Dienstag, 10. April 2007
… und Männer mit Hang zu Romantik:
Jööö, mein Tag ist gerettet *hüstel*!
Nebenbei: Sind jemandem die lesbischen Löwinnen aufgefallen? Ob all der Zärtlichkeit darf nicht vergessen werden, dass einigen Männchen im Tierreich nach dem Vollzug des Liebesakts nur noch die letzte Ölung vergönnt bleibt … Wobei es hierbei durchaus auch Parallelen im menschlichen Alltag gibt.
Tags: Herzig
Labels: Allgemein
Dienstag, 10. April 2007
Frisch geläutert aus den Wellness-Ferien im sonnigen (und mehrheitlich schneefreien) Graubünden erscheine ich gerade noch rechtzeitig online, um mitzufeiern!
Heute jährt sich wieder einmal der Geburtstag von Apples think different-Kampagne, die 1997 das Licht der Welt erblickte. Natürlich ist das zehnjährige Jubiläum auch eine Erwähnung auf think eMeidi wert – schliesslich schreibe ich diese Zeilen auf einem … Mac!
Neben den einprägsamen Poster mit weltberühmten Persönlichkeiten bleibt insbesondere der think different-Vers in wacher Erinnerung (spätestens, nachdem man den Clip angeschaut hat):
Der Ordnung halber hier auch gleich noch die „Lyrics“:
Here’s to the crazy ones.
The misfits.
The rebels.
The troublemakers.
The round pegs in the square holes.
The ones who see things differently.
They’re not fond of rules
And they have no respect for the status quo.
You can praise them, quote them, disagree with them
disbelieve them, glorify or vilify them.
About the only thing that you can’t do is ignore them.
Because they change things.
They invent. They imagine. They heal.
They explore. They create. They inspire.
They push the human race forward.
Maybe they have to be crazy.
How else can you stare at an empty canvas and see a work of art?
Or sit in silence and hear a song that’s never been written?
Or gaze at a red planet and see a laboratory on wheels?
We make tools for these kinds of people.
While some may see them as the crazy ones, we see genius.
Because the people who are crazy enough to think that they can
change the world, are the ones who do.
Quelle: Think Different
Labels: Apple
Samstag, 7. April 2007
But instead, those labels delivered the death blow to the record store as we know it by getting in bed with soulless chain stores like Best Buy and Wal-Mart. These “big boxes” were given exclusive tracks to put on new CDs and, to add insult to injury, they could sell them for less than our wholesale cost. They didn’t care if they didn’t make any money on CD sales. Because, ideally, the person who came in to get the new Eagles release with exclusive bonus material would also decide to pick up a high-speed blender that frappéed.
Quelle: Spinning Into Oblivion
Tags: Wissen
Labels: Allgemein
Samstag, 7. April 2007
Q: How is american beer like making love in a cannoe [Kanu]?
Both is fucking close to water.
Zum Glück gibt es drüben ja noch Newcastle …
Labels: Funny
Freitag, 6. April 2007
[…] I’m talking about two main problems. One is the plethora of teaser software and advertisements for products that must be cleared and uninstalled to make way for your own stuff. The second is the confusing welter of security programs you have to master and update, even on a virgin machine.
The problem is a lack of respect for the consumer. The manufacturers don’t act as if the computer belongs to you. They act as if it is a billboard for restricted trial versions of software and ads for Web sites and services that they can sell to third-party companies who want you to buy these products.
On my new Sony, there were two dozen trial programs and free offers. The desktop alone contained four icons representing come-ons for various America Online services, and two for Microsoft. The start menu and program menu had more items that I neither chose nor wanted.
Quelle: Using Even New PCs
Is Ruined by a Tangle Of Trial Programs, Ads
Startet man seinen Mac zum ersten Mal auf, erscheint auf dem Desktop gerade mal ein einziges Icon – die „Macintosh HD“. Im Dock tummelt sich ausschliesslich ausgewählte Software von Apple – mit einer einzigen Mausbewegung kann jedes Icon einzeln gelöscht werden. Pop-Ups? Nix da.
Labels: IT
Freitag, 6. April 2007
Hat jemand Lust?
