Es spidert das Web…

Ich habe gestern mal wieder eine neue „Domain ungenutzt“-Seite gebaut. Die letzte war meinen Mitbewohnern auf dem Server etwas zu Adult-Lastig. Jetzt ist sie dem angepasst und kann mit verschiedenen Skins geladen werden 😉 (z.B. die normale Skin, die Game-Skin und natürlich die Adult-Skin).

Natürlich logge ich auch mit, was da so abgeht. Erstens sehe ich, daß knapp die hälfte der Requests von den IPs 67.15.6.71 und 66.98.184.27 kommen, die versuchen, unseren Server als Proxy zu verwenden (rufen login.icq.com auf). Und zweitens bin ich beeindruckt, was für Web-Spider es gibt… In den letzten 20 Stunden sind da vorbei gekommen:

Google, MSN und Yahoo! kennt man ja, aber wer sind SOHU, Wortschatz.Uni-Leipzig, CFMX und Nutch?!?

Außerdem versuchen „libwww-perl/5.65“ und „libwww-perl/5.803“ von den IPs 207.44.158.30 und 64.151.70.108 die Domain www.google.com von unserem Server abzurufen…

NEIN, wir sind kein offener Proxy… Nicht mehr… 😉

Angriff der Killermaschinen

LandWalkerMal ganz ehrlich: Wenn ich die Straße lang laufen würde, und mir käme so ein Ding entgegen, dann würd ich schon ein bissel vorsichtig… Auch wenn es sich nur ganz langsam bewegt und die Füße nicht vom Boden hebt. Außerdem schießt es glaube ich Tennisbälle ab…

Aber das sieht man ja nicht gleich…

Jedenfalls gibt’s nu den ersten BattleMech, genannt LandWalker

Windows Vista – Style Guide

Bei FrogBoy findet man einige interessante Beiträge zum Thema Windows Vista und dessen Aussehen. Interessant fand ich zum Beispiel die Sammlung von Infos zum Style von Windows. Ist schon irgendwie schick anzuschauen 😉

Anonym surfen

In der aktuellen Ausgabe der PC Professionell (10/2005) gibt es einige Artikel (Seiten 148 ff.), die sich mit dem Thema „Anonym surfen“ beschäftigen. Meiner Meinung nach stellenweise absolute Fehlinformation, also musste ein Leserbrief her:

Hallo PC Professionell-Team,
Hallo Herr Böhme,

Ich habe mit Interesse den Artikel über das „Anonym surfen“ in der aktuellen PC Professionell Ausgabe 10/2005 gelesen – und muss sagen, dass ich aus dem Kopf-Schütteln nicht mehr herausgekommen bin. Gerade der letzte Absatz fasst so ziemlich all das zusammen, was ich als absolute Fehlinformation einstufe:

„In der Praxis reicht es aus, […] JAP […] nur bei Bedarf einzuschalten. Das ist immer dann der Fall, wenn persönliche Daten wie Kreditkarten- oder Adressinformationen übermittelt werden. Ansonsten genügt es, die Statistiken zu verfälschen, indem mit Proxomitron die übertragenen Informationen gezielt manipuliert werden.“

Um es vorneweg zu nehmen: Ich stehe bei der ganzen Geschichte meistens auf der anderen Seite – also nicht als User, sondern als Anbieter von Webprojekten. Es geht mir aber im folgenden nicht darum, mich über zerstörte Statistiken zu beschweren. Damit kann ich leben. Viel mehr versuche ich den Sinn ihrer Empfehlung aus User-Sicht zu verstehen bzw. zu widerlegen:

Sie empfehlen Ihren Lesern, in dem Moment, in dem sie Kreditkartendaten und Adressinformationen angeben – also in dem Moment, in dem sie ihre Anonymität endgültig aufgeben und als Kunde einem Webseitenbetreiber „als Person“ und nicht mehr „als IP-Adresse“ gegenübertreten – den Anonymizer einzuschalten. Wo ist da der tiefere Sinn? In dem Moment, in dem „brisante“ Daten übertragen werden, empfehlen Sie sogar, diese Daten über (mindestens) ein weiteres System zu routen, wo die Pakete abgefangen, gespeichert und ausgewertet werden könnten?

