Nachtrag 03.06.2011. Clickjacking.
Beispiel mit der Webseite von BM Roland Kern.

Clickjacking. Beispiel mit der Webseite von Bürgermeister Roland Kern.29.05.2011 ( KOD ) Bei einem Kommentar zu dem Thema Clickjacking am Beispiel der Sparkasse bin ich gebeten worden, ein besseres Beispiel zu bringen.

!!BEISPIELE FUNKTIONIEREN MIT DEN AKTUELLEN BROWSERN NICHT MEHR!!

Ein Beispiel zum Anfassen.
Der Wunsch des Lesers sei mir Befehl. Mit der heissen Nadel habe ich da ein Beispiel gestrickt. Ich will NUR die Möglichkeit aufzeigen und nicht einige Stunden in eine perfekte Seite investieren.

Lesen Sie unbedingt den Nachtrag vom 30.05.2011 ganz unten

Das Beispiel funktioniert NICHT mit den IE8 und IE9 von Microsoft. Sie müssen schon FireFox oder Chrome bemühen.

OK, dann mal los. Da habe ich mir einmal die Webseite von unserem Bürgermeister Roland Kern vorgenommen. Dort gibt es eine Funktion mit der Sie Fragen an den Bürgermeister stellen können.

Wenn Sie die Webseite zu Roland Kern und den Fragen durch die Eingabe des Links in das entsprechende Feld des Browsers eingeben passiert nicht. Bringe ich Sie aber dazu einen Link anzuklicken (und glauben Sie mir das gelingt) dann sieht das Ganze schon anders aus.

Sie befinden sich nach dem Klick auf den Link (weiter unten) auf der ORIGINALSEITE von Roland Kern. Jetzt wollen Sie einen Kommentar eingeben und klicken auf ein Eingabefeld. Jetzt ist der Augenblick gekommen. Jetzt habe ICH die volle Kontrolle. Die Fragen die Sie an den Bürgermeister stellen wollen bekomme ich.

Nicht so tragisch meinen Sie? Kommt auf die Frage an! Und das mit dem Bürgermeister ist ja nur ein Beispiel. Es könnte ja auch so mit Ihren Bankdaten geschehen.

Hier das Beispiel. Keine Angst. Sie können nichts eingeben und ich bekomme auch keine Informationen. Es geht um die Tatsache das ich könnte wenn ich wollte.
Das Beispiel funktioniert NICHT mit den IE8 und IE9 von Microsoft. Sie müssen schon FireFox oder Chrome bemühen.

HIER GEHT ES LOS:
Das Beispiel funktioniert so nicht mehr. Der Webmaster hat einen Versuch unternommen das Problem zu beheben. Er hat einfach die Webseite für die Kommentarfunktion entfernt. Das hilft natürlich nicht viel.. Siehe weiter unten den Nachtrag vom 30.05.2011.

Stellen Sie hier die Frage an den Bürgermeister Roland Kern: http://roland-kern.de/index.php/fragen.html

Natürlich habe ich unseren Bürgermeister Roland Kern vorab über dieses Sicherheitsleck in seinem Webauftritt informiert. Bin ja mal gespannt wann dieses Leck geschlossen wird.

Ausreden gibt es da keine weil es kein Hexenwerk ist dies programmtechnisch zu verhindern. Und auch der Hinweis man kann ja die falsche Adresse im Browser ablesen kann man nicht gelten lassen. Ich kann die Sache noch mehr verschleiern wenn ich mir die folgende Webseite zulege: http://www.roland-kern.be. Und jetzt wird die falsch angesurfte Seite kaum jemandem auffallen.

Nachtrag 30.05.2010
Das Beispiel funktioniert NICHT mit den IE8 und IE9 von Microsoft. Sie müssen schon FireFox oder Chrome bemühen.

Der oben aufgeführte Link/Beispiel geht nicht mehr weil die Webseite für die Kommentarfunktion
(http://roland-kern.de/index.php/fragen.html#addcomments)
nicht mehr vorhanden ist. Man hat reagiert. Aber wie?

Munter geht es weiter. Siehe Beispiel (JavaScript abschalten):
Webseite von Bürgermeister Kern.
Klicken Sie jetzt auf –> Fragen <–.
Viel schwerwiegender ist aber die Tatsache, man kann weiterhin recht einfach den Zugangscode zum abgesicherten Bereich abgreifen. Klicken Sie einfach auf den folgenden Link ….www.roland-kern.de/
…. und gehen auf der Seite ganz nach unten. Dort finden Sie die Textzeile ANMELDEN. Einfach darauf klicken und schon wieder habe ICH die Kontrolle. Und was dort eingegeben wird sind die ZUGANGSDATEN zum gesicherten Bereich der Webseite von Roland Kern.

