Hier ein Auszug aus der Pressemeldung von CCC.de:

Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle hinterlegten Daten der Schüler eingesehen werden. Selbst die Administrationskonten der offenkundig ungesicherten Plattform waren frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren. Dafür machte es haefft.de Neugierigen besonders leicht: Passende und ständig neue Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per “Grußkarte” offenbart – bereit zum Kopieren und Einfügen in das Anmeldefeld.

Schockierend! Noch etwas detailreicher bringt es Dirk auf den Punkt:

“Die Entwickler bei haefft.de haben sich dabei so ziemlich alle Anfänger-Programmierfehler geleistet.” Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.

Quelle: http://www.ccc.de/de/updates/2009/haefft-datenloch

Hier wurde also eine Plattform betrieben, die auf Kinder, nicht ältere Schüler oder Studenten, sondern Schulkinder ab Grundschulalter ausgerichtet war, bei deren Konzeption und Umsetzung jegliche Grundprinzipien der sicheren Programmierung für Webanwendungen missachtet wurden.

Sehr witzig finde ich die Pressemeldung von haeft.de

Der Geschäftsführer Stefan Klingberg meint:

Im Moment gehe der Verlag davon aus, dass es sich ausschließlich um ein bereits gefixtes potenzielles und noch nicht reales Problem handele

Ein paar Sätze weiter steht:

Unter Hochdruck arbeiten wir derzeit an der Beseitigung der Sicherheitslücken. Ein aktueller Termin, wann die Probleme behoben sein werden, kann im Moment noch nicht gegeben werden.

Wie passt das denn zusammen? “Bereits gefixt” und “Unter Hochdruck arbeiten wir bereits an einer Beseitigung der Sicherheitslücken”? Das Problem scheint ja doch nicht so trivial zu sein, denn sie wissen nicht, wann sie wieder online gehen können.
Quelle: http://presse.haefft.de/?p=401

Wie passt das denn alles zusammen? Für eine Community die es seit 1998 gibt (ich glaube vorher hieß das Ganze funcity.de) ist das aber ein herber Schnitzer. Wurde an dem Code seit dem nix mehr gemacht? Gab es die Lücken etwa seit 1998? Sieht fast so aus. :)

Eigentlich müsste man den Verantwortlichen verbieten weiterhin in diesem Bereich zu arbeiten, und für solche Angebote strengste Kriterien bezüglich Sicherheitsmaßnahmen auferlegen. Das vielgepriesene TÜV-Siegel ist ja, wie wir im Falle Libri gemerkt haben, kein Garant für sichere Anwendungen.

Daher muss meiner Meinung nach der Gesetzgeber sofort einschreiten und mit Hilfe von unabhängigen Experten Routinen und Verfahren austüfteln, wie eine Evaluierung der Sicherheit solcher Portale realisierbar ist. Und zwar so, dass es wirklich was bringt. Sich so ein Siegel beim TÜV zu kaufen sollte nicht ausreichen. :)

Ich hoffe, dass haeft.de nach dem Fixen Ihres Portals externe Pentester und Leute die sich den Code sehr genau angucken einkauft. Alles andere wäre unverantwortlich und gehört bestraft.

Nun soll man demnächst vom Computer oder Handy aus elektronische Post verschicken können. Diese wird dem Empfänger laut Post dann auch elektronisch zugestellt. Hat der Empfänger kein Internet, wird der Brief auf dem normalen Wege zugestellt.

So extrem Bahnbrechend wie Jürgen Gerdes, im Vorstand der Deutschen Post DHL für das Thema Brief verantwortlich, der es ein “wegweisendes neues Produkt der Zukunft” nennt, finde ich es gar nicht. Ich glaube, das heißt dann E-Mail oder so, und dürfte den ein oder anderen schon längere Zeit begleiten.

Sehr innovativ liebe Post.

(via: Golem)

Als ich nun letztes Wochenende nach Köln zum #dcc wollte, habe ich die Datenoption gebucht, denn wenn ich nur im Büro oder zu Hause bin, brauche ich dank WLAN kein UTMS. Innerhalb von 2 Stunden sollte die Freischaltung erfolgen. – Soweit so gut. Aktiviert wurde die Option erst am darauffolgenden Tag gegen 10 Uhr. Nun gut, vielleicht gab es technische Störungen, die den automatisierten Ablauf verzögert haben. Sollte nicht, kann aber schon mal vorkommen. – Kann aber auch kalkulierte Geldmacherei sein. Wer weiß das schon?

Weiter ging die Odyssee. Ich wollte nun endlich ins Internet. Da blau.de keine Konfigurationsdaten für das E71 anbot, habe ich mir die fürs E51, der kleinen Schwester des E71 schicken lassen. Nun funktioniert diese Konfiguration weder auf meinem E71 noch auf meinem E51. Warum? Keiner weiß es.

Die blau.de Hotline, wimmelt ab, sie würden keinen Support für Geräte die nicht auf der Liste stehen würden, leisten. Nun gut, wenn das Gerät zu neu ist, um auf der Liste zu stehen, oder blau.de wahlweise zu langsam ist, kann ich als Kunde ja nichts dafür. Die Weigerung, mich bei meinem Problem zu unterstützen, mich minutenlang in der Hotline hängen zu lassen, die übrigens aus dem blau.de Netz 049€ kostet, nur weil ich ein Problem mit einer Dienstleistung habe, die ich bezahlt habe, empfinde ich als Frechheit. Ich habe mehrfach bei der Hotline angerufen. Hat alles nichts genutzt. Man gibt sich freundlich, hilft aber nicht. Nun werde ich mal sehen, wie der Mailsupport reagiert, danach kommt die Pressestelle dran, die gesteigertes Interesse daran haben sollte, vielleicht doch einen wohlwollenden Review ins Netz zu bekommen. Bisher ist meine Erfahrung mit denen desaströs.

Im Netz habe ich bisher keine Erfahrungsberichte zu blau.de in Verbindung mit dem E71 gefunden. Vielleicht bin ich ja der einzige, der das Problem hat. Who knows…