IT-Blogger

Schon vor längerer Zeit bin ich auf den Multimessenger Digsby gestossen… Die Installationsroutine sah damals noch so aus:

Mal ehrlich. Es ist ein Wunder, dass sich nach diesem Crapware-Installationmarathon auf der großen weiten Welt noch jemand gefunden hat, der das Ding wirklich installiert und genutzt hat.

Da ich in letzter Zeit schon über 2 Blogposts gestolpert bin, die das Ding empfohlen haben habe ich Digsby nochmal eine (kleine) Chance gegeben.

Die erste Neuerung springt direkt ins Auge – der Installer erschlägt nicht mehr mit 6 verschiedenen Adware-Installationsangeboten. Stattdessen soll nur noch eine ASK-Toolbar installiert werden.

Naja, ohne ASK-Toolbar wäre es besser. Dass eine Toolbar-Installation abgehakt werden muss, ist man inzwischen von vielen Programmen leider gewohnt.

Am Ende hat man dann noch die Möglichkeit zwei Optionen abzuwählen… und da wird es interessant.

“Allow Digsby to use idle CPU time for grid computing”.  Wer diesen per default aktivierten Haken nich wegmacht, nimmt automatisch an PluraProzessing teil. Quasi ein Seit@Home oder Folding@Home, allerdings natürlich auf komerzieller Basis. Soll heißen, da werden nicht Moleküle gefalten oder Aliens aufgespürt sondern Aktienkurse analysiert oder das Internet gecrawlt:

• Oil & gas exploration algorithms
• Financial modeling
• Bioinformatics
• Web crawling and Internet analysis
• Fluid dynamics
• And many others

Welche Firmen konkret hier Grind Computing betreiben, also Laufzeit bei Plura Processing einkaufen, ist nirgends zu finden. Möglicherweise berechnet ja grade dein Disby-Client eine neue Modedroge?

Nach einem Protest-Post von Lifehacker (siehe Link unten) wurde die Installationroutine geändert und mehr Informationen zu diesem Grind Computing eingebaut.  Trotzdem werde ich mir Disgby nicht auf meinen Rechnern installieren – dafür hat mich die alte Installationsroutine zu sehr abgeschrekt und die neuen Verdienstmethoden sind mir zu zwielichtig. (Auch wenn man sich austragen kann, indem man den Haken wegmacht).

Übrigens arbeitet Plura Processing auch viel mit Flash- und Javaspiele-Entwickler zusammen. Da werden dann, während man im Browser Spiele spielt, im Hintergrund Daten ausgewertet. Durchaus eine interessante Verdienstmethode die wahrscheinlich für Webseiten wie Youtube, die die Nutzer schonmal einige Minuten binden können, interessant ist.

Möge jeder selbst entscheiden, ich bleibe in diesem Fall bei freier Software.

Digsby hat in der Vergangenheit schon zu große Fehler gemacht, um sich jetzt mit etwas weniger offensichtlich bescheidenen Verdienstmethoden aus der Affäre zu ziehen.

Weiterführende Links

• Lifehacker zu Digsby
• Digsby-Doku zum Research Module
• Digsby zu seinen Verdienstmethoden

Dass man im Media Markt oftmals nicht die kompetente Beratung bekommt die man sich als Kunde eigentlich wünscht, ist weitläufig bekannt. Nun, mir jedenfalls.

Trotzdem war ich vor einigen Tagen beim Media Markt, um kurzfristig noch eine Maus, ein Geschenk, zu besorgen. Ich hatte eigentlich nicht viele Anforderungen:

• Es sollte eine Laptop-Maus werden und sie sollte einen von diesen winzigen Empfängern haben, die man in der Laptoptasche am USB-Port lassen kann.

• Es sollte eine Laser-Maus werden, da optische Mäuse oftmals Probleme mit z.B.  rauen Holztischen haben.

