Year: 2006

The new Pirelli Calendar is exceptional. Exceptionally boring.

Mozilla today made bug #360493 public. It describes an attack using cross-site forms and a security flaw in the Firefox Password Manager to read stored passwords for a different site. There is a proof of concept that demonstrates that the bug can even be abused without any hint to the user – the form need not be visible for the auto-fill of the credentials to work, and Firefox does not even give a warning.

The type of attack has been coined a Reverse Cross-Site Request (RCSR).

As of the time of this post, there is no fix available. However, a possible workaround is to set a Master Password and use the Master Password Timeout extension with a very short timeout. One can also disable the password manager altogether.

The bug existed since at least Firefox 1.5. Also, similar bugs seem to exist in at least IE 6 and 7, but Microsoft say they’re working on a fix.

Jaja, die Leute schreiben immer noch übers StudiVZ. Also schreib ich jetzt endlich mal die Sachen auf, die ich in den letzten Monaten (seit meiner Anmeldung beim StudiVZ, Mitte September) so bemerkt habe.

Das mit den Bilder-URLs ist ja schon stadtbekannt. Natürlich machen alle anderen Großen – wie Xing, flickr, etc. – auch so, und das macht es nicht viel besser, aber das ist ja kein Grund, nicht darüber zu schreiben. Man kann also auf Bilder immer zugreifen, wenn man eine direkte URL hat. Na gut.

Viel interessanter fand ich: Die User-IDs sind nicht unique. Man kann die ersten 8-24 Bits (je nach Länge der ID) recht frei ändern und landet immer noch auf dem selben Profil. Das selbe gilt für die Album-IDs und vermutlich auch für die Bild-IDs. Na, was das wohl für ein Algorithmus ist… *hust*

Jedenfalls kann man so sehr leicht alle Benutzer, Alben und Bilder enumerieren, indem man der showalbum.php beliebige IDs in relativ großen Schrittweiten gibt. Wenn man einen Treffer hat, steht die ‘wahre’, primäre Album-ID (sowie Titel und Besitzer) im Seitenquelltext. Damit kann man dann den Bildserver behämmern. Für nicht-öffentliche Alben muss man dann nur den Rest des Suchraums durchgehen, oder man knackt einfach die ID-Erzeugung. Der Bilderserver geht jetzt schon merklich in die Knie.

Listen aller Alben eines Benutzers gibt’s bei showpeoplealbums.php, wobei auch hier gilt: etwa die Hälfte der ID ist eh wurscht. Es gibt verschiedene Meldungen für “Album ist noch leer” und “hat keine Alben”.

Immerhin hat man durch die eigenen IDs (3-6 Zeichen) gegenüber UUIDs (16-36 Zeichen) Traffic gespart…

Auch interessant: Das StudiVZ benutzt offenbar Smarty und sajax. Smarty, klar, sinnvoll. Sajax, auch sinnvoll, aber hoffentlich haben sie nicht zu viele Funktionen exportiert, auf die Normalsterbliche eigentlich gar nicht zugreifen können sollten. Na, wer will’s testen?

Was haben wir noch … ach ja, das mit den nichtöffentlichen Profilen? Geht ja auch grade durch die Welt… sei es nun friends.php oder profile_guestbook_large.php oder showpeoplealbums.php, man kann sich so ziemlich alle Teile eines “privaten” Profils ansehen. Hübsch. Da fällt auch das “Diese Nachricht wurde von Foobar gelöscht und
wird anderen Mitgliedern nicht mehr angezeigt” nicht mehr ins Gewicht.

Hätte ich mich doch nur noch ein paar Wochen länger geweigert, da mitzumachen! Le seufz! Todo für morgen: Profile meiner Freunde scrapen, mein Profil löschen, Freunde per ICQ anhauen, done. Gute Nacht.

“Good Lord.” Patrick Stewart rocks.

(Hat tip: Damn Jezebel)

Gravatars are borked at the moment, because:Because:

Warning: mysql_connect(): Host '192.168.2.7' is blocked because of many connection errors.
Unblock with 'mysqladmin flush-hosts' in /home/gravatar-admin/public_html/common.php on line 45

(at gravatar.com)

Die Grundeinstellung der CDU nämlich. Das Landgericht Trier verzichtet nach einer Renovierung darauf, wieder Kreuze in den Gerichtssälen aufzuhängen. Schöne Idee, dieses ganze “Trennung von Kirche und Staat”-Getue. Nur die CDU hat es nicht verstanden: Sie beklagt sich über diese “erschreckende Grundeinstellung”, die das Empfinden großer Teile der Bevölkerung verletze, ja, sie bitten sogar den Landesvater, doch bitte ein Machtwort zu sprechen. Aber obwohl Kurt Beck persönlich eine solche Entscheidung nicht getroffen hätte, hat er dieses Ansinnen der CDU in einem Anflug von Vernunft abgelehnt.

Vielleicht aber auch einfach nur, weil’s von “den anderen” kam. Damit wäre die Welt wieder in Ordnung.

Quelle: beck-aktuell via lawblog

Petition jetzt!

Deutlich schreiben! Dann les’ ich auch nicht “EXPRESS abmahnen” statt “EXPRESS abonnieren”.

Wer sich über Incoming Links von einer Domain, die nicht verlinkt werden möchte, gewundert hat:

Domain:      punish-punisher.de

[Holder]
Type:         ORG
Name:         Solutions-World LTD.
Address:      Suite C4 1st Floor, New City Chambers, 36 Wood Street, Wakefield
Pcode:        WF1 2HB
City:         West Yorkshire
Country:      GB
Changed:      2006-09-12T10:28:54+02:00

[Admin-C]
Type:         PERSON
Name:         Mario Dolzer

… der hat spätestens an dieser Stelle keine Fragen mehr. Ja, das ist der “Domain-Engel” mit der k.exe, dem “Dialer-Parasit”-Urteil, usw. usf. Jetzt also ein Fakeblog. *gähn* Da fühlt sich aber jemand sehr als armes, unschuldiges Opfer. Ich jedenfalls fühle mich in der “moralisch bedenklichen” Gesellschaft recht wohl.

Interessanterweise gibt es sogar ein Impressum (in dem natürlich “Allice Brown” aufgeführt ist) … impressum.jpg (6000x6000px) …

Update: Die Abmahnungen fliegen.

[lang_de]
Flower Power… ist ja eigentlich ne gute Idee. Aber wer pflückt die ganzen Blumen?
[/lang_de]
[lang_en]
Flower Power… is a rather nice idea, but who’ll pick all the flowers?
[/lang_en]