Wer kennt sie nicht, die inzwischen auf immer mehr Seiten anzutreffenden „Like“ Buttons des Sozialen Netzwerkes Facebook. Auch ich hatte bis vor ein paar Minuten ein WordPress PlugIn installiert, dass die „Like“-Funktion sehr einfach in WordPress integriert. Bislang fande ich dieses PlugIn auch sehr nett – bot es doch eine komfortable Möglichkeit, Blog-Inhalte in das Sozial Netzwerk zu pushen … oder besser pushen zu lassen.

Doch nach dem ich bei blog.hamburg.de das hier gelesen habe, hab ich kurzerhand entschlossen, das PlugIn wieder zu deaktiviert:

Wieso? Dass Facebook mittels der „Like“-Funktion Daten der User sammelt, die auf den Button klicken, sollte klar sein – sonst könnten sie den Klick ja auf der Plattform selber nicht verwerten. Allerdings geht Facebook anscheinend noch weiter: es werden nicht nur die Daten der User gesammelt, die auf den Button klicken sondern von jedem, der eine Seite mit „Like“-Button besucht und gleichzeitig bei Facebook angemeldet ist.

Das heißt im Klartext: Zuckerberg und Co. können theoretisch ein Bewegungsprofil von Facebook-User für jede Seite erstellen, auf der ein „Like“-Button eingebunden ist. Glaube kaum, dass das im Sinne des Erfinders, geschweige denn im Sinne der PlugIn Entwickler ist – diese haben schließlich Ihre Energie und Zeit in z.B. ein WordPress PlugIn gesteckt und Informationen wie diese können ihre Arbeite dann sehr schnell ins Abseits drängen.

Den hamburgischen Beauftragten für Datenschutz und Informationssicherheit hat blog.hamburg.de im übrigen schon informiert. Bleibt abzuwarten, was dabei raus kommt … vermutlich weniger als erhofft …

[via blog.hamburg.de]

Phishing ist nicht neu und viele Internet-Nutzer sind inzwischen sehr wachsam, was Phishing-Attacken angeht: Man bekommt eine E-Mail, die einen auffordert, auf einen Link zu klicken und auf einer Webseite die Anmeldeinformationen für Bank- oder eMail-Account ein einzugeben = alter Hut.

Einen ganz neuen Ansatz hat nun Aza Raskin, ehemals „Head of User Experience“ der Mozilla Labs, veröffentlicht: Mittels Java-Script ändert er den Inhalt und das FavIcon eines gerade nicht aktiven Tabs. Zwar läßt sich auch hier die URL nicht verändert, aber wenn man sich das Demo von Aza anschaut (einfach mal Link in neuem Tab öffnen und dann kurz den Tab wechseln), dann ist es schon erstaunlich, wie gut das Ganze funktioniert. Sogar versierte Internet-Nutzer können dabei in die Irre geführt werden, denn wer schaut schon auf den Link, wenn das FavIcon stimmt.

Zwar funktioniert die Attacke nicht in allen Browsern gleich, doch läßt sich mittels History Stealing und User-Agent die ganze Geschichte optimal steuern und z.B. durch ein schon geöffnetes Google-Mail-Fenster, FireFox als Browser und einer Attacke auf Google-Mail die Erfolgsquote deutlich erhöhen.

Als mögliche Gegenmaßnahme präferiert Aza den Einsatz des kommenden Account Manager in Firefox – was sich für mich auf den ersten Blick gar nicht schlecht anhört.

Am 09.12 wurde Mozilla Thunderbird in der Version 3.0 veröffentlicht – ein Grund für mich gleich mal auf die neue Version umzusteigen.

Leider lief der Umstieg nicht so wie geplant. Zwar bot mir Thunderbird nun unter „Hilfe -> nach Updates suchen“ schon die neue Version als Update an, nach dem Update machte sich allerdings Ernüchterung breit .. wenn man das denn so nennen darf. Anstatt Order und Mails habe ich lediglich eine weiße Benutzeroberfläche gesehen – von meinen Mails fehlte jede Spur, zumindest optisch. Ein kurzer Blick in die Konten-Einstellungen und auf die Platte gaben jedoch vorerst Entwarnung: alle notwendigen Informationen waren noch da – lediglich die Anzeige machte Probleme.

Nach ein paar Recherchen im Netz stellte sich „Kaspersky Internet Security“ als möglicher Verursacher des Problems heraus. Leider ließ sich das entsprechende AddOn in Thunderbird nicht deaktivieren oder deinstallieren – die entsprechende Schaltfläche war ausgegraut. Erst das manuelle löschen (oder besser verschieben) der zuständigen Dateien klthbplg.dll und IKLAntiSpam.xpt im Ordnern Thunderbird/components brachte die Lösung. Danach startete Thunderbird normal.

Nun stellt sich nur noch die Frage, wie man die Anti-Viren & Anti-Spam Funktion wieder aktiviert – und zwar ohne Probleme. Hier waren meine Bemühungen bislang leider erfolglos – aber die Tatsache, dass es auch User mit Kaspersky und Thunderbird 3.0 gibt, die keine Probleme haben, stimmt mich zumindest hoffnungsvoll das sich das Problem auch bald beheben lässt.

… und macht auch gleich ein paar Sicherheitslücken dicht. Insgesamt 9 Bugs haben die Entwickler der Mozilla Foundation in der neue FireFox Version 3.0.4 bereinigt, vier davon wurden von den Entwicklern als kritisch eingestuft, darunter auch ein klassischer Buffer Overflow, der beim Parsen präparierter Server-Antworten auftritt.

