitzungs-ID zugewiesen und als cookie gesetzt, über die er bei jedem weiteren zugriff identifiziert wird. Offenbar haben es irgendwelche kwalitätsprogger geschafft, nicht zu testen, ob eine solche ID schon vergeben ist — und dann wurde halt mal der andere kunde sichtbar, der die gleiche ID erhalten hat. Aber selbst das erklärt nicht das ganze ausmaß des verkackens, denn so eine ID wird ja wohl mindestens 64 bit haben, besser mehr, so dass es kaum zu kollisjonen kommen kann. Und trotzdem prüft man kurz, um einfach eine andere ID zu erzeugen, wenn eine ID schon vergeben wurde. Jedenfalls, wenn man ein sorgfältiger progger ist.

Ich vermute, die verwenden einen pseudozufallszahlengenerator für ihre IDs, und der wurde mit einem nicht besonders sicheren wert (zum beispiel die uhrzeit des seitenaufrufs) initialisiert, so dass in der gleichen sekunde alle anmeldungen auf die gleiche ID führen. Im testsystem mit den üblichen test-cases hat das niemand bemerkt, aber als dann die ungleich größere last eines produkzjonssystems mit ihren unmengen von anmeldevorgängen kam, ist den proggern die verkackte, dumme entscheidung um die ohren geflogen. Davon, dass so etwas auch eine einladung an cräcker ist, die mit leichtigkeit andere sitzungen übernehmen können, fange ich gar nicht erst an.

Wie ich darauf komme? So einen fehler (PRNG mit time(), auflösung ist eine sekunde, initialisiert und daraus sitzungs-IDs gemacht) habe ich vor langer zeit mal in der webseit eines großen deutschen vereins gefunden, die übrigens in einer kleinen unternehmung von einem azubi geproggt wurde, aber deshalb natürlich nicht als von einem azubi geproggt abgerechnet wurde. Die vorstellung, dass im moment so eine ähnliche „kwalität“ — die PHP-kwelltexte bei dem projekt, an das ich mich erinnere, kamen direkt aus dem gruseligsten ring der hölle — bei der lufthansa im einsatz sein könnte, finde ich sehr erheiternd. Das wird dann nämlich richtig teuer. Und der datenschutzbeauftragte wird in den nächsten monaten immer wieder mal zu tun kriegen. Aber so ist das halt, wenn billig geproggt wird. Dann wird halt später teuer gezahlt. Und oft von jemanden anders, der schon zu viel fürs billige proggen bezahlt hat.

Wie gesagt, es ist auszuschließen, dass so ein fehler einem guten, sorgfältig vorgehenden progger passiert. Ich meine jetzt keinen guru, sondern einen durchschnitts-entwickler oder fortgeschrittenen amatör, der meistens weiß, was er tut. Der macht schon in der datenbank einen UNIQUE KEY, damit der UPDATE mit einer nicht-eindeutigen sitzungs-ID fehlschlägt. Das muss dann nur noch erkannt und abgefangen werden, indem man eine neue ID generiert und es nochmal probiert, bis es klappt; so schwer schreibt sich ein repeat-until-block nicht.

Streikrecht des tages

In der BRD ist es nach einer entscheidung des landesarbeitsgerichts hessen verboten, gegen planvoll vorbereitetes lohndumping seines brötchengebers zu streiken.

Man stelle sich nur mal vor, die streikenden würden feststellen, dass dieses gerichtsurteil gegen ihre menschenrechte verstößt, es ignorieren und einfach weiterstreiken. Aber das passiert bestimmt nicht, ist ja die BRD.

Bot des tages

Der bot, der als user-agent die nichts sagende zeichenfolge 007ac9 Crawler angibt und in diesem monat immerhin stolze 15.400 anfragen auf das spämmblog (mit seinen zurzeit insgesamt 3.200 einträgen) losgelassen hat, wird von der SEO-klitsche sistrix betrieben. Als ob SEO — also auf suchmaschinen gerichtete spämm-techniken — noch nicht widerwärtig genug wäre, hat sistrix sich einen ganz tollen text ausgedacht, falls mal jemand danach sucht:

Wir von SISTRIX haben es uns zur Aufgabe gemacht, Inhalte und Netzwerke im Internet zu untersuchen, um Informationsmonopole, wie sie derzeit durch Suchmaschinengiganten entstanden sind, aufzubrechen. Die dafür notwendigen Informationen sammelt zum Teil der 007AC9 Crawler.

So so, fast schon für einen guten zweck und vor allem gegen die gefährlichen großen monopole… *schwallkotz!*

Ich als empfindsames wesen, das manchmal erbrechen muss, wenn es mit widerwärtiger heuchelei und nichtssagenden reklame-frasen konfrontiert wird, werde bei nächster gelegenheit (ich sitze gerade an einer kiste, an der ich nicht wirklich gut arbeiten kann) den gesamten IP-bereich von sistrix sperren. Noch lieber würde ich diese SEO-nuckler und suchmaschinen-manipulatöre aus der welt entfernen; diese netzvampire, die einfach nur massenhaft daten für ihre „dienstleistung“ einsammeln, um mit hilfe dieser daten besser dafür sorgen zu können, dass menschen nicht mehr finden, was sie suchen, und stattdessen das, was nach meinung von werbelügenden suchmaschinen-verschmutzern im brote der geldmacht gefunden werden soll. Dass widerliche und letztlich kundenverachtende klitschen wie „ebay“, „tui“ und die „lufthansa“ ihre eigene reputazjon dadurch in die scheiße ziehen lassen, dass sie mit so einem halbseidenen, vampiristischen und in seiner selbstdarstellung intelligenzverachtend verlogenem pack gemeinsame sache machen, ist deren problem, das hoffentlich auch einmal — am besten schon heute — am umsatz spürbar wird.

Geh sterben, du vampir von scheiß-SEO, und stirb grausam! 👿