Qbi's Weblog

Ich hatte im Januar schon über das geplante Ende des Bankgeheimnisses geschrieben. In einer Verwaltungsanordnung heißt es nun, dass die Kunden, bei denen Informationen über ihr Konto abgerufen wurde, wenigstens informiert werden sollen. Allerdings ist noch unklar, wie das passieren soll. Ich hoffe, es wird nicht so, wie bei der Telefonüberwachung, wo die überwachten trotz anderslautender Regelungen nur sehr selten von den Überwachungsmassnahmen informiert werden. Quelle: Tagesschau

Das Wachstum der Wikipedia bringt ihr auch immer wieder Probleme. Nun hat Google versprochen, der Wikipedia unter die Arme zu greifen. Nach einer Veröffentlichung bei Neowin heisst es, dass die Wikipedia sowohl Zugriff auf eine Reihe von Dual-Xeon-Servern wie auch unbegrenzte Bandbreite bekommt. (siehe auch Beitrag “Google hosting” bei Metawiki)

Nach dem Geekcode gibt es jetzt auch einen Bloggercode. Mein Code sieht so aus: B1 d++ t+ k+ s+ u f i o+ x- e l c-

Google wird hier wohl zum Dauerthema. Golem und auch einige andere Quellen berichten, dass besagte Suchmaschine einen neuen Service testet. Google Maps ist ein Dienst, mit dem man Reiserouten berechnen kann und einfach mal “mit dem Finger über die Landkarte” gehen kann. Momentan gibt es das nur für die USA. Aber sicher wird der Service bald ausgebaut.

In Hugos House of Weblog Horror fand ich den Hinweis, dass GeoURL wieder da ist. Geht einfach mal dort vorbei und meldet eure Seite an. Mit einer kleinen Suche könnt ihr dann feststellen, wer in der Nähe ist.

In den letzten Tagen tauchten einige Veröffentlichungen bei Bugtraq bzw. Full-Disclosure zum Mozilla Firefox auf. Diese betrafen zum Teil auch andere Browser:

Probleme bei internationalisierten Domainnamen

Seit Anfang 2004 können URLs auch Sonderzeichen enthalten. Neben den deutschen Umlauten ist es auch möglich, griechische, arabische oder russische Buchstaben zu verwenden. Die Studenten Evgeniy Gabrilovich and Alex Gontmakher zeigten in ihrer Veröffentlichung “The homograph attack” bereits im Mai 2002, dass man mit kyrillischen Buchstaben URLs fälschen kann. Damals diente die URL von Microsoft zur Demonstration. In dieser Woche kam nun die Shmoo Group mit einem Advisory (siehe Demo auf http://www.shmoo.com/idn/, das auf Paypal abzielt.

Als Workaround für diese Schwachstelle kann man im Firefox in der Adressleiste about:config eingeben und dann nach network.enableIDN suchen. Ein Doppelklick darauf deaktiviert die Funktion. Allerdings muss dies bei jedem neuen Öffnen wieder gemacht werden. Die Entwickler von Mozilla arbeiten daran, eine ordentliche Lösung zu schaffen. Wie auch schon Kai Raven in “Firefox - IDN - 0 Info - 0 Transparenz” bemerkt, gibt es keinerlei Hinweise der Entwickler über die bestehende Schwachstelle. Gerade ein Projekt wie Mozilla muss Transparenz gegenüber seinen Nutzern bieten, sonst ist das anfängliche Vertrauen in den Browser schnell wieder verspielt.

Firetabbing, -dragging und -flashing

Michael Krax veröffentlichte gleich drei Schwachstellen. Bei der ersten geht es um das Anfassen und Verschieben von Objekten (Drag & Drop). Wenn man ein speziell präpariertes Bild auf den Desktop bewegt, wird auf einmal eine Batchdatei daraus. Diese kann dann vom Nutzer durch einen Doppelklick ausgeführt werden.
Die weiteren Lücken betreffen den JavaScriptManager und die Veränderung von Werten in der Konfiguration. Ich hoffe, diese werden ebenfalls in den nächsten Tagen gefixt.

Bei den Fundsachen fand ich ein nettes Feature für Google. Auf der Seite http://www.google.com/webhp?complete=1&hl=en kann man einen Suchbegriff eingeben. Während der Eingabe wird der Suchbegriff autmagisch ergänzt. Nette Spielerei!