diesen screenshot habe ich eben von der valess.de-site gemacht:

wenn man auf diesen link [link entfernt] klickt, kann man genau diese seite (bis jetzt, samstag 27. juni 2009) auch im original sehen. das geht, weil der valess-server eine sicherheitslücke hat.

stephan janosch hat diese krasse sicherheitslücke auf dem valess.de-server für einen derben scherz ausgenutzt und der valess-site ein rezept für soylent green-burger untergeschoben [link entfernt, screenshot hinzugefügt].

eine ähnliche sicherheitslücke hat spreeblick vor einer weile bei spiegel-online entdeckt. aus „sicherheitsgründen“ und auf bitten von spiegel-online ist dort der link und die dokumentation der sicherheitslücke entfernt worden. abgemahnt wurde spreeblick deshab nicht.

beim bundesamt für sicherheit in der informationstechnik (BSI) kann man eine studie runterladen [via] die ziemlich detailiert auf das thema „data validation“ eingeht. „data validation“ bedeutet, dass man alle eingaben die eine webapplikation entgegennimmt auf schadcode oder mögliche manipulationsversuche prüfen sollte.

Alle Daten, die von außen in die Anwendung gelangen, sind zu validieren und zu filtern. Neben den offensichtlichen Eingabedaten in Form-Variablen existieren eine Reihe weiterer Quellen. Ebenso sind Ausgaben an den Browser zu filtern, wenn dies nicht bereits durch die Inputfilterung mit abgedeckt ist. [zitat BSI-studie websec.pdf]

„data validation“ ist beispielsweise der grund, warum man in blogkommentaren nur ein kleine menge HTML-tags benutzen darf. die meisten HTML-tags werden ausgefiltert, vor allem alles, was mit javascript zu tun hat. wenn die webapplikation javascript nicht sauber ausfiltert, ist das schadpotenzial sehr hoch, vor allem für besucher der site.

genug des langweiligen technikgebrabbels. stephan janosch hat post von den anwälten von campina, bzw. valess B.V. bekommen. die anwälte meinen, dass der screenshot auf stephan janoschs blog, sowie der manipulierte link „die absoluten Rechte“ ihrer „Mandschaft“ verletzten, „namentlich den guten Ruf des Unternehmens, den eingerichteten und ausgeübten Gewerbetrieb, die Namensrechte sowie gegebenenfalls bestehende Geschmacksmusterrechte.“

die weit offen klaffende sicherheitslücke des valess-servers für einen derben scherz auszunutzen, diesen scherz (und die sicherheitslücke) zu dokumentieren sei nicht von der meinungsfreiheit gedeckt, meinen die anwälte.

da ich weiss, dass die veröffentlichung meiner meinung über die technische kompetenz der valess-anwälte und die technischischen fähigkeiten der valess-website-verantwortlichen definitiv nicht von der meinungsfreiheit gedeckt sind, sehe ich an dieser stelle von einer meinungsäusserung ab. klar ist zumindest, dass der gute ruf derjenigen die die site erstellt und technisch zu verantworten haben, unter beschuss geraten könnte.

ich finde es höchst bemerkenswert, dass „valess“, statt zügig die sicherheitslücke zu stopfen (die lücke besteht bei der veröffentlichung dieses artikels nach wie vor), erstmal die anwälte losschickt, die ihr klassisches repertoire auffahren:

• abmahnung zum wochenende verschicken, frist bis montag setzen
• einstweilieg verfügung nach dem ablauf der frist ankündigen
• finanzielle konsequenzen ankündigen, bzw. mögliche „schadensersatz“-forderungen am rande erwähnen
• extra-dicke geschütze auffahren und urheberrechtsverletzung und persönlichkeitsrechtsverletzung geltend machen

erschreckt habe ich eben festgestellt, dass es tatsächlich möglich ist, auf dem valess-server über die URL [http://www.valess.de/rezepte.aspx?Keyword=] javascript-code auszuführen. technisch ist es damit ohne weiteres möglich valess.de-besuchern damit schadcode unterzujubeln oder zur preisgabe von persönlichen daten oder passwörtern zu verleiten.

ich frage mich, ob die valess-anwälte ähnlich reagieren, wenn sie mal ausversehen die türe zu ihre kanzlei offen gelassen haben sollten und sie jemand darauf hinweist und ein foto davon veröffentlicht. erst mal zuschlagen, statt kurz zu reden oder besser: jemanden fragen der sich mit sowas auskennt?

[via rivva]

[nachtrag 28.06.2009]
je länger ich darüber nachdenke, desto unverständlicher wird es für mich, dass campina dieses problem juristisch, statt technisch zu lösen versucht. eigentlich ist es erschreckend, dass ein unternehmen, das lebensmittel mit enormen technischem aufwand produziert, bei einem technischen problem so reagiert.

die valess-site ist so programmiert, dass sie es erlaubt beliebige inhalte anzuzeigen und wenn es jemand tut geht man gegen den vor? für mich ist das vergleichbar mit einer hausverwaltung, die feueralarm-melder ohne glasscheiben in einem kindergarten montiert und dann gegen die kinder vorgeht, die die alarm-knöpfe drücken. natürlich könnte man eine palette mit bierkästen offen und ungesichert auf einem volksfest lagern, statt in einem gesicherten lager. aber könnte es nicht sein, dass man sich dann lächerlich macht, wenn man juristisch gegen den scherzbold vorgeht, der eine haftnotiz mit der aufschrift „freibier“ dran klebt? natürlich brauchen kuhweiden nicht unbedingt zäune zu haben, aber ist es dann klug juristisch gegen die weggelaufenen kühe vorzugehen?

der von campina beauftragte jurist hat eines ganz richtig erkannt, es geht um „den guten Ruf des Unternehmens“, denn gerade unternehmen aus dem lebensmittelbereich sind darauf angewiesen, dass die konsumenten ihnen vertrauen. konsumenten vertrauen ihren produktionsabläufen, der qualitätskontrolle und dass die produkte unter optimalen und besten hygienischen bedingungen entstehen und dass bei technischen problemen oder problemen mit den rohwaren kompetent und sachkundig — und nicht juristisch — reagiert wird. fehler und fehleinschätzungen können vorkommen, aber als konsument möchte ich mich, gerade wenn es um lebensmittel geht, darauf verlassen können, dass adequat reagiert wird.

bei campina habe ich derzeit noch nichteinmal das gefühl, dass das problem als ein hausgemachtes erkannt wurde.

[nachtrag 30.06.2009]
stephan janosch hat ein bisschen auf der seite in der er das soylent-green-burger-rezept dokumentierte rumeditiert, bezüge auf die marken gelöscht, den fullquote der unterlassungserklärung gelöscht und offenbar freundlich mit dem anwalt von campina telefoniert:

Seit Montag stehe ich in mehr oder weniger regelmäßigen Kontakt mit den Anwälten von Campina. Zusammenfassend ist deren Wunsch, dass im Originalartikel jeglicher Bezug zu Campina verschwindet und die Sache in einem Vergleich endet. Ich brauch nix unterschreiben und nix zahlen. Eine Dokumentation des Vorgangs hier auf dem Blog muss nicht unterbleiben. Der Umgangston ist freundlich und entspannt.

die sache mit der abmahnung, bzw. unterlassungserklärung scheint sich in einen vergleich aufgelöst zu haben. die sicherheitslücke besteht aber offenbar weiter. was ich jetzt erstaunlicher finden soll, weiss ich noch nicht.

[nachtrag 01.07.2009]
die lücke auf dem valess-server scheint geschlossen worden zu sein.