Veni, Vidi, VISA

Das war meine Frage an den Admin und zugleich Webmaster als ich die Webpräsenz der Firma (die, für die ich grad im Keller rumkollabiere) im IE des Laptops gesehen habe der hier rumsteht. Seine Antwort darauf war "Jo.. war 'ne scheiss Arbeit das Ding so gekonnt zu vermurksen. Dafür sieht sie unter lynx gut aus und aus unserer Firma .".
Ich glaub den hänge ich mal an die Liste der anderen BOfH an. Ich mag ihn..

(via Mail)

http://www.gulli.com/news/fragfinn-trojaner-auf-2007-12-13/

Mit gutem Willen könnte man sagen, dass die "Kinder-Suchmaschine" Fragfinn.de schlicht mit einer schlampig programmierten IE-Toolbar aufwartet, die dazu gedacht ist, das Surfverhalten der Kinder mit Black- und Whitelists abzugleichen, dabei aber eine Reihe von Sicherheitslücken aufreißt. Etwas paranioder gedacht fragt man sich, wie eine sensible, von "der Bundesregierung ... sowie Unternehmen und Verbänden aus der Telekommunikations- und Medienbranche" getragene Software sich Patzer erlaubt wie ohne Hinweis das Surfverhalten an Server zu übertragen, Cookies fremder Seiten nach Belieben zuzulassen und Malware per Script Zugriff auf alle diese Möglichkeiten zu geben.

Denn all das macht die externer Link in neuem Fenster IE-Toolbar für Fragfinn.de möglich. En Detail:

1. Die Toolbar umgeht lokale Proxysettings, ohne dass der User das bemerkt.
2. Sie erfasst Daten und sendet diese an einen entfernten Server, wo sie aufgezeichnet werden können. Auch das wird dem User nicht mitgeteilt.
3. Sie erlaubt den Websites Dritter, Cookies zu setzen, die jahrelang gültig sein können. Dabei agiert die Toolbar als Proxy, die Cookies für die Quellseite setzt. Interessant dabei: wenn die Quellseite bisher (beispielsweise per Adblocker) gesperrt war, wird das ignoriert und umgangen.
4. Alle Sicherheitsfeatures können mit einem einfachen Script umgangen werden, die Config-Files sind ungeschützt. Eine einfache Malware könnte alle Features (der Toolbar, Anm. K.) heimlich nutzen und der User würde davon nichts bemerken.

So hakin9-Autor Marcell Dietl aka skyout. Sein Fazit: "Man könnte das als Trojaner der Regierung bezeichnen." Plus die rhetorische Frage, ob da in der Vergangenheit nicht irgendwas über gewisse "Bundestrojaner" geredet worden sei?

Nebenbei seien die Seiten auf der FragFINN-Whitelist aus Security-Sicht extrem schlampig ausgesucht, denn jugendschutz.net, barbie.com und - oh, die Ironie - fragfinn.de sind anfällig für Cross-Site-Scripting-Attacken. Plus einige weitere Sites, die von FragFinn als kindertauglich kategorisiert werden.

Dass von der Regierung geförderte IT-Projekte gelegentlich fatale Fehlschläge hinnehmen müssen, ist nichts neues - und mit eben 1,5 Millionen Förderung aus öffentlichen Geldern spielt FragFinn und das Zielseiten-Umfeld der Suchmaschine trotz offensichtlicher Überflüssigkeit nicht einmal in einer Liga mit diversen Großprojekten. Insofern - Inkompetenz und fehlender technischer Sachverstand sollten frei nach dem Motto "Man muss nichts mit Bösartigkeit erklären, was auch durch Dummheit erklärt werden kann" eher als Ursache angenommen werden als den Versuch, mutmaßliche Terroristen via Kinderschutz-Toolbar auszuspionieren. Dem Vertrauen in staatliche IT-Projekte dürfte einmal mehr jedoch massiver Schaden zugefügt worden sein. Bereits der CCC-Aprilscherz vom Bundestrojaner in der Steuer-Software ELSTER klang vielen zu realistisch, um an einen Scherz zu denken.

Und ob der Rechner dann mit staatlich geförderter Software absichtlich ausgeschnüffelt wird oder sich diverse Blackhats einfach die Lücken im System zunutze machen, spielt am Ende vermutlich auch keine große Rolle mehr.

Fragfinn.de ist per HTTP momentan nicht zu erreichen, der Server pingt immerhin noch.

Mitleid oder mich aufregen? Nein. Wieso auch?! Wer den Internet Explorer nutzt, verdient nichts anderes als solche Scheisse. Lernen durch Schmerz. Aber IE-Luser sind so schmerzresistente Vollpfosten, die merken sowieso gar nichts mehr.

