valess.de hat ne si­cher­heits­lü­cke und mahnt ei­nen blog­ger ab

felix schwenzel

die­sen screen­shot habe ich eben von der valess.de-site ge­macht:

wenn man auf die­sen link [link ent­fernt] klickt, kann man ge­nau die­se sei­te (bis jetzt, sams­tag 27. juni 2009) auch im ori­gi­nal se­hen. das geht, weil der valess-ser­ver eine si­cher­heits­lü­cke hat.

ste­phan ja­nosch hat die­se kras­se si­cher­heits­lü­cke auf dem valess.de-ser­ver für ei­nen der­ben scherz aus­ge­nutzt und der valess-site ein re­zept für soy­lent green-bur­ger un­ter­ge­scho­ben [link ent­fernt, screen­shot hin­zu­ge­fügt].

eine ähn­li­che si­cher­heits­lü­cke hat spree­blick vor ei­ner wei­le bei spie­gel-on­line ent­deckt. aus „si­cher­heits­grün­den“ und auf bit­ten von spie­gel-on­line ist dort der link und die do­ku­men­ta­ti­on der si­cher­heits­lü­cke ent­fernt wor­den. ab­ge­mahnt wur­de spree­blick des­hab nicht.

beim bun­des­amt für si­cher­heit in der in­for­ma­ti­ons­tech­nik (BSI) kann man eine stu­die run­ter­la­den [via] die ziem­lich de­tail­iert auf das the­ma „data va­li­da­ti­on“ ein­geht. „data va­li­da­ti­on“ be­deu­tet, dass man alle ein­ga­ben die eine web­ap­pli­ka­ti­on ent­ge­gen­nimmt auf schad­code oder mög­li­che ma­ni­pu­la­ti­ons­ver­su­che prü­fen soll­te.

Alle Da­ten, die von au­ßen in die An­wen­dung ge­lan­gen, sind zu va­li­die­ren und zu fil­tern. Ne­ben den of­fen­sicht­li­chen Ein­ga­be­da­ten in Form-Va­ria­blen exis­tie­ren eine Rei­he wei­te­rer Quel­len. Eben­so sind Aus­ga­ben an den Brow­ser zu fil­tern, wenn dies nicht be­reits durch die In­put­fil­te­rung mit ab­ge­deckt ist. [zi­tat BSI-stu­die web­sec.pdf]

„data va­li­da­ti­on“ ist bei­spiels­wei­se der grund, war­um man in blog­kom­men­ta­ren nur ein klei­ne men­ge HTML-tags be­nut­zen darf. die meis­ten HTML-tags wer­den aus­ge­fil­tert, vor al­lem al­les, was mit ja­va­script zu tun hat. wenn die web­ap­pli­ka­ti­on ja­va­script nicht sau­ber aus­fil­tert, ist das schad­po­ten­zi­al sehr hoch, vor al­lem für be­su­cher der site.

ge­nug des lang­wei­li­gen tech­nik­ge­brab­bels. ste­phan ja­nosch hat post von den an­wäl­ten von cam­pi­na, bzw. valess B.V. be­kom­men. die an­wäl­te mei­nen, dass der screen­shot auf ste­phan ja­noschs blog, so­wie der ma­ni­pu­lier­te link „die ab­so­lu­ten Rech­te“ ih­rer „Man­dschaft“ ver­letz­ten, „na­ment­lich den gu­ten Ruf des Un­ter­neh­mens, den ein­ge­rich­te­ten und aus­ge­üb­ten Ge­wer­be­trieb, die Na­mens­rech­te so­wie ge­ge­be­nen­falls be­stehen­de Ge­schmacks­mus­ter­rech­te.“

die weit of­fen klaf­fen­de si­cher­heits­lü­cke des valess-ser­vers für ei­nen der­ben scherz aus­zu­nut­zen, die­sen scherz (und die si­cher­heits­lü­cke) zu do­ku­men­tie­ren sei nicht von der mei­nungs­frei­heit ge­deckt, mei­nen die an­wäl­te.

da ich weiss, dass die ver­öf­fent­li­chung mei­ner mei­nung über die tech­ni­sche kom­pe­tenz der valess-an­wäl­te und die tech­ni­schi­schen fä­hig­kei­ten der valess-web­site-ver­ant­wort­li­chen de­fi­ni­tiv nicht von der mei­nungs­frei­heit ge­deckt sind, sehe ich an die­ser stel­le von ei­ner mei­nungs­äus­se­rung ab. klar ist zu­min­dest, dass der gute ruf der­je­ni­gen die die site er­stellt und tech­nisch zu ver­ant­wor­ten ha­ben, un­ter be­schuss ge­ra­ten könn­te.

ich fin­de es höchst be­mer­kens­wert, dass „valess“, statt zü­gig die si­cher­heits­lü­cke zu stop­fen (die lü­cke be­steht bei der ver­öf­fent­li­chung die­ses ar­ti­kels nach wie vor), erst­mal die an­wäl­te los­schickt, die ihr klas­si­sches re­per­toire auf­fah­ren:

  • ab­mah­nung zum wo­chen­en­de ver­schi­cken, frist bis mon­tag set­zen
  • einst­wei­lieg ver­fü­gung nach dem ab­lauf der frist an­kün­di­gen
  • fi­nan­zi­el­le kon­se­quen­zen an­kün­di­gen, bzw. mög­li­che „scha­dens­er­satz“-for­de­run­gen am ran­de er­wäh­nen
  • ex­tra-di­cke ge­schüt­ze auf­fah­ren und ur­he­ber­rechts­ver­let­zung und per­sön­lich­keits­rechts­ver­let­zung gel­tend ma­chen

er­schreckt habe ich eben fest­ge­stellt, dass es tat­säch­lich mög­lich ist, auf dem valess-ser­ver über die URL [http://www.valess.de/re­zep­te.aspx?Key­word=] ja­va­script-code aus­zu­füh­ren. tech­nisch ist es da­mit ohne wei­te­res mög­lich valess.de-be­su­chern da­mit schad­code un­ter­zu­ju­beln oder zur preis­ga­be von per­sön­li­chen da­ten oder pass­wör­tern zu ver­lei­ten.