Offensichtlich hat es gestern Abend ein kleines Missverhältnis zwischen Bier und Biertrinker gegeben …
Labels: Funny
Mittwoch, 4. April 2007
Geniale Doku, die mir Kollege Burgdorfer heute empfohlen hat:
Ich möchte fast behaupten, eine der besten Sendungen, die bei mir in den letzten Jahren über den Schirm geflimmert
ist.
Angeschnittene Themenbereiche: „Der dritte Weg“ unter Clinton/Blair, das missbrauchte Vertrauen in den Markt, wie die Pharma-Industrie Millionen von Menschen zu Kranken stempelte (nun gut, im Grunde sind sie selber schuld), die Krux mit Leistungszielen im öffentlichen Sektor, das Problematische an der wissenschaftlichen Herunterbrechung von komplexen Systemen auf eine Zahl – und zuletzt etwas, dass ich mit Schrödingers Katze in Verbindung bringe, ohne sicher zu sein, dass das gewünschte damit ausgedrückt wird: Nämlich die Gefahr bei der Untersuchung eines Gegenstandes das Untersuchungsergebnis durch eben diese Untersuchung zu beeinflussen.
Zitate des Tages:
[…] Markets do not create stability or order. What Adam Smith called the invisible hand is invisible, because it isn’t actually there.
[…] Their studies show that only two groups in society actually behave in a rational, self interested way in all experimental situations: One is economists themselves … the other is psychopaths.
Quelle: o.g. Doku, 58min13sec
Übrigens, damit keine Missverständnisse entstehen: Der Wohlfahrtsstaat, dem ich als Linker verfallen sein sollte, wurde bereits in Folge 1 der Dokumentation demontiert …
Mittwoch, 4. April 2007
Wer erinnert sich noch an diesen Preisplan? Wenn mich meine Erinnerung nicht täuscht, war Personal 100 der Preisplan meiner Wahl, als ich im April 2000 in die Mobilfunkerei einstieg. Mittlerweile habe ich Optima 30, zusammen mit orange students.
Erst kürzlich habe ich während dem Zivilschutzdienst jemanden getroffen, der weiterhin mit Personal 100 telefoniert, obwohl der Preisplan seit langem nicht mehr angeboten wird. Wieso das überhaupt so ist, erfahre ich heute auf The Reg:
The complexity of modern billing tables is no accident: in the early days UK cellular systems competed heavily on price, and comparing prices was simple. But price wars benefit no one (except perhaps the customer) so complexity was introduced to make price comparison effectively impossible and allow more complex billing models to be used.
Quelle: Mobile survey uncovers staff ignorance
So viel zu einer funktionierenden Marktwirtschaft westlicher Prägung … Es lebe der Wettbewerb!
Dienstag, 3. April 2007
Korrigendum: Huch, wir sind ja schon bei Nummer FÜNF angekommen. Danke, Shift, für den Hinweis.
Hinweis: Es ist – wie immer wenn es um die Sicherheit von Partyguide geht – übertrieben, von einem Hack zu sprechen. Viel eher handelt es sich um ein Datenleck, durch das mit minimalsten Kenntnissen von Web-Programmierung vertrauliche Daten von Benutzern des Portals eingesehen werden konnten.
Das Problem wurde mittlerweile beseitigt, weshalb ich keine Bedenken mehr habe, das Leck öffentlich zu machen.
Das Leck offenbarte sich im angesprochenen Fall über das PHP-Script, das Staff-Mitglieder mit Foto anzeigt:
Irgend ein spielerisch veranlagter Zeitgenossen war vor einiger Zeit auf die Idee gekommen, eine beliebige Benutzer-ID in die URL einzufügen. Und siehe da – das Script frass die neue ID ohne Überprüfung, ob es sich beim angefragten User tatsächlich um ein Staff-Mitglied handelte. Nicht weiter schlimm, mag man denken – doch blöderweise stand auf der ausgelieferten HTML-Seite auch der reale Namen des Users.
