Potentielles Sicherheitsleck in Twitter?

,

Mit dem Thema des Social Chattings im Internet hat sich Twitter einen Namen gemacht. Sicherheit ist im Internet wichtig, da es auch immer öfters um persönliche Daten geht. Gerade bei Twitter erlebt man den individuellen Exhibitionismus der User auf’s schärfste Detail, und man möchte sicherlich nicht, dass jemand anders den Twitter-Account missbraucht. Per Zufall stieß ich vor wenigen Minuten auf ein potentielles Sicherheitsleck von Twitter, was für mich persönlich ein recht unübliches Prozedere darstellte. Ich kann es nicht reproduzieren, frage mich aber, ob jemand anderes dazu in der Lage ist. Das hier ist kein Security-Report.

Szenario: Mein alter Laptop wird von meiner Freundin Katharina derzeit genutzt. Auf der alten Krücke habe ich auch bereits Twitter genutzt. Kat nutzt Twitter ebenfalls. Als ich nach einigen Wochen den Laptop in die Hände bekam und Twitter im Browser aufrief, war sie logischerweise per Cookie bzw. Session angemeldet. Ich loggte sie mit dem „Sign Out“ Link in Twitter aus und war dann bereits angemeldet.

Hat Twitter keinen zentralen Cookie, der immer nur einen User pro Browser zulässt? Ich bin kein Sicherheitsexperte geschweige denn habe ich vertiefte Kenntnisse in Browsersicherheit, aber das kommt mir sehr komisch vor, dass ich immer noch angemeldet war… wer weiß Rat oder kann dieses Phänomen reproduzieren? Den Browser Cache schließe ich aus, da die aktuelle Diskussion zeitnah dargestellt wurde. Eventuell kann es über die zentrale A-DSL Verbindung des Routers gecached sein, was ich aber sehr stark bezweifel, da bisher keine Cacheprobleme bei der normalen Benutzung von Twitter auftraten. Ebenfalls schließe ich einen Bedienungsfehler aus! ;)

/von

SektionEins: Security für Web 2.0 Applikationen

Björn Schotte teilte mir bereits gestern mit, dass eine Vereinigung von Chorizo sowie Stefan Essers PHP Patch „Suhosin“ in der neuen Firma „SektionEins“ ansteht. Stefan gehört zu den führenden Web-Security-Experten und Björn Schotte ist durch das PHP Magazin und seine Tätigkeit als einer der Geschäftsführer von MAYFLOWER bekannt.

Der Schwerpunkt der neuen Firma wird die Durchführung von Security Audits sein, die mittlerweile für jede neue Webanwendung auch vor dem öffentlichen Start oder dem Verlassen einer Beta-Phase eine Pflicht darstellen um die User und ihre Daten vor ungewollten Zugriffen schützen zu können. Security wird ja gerade bei Web2.0 Applikationen immer wichtiger, zumal sich SektionEins nicht nur auf PHP beschränkt sondern auch beliebige Webapplikationen prüft – egal ob Java, Ruby oder was auch immer an Software eingesetzt wird.

SektionEins startet dabei mit interessanten Bestandskunden aus dem Finanz- und Hosting-Bereich ebenso wie aus dem Web2.0-Startup-Bereich. Für die Ausgründung des erfolgreich laufenden Bereichs bei MAYFLOWER wird MAYFLOWER zusammen mit Stefan ein ziemlich großes Rebranding fahren, das Stück für Stück in den nächsten Tagen und Wochen insbesondere für Chorizo durchgeführt wird. Bereits schon jetzt kann man sich für den Launch der Webseite registrieren – man darf also wirklich gespannt sein auf das, was MAYFLOWER und Stefan auf die Beine stellen werden.

Nachtrag: Kurz etwas korrigiert und aufs blog.thinkphp.de verlinkt ;)

/von

cellity mit kostenlosen SMS

Ich hatte Sarik Weber, Vorstand Marketing und Gründer der cellity AG, schon auf der einen oder anderen Web 2.0 Veranstaltung persönlich getroffen und dabei ebenfalls auch schätzen gelernt.

Jetzt startet cellity mit der neuen Dienstleistung freeSMS als kostenlosen SMS-Versand mit ihrer Handy-Software.

