Six Groups im Unternehmenseinsatz.

Ich bin über Twitter auf SixGroup aufmerksam geworden. Ich bin an allem Webzweunulligem interresiert. Vor allem was man mit einem Blog so machen kann.

Aus der hohlen Hand

Für Unternehmen fällt mir folgendes Szenario ein:

Als Sixgroup-Mitglied habe ich die Wahl einer Community beizutreten oder auch nicht.
Es sind also drei Usergruppen vorhanden.
Anonymer Gast
Anonymer Sixgroup-Gast (Nicht bei der Community)
Bekannter Sixgroup-Gast (Bei der Community)

Marktforschung

Wenn ihr das Feature „Besucher meiner Community“ einbaut, dürft ihr nur Community-Mitglieder namentlich auflösen, und das auch nur wenn das wirklich will (Opt-in)
Aber Sixgroup-Gast hat ein Profil mit Information (Alter, Geschlecht, Bildungsstand, Hobby) (auch Opt-In) und Referrer (mit evtl. Suchbegriff)

Denkbar wäre es diese Informationsbereitstellung den Unternehmen (Community-Betreiber) zu verkaufen. Cooles Business-Case.

Wenn ein Unternehmen eine neue Werbekampagne für ein Produkt startet, kann es auf der Produktseite eine Sixgroup-Community einrichten und so ein bisschen Marktforschungsdaten erheben.

Web 2.0 Aggregator

Das Untenehmen kann über Flickr, Technorati weitere Infos in die Community-Plattform reinspülen. Das Unternehmen macht Werbung auf Online-Plattformen (hash-tagging nicht vergessen) und aggregiert das alles auf der Community-Plattform.

Blog-Monitor

Wie oben, aber mit dem Hintergedanken auf kritische Blogeinträge zu reagieren

Aber meine Gedanken kreisen noch

Macht weiter Jungs!

Oracle richtet dieses Jahr zum ersten Mal den APEX Award aus

Ist eben per Newsletter bei mir eingetroffen.

Der Oracle APEX Award 2008 prämiert Entwickler, die auf der Basis von Oracle Applications Express (APEX) Programme als Freeware erstellen und diese der breiten Öffentlichkeit zur Verfügung stellen.

Das Preisgeld für den ersten Platz beträgt 5.000,- €. Der Gewinner wird durch eine Jury ermittelt, die sowohl die Anwendung als auch die Bedienbarkeit beurteilt.

Neben dem Preisgeld winkt eine Bekanntmachung auf relevanten Websites und in anderen Medien.

Oracle APEX ist eine Entwicklungsumgebung für webbasierte Datenbank-Frontends.
– Nicht-IT-Ler können einfache Unternehmensanwendungen ohne Programmierkenntnisse erstellen
– Es sind komplexe Unternehmensanwendungen möglich
– Support durch Oracle

Die Teilnahme ist ohne Verpflichtungen.
Die Entwicklungsumgebung kostenlos.
Man kann auch ohne Oracle Kenntnisse entwickeln.
Oracle APEX ist Ideal zum Einstieg in die Oracle Welt.

Gewinnen kann man beim Oracle APEX Award bis zu 5.000,- €!
Erster Platz: 5.000,- €
Zweiter Platz: 2.000,- €
Dritter Platz: 1.000,- €

Informationen zum Wettbewerb
Teilnahmebedingungen
Anmeldung

Beispiele der Entwickler-Community

Der neue Buzz im Buzz: Web 2.0 Mining

Nun, ich habe mich eine Weile mit Web 2.0 beschäftige und beschäftige mich jetzt beruflich mit Data Warehouse, Data Mining und Business Intelligence und ähnlichem. Da liegt es nahe beides mal zusammenzubringen und raus kommt: Web 2.0 Mining.

Nur 103 Treffer

Derzeit gibt es gerade mal nur 103 Treffer in Google zu dem Begriff „Web 2.0 Mining“ (Stand 01.11.2007). Nur eine Seite auf Deutsch, aber ich bin mir sicher: Da kommt noch was :-).

Schauen wir uns mal den ersten Treffer an: Web 2.0 Mining: Analyzing Social Media

Ein lesenswerter Artikel, wie ich finde. Der Artikel behandelt jedoch ausschließlich nur das Thema „Blogs“ und „Splogs“ – die Kurzform von „Spam-Blogs“.

