DAU-Alarm!


Ursprünglich wollte ich den Beitrag ja mit www.doof.de betiteln – bis ich feststellte, daß die Axel Springer AG sich diese Domain gekrallt hat… Ob das in einem Anflug von Selbstkritik wegen der vom Springer-Verlag verzapften BLÖD-Zeitung passiert ist – darüber spekuliere ich hier lieber nicht. ;o) ;o) ;o)

Aber lassen wir die BILD-Zeitung, ihrer Verantwortlichen und deren Leserschaft heute mal in Ruhe. Daher habe ich vorsichtshalber einen anderen Titel gewählt, der in etwa das Gleiche aussagt wie ”Achtung – Vollpfosten im Netz”.

Bevor man uns jetzt Arroganz unterstellt: Natürlich haben auch wir die Weisheit nicht mit Löffeln gefressen. Das Leben ist ein endloser Lernprozess – vieles, was wir damals nicht wußten, wissen wir jetzt; und ein Teil von dem, was wir heute nicht oder nicht richtig wissen, wissen wir vielleicht später mal irgendwann – und vielleicht sogar richtig. Wer weiß…

Wie gesagt – wir wissen ja auch nicht alles. Allerdings kannten wir bisher eigentlich immer unsere Grenzen. Einen Online-Shop zu programmieren oder ohne fachmännische Hilfe zu betreiben, wäre uns nie eingefallen, wenn unser Know-How nur aus 1 Zeile PHP-Code bestünde oder ähnlich umfangreich wäre.

»Ah – Erkenntnis!  Erleuchtung! Es gibt ja Internetz! Dann spiele ich jetzt “Online-Shop”… Mein Nachbar kann Frontpage und installiert mir bestimmt einen Shop…« So oder ähnlich scheinen manche Leute ins Netz gelangt zu sein. Die haben alles Mögliche – vom Sockenschuß über der berühmten Knall bis hin zum totalen Sprung in der Schüssel – aber eben null Hintergrund, keine Ahnung – und erst recht keinen Plan, was irgendwelche grundlegenden Abläufe im Netz betrifft. (Leider. Denn andere müssen unter dieser Dummheit leiden – z.B., weil ihnen deswegen eine STRAFANZEIGE ins Haus flattert…)

Großkotzig, oder? Mag sein. Vielleicht ein bißchen.  Aber wenn wir irgendwelche Zusammenhänge nicht kennen oder nicht deuten können, dann sind wir wenigstens so intelligent und FRAGEN bzw. RECHERCHIEREN, wenn uns etwas spanisch vorkommt. Doch worum geht es genau?

Man stelle sich einmal vor, es gäbe keine HTML-Formulare. Man wäre gezwungen, sämtliche Sachen per GET zu übergeben, so daß man entsprechende URIs um einen QueryString erweitert, indem man Parameter bzw. Wertepaare anhängt. So kann ich dann aus einer 1 eine 5 nachen, aus einer Pfanne einen Topf – oder eben 232 andere Töpfe.

Dann noch schnell ein &mode=add  vorn oder hinten ran – und schon landet meine neue Küchenausstattung im Warenkorb. Natürlich geht das. Und vor allem schnell und unkompliziert. Wozu also die doch existenten Formulare, geschweige denn POST nutzen? Per Adreßzeile ist alles ja “viiiiiiiiiiiel schönerer”.

Also pflastert man die “Shop-Seite” mit Links auf kryptische URLs zu. Meier, Müller, Schulze, Lehmann, Hinz und sogar der jetzt an dieser Stelle von allen Lesern erwartete Kunz können sich nun endlich 3 Zwergkaninchen oder einen Wolf klicken. Ebenso der Stino-Surfer und Otto-Normalverbraucher. Jippieh – Click-Attack!

Aus Gründen der Emazipation haben  sich Conny Crawler, Susanne Spider und Ricarda Robot aber nun gesagt: “Das wollen und können wir auch!” In Ermangelung von Fingerchen wird zwar nicht auf irgendwelchen nicht vorhandenen Mausbuttons rumgefingert – man spart sich das Klicken – aber man folgt trotzdem den Links…

Was passiert? Wie auf einer Tupperware-Party folgt Ricarda Robot ganz bereitwillig der Einladung “Add-a-Plastikschüssel”, wobei sie also virtuell auf dem zur Partymeile gehörenden Pfad  /index.php?modul=shop&mode=add&category=kitchen&article=tupper box&items=3 lustwandelt.

Doch wie war das noch gleich? Wenn man - sei es nun durch Klicken, Folgen oder “Lustwandeln” – irgendwie auf die Seite /index…box&items=3 kommt, schmeißt der gute Geist des Online-Shops aus reiner Nettigkeit 3 Plaste-Schüsseln in den virtuellen Einkaufswagen – den Warenkorb.

Da die Betreiberin des Shops, eine gewisse Frau Vera Olldau, die auch gern mit abgekürztem Vornamen als V.Olldau in Erscheinung tritt, keine Kosten und Mühen gescheut hat, um ein hochqualitatives und ultimatives Nonplusultra-Shopsystem aufzusetzen, gibt es darin natürlich neckische Tools wie die Echtzeitanzeige von aktuell befüllten Warenkörben usw. - gleich neben dem implementierten Wetter-Ticker für Timbuktu.

