So können Sie feststellen ob Ihre
Webseite eine Schwachstelle hat.

Ist die Webseite anfällig gegen Phishing/Clickjacking?28.07.2015 – ( KOD )

Ist die Webseite anfällig gegen Phishing/Clickjacking?

In dem Beispiel können Sie Ihre Webseite testen, ob diese anfällig gegen Phishing/Clickjacking ist.

Selbstverständlich können nicht alle Sicherheitslücken überprüft werden. Da das hier getestete Sicherheitsrisiko fast ohne jeglichen Aufwand zu schließen ist, sollte jeder Webmaster die entsprechenden Vorkehrungen treffen.

Die Testseite zeigt im Ansatz Clickjacking/Phishing (entführen eines Mausklicks, abfischen von Zugangsdaten) bei unsicheren Webseiten. Hiermit wäre es möglich die Zugangsdaten (z.B. Ihr WordPress Zugang) auszuspähen. Wenn Sie mehr zu Clickjacking/Phishing erfahren wollen, suchen Sie im Netz.

Das Testbeispiel ist nicht als Beispiel geeignet, wie ein Hobby-Hacker an Ihre Zugangsdaten gelangen kann. Es zeigt aber, wie schnell man durch einen unachtsamen Klick diese preisgeben kann. Stellen Sie sich nur einmal vor, Sie haben vor dem Mausklick in entsprechende Felder Ihre Zugangsdaten eingegeben.

Ein ausgefeilteres Bespiel habe ich dem Datenschutzbeauftragen zugestellt. Er sieht dieses Sicherheitsleck so wie ich als schwerwiegende an. Schwerwiegend auch deshalb, weil die Beseitigung max. 5 Minuten (für einen Anfänger) in Anspruch nimmt.

Webmaster, die öffentliche Seiten erstellen und dieses Sicherheitsleck nicht beseitigen, sind beratungsresistent oder einfach nur ….. oder grob fahrlässig.

Man wird sich wundern. Bei fast allen Seiten die Sie testen werden, wird man diese Sicherheitsrisiko vorfinden. Und dann wird das ja wohl nicht so schlimm sein. Die Anderen haben das Risiko auch nicht beachtet. Wenn etwas passiert, wird das Geschrei groß sein. Versuchen Sie es aber einmal mit der Webseite für Ihr Onlinebanking (Login).

HINWEIS: Im Rahmen eines wohl eigens aufgesetzten Projekt, angelehnt an „Jugend forscht“ wurden Lösungen implementiert, die zeigen wie …….. man die Sache angehen kann. Bevor man den Test macht, sollte man die Vorgehensweise dieser ….. kennen. Siehe hierzu: Es gibt Webmaster die sperren Besucher aus.

Hier geht es zum Test

Seit 2011 weise ich auch diverse Unternehmen und auch Kommunen auf dieses Problem hin. Auch die Sparkasse Dieburg hatte in 2011 dieses Sicherheitsrisiko nicht beachtet. Die Sparkasse hat anders als verschiedene besser wissende oder vermeintlich besser geschulte Webmaster gehandelt und das Problem beseitigt.

…..[]…Wir haben Ihren Hinweis aufgenommen und bereits an unser Rechenzentrum zur weiteren Verifizierung weitergeleitet.

Und schwupp, das Problem war beseitigt. Siehe.

Nachtrag
Eine große Stadt in Bayern wehrt sich jetzt gegen diese Art von Angriff.

Siehe auch
» Der Hessische Datenschutzbeauftragte. Datenschutz
» Bundesamt für Sicherheit in der Informationstechnik BSI

#ArtikelMerkenFuerKommunalwahl


Bundesamt für Sicherheit
in der Informationstechnik BSI

BSI, Clickjacking, Phishing26.07.2015 – ( KOD )
 
 
IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten

[..]Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.

Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.[..]Quelle: BSI Hervorhebungen durch den Admin

Na, dann werden wir mal sehen, wie genau man es mit der Sicherheit in diesen Punkten nimmt. Ich werde berichten.
 
 


Bundestag sperrt über 100.000 Websites

Bundestag sperrt über 100.000 Websites. Clickjacking27.06.2015 – ( KOD )
 
 
Bundestag sperrt über100.000 Websites

[..]Generell sei nach dem Cyber-Angriff die Filterung von Websites „eine der ersten Maßnahmen und als vorläufige Abwehrmaßnahme sehr effektiv“ gewesen, erklärte der CDU-Politiker weiter. Auch künftig werde es im Parlament strengere Regeln für mehr IT-Sicherheit geben müssen. Aus Sicht der Unionsfraktion werde dazu auch weiterhin die Filterung gefährlicher Server im Internet gehören. Dabei solle sich das Parlament auf Informationen der Sicherheitsbehörden wie des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Verfassungsschutz (BfV) stützen.[..] Lesen Sie weiter bei Handelsblatt.com

 
Obwohl sich in letzter Zeit die Nachrichten zu „Cyber-Angriff“ Angriffen häufen, schlafen viele weiter den „Schlaf der Gerechten“. Man setzt veraltete Softwareversionen ein (evtl. dadurch auch keine Sicherheitsupdates mehr) und schützt den Webauftritt nicht einmal mit einfachsten Mitteln.

Mich wundert, in Bezug auf einen erfolgreichen Hack, nichts mehr.

 
Siehe auch
  Gravierende Sicherheitslücken bei Typo3
  Bundesamt für Sicherheit warnt von Clickjacking
  Tool mit zur Überprüfung einer sicheren Typo3 Version
  Webseiten mit der Grundsicherung geschützt?
 
 


Bundesamt für Sicherheit warnt von Clickjacking

Bundesamt für Sicherheit warnt von Clickjacking26.06.2015 – ( KOD )
 
 
BSI nennt das Folgende GRUNDSCHUTZ

Wird die Webanwendung Ziel eines Clickjacking-Angriffs, so werden Inhalte der Webanwendung in einem nicht sichtbaren Frame eingebunden. Besucht ein Benutzer eine Webseite, in der dieser Frame eingebunden ist, so werden Klicks auf sichtbare Inhalte unwissentlich vom unsichtbaren Frame abgefangen. Ist der Benutzer an der Webanwendung angemeldet, so können auf diese Weise zugriffsgeschützte Aktionen in der Webanwendung unbefugt ausgeführt werden. Um dies zu vermeiden, muss die Webanwendung sicherstellen, dass die Inhalte der eigenen Webanwendung nicht in Frames verwendet werden.[..] Lesen Sie weiter beim BSI. Bundesamt für Sicherheit in der Informationstechnik

Wenn jemand auf seinen Servern Kundendaten speichert und diese Kleinigkeit nicht beachtet geht er fahrlässig mit dem ihm anvertrauten Daten um. Denen gehört ganz kräftig in den Arsch getreten.

Man sollte sich überlegen, wenn z.B. die eignen Bankdaten auf einem solch ungeschützten Rechner abgelegt sind, ob man nicht das Löschen der Daten verlangt.

Wohlgemerkt. Es geht um eine Kleinigkeit. Umsetzbar in Sekunden und der Rechner ist ein wenig sicherer.
 
Bei einem großen Service Anbieter habe ich, wegen unsicheren LOGIN, über den Datenschutzbeauftragten die Löschung der Daten, die nicht zur Rechnungserstellung benötigt werden, löschen lassen. Mein Beispiel für den unsicheren Login hat überzeugt. Nicht für die Rechnungstellung erforderlich sind u.a. die Bankdaten. OK. Ich renne jetzt jeden Monat mit einer Überweisung zur Bank. Da muss man konsequent sein.
 