Die einzigen dabei anfallenden Kosten sollen lediglich die Gebühren für die Datenübertragung sein, so dass man sich ziemlich einfach an der Gebührenstruktur der eigentlichen Netzbetreiber vorbei kommt. Sobald ich mir ein Mobiltelefon zulegen werde, dass sich über JAVA mit dem cellity-Client verständigen kann, werde ich mit Freuden die Software und dabei auch insbesondere das cellity freeSMS nutzen. Sollte ein Empfänger einer cellity freeSMS noch nicht den Client nutzen, erhält dieser eine Benachrichtigung für einen kostenlosen Download bei cellity und kann die SMS anschließend abrufen.

/von

Videoschnitt mit Bildern

Ich benötige eine Videoschnittsoftware für PCs, die es mir ermöglicht auf einfache Art ca. 5000 Bilder zu einem Video zusammen zu stellen. Dabei muss bei den Bildern die vordefinierte Zeit schon einstellbar sein, so dass ich die Angabe in Frames und nicht in Sekunden mache.

Gibt es einen der geschätzten Leser des MikeSchnoor.coms, der mir da mit Rat und Tat zur Seite stehen kann? Vielen Dank schon einmal… und btw – im Trial des Ulead VideoStudio 10 kann ich nur eine Sekunde eingeben, aber ich möchte halt 2 oder 4 Frames eines Bildes zeigen. ;)

/von

Spartipper – Schnäppchensuche bei eBay

,

Per Zufall wurde ich auf die clevere Suchmaschine für eBay-Artikel namens „Spartipper“ aufmerksam. Mich hatte schon vor einigen Wochen gestört, dass ich auf der Suche nach günstigen Angeboten für die „Nintendo Wii“ keine Preisknüller bei eBay gefunden hatte.

Und gerade dabei konnte Spartipper punkten, indem diese Suchmaschine bei eBay viele Angebote wegen eines kleinen Tippfehlers wie „Nintendo Wie“ oder „Nintendo Wi“ findet:

Falsch geschriebene Artikel werden auf eBay recht selten gefunden und haben daher auch nur sehr wenige Gebote. Nutzen Sie diese Schwäche aus und machen so ein wahres Schnäppchen!

Zwar hat das nichts mit Web 2.0 zu tun und ich hatte auch in den Suchergebnissen keine für mich entsprechenden Angebote für die Wii gefunden, aber für die zukünftige Nutzung von eBay ist der Service schon genial. Man hat zwar nicht immer Glück, aber es passt schon, wenn man so ein paar Euro sparen kann. ;)

/von

Neu: Windows Live Mail

Bald gibt es kein Hotmail mehr. Das Urgestein der E-Mail Szene, das in der Vergangenheit leider desöfteren von Spams, Viren und Trojanern heimgesucht wurde, präsentiert sich in einem neuen Look.

'Screenshot Windows Live Mail' von Sichelputzer

Was hatten wir nicht schon damals weit vor dem Zeitalter des Web 2.0 aufgeschrien, als Microsoft den Dienstleister schluckte? Nachweinen hilft ja bekanntlich wenig. Doch mir persönlich graut es ein wenig vor dem neuen System, denn auch die Nutzungsbedingungen und rechtliche Aspekte bezüglich der gesamten Benutzung des Services haben sich ab sofort mit der Teilnahme am Betatest von Windows Live Mail grundlegend geändert. Schon bei der Anmeldung zu selbiger Beta, die man unweigerlich nach einem üblichen Login über Hotmail nahegelegt bekommt, wird im Kleingedruckten (einem gräulichen Text) darauf sehr dezent hingewiesen:

By clicking the „Try Windows Live Mail Beta“ button above, you accept all of the statements and agreements below, and understand that you will be bound by them. You are consenting to receive all information from Microsoft in electronic form only. You understand that if you do not accept the privacy statement and service agreement in their entirety without modification, then you should click „Not right now“ and cancel your registration.

Ich bin kein Rechtsexperte, aber ich erwarte da gehörige Änderungen im Vergleich zu den alten Nutzungsbedingungen. Na dann lieber doch nicht! Ich bleibe gerne beim alten Hotmail und verzichte auf das Windows Live Mail Programm gänzlich. So leicht mit den Schritten in Richtung Web 2.0 (oder was auch immer das sein soll) möchte ich es dann Microsoft doch nicht machen… ;)

/von

Windows Update

Nun haltet euch fest, liebe Leser. Das ist absolut harmlos und wirkt sich wohl niemals aus, aber ein kleines Tool von Microsoft fiel mir doch eben auf, als ich meinen heimischen PC einer üblichen Wartung unterzogen hatte: Die Windows Genuine Advantage Notification. So heißt es schon im Update-Popupfenster doch wirklich, dass man sich ein Tool installiert, was einem zeigt, dass man eventuell das Betriebssystem gar nicht rechtens besitzt.

