unser forum funktioniert vom studentenheim aus manchmal nicht. ich vermute es hat etwas mit der ip-adresse zu tun. da unser projektserver nun seit kurzem online ist und auch ssh kann, habe ich mir gedacht, ich versuche mal das forum über einen ssh tunnel anzusurfen. zufälligerweise funktioniert es gerade wieder nicht - die optimale gelegenheit!

man benötigt:

• einen browser (hier: firefox)
• einen ssh-client (hier: putty)
• einen ssh-server mit account (hier: schon vorhanden)

vorgehensweise
putty starten und hostname bzw. ip-adresse und port 22 (ssh) eingeben



bei putty in der kategorie connection -> ssh -> tunnels einen "beliebigen" dynamischen source-port (hier: 6969) durch einen klick auf "add" hinzufügen, der dann bei "forwarded ports" erscheint.



mit klick auf "open" die verbindung herstellen und mit seinem user-account und passwort einloggen.
im firefox auf extras -> einstellungen -> erweitert -> netzwerk -> einstellungen ... wechseln und unter manuelle proxy-konfiguration bei SOCKS-HOST "localhost" mit dem zuvor gewählten port eingeben.



jetzt kann im internet über die ip-adresse des ssh-servers gesurft werden. dies kann zb unter www.ip-adress.com überprüft werden.

anmerkung: ein sehr gutes video-tutorial über ssh tunneling (windows und linux) gibt es auf infinityexists.com (wie auch weitere interessante sachen ;)

mfg mailo

in der heutigen zeit sprießen programme und webapplikationen wie pilze aus dem boden. sobald die applikation irgendwie funktioniert, wird sie releast - im zeitalter von web 2.0 gibt es die tollen logos mit einem kleinen "beta" dran.

nun ja - es wird uns auch meist so vorgelebt (zb verwendet microsoft seine user ja auch als beta-tester). die heutige zeit ist in diesem bereich so schnell-lebig, dass viele meinen, dass man es sich nicht mehr leisten kann die applikation zb ausreichend zu testen - oder von der anderen sichtweise: wenn die applikation wirklich fertig wäre, dann ist sie schon wieder veraltet.

ich weiß nicht, ob es allgemein so ist, aber in meinem fall trifft es zu: ich habe nie gelernt SICHER zu programmieren! ich habe zwar gelernt zu programmieren, aber der security-aspekt war meiner meinung nach nicht wirklich vorhanden. mein ganzes (noch kleines) security know-how habe ich mir selbst erlernen müssen.

warum schreibe ich nun diesen blogeintrag?
ich bin sehr froh, dass ich nun endlich mein fh-projekt (j2ee, jsp) zum laufen gebracht habe. es ist ein simples programm. man ruft es im browser auf und gibt in das eingabefeld die matrikelnummer ein (und drückt enter oder klickt auf den button). danach wird in der datenbank gesucht und, wenn ein eintrag gefunden wird, dieser angezeigt (also matrikelnummer, name und nickname). falls kein entsprechender eintrag gefunden wird, sieht man die meldung "no student found for [matrikelnummer]".



mein erster gedanke war gleich: "was wäre, wenn ich jemanden suche, der mit mir zu mc donalds geht?" natürlich habe ich sofort statt einer matrikelnummer going to mc donalds eingegeben - leider wurde keiner gefunden ;)



der nächste gedanke war: "OJE! XSS ALARM!" und die eingabe von <script>alert(/XSS/);</script> bestätigte dies!



hmm ... da im hintergrund eine datenbank ist und derzeit noch die eingabe direkt in die sql-query kommt, könnte auch eine sql injection erfolgreich sein - sie war es ;)



und die moral von dieser geschichte?
alle benutzereingaben sind BÖSE (bzw sollten als solches angesehen werden)!
ich habe 6 zeilen an code hinzugefügt, um die benutzereingabe zu überprüfen und somit die xss-attacke und sql-injection zu verhindern bzw erfolgreich abzufangen.

wer nun diesen minimalen aufwand bezüglich security weglassen will, der soll es von mir aus auch tun - it's your choice!
security muss nicht unbedingt komplex sein - keep it simple!

mfg mailo

in einer lernpause bin ich über den artikel online-desktop: der rechner wandert ins netz gestoßen und mir haben sich die nackenhaare aufgestellt. damit meine ich, dass das überhaupt nichts für mich wäre bzw dass jemand sehr sehr (ja, 2 mal "sehr" sogar) gute gründe liefern muss, um mich davon zu überzeugen.

zwar gibt es einige vorteile wie zb die große verfügbarkeit von (fast) überall, da man nur einen browser bzw eine kleine applikation zum verbinden braucht. doch meine daten* möchte ich bei mir haben! ich bin sehr dagegen, dass meine daten* irgendwo im internet sind.

ich hoffe, dass sich die noch im beta-stadium befindlichen anwendungen zumindest so weiterentwickeln, damit das relativ** sicher wird. es gibt sehr viele leute, die leichtfertig mit ihren daten umgehen. es gibt auch sehr viele leute die sich nicht einmal mit dem gerät vor ihnen auskennen - wie sollen die dann bitte verschiedene sicherheitsmaßnahmen anwenden/einsetzen können?