 
Siehe auch
  Gravierende Sicherheitslücken bei Typo3
 
 


Hacker greifen
Zulassungsbehörden in Hessen an.

Hacker greifen Zulassungsbehörden in Hessen an. Clickjacking23.06.2015 – ( KOD )

Hacker greifen Zulassungsbehörden in Hessen an.
[…]In Hessen waren 23 von 25, in Rheinland-Pfalz alle 39 Zulassungsstellen betroffen. Sie blieben geschlossen, wie der Sprecher weiter sagte. Spezialisten in beiden Bundesländern waren den Morgen über damit beschäftigt, die Software wieder betriebsbereit zu bekommen. Mittlerweile sollten die Stellen wieder geöffnet sein.[…] Lesen Sie weiter bei Heise.de
Hoffen wir, dass die Daten der Bürger auf den Servern der Stadt Rödermark sicher aufgehoben sind.

Bei der Offenbach-Post konnte man auch lesen: [..] Betroffen ist auch das Offenbacher Bürgerbüro [..]

Solange es noch Unternehmen oder öffentliche Einrichtungen gibt, die versäumen einfachste Mittel gegen Angriffe einzusetzen, haben es die Hacker leicht. Eine beliebte Methode der Hacker ist das Clickjacking. Um dieser Methode ein Einfallstor zu verschließen bedarf kein/kaum Aufwand. Wie Sie bei den Beispielen unter dem folgenden Link sehen können, wird selbst dieses einfach zu verschließende Einfallstor vielfach nicht geschlossen. Beispiele wo ein Angriff möglich ist..

Fehlendes Sicherheitsverständnis auch bei einigen Typo3 Anwendern.
Es soll auch Unternehmen bzw. Behörden geben, die mit Softwareversionen arbeiten, bei denen es keinen offiziellen Support (Sicherheitsupdates) mehr gibt. Ob all diese Unternehmen, Behörden einen KOSTENPFLICHTIGEN Pflegevertrag (z.B. Typo3 bis 15.000,00 Euro) abgeschlossen haben?

[..]Seit dem 25. März 2014 gibt es mit „TYPO3 CMS 6.2 LTS“ die zweite TYPO3-Version mit Langzeitsupport. Der Support für Version 4.5 wurde von offizieller Seite bis Ende März 2015 verlängert und bietet ausreichend Zeit, um die erforderliche Migration von Version 4.5 auf Version 6.2 gründlich vorzubereiten.[..] Quelle: marketing-factory

Auch ohne Update werden TYPO3 4.5-Installationen nach Ablauf des Langzeit-Supports weiterhin funktionieren – jedoch erhöht sich das Sicherheitsrisiko enorm, da Fehler und Sicherheitslücken von offizieller Seite nicht mehr behoben werden. [..]Quelle: (Hervorhebungen durch den Admin) marketing-factory

[..]Wer also noch TYPO3 CMS 4.5 nutzt und nicht in weniger als einem Monat eine potenziell unsichere Installation betreiben oder einen nicht unerheblichen Geldbetrag investieren möchte, der sollte schleunigst auf TYPO3 CMS 6.2 oder TYPO3 CMS 7.1 updaten.[..] Quelle: (Hervorhebungen durch den Admin) t3n.de


HiB. Anhörung zum IT-Sicherheitsgesetz

HiB. Anhörung zum IT-Sicherheitsgesetz. Clickjacking07.04.2015 – ( KOD )
 

01. Anhörung zum IT-Sicherheitsgesetz
Innenausschuss
Berlin: (hib/HAU) Der Innenausschuss führt am Montag, 20. April 2015 eine öffentliche Expertenanhörung zu dem von der Bundesregierung vorgelegten Entwurf eines IT-Sicherheitsgesetzes (18/4096) durch. Acht Sachverständige werden ab 14 Uhr im Raum 3.101 (Anhörungssaal) des Marie-Elisabeth-Lüders-Hauses gemeinsam mit dem Ausschuss über die Regierungsvorlage diskutieren. Interessierte Zuhörer werden gebeten, sich mit Namen und Geburtsdatum bis zum 16. April 2015 beim Ausschuss anzumelden: innenausschuss@bundestag.de
Lesen Sie weiter bei Bundestag.de

 
Clickjacking. Eine (von vielen) Möglichkeiten an Ihre Daten, z.B. Zugangsdaten für ????, zu gelangen.

