Archive for Mai, 2010
Neue Phishing-Methode: Tabnabbing
Stellt euch vor, ihr geht auf eine harmlose Webseite: www.flashspiele.de . Dann fällt euch ein, dass ihr noch euren GoogleMail Account prüfen wollt. Tab öffnen und bei GoogleMail einloggen. Dann möchtet ihr noch euren Social-Network-Account checken, ihr öffnet also einen neuen Tab und öffnet www.facebook.com . In der Zwischenzeit ändert die flashspiele.de Seite ihr Favicon auf das Icon von GoogleMail, den Seitentitle auf „Google Email“ und blendet das Google Loginformular ein.
Nachdem ihr nach einer halben Stunde mit Facebook fertig seid, seht ihr in der Browser-Tableiste zwei Google-Tabs, wechselt in den ersten und versucht euch einzuloggen. Durch die verstrichene Zeit habt ihr vergessen, dass ihr gar keinezwei GoogleMail Tabs geöffnet hattet. Nachdem ihr also eure Login-Daten eingegeben habt, loggt der Angreifer (flashspiele.de) euren Usernamen und Passwort und leitet euch auf die richtige GoogleMail Seite weiter. Und schon hat der Angreifer euren Login gestohlen.
Flattr – Einfach Bedanken im Internet
Vor ein paar Wochen hörte man in den Medien, dass die Pirate-Bay-Macher ein neues Projekt haben: Flattr. Damit soll man sehr einfach und schnell für Dienste bezahlen können, aber nicht im herkömmlichen Sinn wo der Anbieter einen festen Preis bestimmt, sondern der Besucher bestimmt, wieviel Geld er dem Anbieter geben möchte. Es geht also nicht um das Bezahlen einer Dienstleistung, sondern eher um das Bedanken für einen tollen Blogartikel, ein kleines Dankeschön für eine schnell beantwortete Supportanfrage oder ein paar Spenden-Cent für eine Webseite, die es verdient hat.
Um dann einer Webseite etwas Geld zu geben muss man keine Überweisung tätigen oder eine Paypal-Zahlung initiieren, sondern klickt einfach auf einen dort vorhandenen Link, das wars. Am Monatsende wird dann ein vorher festgelegter Betrag auf alle Anbieter aufgeteilt, die Klicks erhalten haben. Wenn ich also beispielsweise meinen Monatsbetrag auf 2 Euro festlege und 40 Seiten anklicke, erhält jeder 5 Cent.
Da ich es mal ausprobieren möchte habe ich mir heute zur Beta angemeldet und den Flattr-Button hier im Blog eingebaut (rechts in der Leiste). Ich werde übrigens jeden Cent, der hier vielleicht eintrudelt, direkt reinvestieren, vor allem in Webentwickler-Blogs und andere interessante Resourcen. Leider ist die Verbreitung noch recht gering, aber es ist ja auch noch Beta-Phase. Ich glaube es ist abzusehen dass man dadurch nicht reich wird, aber ich finde es toll, anderen unbürokratisch ein paar Cent geben zu können, deren Arbeit mir gefällt und von der ich eventuell profitiere.
Meine ersten Flattr-Klicks gehen übrigens an Chaosradio Express, an das Law-Blog und an Kris Köhntopp. Wer einen schnellen Invite möchte, sagt Bescheid, dann verschicke ich einen.
Die mail.de GmbH sucht Javascript-Entwickler
Wir suchen aktuell in der Firma eine(n) Javascript-Entwickler(in), und ich glaube hier tummeln sich viele Leute aus der passenden Fachrichtung. Falls du interessiert bist oder jemanden kennst, der Interesse hat, melde dich bitte bei der angegebenen Kontaktadresse.
Der ideale Kanditat ist ein(e) fähige(r) Javascriptler(in), der/die sich mit Mootools auskennt (oder sich schnell einarbeiten kann), mehrjährige Erfahrungen im Webentwicklungsbereich hat und mit uns dieses Projekt starten möchte.
Weitere Informationen befinden sich auf unserer Webseite:
PHP-Test für Fortgeschrittene | ZCE Tests zu gewinnen
Ich habe in den letzten Tagen überlegt, gesammelt und hoffentlich einige interessante Fragen erstellt, mit deren Beantwortung ihr die verbliebenen Zertifizierungs-Tests erhalten könnt.
Ihr bekommt 10 zufällige Fragen präsentiert die ihr beantwortet. Diejenigen, die >= 50% richtig beantworten, kommen in die Lostrommel.
Wichtig: Jeder darf nur einmal teilnehmen! Wen ich beim mehrfachen Ausfüllen erwische fliegt raus und wird hier an den Blog-Pranger gestellt. Es soll Spass machen und natürlich auch etwas auf die ZCE-Prüfung vorbereiten die ihr alle hoffentlich bald macht.
Ich werde am 05.06.2010 die Ergebnisse veröffentlichen, dann endet diese Aktion und ihr bekommt alle Fragen und Antworten zu Gesicht.
Der Test ist begrenzt auf 5 Minuten, also vertrödelt keine Zeit bei der Beantwortung. Hier gehts zum Test!
Applikationslogin mittels SSL-Zertifikat
Passworte haben Nachteile, das wissen wir alle. Sie müssen genügend komplex aber trotzdem merkbar sein, die Länge und Art der Zeichen sind dafür verantwortlich wie einfach es zu erraten ist. Fast niemand verwendet Passworte mit mehr als 8 oder 10 Zeichen. Ohne wirksame Brute-Force-Gegenmaßnahmen sind diese innerhalb von Stunden oder wenigen Tagen knackbar. Auch ein Einbruch in den Webserver liefert dem Angreifer heutzutage häufig den Hash des Passwortes (häufig MD5).
SSL bzw. Public/Private-Key Verfahren zeigen sichere Alternativen. Diese sind häufig sehr lang (>1024 bit) und dadurch nicht mehr erratbar. Außerdem ist es möglich den Public-Key ohne Bedenken herauszugeben, daraus den Private-Key zu errechnen wird auf lange Zeit nicht möglich sein. Das ist zwar auch bei Passworten möglich (md5, sha1 etc), aber diese Hashes sind kürzer und in der Vergangenheit regelmäßig geknackt worden. Erhältliche Rainboxtables und Wörterbuch-Angriffe machen die Rückführung auf das Originalpasswort sehr einfach.
Wie wäre es also, zum Beispiel den Admin-Bereich einer Applikation nicht mittels Username+Passwort zu schützen, sondern mit einem OpenSSL-Keypaar? Dann braucht man sich keine Sorgen über Brute-Force-Angriffe machen.
Eine weitere schöne Anwendungsmöglichkeit ist, wenn sich die Administratoren als einer ihrer User einloggen können möchten. Da man ja die Passworte seiner User nicht kennt muss man das anders lösen.
