Der Blog von Jürgen Schiller García

Wie schon bei scill.de berichtet, hat Alexios Fakos sein erstes Buch „Sichere Webanwendung” veröffentlicht.
Da mein Blog aufgrund privater und beruflicher Änderungen etwas brach lag, möchte ich mit einem lesenswerten Beitrag scill.de wieder aufleben lassen.

Ich sitze hier mit Alexios bei seinem Lieblingsgriechen im Norden Frankfurts und esse viel Fleisch mit noch mehr Pommes.

Scill.de: Hallo Alexios, das Ambiente ist sehr beeindruckend. Kommst Du deswegen her?
Alexios: Hallo Juergen, eher wegen des guten Essens… Sieht man mir doch an;-)

Scill.de: Ok. Du hast vor kurzem Dein erstes Buch veröffentlicht. Aus dem Titel lässt sich ableiten, dass es um Sicherheit in Webanwendungen geht. Warum soll ich das lesen?
Alexios: Genau, es geht rund um das Thema Webanwendungen oder Webapplikationen und deren Sicherheit. Wenn Du Dir ein solides Grundlagenwissen diesbezüglich aneignen willst, dann ist das ein Buch für Dich. Es ist praxisbezogen, wobei die Theorie nicht zu kurz kommt. Es werden die wesentlichen Schwachstellen und -arten vorgestellt, wie z.B. SQL Injection oder Cross-Site Scripting; was solche Schwachstellen anrichten können und wie man diese findet ist ein weiterer Bestandteil des Buches Sichere Webanwendungen . Ferner werden dann die Gegenmaßnahmen diskutiert, theoretisch und praktisch, beispielsweise in Form von Quellcode. Darüber hinaus werden auch einige Fallstricke vorgestellt, die man ebenfalls beachten sollte.
Wer jedoch ein Buch sucht, wo alle Schwachstellen bei Webanwendungen peux en peux untersucht und vorstellt werden, der sollte das Geld anderweitig investieren. Es werden nur die drei häufigsten Schwachstellen ausführlich vorgestellt und zwar jene, die im letzten Jahr bei der National Vulnerability Database aufgezeichnet worden sind.

Scill.de: Ich habe jahrelange Programmiererfahrung in PHP und blogge schon eine Weile. Als Blog-Software setze ich Wordpress 2.2 ein. Über FTP schiebe ich die meine ganzen Plugins hoch achte darauf stets die aktuellste Version von Wordpress hoch zuspielen. Ich pflege also meine Blog nicht nur inhaltlich sondern auch technisch. Auf was sollte ich den achten? Was kann ich alles falsch machen? Was kann denn passieren? Und was mache ich wenn was passiert. Polizei und Provider anrufen?
Alexios: Das zeitnahe Einspielen von Updates ist wichtig, auch wenn bei einer der letzten Wordpress Version ein Backdoor eingespielt worden ist. Hier nachzulesen.
Sofern es möglich ist, sollte man die Konfigurationseinstellungen des Webservers und von dem PHP-Interpreter „härten“, was Du bisher noch nicht gemacht hast;-) Beispielsweise solltest Du die PHP-Direktive display_errors auf Off setzen…
Auch wenn es die Entwickler nicht so gerne sehen, ich würde jeden Hinweis der auf deren Software hindeutet entfernen. Wordpress zum Beispiel, generiert einen Meta-Tag mit der Bezeichnung “generator”, in der die eingesetzte Wordpress Version sichtbar ist. Traut man dieser Information, weiß ein Dritter ob Du tatsächlich regelmäßig Updates einspielst;) Ansonsten gilt es noch weitere Tricks, um eine Wordpress-Installation festzustellen. Das gleiche gilt auch für die eingesetzten Plugins. Denn die Pfade dieser Anwendung sind fest vorgegeben, wie z.B. /wp-content/plugins bzw. /wp-content. Es gibt ein spezielles Wordpress „Härtungsskipt“ das dies verhindern soll. Der „security by obscurity“-Ansatz ist aber nicht immer empfehlenswert. Solche Dinge werden in dem Buch ebenfalls diskutiert.
Wenn man was „passiert“ …. In gewisser Weise hängt die Vorgehensweise ein wenig davon ab, welches Hosting-Paket Du nutzt. Den Hoster sollte man immer informieren. Der hilft Dir dann hoffentlich weiter, beispielsweise bei der Beweissicherung.