Angreifer lassen die ahnungslosen Anwender – scheinbar – auf die überlagerten Objekte klicken. Tatsächlich jedoch wird der ursprüngliche Inhalt (Button/Link) der Internetseite ausgelöst. So geschieht es, dass der User – anstatt lediglich auf die ihm vorgegaukelten Links an einer Stelle zu klicken – eine vom Hacker definierte, beliebige Aktion auslöst. Quelle Wikipedia

Hier Beispiele von Webseiten. Geschützte und ungeschützte Webseiten gegen diese Art von Angriff.
Testen Sie folgenden Webseiten auf evtl. Angriffspunkte.
 
Link für allgemeinen Zugriff gesperrt.

 


Hacker-Angriffe.
Clickjacking und Phishing

Hacker-Angriffe. Clickjacking und Phishing04.08.2011 – ( KOD ) Anlass ist der heutige Zeitungsbericht Zwielichtige Ratten

Das jahrelang vertrauliche Daten von Behörden und Firmen abgegriffen werden, wundert mich nicht. Firmen und Behörden machen es den Angreifern teilweise auch recht leicht.

Ich habe vor einiger Zeit ein Beispiel veröffentlicht und als Beispielseite die Sparkasse Dieburg und die Webseite von unserem Bürgermeister Roland Kern aufgeführt.
Die Reaktion auf ein recht einfach zu beseitigendes Sicherheitsrisiko war ernüchternd.

Der Webmaster von unserem Bürgermeister Kern fühlte sich belästigt und die Sparkasse Dieburg (bzw. die übergeordnete/verantwortliche Stelle) unternimmt nichts.
###########################
Nachtrag 15.11.2011

Die Sparkasse Dieburg hat das Sicherheitsloch geschlossen.
Die aufgeführten Beispiele mit Seiten der Sparkasse funktionieren nicht mehr.

###########################

Aber um was geht es genau.
Sicherheitsexperten berichten:

Am Anfang der Attacke steht der Phishing-Angriff. Hierbei wird versucht, an Zugangsdaten zu gelangen. Mit diesen Informationen kann es möglich sein die Kontrolle über den Rechner zu erlangen. Zumindest ist es aber möglich Bankanbuchungen zu tätigen oder z.B. eMails zu lesen.

Wenn die von mir aufgeführte Möglichkeit, einen Webseitenbesucher zu täuschen geschlossen wird, ist das nicht gleichbedeutend mit der Ausrottung von Phishing-Aktionen.
Es ist aber eine Möglichkeit weniger vorhanden.

Ich sehe das so. Die teileweise schlecht geschulten Mitarbeiter von Firmen oder selbsternannte Webmaster ohne Ausbildung werden weiterhin das größere Risiko darstellen.
Aber Schuld wird der Internetnutzer sein.

Bei Phishing ist es auch für den Angreifer von Nutzen, eine Webadresse zu haben, die der angegriffenen in etwa ähnelt. Eine URL (Webadresse) kostet dem Unternehmen die unglaubliche Summe von ca. 12,00 Euro im Jahr. Da fragt man sich, haben nur die Hacker das Geld sich täuschen ähnliche Webseiten zuzulegen? Gefährdet Unternehmen/Einrichtungen/Institute Geld sollten sich zumindest die ÄHNLICHSTEN Adressen reservieren, um damit das Phishing ein wenig zu erschweren. Oder hat man sich darüber noch keine Gedanken gemacht?
Natürlich ist mir klar, man kann nicht alle Webseiten die ähnlich sind für sich beanspruchen. Aber wenn man im Jahr ca. 3000,00 Euro für die Sicherheit der Internetnutzer ausgibt, sind schon einige Lücken geschlossen. Die Vielzahl an Domains würden für die Unternehmen keinen (ganz minimal) Aufwand bedeuten.

