Preware macht’s möglich.
Preware ist auf webos-internals erhältlich. Per Download kann ein Windows-Installer gezogen werden, welcher die Software auf dem dann per USB-Kabel zu verbindenden Gerät, auf welchem der “Developer Mode” aktiviert sein muss, installiert. Eine Anleitung findet man hierzu unter den eben dargestellten Links. Nach der Installation ist eine neue Applikation “Preware” auf dem Telefon verfügbar, welches ein großer Application-, Patch- und Theme-Katalog ist. D.h. es können Programme zusätzlich installiert werden, die oft über die offiziellen Palm-Katalog-Quellen nicht zu beziehen sind, Patches (Programmänderungen) können eingespielt werden und mit Themes kann man dem Telefon verschiedene “Kleidchen” überziehen und das Aussehen steuern.

Pimp your Phone…
Es gibt gefühlt unendlich viele verschiedene Anpassungsmöglichkeiten und Patches für das Palm Pre - die (für mich am sinnvollsten) will ich hier kurz auflisten; einerseits, um nach Betriebssystem-Updates die Liste wieder griffbereit zu haben, andrerseits, um sie auch hier allen zur Verfügung zu stellen, so dass sie manchen Nutzern so eine Entscheidungshilfe sein können.

Palm Pre Patches

• Unthrottle Download Manager: Schnelleres Herunterladen von Anwendungen durch entfernen der Download-Begrenzung bei Palm-Anwendungen
• Unhide Dev Mode Icon: Erspart das Eintippen beim Aktivieren und Deaktivieren des “Developer Modes”
• Start in Fullscreen: Google Map wird im vergrößerten Bildschirm gestartet, die Statuszeile oben wird entfernt und das Programm ist so schöner und besser nutzbar
• Select Alert and Notification Tones: Erlaubt ein Ändern der SMS- und Hinweistöne
• Reset Scroll Position: Beim Aufruf des Anwendungsmenüs merkt sich das System nicht mehr die letzte Position
• No Missed Call Callback: Wenn man einen Anruf verpasst hat, dann wird dieser bei Auswahl der Anzeige im Statusbalken unten am Bildschirm gleich zurückgerufen. Dieses Patch zeigt die Anruf-Liste, ruft aber nicht mehr gleich zurück
• Hide Musikplayer App: Die reguläre Musik-Anwendung wird nicht mehr angezeigt. Sinnvoll, wenn der deutlich bessere Musikplayer “Musik (Remix)” installiert wurde
• Enable LED Notifications German: Bei eingegangenen Mails und SMS wird dieses Ereignis zusätzlich durch ein Blinken der LED angezeigt. Sehr sinnvoll, wenn man das Telefon nicht immer im Blick hat.
• Enable Add/Delete Pages: Einfaches Hinzufügen und Entfernen über das Menü des Applikationsmanagers von neuen Seiten in das Anwendungsmenü
• Confirm Delete: Schiebt man Emails im Mailprogramm aus dem Bildschirm, werden sie gelöscht. Dieses Patch fügt eine Abfrage ein, ob das Mail wirklich gelöscht werden soll. Sinnvoll, da man sonst ab und an versehentlich Mails löscht.
• Close Slider to End Calls: Durch schließen des Sliders werden aktuelle Gespräche beendet.
• Character Counter: Beim SMS-Schreiben wird die Anzahl der aktuell benutzten Zeichen eingeblendet. Sehr sinnvoll, da man sonst nicht weiß, wieviele SMS man wirklich schickt.
• Battery Icon as Percent: Ersetzt die Anzeige des Akkustandes durch eine Prozentzahl in entsprechenden Farben (grün, gelb, rot)
• 4×4 Icons v3: Im Startmenü werden 16 Icons anstelle von 9 (Voreinstellung) angezeigt. Hier gibt es auch 5×4 und andre Versionen

Bei den Patches sollte man stets prüfen, ob diese für das eigene System geeignet sind. Mit einem Update des Betriebssystems sollte man zudem vorsichtig sein und vor dem Update, was ja nicht automatisch geschieht, die Patches entfernen. Manchmal funktionieren danach manche Patches nicht mehr und lassen sich nicht mehr installieren. Logisch, denn auf veränderte Dateien des Betriebssystems passt ein Patch, was auf einer alten Version basiert, nicht mehr.
Wer an seinem Smartphone Patches einspielt sollte wissen, was er tut - daher ist das hier natürlich nur ein Hinweis, was ich nutze, wer damit etwas kaputt macht, ist selbst Schuld

Fazit: Mit Patches und zusätzlichen Anwendungen kann das System extrem angepasst werden und macht auch richtig Spaß. Da kann man auch ein bisschen über die anderen Sorgen, die man mit dem Palm so hat, hinwegsehen…

Es ist schon ein schönes Handy, das Palm Pre. Innovativ auch - es gibt z.B. als Zubehör eine Ladestation, welche das Telefon ganz ohne Kabel wieder auflädt.
Da ich schon länger über ein Telefon nachgedacht habe, welches ein kleines Büro für die Hosentasche ist aber mich noch nicht so richtig entscheiden konnte, kam das Palm Pre im Oktober 2009 grade recht.
Gekauft war es schnell und Spaß macht es auch und - man will das, was geht, ja nutzen - das mit dem Laden ohne Kabel wollte ich natürlich auch ausprobieren und habe mich dabei wieder einmal in der Servicewüste Deutschland verirrt - diesmal bei o2.

Um das nutzen zu können braucht man zusätzlich zum Telefon noch eine neue Rückenabdeckung für ca 20 € und den Touchstone für ca 50 €. Gekauft, getausch, los gehts: Leider wechselt das Telefon andauernd mit einem netten Vibrieren und Signalton zwischen “laden” und “nicht laden”. Ein googeln nach “Touchstone Palm Pre Problem” lies schon Schlimmstes befürchten. Man könnte meinen, es wird billig made in China gefertigt, wobei die Qualität auf der Strecke bleibt.
Sobald der Touchstone 100% erreicht, schaltet er ab und kurz danach lädt er wieder, schaltet wieder ab usw. - natürlich immer mit netten Vibrieren, leuchtendem Display und Signalton. Wie soll man da nachts so das Gerät laden können? Für den Akku sicher auch nicht förderlich.

Bei Youtube gibt es so manche Beispiele und übrigens sogar einen Lösungsansatz. Mal sehen, ob dieser auch bald so vom offiziellen Support empfohlen wird

Was solls: Schachtel auf, alles rein, Retourenaufkleber drauf und alles wurde zurückgeschickt mit Vermerk, dass ich es getauscht haben will. Leider hat das O2 nicht ganz so verstanden und auch im Folgenden Schriftverkehr hat sich gezeigt, dass diese Kommunikation nicht so ganz einfach ist. Anstatt gefordertem Austausch gabs eine Gutschrift mit Kostenerstattung wenige Wochen darauf. Egal, dann wird eben neu bestellt.

Das neue Päckchen kam kurz darauf an. Leider kam ich aus privaten Gründen nicht gleich zum Testen. Der Fehler war schon wieder vorhanden. Leider konnte ich aber die Sendung nicht gleich zurückschicken und habe daher einige Tage warten müssen und bin aus der Widerrufsfrist von 2 Wochen herausgerutscht, welches für einen Garantieumtausch zwar nicht von bedeutung ist, aber scheinbar ist das bei O2 noch nicht so ganz angekommen. Diesmal habe ich noch einen farbigen Textmarker zur Hilfe genommen und habe unüberschaubar gut elsbar vermerkt, dass ich die Hardware getauscht haben will und nicht nur zurückgeben will.

Nach einiger Wartezeit kam das Päckchen zurück. Beim Auspacken habe ich schon gemerkt, dass die Hardware schon mal offen war aber neu versiegelt wurde, denn jeweils defekte Siegel waren überklebt. Auf Rücksendeunterlagen wurde handschriftlich, jedoch ohne Unterschrift, “Ware umgetauscht” vermerkt. Tatsächlich aber gehe ich davon aus, dass einfach nur meine Hardware wieder eingepackt und zurückgeschickt wurde, denn das Problem trat wieder auf. Ein Retourenaufkleber war nicht mehr inklusive. Daraufhin habe ich mich an den O2 Kundenservice per Email gewandt und gefragt, ob man mir für die Rücksendung nun noch einen Retourenaufkleber zusenden würde oder ob ich es unfrei schicken soll. Man antwortete mir, in meinen Augen schon sehr dreist, meine “Retourensendung liegt leider nicht mehr in der 14-tägigen Rückgabefrist. Die Sendung konnte daher nicht angenommen werden. Bitte wenden Sie sich an unsere Kundenbetreuung. Sie werden dort über Reparatur bzw. Tausch des defekten Zubehörs informiert. Sie erreichen unsere Kundenbetreuung per E-Mail unter kontakt@o2.com oder telefonisch unter 0900/ 62 43 57.”