Obwohl die Macher hinter Partyguide erst kürzlich in einem grossen Schweizer Wochenmagazin behaupteten, seit dem „Hackerangriff vom letzten Sommer“ Sicherheit einen höheren Stellenwert zu geben, scheint von diesem Vorhaben nicht viel in Praxis umgesetzt worden zu sein. Auch weiterhin galt bei diesem Script (wie wohl auch bei Dutzend anderem auf dem Server) das Motto: „Wir trauen jeglichen Anfragen, die von Besuchern unserer Seite eintreffen.“ Tragisch, aber wahr.
Natürlich reizt dieser Datenfundus, um mit statistischen Methoden Untersuchungen anzustellen. Nachfolgend zwei interessante Entdeckungen:
Hauptkritikpunkt: Registration nur mit plausiblen Angaben? Nicht bei uns!
Bei Partyguide kann Mitglied werden, wessen Namen „. .“ lautet. Dies öffnet Tor und Riegel, um sich in Kürze unzählige Fake-Accounts zuzulegen. Als positiver Nebeneffekt kann sich Partyguide dann damit brüsten, so und soviele hunderttausend Benutzer registriert zu haben.
Der Beweis für die Laxheit der Überprüfung von Formular-Angaben mit einer Auflistung von komischen Benutzerangaben (die Zeichenlänge von Vor- und Nachnamen beträgt maximal 8 Zeichen):
| 1. | 89 | A B |
| 2. | 20 | M S |
| 3. | 18 | Ich Du |
| 4. | 15 | Ale Ela |
| 5. | 14 | John Doe |
| 6. | 13 | X Y |
| 7. | 13 | Marco |
| 8. | 12 | Patrick |
| 9. | 12 | A S |
| 10. | 11 | M G |
| 11. | 11 | S M |
| 12. | 10 | A M |
| 13. | 9 | Stefan |
| 14. | 9 | D B |
| 15. | 9 | Sandra |
| 16. | 9 | Jenny |
| 17. | 9 | Daniel |
| 18. | 8 | M B |
| 19. | 8 | Nadine |
| 20. | 8 | Laura |
| 21. | 8 | M W |
| 22. | 8 | S F |
| 23. | 8 | M K |
| 24. | 7 | Vanessa |
| 25. | 7 | Nadja |
| 26. | 7 | Michael |
| 27. | 7 | A D |
| 28. | 7 | Mike |
| 29. | 7 | S B |
| 30. | 6 | P G |
| 31. | 6 | Sarah |
| 32. | 6 | R F |
| 33. | 6 | Pascal |
| 34. | 6 | Nicole |
| 35. | 6 | F S |
| 36. | 6 | Abc Def |
| 37. | 6 | Lisa |
| 38. | 6 | N Z |
| 39. | 6 | P M |
| 40. | 6 | M A |
| 41. | 6 | Sabrina |
| 42. | 6 | M R |
| 43. | 6 | Dsf Sdf |
| 44. | 5 | A H |
| 45. | 5 | Nina |
| 46. | 5 | Asd Asdf |
| 47. | 5 | Adrian |
| 48. | 5 | Melanie |
| 49. | 5 | J W |
| 50. | 5 | Don Juan |
Das andere Problem ist, dass eine Registrierung auch dann zugelassen wird, wenn man in das Feld für Vor- und Nachnamen dieselben Angaben eingibt:
| 1. | 243 | – – |
| 2. | 94 | A A |
| 3. | 78 | Asdf Asdf |
| 4. | 51 | … … |
| 5. | 45 | . . |
| 6. | 42 | D D |
| 7. | 38 | X X |
| 8. | 32 | S S |
| 9. | 32 | Bla Bla |
| 10. | 31 | Xxx Xxx |
| 11. | 23 | H H |
| 12. | 21 | Asd Asd |
| 13. | 20 | F F |
| 14. | 20 | M M |
| 15. | 18 | Dd Dd |
| 16. | 18 | .. .. |
| 17. | 16 | Test Test |
| 18. | 15 | R R |
| 19. | 14 | L L |
| 20. | 13 | Hans Hans |
| 21. | 13 | Xx Xx |
| 22. | 12 | Anonym Anonym |
| 23. | 12 | * * |
| 24. | 12 | Sdf Sdf |
| 25. | 12 | Lala Lala |
| 26. | 11 | Xy Xy |
| 27. | 10 | T T |
| 28. | 10 | B B |
