Roberts Kolumne

Roberts Kolumne ist eine Kolumne im klassischen Sinne, mit der Möglichkeit, „Leserbriefe“ zu hinterlassen: Definitiv subjektiv, sanft satirisch und gerne auch mal populistisch.

Einträge

Antwort von der FDP: Beer-Problem beseitigt

Eingestellt am 30. August 2006 um 16:53 Uhr » Netz-Notizen Sicherheit

Anscheinend haben meine beiden ermahnenden Mails an Frau Beer (… in ihrem eigenen Interesse die genannte Sicherheitslücke umgehend zu schließen) und an die hessische FDP (Sollte ich von ihnen binnen einer Woche keinerlei Antwort erhalten […], gehe ich davon aus, dass sie damit einverstanden sind, dass ihre Webseite in Beispielen für schlechtes Webdesign […] genannt werden kann.; siehe auch Zweifel an der Kritikfähigkeit der hessischen FDP) Wirkung gezeigt: Heute bekam ich vom Pressesprecher mitgeteilt:

Sehr geehrter Herr Bienert,

besten Dank für Ihren Hinweis, der uns zum Erkennen eines Mangels bei unserem Internetauftritt führte. Unsere Agentur arbeitet an der Beseitigung, das gilt auch für die Agentur der Seite von Nicola Beer, die Sie ja auch angeschrieben haben.

Mit freundlichen Grüßen,

Dr. Dirk Engel
Pressesprecher
der FDP-Fraktion
im Hessischen Landtag

Daraus lässt sich auf jeden Fall schon einmal erkennen, dass die Fraktion insofern zusammenarbeitet, dass ich dort kein Unbekannter mehr bin (hm, ich weiß nicht, ob dies positiv ist). Weiterhin hat die FDP ihren Internetauftritt bis jetzt noch nicht überarbeitet, während die Sicherheitslücke auf Frau Beers Webseite praktisch geschlossen ist. Das Problem dort war der ungeprüfte URL-Parameter backURL, über den sich beliebiger HTML- und JavaScript-Code im Kontext ihrer Seite ausführen ließ. So war es mir möglich, den netten Screenshot unter Nicola Beer doch gegen Studiengebühren zu schießen: Mit ein bisschen JavaScript war das FDP-Logo durch unser Protest-Logo ersetzt.

Eines bleibt aber: Man kann weiterhin dem Zurück-Link eine fremde URL unterjubeln, sofern sie keine Protokoll-Angabe enthält: Beginnt eine Link-URL mit // gefolgt von einem Hostnamen, kann man so das „Beer-enland“ verlassen.

Und ich dachte gestern schon, nachdem die gröbste Sicherheitslücke mit addslashes() „abgedichtet“ wurde, man wolle sich gar nicht bei mir bedanken. Andererseits: Das hätte ein schöner Beratervertrag werden können ;-)

Kommentare

Dein Kommentar

… wird moderiert

Wie benutze ich BBcode?


 

. Bis auf den Kommentartext sind alle Angaben freiwillig, neben dem Zeitpunkt des Kommentars werden keine weitere Daten gespeichert. Weitere Informationen findest du in der Datenschutzerklärung.

Informationen

XML - Fullpost XML - Summary RSS 2.0 - Kommentare
↪ Aktuelles von dieser Seite per RSS Feed. Mehr darüber erfahren Sie auf der Seite von Alp Uçkan.