Ohne Frage – JAP ist hierbei eine der sichereren Varianten. Ein öffentlich zugänglicher Proxy unbekannter Natur ist hier riskanter. Aber der Sinn bleibt mir dennoch verborgen. Ganz nach dem Motto „Hallo, ich bin Dominik Deobald – ich bin Anonym!“

Einen Schritt weiter, gleicher Punkt: Sie empfehlen Ihren Lesern Kreditkarten-Zahlungen über den Anonymizer laufen zu lassen. Sie müssen aber bedenken, dass auf der anderen Seite ein Unternehmen steht, das Waren anbietet und verkauft und dabei einen Gewinn erzielen muss, um Arbeitsplätze zu sichern. Insbesondere virtuelle Güter (Downloads, eVoucher, …) sind beliebtes Ziel für Kreditkartenbetrüger, da hier keine physische Adresse für die Lieferung von Waren vorhanden sein muss. Also muss man alle zur Verfügung stehenden Mittel einsetzen, um gute von bösen Kunden zu unterscheiden. Drei mal dürfen Sie raten, was ein sehr zuverlässiges Zeichen dafür ist, dass es sich bei einem User auf der Webseite um einen Betrüger handelt: Einen Anonymizer setzen vor allem die Leute ein, die etwas zu verbergen haben. Die paar IP-Adressen, über die der Anonymizer-Dienst der TU Dresden läuft, waren schnell nach dem ersten von dort erfolgten Betrugsfall bei meinem Arbeitgeber identifiziert. Seitdem sind sie gesperrt. Einkaufen unmöglich.

Nutzer von Anonymizing Proxies sollten sich also nicht wundern, wenn bei der Kreditkartenzahlung für die eigentlich einwandfreie Kreditkarte die Meldung „Kreditkarte ungültig“ erscheint. Wenn man damit effektiv einen Großteil der Betrüger abwehrt nimmt man als Unternehmen auch die Hand voll ehrlichern Kunden, die nicht einkaufen können, in Kauf.

Weiter zum nächsten Punkt, Proxomitron: Der Sinn hiervon bleibt mir gänzlich verborgen. Einzige Erklärung, die ich zumindest nachvollziehen könnte, wäre, dem Server einen anderen Client vorzutäuschen, um diesem nicht zu verraten, dass man Webbrowser XY mit der Sicherheitslücke AB einsetzt, die der Server dann gezielt ausnutzen könnte. Um derartigen Angriffen ausgesetzt zu sein muss man sich aber schon auf sehr zwielichtigen Seiten herumtreiben.

Der Nachteil, seinen Browser zu verschleiern, ist, dass viele Webseiten-Betreiber die Browserkennung sinnvoll verwenden. Es ist leider immer noch – und sicher auch für die Zukunft – so, dass verschiedene Browser den gleichen HTML-Code unterschiedlich interpretieren und unterschiedlich darstellen. Was auf dem Internet Explorer gut aussieht kann auf dem Firefox das reinste Chaos sein – und umgekehrt. Deshalb stellen viele Webseiten verschieden optimierte Seiten zur Verfügung, abhängig davon, wie sich der Browser zu erkennen gibt. Noch schlimmer ist – aus User-Sicht – die Möglichkeit, sich als „Googlebot“ auszugeben. Hier kommen vermutlich nur all zu häufig Webseiten zum Vorschein, die speziell für Suchmaschinen optimiert wurden und mit Schlüsselwörtern voll gepackt sind, aber den eigentlichen Inhalt nicht mehr erkennbar wiedergeben. Auch wenn das eine Unart ist und nicht der Standard sein sollte – aber wer sich als Google ausgibt, muss halt auch damit rechnen, das zu sehen zu bekommen, was die Webmaster für Google bestimmt haben.

Mit freundlichen Grüßen,
Dominik Deobald

It spamed me!

Es hat mich gespamt! Mein Blog hatte heute Abend auf einen Schlag 250 neue Kommentare! Hätt ich doch bloß schon vor ein paar Tagen, als ich auf der Suche nach einem Cache für den Blog war, den SPAM-Schutz Hashcash installiert…

Hab ich jetzt getan. AusgeSPAMt – zumindest via Bot!

Schweigen…

Wenn jemand ein Schweigegelübde abgelegt hat, bricht er dieses dann, wenn er im Internet chattet? Oder die Sprachausgabe eines Computers verwendet?