Ein guter Anfang,

der ausgebaut gehört. Und zwar nach den Gesichtspunkten:

  • Information as a Service (IaaS) vs. Software as a Service (SaaS)
  • Collective Intelligence vs. Business Intelligence
  • Datenveredlung durch Datendienste, wie Google-Maps usw.
  • Mashups als Web 2.0 Mining Tool
  • Web 2.0 Applikationen als Datenquelle für Data Mining
  • Collective Intelligence als Datenquelle für Data Mining
  • Collective Intelligence für Cleansing in ETL-Prozessen

Aber viel spannender finde ich folgenden Gedanken

So wie es Millionen von User gibt, die in Wikis, Blogs und Foren Informationen austauschen und jeder für sich Wissen daraus extrahiert, gibt es doch ebenso Millionen von Unternehmen (Klein-Unternehmer und Mittelstand), die Informationen/Daten unter Nutzung von Web 2.0 Technologien austauschen könnten.

Ist der Geist des freien Austausch von Information in Web 2.0-Manier auch auf Unternehmen übertragbar?

Jedes Unternehmen sitzt doch auf einen kleinen oder großen Berg von Daten. Wenn sie diese Daten (anonymisiert natürlich) der Öffentlichkeit bereitstellen würden und das würden viele Unternehmen tun, dann wäre tolle Sachen damit möglich: Web 2.0 Mining.

Natürlich ist diese Idee nicht neu, aber im Zuge des Web 2.0 Hypes rückt diese Idee wieder in Fokus der „Analysten“.

Folgende Bedenken liegen auf der Hand

1. Tod des Web 2.0 Mining durch die Unmöglichkeit einer 100% Anonymisierung.
2. Tod des Web 2.0 Mining durch böswillige Desinformation

Diesen Gedanken wollte ich mal los werden.

Schönen Feiertag noch.

Euer Buzz-Forscher

Logg Dich aus, Mann!

Ich gebe ja zu. Ich logge mich selten selber aus irgendwelche Web-Anwendungen aus.
Aber so wirklich schlau, ist das nicht.

Warum?

Nehmen wir mal an, Du bist in OpenBC/Xing angemeldet und bist stets eingeloggt.

Und dann kommst Du auf scill.de. Wenn ich nun diesen simplen HTML-Tag
<img src="http://www.xing.com/profile/Juergen_SchillerGarcia" >
in meine Seite einbaue, dann wäre es so, als hättest du hier drauf geklickt. Auf mein Xing-Profil. Und weil ich ein Premium-Account bei Xing habe, sehe ich, aha, Du warst auf meine Seite. Das sehe ich unter „Besucher meines Profils“.

Na und, ist doch harmlos, oder?

Nehmen wir mal an scill.de redet nicht über Web 2.0 und sonstiges Internetgedöns sondern über Kindersex, Hitler, Terroranschläge und ähnlich kritische Themen. Welches Bild wirft das auf Dich? Auf einmal bist Du ein KiFi, Nazi oder Terrorist. Oder nur ein Student/Journalist/Mündiger Bürger der ein bisschen drüber recherchieren möchte. Hm , jaja. Bestimmt.

Denk mal drüber nach.

Dieser simpler HTML-Tag ist eine Variante des Cross-Site-Request-Forgery. Dieser Hack ist wohl der am meist unterschätzte Hack überhaupt. Und der einfachste.
Also.

Logg Dich schnell lieber aus.

Tech Talk: Sicherer Blog– ein Interview mit Alexios Fakos

Wie schon bei scill.de berichtet, hat Alexios Fakos sein erstes Buch „Sichere Webanwendung“ veröffentlicht.
Da mein Blog aufgrund privater und beruflicher Änderungen etwas brach lag, möchte ich mit einem lesenswerten Beitrag scill.de wieder aufleben lassen.

Ich sitze hier mit Alexios bei seinem Lieblingsgriechen im Norden Frankfurts und esse viel Fleisch mit noch mehr Pommes.

Scill.de: Hallo Alexios, das Ambiente ist sehr beeindruckend. Kommst Du deswegen her?
Alexios: Hallo Juergen, eher wegen des guten Essens… Sieht man mir doch an;-)

Scill.de: Ok. