Rant über T-Com Intra Select

Mein Vater arbeitet in einer nicht zu kleinen japanischen Firma, die weltweit Bio- und Chemie-Geräte vertreibt. Aus Sicherheitsgründen waren deren Mailserver nie von Auen zu erreichen, und so musste man entweder im Büro sitzen oder sich von Außen per VPN einwählen, um an die Mails zu kommen. Eigentlich sehr sinnvoll. Es wurde aber der Windows-interne VPN-Client genutzt, und nix vernüftiges a la Cisco oder OpenVPN. Naja, besser wie nix sag ich mal.

Jetzt kam aber mit dem Jahreswechsel eine kleine Änderung, das VPN soll abgeschaltet werden und stattdessen sollen die Mitarbeiter von Außen das Intra Select von der T-Com bzw T-Systems nutzen. Da kann man sich per Fetsnetz, ISDN, DSL, GSM, GPRS und UMTS mit verbinden.

"Wunderbar!" (dachte sich der Fritze in der IT-Abteilung der von seinem Kollegen bei der T-Systems ne dicke Prämie erhalten hat).

Das ganze System hat einen kleinen Hacken: was ist, wenn man in einem Rosa-freien Haushalt lebt? Naja, ich durfte es eben testen.
DSL fällt schonmal flach, haben wir hier nicht. ISH-Kabel ist da schon viel besser ;-) Aber ich wette, wenn ich das am Alice-Anschluss von meiner Freundin ausprobieren sollte, wird das auch nicht gehen. DSL == T-DSL für die Fritzen (wahrscheinlich).
Nächster Versuch war dann per ISH VoIP eine 0800er Nummer anzuwählen. "Remote-Computer antwortet nicht", darf ich dann lesen. Ich wette sowas ähnliches würde ich bekommen, wenn ich eine GSM/GPRS/UMTS Verbindung aus dem Vodafone/E-Plus/O2 Netz aufbauen wollte... GRML.
Gut, dass ich den T-Cum Anschluss noch nicht komplett abgemeldet habe, also ab ins Wohnzimmer. Klickerliklack, Verbindung steht, Windows munkelt was von 46KBit/s. Ich erinnere mich, da gab es so eine Zeit vor ca 6-7 Jahren, da gab es keine Breitband-Leitungen, und alle waren so langsam unterwegs. Naja, immerhin steht die Verbindung. Outlook auf, mal Mails abholen. Nach 4 Minuten waren die 10 Mails auch da :-(
Schaun, was Google so macht. STOOOOOOOOP! Ich komm nicht ins Internet, nur in das Lokale Netz der Firma. Ja super, und was macht einer, der Zuhause wirklich NUR Modem hat und neben Firmen-Mails im Netz recherchieren will? Geil!

Ich bin mal gespannt, wie gut das funktioniert, wenn mein Papa mal wieder auf Geschäftsreise in Russland oder so ist...

Für mich ist diese Lösung ganz klar ein großer Schritt zurück, so ins 16te Jahrhundert. Ich mein, wozu haben wir eine 6MBit Leitung hier zuhause? Damit man Mails per Modem mit 5-6KB/s abholen muss? Bestimmt nicht.

Scheiß Monopolisten!

Killerspiele? Nein Danke!

Neulich in #animexx:

<leckse> http://www.testticker.de/news/home_computing/news20070117028.aspx - jetzt wird FF VII auch noch als Kinderpsiel verunglimpft!!!1
<Zhenech> alt
<Zhenech> aber ja leider
<Zhenech> bald auch mensch ärgere dich nicht
<Zhenech> und monopoly
<Zhenech> ganz zu schweigen von Ho(s)tel
<EngelMizu> xD
<EngelMizu> und bauklötze!!
<Zhenech> genau
<Zhenech> lego
<EngelMizu> und barbie!!!
<Zhenech> die haben doch haufenweise selbstbaukits
<Zhenech> fuer piraten und ähnliches gesindel
<EngelMizu> xD
<Zhenech> da gibts afaik auch kanonen von.. brrr

Was lernen wir daraus? Verbietet jegliches Spielzeug, Küchen-Werkzeuge, andere Werkzeuge, ...

Holtzbrinck kauft die Katze im Sack

Wie golem.de berichtet, hat Holtzbrinck in erento.com investiert und setzt damit seine Einkaufstour fort.

Dies hab ich mir zum Anlass genommen, die Einkäufe etwas mehr unter die Lupe zu nehmen.
erento.com ist ein Mietplatz (im Gegensatz zu Marktplatz?) wo man Sachen mieten und vermieten kann, die man zwar braucht, aber nicht kaufen will, weil man sie nur einmal braucht, oder eben gekauft hat aber nicht täglich braucht. Könnte vielleicht eine interessante Sache für manch einen Sparfuchs sein, aber ich habe lieber alles eigenes was ich brauche, oder leihe es mir unentgeltlich von Freunden - is einfacher und besser ;-)
helpster.de ist hingegen wirklich interessant, da kann man nämlich Ärzte und Medizinartikel bewerten. So hat man vor dem Besuch die Möglichkeit sich über den Arzt zu informieren und eventuell doch zu einem anderen zu gehen. Die Möglichkeit der Falschbewertung usw. lass ich hier mal außen vor.

