SQL-Injection, XSS (Cross-Site-Scripting) oder Session Hijacking sind den meisten Leuten die sich mit der Entwicklung und Sicherheit von (Web)-Applikationen beschäftigen sicherlich ein Begriff.
Doch auch anders können sich bösartige Lücken in Quelltexten auftun.

Stefan Esser schreibt auf seinem Blog Suspekt...A Blog About Code, Information Security, PHP And More über eine Schwachstelle die sich da SQL Column Truncation Vulnerabilities nennt.

Dabei wird ausgenutzt, dass ein String der mehr Zeichen hat als für ein bestimmtes Feld erlaubt sind, einfach beim Zeichenlimit abgeschnitten werden. Somit wird es möglich, dass zb ein Benutzer "admin" und ein Benutzer "admin " in der gleichen Spalte existieren, obwohl beim erstellen des 2. Benutzers eine Abfrage getätigt wurde, ob der Benutzer schon vorhanden sei.

Zitat

...
Because MySQL does not compare strings in binary mode by default more relaxed comparison rules are used. One of these relaxations is that trailing space characters are ignored during the comparison. This means the string 'admin ' is still equal to the string 'admin' in the database. And therefore the application will refuse to accept the new user.

If the attacker however tries the username 'admin x' the application will search for it in the database and will not find it, because it is impossible to find a username with a length of 17 in a database field that has a 16 character limit. The application will accept the new username and insert it into the database. However the username column is to short for the full name and therefore it is truncated and 'admin ' is inserted into the database.

The result of this is that the user table now contains two users that due to trailing spaces both will be returned when the SELECT query above is executed. At this point a potential security problem arises because now it depends on how the username is treated throughout the application. The following pseudocode for example is vulnerable.
...

Mehr davon auf www.suspekt.org

Sehr empfehlenswert!

Genau so kommt es mir manchmal vor. Es trifft den Nagel der Realität auf den Kopf!
Traurig genug...

StudiVZ glänzt wieder mal mit Datenschutzrichtlinien und Kooperation mit der Exekutive.
Folgendes weiß Gulli zu berichten

Zitat

. So kommen auch Staatsanwälte mit ausgedruckten Fotos aus Profilen in die Zentrale, wo die StudiVZ-User beim Kiffen gezeigt werden. Deren Identität und der aller Personen, die dieses Bild positiv kommentiert haben, werden preisgegeben. StudiVZ-Geschäftsführer Marcus Riecke dazu: "Gott sei Dank dürfen wir bei Ermittlungsersuchen solche Daten nun herausgeben."

Und wiedermal hab ich einige meiner Daten entfernt. Langsam steht aber nix mehr drin irgendwie. Das ganze wird nun absurd. Man findet sich nicht mehr weil viele Leute ihre Namen zensiert oder anderweitig unauffindbar gemacht haben. Die Information die man sucht findet man nicht, weil jeder aus Angst vor Weitergabe die Daten löscht. Also das läuft bei dem Konzept etwas massivst weiter in die falsche Richtung.

Ajo und nun noch zur Erheiterung

Zitat

Willst Du wirklich Deinen Namen ändern?

Dein richtiger Name ist wichtig
...damit Dich alte und neue Bekannte in unserem Netzwerk finden können. Gib bitte Deinen richtigen Namen an - keine Phantasienamen oder Abkürzungen.

Du solltest wissen
...dass studiVZ Deinen Namen niemals an Werbepartner oder zu anderen Zwecken weitergibt. Er wird auch nicht für Werbung verwendet. [ Mehr Infos ]

Dein Name ist schön - und muss nicht geändert werden
...es sei denn, Du hast geheiratet. Dann wünschen wir Dir Alles Gute!

Ich interpretiere das mal frei

Dein richtiger name ist wichtig
...damit Dich die Polizei und andere Strafverfolungsbehörden mit der von uns weitergegebenen Information leichter finden und bestrafen kann.

Du solltest wissen
...dass studiVZ deinen Namen niemals an Werbepartner oder zu anderen Zwecken weitergibt, außer es will jemand so. Und selbst dann sagen wir nur Lisa S. oder nein sagen wir doch lieber L. Simpson...

