Archiv für Dezember 2009

Als Bill das Web reparierte und so die Welt rettete

23.12.2009 Allgemein, Netz und Web Kommentieren

Alles hatte zwischen den Feiertagen des Jahres 2009 seinen Anfang genommen. Die Eindrücke der gescheiterten Klimakonferenz in Kopenhagen ließen Bill einfach keine Ruhe. Immer wieder stellte er sich die Frage „Was kann meine Firma für die Umwelt tun?“ Zwar hatte er sich aus dem Tagesgeschäft zurückgezogen, aber warum sollte nur seine Stiftung, nicht auch der von ihm gegründete Weltkonzern, Gutes tun?

Nachdem er sich einige Wochen in seine Garage zurückgezogen hatte (Bill hatte gehört, dass sich Garagen in den zurückliegenden Jahrzehnten als Ort der Inspiration erwiesen hatten), war ein Plan geboren. Sein Vorhaben würde zum einen der Umwelt dienen und sorgte somit für ein positiveres Image und zum anderen würde ein Geschäftszweig wiederbelebt, der einst prosperierte, zwischenzeitlich unterschätzt und vernachlässigen wurde, mittlerweile aber wieder massiv an Wichtigkeit gewonnen hatte. Sofort rief er den Mann an, der nun bereits seit 10 Jahren die Geschicke seiner Firma lenkte.

Nach einem anstrengenden Auftritt bei einer Entwicklerkonferenz, der ihn, dank des Fitnesstrainings, nicht mehr ganz so sehr körperlich mitgenommen hatte wie in den Jahren zuvor, nahm Steve B. das Telefon mit dem sauber entfernten Apfellogo aus seiner Jackentasche. Sofort fiel ihm die SMS von Bill auf, deren Inhalt später so legendär werden sollte, wie Aussprüche von Präsidenten, Astronauten und Nobelpreisträgern. „Steve, ich muss dringend mit Dir sprechen … Wir müssen die Welt retten. Komm sofort in meine Garage!“ Sofort stieg Steve in seinen Privatjet und flog nach Seattle. In der Auffahrt zu Bills Haus traf er Melinda, die gerade den zehn Zentimetern Neuschnee aus der vergangenen Nacht mit einer Aufsitzschneefräse zu Leibe rückte. „Hallo Melinda. Ist Jorge krank oder warum kümmerst Du Dich heute um den Schnee?“ „Steve, schön Dich zu sehen. Jorge ist nicht krank, er ist jetzt nur noch jeden zweiten Tag da. Bill meint, dass wir das Geld demnächst noch für sein neues Projekt brauchen werden. Am besten gehst Du gleich zu ihm, er verlässt schon seit Wochen die Garage nur wenn der Pizzabote am Tor klingelt.“

Drei Stunden und etliche von Melindas berühmten selbst gemachten Zitronenlimonaden später.

„Und Du sagst, das alles ist Dir eingefallen, als Du mit Deinem ausrangierten Notebook, das Du hier in der Garage gefunden hast, einen Artikel über den Stromverbrauch des Internets gelesen hast?“ „Ja genau. Es war noch unser Browser aus dem Jahr 2001 installiert und dann hatte ich beim Lesen den Eindruck, dass Teile des Texts fehlen würden, die aber beim Scrollen plötzlich wieder erschienen. Interessant wurde es dann, als ich diesen Open Source Browser benutzt habe, den der Nachbarsjunge auf dem Notebook installiert hat, als ich es ihm vor einigen Jahren einmal geliehen hatte. Hier sah alles völlig normal aus, wie man es erwartet.“
Steve ging einige Male nervös in der Garage auf und ab. Hatte Bill den Verstand verloren als er sich in den letzten Wochen mit diesem gefährlichen Zeug beschäftigt hatte oder was war mit seinem alten Freund los? „Aber Bill, ich verstehe nicht, was das alles mit der Umwelt und unserem Image zu tun hat.“ Bill deutet mit einer Geste an, dass Steve sich zu ihm vor den Bildschirm des antiquierten Geräts setzen solle. „Es steht alles hier im Web. Siehst Du? Hier! Hier und hier.“ „Was genau meinst Du Bill? Das sind alles Tipps, wie man moderne Webseiten auch mit den älteren Modellen unseres Browsers vernünftig darstellen kann. Das ist doch super, einige Tipps verwenden wir doch auch mit Rücksicht auf die Abteilung, die noch unser altes Intranet nutzen muss.“
In seinem Augenwinkel zuckte ein kleiner Muskel, wie er es immer Tat, wenn Bill eine brillante Idee hatte. „Verstehst Du nicht? Wir sind schuld daran, dass all diese Tricks existieren und in Millionen von Webseiten eingebaut sind. Webmaster auf der ganzen Welt verbringen Stunden damit diese Macken zu beheben. Server senden täglich Terabytes an Daten um den Globus, die einzig dazu da sind veraltete Software weiterhin benutzbar zu halten. Das alles kostet Strom und dessen Produktion verursacht CO2-Ausstoß.“ „Ach Du meinst wir sollte in die Erforschung umweltfreundlicher Technologien zur Stromerzeugung investieren?“ Bill schaute etwas enttäuscht, als er bemerkte, dass Steve noch immer nicht den Kern seines Planes erkannt hatte. „Nein Steve. Wir werden dafür sorgen, dass kein Benutzer mehr mit einem alten Browser unterwegs ist, dass kein Unternehmen aus Rücksicht auf sein Legacy-Intranet bei einem veralteten Stück Software verharren muss, dass kein Webdesigner Zeit und Strom verschwendet um irgendwelche Tricks und Hacks für eine antiquierte Technik zu implementieren und dass nicht weiter Terabytes nutzloser Daten durch die Datenleitungen dümpeln um Relikte des vergangenen Jahrzehnts in eine völlig andere technische Realität hinüberzuretten.“