ich kann mir nicht wirklich vorstellen, dass firmen dieses konzept in anspruch nehmen und ihre wichtigen (firmeninternen) daten dann ins weltweite netz stellen (auf servern, die von anderen betreut werden).

anmerkung
ja, es könnte sein, dass ich zurzeit datenschutzrechtlich ein bisschen mehr aufgedreht bin als sonst.
grund: datenschutzpräsentation in informationsethik hinter mir und datenschutzprüfung noch vor mir (bin gerade beim lernen und hoffe nicht von den paragraphen erschlagen zu werden ;)

mfg mailo

* meine privaten lokal gespeicherten daten
** alles was aus nullen und einsen besteht, kann man manipulieren; nichts ist 100%ig sicher - und schon gar nicht wenn es mit computern zu tun hat; wenn man das system kennt, kann man es (meist) auch umgehen

vor längerer zeit bin ich auf das no tech excerpt von johnny long gestoßen und war einerseits sehr begeistert, aber andererseits auch recht verblüfft.

als ich heute per zufall das video der präsentation (59 minuten) dazu entdeckt habe, dachte ich mir: das ist einen blogeintrag wert (nicht nur wegen dem inhalt, sondern auch wegen dem präsentationsstil ;)

enjoy it!

mfg mailo

weiterbildung und spielen schließt sich nicht gegenseitig aus - ein beispiel: antiphishing phil

forscher der us-universität carnegie mellon haben ein kostenloses online-spiel kreiert, welches auf unterhaltsame art und weise auf die gefahren des phishings aufmerksam macht.

meiner meinung nach ist es sehr empfehlenswert für leute, die sich nicht so mit dem internet auskennen und trotzdem ebanking und ähnliches übers internet abwickeln, da zumindest deren wahrnehmung geschärft wird welche urls vertrauenswürdig sind und welche nicht.

trotzdem würde ich es zumindest jedem ans herz legen zumindest einmal durchzuspielen (vielleicht lernt man doch noch was dazu) und überall wo etwas mit geld (besonders dem eigenen) zu tun hat, ist jede information um dieses zu schützen unbezahlbar.

mfg mailo

falls sich noch immer jemand fragt, warum ich javascript standard-mäßig beim surfen deaktiviert habe: master reconnaissance tool (ist nur ein grund von vielen).

auf diese seite bin ich über read firefox settings poc gestoßen.

funktioniert auch mit opera und internet explorer, wobei letzterer bei meinen versuchen nicht geplaudert hat, da er immer abgestürzt ist (ob das nun besser ist, ist eine andere geschichte).

mfg mailo

neben bereits bekannten authorisationsmethoden, wie zb von vidoop oder den bekannten captchas, bin ich nun auf eine weitere gestoßen.

für dieses login ist nicht die länge des passworts und auch nicht die verschlüsselungstechnik relevant, sondern die dauer des tastendrucks (gefunden über 0x000000).

eine orignielle idee finde ich. man muss sich nur ein kurzes passwort merken (3-5 zeichen), dazu aber auch die sekundenanzahl für jedes zeichen.

ein (weiterer) nachteil ist, dass es nur bei aktiviertem javascript funktioniert.

ich bin gespannt welche authorisationstechniken noch entwickelt werden und welche sich davon durchsetzen.

was meint ihr dazu?

mfg mailo

EDIT:
was man so alles nach einer weiteren recherche zufällig findet:
passwords und authorisation techniques

ein neues passwort-system für websites wurde von der us-firma vidoop auf der web-2.0-messe in san francisco vorgestellt.

hierzu kann man sich gleich den launch pad und den tv spot anschauen.
schade finde ich, dass man dabei nicht wirklich ein beispiel sieht.

durch meine geweckte neugierde und/oder dem mangel an verständis habe ich dann mal die vidoop-site gecheckt und ein 12-minütiges vidoop how-it-works-video gefunden.

nach dem informationsmangel vom ersten video, wird man im zweiten video mit informationen überhäuft und ich dachte mir: "that's real complicated!"

hier also was ich so aufgeschnappt habe:

• man benötigt eine software für den login
• diese software hat einen token/id, der beim login überprüft wird
  sprich: wenn man sich von einem anderen computer einloggen will, dann muss man sich einen one-time-code als:
  • text
  • voice oder
  • e-mail
  zuschicken lassen, den dann dort eintragen, um das system dann eigentlich erst nützen zu können.
• man muss durch seine festgelegten kategorien die richtigen bilder finden und
• dann die dynamisch-generierten buchstaben der gefunden bilder eingeben

ganz verwirrt, wie ich jetzt bin, kommen mir folgende gedanken:

• der user muss jetzt mehr mitdenken (bilderauswahl und zeichen)
• wenn man die software-authentifizierung umgeht, kann man sich von überall einloggen
• wenn man den user kennt, könnte man mit viel glück die kategorien erraten (zb würde ich einem 30-jährigen business-man keine kätzchen, blümchen etc zuordnen)

eventuell kann man die software per usb-stick überall hin mitnehmen - null ahnung wie und aus was der software-token generiert wird.

so, meine gedanken bitte nicht auf die goldwaage legen - ich bin noch immer im zustand verwirrt ;)

mfg mailo

ps: alles was aus nullen und einsen besteht, kann manipuliert werden ;)