Mein Gott Herr Webmaster. Schalten Sie doch diese Möglichkeiten ab. Entfernen Sie doch nicht einfach nur die Linkhinweise. Es ist doch nur eine einzige Zeile!!!!

Nachtrag 30.05.2011 nach dem Erhalt einer unglaublichen Mail
Suchen Sie einfach einmal bei Google nach Clickjacking und sehen sich die Ergebnisse an. Das Thema wird von jedem Sicherheitsbewusten sehr ernst genommen. Der Focus, Heise, n-tv, prosieben, sueddeutsche usw. berichtet über die Gefahren.
Nur einer (nicht der Bürgermeister) fühlt sich belästigt. Aber dazu evtl. morgen mehr

Nachtrag 31.05.2011
Ich habe über die lächerliche Mail eines Verantwortlichen (nicht vom Bürgermeister) geschlafen und mich entschieden den schon fertigen Artikel nicht zu veröffentlichen. Dem Verfasser der Mail habe ich gestern die Vorabversion des jetzt doch nicht veröffentlichten Artikels zugestellt. CC Bürgermeister Kern.
Nur eine Passage damit sich die Leser ein Bild von der Quaität der mir zugestellten Mail machen können.
Wie soll man auch auf so einen Text nett antworten:

…[]…ich habe besseres zu tun als Ihre Spielchen abzuwehren

Das sagt doch alles. Da wird Sicherheit als Spielchen beschrieben. Sicherheit ist bei ihm ein Fremdwort.
Da scheint meiner Meinung nach einer sehr hilflos zu sein.

Wenn so weiter geflickt wird wie bisher geschehen wird wahrscheinlich nicht mehr viel von der Webseite übrig bleiben. Das Problem an sich wird auch nicht durch das entfernen von Webseiten beseitigt.
Der Datenklau ist eine Gefahr. Ich könnte auf eine verseuchte Webseite weiterleiten oder schädlichen Code nachladen.

Da von einem der Verantwortlichen noch anderere Webauftritte betreut werden, vermute ich auch dort das oben beschriebene Problem.

Lesen Sie die Kommentare zu diesem Artikel.
Schluss, aus. Das war es.

Doch noch was.
Wie man als Webmaster solche Möglichkeiten verhindern kann wurde in einem früheren Blogeintrag schon beschrieben.

Nachtrag 01.06.2011
Nette Spielchen (um bei Ihren Worten zu bleiben) Herr Webmaster. Ein sicherheitsbewußter Surfer geht ohne JavaScript auf Webreise.
Ihre Versuche verfehlen das Ziel.

Nachtrag 03.06.2011
Sparkasse fühlt sich nicht belästigt. Man nimmt sich dem Problem an.

Dieser Artikel wurde bis zum 30.5.2011 22.00 h 237 Mal aufgerufen.

Dieser Blog wurde angesurft mit
IE -> 37%
FireFox -> 31%
Chrome -> 2%
Rest -> 30%


Nachtrag 3.6.2011. Clickjacking
am Beispiel der Sparkasse.

Clickjacking, Phishing am Beispiel der Sparkasse.28.05.2011 ( KOD )

 

!!BEISPIELE FUNKTIONIEREN MIT DEN AKTUELLEN BROWSERN NICHT MEHR!!

Nachtrag 15.11.2011

Die Sparkasse Dieburg hat das Sicherheitsloch geschlossen.
Die aufgeführten Beispiele mit Seiten der Sparkasse funktionieren nicht mehr.

IE8 und IE9 sind scheinbar sicher vor diesem Angriff.
NUR für CHROME und FireFox

Gestern habe ich ein Beispiel abgestellt, damit Sie einen groben Überblick darüber bekommen was Clickjacking ( Phishing ) ist.

Damit das noch ein wenig verständlicher ist, habe ich ein weiteres Beispiel mit der Webseite der Sparkasse erstellt. Übrigens klappt das Beispiel auch bei der Webseite der Stadt Rödermark. Hier wird deutlich was passieren kann, wenn Sicherheitsvorkehrungen unterbleiben. Das Beispiel für den Einstieg in diese Seite ist für den Test völlig harmlos und führt anschließend wieder auf diese Seite hier zurück.