Scill.de: Suhosin und mod_security sind Möglichkeiten seine Web-Applikation noch sicher zu machen. Was machen den diese Module?
Alexios: Suhosin führt Änderungen direkt an dem PHP Quelltext durch, um den PHP-Interpreter zu härten. Des Weiteren stellt Suhosin weitere Erweiterungen zur Verfügung, wie ein Protokollwesen oder mehrere Filterfunktionen.
mod_security ist hingegen eine Web Application Firewall. Ein definiertes Regelwerk überprüft die eingehenden HTTP-Anfragen und leitet diese ggf. an die Webanwendung weiter. Andernfalls werden die HTTP-Anfragen verworfen und dieses Ereignis wird entsprechend protokolliert.

Scill.de: Hast Du irgendwelche statistische Zahlen, die die Unsicherheit im Web wieder geben?
Alexios: Aus der letzten Bedrohungsanalyse von Symantec geht hervor, dass im ersten Halbjahr 2006 insgesamt 69 Prozent der veröffentlichten Schwachstellen Webanwendungen zuzuordnen waren. Eine prozentuale Zuordnung der Schwachstellen ist in dem Statistikprojekt des Web Application Security Consortiums (WASC) zu finden.
Ferner möchte ich darauf hinweisen, dass die Verbreitung von Malware über Webanwendungen in den letzten zwei Jahren massiv zugenommen hat. Das prominenteste Beispiel war im Februar diesen Jahres: der Dolphins Stadium Angriff.
WASC dokumentiert weitere Vorfälle, in der sog. Web Hacking Incidents Database.

Scill.de: Warum gilt den der Einsatz von AJAX als unsicher? Ich setzte die AJAX-Lib prototype.js und die Yahoo-Lib ein sowie Lightbox für Image-Angebereien. Ist das unklug?
Alexios: Webanwendungen sind auch „unsicher“, so ist es nicht;) Im Ernst, mit AJAX kann man genauso viel falsch machen, wie bei der Entwicklung einer Webanwendung. Die Schwachstellen sind die gleichen sowie die einzelnen Problemfelder. Ok, der einzige Unterschied ist die Programmiersprache JavaScript. Dennoch, am Ende des Tages sollte man sich lediglich an zwei Grundregeln halten:
1. Jeder Input ist verdorben, daher überprüfe und verarbeite ihn entsprechend.
2. Jeder Output kann unter Umständen ausgeführt werden, daher kodiere ihn entsprechend.
Aber das ist meistens leichter gesagt als getan.
Der erste dokumentierte Webwurm JS.Spacehero worm verwendete den XHR, um sich als Samy bei den MySpace Benutzern als Freund hinzuzufügen.
Letztes Jahr war Google Mail ebenfalls in den Schlagzeilen, als ein Dritter die Möglichkeit hatte, die komplette Kontaktliste eines Google Mail Benutzers auszulesen.
Letztendlich handelt es sich bei beiden Angriffen, um einen Cross-Site Request Forgery. AJAX / XHR ist daher ein nützliches Hilfsmittel um Privilegien zu eskalieren.
Das schlimme dabei ist, dass der betroffene Benutzer nichts von dem Angriff mitbekommt. Der Angriff läuft förmlich im Hintergrund ab. Und wie Du weißt, kann man XHR im asynchronen Modus verwenden …

