Datensammlung mit Facebook Like Button geht offiziell los.

Ich dachte, dass die das sowieso schon machen. Zumindest frage ich mich, ob es Twitter und Google+ auch tun. Das Prinzip ist einfach: Der Like Button ist auf einer Webseite und damit sendet dein Browser einen Request an den Facebook Server.

Dort wird gespeichert, wer du bist und was du dir anschaust. Diese Daten will Facebook nun offiziell nutzen, um Werbung genauer abzustimmen.

Demnächst kann man bei der Facebook-Werbung sagen: Ungefähr 30 Jahre alt, hat die Fanpage “Aluhut” geliked und liest regelmäßig die Webseite “Verschwörungstheorie heute” oder das Thema X.

Wie kann man das verhindern?

  1. Alle Requests zu Facebook blockieren.
  2. Facebook Account löschen und wieder Briefe schreiben.

Aufrufe zu Facebook werden z.B. in Adblock Plus mit Social Network Blocking, Privacy Badger oder HTTP Switchboard verhindert. Wer kein Facebook hat, wird logischerweise auch niemals Werbung von dort sehen.

Teilen?Tweet about this on TwitterShare on FacebookShare on Google+

Arcor.de (rXSS und altes TimThumb gefunden)

Ich hätte mir gerne den Freemailer angeschaut, aber leider ist die Registrierung deaktiviert. Das ist natürlich super schade und damit fällt ein großer Teil einfach weg, weil ich mich nicht anmelden kann. Viele Links sind kaputt oder gehen direkt zu Vodafone. Ich frage mich, was bei Arcor überhaupt noch läuft, außer die News.

Dann bin ich doch über etwas gestolpert. Eine Fehlermeldung in der URL. Damit kann ich arbeiten. Da ist zwar das Vodafone-Logo, aber es ist die arcor-Domain. Die läuft übrigens auch ein Filter, der HTML-Tags raus haut. Wenn ich sie aber nur öffnen und nicht mehr schließen, sondern einen neuen öffnen, dann macht der Browser die zu und es läuft.

<img src=xxx onerror=alert(1337) <

Reflexives Cross Site Scripting, Cookie Stealing möglich.

arcor-1
Reflexives Cross Site Scripting bei arcor.de
arcor-2
Da ist mein IMG und mein Javascript.

URL mit iFrame und Nyan Cat: https://www.arcor.de/login/sso_err_no_webbill.jsp?errortext=L%C3%84UFT+BEI+DIR+%3Ciframe%20width=420%20height=315%20src=//www.youtube.com/embed/QH2-TGUlwu4%3Fautoplay=1%20frameborder=0%20%3Ciframe

Hinweis: Chrome und IE filtern clientseitiges Cross Site Scripting.

Außerdem läuft in deren WordPress-Blog der gute TÜMMY: http://www.arcor.de/shop/info/wp-content/themes/arcor-shop/scripts/timthumb.php (TimThumb Version: 2.8.5). Ich kenne kein Exploit für diese Version, aber die Neuste ist es nicht.

PS: Auf meinen Hinweis zu diesem Problem wurde nicht reagiert.

Teilen?Tweet about this on TwitterShare on FacebookShare on Google+

Die Top 100 Websites in Deutschland hacken.

Ich brauche Ziele – und gerade habe ich welche gefunden. Ich suche Security Bugs in den Alexa 100 Websites aus Deutschland. Schlauerweise fange ich unten an und arbeite mich hoch. Alle Seiten mit Bug Bounty Programmen lasse ich erst mal weg, weil ich es auch öffentlich posten will. Außerdem gilt wie immer: Nur im Browser und nur manuell. Ich freue mich schon!

PS: Die Liste ändert sich dummerweise jeden Tag. >.<

Teilen?Tweet about this on TwitterShare on FacebookShare on Google+

Eine Wohnung in Paris mit der Unreal Engine gemacht.

Dieses Demo-Video der Unreal Engine zeigt, wie realistisch unbewegte Gegenstände aussehen können. Vor allem Licht und Schatten sind perfekt. Ich persönlich fand den Stapel Magazine im Regal nicht ganz so gut, aber ansonsten haut es einen echt weg. Die Texturen stammen sicherlich auch aus einer Kamera mit perverser Auflösung. So wie IKEA das in ihrem Katalog macht.

Teilen?Tweet about this on TwitterShare on FacebookShare on Google+

Verheerende Folgen durch Facebook- und Instagram-Ausfall.

Facebook und Instagram waren circa 40 Minuten down. Das sind die “Top News” (HAHA!). Die negativen Auswirkungen waren überall spürbar. Unsere Gesellschaft stand quasi kurz vor dem Zusammenbruch, denn es gab verheernde Folgen:

  1. WO SOLL ICH JETZT MEIN FRÜHSTÜCKSBILD POSTEN?
  2. ICH MUSS DOCH ZU MEINEM FARMVILLE!
  3. JETZT WEIß ICH NICHT, OB ES NOCH SCHNEIT!
  4. GANZE 40 MINUTEN KEINE BABYFOTOS!
  5. WIEVIELE LIKES HABE ICH FÜR DIE WEISHEIT DES TAGES BEKOMMEN?
  6. WO TEILE MEINE KATZENVIDEOS?
  7. MEIN SELFIES MUSS ICH WEGEN EUCH AUSDRUCKEN!
  8. ICH KONNTE NICHT EINEN BELEIDIGENDEN KOMMENTAR LESEN!
  9. HAT SCHON JEMAND ZENSUR GESAGT?
  10. DAS HAT DOCH ETWAS MIT DEN STREIFEN AM HIMMEL ZU TUN!
  11. MUSS ICH JETZT ZU MYSPACE?
Teilen?Tweet about this on TwitterShare on FacebookShare on Google+