Schon interessant. Ich schicke an den Hersteller defekt gelieferte Ware zurück und erhalte die Auskunft, ich hätte diese in 14 Tagen zurückgeben müssen. Zudem sollte ich mich an eine teure 0900-Nummer wenden. Generell unglaublich: Da erhalte ich von der Email-Kundenbetreuung von O2 eine Anweisung, mich an den Support (gerne auch per Email) zu wenden. Manches muss man nicht verstehen.

Ich habe dann den kompletten Mailverkehr zweimal an kontakt@o2.com weitergeschickt und habe (Stand März 2010) bisher vergeblich auf eine Antwort gewartet… Bisher konnte mir oder wollte mir keiner Auskunft geben. Wahrscheinlich gibt es genug, die sich einfach so abspeisen lassen. Wir werden sehen, wie es weitergeht. Falls ein motivierter O2-Mitarbeiter mitlesen sollte: die Auftragsnummer lautet: PRO8482177… falls doch noch kompetente Hilfe kommen sollte. Ich habe die Hoffnung noch nicht ganz aufgegeben.

Update: 15.01.2010:
Nun hat mich ein Schreiben erreicht. Leider hätte ich mein Problem nicht geschildert. Eine Fehleranalyse ins Blaue hinein; Kontakte reinigen, Akku richtig einsetzen, Deckel fest aufdrücken. Gut, dass ich das nun zum zweiten Mal geschickt bekomme, funktionieren will es immer noch nicht. Da ein Verweis auf den Emailverkehr mit dem Kundendienst unter Angabe der Auftragsnummer wohl nicht genügt hat, habe ich nun den mehrseitigen Schriftverkehr nach Nürnberg gefaxt. Mal sehen, was nun passiert… Nachtrag: Auf das zweite Fax mit der Fehlerbeschreibung kam natürlich nie eine Antwort. Wahrscheinlich hätte ich zum x-ten mal den Sachverhalt neu schildern müssen, dass man sich die Mühe gemacht hätte, diesen zu lesen.

Update: 02.02.2010
Nun erreichte mich ein Email, in welchem ich aufgefordert werde, das Gerät zurückzusenden und mir ein Rücktritt angeboten wurde. Da ich ein funktionierendes Gerät haben will, wird das defekte Gerät nun per Post zurückgeschickt. Mal sehen, ob ein neues Gerät zurückkommt und vor allem: ob das dann auch funktioniert…

Update: 26.02.2010
Nachdem die unfreie Rücksendung am 16.02. angekommen ist habe ich immer noch nichts gehört. Weder neue Ware, noch die versprochene “Verbindungsaufnahme” des Kundenservices zu mir. Erst auf Anfrage über den aktuellen Sachstand habe ich heute eine Standardantwort erhalten: “Sobald Ihre Sendung bei uns Retoure geschrieben ist, werden Sie informiert”

Update: 08.03.2010
Eine aktuelle Anfrage an den Emailsupport habe ich nun nochmal losgschickt, zusammen mit der Bitte, mich nicht mit einer Standardantwort abzuspeisen. Ich warte immer noch auf die Rücksendung der Ware, mal sehen, was passiert.

Was ich aber auch ganz besonders finde ist, dass er mit seiner Musik scheinbar gegen diese neue Sprache aber auch neue Communities wie StudiVZ&Co ist. Schaut man aber auf seine MySpace-Seite hat er dort auch jede Menge Freunde und nutzt u.a. den Effekt dieser neuen Netzwerke um bekannt zu werden. So schlecht wird er es in Wirklichkeit schon nicht finden

Die Zeiten, wo so eine Funktion sinn gemacht haben, sind meines Erachtens seit dem “Ende” der Schreibmaschine, wo diese Funktion durchaus sinnvoll sein kann, vorbei. Jetzt habe ich mich etwas umgeschaut, wie man diese Taste am Besten funktionslos machen kann…

Einfach über Datei->Ausführen “regedit“, den Registrierungseditor, starten.

Unter “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout” muss dann ein neuer Binärwert Namens “Scancode Map” erstellt werden. Dieser wird mit “00 00 00 00 00 00 00 00 02 00 00 00 00 00 3A 00 00 00 00 00” belegt.

