ich selbst bin vorhin auch darüber gestolpert und es kam mir dann von anfang an spanisch vor.

worum geht’s?

irgendwann tauchte bei einem follower ein tweet auf:

“Don’t click [tinyurl]“^[1]

im grunde sollte mensch diesen tweet tatsächlich ernst nehmen, denn es passierte folgendes:

hat der twitterer — im eingeloggten zustand — auf den link geklickt, öffnete sich eine spartanisch eingerichtete seite.

zu sehen war ein knöpfchen mit selbiger aufschrift: “Don’t Click!”

sowie ein paar leere zeilen und ein paar punkten zwischendrin.

wer jetzt auf den knopf gedrückt hatte, durfte sich “freuen” … damit wurde ungefragt und unbemerkt ein tweet abgesetzt. optisch passierte nix weiter. nur beim neuladen in twitter sah mensch das ergebnis.

interessant dabei war: dies funktionierte bei mir nur mit dem opera! denn der firefox war wirklich nett und hat mich auf eine XSS-attacke^[2] hingewiesen.^[3]

twitter selbst hat dabei bemerkenswert schnell reagiert, wie ich finde. es hat nur stunden gedauert, bis das gefixt wurde.

(meldung auf dem twitter-blog)

das ganze nennt sich, der arbeitsweise entsprechend, clickjacking und ist dem allgemein bekannten hijacking verwandt.

wie kann so etwas passieren?

mal ganz salopp und einfach erklärt: hier spielen zwei dinge eine rolle.

1) dein browser hat mitschuld! wer einen benutzt, der nicht solch ein sicherheitsfeature hat wie der aktuelle firefox, ist selbst schuld. darum, auf aktualisierungen und die sicherheit achten. meine mobile opera-version ist jedenfalls nicht mehr so vertrauenswürdig.

2) mangelnde oder gar nicht existierende sicherheitsmechanismen auf der betroffenen seite. bei twitter vermute ich einfach mal, dass da jemand eine lücke in der API gefunden hat, die prima das absetzen eines tweets bei eingeloggten usern erlaubte. die genaue funktionsweise kann und will ich gar nicht weiter erklären.^[4][5]

wer gar nicht eingeloggt war oder gar keinen twitter-account besaß, war ohnehin nicht betroffen. denn wohin sollte das script schon twittern, wenn kein ziel da ist.

das fazit daraus ist ebenfalls zweigeteilt: für surfer im www bedeutet es, stets nach einem sicheren browser ausschau zu halten. firefox schien jedenfalls gut gerüstet zu sein.^[3] auf der anderen seite sind die dienstebetreiber gefordert, solche angriffe erst gar nicht zu ermöglichen, in dem die jeweilige anwendung — wie zB twitter — ebenso sicher und zuverlässig programmiert wird.

da sicherheitslücken nicht zwangsläufig immer von anfang an da sein müssen, ist zudem ein gutes reaktionsvermögen gefordert, besonders auf der entwicklerseite, da der gemeine benutzer immer erst einmal als saudumm und naiv eingestuft werden muss!

schlussbemerkung:

wenn schon irgendwo steht, dass mensch doch nicht darauf klicken solle, dann tue dies auch nicht!

DON’T CLICK!

1. zur sicherheit kein link; wäre aber bereits durch twitter gefixt
2. cross-site-scripting, zu deutsch also seitenübergreifende skript-ausführung
3. UPDATE/HINWEIS! ich wurde durch ein ein firefox-plugin geschützt, nicht durch den browser selbst! das plugin nennt sich No Script und wehrt die angriffe sogar ab (bzw. warnt den benutzer), selbst wenn mensch das blockieren von javascript deaktiviert hat.
4. wer eine gute exploit-seite kennt, in der auch dieser hack technisch gut erklärt wird: her damit!
5. eine englische erklärung zum hack.

sprich: sie geben auf!

auch von mir noch einen herzlichen glückwunsch an markus für den triumph!

der ist hier dann falsch.

markus von netzpolitik.org braucht jetzt definitiv unterstützung, rat und hilfe – und menschen, die einfach zu ihm und seiner arbeit stehen.

etwas, was wir blogger als erstes tun können: fleißig aufmerksam machen und verlinken.

was will die bahn grad? etwas ausm www haben, was sie gerade stört. was erreicht sie dadurch? noch mehr publicity für genau die sache, die sie eben weg haben wollen. und diese aufmerksamkeit sollen sie bekommen.

markus wurde von der bahn durch eine abmahnung aufgefordert, ein für sie brisantes schriftstück und den artikel dazu zu löschen.

was sie dadurch erreicht haben, ist wohl das genaue gegenteil, denn so langsam rühren sich auch einige medienanstalten und greifen diesen vorfall auf. wenn ich die porzellanschale klauen will, ziehe ich mir ja auch kein elefantenkostüm an, oder?