ich fra­ge mich, ob die valess-an­wäl­te ähn­lich re­agie­ren, wenn sie mal aus­ver­se­hen die türe zu ihre kanz­lei of­fen ge­las­sen ha­ben soll­ten und sie je­mand dar­auf hin­weist und ein foto da­von ver­öf­fent­licht. erst mal zu­schla­gen, statt kurz zu re­den oder bes­ser: je­man­den fra­gen der sich mit so­was aus­kennt?

[via riv­va]

[nach­trag 28.06.2009]
je län­ger ich dar­über nach­den­ke, des­to un­ver­ständ­li­cher wird es für mich, dass cam­pi­na die­ses pro­blem ju­ris­tisch, statt tech­nisch zu lö­sen ver­sucht. ei­gent­lich ist es er­schre­ckend, dass ein un­ter­neh­men, das le­bens­mit­tel mit enor­men tech­ni­schem auf­wand pro­du­ziert, bei ei­nem tech­ni­schen pro­blem so re­agiert.

die valess-site ist so pro­gram­miert, dass sie es er­laubt be­lie­bi­ge in­hal­te an­zu­zei­gen und wenn es je­mand tut geht man ge­gen den vor? für mich ist das ver­gleich­bar mit ei­ner haus­ver­wal­tung, die feu­er­alarm-mel­der ohne glas­schei­ben in ei­nem kin­der­gar­ten mon­tiert und dann ge­gen die kin­der vor­geht, die die alarm-knöp­fe drü­cken. na­tür­lich könn­te man eine pa­let­te mit bier­käs­ten of­fen und un­ge­si­chert auf ei­nem volks­fest la­gern, statt in ei­nem ge­si­cher­ten la­ger. aber könn­te es nicht sein, dass man sich dann lä­cher­lich macht, wenn man ju­ris­tisch ge­gen den scherz­bold vor­geht, der eine haft­no­tiz mit der auf­schrift „frei­bier“ dran klebt? na­tür­lich brau­chen kuh­wei­den nicht un­be­dingt zäu­ne zu ha­ben, aber ist es dann klug ju­ris­tisch ge­gen die weg­ge­lau­fe­nen kühe vor­zu­ge­hen?

der von cam­pi­na be­auf­trag­te ju­rist hat ei­nes ganz rich­tig er­kannt, es geht um „den gu­ten Ruf des Un­ter­neh­mens“, denn ge­ra­de un­ter­neh­men aus dem le­bens­mit­tel­be­reich sind dar­auf an­ge­wie­sen, dass die kon­su­men­ten ih­nen ver­trau­en. kon­su­men­ten ver­trau­en ih­ren pro­duk­ti­ons­ab­läu­fen, der qua­li­täts­kon­trol­le und dass die pro­duk­te un­ter op­ti­ma­len und bes­ten hy­gie­ni­schen be­din­gun­gen ent­ste­hen und dass bei tech­ni­schen pro­ble­men oder pro­ble­men mit den roh­wa­ren kom­pe­tent und sach­kun­dig — und nicht ju­ris­tisch — re­agiert wird. feh­ler und fehl­ein­schät­zun­gen kön­nen vor­kom­men, aber als kon­su­ment möch­te ich mich, ge­ra­de wenn es um le­bens­mit­tel geht, dar­auf ver­las­sen kön­nen, dass ade­quat re­agiert wird.

bei cam­pi­na habe ich der­zeit noch nicht­ein­mal das ge­fühl, dass das pro­blem als ein haus­ge­mach­tes er­kannt wur­de.

[nach­trag 30.06.2009]
ste­phan ja­nosch hat ein biss­chen auf der sei­te in der er das soy­lent-green-bur­ger-re­zept do­ku­men­tier­te rum­e­di­tiert, be­zü­ge auf die mar­ken ge­löscht, den full­quo­te der un­ter­las­sungs­er­klä­rung ge­löscht und of­fen­bar freund­lich mit dem an­walt von cam­pi­na te­le­fo­niert:

Seit Mon­tag ste­he ich in mehr oder we­ni­ger re­gel­mä­ßi­gen Kon­takt mit den An­wäl­ten von Cam­pi­na. Zu­sam­men­fas­send ist de­ren Wunsch, dass im Ori­gi­nal­ar­ti­kel jeg­li­cher Be­zug zu Cam­pi­na ver­schwin­det und die Sa­che in ei­nem Ver­gleich en­det. Ich brauch nix un­ter­schrei­ben und nix zah­len. Eine Do­ku­men­ta­ti­on des Vor­gangs hier auf dem Blog muss nicht un­ter­blei­ben. Der Um­gangs­ton ist freund­lich und ent­spannt.

die sa­che mit der ab­mah­nung, bzw. un­ter­las­sungs­er­klä­rung scheint sich in ei­nen ver­gleich auf­ge­löst zu ha­ben. die si­cher­heits­lü­cke be­steht aber of­fen­bar wei­ter. was ich jetzt er­staun­li­cher fin­den soll, weiss ich noch nicht.

[nach­trag 01.07.2009]
die lü­cke auf dem valess-ser­ver scheint ge­schlos­sen wor­den zu sein.