Nach einem Neustart ist die Funktion der CAPS-LOCK-Taste endlich vorbei…

Wird die Taste irgendwann wieder einmal benötigt, einfach den Wert “Scancode Map” komplett löschen.

Scheinbar hat man, gerade nachdem das Problem an die Öffentlichkeit getragen wurde, nun den Schutz der persönlichen Daten der Mitglieder etwas ernster genommen…

Komischerweise wurde übrigens mein Account bei mitfahrgelegenheit.de gelöscht. Sobald ich mich dort einloggen will, kommt die Meldung, dass mein Konto deaktiviert worden sei. Als mögliche Grunde wurde aufgeführt: “Verstoß gegen unsere AGBs, Verstoß gegen das Personenbeförderungsgesetz, Wiederholte Beschwerde anderer Nutzer, Verdacht kommerzieller Fahrten, Unvollständige Angaben bei der Registrierung, Konto wurde von Ihnen gelöscht oder Sonstiges”. Ich habe einen der Geschäftsführer natürlich auch angeschrieben, warum denn nun das Konto deaktiviert wurde. In meinen Augen ist das schon etwa willkürlich, wie mit meinem Account umgegangen wird. Vielmehr sollte man sich bedanken, dass man die Lücke gefunden hat und darauf hingewiesen hat, bevor eventuell jemand damit Schaden anrichtet und sich bei allen entschuldigen, dass man nicht schon auf mein erstes Email reagiert hat.

Naja - die Gründe werde ich wohl noch erfahren und sollte es zudem noch etwas weiteres Neues in diesem Fall geben, werde ich natürlich weiterhin berichten.

Nachdem ich in meinem Weblog darüber berichtet hatte, hat z.B: ein Mitglied von NetBiker.de auch die Leitung von Mitfahrgelegenheit.de angeschrieben und um Stellungnahme wegen des Problems gebeten. Auch das scheint nichts bewirkt zu haben.

Da ich heute ein paar Minuten Zeit hatte, habe ich ein kleines Experiment unternommen. Das erschreckende Ergebnis und den Versuchsaufbau will ich im folgenden Text kurz darstellen. Kurzum als Vorabinformationen: Mit extrem wenig Arbeitseinsatz wäre es wohl möglich gewesen, mehrere zehntausend Emailadressen der MItgliederdatenbanken von MItfahrgelegenheit.de zu extrahieren.

In meinem Weblog-Beitrag neulich schrieb ich davon, man könne automatisiert und sehr einfach alle möglichen Permutationen von a-z, 0-9 etc. versuchen und schauen, was am Ende dabei herauskommen würde. So würde man mit ziemlicher Sicherheit den größten Teil der Mitgliederdaten auslesen können. Bei näherer Betrachtung, wie viele mögliche Benutzernamen das wären (und wie hoch der damit verbundene Traffic alleine schon wäre, ganz abgesehen von der gigantischen Bearbeitungszeit) fällt diese Methode natürlich gleich heraus. Also musste eine andere Methode her. Wenn man sich wo anmeldet, was nimmt man dann als Benutzernamen? Ein Pseudonym? Wenn man keines hat seinen Vornamen? Richtig… Deswegen bin ich auf die Idee gekommen, eine Namensliste gängiger Vornamen aus dem Netz zu laden.

Fündig geworden bin ich auf der Internetseite http://www.vornamen-liste.de/ - dort kann man einfach alle Namen anzeigen lassen, in einen Editor kopieren und dann die Leerzeichen durch Zeilenumbrüche ersetzen. So hat man eine stattliche Liste von etwas über 13.000 Vornamen verfügbar. Es hätte noch umfangreichere, auch frei zugängliche Seiten gegeben, jedoch war diese für die schnelle Generierung einer eigenen Datenbank am besten geeignet, da sich die Vornamen sehr einfach per „Copy and Paste“ übernehmen und weiterverarbeiten liesen.

Nun muss ein Programm her, was automatisiert die Abfragen bei mitfahrgelegenheit.de nach der Emailadresse macht. Hier habe ich die Skriptsprache PHP gewählt. Das Script (nicht einmal 40 Zeilen!) testet für jeden Namen in der langen Liste einzeln, ob es eventuell einen Account mit diesem Namen bei mitfahrgelegenheit.de gibt und wenn ja, dann zählt es den Zähler der Emailadressen, die man hätte sammeln können und die am Bildschirm von MItfahrgelegenheit.de ja auch munter ausgegeben werden, eins hoch.

