Geld für eine bessere Umsetzung einer „noblen“ Vision?

Google’s mission is to organize the world’s information and make it universally accessible and useful.“ Damit dies auch umgesetzt werden kann, muss ein Werbung sein…
Das, was ich heute aber erfahren habe (danke fürs Abendessen U. und B.), ist nicht mehr nett. Eine Erweiterung von Googles AdSense um Ad Links. Das sind kontextsensitive Links (Schritt 1, kennen wir) die aber auf eine leere Google-Seite mit weiterer Werbung führen (Schritt 2, doof). Nun ja, wahrscheinlich gibt Google das Einkommen recht aber nicht sehr elegant.

i-2f30e53e0ba7ac5a6d4bcb506c77a98b-google-adlinks.jpg

Und hier noch Textfutter und ein Beispiel (rechts aussen).

Veröffentlicht unter Allgemein | Verschlagwortet mit

E-Mail Adressen verstecken und doch nicht

Über E-Mail Spam brauche ich kaum zu klagen – der ist ihnen wahrscheinlich bestens bekannt. Doch wie kommen die Spammer an die E-Mail Adressen?

Die erste Strategie ist raten nach Zufallsprinzip so wie bei Passworten (brute force name guessing) oder raten mit Hilfe von Wörterbüchern. Somit sind kurze, einfache Adressen wie john@hotmail.com schlecht und ein Name wie juerg.stuker gut (weil selten).

Die zweite, deutlich erfolgreichere Strategie ist das Einsammeln von E-Mail Adressen auf Webseiten und in öffentlichen Verzeichnissen. Dies geschieht mit spezialisierten Programmen sog. Spiders oder Crawlers. Solche welche auch von Suchmaschinen genutzt mit dem (legitimen) Ziel zu indizierende Seiten zu beschaffen. Der „Erfolg“ einer solchen Massnahme erlebte ein Mitarbeiter bei uns, welcher eine Frage auf E-Mail Liste publiziert hatte und am nächsten Morgen (und jeden Tag danach) über 200 Spams erhielt.

Was tun? E-Mail Adressen nicht zu publizieren wäre effizient, aber nicht besonders realistisch. Einige Ansätze:

1) Ein Bild anstelle der E-Mail-Adresse oder anstelle des @-Zeichen, welches der Crawler braucht und Adressen aufzufinden. Nachteil ist, dass ein Klick mit à–ffnung des E-Mail Progranmmes (mailto:) nicht tut oder nur in Verbindung mit Ansatz 4. Achtung im ALT-Attribut die Adresse nicht angeben, weil der Crawler den Text lesen würde. Am besten wäre das Bild auch resistent gegen eine Texterkennung, so wie bei einem Captcha, doch das ist eher der Königweg. Dieser Weg ist nicht Barrierefrei.

i-976906dedd805bc960acdd3bccdb3ee2-e-mail-adresse.gif

2) Die Darstellung der E-Mail Adresse in einer HTML-Tabelle, so dass der Crawler den Zusammenhang der einzelnen Adress-Elemente nicht automatisch erkennen kann. Die Einschränkungen vom Ansatz 1) gelten auch hier.

juerg.stuker E-Mail nicht am Stück
@ namics.com

3) Das @-Zeichen als Text ausschreiben oder überflüssigen Text an die E-Mail Adresse anhängen.

juerg.stuker (ät) namics.com
juerg.stuker@namicsREMOVE.com

4) Und dann noch eine Mischung von 3) mit JavaScript bei welcher der sichtbare Text ohne @-Zeichen steht und auf ein Klick wird der mailto-Link so zusammengesetzt dass der Crawler dies nicht versteht. Am einfachsten beim Kundenbeipiel www.erdgas.ch studieren. Der Weg ist der beste im Bezug auf Barrierefreiheit.

Nicht genügend ist der Ersatz eines einzelnen Zeichens durch ein HTML Entität und/oder eine Unicode-Zeichen, da die Übersetzung sehr einfach erfolgen kann.

Auf der gemeinen Seite – und Thema für einen eigenen Post – sind Fallen (honeypots) für Crawler die sich nicht an die Ausschlussreglen von robots.txt halten. Dabei werden zufällige (ungültige) E-Mail Adressen oder endlose Seiten erzeugt… Dies ist aber eher für „Liebhaber“.