Sparkasse freie URL
Sparkasse freie URL

Es ist schon schwierig auf Anhieb den Unterschied zu finden.
Original
bankingportal.sparkasse-dieburg.de/portal/portal/StartenIPSTANDARD
Fälschung
bankingportal.sparkasse-dieburg.be/portal/portal/StartenIPSTANDARD

Was soll mit dem Phishing eigentlich erreicht werden?
Betrug:
Man versucht an Zugangsdaten für z.B. ON-Line-Banking heranzukommen um von Ihrem Konto Geld abzubuchen.

Spionage:
Der heutige Bericht in der Zeitung zielte aber darauf ab, Zugangsdaten zum System zu erlangen um damit die Möglichkeit zu haben, den Rechner in seine Gewalt zu bringen. Damit können die Hacker ferngesteuert so arbeiten, als wenn diese autorisierte Mitarbeiter der Firma sind.

Da kann man sich die Finger wund schreiben und auch telefonieren. Man lernt immer mehr desinteressierte Menschen kennen.

Stadt Rödermark, BM und Sparkasse sind informiert

Geldraub über das Internet.

Internetgauner räumen Konto leer

 
Für mich war folgender Punkt von Interesse:
Aus OP-Online

Lechleiter, der unter anderem bei der Sparkasse Dieburg ein Online-Konto hat, druckte das Formular aus dem Allgäu aus und schickte es an die Zentrale nach Groß-Umstadt. Der Rat von dort: den Computer neu formatieren und darauf achten, dass immer aktuelle Virenschutzprogramme installiert sind. „Da hatte ich auf ein bisschen mehr Hilfe gehofft“, sagt Lechleiter und regt eine Stabsstelle gegen „Phishing-Attacken“ als Anlaufstelle für Kunden an….Lesen Sie den ganzen Artikel bei op-online .

Am 28.05.2011 habe ich der Sparkasse Dieburg die Möglichkeit aufgezeigt, um mit einer geschickt angelegten Phishing-Aktion über die ORIGINALSEITE der Sparkasse Dieburg evtl. an TAN und PIN zu gelangen.
 
Natürlich zeigt das Beispiel nur ganz GROB die Vorgehensweise. Für den Mitarbeiter, der sich mit dem Thema Internetsicherheit befasst, müssen die Alarmglocken läuten.
 
Das angefertigte Beispiel läuft nur mit Firefox und Chrome. Beim Internetexplorer wird die Trickserei sichtbar.
 
Hier geht es zu dem Beispiel: Clickjacking am Beispiel der Sparkasse.
 


Clickjacking und die Sparkasse.
Hinweise werden ernst genommen!

Clickjacking und die Sparkasse. Man nennt es auch Like Jacking.03.06.2011 ( KOD )
 
 
Zu dem Thema Clickjacking ( Man nennt es auch Like Jacking) habe ich auch die Sparkasse angeschrieben. Ganz im Gegensatz zu einem Webmaster eines anderen Webauftritts, der sich durch solche Hinweise belästigt fühlt, nimmt man bei der Sparkasse solche Hinweise sehr ernst.
Da kann man als Sparkassenkunde froh sein, dass dort die Verantwortlichen Hinweisen von außen nachgehen.

Auszug aus der Mail
…..[]…Wir haben Ihren Hinweis aufgenommen und bereits an unser Rechenzentrum zur weiteren Verifizierung weitergeleitet.

Nachtrag 20.07.2011
Scheinbar sehen die Verantwortlichen keinen Handlungsbedarf.
Siehe aus: Geldraub über das Internet.