In den Kommentaren werden jetzt innerhalb von BBCode und Geshi Tags keine <br /> mein eingefuegt. Das Plugin NL2BR von S9Y muss naemlich nach allen anderen Textformatierungsplugins stehen (und nicht davor).

Der "sticky" Header wird von Videoclips nicht mehr ueberscrollt. In de.comm.infosystems.www.authoring.misc wurde mir

<param name="wmode" value="transparent" />

vorgeschlagen was auch funktioniert. Zumindest zum Teil. Einzige Ausnahme (sofern ich sagen kann) ist Opera unter Linux/Unix; da wird das Flash noch immer ueber den Header gescrollt, wobei es mit Opera unter Windows funktioniert wie erwartet. Videos werden hier also in Zukunft mit

<div style="text-align:center">

<object type="application/x-shockwave-flash" style="width:425px; height:350px" data="http://www.youtube.com/v/qUUzBsE3rz0">

<param name="movie" value="http://www.youtube.com/v/qUUzBsE3rz0"></param>

<param name="wmode" value="transparent" /> </object></div> 

Die Suche ist jetzt nicht mehr in der Navbar, sondern oben in der linken Tabelle; das Ding waer zwar in der Navbar besser aufgehoben, aber da versaut es mir das Layout der Navbar.

Der Footer ist noch nicht ganz durchgehend, was daran liegt das im CSS der Eintrag

.sfc1 {color:inherit; background-color: #fff; padding-top:78px; margin-left:-40px; margin-right:-20px; }

zu finden ist. Der und die Tatsache das ich (noch) keine Ahnung von Smarty habe, sorgen fuer das mit dem Footer und dem Rand auf der rechten Seite. Wenn ich mehr Zeit habe erstelle ich mein eigenes Template; es sei denn jemand fuehlt sich dazu berufen die index.tpl umzuschreiben.

Ueber ein IE only CSS mache ich mir keine Gedanken und habe auch nicht vor eins zu erstellen. Wer den Internet Explorer nutzt ist Schmerzen gewohnt und kommt sicher auch mit Darstellungsfehlern zurecht (wie z. B. fehlendes opacity).

Dieses Blog ist validiertes CSS3 und ebenso validiertes XHTML 1.0 Transitional. Ich habe nicht die geringste Ahnung was die Fehlermeldung auf dem linken Screenshot bedeutet (welche man bekommt, wenn man auf das Ausrufezeichen im gelben Dreieck links unten im IE7 klickt). Ich kann nichts dafuer das der Internet Explorer 7 in der linken Seitenleiste unter Kategorien vor den Icons anscheinend Pfeilspitzen anzeigt (welche man auf dem rechten Screenshot sieht) oder das der IE7 das CSS3-Tag opacity (wird in den Buttons im Footer dieses Blogs genutzt) nicht anzeigt.
Und - man verzeihe mir die Wortwahl - es ist mir auch scheissegal! Ich werde auch keine JavaScript/CSS-Hacks schreiben, um das Problem zu beheben. Das Problem ist naemlich nicht das HTML/CSS-Gemurkse dieses Blogs, sondern der Internet Explorer. Auch das allseits sogern genutzte Argument "Aber ich muss den IE nutzen, weil ich in der Firma keinen anderen Browser installieren darf!" interessiert mich nicht. Ihr muesst den Internet Explorer nutzen? *schulterzuck* Dann findet euch mit diesen Fehlern ab. Ihr wollt den Internet Explorer nutzen? Dann seid froh das ich noch keine Browserweiche nutze die IE7-Nutzer auf microsoft.com weiterleitet. Verwendet andere Browser wie Firefox oder meinetwegen auch Opera, aber geht mir mit IE7 aus dem Weg. Allein die Tatsache das man Windows neu starten muss, nachdem man von IE6 auf IE7 aktualisiert hat, zeigt mir den angeborenen Masochismus von Windows-Usern!

http://whyfirefoxisblocked.com/ (local copy)
You've reached this page because the site you were trying to visit now blocks the FireFox browser.

(via Qbi)

<meta name="GENERATOR" content="Microsoft FrontPage 4.0">

<meta name="ProgId" content="FrontPage.Editor.Document">

Besonders witzig finde ich aber den Satz hier:

Millions of hard working people are being robbed of their time and 

effort by this type of software. 

Ich wusste schon immer das Firefox-User schuld am Zusammenbruch der Wirtschaft sind! Die und Nutzer von Privoxy und allen Webproxys mit Filterfunktion. Und logischerweise auch Anwender des IE7 incl. einem Pop-Up Blocker - Addon. Und selbstverstaendlich auch die Hersteller von Routern, welche Inhalte filtern koennen. DENKT DOCH AN DIE ARMEN WEBDESIGNER VERDAMMT!!!!111!