Scill.de: Genug über scill.de und Blog. Viel kritischer ist die Einstellung zu Sicherheit von Betreiber von Online-Plattformen. Zum Beispiel zu meinen Zeiten bei Jobs.de haben wir die Anhänge der
Bewerber außerhalb von document root abgelegt, passwortgeschützt gezippt und nicht mit dem ursprünglichen Namen abgelegt. Jetzt sind 7 Jahren vergangen und da erwarte ich von kommerzielle Stellenbörsen oder Stellenbörsen von Unternehmensseiten einen noch höheres Sicherheitsniveau. Ist das so? Sind Bewerberdaten sicher? Oder macht es kein Sinn darüber nachzudenken, weil die Bewerber ihre Daten sowieso gerne preisgeben möchten?
Alexios:
Bzgl. des Sicherheitsniveaus muss Du die betroffenen Stellenbörsenbetreibern oder Unternehmen befragen… In dem E-Recruitment-Umfeld gibt es relativ viele kleine Unternehmen. Ich denke da z.B. an spezialisierte Stellenmärkte, die bestimmte Branchen oder Berufsgruppen als Zielgruppe haben.
Aus Erfahrung weiß ich, dass der Funktionsumfang einer Webanwendung in der Regel viel wichtiger ist als deren Sicherheit. Letztendlich differenziert man sich gegenüber seinen Konkurrenten mit „außergewöhnlichen Features“, die Anzahl der ausgeschriebenen Stellen und evtl. der Popularität der Stellenbörse. Nur mit diesen und anderen kritischen Erfolgsfaktoren verdient man am Ende des Tages sein Geld. Mit Sicherheit nicht; im Gegenteil. Man muss in der Regel viel Zeit und Geld investieren. Sei es durch Mitarbeiterschulungen, Security Audits oder weiteren Maßnahmen. Das entsprechende Budget fehlt allerdings. Wenn es jedoch zu dem Gau kommt, dann ist das Geschrei groß, aber auch zu spät. Das zu tragende Risiko bzw. die Eintrittswahrscheinlichkeit eines Vorfalls kennen letztendlich nur die Betreiber/Unternehmen, falls sie diese Kennzahl kennen.
Nun, sind die Bewerberdaten sicher? Nichts ist sicher, Herr Schiller;) Ich möchte das anhand des Dolphins Stadium Angriffs belegen.
Durch eine SQL Injection auf der Stellenbörse konnten Unbekannte den title-Tag manipulieren und so Ihre Malware platzieren. (die Analyse des Einbruchs ist hier nachzulesen)
Betroffen waren auch weitere Webseiten. Wenn Du nach der Malware suchst, z.B. nach cn/[1-9].js bei Google wirst Du feststellen, dass immer noch einige Seiten das Malware-Skript enthalten.
Zurück zur Ausgangsfrage. Wenn man in der Lage ist Inhalte zu verändern, dann kann man in der Regel auch die Inhalte auslesen und so personenbezogene Daten stehlen und ggf. später auf den virtuellen Schwarzmarkt verkaufen.
Die Webanwendung als Vehikel für seine Malware zu verwenden ist nicht zu unterschätzen, zumal die Dophin Stadium vor dem SuperBowl Endspiel bis zu 1.000.000 Page Impression pro Monat hatte…
Erst einen Monat später wurde der Einbruch festgestellt. Und wer weiß ob nicht einer der infizierten Rechner bei der jüngsten DDoS-Attacke auf Estland unbewusst beteiligt gewesen war.

Scill.de: Vielen Dank, Alexios, für das aufschlussreiche Gespräch.

Hab gerade wieder eine Mail bekommen.
Die Preview von www.icjobs.de ist fertig. Schöne Seite.

Derzeit habe sie 334,002 Jobangeboten von 1,313,756 Unternehmen und können sich daher als “Deutschlands größte Jobsuchmaschine und Stellenmarkt” nennen.

Diese hohe Anzahl an stets aktuellen Jobangebote wird durch den Einsatz ihrer intelligenten Webspider-Techologie gewährleistet. 1999 wurde von jobs.de (bevor es von Jobscout24 geschluckt wurde) ein ähnliches Konzept gefahren. Unternehmen die bei jobs.de Stellenanzeigen schalten wollten, mussten lediglich die URL zu ihrer Stellenbörse auf der Firmenhomepage angeben. Der damalige “Jobspider” (Ist “Jobspider” noch geschützt?) wurde entsprechend parametresiert, angepasst und täglich zum Abgleich auf die Firmenhomepage gejagt.

Die Technologie von ICJobs ist dagegen intelligenter . Der Webspider braucht nicht mal den Link zur Stellenbörse. Er braucht nur den Link zur Firmenhomepage und mit diesem Link findet der Webspider selbstständig Stellenanzeigen. Wahrscheinlich ist Dein Unternehmen schon lange drin. Für Unternehmen, die auf ICjobs.de besser platziert werden möchte, bietet ICJobs unterschiedliche Angebote an.

Hui, sind die schnell

Kaum habe ich den vorherigen Blogbeitrag online und paar Fragen zu Peoplet gestellt, werden diese auch prompt und ausführlich beantwortet.

Blogger Relationship Management als Marketinginstrument at it’s best

Es gefällt mir sehr gut, dass das Peoplet-Team aktiv in der Blogosphäre unterwegs ist und Blogger kontaktieren um auf ihr Produkt und Dienstleistung hinzuweisen.
Das Blogmonitoring über Technorati zeigt einen stetig wachsenden Anzahl an Blogbeiträgen, die alle bisher positiv über Peoplet berichten und schreiben.

In den letzten Tagen habe ich Post bekommen.
Einmal ein E-Mail von Peoplet und einmal Briefpost von Yourcha.

Zwei spannende eRecruiting-Konzepte, aber lest selbst.

