24.938 Polizisten unfreiwillig *Online*

naja du tust dir dann einfach leichter wenn du an diverse, natürlich seriöse, firmen die kundendaten verschacherst. selbstverständlich völlig legal, und da das geld dann oft praktischerweise in einem plastiksackerl daherkommt und du es dann unter der matratze bunkerst braucht man es netterweise auch der steuer nicht sagen. oder so oder irgendwie halt.

 

Ist doch wahr , auf der einen Seite scheisst sich ein jeder wegen der öffentlichen Daten im Internet an und auf der anderen Seite sinds alle geil auf diverse Kundenkarten



@Kinderstube ein paar Geheimagenten sind schon unter meinem FBFreunden , nur sind die so geheim, dass sie es nicht veröffentlichen , sondern Undercover arbeiten!

 

Und schon wieder...

http://www.kleinezeitung.at/nachric...tria-veroeffentlichte-neue-daten-saetze.story

 

Du brauchst mir das nicht zu erklären. Ich habe den Fachmann an der Seite.

Und interne Netzwerke hat wohl jede Firma, die Frage ist nur, warum man Server mit solchen Daten ans Internet hängt (und diesbezüglich habe ich über meinen Mann einige wahnwitzige Ideen mitbekommen: zB die komplette Buchhaltung einer Firma am Webspace der Firma, so ganz neben dem index.html )

Und ich denke nicht, dass die über ein zu knackendes Passwort hinein kommen, da gibt es ganz andere Methoden.

 

Mein Nachbar heute in der Früh:
Guten Morgen xxxxxxxx, du weisst, du und dein Mann stehen auch auf der Liste, so wie ich übrigens auch!

Tja, da kann man ganz schnell putzmunter sein .

 

AUF?biggrin:

 

brauchst dich nur auf der HP des "Vereins" (nachdem du ja auch selbst betroffen bist, weisst ganz sicher welchen ich meine) einloggen, da steht es ganz gross.
Sie geben bekannt, dass es ihre Datendateien waren.

lg Flocke

 

Der Kandidat hat 100 Punkte

lg Flocke

 

Tja - so einfach ists nicht.

Ein Verein wird wohl alles nach bestem Wissen und Gewissen alles tun, um seine Daten zu schützen. Hat aber in der Regel keine Ahung, wie das funktioniert, und wird ein Mitglied oder eine Firma beauftragen, eine Datenbankapplikation zu bauen.

Und da hat man jetzt verschiedene Möglichkeiten. Ich kann zB den Microsoft CRM-Server nehmen, ich kann eine eigene Lösung programmieren, ich kann eine Open Source-Software nehmen, etc.
Also - die Kostenbandbreite beläuft sich auf zwischen nix und 3,4000 Euro. Jetzt wird wohl meist die billigere Lösung die gewählte sein, und die ganze Applikation läuft dann auf einem billig-billig-ich-hoste-dir-dein-web-für-3-Euro-im-Monat-mit-MySQL-und-PHP-Provider.

Und damit hab ich gleich 2 Schwächen auf einmal - bei Billig-Provider bin ich auf die Webserverkonfiguration des Providers angewiesen. So Sachen wie Directory-Browsing sind da meist nicht verhindert, oder ISAPI-Filter, die nur bestimmte Dateitypen direkt an den Client durchlassen.

Wenn ich jetzt noch eine Open-Source-Software einsetze, wo der Bösewicht weiß, dass in /inc/dbconfig.ini (oder sonstwas) der Benutzername und das Kennwort für die (lokal laufende!!!) Datenbank gespeicehrt ist, man nur diese Daten ansehen muß und schwuppdiwupp hat man Zugriff auf alle Daten.

Nimmt man eine Eigenentwicklung ist man schon durchaus sicherer, Lücken haben sie aber dennoch viele.

Bei einer kommerziellen Lösung hingegen, fährt man weit sicherer. Kostet aber ein paar Euro mehr.

Tja - aber wem nacht man jetzt den Vorwurf?
Dem Verein, der technisch 0 Ahnung hat?
Dem "Webdesigner", der einen VHS-Kurs hat und keine fundierte Ausbildung?
Leuten, die Personen mit 0 Ahnung von Sicherheitskonzepten ein Programmierer-"Diplom" geben?

Ich weiß es nicht.

 

Ich sehe das Ganze ein bissi positiv, denn es passiert ein bissi ein Umdenken.
Das, was bei uns so üblich ist, ist ein ziemlicher Pfusch.
Ich meine, welcher hinverbrannte Volldepp schickt dem Roten Kreuz 600.000 Datensätz in eienr ZIP-Datei, damit die nachsehen können, ob jemand versicehrt ist oder nicht?

Sowas löst man mit einem Webservice, wo über http die Versicherungsnummer und das Geburtsdatum übermittelt wird oder der Name oder was auch immer und das Webservice sagt "ja" oder "nein" - und sonst nix.

So funktioniert Software mit korrekter Architektur dahinter. In Schichten. Niemals darf das Frontend direkt auf die Datenbank zugreifen. Ist aber in 90% der verwendeten Programme und Webapplikationen so üblich - allzuoft auch, weil man sonst sich ein bissi bemühen müßte, und mal ein paar Tage Arbeit investieren muß, ohne daß man einen produktiven Fortschritt erkennen kann.

Datenbank(such)abfragen müssen geprüft werden, bevor sie auf die Datenbank losgelassen werden - oder man verwendet ADO.NET und SQL-Parameter. Auch das macht keiner.

Gut 1/3 der Open Source-Web-Lösungen verwenden das Standard-Admin-Passwort. Keiner ändert es. Man muß nur nachsehen, wie das Standardpaßwort lautet und schwuppdiwupp ist man mit admin/1234 oder admin/password drinnen.

Niemand kümmert sich um die Sicherheit daheim. Das perfekt geschützte Rechenzentrum nützt nix, wenn ein Mitarbeiter, der ein paar Rechte hat, daheim mit offenem WLAN internet surfen geht oder sich leicht einen Trojaner einschleusen läßt, wenn man ihm eine Mail mit "schau mal, geile Brüste!" schickt...
Und über den PC eines Mitarbeiters kommt man dann ganz leicht in die Firma rein.

HP ist die einzige Firma, wo man bei Servicefällen von PCs die Festplatte behalten kann. Was geschicht mit den anderen Rechnern´, die man eingeschickt werden müssen?

und und und und und.