1. Testlauf: 218 Emailadressen – nicht wirklich viel?

So habe ich dann den ersten Testlauf gestartet. Bei einer Abfrage dieser etwas über 13.000 Namen kamen insgesamt jedoch nur exakt 218 Emailadressen heraus, die man hätte gewinnen können. Keine gute Ausbeute. Dann habe ich mir ein paar weitere Gedanken gemacht.

Wenn ein Name vergeben war, dann war es wohl meist ein Name, den mehrere Mitglieder gleichzeitig ihren eigenen nennen können. Ist ein Name bei der Anmeldung an Communities etc. belegt – was macht man dann oft? Die Jahreszahl oder das Geburtsjahr dahinter schreiben.

Also nicht Peter sondern Peter83 – um ein Beispiel zu nennen. Vielleicht hat man damit ja Erfolg?

2. Testlauf : 930 Emailadressen bis Abbruch

Gesagt getan. Ein kurzes weiteres PHP-Skript geschrieben, welches die vorhandene Namensdatenbank erweitert und zu jedem Namen alle Jahreszahlen von 70 – 89 sowie von 1970 – 1989 anhängt. Ich habe einfach einmal die Zielgruppe der Seite im jüngeren Bereich bis maximal 40 eingeschätzt.

Nach kurzer Zeit hatte ich so 535.681 Versionen der Namen in der Datenbank. Damit kann man sicher arbeiten, dachte ich mir, und hatte das Skript erneut gestartet. Ich war erstaunt, wie schnell der Zähler der Emailadressen nach oben schnellte. Nach einiger Zeit habe ich das Programm jedoch gestoppt. Es hätte einfach den Rahmen gesprengt, aber um verlässliche Werte zu gewinnen ist es auch lange genug gelaufen. Somit haben wir eine in meinen Augen verlässliche Anzahl, um auf die Gesamtheit hochzurechnen.

Ich hatte aufgehört beim Namen „Bernis1986“ – einer von vielen Varianten eines Namens. Also weit vorne, denn wir sind noch beim Buchstaben “B”.

Zu diesem Zeitpunkt waren von der neuen, erweiterten Datenbank 22.313 Abfragen gemacht worden. Hätte man das Programm zu Ende laufen lassen, wären noch 513.368 Abfragen übrig geblieben. Technisch gesehen wäre es jedoch kein Problem gewesen, weitere Daten auszulesen. Ich denke nach wenigen Stunden wären alle Ergebnisse am Tisch gelegen. Hätte man den Versuchsaufbau geändert und mehrere Server parallel eingesetzt, hätte man dies um ein vielfaches Beschleunigen können.

Nach den besagten 22.313 Abfragen hatte ich 930 gezählte, von mitfahrgelegenheit ausgegebene Emailadressen vorliegen. 4,16799% aller Abfragen des zweiten Durchlaufs ergaben also eine gültige Emailadresse eines Mitglieds. Schon ein recht hoher Wert, wie ich finde. Wie viele Mitglieder die Internetseite insgesamt genau hat, ist mir nicht bekannt. Rechnet man mit diesem Wert weiter, so wären wir rechnerisch am Ende des zweiten Durchlaufs bei 535.681 Abfragen bei 22.327 Emailadressen. Schon eine gute Adresssammlung, die man sich so herstellen könnte.
Hochgerechnet: ca. 23.000 Emailadressen innerhalb weniger Stunden wären wohl möglich gewesen! Überlegt man, dass die Emailadressen der Mitglieder „echte“ Emailadressen, teils sogar Firmenadressen sind, die wohl auch häufig abgerufen werden, so hätten viele Spam-Versender an solchen Emailadressen ihre wahre Freude. In Fachkreisen gilt es als unbestritten, dass bestätigte, also gültige Emailadressen ein Vielfaches an Wert als unbestätigte, wahllos herausgegriffene Emailadressen besitzen.