Und hier je noch einen Post über Greylisting und E-Mail Authentifizierung.
Mehr Infos auf den Internet auch bei: http://www.turnstep.com/Spambot/

Anti-Spyware Software von Microsoft

Bill Gates gibt zu, dass er auch schon mal Spyware eingefangen hatte, kauft die Firma Giant Company Software und „Genuine Windows Users“ sind um ein Gratis-Tool reicher: Microsoft AntiSpyware (Beta 1).

Das tolle Tool ist natürlich Testsieger etc. aber das wollte ich ja gar erzählen. Lustig fand ich, dass das Tool das Active-X „Windows Update Control Engine“ von Microsoft selbst als unknown einstuft. Na also ab in den Kehricht ;-)

i-5f73f0252df8bee02e9991ac10133b7c-ms_antispyware_beta1-thumb.gif

Und für Leute die nicht alles von Microsoft wollen gibt es ja noch AdAware.

Veröffentlicht unter Allgemein | Verschlagwortet mit

„Low Tech“ gegen Phishing

Phishing, die Kunst vertrauliche Daten durch Täuschung zu ergaunern, ist nach meiner persönlichen E-Mail Stichprobe zu urteilen, stark verbreitet. Alle bekannten transaktionale Systeme wie Online-Banken oder Auktionsplattformen rüsten auf. Teilweise mit teurem High-Tech welcher mich als Nutzer belastet und andere Nutzer, beispielsweise Blinde, ausschliesst.

Ein eleganter Weg beim Login die Authentizität des System zu zeigen gibt es bei der guten alten Streichliste auf Papier.

Der Login-Prozess besteht auch zwei Schritten.

i-64491ed6ffbe3c32ab84902da5b91468-sgkb_login1-thumb.gif

Nach dem ersten Schritt sagt mit das System 1) den zuletzt von mir genutzten Code und 2) welche Position dran ist. Zwar könnte auch das (mit einem Proxy-Mechanismus) ausgetrickst werden aber der Schutz ist immer noch besser als bei den High-Tech Tokens. Mir gibt es ein gutes Sicherheitsgefühl!

i-ebaf1ffc79b80e2f137d4203084779ac-sgkb_login2-thumb.gif

Veröffentlicht unter Allgemein | Verschlagwortet mit

Blogging oder das Ende der PR Abteilung

Blogging als Massenbewegung wurde vielerorts schon thematisiert (z.B. bei uns schon vor einiger Zeit). Ein sicheres Zeichen, dass etwas den Sprung vom Insiderwissen in das Bewusstsein der breiten à–ffentlichkeit geschafft hat, ist ein Artikel im Economist: Der Blog von Robert Scoble, bekannt als „The Scobleizer„, ist ein Phänomen, nicht nur seit besagte Zeitschrift darüber geschrieben hat. Zuerst gewöhnlicher Blogger, ist er jetzt Chef-Blogger von Mircosoft. Und hat damit etwas erreicht, was ganze Armeen von hochbezahlten PR-Spezialisten nicht erreicht haben: Microsoft, die oft verteufelte Software-Schmiede, erscheint weniger teuflisch und das insbesondere bei unabhängigen Entwicklern. Wenn der Trend sich fortsetzt, werden ganze PR-Abteilungen überflüssig. Vielleicht keine schlechte Sache. Die Welt wäre vermutlich ein Stück ehrlicher.

The Awful German Language

Auch wenn die Anzahl an englischen Fremdwörtern (zu) hoch ist, habe ich es bin anhin geschafft auf Deutsch zu schreiben… Nun wird es für einmal englisch. Mark Twain sein Dank:

In the German it is true that by some oversight of the inventor of the language, a Woman is a female; but a Wife (Weib) is not — which is unfortunate. A Wife, here, has no sex; she is neuter; so, according to the grammar, a fish is he, his scales are she, but a fishwife is neither. To describe a wife as sexless may be called under-description; that is bad enough, but over-description is surely worse. A German speaks of an Englishman as the Engländer; to change the sex, he adds inn, and that stands for Englishwoman — Engländerinn. That seems descriptive enough, but still it is not exact enough for a German; so he precedes the word with that article which indicates that the creature to follow is feminine, and writes it down thus: „die Engländerinn,“ — which means „the she-Englishwoman.“ I consider that that person is over-described.

Den ganzen (wundervollen) Text, geschrieben 1880 als Anhang im Buch A Tramp Abroad finden Sie hier.

