Schockwellenreiter: Dienstag, den 10. Februar 2015

Schockwellenreiter → Archiv → Februar 2015 → Dienstag, den 10. Februar 2015

Gelsenkirchener Barock (mit abgesägten Beinen) in der Hermannstraße: Ein weiteres, schönes Fundstück für unsere flickr-Serie Wohnsitz Neukölln, die mittlerweile über 1.100 Photos umfaßt. [Photo (cc): Jörg Kantel] (#) ()

Localhost (oder: Da gehen sie hin, Eure Daten)

Die Default-Anleitung der MongoDB geht davon aus, daß die Datenbank und die Anwendung auf einem lokalen Rechner laufen und über 127.0.0.1 miteinander kommunizieren. Deshalb gibt es da keinerlei Zugriffskontrolle. Läuft nun die Datenbank auf einem anderen Rechner, im Netz oder gar in der Cloud, sollte man nicht nur die IP-Adresse ändern, sondern auch eine Zugangskontrolle einführen. Das gehört zum Grundwissen eines jeden Systemadministrators. Doch viele große Unternehmen leisten sich wohl keine erfahrenen Systemadministratoren mehr oder die wenigen noch vorhandenen sind maßlos überlastet. Manchmal überträgt man solch wichtige Aufgaben auch den selbsternannten Webdesignern oder anderen Praktikanten. Nur so kann ich mir vorstellen, daß Studenten der Universität Saarland eher per Zufall über 40.000 ungesicherte MongoDBs im Netz entdecken konnten, darunter unter anderem die »Kundendatenbank eines französischen börsennotierten Internetdienstanbieters und Mobiltelephoniebetreibers, die Adressen und Telephonnummern von rund acht Millionen Franzosen enthielt«, aber auch mindestens ein deutscher Online-Händler war dabei. Namen, Adressen, Email-Adressen und Kreditkartennummern standen in den Datenbanken völlig frei im Internet. (Den ausführlichen Bericht der Studenten gibt es hier .)

Auch wenn vielleicht die Anleitung von MongoDB auf die Risiken hätte hinweisen können, möchte ich die Schuld nicht der Datenbank in die Schuhe schieben. Denn die MongoDB kann natürlich abgesichert werden. Und ich möchte auch nicht wissen, wieviele MAMP-Installationen mit ebenfalls un- resp. schlecht gesicherter MySQL-Datenbank trotz Warnung in der Anleitung öffentlich zugänglich sind. Hier fehlt es eher am Problembewußtsein der Verantwortlichen und am Know How derjenigen, die von ihrem Chef die Anweisung bekommen: »Stell das doch mal schnell ins Netz.« Sicherheit kostet – Manpower und Geld! [Rainer G. per Email.] (Kommentieren) (#) ()

1 (Email-) Kommentar

Man kann MongoDB sehr wohl eine Schuld geben, denn der MongoDB Dämon bindet sich defaultmässig auf alle IP Adressen anstatt localhost. Außerdem gibt es kein Default Securitypolicy, kein Defaultpasswort, überhaupt kein Passwort.

– Andreas J. (Kommentieren) (#)

Unbegrenzten Photo-Speicher für alle

flickr-Konkurrent Imgur stellt sein Premium-Angebot ein und bietet nun allen Nutzern unbegrenzten, kostenlosen Speicherplatz. Bislang blieb dies Abonnenten vorbehalten, die rund 24 Dollar pro Jahr dafür bezahlen mußten. Ich würde Imgur ja mal testen, aber irgendwie gefällt mir die Anmutung der Site nicht – wirkt auf mich wie eine schlechte Kopie von Tumblr, und damit bin ich auch nicht warmgeworden. [Futurezone] (Kommentieren) (#) ()

Fehlerhaft: Private GitHub-Repositories mit npm installieren

Die Paketverwaltung npm kann Module nicht nur aus der öffentlichen Registry herunterladen und installieren, sondern auch von GitHub. Das funktioniert aufgrund eines Fehlers in npm unter Node.js 0.12 und io.js allerdings nur bedingt. Golo Roden zeigt, wie sich das Problem lösen läßt. [heise Developer] (Kommentieren) (#) ()

Extrem-Abmahnen

Berlin versteht bei der Olympiabewerbung keinen Spaß und hat das Metronaut-Blog gleich zweimal wegen einer Olympia-Satire abgemahnt, darunter einmal vom Land Berlin in Form des Senats. Beide Abmahnungen wurden von derselben Kanzlei verschickt. Stein des Anstoßes war eine im Metronaut-Blog dieser Tage erschienene Plakatreihe zur Olympia-Bewerbung, die klar als Satire gekennzeichnet eine historische Anspielung auf die letzten olympischen Spiele in Berlin unter Adolf Hitler brachte: »Offener Umgang mit Vergangenheit«.

Die Plakatreihe gefiel sicher geschmacklich nicht jedem, aber das ist in diesem Fall egal, denn dies sollte trotz Adbusting klar von der Satire- und Meinungsfreiheit gedeckt sein. Und immerhin steht deutlich »Satire« dabei, was auch in den Screenshots zu sehen ist, die den Abmahnungen beigefügt waren: Zensur: Doppelt abgemahnt wegen Satire-Olympia-Motiven.

Was der Berliner Senat hier betreibt, ist ein klarer Fall von Zensur, wie auch die Würdigung des Rechtsanwalts Markus Kompa in der Telepolis feststellt. Diese schließt mit dem Satz: »Waren wir nicht vor einem Monat alle »Charlie«? Wer diese Abmahnung beauftragt hat, sollte bitte zum Dopingtest. Dringend.« Und wer auch immer im Namen aller Berliner behauptet »Wir wollen die Spiele«, der lügt. Ich will sie nämlich nicht! Und ich kenne noch viele andere Berliner – vermutlich die Mehrheit der Bevölkerung – die sie auch nicht wollen. Aber um eine Volksabstimmung drückt sich der Senat. Dafür schwingt er aus Angst vor dem absehbaren Scheitern heiter die Zensurkeule. Schämt Euch! [netzpolitik.org, Telepolis] (Kommentieren) (#) ()