Nachdem ich bereits einige bekannte Angriffsfahren und die aktuelle Sicherheitslage aus dem Jahr 2009 betrachtet habe, möchte ich in diesem Artikel nun versuchen zu erklären, was man gegen solche Sicherheitslücken tun kann und wie man vor allem als Programmierer von Webseiten seinen Code so erstellt, dass Sicherheitslücken gar nicht erst auftreten. Für die von euch, die Zugriff auf die Konfiguration des Webservers und des Datenbanksevers haben, sage ich auch noch kurz etwas zur sicheren Konfiguration zum Vermeiden von Sicherheitslücken. Dieser Bericht ist Teil einer meiner Arbeiten im Studium und auch im Wiki der FH veröffentlicht worden. Ich möchte ihn nun auch auf meinem Blog zur Verfügung stellen.

Heute möchte ich euch die Paidmailer vorstellen. Ich habe mich bei einigen angemeldet und getestet, ob sich damit ein wenig Geld nebenbei verdienen lässt. Im Folgenden möchte ich kurz erklären was es mit solchen Seiten auf sich hat und welche Möglichkeiten bestehen. Außerdem werde ich die Konditionen der von mir getesteten Paidmailer vergleichen. Schon mal vorweg, es ist auf keinen Fall eine Variante um sich damit seinen Lebensunterhalt zu finanzieren.

Heute gab es scheinbar Probleme bei der denic, die für die Verwaltung der Domains mit der Endung .de verantwortlich sind. Ich dachte schon mein Rechner hat Probleme, habe aber dann doch herausgefunden, dass die Probleme eine andere Ursache haben. Grund sind wohl Fehler bei den Nameservern, die dazu führen, dass das Internet in Deutschland, speziell .de-Domains, am 12.05.2010 nicht erreichbar waren. Hierbei sind wohl alle Provider betroffen und vor allem Domains mit den Buchstaben zwischen E und O. Allerdings konnte ich auch Seiten mit den Buchstaben P und Q nicht erreichen. Diese sind aber mitlerweile wieder erreichbar. Das Problem besteht seit Vormittag und soll bereits behoben worden sein. Allerdings ist die Verfügbarkeit aller Seiten noch nicht wieder hergestellt und es wird wohl noch ein Weilchen dauern bis alle .de-Domains im Internet wieder erreichbar sind.

textbroker ist eine Plattform, die sich sehr der Möglichkeit zur Heimarbeit im Internet von content.de ähnelt. Allerdings gibt es diese Plattform schon etwas länger und somit werden sich wohl die Leute von content.de das Prinzip von textbroker abgeschaut haben. Auch hier kann der Nutzer in Form von Heimarbeit Texte verfassen, für die er Geld bekommt. Nach der kostenlosen und ebenfalls einfachen Anmeldung wird auch hier erst die Qualifikation geprüft und eingestuft. Die Prüfung dauerte bei mir ca. einen Tag. Je nach Einstufung ist bei textbroker folgende Vergütung möglich:

Content.de ist eine Möglichkeit der Heimarbeit im Internet, die vor wenigen Monaten erschienen ist und speziell Schreibaufträge anbietet. Das bedeutet, man verfasst Texte und bekommt dafür Geld. Allerdings hängt es von der eigenen Qualifikation ab, wie hoch die Einnahmen für einen Text sein können. Nach der unkomplizierten und kostenlosen Anmeldung bei content.de muss man einen Beispieltext verfassen, der von der Plattform überprüft und in eine Stufe eingeteilt wird. Diese Einstufung bestimmt den Verdienst pro Wort und die Auftragslage. Je höher man eingestuft wird, desto mehr Aufträge bekommt man und desto mehr Geld verdient man pro Wort. Folgende Einstufungen und Verdienstmöglichkeiten gibt es bei content.de:

Wie schon beim IPhone soll auch das IPad ohne Flash-Unterstützung ausgeliefert werden. Apple wendet sich schon seit längerem gegen das Produkt von Adobe. Flash ist die Technologie die am häufigsten verwendet wird um Videos oder Animationen im Internet darzustellen. Allerdings meint Steve Jobs (CEO von Apple), Falsh sei unsicher, instabil und würde zu viel Performance kosten, was sich negativ auf die Akku-Laufzeiten auswirke. Im neuem Betriebssystem „iPhone OS 4.0“, das ab Sommer 2010 für das iPhone, das neue iPad und den iPod touch verfügbar sein soll, wird ausdrücklich darauf hingewiesen, das keine Apps mehr für den App-Store zugelassen werden, die Flash enthalten.

Das Fälschen von Inhalten wird häufig mit dem Phishing verwendet. Dabei werden entweder Teile einer Website oder auch der ganze Inhalt einer Website so nachgebaut, dass es kaum einen Unterschied zum Original gibt. Der Nutzer denkt also das er auf der Originalseite gelandet ist und schenkt dem Inhalt vertrauen. Die Seiten werden allerdings so angepasst, dass sie sensible Nutzerdaten ausspionieren sollen. Zum Weiterleiten auf diese gefälschten Inhalte wird häufig das Cross-Site-Scripting verwendet. Entweder werden die Nutzer anhand von direkten Links weitergeführt, oder sie werden durch die Manipulation des Servers von der Originalseite direkt auf die Seite des Angreifers geleitet.

Die soziale Manipulation ist eine der ältesten Techniken, die auch in der Offline-Welt häufig zum Betrug genutzt wird. Mit der Entwicklung des Internets, wurde diese Methode auf die Online-Welt übertragen. Bei der sozialen Manipulation schlüpft der Angreifer in eine andere Rolle und versucht ein vertrauenswürdiges Verhältnis zu seinem Opfer aufzubauen, um an vertrauliche Informationen oder kostenlose Dienstleistungen zu kommen. Dabei sammelt der Angreifer soviel Informationen wie möglich über eine Person oder Firma.

Das Preisgeben von Informationen zur Konfiguration oder internen Abläufen einer Webanwendung oder Datenbank ist neben dem Cross-Site-Scripting eines der häufigsten Probleme bei Webseiten. Bei dieser Sicherheitslücke werden vor allem Informationen gesammelt, die für andere Angriffsverfahren genutzt werden.

Das Einschleusen von SQL-Befehlen in Datenbankmanagementsystemen (DBMS) wird als SQL-Injection bezeichnet. Ähnlich beim Cross-Site-Scripting sind auch viele Web-Anwendungen anfällig für diese Methode.