Soweit so gut, trotzdem sind auf der Karte der Geltungsbereich, Name und das Geburtsdatum des Nutzers gespeichert. Zudem gibt es Berichte, dass die Sicherheit wohl nicht so gut gewährleistet sei.

Als ich heute jedoch vom Centro nach Hause fahren wollte, wurde ich vom Busfahrer darauf hingewiesen, dass ich mein Ticket zur Überprüfung an ein am Eingang angebrachtes Lesegerät halten solle. Als ich dies verweigerte, sagte er, dass dies seine Vorgabe sei und er mich sonst nicht mitfahren lassen könnte (ich bin dann die 8km gelaufen). Geht’s noch? Das ist die perfekte Kontrollinfrastruktur, es können problemlos Bewegungsprofile erstellt werden. Dies war zwar bisher der einzige Bus, in dem ich solch eine Vorrichtung gesehen habe, die Fahrgäste, die vor mir den Bus betreten haben, haben jedoch routiniert ihr Ticket an das Gerät gehalten und somit ihre Daten preisgegeben. Habt ihr schon ähnliches erlebt/wisst ihr mehr dazu? Ich jedenfalls werde niemals freiwillig denen mein Fahrverhalten preisgeben und notfalls immer laufen bzw. dann das Ticket kündigen.

The sad thing about this bug is that I reported it seven days ago to the vimeo-team but didn’t get any response yet (except for an email-address via their team’s twitter-account). I’ve also recorded a screencast demonstrating the problem. Maybe some publicity will get the team to fix the bug.

Vimeo XSS vulnerability from Lukas Klein on Vimeo.

Note: The “feature” doesn’t handle old URLs like I said in the video, it’s basically something like a CSRF-protection (whyever), so that the link only works one time.

You have to know that all the information he crawled is visible to everyone who’s in possession of an user account. He hasn’t bypassed any data protection mechanisms except for the request-limit. Is this really a “Datenleck”? I don’t think so. I think it’s rather a problem of our society than of SchuelerVZ. On the one hand we’re all trying to hide our private life from our neighbours by building fences and so on, but on the other hand we’re publishing everything, really everything, to social networks like Twitter or the mentioned SchuelerVZ. So why are the people complaining that someone copied the data they voluntarily published to the web? In my opinion you have to accept that someone can copy the data you decide to publish. If a human can read the data, a crawler can do so, too. There’s no effective way of preventing data from beeing accessed by non-humans. Of course you can use captchas and other techniques, but I think they’re rather annoying than helpful. Another method are request-limits like those that SchuelerVZ already uses. But as you can see, it’s easy to bypass them. You could also limit the requests per IP, but that makes the crawler in the best case just slower, in the worst it spreads over multiple hosts with different IPs.

Instead of thinking about how data can be hidden from robots, we should think about what data we are publishing to the web. Even if this means an additional cost of educational work, the result will be much more satisfying than any existing or upcoming turing-test.

Hier könnt ihr auch an der Aktion teilnehmen.

Entdeckt wurde der Bug übrigens von @NineBerry im Piratenpad. Also, machen wir es kurz, die Lücke befindet sich in der Datei /src/static/js/broadcast_slider.js in Zeile 145. Dieser Codebereich sorgt für die Ausgabe der Autorenliste im Timeslider. Unter anderem wird dort für Autoren, die ihren Namen angegeben haben, folgender Code ausgeführt:

        var nametd = $('<td></td>');
        nametd.html(author.name || "unnamed");

Wie man in der zweiten Zeile sehen kann, wird der author.name unescaped als HTML in das Element gepackt.

An alle, die einen Etherpad Server betreiben: Ihr müsst nur diese Zeile ändern in

        nametd.text(author.name || "unnamed");

, also aus dem .html ein .text machen! Dann wird der Name nicht mehr ungefiltert ausgegeben.

Auf den zweiten springt einem nämlich folgender Textausschnitt ins Auge:

An Example UDID is: SXQncyB0aW1lIGZvciBJViB0byB1bmxlYXNoIGl0J3MgcG93ZXJzLg==

was daran so auffällig ist? Die =-Zeichen, die auf eine Base64-Verschlüsselung hindeuten. Entschlüsselt steht dort dann

It’s time for IV to unleash it’s powers.

wer oder was auch immer diese[r/s] “IV” ist. Und auch auf der FAQ-Seite gibt es so einige komische Sachen. Als erstes stellt man fest, dass der auf den ersten Blick kostenlos aussehende Service garnicht so kostenlos ist:

We do all this for a one-time fee of $10.

Tjoa, aus der Traum vom unkomplizierten kostenlosen iPhone OS 4. Weiterhin steht dort noch

Q. I live in the U.S. Do I have to use ATT to use Beta 4.0?
A. Absolutely. Failure to do so will give you a $500 paperweight.

äh ja, wünschen wir uns nicht alle einen $500 Briefbeschwerer?

Ok, von der Seite lassen wir dann mal besser die Finger. Aber etwas anderes ist doch noch ganz interessant: Die Seite nutzt Google Checkout. Ich hab das noch nie benutzt und weiß auch recht wenig darüber, allerdings ist mir folgender Codeschnippsel ins Auge gesprungen:

<input name="item_price_1" value="10.00" type="hidden">
<input name="item_currency_1" value="USD" type="hidden">

Moment, kann man da nicht, mit Firebug… Ja, kann man:

(klick zum größer machen)

Und schon wär’ man Millionär oder wie? Ich kenn mich wie gesagt mit Google Checkout nicht so wirklich aus, hat da einer Erfahrungen? Beim Heise Live-Hacking auf der CeBit hab’ ich mal erfahren, dass jeder weitere Schritt jetzt nicht mehr so ganz legal wäre, also lass ich das mit dem Ausprobieren mal lieber.

