Februar 20th, 2010 §
Schon vor längerer Zeit bin ich auf den Multimessenger Digsby gestossen… Die Installationsroutine sah damals noch so aus:
Mal ehrlich. Es ist ein Wunder, dass sich nach diesem Crapware-Installationmarathon auf der großen weiten Welt noch jemand gefunden hat, der das Ding wirklich installiert und genutzt hat.
Da ich in letzter Zeit schon über 2 Blogposts gestolpert bin, die das Ding empfohlen haben habe ich Digsby nochmal eine (kleine) Chance gegeben.
Die erste Neuerung springt direkt ins Auge – der Installer erschlägt nicht mehr mit 6 verschiedenen Adware-Installationsangeboten. Stattdessen soll nur noch eine ASK-Toolbar installiert werden.
Naja, ohne ASK-Toolbar wäre es besser. Dass eine Toolbar-Installation abgehakt werden muss, ist man inzwischen von vielen Programmen leider gewohnt.
Am Ende hat man dann noch die Möglichkeit zwei Optionen abzuwählen… und da wird es interessant.
“Allow Digsby to use idle CPU time for grid computing”. Wer diesen per default aktivierten Haken nich wegmacht, nimmt automatisch an PluraProzessing teil. Quasi ein Seit@Home oder Folding@Home, allerdings natürlich auf komerzieller Basis. Soll heißen, da werden nicht Moleküle gefalten oder Aliens aufgespürt sondern Aktienkurse analysiert oder das Internet gecrawlt:
- Oil & gas exploration algorithms
- Financial modeling
- Bioinformatics
- Web crawling and Internet analysis
- Fluid dynamics
- And many others
Welche Firmen konkret hier Grind Computing betreiben, also Laufzeit bei Plura Processing einkaufen, ist nirgends zu finden. Möglicherweise berechnet ja grade dein Disby-Client eine neue Modedroge? 
Nach einem Protest-Post von Lifehacker (siehe Link unten) wurde die Installationroutine geändert und mehr Informationen zu diesem Grind Computing eingebaut. Trotzdem werde ich mir Disgby nicht auf meinen Rechnern installieren – dafür hat mich die alte Installationsroutine zu sehr abgeschrekt und die neuen Verdienstmethoden sind mir zu zwielichtig. (Auch wenn man sich austragen kann, indem man den Haken wegmacht).
Übrigens arbeitet Plura Processing auch viel mit Flash- und Javaspiele-Entwickler zusammen. Da werden dann, während man im Browser Spiele spielt, im Hintergrund Daten ausgewertet. Durchaus eine interessante Verdienstmethode die wahrscheinlich für Webseiten wie Youtube, die die Nutzer schonmal einige Minuten binden können, interessant ist.
Möge jeder selbst entscheiden, ich bleibe in diesem Fall bei freier Software.
Digsby hat in der Vergangenheit schon zu große Fehler gemacht, um sich jetzt mit etwas weniger offensichtlich bescheidenen Verdienstmethoden aus der Affäre zu ziehen.
Weiterführende Links
Dezember 6th, 2009 §
Mit Sicherheit hat schon jeder mitbekommen, was beim sozialen Netzwerk von Haefft passiert ist. Deswegen nur kurz zusammengefasst:
Der CCC hat im Sozialen Netzwerk von Haefft schwerwiegende Sicherheitslücken gefunden, die kaum zu übertreffen sind. Die Daten aller dort angemeldeten Schüler waren für jeden, der die Sicherheitslücke entdeckt hat, frei zugänglich.
Konkret hat es sich um folgende Schwachstellen gehandelt:
- Passwörter wurden im Klartext in der Datenbank gespeichert. Nicht als Hash und somit natürlich auch ohne Salt.
- Keine verschlüsselte Anmeldung. D.h. Username und Passwort wurden unverschlüsselt über das Internet übertragen
- Eingabedaten wurden ungefiltert an die Datenbank übertragen.
Doch das waren noch nicht genug Anfängerfehler. Jetzt kommt, wie ich finde, der eigentliche Hammer:
- Passwörter wurden mit dem ILIKE-Operator überprüft.
Zudem wurden sie [die Passwörter] mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.
CCC-Blogpost
Wie die Überprüfung genau stattgefunden hat, weiß ich natürlich nicht. Ich kenne deren Quelltext nicht. Aber man möge sich nur mal vorstellen, was die Programmierer sich bei der Passwort-Abfrage gedacht haben:
“Wenn der Nutzer ein Passwort eingibt, was so oder so ähnlich aussieht, wie das was wir unverschlüsselt in der Datenbank gespeichert haben, dann ist er erfolgreich authentifiziert.”
Ja, wie kommt man denn darauf? Authentifizierung mit Hilfe von Wahrscheinlichkeiten?
