Am Donnerstag, 20. Dezember 2007 schrieb Martin Schmitt: > Michael Bischof schrieb: > > Tja, es ist meist erst dann spannend wenn man in die Details geht. > > Leck mich fett. Danke für die Hintergrundinfos.
Gerne! Darf es mehr sein? Denn das entwickelt sich zu einem richtigen kleinen Skandal, nicht zuletzt aufgrund des üblichen neoliberalen ,,ÖPP''-Gehalts des Projekts: http://perforin.coderz-heaven.de/index.php?m=12&y=07&d=05&entry=entry071214-164013 schreibt unter Anderem: ,,Man könnte das als Trojaner der Regierung bezeichnen SkyOut, ein bekannter der Szene, hat auf seiner Seite (smash-the-stack.net) einen Artikel zu dem Projekt FragFinn.de gepostet. In dem heisst es dass die Userbar als Trojaner der Regierung fungieren könnte! Hier einige Aufzählungen was die Userbar so tut: 1. Die Toolbar umgeht lokale Proxysettings, ohne dass der User das bemerkt. 2. Sie erfasst Daten und sendet diese an einen entfernten Server, wo sie aufgezeichnet werden können. Auch das wird dem User nicht mitgeteilt. 3. Sie erlaubt den Websites Dritter, Cookies zu setzen, die jahrelang gültig sein können. Dabei agiert die Toolbar als Proxy, die Cookies für die Quellseite setzt. Interessant dabei: wenn die Quellseite bisher (beispielsweise per Adblocker) gesperrt war, wird das ignoriert und umgangen. 4. Alle Sicherheitsfeatures können mit einem einfachen Script umgangen werden, die Config-Files sind ungeschützt. Eine einfache Malware könnte alle Features (der Toolbar, Anm. K.) heimlich nutzen und der User würde davon nichts bemerken. Hier noch der englische Text von SkyOut: What more to say? Even if we forget all the problems above, we still have more to show here. The sites, that are in the whitelist of "fragFINN" are not even secure by themselves, they are vulnerable to XSS and IFrame Spoofing. According the press information (see link above) these sites should be secure and not harmful for children. Here is the list we made to proove this up to now: [LIST] In our opinion it is a clear violation of the german fundamental law and therefore it was our responsibility to bring this to public the Full-Disclosure way. And a last question: Is this the way our government wants to install a trojan horse for online observation? Think about it! Danke SkyOut!'' http://www.politik-digital.de/quotein_netz_für_kinderquot http://strcat.de/blog/categories/14-PolitikPresse http://wdrblog.de/joergschieb/archives/2007/11/ein_netz_fur_ki.html http://meskalinopolis.de/?p=229 http://paedblog.de/category/verlinkt/ Gruß, Michael Bischof
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