| 29. | 10 | J J |
| 30. | 10 | Marco Marco |
| 31. | 9 | Ss Ss |
| 32. | 9 | Tom Tom |
| 33. | 9 | Mike Mike |
| 34. | 9 | Lol Lol |
| 35. | 9 | Asdasd Asdasd |
| 36. | 9 | …. …. |
| 37. | 9 | Gg Gg |
| 38. | 9 | K K |
| 39. | 8 | W W |
| 40. | 8 | Ff Ff |
| 41. | 8 | Hallo Hallo |
| 42. | 8 | Crazy Crazy |
| 43. | 8 | Toni Toni |
| 44. | 8 | G G |
| 45. | 7 | Muster Muster |
| 46. | 7 | Alex Alex |
| 47. | 7 | ??? ??? |
| 48. | 7 | E E |
| 49. | 7 | Unbekannt Unbekannt |
| 50. | 7 | Sam Sam |
Die Daten liegen zu euren Füssen – säubert die Benutzer-Tabelle doch endlich mal! Mit ein paar Zeilen PHP-Code lässt sich die ganze Chose automatisieren.
Im gleichen Anlauf fände ich eine noch porentiefere Säuberung sinnvoll: Benutzer, die sich seit x Monaten nicht mehr eingeloggt haben, wird ein Mail gesendet, das sie auffordert, sich in den nächsten x Tagen einzuloggen. Ist die Mail-Adresse ungültig oder geschieht bis zum angedrohten Termin kein Login, wird der Account gelöscht.
In Zukunft bitte ich euch, eine anständige Plausibilitätsprüfung bei Neuanmeldungen durchzuführen.
Und last, but not least: Der Sicherheitsaudit wäre immer noch fällig. Solche Datenlecks dürfen einfach nicht auftreten!
Bei ca. 30% der untersuchten Accounts wurde kein Namen zurückgeliefert (unter der angefragten User-ID scheinen keine Daten mehr vorhanden zu sein). Vermutlich handelt es sich hierbei um gelöschte Benutzer.
Die häufigsten Familiennamen der Schweizer Jugend resp. der Partyguide-Benutzer? Seht selbst:
| 1. | Müller |
| 2. | Meier |
| 3. | Schmid |
| 4. | Gerber |
| 5. | Keller |
| 6. | Schneider |
| 7. | Weber |
| 8. | Moser |
| 9. | Meyer |
| 10. | Berger |
Und hier dasselbe mit den Vornamen:
| 1. | Michael |
| 2. | Daniel |
| 3. | Thomas |
| 4. | Marco |
| 5. | Stefan |
| 6. | Patrick |
| 7. | Sandra |
| 8. | Marc |
| 9. | Simon |
| 10. | Pascal |
Es scheint symptomatisch für Partyguide zu sein, dass unter den zehn häufigsten Vornamen nur gerade ein weiblicher Name auftaucht …
Tags: Partyguide
Labels: Allgemein
Mario Aeby, geboren am 25. September 1980 in Bern, Schweiz
Ein Weblog über IT (Linux, OSS, Apple), Heim-Automation; mein mittlerweile abgeschlossenes Geschichtsstudium; Erkenntnisse aus meiner aktuellen Tätigkeit in der Informationssicherheit, meine Erfahrungen als IT-Berater, IT-Auditor, Web-Developer und IT-Supporter; die Schweiz, den Kanton Bern, meine ursprüngliche und auch wieder aktuelle Wohngemeinde Neuenegg, meine vorherige Wohngemeinde Bern, über lokale, regionale und globale Politik; meine Reisetätigkeit und Erfahrungen mit anderen Kulturen; und zu Guter letzt auch das Älter werden.
Alle in diesem Blog gemachten Aussagen und Meinungen sind persönlich und nicht als Ansichten meines aktuellen und/oder meiner bisherigen Arbeitgeber zu verstehen.
 |
You are currently browsing the think eMeidi blog archives for the year 2007.
