Motzpost

Es gibt Dinge, die glaubt man erst, wenn man sie selbst mitbekommen hat. Aus der Kategorie stammt auch das, was mir grad in Form einer E-Mail von Geocoin-Künstlerin Claudia (Sepp & Berta) in den Mailkasten gefallen ist.

Es geht um die neue Geocoin, 7 Jahre Geoclub, auch bekannt als die "grüne Hölle". Für mein Empfinden hat sich Claudia hier wieder selbst übetroffen, einfach schick das Teil, ich erwähnte es auch schon an anderer Stelle. Und ich bin ja froh, dass Claudia noch vor ihrem Urlaub die Coin fertiggestellt hat, immerhin hat sie schon bekannt gegeben, bis dahin erst mal keine Aufträge mehr annehmen zu können.

Was nach dem Entwurf kommt, ist dann nur noch Formsache: Der Entwurf muss von Groundspeak genehmigt werden und dann werden Muster hergestellt. Wenn alles in Ordnung ist kann die Produktion beginnen und spätestens nach einem Monat kann der Verkauf im Shop starten. Also in diesem Fall noch rechtzeitig.

Aber da haben wir die Rechnung ohne die prüden Amis gemacht. Auf der Coin waren nämlich 4 Männer und 3 Frauen abgebildet. Die waren zwar unbekleidet aber typische primäre Unterscheidungsmerkmale waren natürlich nicht erkennbar. Nur die Forms des Körperbaus konnte Rückschlüsse auf das Geschlecht geben. Die Figuren waren etwas weniger detailreich als eine handelsübliche Schaufensterpuppe.

Um er kurz zu machen: Der Entwurf wurde abgelehnt. Wir kriegen also eine Geocoin, die auch dem kritischen Blick aus dem Winkel einer verklemmten und ultra-christliche Erziehung keinen Schaden anrichtet. Auf dem dem neuen Entwurf sind nur noch Männer mit Shorts.

Berlin ist arm aber sexy, soll der Bürgermeister aus dem rosa Rathaus jedenfalls mal gesagt haben.

Eine Möglichkeit Geld in die Kassen zu bekommen könnten die neuen Blitzer im Britzer Tunnel sein. Und damit sich niemand erschreckt und die Lenkung verreißt wenn er mit ein paar Stundenkilometern zuviel auf diesem Teilstück der Stadtautobahn A100 erwischt wird kommt hier eine neue Perversion der Verkehrsüberwachung zum Einsatz.

Es werden sogenannte Schwarz-Blitzer verwendet, das Infrarotlicht ist für das Auge nicht zu sehen (kennt man auch so von entsprechenden Nachtcaches). Allerdings kann man es in der Kamera gut erkennen:

Na, an welcher Stelle (Minute:Sekunde) im Video ist der Blitzer? Könnte man nun einen Mystery von machen.

Besonders gemein dabei: Insgesamt 16 Kameras sind in beiden Röhren montiert und nehmen auch Cachemopeds von hinten auf. Und nur ein zufällig ausgewählter Teil der Systeme ist immer zur Zeit in Betrieb.

Dass die Stadt damit die Investition von 1,4 Millionen die der ganze Kram gekostet hat wieder rein bekommen möchte ist durchaus noch verständlich. Und natürlich muss ja auch der Verkehr notfalls mit 60 durch den insgesamt sechspurigen Tunnel kriechen wenns der Sicherheit dient.

Allerdings hat hier jemand, der jeden Tag etwas fix morgens zur Arbeit fährt gute Chancen schon nach einer Woche seinen Lappen abgeben zu dürfen, er merkt ja nicht, dass er jeden Tag aufs Neue geblitzt wurde. Und das bringt für die Verkehrserziehung so wohl ziemlich nichts. Aber immerhin kommt so Geld in die Kasse.

Die Geocachezentrale im Nordwesten der Vereinigten Staaten erstaunt mich immer wieder. Heute brachten die Golfos im GC-Supportteil der grünen Hölle das Thema auf den Tisch, dass die Passwörter bei GC im Klartext auf dem SQL-Server gespeichert werden.

Das mochte ich erst gar nicht glauben, daher schnell eben ausgeloggt und selber ausprobiert:

Forgot your password?
Enter your email address and your password will be sent to you via email.
Your account information has been emailed to you.

Ein paar Sekunden später Klingelingsiehabenpost:

Your login information for the email address webmaster@nwct.de is below:
Username: mo-cacher
Password: oregano300

Also tatsächlich. Ich sehe das von mir eingetragene Passwort. Demnach muss es seit Erstellung des Kontos dort auch im Klartext gespeichert worden sein. Erster Gedanke: Ihr habt sie doch nicht alle.

Da treiben die im Januar Update Kosmetik mit HTML und CSS, so dass fast alle Skripte und Programme die auf die GC-Unterseiten aufsetzen, ihre Probleme bekommen. Kleinigkeiten werden hier und da gefeilt und breit kommuniziert. Aber Passwörter im Klartext in der Datenbank.

Natürlich muss eine Website das Passwort irgendwie vergleichen. Schon im letzten Jahrtausend hat man aber in ollen DOS-Programmen aus Performancegründen mindestens mit XOR verschlüsselt, damit man das Passwort nicht direkt einsehen kann, wenn mal die Datei geklaut wird. Und sowas kommt gar nicht so selten vor.

Weil viele Benutzer für alles mögliche von Forum bis ebay das selbe oder einen ganz kleinen Bestand an Passwörtern verwenden und gern auch überall den gleichen Benutzernamen verwenden können Kriminelle damit dann einen Menge Unfug machen.

Deswegen wird das Passwort üblicherweise als MD5-Hashcode abgelegt, dann kann man zumindest nicht mehr direkt auf das Passwort kommen um es woanders weiterzuverwenden. Allerdings kann man sich zu einem MD5-Hashcode ein Passwort machen lassen, das ebenfalls funktioniert. Daher wird heute fast überall auch auf salted SHA1 umgestellt um eben das weiter zu erschweren.

Jedes popelige Forum oder Portal macht das heute so, die Datenbanken bieten Funktionen zur einfachen Implementierung dazu von Haus aus an. Hat der Benutzer sein Passwort vergessen kann der Admin es auch nicht sehen sondern ein neues setzen. Da bleibt nur noch jedem zu empfehlen, für GC ein Passwort zu wählen was sonst nirgends verwendet wird.