[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Big Brother Award: Apache und der Telepolis-Artikel

In schulung.lists.fitug-debate you write:
>> (cf. die Cookie-Scare in den
>> letzten Jahren, die auch weitaus mehr Schaden als Nutzen
>> produziert hat - Benutzer, die Cookies aus Angst vor Spionage
>> abschalten, verringern tatsaechlich ihre Sicherheit!).

>?? kannst du dass kurz erläutern?

Hast Du diesen Sommer durchgeschlafen?

Viele Anwender schalten bei sich Cookies ab. 

Weil viele Anwender bei sich Cookies abschalten, verwenden viele
Shopbetreiber Bibliotheken zum Session-Management, die eine
Session-ID in der URL mitschleppen, etwa als GET-Parameter, in
Path der URL oder im Sitenamen. 

Wenn die Session-ID Bestandteil der URL ist, taucht sie in den
Logbuechern aller verwendeten Proxy-Server und ueber den Referer
in den Logbuechern aller von der Shopsite aus besuchten externen
Sites auf.

	Slashdot versendete so sogar Loginnamen und
	Loginpassworte, der Eigner einer geslashdotteten Site
	konnte damals gewaltige Mengen Logins und Passworte
	ernten.

Mit dieser Session-ID kann man die Session eines fremden
uebernehmen.

So sind diesen Sommer diverse grosse Webshops und alle grossen
Webmail-Betreiber angegriffen worden.

Waere die Session-ID per Cookie uebertragen worden, wie Gott es
gewollt hat, waere sie nicht in den Logs aufgezeigt worden. Wer
Cookies abschaltet, bringt sich unnoetig in Gefahr.

Wenn Du in einen Laden zum einkaufen gehst, und Du merkst, dass
der Shopbetreiber Dich ausspioniert und Dein Kaufverhalten an
Dritte weitermeldet, was machst Du dann? Dir eine Maske
ueberziehen und weiter dort einkaufen? Das entspraeche dem
Abschalten von Cookies.

Woanders einkaufen? Dem entspraeche das Erden der Route zu
diesem Betreiber, oder die Installation von Webwasher und
Junkbuster, um den Traffic zu dieser Site zu unterbinden.

Auch

http://www.koehntopp.de/php/faq-17.html#ss17.6
17.6 GET-Mode oder Cookie-Mode? Sind Cookies böse? 

>> Jeder einzelne Webserver auf diesem Planeten erzeugt
>> defaultmaessig ein Log und das ist so zunaechst einmal auch
>> nicht gefaehrlich. Gefaehrlich waere ihre Einsammlung und
>> Auswertung und das passiert in der Regel genau NICHT, weil es
>> andere, billiger zu implementierende Methoden gibt,
>> vergleichbares zu erreichen - Payback, Doubleclick und so
>> weiter. Und das zeigt genau die Zwecklosigkeit dieses Preises.

>Es zeigt nur, dass es noch viel mehr "Logfiles" gibt, die
>für eine gezielte Auswertung von Informationen genutzt
>werden.

Nein, es zeigt vor allen Dingen, dass der Preis unreflektiert
und uninformiert verliehen wurde und dass die Jury sich genau
der Dinge schuldig gemacht hat, die sie anprangert, naemlich der
Gedankenlosigkeit beim Umgang mit IT.

>Ich verstehe nicht, warum ihr die WebServer-Logfiles verharmlost.

Weil es andere Dinge gibt, die im Gegensatz zu Webserver-
Logfiles wirklich gefaehrlich sind, auch ohne dass man sie mit
grossem Aufwand zusammenfuehrt. Und bei denen man ausserdem auf

>Ein Missbrauch-Potenzial ist definitiv vorhanden, auch wenn 
>diese Infos auf einem anderen Weg gesammelt werden könnten.

den Konjunktiv verzichten kann, wenn man den Preis verleiht.

>PS.: Im ersten Augenblick hat mich die Verleihung an Apache auch
>     erstaunt. Aber ich habe keine Probleme die Entscheidung zu
>     akzeptieren und die Gründe anzuerkennen. Preisverleihungen
>     haben nichts mit Gerechtigkeit zu tun ;-)

Sondern mit Windmacherei. Tut mir leid, ich habe da keinen
Respekt vor. Wenn es der BBA Jury ein Anliegen ist, ihren Preis
zu entwerten und ad absurdum zu fuehren, dann ist sie auf dem
richtigen Weg. Im naechsten Jahr kann sie die Statuetten dann
gleich ohne Zermonie auf den Kompost tun.

Kristian