Der Rest ist Geschichte: Bill hatte während der Wochen in seiner Garage, einen Wurm entwickelt, der – unter Ausnutzung einer Backdoor – sämtliche veralteten Browser nutzlos werden ließ. Zur gleichen Zeit hatte Steve veranlasst, dass in Redmond eine neue Version des Browsers entwickelt wurde, die im Hinblick auf Standards und Komfort nahezu mit der Konkurrenz gleichziehen konnte. Das Resultat dieses von verschiedenen Seiten als „Angriff auf die Souveränität des Anwenders“ bezeichneten Coups war, dass der Traffic und damit der Stromverbrauch, welcher durch Browserhacks verursacht wurde, in den Folgemonaten signifikant sank.
Wesentlich bedeutungsvoller waren allerdings die Nebeneffekte, die sich ausgehend von den technischen Möglichkeiten des Webs über einen Wandel in der Informationsverbreitung, -wahrnehmung und -verarbeitung auf ökonomische, soziale, kulturelle und interkulturelle Aspekte aller Gesellschaften auswirkten.
Bill mochte es nicht, wenn man ihm großspurig für den Weltfrieden dankte. So war seine Rede auch sehr bescheiden und zurückhaltend, als man ihm nach einigem Zögern den Friedensnobelpreis verlieh (man hatte in der Vergangenheit schlechte Erfahrung bei der vorschnellen Verleihung an einen US-Präsidenten gemacht). Melinda konnte sich wieder anderen Aufgaben widmen, denn man hatte weniger Geld für Bills Plan gebraucht als angenommen. Steve führte weiterhin die Geschäfte des Softwarekonzerns, widmete sich aber mehr und mehr der wissenschaftlichen Ausarbeitung seines Managementkonzepts, bei dem es im wesentlichen darum ging, dass der Chef sich auf öffentlichen Veranstaltungen zum Affen macht. Jorge war übrigens in seine mexikanische Heimat zurückgekehrt, da das mittelamerikanische Land einen massiven Aufschwung verzeichnen konnte. Die Arbeiten die auf Bills und Melindas Grundstück anfielen übernahmen seitdem Webworker, die massiv an Arbeitszeit und Entspanntheit gewonnen hatten, weil sie nun keine Browserhacks mehr implementieren mussten.
Die Welt lebte fortan glücklich und in Frieden … bis zu dem Tag, als der Bau einer intergalaktische Umgehungsstraße ihr ein jähes Ende setze.

Jede Ähnlichkeit mit realen Personen oder Handlungen sofern vorhanden, ist rein zufällig.

Saubere URLs I: Aber sicher doch!

17.12.2009 Merkblätter, Netz und Web Kommentieren

Saubere URLs gehören längst zum guten Ton. Zwar werden diese vom „Otto-Normal-Nutzer“ während des Surfens meist gar nicht wahrgenommen, der Vorteil von:
http://www.example.com/de/products/productname-12/details gegenüber:
http://www.example.com/index.php?section=products&show=details&id=12&lang=de wird aber spätestens bei der Verwendung in E-Mails, SMS oder auf Papier deutlich. Selbst dem ein oder anderen Internetausdrucker dürfte hierbei auffallen, dass es eben auf die Länge und die Technik ankommt.

Neben rein ästhetischen und die Optimierung für Benutzer und Suchmaschinen betreffenden Aspekten können saubere URLs auch einen gewissen – wenn auch geringen – Sicherheitsvorteil gegenüber Ihrem Pendant im 90er-Jahre-Stil bieten. Letzterer liefert gegebenenfalls schneller Informationen über den internen Aufbau der Web-Applikation und bietet somit einen zusätzlich Ansatzpunkt für Angriffe, sofern entsprechende Schwachstellen in der Anwendung existieren. So könnte, hinter den oben genannten Beispiel-URLs die gleiche Anwendung laufen, allerdings geht nur aus der zweiten Adresse hervor, dass es sich um eine PHP-Anwendung handelt (Das Wissen über die verwendete Skript- oder Programmiersprache ermöglicht unter Umständen grundlegende Annahmen über den Aufbau der Applikation und könnte daher für einen Angriff relevant sein.). Darüber hinaus offenbart die zweite URL-Adresse über die GET-Parameter gegebenenfalls die Namen der verwendeten Variablen und zum Teil auch deren Funktion innerhalb der Applikation. Sofern im ersten Beispiel die expose_php-Direktive in der php.ini deaktiviert ist, lässt sich ohne Weiteres nicht herausfinden, dass PHP im Spiel ist und ein Rückschluss auf Variablennamen ist nicht möglich.

Sicherlich handelt es sich hierbei nur um „Securiy through obscurity“ und den Daten die vom Benutzer kommen – also neben Cookies und POST-Daten auch den GET-Parametern – sollte man grundsätzlich mit dem nötigen Misstrauen begegnen. Eine zusätzlich Hürde für potentielle Angreifer kann jedoch nie schaden.

Nach diesem mehr oder weniger allgemeinen Vorgeplänkel, schneidet der zweite und letzte Teil der Kurzreihe mögliche Sicherheitsvorteile bei der Verwendung von mod_rewrite im Gegensatz zu einer PHPRewrite-Engine an und setzt sich mit der Frage auseinander, an welcher Stelle in der Webapplikation das Umschreiben der URL denn eigentlich stattfinden sollte.

Zum Seitenanfang