Eine Übersicht über alle geschlossenen Lücken gibt es im Security Advisories für Firefox 3.0.

Wie immer kann die neue Version ab sofort von den Servern der Mozilla Foundation in diversen Sprachen für Mac, Windows und Linux heruntergeladen werden – alternativ läßt sich auch das eingebaute automatische Update des Browsers bemühen.

[via golem.de]

Und mal wieder etwas aus der Kategorie „KostNix“:

Der O’Reilly Verlag hat mit „Sicherheit im Internet“ und „Praktischer Einstieg in MySQL mit PHP“ wieder zwei Bücher als Openbooks veröffentlicht. Damit stehen nun fast 40 OpenBooks in Englisch bzw. Deutsch – größtenteils unter Open Source-Lizenzen wie der GNU Free Documentation License, Open Publications License oder der GNU General Public License – auf der O’Reilly Webseite für jedermann kostenlos zur Verfügung.

Nicht gerade Literatur für mich, aber vor allem das erste Werk scheint mir recht Nützlich für ein paar Freund und Bekannten von mir zu sein – ein paar Nützliche Tips können ja nie schaden und ersparen mir dann vielleicht die eine oder andere immer wiederkehrende Frage/Antwort Spielerei :)

[via Pro-Linux]

wordpress logoWordPress.org hat gestern die Version 2.6.3 der gleichnamigen Blogsoftware veröffentlicht. Grund ist eine Sicherheitslücke in der Snoopy library mit der es Möglich ist, commands auf der Shell auszuführen.

Benutzer der WordPress Version 2.6.2 sind daher angeraten, sofort ein Update auf die neue Version durchzuführen oder zumindest die beiden fraglichen Dateien auszutauschen. Ein entsprechendens „nur die bösen Files“ Update gibt es wie immer bei WordPress Deutschland, ebenso das komplette Update-Paket. Wer es lieber international mag, sollte wie immer bei WordPress.org vorbeischauen.

Desweiteren ist eine Problem im default-Theme aufgetaucht, dass das Ausführen von Schadcode auf dem Server per Cross-Site Scripting (XSS) erlaubt. Betroffen ist in diesem Fall die Datei sidebar.php und betriff auch nur die deutsche Version von WordPress. Auch hier wird ein Update dringends empfohlen – zumindest für User, welche das lokalisierte Standardtheme Kubrick verwenden.

[via WP.org & WP-Deutschland]

firefox-title.pngKnapp 14 Tage nach dem Release der FireFox Version 2.0.0.8 haben die Entwickler der Mozilla-Foundation die Version 2.0.0.9 des Webbrowsers Firefox veröffentlicht.

Dieses Update ist nötig geworden, da, so die Entwickler, nach dem Release der Version 2.0.0.8 einige bereits behobene Fehler wieder aufgetaucht sind. Eine Übersicht der korregierten Bugs in Firefox 2.0.0.9 kann den Release-Notes bzw. dem entsprechenden Posting der Entwickler im Mozilla Developer Center entnommen werden.

Das Update steht wie immer in diversen Sprachen für Windows, Mac OS X sowie Linux als Download zur Verfügung bzw. kann über das Update-System vom FireFox bezogen werden.

firefox-title.pngDie Mozilla-Foundation hat eine neue Firefox-Version veröffentlicht. Die Version 2.0.0.7 ist ein Sicherheitsupdate – oder wie es die Mozilla-Entwickler ausdrücken „Security firedrill“ – und behebt einen in der vergangenen Woche bekannt gewordenen Bug im Quicktime-Plugin, welcher zum Einschleusen von Schadcode verwendet werden konnte.

Der neue Firefox ist ab sofort über das automatische inkrementelle Update verfügbar oder kann von den Servern der Mozilla-Foundation in diversen Sprachversionen heruntergeladen werden. Weitere Informationen zum Update finden sich wie immer in den ReleaseNotes sowie im wiki.

Ok, das Google gerne viele Daten sammelt, sollte nun hinlänglich bekannt sein – nicht umsonst wird Google ja auch gerne mehr oder minder böswillig als „Datenkrake“ bezeichnet.

Trotzdem hat sich der Suchmaschienenriese meiner Meinung nach mit den neuen AGBs in der deutschen Version seiner Online-Office-Sammlung Text & Tabellen (Docs & Spreadsheets) einen Bärendienst erwiesen. Denn mal ehrlich, welche halbwegs intelligente Mensch wird denn nun noch mit diesem Tool arbeiten – an Firmen will ich da gar nicht erst denken – wenn Google sich freien Zugang zu allen eingestellten Dokumenten und Daten sichert?

Auch wenn Google sagt, dass die Daten

ausschließlich dem Zweck dienen, Google in die Lage zu versetzen, die Services darzustellen, zu verbreiten und zu bewerben

, möchte wohl niemand, das ein selbstverfasster Brief an die Oma in irgend einer Werbekampagne von Google landet – auch wenn der Inhalt vielleicht noch so trivial sein mag.

Ich frage mich, was Google sich wohl dabei gedacht hat, diese Passagen in die AGB’s aufzunehmen. Neue Kunden wirbt man so bestimmt nicht und Dummy-Daten für Werbekampagne können schließlich auch mal eben von ein paar Studenten erstellt werden.

[via Golem.de]