Eigentlich keine ungewöhnlichen Anforderungen. Entsprechend schnell hatte ich auch ein Modell entdeckt, was diesen Mini-Empfänger hat: Logitech M305.
Wenn das gute Stück jetzt noch ‘nen Laser hat, dann wäre die Maus perfekt. Da auf der Verpackung leider keinerlei Hinweis ob Laser oder Optisch zu finden war, musste ich einen Verkäufer fragen:

Ich: Ist das hier eine Laser-Maus?
Verkäufer 1: Ähm, ohh…. Keine Ahnung….. Ja!

Naja. Die Unsicherheit war ihm sofort anzumerken, also wollte ich auf Nummer sicher gehen und habe noch einen zweiten Verkäufer gefragt:

Ich: Ist das hier eine Laser-Maus?
Verkäufer 2: Ja!
Ich: Sicher?
Verkäufer 2: Ja, sicher!
Ich: Vielen Dank! Tschüss.

Nun, jetzt ratet mal ob die Maus optisch oder mit Laser war?
Richtig. Optisch. Sonst würde die Geschichte hier keinen Sinn machen, gell.

Schlimm genug, dass es teilweise erhebliche Mändel in der fachlichen Kompetenz der Beratung gibt, aber schliche Unwissenheit mit einer eindeutigen falschen Aussage zu überspielen, darf nicht passieren.

Es ist ganz klar, dass man nicht alle technischen Details kennen kann. Gerade deswegen hätte ein guter Kundenservice es verlangt, dass man als Verkäufer zugibt, dass man keine Ahnung hat. Zusätzlich wäre es wünschenswert gewesen, falls es die Zeit und die technische Infrastruktur es erlauben, kurz in der Produktdatenbank oder bei Google kurz die gewünschen Informationen nachschlägt.

Nächstes mal gibt’s nen Geschenkgutschein und das Produkt wird online bestellt…

Mit Sicherheit hat schon jeder mitbekommen, was beim sozialen Netzwerk von Haefft passiert ist. Deswegen nur kurz zusammengefasst:

Der  CCC hat im Sozialen Netzwerk von Haefft schwerwiegende Sicherheitslücken gefunden, die kaum zu übertreffen sind. Die Daten aller dort angemeldeten Schüler waren für jeden, der die Sicherheitslücke entdeckt hat, frei zugänglich.

Konkret hat es sich um folgende Schwachstellen gehandelt:

• Passwörter wurden im Klartext in der Datenbank gespeichert. Nicht als Hash und somit natürlich auch ohne Salt.
• Keine verschlüsselte Anmeldung. D.h. Username und Passwort wurden unverschlüsselt über das Internet übertragen
• Eingabedaten wurden ungefiltert an die Datenbank übertragen.

Doch das waren noch nicht genug Anfängerfehler. Jetzt kommt, wie ich finde, der eigentliche Hammer:

• Passwörter wurden mit dem ILIKE-Operator überprüft.

Zudem wurden sie [die Passwörter] mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.

CCC-Blogpost

Wie die Überprüfung genau stattgefunden hat, weiß ich natürlich nicht. Ich kenne deren Quelltext nicht. Aber man möge sich nur mal vorstellen, was die Programmierer sich bei der Passwort-Abfrage gedacht haben:

“Wenn der Nutzer ein Passwort eingibt, was so oder so ähnlich aussieht, wie das was wir unverschlüsselt in der Datenbank gespeichert haben, dann ist er erfolgreich authentifiziert.”

Ja, wie kommt man denn darauf? Authentifizierung mit Hilfe von Wahrscheinlichkeiten?

“Authentifiziere dich mit dem User aus der unverschlüsselten Datenbank, der dem eingegebenen Datensatz am ehesten entspricht.” Oder was?

Ernsthaft, wie kommt man auf die Idee ein Passwort mit einem ILIKE zu überprüfen? Gibt es da evtl. sinnvolle Einsatzzwecke, die ich nicht kenne? Ich bezweifle es.

Der CCC frägt sich, angesichts der immer wiederkehrenden Datenskandale, zurecht inwiefern und ob man überhaupt sozialen Netzwerken sein Vertrauen schenken darf. Haefft verliert jetzt hoffentlich all seine Nutzer.

So etwas darf definitiv nicht passieren.