Skip to content

Warum Webforen doof sind - persistente URLs

Nein, ich habe nicht die Absicht, aus dem Thema "Warum Webforen doof sind" eine Artikelreihe zu machen. Hier steht ja völlig ausser Frage dass ich Recht habe.

Aber Webforen sind doof, wenn man zu seinem Problem haufenweise Webseiten in der Suchmaschine findet, die etwa zum Inhalt haben "_dieses_ (Link) Script hat bei mir funktioniert", und sich hinter dem Link ein Webforum verbirgt, und der Link zu vielen vielen Artikeln in diesem Forum zeigt ...

... die ausnahmslos mit dem eigentlich aktuell zu lösenden Problem nicht das mindeste zu tun haben.

Das kann ich mir nur so erklären, dass manche Webforensoftware ihre URL-Schemen von Zeit zu Zeit neu durchwürfelt und deswegen alle Deep Links nicht ins Leere, aber zu irgendwelchem irrelevantem anderen Unsinn zeigen.

BIOS-Update a la hp

Im Zuge einer doppelten Display- und Festplattentransplantation in meinem Notebook muss ich das Referenz-Windows[1] neu installieren. Da ich nun schon auf der Treiberseite von hp bin, fällt mir auf, dass es ein BIOS aus dem September 2007 gibt. Die Versionsnummer F.0C find ich zwar seltsam (installiert ist F.18 aus 2006), aber probieren wir das mal.

Es folgt ein Kampf mit jahrzehnte alter PC-Technik

Fußnoten
[1] ich installiere üblicherweise ein Windows XP in eine 3-GB-Partition auf jeder Platte eines Systems, für das ich Herstellersupport erwarte. Auf diese Weise kann ich einem renitenten Servicetechniker zeigen, dass der Hardwarefehler nicht nur mit diesem komischen Linuxdings auftritt, sondern auch mit dem Qualitätssystem des Marktführers. Habe ich bisher noch nie gebraucht, die Techniker von hp sind da ausgesprochen professionell ausgebildet.

Continue reading "BIOS-Update a la hp"

Wie lautet die Antwort auf Ihre Sicherheitsfrage?

Da predigen wir seit über zwanzig Jahren, dass ein Userpasswort möglichst nicht aus dem Kontext des Benutzers erratbar sein darf. Da verbieten wir Geburtsdaten, Namen von Verwandten und/oder Haustieren, Lieblingsfarben, Geburtsorte, Länder, Früchte etc und sorgen dafür, dass die Passworte unserer Benutzer eher einem gemixten ABC-Cocktail als wirklichen Worten ähneln.

Und dann kommen neun von zehn Webdesignern daher und bauen in Ihre Applikationen eine "Sicherheitsfrage" ein, die man beantworten muss, wenn man das verdammte vergessene Passwort zurücksetzen möchte. Bei den meisten Webapplikationen kann man sich nichtmal aussuchen, welche Frage man in diesem Fall gestellt haben möchte, sondern man bekommt eine nicht veränderbare Auswahl vorgesetzt. Hier die Möglichkeiten aus einer Webapplikation meiner Kranken Versicherung:

  • Wie heißt Ihr Haustier?
  • In welchem Ort sind Sie geboren?
  • Welche Farbe ist Ihre Lieblingsfarbe?
  • Welches Auto ist Ihr Lieblingsauto?
  • Wie lautet der Vorname Ihrer Mutter?
  • Welches Land ist Ihr Lieblingsland?
  • Welche Stadt ist Ihre Lieblingsstadt?
  • Welche Frucht mögen Sie am liebsten?
  • Welche Musikgruppe hören Sie am liebsten?
  • Welches Tier mögen Sie am liebsten?

Da fasst man sich doch an den Kopf, oder? Wenn man also als Angreifer das Passwort des gewünschten Hacking-Opfers zurücksetzen will, reicht es Dinge zu wissen, von denen man seit zwanzig Jahren weiß, dass sie nicht für die Authentifikation geeignet sind, weil sie eben leicht ratbar beziehungsweise allgemein bekannt sind. De facto könnte man somit alle Passwortregeln wieder abschaffen und den Benutzern gleich erlauben, ein Passwort zu benutzen, das sie nicht bei der nächsten Gelegenheit wieder vergessen.

Mir fehlt die Phantasie, um mir auszudenken, was sich der erste Snowboarder gedacht haben muss, als er auf die geniale Idee mit der Sicherheitsfrage kam, um die Hotline zu entlasten. So bleibt nur die Vermutung, dass er einfach gar nicht gedacht hat.

Bitte wiederholen Sie Ihre E-Mail-Adresse fuer die Registrierung

Dinge, die ich niemals verstehen werde: Wenn man irgendwo eine Mailadresse eingeben muss, muss man sie oftmals wiederholen. Das erledige ich dann durch Cut und Paste und schüttel nur den Kopf. Warum macht man als Webentwickler sowas?

Ich meine, bei Passworten, die nur als Sterne angezeigt werden[1], kann ich das ja noch nachvollziehen, und dort ist es auch sinnvoll[2], aber bei einer Information, die im Klartext angezeigt wird?

Und wo wir gerade dabei sind, warum muss ich mich bei den meisten Websites mit meiner Mailadresse (die lang und eklig sein kann) einloggen, wo es doch ein User- oder Nickname genauso tun kann?

Fußnoten:
[1] User Help Desk verrückt machen: Passwort in fünf Sterne ändern und sich dann beschweren, dass das Passwort bei der Eingabe im Klartext angezeigt wird. Funktioniert leider nur bei einfacheren Passwordpolicies, sonst fällt man in die "Ihr Passwort muss Buchstaben, Ziffern und Sonderzeichen enthalten" Falle, nur diesmal von einer ungewohnten Seite.
[2] nicht sinnvoll ist das zum Beispiel im Eingabefeld für den WPA-Key in Windows XP, da bekommt man durch eine falsche Eingabe eine klare Fehlermeldung und muss sich nicht damit quälen den potenziell ekligen Key zweimal einzutippen.