Verständlicherweise hat bei einer derartigen Homeshopping-Party unsere über alles geschätzte Frau V.Olldau Dollar- bzw. Euro-Zeichen in den Äuglein. Die werden allerdings feucht (also nicht Frau V.Olldau oder die Währungssymbole – nein, die Augen…), weil auch nach Stunden keine persönlichen Daten eingegeben, keine Bestellungen ausgelöst und keinerlei Zahlungsverpflichtungen eingegangen wurden.

Kruzitürkn! Gottverdammich! Himmelarsch und Zwirn! “Die haben mich verpökert” denkt Frau V.Olldau wütend. Aber der Progger hat als zusätzliches Feature die Anzeige der IP-Adresse eingebaut… Hah! Das schreit nach Rache!

Also hin zur Polizei. “Böse Menschen”, so Frau V.Olldau, “haben meinen Online-Shop abgenutzt und meine kleinen Bits und Bytes gequält! Nur zum Spaß. Ich hatte deswegen ganz viel Fick!” Der Polizist guckt verdutzt. “Was hatten Sie?” will er wissen. “Na hier diesen – wie heißt das – ach ja, Träff-Fick. Das ist doch Computersabotage, oder?”

Der Polizist ist auch so ein Kandidat, der eine zufällig vor der Ingenieurshochschule herumliegende Leiche heimlich vor die Post legt, damit er den Bericht mit allen darin enthaltenen Wörtern auch allein schreiben kann.

Server-Logs? Bäh! Kennt man dort in dem Dorf nicht. Dort gibt es nur den Sheriff, die Post, die Hochschule und die Hütte von V.Olldau nebst Online-Shop.

Also springt unser Sheriff auf, rennt zur Wand, nimmt den Trichter ans Ohr und kurbelt. “Bitte mal die Staatsanwaltschaft, Fräulein…” Ein Fall von Coumputerterrorismus wird nach ganz oben gemeldet…

Minuten später: Der Richter wird vom Staatsanwalt aus dem Bett geklingelt! “Chef – wir haben eine IP von Computer-Saboteuren! Cyber-Kriminelle der übelsten Sorte! Terroristen!” Der Richter unterschreibt ein Formular, nachdem er ein paar Angaben eingetragen hat – und schickt seinen Kurier zur Staatsanwaltschaft zurück. Dieser reitet flugs bei Nacht und Nebel los…

Es werden alle Hebel in Bewegung gesetzt. Die Christel von der Post (!), die die Telefonleitungen zusammenstöpselt, wird verhört. Schlußendlich gibt sie die Daten heraus. Ricarda Robot hatte am 30.02.2012 um 24:69 Uhr die IP-Adresse 123.456.789.000 !!!

Wie gesagt – Logdateien auf Servern sind in den dortigen Breitengraden noch gänzlich unbekannt. Schade! Ricarda Robot benutzt nämlich keinen ordinären Stino-Browser – sie hinterläßt daher auch verräterische Spuren im Log. Sogar einen Hinweis auf eine Info-Seite ihrer Homepage. Warum also einfach, wenn man auch den Richter aus’m Bett klingeln und nachts einen Boten auf einem Pferd durch die Gegend hetzen kann…

Wäre man in der Gegend, in der Frau V.Olldau lebt, auch schon so weit wie anderswo, hätte ein Blick in die Logdatei gereicht. Dann zwei Zeilen in die robots.txt einfügen - und fertig!

Ein vernünftiges Shop-System wäre auch noch eine Möglichkeit.

Wir werden uns wohl aber damit abfinden müssen, daß sich am Technologie-Standort Deutschland jede Menge Vollpfosten im Netz tummeln. Und daß in diesem Fall überhaupt erst Daten zu irgendwelchen IPs ermittelt wurden, zeugt auch nicht unbedingt von der Qualifikation unserer Cyber-Cops…

Also: Vorsicht im Netz - es ist DAU-Alarm! Und bloß nicht irgendwelchen Links folgen – es kann ja sein, daß der Betreiber einer Seite gar nicht will, daß man einer verlinkten Seite folgt… Logisch? Klar doch. Deutschland 2013!

Ein echtes Opfer einer solchen Geschichte: SEOkicks… Die ganze Story hier: http://www.seokicks.de/news/201301/strafanzeige-gegen-seokicks-gefullte-warenkorbe-nicht-bestellt/#comments

Der vorliegende Fall läßt uns zum ersten Mal freiwillig darüber nachdenken, ob nicht sinnvoll wäre, Online-Shop-Betreibern eine Pflichtschulung “Server-Grundwissen in 3 Tagen” aufzubürden und sie nur geprüfte Shop-Systeme verwenden zu lassen…

Ein Gedanke zu “DAU-Alarm!

  1. Pingback: Turbulente Zeiten | 3SEPO@Blog

Hinterlasse eine Antwort