Nachtrag 03.06.2011. Clickjacking.
Beispiel mit der Webseite von BM Roland Kern.

Clickjacking. Beispiel mit der Webseite von Bürgermeister Roland Kern.29.05.2011 ( KOD ) Bei einem Kommentar zu dem Thema Clickjacking am Beispiel der Sparkasse bin ich gebeten worden, ein besseres Beispiel zu bringen.

!!BEISPIELE FUNKTIONIEREN MIT DEN AKTUELLEN BROWSERN NICHT MEHR!!

Ein Beispiel zum Anfassen.
Der Wunsch des Lesers sei mir Befehl. Mit der heissen Nadel habe ich da ein Beispiel gestrickt. Ich will NUR die Möglichkeit aufzeigen und nicht einige Stunden in eine perfekte Seite investieren.

Lesen Sie unbedingt den Nachtrag vom 30.05.2011 ganz unten

Das Beispiel funktioniert NICHT mit den IE8 und IE9 von Microsoft. Sie müssen schon FireFox oder Chrome bemühen.

OK, dann mal los. Da habe ich mir einmal die Webseite von unserem Bürgermeister Roland Kern vorgenommen. Dort gibt es eine Funktion mit der Sie Fragen an den Bürgermeister stellen können.

Wenn Sie die Webseite zu Roland Kern und den Fragen durch die Eingabe des Links in das entsprechende Feld des Browsers eingeben passiert nicht. Bringe ich Sie aber dazu einen Link anzuklicken (und glauben Sie mir das gelingt) dann sieht das Ganze schon anders aus.

Sie befinden sich nach dem Klick auf den Link (weiter unten) auf der ORIGINALSEITE von Roland Kern. Jetzt wollen Sie einen Kommentar eingeben und klicken auf ein Eingabefeld. Jetzt ist der Augenblick gekommen. Jetzt habe ICH die volle Kontrolle. Die Fragen die Sie an den Bürgermeister stellen wollen bekomme ich.

Nicht so tragisch meinen Sie? Kommt auf die Frage an! Und das mit dem Bürgermeister ist ja nur ein Beispiel. Es könnte ja auch so mit Ihren Bankdaten geschehen.

Hier das Beispiel. Keine Angst. Sie können nichts eingeben und ich bekomme auch keine Informationen. Es geht um die Tatsache das ich könnte wenn ich wollte.
Das Beispiel funktioniert NICHT mit den IE8 und IE9 von Microsoft. Sie müssen schon FireFox oder Chrome bemühen.

HIER GEHT ES LOS:
Das Beispiel funktioniert so nicht mehr. Der Webmaster hat einen Versuch unternommen das Problem zu beheben. Er hat einfach die Webseite für die Kommentarfunktion entfernt. Das hilft natürlich nicht viel.. Siehe weiter unten den Nachtrag vom 30.05.2011.

Stellen Sie hier die Frage an den Bürgermeister Roland Kern: http://roland-kern.de/index.php/fragen.html

Natürlich habe ich unseren Bürgermeister Roland Kern vorab über dieses Sicherheitsleck in seinem Webauftritt informiert. Bin ja mal gespannt wann dieses Leck geschlossen wird.

Ausreden gibt es da keine weil es kein Hexenwerk ist dies programmtechnisch zu verhindern. Und auch der Hinweis man kann ja die falsche Adresse im Browser ablesen kann man nicht gelten lassen. Ich kann die Sache noch mehr verschleiern wenn ich mir die folgende Webseite zulege: http://www.roland-kern.be. Und jetzt wird die falsch angesurfte Seite kaum jemandem auffallen.

Nachtrag 30.05.2010
Das Beispiel funktioniert NICHT mit den IE8 und IE9 von Microsoft. Sie müssen schon FireFox oder Chrome bemühen.