Sie werden durch das Windows Genuine Advantage Notification-Tool benachrichtigt, wenn es sich bei Ihrer Version von Windows nicht um eine Originalversion handelt. Wenn Ihr System kein Originalsystem ist, unterstützt Sie das Tool dabei, eine lizenzierte Version von Windows zu erhalten.

Ein super Tool, das mir persönlich mit meiner Originalversion nichts antuen kann, dennoch finde ich es perplex und pervers. Insbesondere Administratoren von größeren Unternehmen, die ja bekanntlich bei neu einzurichtenden Rechnern nur eine Master-Festplatte spiegeln, können nun durch ein unbedacht laufendes Update bei jedem ihrer User eine richtig peinliche Popupnachricht erzeugen.

Klar, es ist gegen Raubkopierer und gut so – doch wäre es schon peinlich, wenn ein Außendienstmitarbeiter auf dem Firmenlaptop eine Präsentation halten möchte, und die eine oder andere „gespiegelte“ Software partout nicht mehr funktioniert, nur weil alle Rechner im Netzwerk irgendwie die gleiche Installation hatten und ein Admin vergessen hatte, die gekauften Lizenzen auch einzurichten und nicht nur als Heftsammlung bzw. Codetabelle im Sicherheitsschrank zu verwahren… hihi! ;)

/von

Skype zockt und zickt

Die Software Skype ist letztendlich das ultimative Kick-Off Tool für chatbegeisterte Menschen. Man kann Instantmessages schreiben, Chatten, Gruppenchats vollführen und natürlich miteinander individuell oder in Konferenzen sich unterhalten.

Klar, es gibt auf Jabber basierende Systeme wie Mabber, doch für Skype und seine VoIP-Technologie kann ich nur plädieren um kostengünstige Skypetelefonate zu Freunden und Bekannten zu führen – und letztendlich ziemlich viel Geld einsparen zu können. Jedoch hörte ich vor wenigen Minuten von einem meiner lieben Kollegen hörte in einem Skype-Chat folgendes – als Zitat leicht abgewandelt:

Die Welt so ungerecht und böse: Man kann bei Skype coole Flash-Avatare zusammenklicken. Als ich den Flash-Avatar speichern wollte, wollte Skype dann doch bitte mal meine Kreditkartennummer haben. Vorher stand da kein Sterbenswörtchen von kostenpflichtig. Unfair!

Das hat natürlich schon eine tragende Reichweite. Ich habe es bisher nicht ausprobiert, aber wenn ich einen Skype-Out für Telefongespräche über Skype im Voraus buche, werde ich sicherlich mit meiner Kreditkarte ein Guthaben anzahlen. Viele Menschen werden die bequeme Zahlungsweise per Kreditkarte nutzen.

Nimmt dann Skype für die Flash-Avatare eventuell schon automatisch einen Teil meines Guthabens in Anspruch, oder wird dort wieder extra (und damit sauber) nachgefragt, ob man den Flash-Avatar bezahlen möchte? Hat da schon jemand Erfahrungen mit Skype und den buchbaren Zusatzfeatures gemacht?

/von

Abgelaufen: MS Office 2007 beta

Wer in der Vergangenheit die MS Office 2007 beta genutzt hat, wird ab heute richtig Spaß haben. Das Programm ist nicht mehr aktiv, sofern man die offizielle Version sich nicht zulegt. So beginnt der Tag mit reichlich Spaß, wenn man natürlich jedes Dokument als „DOCX“ und nicht im alten „DOC“ Format gespeichert hat…

/von

Gepatched auf WordPress 2.0.7

So wenig Zeit und so viel Leid zu ertragen kann man im Moment nur mit WordPress – jetzt verfügbar als mini-Patch WordPress 2.0.7. Die einzigen Änderungen von 2.0.6 auf 2.0.7 sind einige kleine Änderungen an den Dateien:

  • wp-admin/inline-uploading.php
  • wp-admin/post.php
  • wp-includes/classes.php
  • wp-includes/functions.php
  • wp-settings.php
  • wp-includes/version.php

Die Änderungen haben es jedoch in sich, indem die bekannten Sicherheitsprobleme über die SQL Injections behoben werden. Ein kurzer FTP Job später und alles scheint im Reinen… bis das nächste Update ansteht. Na wunderbar… das Warten auf WordPress 2.1 wird ein wenig verkürzt.

/von