Peoplet.net – Social Network Jobs

Peoplet vereint mehrere Ideen aus dem Web 2.0 Zeitalter.
Zum Beispiel die Idee Napster, BitTorrent und sonstige P2P-Clients.

Der javabasierende Peoplet-Client ermöglicht es dem Anwender sein berufliches Profil der Peopletgemeinde bereitzustellen. Der Anwender kann sein Profil je nach Karrierebedarf online und offline stellen. Laut Peoplet gibt diese Möglichkeit dem Anwender die absolute Kontrolle über seine Daten, da sein Profil nur auf seinem eigenen Rechner liegt. Die Recruiter der Peoplet-Gemeinde können so über wirklich aktive Profile suchen und mit ihren Stellenanforderungen abgleichen.
Das geht natürlich auch andersherum. Recruiter können ihre Jobangebote der Peopletgemeinde zu Verfügung stellen und bei Besetzung wieder offline nehmen.

Ein weitere web2.0-typische Idee ist der Community/Networking Gedanke. Der Peoplet-Client erlaubt es seine Kontakte mit anderen Peopletler zu pflegen und auszubauen. Natürlich kann der Anwender über den Peoplet-Client chatten und Nachrichten austauschen.

Für mich stellen sich da aber noch ein paar Fragen:

• Wie wird den die absolute Kontrolle gewährleistet, wenn ich mein Profil bereits online war und gefunden wurde.
• Wie verhindere ich, dass mich mein aktueller Arbeitgeber oder Kunden oder Geschäftspartner finden? Blacklist?
• Wo soll der Client laufen? Doch nicht auch den Arbeitsplatzrechner
• Kann ich darauf vertrauen, dass der Client wirklich nur die Daten freigibt, die ich auch freigeben möchte? Trojanerangst?

Mehr unter http://www.peoplet.net/

Yourcha – Der versicherte Jobwechsel

Als Arbeitsuchender kann ich bei Yourcha mein Profil anonym einstellen. Arbeitgeber unterbreitet bei Interesse ein konkretes Angebot und überlässt dem Arbeitsuchenden die Entscheidung. Bisher nichts Neues. Das können andere Online-Börsen auch.

Das neue daran ist die Option der Gehaltsausgleichsversicherung. Geht der Arbeitsuchende auf das Angebot ein und übersteht die Probezeit nicht oder einer späteren Kündigung, dann erhält er bis zu 12 Monate die Differenz zwischen Arbeitslosengeld und Gehalt.

Der Monatsbeitrag geht ab 17,85 Euro los und versichert einen Ausgleich bis zu 1200 Euro.
Nagut, Yourcha ist nicht wirklich ein eRecuiting Konzept aber erst im Internetzeitalter denkbar.

http://www.yourcha.com

In der Januarausgabe des managerSeminare wird das Buch “Personalmarketing und Internet. Grundlagen, Instrumente und Perspektiven der Online-Rekrutierung” besprochen. Anbei der Link:
Rezension in managerSeminare 106, 01′07

Habe Sie mal über die Tücken von automatisierten Absagen nachgedacht?

Unternehmen mit einem Bewerbervolumen im vierstelligen Bereich kommen nicht drum herum.

Die erste Tücke ist das Anti-Diskriminierungsgesetz. Unternehmen werden verpflichtet die Absagegründe zu dokumentieren.

Genügt das?

Die zweite Tücke ist der Bewerber. Kein Bewerber möchte automatisch abgesagt bekommen. Hat er doch schließlich eine Weile gebraucht das Bewerbungsformular auszufüllen.

Möchte das Unternehmen den Anschein der handverlesenen Bewerberauswahl gewahrt sehen, dürfen automatisierte Absagen

• nicht am Wochenende,
• nicht nach Feierabend,
• nicht an Feiertagen

generiert werden.

Für Weltkonzerne mit einem zentralen Bewerbermanagement-System (BMS) bedeutet das, dass sie alle Feiertage der Länder ihrer Niederlassungen in einer Datenbank vorhalten müssen und mit ihrem BMS koppeln.

Im Kapitel Weitere Plattformen und Kanäle für die Personalanwerbung schreibe ich:

Mittlerweile kann man sich das Internet auf vielfältige Art und Weise als Personalmarketing-Instrument zunutze machen.

Welche Möglichkeiten bietet mir zum Beispiel Web 2.0 mit den ganzen Blogs und Networking-Plattformen für die Personalakquise? Wie würde den Recruiting 2.0 aussehen? Macht es Sinn drüber nachzudenken oder nur als Hype abzutun?