[update]

markus ist begeistert ob der riesigen welle, die sein hilferuf ausgelöst hat. da wir uns aber netztechnisch nix vormachen brauchen — in D ist twittern und bloggen noch lange nicht alltag für alle –, ist es gerade umso bemerkenswerter, dass auch die klassischen medien schnell reagieren und die neuigkeiten aufgreifen. im vergleich zum medienrummel um den basicthinking-blogverkauf würd ich sagen, ist hier eindeutig mehr erreicht worden. okay, die thematik ist auch wesentlich massentauglicher, die bahn kennt ja nun echt jeder!

interessant finde ich auch übrigens die 10 gründe, warum die bahn gegen netzpolitik verlieren muss. (und hoffentlich auch tatsächlich wird.)

[update 2]

nachdem markus etwas verwundert war, dass die deutschen blogger zwar solidarität zeigen wollen, diese aber gar nicht leben, musste ich ein wenig nachdenken.
und er hat recht, ganz solidarisch wäre es gewesen, wenn viele blogger die entsprechende PDF-datei ebenso auf ihre seite genommen hätten und damit sich ebenso dem risiko der abmahnung ausgesetzt hätten.

jetzt blogge ich selbst war echt nur als reiner blogger ohne journalistischen anspruch wie wir es aus der hölzernen abteilung kennen, aber ich will mich nicht lumpen lassen und stelle das dokument Datenschutz bei der Bahn nachträglich auch bei mir ein. da die deutsche bahn gebeutelt ist und bei markus schon wieder die sache fallen gelassen hatte, sollte ich ja eigentlich auch nicht weiter behelligt werden. oder?

alles weitere kann mensch sich ja direkt auf dem neuen alten blog durchlesen.

käufer war serverloft, die dedizierte server anbieten — was mich daran erinnert, die kommenden wochen/monate meine gesamte infrastruktur zu ordnen und einiges zu konsolidieren. ob’s bei denen sein wird, weiß ich aber heute noch nicht. gerade bei eigens angemieteten servern muss mensch nicht nur nach leistung sondern auch nach service schauen.

interessant wird es nun sein, wie die neuen inhaber sich bewähren werden. schnell sind sie ja alle im netz, sowohl die meldungen im sekunden-takt nach auktionsschluss, als auch bei den vorbereiteten pressemeldungen (siehe serverloft-website).

zumindest geben die neuen die zusage, das blog im sinne von robert weiterzuführen. ein wenig werde ich das noch beobachten. entweder wird die qualität sogar noch steigen — dann werde ich vielleicht wieder regelmäßiger leser — oder aber sie werden absacken und in ein paar wochen wird niemand mehr darüber sprechen wollen. höchstens spöttisch mit satzfragmenten wie “ich hab’s ja gleich gewusst, dass es nix wird …”.

mal guggn, ob diese aktion dann als top oder flop des jahres 2009 eingehen wird.

achja, einen kommentar fand ich toll: er^[1] sehe gut aus. okay, laut xing-profil kann ich das sogar bestätigen.

so, senf abgegeben und mich nun mit in die reihe der hype-pusher einreihen.

übrigens: hat jetzt jemand das tv-interview mitbekommen? war das live? ich war ja da leider schon aufm heimweg und konnte daher nicht den fernseher bezappen.

1. der geschäftsführer von serverloft

jedoch heisst das nicht, dass ich mich thematisch nicht mehr damit befasse, es ist nur viel zu tun in letzter zeit. darum heut auch nur kurze infos:

~ am 11.10.2008 war eine große demo in berlin – “freiheit statt angst”. einige hatten sich schon mit dem motto schwer getan, dennoch waren reichlich menschen da, um für ihre rechte einzutreten. interessante wortverdreherei.

~ andere wiederum hatten es schwer, am tag der deutschen einheit zu demonstrieren und danach noch feierlich den tag ausklingen zu lassen, der polizei sei dank. spannender und traurig stimmender artikel.

~ und die nächsten machen sich gedanken zur zukunft des internet – das buzzword “web3.0″ ist jetzt schon in aller munde. bemerkenswerte visionen.

~ am kommenden wochendende (16.10. bis 18.10.08) ist das dritte barcamp in berlin! ich bin sehr wahrscheinlich am samstag dabei. vielleicht sieht mensch sich ja.

da ich es etwas eilig habe, und überhaupt die info schnelle verbreitung finden sollte, hier mal der erste absatz von netzpolitik.org als zitat:

Wie es ausschaut, haben sich Konservative, Liberale und Sozialdemokraten bei der Universaldiensterichtlinie im Rahmen des Telekom-Paketes auf einen Kompromiss geeinigt. Dieser liegt uns vor und unsere Kritik wurde dabei leider nicht wirklich berücksichtigt. Diese drei Fraktionen haben zusammen die Mehrheit im Europaparlament, und es ist zu befürchten, dass am kommenden Dienstag, den 23. September in der ersten Lesung mehrheitlich für eine EU-Gesetzgebung gestimmt wird, die weiter Bürger- und Verbraucherrechte in Europa gefährdet.