Jetzt haben sollche Web-Apps aber in letzter Zeit viel zu viele Sicherheitslücken, und da man sich bei den beiden Seiten einloggen muss, ist Phishing nicht weit entfernt. Leider haben es die Entwickler viel zu einfach gemacht und direkt ein paar XSS Lücken eingebaut:
erento.com XSS in der Suche
helpster.de XSS in der Suche
helpster.de XSS im Supportforumalar

Da ein falsches Login-Fenster einzubauen und den Link als "toller Arzt in deiner Nähe" o.ä. zu verbreiten sollte nicht all zu schwer sein, und da die meisten User das selbe Passwort für viele Sachen haben, ist man schon ziemlich weit.

Naja, das waren meine 2 Cent zu der Sache, soll jeder sich seinen eigenen Teil dazu denken.

Teh Apfel strikes back!

Nachdem Apple letzte Woche das iPhone vorgestellt, und sich eine Klage von Cisco eingehandelt hat (IMHO zurecht), hieß es ja erstmal von der Apfelplantage, die Klage sei ungültig, sie verwenden ja eine ganz andere Technik und sind somit auf einem ganz anderem Gebiet tätig, wo Cicso seine Finger nicht drin hat (für mich ist ein Telefon ein Telefon, egal mit welchen Mitteln er die Daten nach Außen bekommt und welche Zusatzfunktionen er sonst noch hat).

Aber jetzt kommt eine neue Nachricht von der Plantage, wie TechChrunch berichtet, wurden jetzt Blogger verklagt, weil sie Links zu iPhone-Themes für Windows PocketPC linkten. Richtig gelesen, es kursieren Themes für PocketPC, damit dieser wie die Oberfläche vom iPhone aussieht (angeblich gibts das auch für PalmOS). Gegen Blogger, die darüber berichteten geht Apple jetzt vor, dass sie gegen das Theme ansich vorgehen könnte man noch ein wenig verstehen, aber gegen "Presse" die darüber berichtet?

Was mich an der ganzen Sache wundert, warum wurden die ganzen MacOS-X Themes für KDE und Gnome noch nicht verboten und warum kann man mit gDesklets immer noch die MacOS-X Leiste nachbilden? Fragen über Fragen, und kein Apfelwurm, der die Antwort weiß...

XSS Stats der letzten Tage

Habe bis jetzt (heute ausgenommen) 28 Seiten der XSS-Verwundbarkeit beschuldigt und dieses auch an die entsprechenden Webmaster weitergeleitet, folgende haben reagiert (open heißt Lücke weiterhin offen, closed das Gegenteil):

02/01/2007:
netgear.de open
netgear.com closed
saturn.de open
subway-sandwiches.de closed
vrr.de closed
yellowmap.de closed
dasoertliche.de open
gelbeseiten.de open
=> 4 open, 4 closed

05/01/2007:
clipfish.de closed
vox.de closed
hr-online.de open
netsplit.de closed
nrw.de open
koeln.de open
hamburg.de open
mainz.de open (in einer Mail wurde versprochen bald zu handeln)
mannheim.de open
frankfurt.de closed
=> 6 open, 4 closed

07/01/2007:
jvc-europe.com open
real.de open
sony-bmg.de open
debian.org open
ibm.com open
linsprire.com open
sueddeutsche.de open
medion.de closed
teufel.de closed
msi-computer.de open
=> 8 open, 2 closed

(das Datum bedeutet wann die Lücke entdeckt/veröffentlicht worden ist, nicht wann man reagiert hat)

Macht unterm Strich 10 von 28, grade mal ein Drittel. Schade schade...

What? XSS? Kennschnid!

Und heute wieder einige nette XSS Lücken,
es sind unter anderem ein paar Shops, der Hoster von ccc.de, ard.de, blogspot.com und ein paar Zeitungen dabei.
Viel Spaß damit!

getdigital.de
pro-linux.de
snafu.de (bereits von anderen während des 23C3 gefunden, aber immer noch nicht gefixt)
verbraucherzentrale-nrw.de
vz-bawue.de
alsa-project.org (HTTPS!)
netzeitung.de
xchat.org
pearl.de
computerbild.de
zgk.de
irc.at
linux.de
insiderz.de
torrent.to
wolters-kluwer.de (HTTPS!)
ard.de
evendi.de (thx to wodkahexe)
koelnticket.de
dticket.de
rp-online.de
n-tv.de (thx to wodkahexe, bereits von n-tv behoben)
linuxdevices.com
blogspot.com
crabbel.de (thx to wodkahexe)
engadget.com

Vielen Dank

an alle die mir auf elektronischem Wege zum Geburtstag gratuliert haben.

Ich habe nicht per ICQ/Jabber/Mail/whatever geantwortet, sondern mache es hier und jetzt:

DANKE!!!