Javascript des tages

Ihr müsst im internetz einkaufen, denn das internetz ist zum einkaufen da, haben sie uns gesagt. Das ist sicher und bekwem, weil es bekwem und sicher ist, haben sie uns gesagt.

Volusion gibt an, mindestens 20.000 Kunden zu haben. Die Firma hatte in Pressemitteillungen öffentlich gemacht, dass sie Googles Cloud-Infrastruktur nutzt, um ihre Dienste anzubieten. Das haben sich die Angreifer augenscheinlich zu Nutze gemacht, da der JavaScript-Schadcode über ein API in der Google Cloud ausgeliefert wird. Auf diese Weise wird er automatisch in alle Kunden-Shops der Firma eingebettet und greift die Kreditkartendaten direkt auf der Seite ab, auf der die Kunden diese zum Bezahlen eingeben. Man kann nur erahnen, wie viele Daten den Angreifern jede weitere Minute in die Hände fallen […]

Ich kann übrigens nur nach wie vor davon abraten, webseits zu benutzen, die sich ohne javascript nicht benutzen lassen. Dies gilt im besonderen maß, wenn das javascript aus irgendwelchen klauts oder generell von irgendwelchen dritten verwendet wird, also nahezu immer. Eine webseit, die einen ohne javascript nix zu sagen hat, ist keine webseit, sondern eine aufforderung, die programme irgendwelcher unbekannten dritten aus einem abstrakten, technischen, anonymisierenden medium innerhalb des webbrausers laufen zu lassen, und das ist eine unfassbar dumme idee. Macht es niemals! Nehmt noscript.

Aber manche raffen es erst, wenn das geld weg ist und die polizei vor der tür steht, weil abgegriffene daten für kriminelle „geschäfte“ missbraucht wurden. Habe ich „manche“ gesagt. Ich meine natürlich: beinahe alle. 😦

Ach ja, hier noch ein zitat aus dem heise-artikel:

Das Einschleusen von JavaScript-Schadcode in Shop-Software ist stark in Mode

Nicht, dass ihr hinterher darüber jammert, dass euch vorher keiner gewarnt hat!