(hervorhebungen von mir)

weiteres bitte drüben bei den netzpolitikern nachlesen … und handeln!

auf netzwertig.com gibt es einen recht interessanten artikel zu musik, kulturflatrate und netzneutralität. der autor marcel beschreibt dort, welche gefahren er sieht, wenn das netz mehr und mehr kommerzialisiert wird, angefangen bei der musikindustrie bis hin zum gesamten internet an sich.

die gefahr verhält sich so, wie mensch es in der politik schon so manches mal erlebt hat: ist erst einmal ein schlupfloch per gesetz geschaffen, ist der weg nicht weit, dieses für andere zwecke zu “missbrauchen”. (ich denke, dass gerade schon unsere deutsche geschichte hierfür einige beispiele parat hat, und aktuelle entwicklungen zu datensicherheit, datenschutz und die damit einhergehende einschränkung der informationellen selbstbestimmung wieder solche möglichkeiten gebieten. auch wenn das bundesverfassungsgericht hier einige steine in den weg gelegt hat.)

auch ich muss mir eingestehen — auch und gerade in bezug zum ersten kommentar zum obigen artikel –, dass ich kein befürworter einer kulturflatrate sein kann und will.

denn ich kann eben nicht jeden monat zusätzlich 30 bis 50 euro ausgeben allein für musik und ggf. video (der betrag summiert sich dann also sicherlich zu der gebühr, welche von der GEZ schon eingefordert wird). ich sehe mich hier ja dann sogar im zugzwang als benutzer, jeden monat musik und videos zu laden, damit ich auch etwas von der flatrate habe. dass ich schon heute niemals jeden monat solch eine summe überhaupt dafür aufbringe, spricht schon wohl für sich und damit gegen die kulturflatrate. warum sollte ich das also in zukunft wollen oder gar müssen?

sofern die nötige bandbreite des internetanschlusses gar nicht die möglichkeit lässt, dass die masse der bevölkerung überhaupt ein nutzen davon hat, sehe ich die kulturflatrate ohnehin als ad absurdum geführt. aber selbt wenn dies geschafft worden ist, mag ich mir die horrorszenarien erst gar nich ausmalen.

ich glaube, “kulturflatrate” ist auch nur ein euphemismus für “(die notwendigkeit [sic!] zur) totalüberwachung des gesamten internets”, nicht mehr und nicht weniger.

und überhaupt ist der begriff “flatrate” im deutschen schon recht überstrapaziert. ich weiß, pauschaltarif wäre zu lang (wäre aber wohl ein deutscheres wort — okay nicht werbewirksam genug).

mittlerweile gibt es noch eine weitere laconica-installation, ningo.de — und wenn ich das projekt richtig verstanden habe, müssten identi.ca und ningo.de untereinander daten austauschen können.

und heute lese ich von einem weiteren, neuen projekt: openmicroblogger. gefunden via webmaster blog. und da wohl laconica und openmicroblogger sich an den openmicroblogging-standard halten, dürften die jeweiligen implementationen auch untereinander agieren können.

dies dürften dann also die ersten schritte richtung dezentraler organisation sein. immerhin wäre es ja nicht mehr so wichtig, bei wem die daten liegen, wenn alle miteinander kommunizieren können. wenn es dann noch simple “mini-server” zum selbsthosten gibt, wär’s klasse.

meine idee dahinter: jeder hat die möglichkeit, sein profil bei sich “zuhause”, also auf seinem eigenen server zu hosten. vorzugsweise wäre dann der umgang mit dem eigenen microblogging-profil ähnlich der emailadresse. und da openID ja so gefragt ist, wäre die adresse auch gleichzeitig für diesen dienst nutzbar.

woran noch gearbeitet werden muss, ist die einfach installation wie zB bei wordpress (geht eigentlich wirklich easy von der hand). bei laconica bin ich beim ersten versuch verzweifelt, zumal irgendwie sehr krude anforderungen gestellt wurden. ich denke, dass muss nicht sein.

und da ich ja gern teste, worüber ich schreibe, werde ich mir gleich mal das openmicroblogger-teil mal anschauen und guggn, ob das einfacher zu installieren ist als laconica.

bin ja auch mal gespannt, was da noch so für entwicklungen auftauchen werden. das bestreben scheint ja jedenfalls da zu sein. und gut ist es allemal. twitter ist ja ohnehin gern mal ausgelastet und strandet wie ein wal auf der sandbank …

Bloggt darüber und weist Eure Leser darauf hin, dass man jetzt die eigenen EU-Abgeordneten kontaktieren sollte. Am kommenden Montag ist eine wichtige Abstimmung im EU-Parlament. Die letzte Abstimmung wird dann vermutlich am 2. September sein.

na das wird doch sofort gemacht!

und wer bis jetzt noch nicht wissen sollte, worum es geht, der lese es auf der oben zitierten seite nach: [link]

das wiki zur aktion, deutscher abschnitt: [link]

kopie des beitrags auf emblog.

[∞] social networking wars