Stellen Sie sich vor, Sie bekommen von Ihrer Sparkasse eine Werbemail (natürlich mit Logo und, und, und…) und sollen einmal die Seite der Sparkasse besuchen.

Die Mail (Link nur dann anklicken wenn Sie mit FireFox oder Chrome unterwegs sind und JavaScript aktiviert haben.)

Sehr geehrter Sparkassenkunde,

wir haben für Sie interessante Angebote für Sie. Besuchen Sie unsere Homepage www.sparkasse.de und klicken auf Privatkunden.
Mit freundlichen Grüße
der Kundenservice Ihrer Sparkasse.

Nach dem Klick auf den o.g. Link ( www.sparkasse.de ) befinden Sie sich auf der ORIGINALSEITE der Sparkasse. Wird jetzt wie in der Mail vorgeschlagen auf (bei FireFox oder Chrome) auf Privatkunden geklickt habe ich Sie im Griff. Ich könnte Ihnen jetzt eine Kopie einer weiteren Sparkassenseite unterschieben und Sie nach den Zugangsdaten fragen. Natürlich erkennen Sie die falschen Aufrufe in der Zeile, in der Sie normalerweise die URL (Webadresse) eingeben. Aber sind wir einmal ehrlich, wer achtet noch darauf, wenn man von einer vertrauenswürdigen Seite weitergeleitet wird. Insbesondere wenn sich die RICHTIGE Seite

https://bankingportal.sparkasse-dieburg.de/portal/portal/StartenIPSTANDARD

nennt, und wenn ich dann betrügen wollte, mir ganz einfach die folgende, noch freie, Internetadresse zulege:

http://bankingportal.sparkasse-dieburg.be/portal/portal/StartenIPSTANDARD

Der Unterschied ist schlecht zu erkennen und wird wohl kaum auffallen.

Hier das Beispiel mit der Webseite der Stadt Rödermark. http://www.roedermark.de.
Beispiel mit der Webseite von BM Roland Kern.

Es wäre übrigens einfach das zu unterbinden. Tipp für die Programmierer der Sparkasse:
header(„X-Frame-Options: DENY“)

Nachtrag 03.06.2011
Sparkasse. Man befasst sich mit dem Problem an.

Dieser Blog wurde angesurft mit
IE -> 37%
FireFox -> 31%
Chrome -> 2%
Rest -> 30%

Nachtrag 20.07.2011
Siehe: Geldraub über das Internet.

Registrieren Sie sich beim Bürger-Frühwarn-System für Rödermark.


isharegossip
Schade. SAT1 hat den Falschen erwischt!

isharegossip. Schade. SAT1 hat den Falschen erwischt!27.05.2011 ( stern.de ) – Lübeck/Frankfurt/Main (dpa) – Der als mutmaßlicher Betreiber der Mobbing-Site isharegossip.com festgenommene Mann war nur ein Trittbrettfahrer. Der 25 Jahre alte Lübecker habe aus finanziellen Gründen behauptet, der Betreiber der Internetseite zu sein, sagte Alexander Badle von der Generalstaatsanwaltschaft Frankfurt am Freitag über den Stand der Ermittlungen. Er habe das massive Interesse für sich nutzen wollen und gehofft, die Story an die Medien verkaufen zu können….Lesen Sie den ganzen Artikel bei stern.de
 
Hier geht es zu dem Filmbericht von SAT1.
 


Ausflugstipp. Camp Vogelsang.

Camp Vogelsang.26.05.2011 ( KOD ) Einen Besuch wert. Camp Vogelsang.
Was genau die Ordensburg der Nazis, Camp Vogelsang, war und welche Bedeutung diese Einrichtung damals hatte, entnehmen Sie der offiziellen Hompage.
 
Eine gigantische Anlage der Nazis. Die Bauwerke, die unter Denkmalschutz stehen, umfassen einen Fläche von mehr als 50.000 Quadratmeter.
Camp Vogelsang, errichtet um den totalitären Machtanspruch der NS-Führung sichtbar zu machen.
 

Camp Vogelsang. Copyright vogelsang ip gemeinnützige GmbH.
Camp Vogelsang. Copyright vogelsang ip gemeinnützige GmbH.

 
Das Schwimmbad (Copyright vogelsang ip gemeinnützige GmbH.)
Schwimmbad Camp Vogelsang
Schwimmbad Camp Vogelsang. Copyright vogelsang ip gemeinnützige GmbH.