Dein Name ist schön - und muss nicht geändert werden
...es sei denn, du bist ein gesuchter Terrorist aber das wird dir auch nichts nützen. Wir haben deinen alten Namen auf und durch die Änderung bist du potentiell Terrorverächtig. Rechne damit, dass du in den nächsten Tagen besuch von Schäubles Chor

Edit: Anscheinend ändert StudiVZ monatlich die Name der Login-Felder, denn Opera schafft es einfach nicht die Passwörter für länger als ein Monat zu speichern :-? :motz: :mad:

Zitat

In Schweden und in Kanada gab es schon klare Ansagen: auf Filesharer Jagd zu machen, habe praktisch keine Priorität, die Manpower der Strafverfolger solle für sinnvollere Tätigkeiten genutzt werden. ...
...in Norwegen fielen nun aber auch klare Worte. Selbst das Justizministerium hat kein Interesse, auch auf Nachfrage eines MPAA-Anwalts nicht.

Zitat

Torrentfreak wiederum weiß von der norwegischen Presse, dass die Regierungspartei selbst den Kurs diesbezüglich mitträgt: andernfalls werden Stimmenverluste bei den 18- bis 30-jährigen befürchtet. Der Kurs aktuell in Norwegen: verfolgt werden allenfalls die aktivsten Uploader.

Wieso funktioniert das - wie so vieles - im hohen Norden so gut und bei uns überhaupt nicht?
So blöd kann blond dann doch nicht sein...

Der ganze Artike auf Gulli.com

Endlich mal ein kritischer TV-Beitrag zu diesem Thema. Wieso gibts das im ORF nicht?
Dafür könnten unsere GIS-Gebühren wohl sinnvoller genützt werden.

Wieder mal erstaunliche Zahlen. Kosten für die Vorratsdatenspeicherung rund 20 Millionen € laufende Kosten pro Jahr und rund 500 Millionen € für den Aufbau der nötigen Infrastruktur. Ob man mit diesem Geld nicht lieber ein paar Polizisten mehr einstellen sollte?

Via m3

So lustig es hier ist, so traurig gleichzeitig der Hintergrund dazu


Via F!XMBR

Eine StudiVZ-Gruppe der man in Anbetracht der Tatsachen beitreten sollte. Wie so oft wird es wohl das geschehene nicht rückgängig machen, aber man hat es immerhin nicht stillschweigend zur Kenntniss genommen.

Wer also noch Platz hat einer Gruppe beizutreten möge doch dieser Gruppe auch beitreten.

Eine interessante Alternative zu StudiVZ aka StasiVZ scheint auch www.kaioo.com, die von sich behaupten

Zitat

kaioo ist die erste ECHTE Social Community im Internet, denn kaioo ist

Gemeinnützig:
Alle Werbeeinnahmen werden gespendet!

Demokratisch:
Die Mitglieder entscheiden wohin das Geld geht!

Unabhängig:
Nutzerdaten werden nicht an Dritte weitergegeben!

Scheint auf jeden Fall ein Projekt, dass man weiter hin beobachten sollte. Solange es nicht so wie bei Wordpress Deutschland endet bzw. zwischenzeitlich war darf man gespannt sein.

Auch Warner Music geht von DRM-verstümmelter Musik weg. Es scheint sie nehmen endlich vernunft an und bieten vllt. endlich ein Produkt an, dass man sich auch überlegen kann, zu kaufen ohne gleich der Vergleich von direkter Geldvernichtung im Hinterkopf zu haben.

Einzig natürlich ein Label sticht wieder mal raus und verwehrt sich dem Fortschritt unter dem Schutz eines "Enormous Foam Helm of Stupidity" gegen den nicht mal ein "Big Foam Cluebat" (hat Ähnlichkeit mir einer Lart) etwas ausrichtenkönnte. Wer wirds wohl sein, richtig Sony (So Nie!) sind die unbelehrbaren.

Manche werdens wohl nie lernen...oder etwa doch?

Übrigens DAS ist der Enormous Foam Helm of Stupidity

Wers nicht versteht, braucht auch ned drüber lachen...

Dieser Blogeintrag ist passwortgeschützt.
Um diesen Blogeintrag zu betrachten, geben Sie bitte unten das entsprechende Passwort ein.

Passwort:

Wie gulli berichtet, hat eine von der Humanistischen Union veröffentlichte Studie, gezeigt, dass in den von Kameras überwachten Bereichen die Kriminalitätsrate nicht gesunken, sondern sogar leicht angestiegen ist. Diese Studie lassen die BVB (=Berliner Verkehrsbetriebe) natürlich nicht gelten sondern, schwören Stein und Bein auf diese Taktik um die Verbrechensrate zu verringern. Muss halt eine andere Studie das gewünschte Ergebnis bringen.
Ich bin gespannt, wann es bei der ÖBB so weit ist...