Datenmißbrauch und andere Schandtaten...

  • Wer übrigens immer mal wissen wollte, wie Webseiten gehackt werden: Man gibt in Eingabefelder einfach Kommandos ein. Beliebt sind da zum Beispiel auch SQL-Statements, die die Datenbank auslesen, und mit dem User der Webapplikation ausgeführt werden, oder auch Java-Script Befehle. Hier mal ein einfacheres Beispiel an Hand einer bekannten Webseite, die das Prinzip illustriert, und auch zeigt, wie einfach so etwas unter Umständen ist:


  • Wer übrigens immer mal wissen wollte, wie Webseiten gehackt werden: Man gibt in Eingabefelder einfach Kommandos ein. Beliebt sind da zum Beispiel auch SQL-Statements, die die Datenbank auslesen, und mit dem User der Webapplikation ausgeführt werden, oder auch Java-Script Befehle. Hier mal ein einfacheres Beispiel an Hand einer bekannten Webseite, die das Prinzip illustriert, und auch zeigt, wie einfach so etwas unter Umständen ist:


    Ich hatte das auch bei fefe gelesen, aber zugegeben nicht geschnallt.
    Warum wird das dort ausgeführt?

    "(vii) His first priority would be reservation of much time for quiet reading and thinking, particularly that which might advance his determined learning, no matter how old he became; and
    (viii) He would also spend much time in enthusiastically admiring what others were accomplishing."


    (Ausschnitt aus Charlie Mungers Jobbeschreibung für den Chairman von Berkhire Heathaway, BH-Aktionärsbrief anno 2015)

  • Warum das so ausgeführt wird kann man nicht sagen, dafür müsste man den Code kennen, der hinter der Webpage steckt. Vermutlich nimmt er den Input und macht daraus eine Ausgabe, in dem er aus der Eingabezeile so etwas wie Eingabezeile + "konnte nicht gefunden werden" als Ausgabe generiert, die dann aber von Javascript als ausführbarer Code interpretiert wird.


    Was man also sehen kann ist, dass der Programmierer der Webpage die Eingabe nicht daraufhin untersucht, ob sie ausführbaren Code enthält und diesen reinigt ("Sanitizing").


    Hier ist das im Prinzip noch relativ harmlos. Beliebt ist das vor allem bei SQL Statements. Beispiele z.B. hier: http://www.unixwiz.net/techtips/sql-injection.html

  • Danke für die Erklärung.

    "(vii) His first priority would be reservation of much time for quiet reading and thinking, particularly that which might advance his determined learning, no matter how old he became; and
    (viii) He would also spend much time in enthusiastically admiring what others were accomplishing."


    (Ausschnitt aus Charlie Mungers Jobbeschreibung für den Chairman von Berkhire Heathaway, BH-Aktionärsbrief anno 2015)

  • Hier ist das im Prinzip noch relativ harmlos. Beliebt ist das vor allem bei SQL Statements. Beispiele z.B. hier: http://www.unixwiz.net/techtips/sql-injection.html

    Ich muß zugeben das ich auch schon mal ein "Opfer" war.

    Ein Hacker hat bei meinem selbst programmierten Onlineshop, per URL-Paramenter ein Produkt Sicherheitsupdate mit negativen Preis übergeben oder sogar in die Datenbank eingepflegt und diesen dann erworben.


    Ich hatte nicht schlecht gestaunt als die Email mit dieser Bestellung angekommen war!


    Und auch heute gibt es frische Entwickler die solche Lücken bauen.

    »In meinem Alter begreife ich, dass Zeit mein kostbarster Besitz ist.«
    »Freiheit bedeutet, dass man nicht unbedingt alles so machen muss wie andere Menschen.«
    »Eine Aktie zu verkaufen die fällt, ist in etwa so, als ob man ein Haus für 100.000 Dollar kauft und es verkauft, sobald jemand 80.000 Dollar dafür bietet.«
    Buffett

  • Hast du es denn dann auch zum negativen Preis ausgeliefert?


    Oder gibt es da rechliche Notausgänge, so dass man derlei von Verkäuferseite stornieren darf?

    Nein, ich hab den Bug beseitigt ;-)

    »In meinem Alter begreife ich, dass Zeit mein kostbarster Besitz ist.«
    »Freiheit bedeutet, dass man nicht unbedingt alles so machen muss wie andere Menschen.«
    »Eine Aktie zu verkaufen die fällt, ist in etwa so, als ob man ein Haus für 100.000 Dollar kauft und es verkauft, sobald jemand 80.000 Dollar dafür bietet.«
    Buffett

  • Facebook hat eine neue Idee, wie man die Emailverification bei der Anmeldung vereinfacht: Anstatt den Verification-Link in seiner Mailbox zu drücken, kann der User kann einfach das Passwort seines Email Accounts eingeben.



    https://twitter.com/originales…tatus/1112496649891430401


    :thumbup:



    Leider ist das wohl schon nach kurzer Zeit wieder eingestellt worden :(

  • Bei Amazon sitzt die „künstliche Intelligenz“ in Rumänien, Indien , Costa Rica ..


    Amazon-Mitarbeiter hören sich Privatgespräche mit Alexa an


    Um die virtuelle Amazon-Assistentin zu verbessern, transkribieren und analysieren Mitarbeiter jeden Tag Tausende von aufgezeichneten Gesprächen. Wird es zu privat, sollen sie offenbar aufhören. Die Kunden wissen nichts davon.

    ..“


    https://m.spiegel.de/netzwelt/…t-alexa-an-a-1262315.html


    Ist das eigentlich nicht strafrechtlich verfolgbar?

  • Assange soll gerade aus der Botschaft heraus verhaftet worden sein.

    Auch unsere Gedanken sind wircksame Factoren des Universums. Novalis


    Aus aktuellem Anlass: Government and banks are joined at the hip.

  • Ist das eigentlich nicht strafrechtlich verfolgbar?

    Wieso? Jeder weis das diese Wanzen nach Hause telefonieren und die Daten zur Verbesserung genutzt werden sollen.

    Wie stellst du dir diese Optimierung vor, außer per Mensch rein zu hören?

    Noch einmal durch den Alexa-Algotithmus schicken, wird wohl das selbe Ergebnis bringen.

    »In meinem Alter begreife ich, dass Zeit mein kostbarster Besitz ist.«
    »Freiheit bedeutet, dass man nicht unbedingt alles so machen muss wie andere Menschen.«
    »Eine Aktie zu verkaufen die fällt, ist in etwa so, als ob man ein Haus für 100.000 Dollar kauft und es verkauft, sobald jemand 80.000 Dollar dafür bietet.«
    Buffett

  • Wieso? Jeder weis das diese Wanzen nach Hause telefonieren und die Daten zur Verbesserung genutzt werden sollen.

    Its a feature, not a bug.

    "(vii) His first priority would be reservation of much time for quiet reading and thinking, particularly that which might advance his determined learning, no matter how old he became; and
    (viii) He would also spend much time in enthusiastically admiring what others were accomplishing."


    (Ausschnitt aus Charlie Mungers Jobbeschreibung für den Chairman von Berkhire Heathaway, BH-Aktionärsbrief anno 2015)