Schlagwort-Archive: security

Umfragemanipulation, ja bitte!

Neulich auf Facebook (ja ich weiß und ich stell mich auch gleich für 10 Minuten in die Ecke zum schämen), wurde mir ein Werbebeitrag von einem großen Schokoladenhersteller präsentiert.
Man soll sich seine eigene Sommerschokolade kreieren und anschließend können man das Netz abstimmen lassen, welche Sorte zukünftig im Regal erscheinen soll.
So Umfragen sind ja immer spannend, da die Macher sich Schutzmechanismen ausdenken, die man dann mehr oder weniger leicht aushebeln kann.
Ich schaute mir also die Umfrage an und fand heraus, dass sich die Macher darauf verlassen, ein gesetztes Cookie als Sperrmechanismus für unberechtigte Votings einzusetzen.
Sprich wer votet, seine Cookies löscht und anschließend erneut votet, konnte seine Schokolade erneut nach oben pushen.
Ich habe mich deshalb mal hingesetzt (31.07.2015), ein kleines Script geschrieben, Demovideo aufgenommen und den großen Schokoladenhersteller von dem technischen Fauxpas unterrichtet.
Leider kam außer der Eingangsbestätigung kein weiteres Feedback … ich hätte mir zumindest ein kleines Danke gewünscht.
Lange Rede, kurzer Sinn – die haben die Lücke gefixt und da die Votingaktion gestern offiziell beendet wurde, bin ich mal so frei den Codingfail hier zu posten.

Update (21.08.2015): *** Video entfernt *** – Im Video zeigte ich, wie ich ein selbst geschriebenes PHP Script ausführe, anschließend rennt das Voting einer bestimmten Schokoladensorte aus dem Voting nach oben. Man sieht weder den Code meines PHP Scripts, noch habe ich dieses Script in irgendeiner Weise veröffentlicht … bis auf den Hersteller selbst, denen ich meine 16 Zeilen PHP-Code exklusiv und natürlich kostenlos zur Verfügung stellte. Sie bekamen zudem von mir den Tipp, eine IP-basierende Sperre einzubauen.
Heute, nach 3 Wochen bekomme ich dann doch noch eine Dankesmail, ich poste mal die recht lustige Passage der Nachricht:

… und wir auch in Zukunft planen, weitere Aktionen durchzuführen, bei der wir ungern mit weiteren Manipulatioen rechnen möchten, sind wir darüber natürlich nicht glücklich.
Wir hoffen, dass wir Ihnen nahebringen konnten, dass das Verbreiten von Manipulationsanleitungen, unserem Bestreben einer barrierefreien Teilnahme der Abstimmung entgegenwirkt.
Mit einer Deaktivierung bzw. Entfernung des Videos würden Sie uns daher sehr weiterhelfen.

Wir hoffen auf Ihr Verständnis und Ihr Entgegenkommen.

Na wenn das Deaktivieren des Videos zukünftige Manipualtionsversuche unterbindet, komme ich diese Anfrage gerne nach.
willy_wonka_sarcasm_meme

Update 2:
Der Hersteller hat sich heute nochmal bei mir gemeldet und sich abschließend mit dem Hinweis bedankt, dass er mir eine kleine Schokoladenaufmerksamkeit zukommen lassen möchte.
Das war eigentlich nicht Ziel meines Kontakts, freue mich aber dennoch.
Deshalb gibt es an dieser Stelle auch nochmal einen Hinweis ganz umsonst:
Wenn man aus Datenschutzgründen keine IP-Adresse speichern möchte, kann oder darf, könnte man theoretisch einen md5($_SERVER['REMOTE_ADDR'].$salt); verwenden.

Mac OS X rootpipe Sicherheitslücke – kleine Analyse

Eben wurde auf Winfuture eine Sicherheitslücke unter dem Begriff rootpipe veröffentlicht.
Emil Kvarnhammar ein Hacker der IT-Sicherheitsfirma Truesec hat diese Lücke entdeckt und das muss natürlich schnell im Netz verbreitet werden.
Als ich mir das Video anschaute, musste ich erst mal lachen, nicht nur wegen der scheinbaren Lücke, auch wegen der Geschwindigkeit mit der sich diese Information zur „Lücke“ im Netz verbreitet.
Morgen auf der Arbeit werden dann mit Sicherheit alle panisch mit Ihren Armen fuchteln und Mac OS verteufeln xD.
Weiterlesen

Wie man WordPress hackt

Ab und an jucken ja schon die Finger, auch wenn man zu den Guten gehört, da braucht es dann manchmal nur einen Freund der einen herausfordert.
Kollege: „Hast Du schon von dem xxx Exploit gehört? Ich will mal nachschauen wie viele Webseiten über Google gefunden werden können die wirklich vuln sind und anschließend die Betreiber informieren“
hoo: „Kannst ja nen Bot schreiben“
Kollege: „An genau das habe ich auch gedacht. Schreib doch auch einen und mal schauen wer am Ende die größere Liste hat“.
Weiterlesen

Die NSA ist hammer schnell

… zumindest die Unterabteilung Google.
Email an einen Kollegen versendet (via Mailclient), 2 Minuten später eine Webseiten aufgerufen (Browser / jungfräulich aufgerufen, autodelte cookies + flashcookies) -> Webseitenconten hat nichts mit Motorrad oder Fahrzeugen zu tun.
In der GoogleAds wird gleich die passende Werbung im Browser präsentiert.
Weiterlesen

Macadressen aus der Vergangenheit – FritzBox 6340

Über das Thema Routersicherheit habe ich ja schon öfters berichtet und allerlei fiktive Angriffsszenarien durchgespielt.
Als ich gestern mal wieder in der Konfigurationseinstellungen der Fritzbox spielte, fand ich auch recht alte Einträge von Rechnern (Gästen), die vor Monaten bei mir zu Besuch waren … Leasetime ist per default wohl nicht gesetzt *g.
Was nicht ganz unkritisch ist, die Macadresse und der Hostname von fremden Rechnern.
Weiterlesen