Reasons I’m Keeping My Obsolete Computer

Gerade bei BBspot gefunden:

11. I find it hard to concentrate without 20 fans running.
10. I needed a home for my dust bunnies.
9. My plans to open a computer museum, might just get venture capital someday.
8. Three more and I can host a LAN party.
7. The command line will make a comeback, and I want to be ready.
6. Maybe the burglars will steal the old one instead of the new one.
5. When you get a new friend, do you get rid of the old ones?
4. Where else could you get a space heater that also runs Seti@home.
3. It’s not obsolete, it’s previously functional.
2. So I can complain about how slow the new Microsoft operating system runs on it.
1. You never know when your first three computers go down and you need a fourth back up.

ebay – Phishing

Heute phisht man mich nach ebay…

For the User Agreement, Section 9, we may immediately issue a warning, temporarily suspend, indefinitely suspend or terminate your membership and refuse to provide our services to you if we believe that your actions may cause financial loss or legal liability for you, our users or us. We may also take these actions if we are unable to verify or authenticate any information you provide to us.

We regret to inform you that your eBay account could be suspended if you don’t re-update your account information. To resolve this problems please use the link below and re-enter your account information. If your problems could not be resolved your account will be suspended for a period of 24 hours, after this period your account will be terminated. .
Due to the suspension of this account, please be advised you are prohibited from using eBay in any way. This includes the registering of a new account. Please note that this suspension does not relieve you of your agreed-upon obligation to pay any fees you may owe to eBay.

Und weiter unten ein Link nach https://signin.ebay.com/aw-cgi/eBayISAPI.dll?OneTimePayment&ssPageName=h:h:sin:US (oder zumindest steht das da). Spaßeshalber habe ich mal draufgeklickt und staune nicht schlecht, als ich in der URL dann tatsächlich was von signin.ebay.com lese. Erst ein paar Blicke weiter merke ich dann, daß es damit aber noch nicht aufhört… signin.ebay.com.helpaccount.us steht da…

Nicht schlecht… Da muß man schon drauf achten…

Spaß mit Telepromotern

Ich habe es getan… Ich bin mal wieder an’s Telefon gegangen, obwohl keine Nummer übermittelt wurde – und was soll auch anderes passieren: „Hallo, mein Name ist Frau sowieso von der Firma XL-Tipp. Kann ich bitte mit Herrn Dominik Deobald sprechen? … Sie haben vor einiger Zeit … blubber … schwall … Aber darum geht es jetzt gar nicht. Ich möchte ihnen gerne unser neues… blafasel… tolles… blafasel… Sparmax vorstellen.“

Jaja, da bekomme ich ganz tolle Rabatte auf Reisen (Danke, habe mir schon was von Deutsche Reise andrehen lassen), Konzerte, Musicals, Kino, Freizeitparks (also all das, wofür ich sowieso keine Zeit habe), bekommme Premiere billiger (Da bekomm ich übrigens bis zu 60 Euro Provision von zanox), Rabatte bei Zeitschriftenabos (was soll ich denn noch abonieren?) und komme bei Hotels bis zu 50% billiger weg (weil ich ja auch dauernd in Hotels übernachte).

Außerdem suchen die mir auch die günstigsten Produkte (Wahrscheinlich schauen sie bei ciao.com, guensitger.de und so weiter nach) raus und organisieren mit den günstigsten Anbieter für Strom, Telefon, Handy und Versicherungen… Und da war er: Der Punkt, an dem es anfing, Spaß zu machen 😉 – Und die Sache mit den Verträgen übernehmen die auch gleich.

Und wenn ich nicht mindestens 250 Euro im Jahr spare, dann zahlen die mir den Differenzbetrag sogar aus (Und noch einer!).

Okay… Schon leicht schmunzelnd hab ich dann nachgefragt, wie die denn messen wollten, daß ich 250 Euro im Jahr gespart habe – wenn ich die alten Kosten im Vergleich doch gar nicht mehr habe… Wie will man einen Wert denn vergleichen?

Naja… Vom Name Verivox hatte sie dann auch noch nichts gehört – aber als ich meinte, wir würden Preise für Strom, Telefon, Internet, …. vergleichen und die Sache mit den Verträge auch gleich machen und dass ich da arbeite und so weiter und so fort – da war sie auf ein mal relativ schnell fertig mit dem Gespräch…

Naja… Manchmal macht so was dann doch Spaß – Etwas Licht im Dunkel des Arbeitsalltages 😉