“Authentifiziere dich mit dem User aus der unverschlüsselten Datenbank, der dem eingegebenen Datensatz am ehesten entspricht.” Oder was?
Ernsthaft, wie kommt man auf die Idee ein Passwort mit einem ILIKE zu überprüfen? Gibt es da evtl. sinnvolle Einsatzzwecke, die ich nicht kenne? Ich bezweifle es.
Der CCC frägt sich, angesichts der immer wiederkehrenden Datenskandale, zurecht inwiefern und ob man überhaupt sozialen Netzwerken sein Vertrauen schenken darf. Haefft verliert jetzt hoffentlich all seine Nutzer.
So etwas darf definitiv nicht passieren.
Februar 11th, 2009 §
Seit c.a. 1 Woche habe ich ein massives Kommentar-Spam-Problem. Nicht in allen Artikeln sondern nur bei einem einizgen. Wie dieser eine Artikel auf der Liste des Spam-Bots gelandet ist, weiß ich wirklich nicht. Jedenfalls hat dieser Spambot in einer Woche fast 100 Kommentare geschrieben. Das kommt manchen Bloggern mit Sicherheit wenig vor – im Vergleich zur Anzahl der Gesamtzahl der “echten” Kommentare sinds aber mehrere 100% Spam.
Momentan hab ich auch wirklich kein Bock ein Plugin zu installieren, was den Spam herausfiltert. Das bedeutet nur mehr Code auf dem Webserver… und mehr Code macht die Sache nur unsicherer.
Also als erste Reaktion habe ich den Spam-Bot (er kam ja immer nur von einer IP) per htaccess ausgesperrt:
deny from 194.8.74.155
Mein nächster Schritt war eine Mail an den Provider. Gut, also kurz nen whois angeworfen und folgendes Ergebnis bekommen:
inetnum: 194.8.74.0 – 194.8.75.255
netname: DRAGONARA-NET
descr: Dragonara Alliance Ltdcountry: GB
Schaut eigentlich nach einem seriösen Provider aus. Denkste. Erst hab ich mein Glück per ICQ versucht. Da wurde ich auf die abuse-Adresse verwiesen. Also kurz ne Mail hingeschickt mit der IP. Erstmal ohne access-log. Prompt kam ne Mail: Ohne access_log geht keine Abuse-Beschwerde. Also gut, Logs durchgekramt und inklusive Screenshot(!) hingeschickt. Das war Ende letzter Woche. Seitdem? Keine Reaktion. Nichts.
Mensch war ich naiv… ich dachte wirklich das interessiert nen Admin wenn einer seiner Server spammt. Ich würde jedenfalls nicht so ruhig bleiben…
Es scheint sich zudem um eine äußerst dumme Art des “spammius botus (lat.)” zu handeln. Das Ding versucht immernoch zu spammen – obwohl er inzwischen nur noch nen Access denied sieht.
Gestern kam es dann noch besser: 194.8.75.141 hat sich zu 194.8.74.155 gesellt.Tja zu zweit spammen macht wahrscheinlich mehr Spaß! 
Scheit als hätten wir es mit einem SPAM PROVIDER (dieser Backlink ist für Google) zu tun… schade. Also erstmal weiter über htaccess die IPs sperren. Irgendwann kommt dann vielleicht ein Plugin …
Januar 21st, 2009 §
Gestern kam hier der erste Spam-Kommentar vor. Was der Sinn dahinter ist, bleibt mir aber schleierhaft ^^
Normal will Spam ja Werbung machen. Hier ist das nicht der Fall.
Text:
SlAx8J <a href=”http://vewdufoosyni.com/” rel=”nofollow”>vewdufoosyni</a>, [url=http://dtfrwxzwzwnr.com/]dtfrwxzwzwnr[/url], [link=http://tjtnromvrwir.com/]tjtnromvrwir[/link], http://njufrthofosz.com/
URL:
http://vnxjwgjbihth.com/
E-Mail:
imsaiw@dabxec.com
Name:
epcktjmctgy
Im Kommentar sind inks zu Seiten die überhaupt nicht existieren. (Die URLs scheint mir eher aus einer Reihe Zufallsbuchstaben zu bestehen). Ebenso die angegebene Webseite und die E-Mail Adresse. Der Name ist auch völlig frei erfunden. Oder erkennt ihr im Namen epcktjmctgy einen Sinn?
Die IP kam aus der Türkei von einem ADSL-Anschluss.
Wahrscheinlich sollen die Kommentare einfach nur nerven. Warum jemand da seine wertvolle Zeit hineinsteckt verstehe ich absolut nicht… Naja was will man machen.
Die Pingzeiten zu der IP war übrigens miserabel. Teilweise war sogar die IP überhaupt nicht erreichbar. Wahrscheinlich war der PC grade a feste am Spams verschicken oder Kommentare posten
