Hanfis Weg in die Hölle

heise online – Urteil: Kein Mitverschulden eines Phishing-OpfersDer Titel des Heise Artikels ist sehr Misslungen. Wie wir lesen können muss das Opfer nämlich einge Voraussetzungen erfüllen, die nicht nur trivial sind.

Als Mindestvoraussetzungen für einen solchen Schutz nennt das Gericht die Verwendung einer aktuellen Virenschutzsoftware und einer Firewall sowie das regelmäßige Einspielen von Sicherheitsupdates für das Betriebssystem sowie die verwendete Software.

Ich kenne selbst viele Menschen die auf automatische Updates vertrauen. Das wäre ja toll wenn es denn auch richtig funktionieren würde. Leider tut es das nicht. Das sehe ich beinahe täglich.

Die meisten meiner Freunde verwenden mitlerweile eine AV-Software. Das man für für die Standart installierte AV aber manchmal ein Abo kaufen muss wissen die wenigsten. Zumindest hier warnt Windows den Anwender.

Dieser Artikel stellt damit auch die Frage nach AV Software auf Linux/Mac. Tatsächlich gibt es solche. Sie wird meist für Fimren angebotn in denen einfach jeder Computer ein AV haben muss. Im allgemeinen werden diese AVs aber als  nutzlos angesehen. Im besten Fall helfen sie die Weitergabe eines bereits infizierten Dokuments zu verhindern. Man darf diese AVs auch nicht mit Server-Produkten verwechseln welche Mail und FileServer schützen. Diese sind aber in den wenigsten Fällen für Desktop-Anwendung gedacht.

Außerdem müsse man erwarten können, dass er deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank erkennt, so etwa “sprachliche Mängel, deutlich falsche Internet-Adresse,

vertipper Domains fallen mir da ein….. passiert jedem einmal…

Adresse ohne https://,

mit https ist das so eine Sache… es fällt auf wenn es Eingesetzt wird. Wird es nicht Eingesetzt, vermisst man es nicht.

kein Schlüsselsymbol in der Statusleiste”.

forget this!

Positiv ist der letzte Absatz :

Es lägen daher keine Anhaltspunkte dafür vor, dass die Täter die Kontodaten erlangt haben, weil der Kläger seinen Sorgfaltsmaßstab nicht eingehalten habe.

Endlich können sich die Banken nicht mehr länger hinter ihrer AGB verstecken und immer den Kunden anschwärzen. Sie müssen schon etwas genauer darlegen wo der Kunde die Sorgfaltspflicht nicht eingehalten hat.

Definitiv ein Schritt in die richtige Richtung. Ein Teil der Anforderungen ist Nachvollziehbar. Ich hoffe die Richter werden von Fall zu Fall die Medienfähigkeit des Opfers in betracht ziehen.

I discovered css some years ago. Since then i used it frequently for some of my websites, mainly to customize phpBB forums. The Greck Website is a nice small css-based html page.

For the Ghost-projekt I started to look a little bit deeper into css. So I went out and checked the World Wide Web Consortium WebSite. While playing around I found this blog entry about css, and got really impressed by those guys and what css can do.

Well, now here i am. Having a lot to play with and even more that I dont understand completly.

For sure, the most interesting part for me right now are the pseudo-elements and -classes. Looks fun to play with. So I tried this:

HTML
<body><div>
<p>first child in this html.<br/>forcing a line break for sake of example.</p>
<p>next child in this html.<br/>forcing a line break for sake of example.</p>
</div></body>

CSS
p:first-child { color: red;}
p:first-line {	color: blue;}

So far so good. You can see the example here.
Looks right? First Child is red, second black. and the first lines of both are blue. Well….
Lets review the css docu on w3c. In special check what type those selectors have.
:first-child is a attribute selector (classes are attributes)
:first-line is a element selector
so whats the precedence for those 2?
checking the relevant css docus we calculate these values:
p:first-child: a=0, b=0, c=1, d=1
p:first-line: a=0, b=0, c=0, d=2
now check the first the first <p> tag. Shouldn’t the first-child be more specific and therefore overwrite the first-line?
well, we can go and try force it even more.
lets change the firs-child style selector to
div p:first-child ...
this time we have a specific precedence of a=0, b=0, c=1, d=2
this clearly should outrule the first-line style.

Well, there is a way to explain this.
According to the css specification about the pseudo elements the UA creates a fictional tag sequence by inserting <p:first-line> and its end tag into the tree. BUT the UA doesn’t (mustn’t ?) write this back into the real Document tree. Therefore, the p:first-child has a p:first-line inside thats not visible to the HTML/Javascript/etc.

Why is that worth a blog here?
Well, basicaly we can create a browser state where the DOM-Tree and the css tree are out of sync. This could be used to hide/display things not in the DOM-tree. I don’t found a way to abuse this so far…but its still interesting to know that css and DOM see different things.

PS: I am a complete newb in css. I have no idea if my explanation above is correct, nor i see a way to prove it. Any explanation/addition/references are highely welcomed.

Habe jetzt auch einen TOR Server aufgesetzt.  Werde die Bandbreite etwas im Auge behalten müssen, aber sollte gehen (Ich hoffe mal Hetzner hat nichts dagegen).

Die Konfiguration war denkbar simpel. Nach etwa 30 Minuten hat man alles ready und am laufen.

MAl schauen wie lange es dauert bis ich den ersten Ärger kriege