Als Fazit des kleinen Tests kann ich nur sagen, dass ich selbst unterschätzt hatte, was mit so einer einfachen Methode an Daten sich generieren lässt. Ich war erschrocken, wie reihenweise Emailadressen aus der Datenbank „gepurzelt“ sind und kam aus dem Kopfschütteln nicht mehr heraus. Gerade da die Verantwortlichen der Internetseite mehrfach informiert und zumindest von mir vor etlichen Wochen genau auf diese Methode der Datengewinnung hingewiesen wurden und darauf scheinbar in keinster Weise reagiert haben, macht mich schon etwas wütend, dass man scheinbar dem Schutz persönlichster Daten so einen kleinen Stellenwert einräumt.
Wie hätte man richtig reagieren können?

Ich sehe bei den Verantwortlichen der Internetseite mehrere Fehler:

1. Reaktion auf Hinweise zu Sicherheitslücken: Es wurde nicht auf Emails reagiert, welche explizit auf das Problem hingewiesen haben. Der Schutz persönlicher Daten hat bei Mitgliedern einer Community meist einen sehr hohen Stellenwert. Hier gilt es meiner Meinung nach schnell zu reagieren und mögliche Angriffspunkte aus dem Weg zu räumen.
2. Absichern der Anforderungsfunktion für verlorene Passwörter: Die Passwort-Anforderungsfunktion hätte grundsätzlich ein anderes Design haben müssen. Über die einfache Eingabe einer URL, welche den Benutzernamen enthält, hatte man Zugang zu der Emailadresse des Benutzers. Alleine die Umstellung auf die Verarbeitung von nur per “POST”-Methode übermittelten Daten hätte zumindest verhindern können, dass unversierte Benutzer in großem Stil Daten hätten gewinnen können.
3. Würde man zudem das Formular z.B. mit einem Schlüssel versehen, der als verstecktes Formularfeld bei der Anforderung mitgeschickt wird und der maximal für eine Abfrage / Anforderung Gültigkeit besitzt, wäre der Versuchsaufbau deutlich erschwert worden. Moderne Content-Management-Systeme und Application-Frameworks besitzen solche Absicherungen.
4. Begrenzung der Abfragen für einen User: Es scheint aktuell keine Begrenzung zu geben, wie oft für einen User das Passwort am Tag zugeschickt werden kann. Bedenkt man alleine, dass sich User durch das „Zuschicken“ belästigt fühlen könnten, wenn das 20 mal am Tag so passiert, ist das nicht gerade benutzerfreundlich und sicher.
5. Absicherung der Abfrage oder des Webservers über massive Abfragen: Es ist leicht möglich, der Software beizubringen, nach z.B. 10 Abfragen eines Passworts einer bestimmten IP-Adresse, keine weiteren Abfragen mehr zuzulassen. Oder nach 1.000 Abfragen am Webserver generell den Service zu blocken. Normale Benutzer legen schließlich ein anderes Verhalten an den Tag.

Ein paar Worte zum Schluss…
Ich hoffe, dass sich nach dieser „Aktion“ die Einstellung der Verantwortlichen dieser Seite ändert und man nun dort oder vielleicht auch auf andren Seiten mehr für das Thema Sicherheit und Datenschutz sensibilisiert wird.

Sollten die Verantwortlichen oder sonst jemand Interesse an Beratung in Bezug auf oben angesprochene Themen haben, stehe ich natürlich gerne zur Verfügung icon_wink

Man muss bei der ganzen Sache bedenken: Es wurden weder technische Sperren überwunden, Passwörter geknackt oder was auch immer. Alles, was an Daten generiert werden konnte, war absolut frei zugänglich und absolut nicht geschützt..

Mal sehen wie lange es dauert, bis sich da nun was tut… Ich denke ich werde darüber später nochmal berichten.

Update (14.12.2007): Es hat sich etwas getan.. Bitte meinen neueren Artikel zu diesem Thema in meinem Weblog beachten!

Als ich vor einiger Zeit meine Zugangsdaten für diesen Service vergessen hatte, habe ich den „Passwort-Vergessen“ Link auf der Seite benutzt, um mir meine Daten zusenden zu lassen. Entweder beantwortet man dann eine kurze Frage (die man zuvor definiert hat) um wieder zu seinem Account zu kommen oder – wie ich es machen wollte – man lässt sich das Passwort per Email neu zusenden.

Ärgerlich fand ich dann jedoch die Tatsache, dass die Emailadresse, an welche die Passwortdaten einsehbar waren, offen angezeigt wurde. D.h. jeder kann daher fÃ�r alle Benutzernamen die Email-Adressen sich anzeigen lassen.

