Abbildung 1: Manche Webseite lässt sich ganz einfach mit der Firefox-Erweiterung Firebug (im unteren Fenster) austricksen.
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an redaktion@linux-magazin.de. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
RFC-Dokument
01/12, S. 78: Der Artikel zum Thema Zwei-Faktor-Authentifizierung erwähnt, dass sich das TOTP-Verfahren noch in der Spezifizierungsphase befindet. Das ist so nicht korrekt. Seit Mai 2011 existiert zum TOTP-Verfahren ein offizielles RFC-Dokument, analog zum HOTP-Verfahren. Das Dokument dazu findet sich unter http://tools.ietf.org/html/rfc6238.
André Gasser, per E-Mail
Bytecode
01/12, S. 102: in seinem Leserbrief schreibt Thomas Güttler, dass es sich bei “Shell und Tcl sicherlich” um Klartext-interpretierte Skriptsprachen handle, während Python und Ruby Bytecode verwenden. Tcl benützt bereits seit Version 8.0 aus dem Jahr 1997 Bytecode, siehe http://de.wikipedia.org/wiki/Tcl#Bytecode-Compiler.
Holger Jakobs, per E-Mail
Sicherheits-Autor kommentiert
01/12, S. 48: Immer wieder entdecke ich im Web durch Zufall Sicherheitslücken. Natürlich erforsche ich sie, soweit ich dadurch nicht riskiere, mich strafbar zu machen oder den Betreiber tatsächlich zu schädigen. Anschließend tue ich das, was sich gehört: Ich informiere den Betreiber des Systems. Damit beginnt allerdings das Ungemach. Denn in der Regel passiert nun nichts mehr.
Also entsteht ein Artikel, der die Sicherheitslücke beschreibt. Dann wendet sich vor Veröffentlichung das Linux-Magazin an die Pressestelle des Unternehmens. Als erste Reaktion werden die Redakteure entweder mit Marketingkauderwelsch zugeschüttet oder mit rechtlichen Schritten bedroht (“Schöne Bescherung”, Linux-Magazin 12/08, S. 78).
Manche lesen aber doch den vorab zugeschickten Artikel, verstehen die angesprochenen Probleme und beheben sie selbstständig. Das ist wunderbar, denn dann habe ich mein Ziel erreicht.
Andere handeln nicht (“Reingespritzt”, 02/11, S. 108; “Eiskalt reduziert”, 12/10, S. 100) oder verschlimmbessern sogar (“Seltener Zufall”, 01/12, S. 48; “Falscher Flieger”, 01/09, S. 100; “Aus Fehlern lernen”, 03/09, S. 95). So hat das “Miniatur Wunderland” die in der vorigen Ausgabe beschriebene Sicherheitslücke nicht behoben und sogar noch dafür gesorgt, dass sich ein Besucher einen Rabatt von 10 Prozent auf die Eintrittskarte erschleichen kann. Dazu reicht es, im neuen Drop-down-Menü, etwa mit dem Tool Firebug (Abbildung 1), den Wert zwischen Datum und Uhrzeit zu ändern. Steht dort die Zahl 1, enthält die Bestätigungs-E-Mail den “Rabattcode”.
Abbildung 1: Manche Webseite lässt sich ganz einfach mit der Firefox-Erweiterung Firebug (im unteren Fenster) austricksen.
Als Unternehmen, das einen Hinweis auf die offenstehende Haustür bekommt, würde ich mich bedanken und ordentlich zusperren. Wer aber nicht genau weiß, wie das Türschloss funktioniert, sollte fragen. Stattdessen murksen die beauftragten Webagenturen weiter und glauben, HTTP-POST statt -GET sei die Lösung. Als Auftraggeber würde ich ihnen gehörig die Ohren langziehen, denn das ist schlichter Pfusch.
Überall gibt es Pläne für den Brandfall, aber für Sicherheitslücken existiert oft keine Lösung. Es gibt meist noch nicht einmal einen Ansprechpartner. Die einzige Ausnahme habe ich bisher erlebt, als ich mir im Hotel in München meinen “Rettungstunnel” (04/10. S. 82) durch das teure WLAN grub. Dort sagte ich einem nicht für die IT zuständigen Hotelmitarbeiter Bescheid, und tatsächlich war das Problem ein paar Tage später gelöst. Warum geht das nicht immer so?
Tobias Eggendorfer, per Mail