Dann hiess es heute Abend plötzlich “Juchu, Schneefrei!”. Wie jetzt? Schneefrei? Joa. Wir können uns jetzt schneefrei machen. Wenn ich mal den Sprecher des NRW-Schulministeriums zitieren darf:

Bei extremen Wetterbedingen müssen Eltern selber entscheiden, ob der Schulweg für die Kinder zumutbar ist oder nicht.

Über-18-Jährige dürfen das sogar selber entscheiden.

Falls ihr euch fragt, was ihr mit der möglicherweise gewonnenen Zeit anfangen könnt, und ihr euch schon immer mal gefragt habt, ob es möglich ist, mit der Zunge an einer Laterne kleben zu bleiben, spart es euch: Ja, es geht. Bei einem Anti-Drogen-Spot der schwedischen Regierung kann man sich das Experiment übrigens mal aus nächster Nähe angucken.

In dem Sinne: Viel Spass im Schnee, ich mach es mir in meinem warmen Zimmer schön mit meinem MacBook gemütlich, auch wenn ich morgen wohl zur Schule gehen werde (jaja, vorbildhaft und so. Macht bestimmt ‘nen guten Eindruck wegen Kopfnoten und so ).

So sieht’s aus! Aus ungeklärter Ursache bauen die, mh, wer macht das eigentlich? Jedenfalls bauen “die” gerade hier den Förderturm des Bergwerks Prosper Haniel in Bottrop auseinander. Zumindest den header nehmen sie ab. Das Ding da oben. Haben die schon abgemacht. Nur warum? Offiziell wird das Teil ja erst 2018 stillgelegt. @tedil hat eine plausible Idee:

die bauen den auseinander, malen den in regenbogenfarben an, schreiben ruhr 2010 drauf und bauen ihn irgendwoanders wieder auf

klingt logisch. Mal sehen was wird. Und war. Und so.

Der Energieerhaltungssatz sagt aus, dass die Gesamtenergie eines abgeschlossenen Systems sich nicht mit der Zeit ändert.

Doch jetzt kommt die Entropie (einfach gesagt Unordnung) ins Spiel. Entropie ist eine Maßeinheit in der Thermodynamik für das Fehlen von Eindeutigkeit in einem physikalischen System. Nach einer gewissen Zeit tendiert jedes System von einem eindeutigen, ordentlichen Zustand zu einer unordentlicheren Anordnung. Die Entropie bleibt also entweder gleich oder nimmt zu, sie nimmt jedenfalls niemals ab.

Nimmt man zum Beispiel eine Kiste mit verschiedenfarbenen Erbsen (bunte Erbsen haben es mir irgendwie nach der Besprechung des Dihybriden Erbgangs in Biologie angetan…). In diesem Fall nehmen wir gelbe und grüne Erbsen, welche schön sortiert sind. Die gelben Erbsen befinden sich auf der einen Seite der Kiste, die grünen auf der anderen. Die Erbsen weisen also eine relativ geringe Entropie auf. Jetzt hau mal gegen die Kiste. Die Erbsen können jetzt immernoch getrennt oder durcheinander geraten sein. Wenn du jetzt noch ein paar mal gegen die Kiste schlägst, wird das System immer weniger ordentlich, seine Entropie nimmt also zu.

Wenn du das ganze jetzt mit einer Kamera aufgenommen hättest und dir die Aufnahme zuerst vorwärts und dann rückwärts anguckst, würdest du zuerst sehen, wie sich die Erbsen mischen, und dann wie sie sich wieder trennen. Man erkennt sofort, dass mit der rückwärts laufenden Aufnahme etwas nicht stimmt, denn eine abnehmende Entropie ist wie schon geschrieben eine äusserst ungewöhnliche Situation, im Real Life ist sie sogar ziemlich unmöglich (kann der Zufall die Entropie besiegen?).

Wir bauen uns ein Perpetuum mobile

Man stelle sich vor, wir würden in einem geschlossenem System folgende Konstruktion aufbauen: Ein Wasserbehälter, welchen wir über einen Akku erhitzen. Der Wasserdampf treibt eine Turbine an, welche wiederum über einen Dynamo den Akku wieder auflädt. Mal davon abgesehen, dass es einen so performanten Akku nicht gibt, müsste dieser Aufbau laut dem Energieerhaltungssatz bzw. dem ersten Satz der Thermodynamik ein Perpetuum mobile sein, da die Gesamtenergie erhalten bleibt. Doch dann würde sie gegen den zweiten Satz verstoßen.

Doch was ist jetzt los? Die Lösung ist recht einfach: In jedem Durchlauf bewirkt das Gesetz der Entropie, dass nicht die gesamte Energie des Dampfes genutzt werden kann, da eine gewisse Menge als Überschuss freigesetzt werden muss.

Folglich kann das System nicht mit 100-prozentiger Effektivität laufen, was auch durch den zweiten Satz bestätigt wird. Es könnte also allein niemals genug Energie generieren, um sich selbst wieder aufzuladen. Generell ist es nach dem zweiten Hauptsatz nicht möglich, dass eine Maschine durch die Temperaturdifferenz, die sie herstellt, sich komplett selbst antreibt.

Irgendwie ist diese ganze Diskussion recht konfus und ich habe mich auch noch nicht 100-prozentig mit dem Ergebnis abgefunden, was wohl auch nie der Fall sein wird.