Der oben aufgeführte Link/Beispiel geht nicht mehr weil die Webseite für die Kommentarfunktion
(http://roland-kern.de/index.php/fragen.html#addcomments)
nicht mehr vorhanden ist. Man hat reagiert. Aber wie?

Munter geht es weiter. Siehe Beispiel (JavaScript abschalten):
Webseite von Bürgermeister Kern.
Klicken Sie jetzt auf –> Fragen <–.
Viel schwerwiegender ist aber die Tatsache, man kann weiterhin recht einfach den Zugangscode zum abgesicherten Bereich abgreifen. Klicken Sie einfach auf den folgenden Link ….www.roland-kern.de/
…. und gehen auf der Seite ganz nach unten. Dort finden Sie die Textzeile ANMELDEN. Einfach darauf klicken und schon wieder habe ICH die Kontrolle. Und was dort eingegeben wird sind die ZUGANGSDATEN zum gesicherten Bereich der Webseite von Roland Kern.

Mein Gott Herr Webmaster. Schalten Sie doch diese Möglichkeiten ab. Entfernen Sie doch nicht einfach nur die Linkhinweise. Es ist doch nur eine einzige Zeile!!!!

Nachtrag 30.05.2011 nach dem Erhalt einer unglaublichen Mail
Suchen Sie einfach einmal bei Google nach Clickjacking und sehen sich die Ergebnisse an. Das Thema wird von jedem Sicherheitsbewusten sehr ernst genommen. Der Focus, Heise, n-tv, prosieben, sueddeutsche usw. berichtet über die Gefahren.
Nur einer (nicht der Bürgermeister) fühlt sich belästigt. Aber dazu evtl. morgen mehr

Nachtrag 31.05.2011
Ich habe über die lächerliche Mail eines Verantwortlichen (nicht vom Bürgermeister) geschlafen und mich entschieden den schon fertigen Artikel nicht zu veröffentlichen. Dem Verfasser der Mail habe ich gestern die Vorabversion des jetzt doch nicht veröffentlichten Artikels zugestellt. CC Bürgermeister Kern.
Nur eine Passage damit sich die Leser ein Bild von der Quaität der mir zugestellten Mail machen können.
Wie soll man auch auf so einen Text nett antworten:

…[]…ich habe besseres zu tun als Ihre Spielchen abzuwehren

Das sagt doch alles. Da wird Sicherheit als Spielchen beschrieben. Sicherheit ist bei ihm ein Fremdwort.
Da scheint meiner Meinung nach einer sehr hilflos zu sein.

Wenn so weiter geflickt wird wie bisher geschehen wird wahrscheinlich nicht mehr viel von der Webseite übrig bleiben. Das Problem an sich wird auch nicht durch das entfernen von Webseiten beseitigt.
Der Datenklau ist eine Gefahr. Ich könnte auf eine verseuchte Webseite weiterleiten oder schädlichen Code nachladen.

Da von einem der Verantwortlichen noch anderere Webauftritte betreut werden, vermute ich auch dort das oben beschriebene Problem.

Lesen Sie die Kommentare zu diesem Artikel.
Schluss, aus. Das war es.

Doch noch was.
Wie man als Webmaster solche Möglichkeiten verhindern kann wurde in einem früheren Blogeintrag schon beschrieben.

Nachtrag 01.06.2011
Nette Spielchen (um bei Ihren Worten zu bleiben) Herr Webmaster. Ein sicherheitsbewußter Surfer geht ohne JavaScript auf Webreise.
Ihre Versuche verfehlen das Ziel.

Nachtrag 03.06.2011
Sparkasse fühlt sich nicht belästigt. Man nimmt sich dem Problem an.

Dieser Artikel wurde bis zum 30.5.2011 22.00 h 237 Mal aufgerufen.

Dieser Blog wurde angesurft mit
IE -> 37%
FireFox -> 31%
Chrome -> 2%
Rest -> 30%