 
Das Kino in Camp Vogelsang für 1100 Besucher. Copyright: vogelsang ip gemeinnützige GmbH.
Kino Camp Vogelsang. Copyright  vogelsang ip gemeinnützige GmbH.
Kino Camp Vogelsang. Copyright vogelsang ip gemeinnützige GmbH.

copyright: vogelsang ip gemeinnützige GmbH.
 
Ein Bild in Vogelsang aus unserer Gegend. Dieburg. Copyright vogelsang ip gemeinnützige GmbH.
Jugendtage der Naturfreunde in Dieburg
Jugendtage der Naturfreunde in Dieburg. Copyright vogelsang ip gemeinnützige GmbH.

 
Retro. Copyright vogelsang ip gemeinnützige GmbH.
 
Knorr
Knorr. Copyright vogelsang ip gemeinnützige GmbH.

 
Hier weitere Informationen.
 


Die Suche nach dem Betreiber von iShareGossip

Die Suche nach dem Betreiber iShareGossip 26.05.2011 ( SAT1 ) Die Luft für den Betreiber der Mobbing-Seite iShareGossip wird dünner. Reporter von SAT1 haben den Betreiber gefunden. Sehen Sie hier den Filmbericht von SAT1 bereitgestellt von Konsumer.info
 
Auch den Artikel beim Spiegel lesen.
 
Nachtrag 27.05.2011
isharegossip. Schade. SAT1 hat den Falschen erwischt!
 
 


ENTEGA. Dann erhöhen wir mal die Strompreise.

ENTEGA. Abzocke. Dann erhöhen wir mal die Strompreise. entega und die Preiserhöhung.22.05.2011 ( KOD ) So könnte bei der entega ein Meeting abgelaufen sein: „Erhöhen wir einmal die Strompreise. Warum? Keine Ahnung. Aber wir haben aber seit 30 Monaten keine Erhöhung mehr gehabt. Wird also Zeit.“
 
 
Die Benzinlieferanten und Stromlieferanten. Die machen was sie wollen!

Beziehen Sie Ihren Strom auch von der ENTEGA? Haben Sie auch diesen sehr informativen Brief mit der Ankündigung einer Preiserhöhung erhalten?
 
Wenn man sein Augenmerk nur auf die Beträge richtet wird einem das Wesentliche entgehen. WARUM IST DIESE PREISERHÖHUNG NOTWENDIG GEWORDEN?
 
Die Begründung ist schlichtweg eine Frechheit.

…[]..über 30 Monate lang stabil geblieben ist…..

So einfach ist das. Wenn man also Preise 30 Monate lang stabil gehalten hat, kann man die Preise erhöhen. Warum nicht die Preise senken? Wo kann man den wahren Grund erkennen? Ohne vernünftige Begründung nenne ich das Abzocke!
 

Die Erhöhung des Strompreises, abzüglich der kleinen Ersparnis beim Grundpreis und 4000 KW Jahresverbrauch, belastet die Strompreiserhöhung Ihre Haushaltskasse um mehr als 130,00 Euro im Jahr.

 
Im Focus vom 16.02.2011 ist zu lesen:

…[].. Dann müsste eine vierköpfige Familie bei einem realistischen Verbrauch von 4000 KW zusätzlich 20,00 Euro im Jahr für Strom berappen. Das ließ sich wohl verkraften.

 
Das (20,00 Euro) ließ sich wohl verkraften. Wir sprechen hier von dem 6-fachen.
 
Auszug aus dem Anschreiben der entega vom 16.05.2011

Entega. Preiserhöhung und Begründung
Entega. Preiserhöhung und Begründung

 
Der Versuch einer Erklärung
entega. Investitionen
entega. Investitionen. Der Versuch einer Erklärung

 
Was sagt uns das? Es werden bis 2015 1.000.000.000 Euro investiert. Aber nicht NUR von der ENTEGA. Die HSE ist mit im Boot.
 
Die entega verkaufte im Jahr 2009 3,6 Milliarden KW. Siehe den entsprechenden Geschäftsbericht. Jahresabschluss 2009
Auszug aus dem Geschäftsbericht der entega
entega. Jahresabschluss 2009
entega. Jahresabschluss 2009

 
Wenn wir diese Angabe einmal zu Rechenzwecke benutzen, kommen wir auf Mehreinnamen bis 2015 von mehr als 700.000,000 Euro. Diese Mehreinnahmen sind nur von der ENTEAG. Rechnen Sie einfach die zusätzlichen Einnahmen des HSE dazu.
 
