Eine Milliarde Menschen sind “social”. Nicht nur Heranwachsende nutzen soziale Netzwerke so selbtverständlich wie mancher sein Auto. Das spricht deutlich für Facebook & Co, führt nach meiner Einschätzung aber irgendwann zu einem Knall, der wiederum zu blinden Aktionismus mancher Politiker und Internetverweigerer führen könnte. Ich bin erstaunt, dass im Bereich Internetkriminaltiät nicht noch mehr Kapital aus Social Networks geschlagen wird.
Weiterlesen →Beiträge aus der Kategorie "Sicherheit"
2
Jan 11
Injected Phishing bei Amazon
In einer offiziellen Amazon-Mail las ich soeben, dass mein eingestellter Artikel erfolgreich verkauft worden ist. Toll! Liefer- und Rechnungsanschrift werden freundlicherweise auch direkt mitgeschickt.
Glücklicherweise waren Rechtschreibung und Lieferland ein wenig suspekt und ich konnte erkennen, dass der Teil ab “Anfang der Nachricht” definitiv nicht von Amazon stammt. Hier fallen aber bestimmt einige ahnungslosen Gelegenheitsverkäufer drauf rein.
Weiterlesen →6
Mrz 10
Internetnutzer durch XING identifizieren
Vor einigen Tagen wurden interessante Forschungsergebnisse zum Thema XING und zu Spuren im Netz allgemein veröffentlicht. Dabei ging es darum, dass die Browser-Historie eines Besuchers in der Regel ausgelesen werden kann und dann anhand der fingerabdruckähnlichen Gruppenzusammenstellung auf den Namen geschlossen werden kann. Dazu gibt es auch ein (sehr langsames) Experiment.
Das Ganze geht aber auch deutlich einfacher und schneller, wie Marco Hassler bereits 2008 aufzeigte. Per iFrame konnte man damals erreichen, dass Besucher der eigenen Seite mit vollem Namen auf der “Letzte-Besucher-Seite” erscheinen. Dem ist ein technischer Riegel vorgeschoben worden, aber mit einer kleinen Modifikation klappt es weiterhin. Dazu muss folgender Code in die Seite eingefügt werden:
<img src=”https://www.xing.com/profile/Vorname_Nachname” height=”1″ width=”1″>
Dadurch kann ich sehen, wer meine Seite besucht. Auf der Xing-Webseite wird sogar die besuchte URL angezeigt, jedoch nicht der Name. Hier hilft die iPhone-App, die das Profil des Webseitenbesuchers zeigt.
Technisch ist dies meines Erachtens als Cross-Site Request Forgery einzuordnen. Xing selbst überlässt die Verantwortung dem Webseitenbetreiber und hat völlig recht. Wer das ausnutzt, kann echte Probleme bekommen.
Trotzdem: Gibt es hier keine technischnen Möglichkeiten, dies zu unterbinden?
Weiterlesen →12
Feb 10
XING-Experiment
Vermutlich bist Du auf diese Seite gekommen, um zu prüfen, ob hier wirklich ein Bild von Dir zu sehen ist. Ich kann Entwarnung geben. Es handelt sich lediglich um ein XING-Experiment. Leider schiebt XING da nicht wirklich einen Riegel vor. Siehe auch:
- XING-Spam mit http://feurige-girls.aufgerissen.de
- Internetnutzer durch XING identifizieren