Welche Gefahren gehen von Web 2.0 aus?

Mit Plattformen wie OpenBC werden vor allem kleiner Unternehmen aber auch Abteilungen „gläsern“. Viele Mitarbeiter sind mittlerweile dort vertreten und stellen sich zur „Schau“.

Offenbar wird die Stärkung der Loyalität der Mitarbeiter gegenüber seinem Arbeitgeber wichtiger. Das Employer Branding setzt sich als Summe aus Employee Branding zusammen… Oh, ich schweife ab.

Erstmal wieder zurück auf die Mitarbeiterrekrutierung.

Wie sieht das in der Praxis aus?

Hier zwei kurze Fallbeispiele mit der Community-Plattform OpenBC.

Aggressive Methode

OpenBC bietet eine Suche über das Feld „Ich biete“ an. Ein Headhunter kann so für seinen Kunden nach geeigneten Kandidaten recherchieren. Wahrscheinlich habe sie ihre Kontaktdaten nicht freigegeben. Macht nichts. Über Internet lässt sich sehr schnell nach der Nummer zumindest der Firma raus finden.

Der Headhunter ruft an. Mit irgendeinem Vorwand lässt er sich vom Empfang an den Kandidaten weiterleiten. Etwa

Herr Schiller hat einer Umfrage teilgenommen. Jetzt benötigen wir seine Kontaktdaten für den Versand seines Probeabos Havard Bussiness

Und schon durch gestellt. Und das Interview kann starten. Wenn der Kandidat nicht will, dann kann man sich bei ihm nach wechselwilligen Arbeitskollegen und Durchwahl erkundigen.

Rumstreunern

Der Mitarbeiter ist unglücklich. Er würde ja gerne wechseln. Aber ist zu gemütlich, faul, verdient eigentlich gut. Was macht er? Er klickt sich durch die Profile von Personalern in OpenBC.

Er sucht über das Feld „Mitglieder, die suchen, was ich biete“ und klickt sich durch die Trefferliste. Vielleicht reagiert ja ein aufmerksamer Personaler auf seinem Besuch? Und macht ihm ein Superangebot.

Wer kennt den HR-XML? In Deuschland kaum einer.

Anfang des Jahres 2006 habe ich für Wikipedia eine Artikel über HR-XML geschrieben. Ich wollte den Stein zum Rollen bringen und dass andere Wikipedianer diesen Artikel ergänzen. Ergänzt wurde der lediglich Artikel um HR-XSL.

Warum ist HR-XML sinnvoll?

In meinem Fazit schreibe ich, warum Standisierung langfristig auch im Personalbereich wichtig sein kann:

Durch den frühzeitigen Einsatz elektronischer Kanäle in der Personalanwerbung, wird die arbeitsteilige Aufgabenerfüllung von Mensch und Technik gefördert. Da noch keine Standards in dem Bereich der Personalbeschaffung existieren, können Unternehmen und HRIS-Anbieter durch Teilnahme an Innovatorennetzwerken an der Entwicklung solcher Standards mitwirken. Etwa als Mitglied im Open-HR e.V. oder Charter Member im HR-XML-Konsortium können die Unternehmen die Entwicklung in ihrem Sinne beeinflussen und die Abhängigkeit von einem bestimmten HR-Informationssystem verringern. Die Wechselkosten eines HRIS zu einem anderen werden verringert. Die HRIS werden besser vergleichbar.

Wer setzt derzeit HR-XML ein?

Folgt. Bitte Geduld

Am 19.09.2006 ist es soweit. Das Fachbuch Personalmarketing und Internet - Grundlagen, Instrumente und Perspektiven der Online-Rekrutierung erscheint und mit dem Erscheinen auch der Blog zum Buch.

Das Buch soll den Einstieg in das Personalmarketing und Internet erleichtern und ist gleichermaßen an alle Entscheidungsträger und Spezialisten im Personalbereich als auch an Studenten der Wirtschaftswissenschaften und Wirtschaftsinformatik gerichtet.
Der Blog führt diesen Einstieg konsequent weiter. Er stellt weiterführende Informationen zum Personalbeschaffung, E-Recruiting und Employer Branding zu Verfügung und geht auf tiefer auf Themen einzelner Kapitel ein. Jeder Beitrag ist von jedem Leser kommentierbar. Kommentare, Kritik und Anregungen sind ausdrücklich erwünscht.

Mit freundlichen Grüßen

Jürgen Schiller García