Lieferheld lädt nicht richtig

Auch nachdem ich den Browser Cache zum X-ten mal geleert habe, einen anderen Browser versucht (Firefox statt Chrome) und den privaten Modus verwendet habe, konnte ich nicht bestellen.

Die Bestellung war nur ohne Login möglich.

Wenn man auch nur flüchtig mal in den Quelltext der Seite schaut, ist es schon erstaunlich, wieviel Tracker und Werbung, die mit der eigentlichen Bestellung offensichtlich nichts zu tun haben, da nachgeladen werden.

Ganz nebenbei: Yahoo verwendet noch Perl, wenigstens endet eine URL auf .pl.

Schwere Sicherheitslücke in MyCloud und MyCloud Mirror

Western Digital MyCloud Platten sind recht beliebt. Über 1200 Bewertungen bei Amazon und immerhin 3,5 von 5 Sternen.

Die Geräte gibt es zwischen 2 und 8 TB ab 140 Euro. Sie speichern nicht nur Dateien wie eine klassische Platte, sondern bieten viele Extras:

  • persönlicher Cloud Speicher als sicherer Ort zu Hause und rufen Sie Ihre Medien und Dateien von überall mit Ihrem Computer, Tablet oder Smartphone ab
  • Im Gegensatz zu öffentlichen Clouds speichert der persönliche Cloud-Speicher My Cloud alle Ihre Inhalte an einem sicheren Ort im Heimnetzwerk.
  • Automatische Datensicherung für alle Ihre Computer
  • Foto- und Video-Backups für Tablets und Smartphones
  • Synchronisieren Sie Ihre Inhalte auf all Ihren Geräten
  • Problemlos minutenschnell eingerichtet
  • Reibungsloses Streaming auf allen Ihren Bildschirmen
  • Die schönsten Erinnerungen auf einfache Art und Weise teilen
  • Private Inhalte müssen privat bleiben
  • Erhöhen Sie die Speicherkapazität Ihrer persönlichen Cloud im Handumdrehen
  • usw.

Folgende Sicherheitslücken sind bekannt:

  • Remote root Shell durch File Upload. Es muss nur ein POST-Request geschickt werden. Authentifizierung nicht notwendig.
  • admin Benutzername mydlinkBRionyg und Passwort abc12345cba, das nicht geändert werden kann.

“The triviality of exploiting this issues makes it very dangerous, and even wormable,” the researcher notes. “Not only that, but users locked to a LAN are not safe either.”

Selbst wenn die Festplatte nur aus einem LAN erreichbar ist, sind XSS-Angriffe möglich. Das heisst das Opfer wird dazu gebracht, eine Seite mit entsprechendem iFrame aufzurufen. Die Default Hostnames sind bekannt.

  • kein XSRF Schutz
  • command injection
  • DoS
  • Benutzerinformationen lassen sich über eine REST-API abrufen

Versionen der betroffenen My Cloud Geräte sind unten verlinkt.

James Bercegay von GulfTech hat den Hersteller bereits im Juni letztes Jahr kontaktiert. Ein Update sollte es nach 90 Tagen geben. Nachdem es nach 180 Tagen noch immer keines gibt, hat GulfTech die Lücke veröffentlicht. Sie ist bisher noch immer nicht gepachted.

thehackernews.com

Werbefirmen sammeln E-Mail Adressen

Allerdings nicht als Klartext, sondern als Hash. Es geht dabei nicht um Spam, sondern um Besucher ohne Cookie zu identifizieren:

Die Forscher betonen, dass die von ihnen analysierten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Es gehe ihren Entwicklern offenbar nicht darum, Adressen für Spam-Kampagnen einzusammeln oder gar, Login-Daten abzufangen. Vielmehr würden sie die Hashes als eindeutige, nicht-löschbare Tracking-Identifier verwenden. Sie machen den Einsatz von Cookies unnötig und funktionieren auch dann noch, wenn der Besitzer der E-Mail-Adresse im privaten Modus surft oder an einem anderen Rechner sitzt.

Heise

Form und Inhalt von gestern

passen da doch zusammen. Inhaltlich gibt’s eigentlich schon nicht mehr viel zu zu sagen:

  • Fachbücher muss die Buchhandlung vor Ort bestellen. Das kann ich inzwischen auch selbst und schneller.
  • Oft sind gebrauchte Bücher völlig ausreichend und deutlich günstiger.

Nicecash gehackt

Nicecash wurde gehackt, über 60 Millionen Dollar gestohlen.

Im Netz wird jetzt spekuliert, ob es ein Insider Job war.

Wer lässt 60 Millionen in einem Wallet liegen, auf das man online zugreifen kann?

 

Bye bye Netzneutralität

battleforthenet.com schreibt:

Cable companies are famous for high prices and poor service. Several rank as the most hated companies in America. Now, they’re lobbying the FCC and Congress to end net neutrality. Why? It’s simple: if they win the power to slow sites down, they can bully any site into paying millions to escape the “slow lane.”This would amount to a tax on every sector of the American economy. Every site would cost more, since they’d all have to pay big cable. Worse, it would extinguish the startups and independent voices who can’t afford to pay. If we lose net neutrality, the Internet will never be the same.

heise fasst die geplanten Änderungen kurz und bündig zusammen.

Es gibt Widerstand:

  • Communities across the internet are livid; 12 of the top 16 posts on Reddit’s r/all have to do with net neutrality as does most of the front page of Imgur.
  • New York Times
  • Times
  • Reddit

As long as big telecom has stacks of cash to throw at politicians, net neutrality will never be safe. But perhaps widespread outrage about repealing regulations that are both fundamental to the open internet and wildly popular on both sides of the political spectrum can buy us enough time to build something better.

vice.com