Archiv für die Kategorie 'Web'

Paypal, die Möchtegern-Bank

25. July 2011

Der einzige echte Hinweis darauf, dass Paypal ein ordentliches Kreditinstitut ist: Die Website ist so unglaublich scheiße, dass sie sich optimal zwischen den durchschnittlich unterirdischen Webauftritten der Kreditinstitute unserer Erde einreiht.

Aber was mich wirklich auf die Palme bringt, ist nicht das oder andere Unschönheiten, sondern dass Paypal es nicht mal mit der Internetexpertise von Giganto-Mutterschiff eBay auf die Reihe bekommt, Passwort-Sicherheitsabfragen vorzulegen, deren Antworten NICHT allesamt mit minimalstem Aufwand einem beliebigen, halbwegs nahen Verwandten in volltrunkenem Zustand auf dem Schützenfest aus der Tasche geleiert werden könnten.

Ich meine, schauen wir uns die kreative Leistung der Sicherheitsspezialisten doch mal an:

paypal-sicherheitsabfragen.png

Na das ist doch schlicht genial: Man ist praktisch immer Schuld, da man die Antworten von vornherein nicht geheimhalten kann!

Um meiner Pflicht als sicherheitsbewusster Kunde nachzukommen, muss ich also meine Kindheits-Tagebücher verbrennen, muss die stolzen Fotos meiner ersten eigenen Karre von Facebook und anderen Social Networks löschen (viel Erfolg), die ersten Passagen meines beruflichen Lebenslaufes schwärzen und am besten auch noch ex-Mitbewohner und -Chefs umbringen und verschwinden lassen.

Natürlich nachdem ich alle Familienmitglieder vergiftet habe, welche die Antworten auf die übrigen Fragen ebenfalls wissen – inzwischen würde ich sicher Übung im Umgang mit Spaten, Plastikplane und dem Anpflanzen von Stiefmütterchen haben. Dann, und auch nur dann kann ich im Falle eines Falles mit Fug und Recht behaupten: Niemand außer mir kann diese Fragen beantwortet haben – meine Identität ist damit also zuverlässig damit festzustellen. Ich habe alles getan um mein höchstsensibles Login vor allem Unbill zu schützen und den schwarzen Peter zurück zu Paypal zu schieben.

Ich müsste vielleicht den Rest meiner Tage in einem Staat verbringen, der kein Auslieferungsabkommen mit der Bundesrepublik hat, aber könnte von dort via Internet bequem Geldtransfers via Paypal vornehmen. Das Abwickeln von Zahlungsvorgängen im Internet ist schließlich kein Ponyhof, da muss man Opfer für die Sicherheit bringen!!1

Tierisch Traffic: »206 partial content« mit dem iPhone

16. November 2009

Kam kürzlich ein Anruf meiner Hosterin: Ob mit meiner Website soweit alles in Ordnung sei, der Traffic würde sich in so relativ astronomischen Regionen bewegen (und in meinem »Asbach Uralt«-Tarif sei ja nun einmal nicht soviel Inklusiv-Bandbreite enthalten)?

Angeregt durch den freundlichen Hinweis suchte ich dann die gute alte Logfile-Statistik auf und staunte Bauklötze: Namentlich die beiden Baby-Einschlafhilfen »Fön« und »Wasserhahn« brachten es im Oktober gemeinsam auf satte 50GB Transfervolumen. Und über 8.700 Downloads. Irre.

Haartrockner-Traffic.png

Da sind wir doch auf die Logfile-Einträge gespannt – halt, was ist das? Der Großteil der Zugriffe auf die Dateien kommt von iPhones??

iphone-hits.png

Startet da etwa jemand mit einem hochgezüchteten iPhone eine Denial of Service-Attacke auf mein Blog? Zu Hilfe!

Des Rätsels Lösung: Das iPhone kann direkt im Browser MP3-Dateien abspielen. In diesem Fall ruft das Gerät aber nicht sofort die komplette Datei ab, sondern nur das jeweils benötigte Häppchen. Das ist z.B. von Vorteil, wenn man gleich bis kurz vor das Ende der Datei skippen möchte – es muss dann nicht erst gewartet werden, bis die vorher kommenden 90% der Datei durch die dünne Funkanbindung gekleckert sind. Das Telefon fragt beim Webserver mit einem sogenannten »Range Request« direkt nach einem bestimmten Teil der Datei. Ebenso arbeiten auch Download-Beschleuniger, welche mehrere Teile einer Datei parallel herunterladen (nicht immer sehr ressourcenfreundlich). Wird ein Range-Request vom Webserver unterstützt, schlägt sich die Antwort im Logfile vermutlich mit dem HTTP-Statuscode »206 partial content« nieder. Im Screenshot direkt neben der Spalte mit der 206 steht die übertragene Datenmenge – du liebe Güte, das sind immer über 16MB! Die Frage ist: Ist das auch wirklich immer durch die Leitung gewandert?

Wie die Gegenprobe mit dem Servermodul mod_logio ans Licht bringt, verlässt tatsächlich nur ein Bruchteil der Datenmenge bei den iPhone-Anfragen den Server (die letzten beiden Spalten stehen für eingehenden und ausgehenden Verkehr):

Bild 3.png

Das die Logfiles derart daneben liegen können, muss einem ja erst einmal gesagt werden. Meine 50GB Traffic sehen jedenfalls auf einmal ganz schön klein aus.

Da mod_logio dem Server zusätzlichen Aufwand beschert, wird aber sicherlich kaum ein Shared Hosting-Anbieter das Modul im normalen Betrieb ständig mitlaufen lassen.

Wir lernen:

  • Traue nicht den Traffic-Angaben aus den Logfiles.
  • Den richtigen Traffic misst man am besten dort, wo er entsteht – im Inneren des Netzwerk-Interface.

Rette deine Freiheit

14. September 2009

Vorsicht: Ironische Darstellung von Sachverhalten, die schlagartige Ernüchterung auslösen kann.

Wem das Thema noch fremd ist, den bitte ich ehrlich um einige Minuten Aufmerksamkeit (der Film ist es wirklich wert).

http://rettedeinefreiheit.de/

»Ich hab doch nix zu verbergen« vs. Intimsphäre

10. September 2009