HSE ist die Muttergesellschaft der entega. Laut deren Jahresberich hat die HSE 7,5 Milliarden KW Strom verkauft.
Auszug aus dem Jahresbericht der HSE von 2009
Jahresbericht der HSE 2009
Jahresbericht der HSE 2009

 
Wenn ich jetzt HSE sehe, die ja laut dem Anschreiben der entega die 1 Milliarde Euro Investitionen mitträgt, komme ich durch die Preiserhöhung auf ein PLUS von knapp 1,5 Milliarden EURO. Ein satter Gewinn mit der Nachricht an den Endkunden: „man muss ja investieren.“
Es muss aber auch bedacht werden, bis 2015 ist noch ein weiter Weg und sicherlich genügend Zeit für eine weitere Preiserhöhung.
 
Nostalgie. Eine Begründung der entega zu einer früheren Preiserhöhung
.

Aus strom-magazin.de..[]…- Entega begründet die Preiserhöhung damit, dass Kundenmanagement und Abrechnung der Basis-Tarife höhere Kosten verursachen als bei den Clever-Tarifen, die etwa an eine Einzugsermächtigung gebunden sind. Daher werde durch die Preiserhöhung der Basis-Tarife der höhere Aufwand ausgeglichen.

Der Arbeitspreis im Basis-Tarif Strom steigt am 1. Oktober 2007 um 1,31 Cent pro Kilowattstunde auf dann 19,04 Cent/kWh. Der Grundpreis erhöht sich von 90,44 Euro auf 107,10 Euro pro Jahr….Lesen Sie den ganzen Artikel bei strom-magazin.de

Lassen wir einmal den Grundpreis weg. Lassen wir die MwSt. einmal weg. Rechnen wir mit 1,1 Cent. Das macht Beispielsweise pro Jahr bei:
1 Milliarden KW (Basis-Tarif Strom ) 10.000.000 Euro
1,5 Milliarden KW (Basis-Tarif Strom ) 16.500.000 Euro
2 Milliarden KW (Basis-Tarif Strom ) 22.000.000 Euro
 
Natürlich ist dies Preiserhöhung dauerhaft. Eine Preissenkung hat die entega nach meinem Wissen nicht durchgeführt nachdem die Abrechnung des Basis-Tarif Strom den anderen Abrechnungsformen angepasst wurde.
 
Laut strom-magazin.de steigen die Preise um 7,4%. (Anm. der Red.: So wenig? Das macht die entega nicht mit!)

Strompreise steigen im Schnitt um 7,4 Prozent
Über 16 Millionen Haushalte müssen im kommenden Jahr mehr für Strom bezahlen. Ein Sprecher des Online-Verbraucherportals Verivox sagte am Dienstag dem Deutschlandfunk“ „die Strompreise stiegen zum 1. Januar um durchschnittlich 7,4 Prozent. Bislang haben schon rund 180 Versorger höhere Strompreise angekündigt.“…..Lesen Sie den Artikel bei strom-magazin.de

 
Neuer Blogeintrag: entega. Weiteres zur Preiserhöhung. Stellungnahme der CDU 


Rodgau und die Internetfirma.
AG-Frankfurt Forderung der Content4U GmbH besteht nicht

Rodgau und die Internetfirma. AG-Frankfurt. Forderung der Content4U GmbH besteht nicht. Aktenzeichen: 29 C 2583/10 (85)20.05.2011 ( KOD ) – Bei der Kanzlei Thomas-Meier können sie ein Urteil gegen Conten4U einsehen. AG Frankfurt: Forderung der Content4U GmbH besteht nicht. Aktenzeichen: 29 C 2583/10 (85)

Von der Werbseite http://www.kanzlei-thomas-meier.de

Unter der Festnetznummer 030/34060478 können sich jetzt Opfer von Betrügereien auf meiner Abofallen-Hotline erste allgemeine Ratschläge holen und Fragen stellen – rechtliche Fragen können aber in diesem Rahmen nicht beantwortet werden. Die Hotline ist in der Regel wochentags von 9.00 bis 11.00 Uhr und von 15.00 bis 18.00 Uhr besetzt und kostenlos (bis auf die üblichen Telefongebühren für ein Festnetzgespräch nach Berlin). Zu den anderen Zeiten schicken Sie mir bitte eine Email. 24 Stunden täglich können Sie Fragen per Email an hotline@kanzlei-thomas-meier.de stellen.