Veröffentlicht unter Allgemein | Verschlagwortet mit

IDN Spoofing (Punycode Homograf Angriff)

Kein Sicherheitsproblem von Firefox/Mozilla aber ein Designproblem der internationalen Domänennamen (mit mehr erlaubten Zeichen als 7-Bit ASCII) — Nota bene seit 2001 bekannt.

Bei den internationalen Domänennamen, so wie www.nestlé.ch (mit Akzent aigu) wurde ein Verfahren gesucht, bei welchen die DNS-Infrastruktur (Namensauflösung bspw. von namics.com zur IP-Adresse 193.141.193.209) nicht angepasst werden musste.

Die gewählte Lösung ist eine Codierung des Namens mit Sonderzeichen in einen Namen ohne Sonderzeichen. Um die zwei Arten zu trennen steht vor dem codierten Text der Präfix xn--. So wird aus www.jürg.com -> www.xn--jrg-hoa.com. Das Verfahren nennt sich Punycode und ist in RFC 3492 definiert.

Damit der Benutzer den hässlichen String www.xn--jrg-hoa.com nicht sieht, zeigt der Browser nur www.jürg.com an. Und nun die Sicherheit: Gewisse (unterschiedliche) Zeichen werden je nach Zeichensatz visuell identisch dargestellt. So beispielsweise das „a“ in lateinischen Alphabeth und das kyrillische „a“. So resultiert www.paypal.com und www.xn--pypal-4ve.com (mit kyrillsichen „a“ d.h. den Unicode Zeichen #1072) optisch auf derselben Site. Hier das Beispiel für Firefox/Mozilla und IE mit Versign-Plugin etc.: www.paypal.com. Schade, dass dasselbe auch mit https tadellos funktioniert (das Zertifikat prüft auf den angezeigten Namen). Da das Problem bekannt war, empfahl ICANN die Registration von homografen Domänennamen nicht zuzulassen. Aber möglicherweise war der Umsatz bei den Verkäufern höher gewichtet ;-)

Die erste Reaktion war — nach einer erneuten Publikation des Problems — den Ausbau der IDN-Funktionalität aus den Mozilla-Produkten (Bug ID 279099). Nach einer weiteren Diskussion soll die Unterstützung nun bleiben, doch die Information eines möglichen Angriffs (resp. der Punycode-Strong) soll angezeigt werden (Bug ID 282270). Natürlich gibt es schon eine Extension. Na ja, dann warten wir mal ab…

Bilder als Passworte

Wie viele Passworte müssen Sie sich merken und welche Taktik wenden Sie an? Geometrische Muster, immer neu gemischte Textteile oder die berühmten Eigennamen und Geburtsdaten. Wie schnell Passworte erraten werden können, ist schon an vielen Orten dokumentiert. Leider stehen gute Passworte und gute Usability auf Kriegsfuss: The Strong Password Dilemma.

i-bf58afb722d59e51005c978cb20ee9bf-pic_as_passwords-thumb.jpg

Ein interessanter Ansatz: Der Mensch kann sich offenbar Bildfolgen besser merken als Buchstaben- oder Zahlenfolgen. Zudem können Bildsequenzen nicht so einfach mit einem Post-It an den Bildschirm geklebt werden. Die Technologie gibt es schon sehr lange, beispielsweise mit Dà©jà  Vu oder so wie in der Studie Studie Are Passfaces more usable than passwords? A field trial investigation beschrieben.

Ein kommerzielles Produkt, welches den Ansatz umsetzt ist http://www.realuser.com/.

Keine schlechte Idee.

Internet Background Noise (IBN)

Eine kleine aber feine Idee als Abfallprodukt der Intrusion Detection. Man sammle sämtlichen Netzwerkverkehr der an ungültige (interne) IP-Adressen gerichtet ist und werte diesen aus. So bei Switch regelmässig gemacht.

Der Traffic stammt nicht (oder nur sehr selten) von normalem Netzwerkverkehr (weil das Ziel ja fehlen würde) und ist somit ein Resultat von Scanning, Probing oder gar Denial of Service-Angriffen etc.

Und was soll das Ganze? Neben Informationen über spannende Ports und netten Graphiken und taugliches Vorwarnsystem für junge Angriffe so wie im Paper [pdf, 230kb] Monitoring and Early Warning for Internet Worms beschrieben.