Umständlich – wer wird das machen? Da tippt man sich ja die Finger wund? Es wäre sicherlich interessant und vielleicht sogar lukrativ für Spammer, so viele Email-Adressen abzugreifen, die wahrscheinlich auch regelmäßig abgefragt werden. Ich habe das dann mal auf meine Community übertragen und bin zu dem Entschluss gekommen, dass ich das nicht dulden würde, wenn man so einfach die Email-Adressen meiner Mitglieder herausfinden und speichern könnte.

Deswegen habe ich am 28.08.2007 auch ein Email an die Macher der Seite geschickt und sie auf den Missstand hingewiesen und mitgeteilt, dass man so sehr einfach sehr viele gÃ�ltige Email-Adressen aus der Datenbank von Mitfahrgelegenheit.de auslesen könnte. Daraufhin bekam ich eine Antwort, dass der Fehler umgehend abgestellt werden sollte und man bedanke sich zugleich für den Hinweis.

Soeben habe ich die Seite einmal wieder besucht und festgestellt, dass man hier absolut nichts in diesem Punkte nachgebessert hat. Schaut man sich die Formulare der Seiten an, die einem das Passwort wieder zusenden wollen, sieht man genau, über welche Scripte am Server was läuft.

Über den Aufruf des Links http://www.mitfahrgelegenheit.de/lookup/sendpwd_sql.php?username=peter als Beispiel werden dem Benutzernamen „Peter“ seine Zugangsdaten zugeschickt. Die Ausgabe erfolgt am Bildschirm. Die Emailadresse werde ich einmal nicht darstellen. Man kann beliebige Namen dort einsetzen und sieht entweder die Emailadresse des Mitglieds oder eben nichts, wenn es kein Mitglied mit dem Benutzernamen gibt. Soweit ja logisch.

Wie kann man das aber nun „sinnvoll“ verarbeiten? Ganz einfach. Man nehme sich eine Datei, die aus einer Namensliste besteht oder einem Wörterbuch und probiert per automatisierten Skript mögliche Benutzernamen durch. Man kann auch die „Brute-Force“-Methode anwenden, d.h. alle beliebigen Buchstaben- und Zahlenkombinationen so testen. Das dauert zwar sicher etwas länger, aber ich denke nicht, dass eine solche Abfrage schnell genug bemerkt würde.

Die Ausgabe der Internetseite kann man dann bequem im Script weiterverarbeiten: Das Script durchsucht die Ausgabe einfach nach dem Satz „wurden an die bei uns gespeicherte E-Mail Adresse“ und nimmt die dahinter angeführte Emailadresse aus der Seite heraus. Dann brauchen wir die Emailadresse nur noch in einer Datenbank oder Datei speichern. Kommt der Satz nicht vor, wird das Ganze einfach noch mal mit dem nächsten Benutzernamen probiert, der in der abzuarbeitenden Liste steht usw… Ist das ganze zu Ende haben wir wahrscheinlich etliche tausend gültige Emailadressen gewonnen.

So etwas zu programmieren ist eigentlich relativ einfach; dafür reichen schon gewisse Grundkenntnisse aus. Mal sehen wie lange Mitfahrgelegenheit.de diese Lücke noch offen lässt. Mehr als zweieinhalb Monate sind ja schon vergangen…

Wenn ich einmal Langeweile bekomme kann ich ja kurz ein Skript programmieren und so aufzeigen, was diese Lücke wirklich bedeutet…

Da wäre es praktisch, einfach die Maus von Bildschirm zu Bildschirm bewegen zu können und so mit gleich bleibenden Eingabegeräten zwei PCs ansteuern zu können. Gut dass dies mit Synergy kein Traum mehr bleibt.

Man muss lediglich auf beiden Rechnern das Tool selbst installieren und den einen als Server und den anderen als Client konfigurieren.
Die Rechner müssen sich natürlich in einem Netzwerk befinden. Dann konfiguriert man am Server die entsprechenden Zonen, in welchen der Wechsel des Rechners stattfinden soll (z.B. Maus aus dem rechten Bildschirmrand des Servers bewegen = Client. Maus zurück an linken Rand des Clients bewegen = Server, wenn Server-Rechner links und Client-Rechner rechts am Schreibtisch stehen).
Schon kann man mit einem Eingabegerät mehrere (es können auch mehr als zwei Geräte sein) Geräte bequem steuern.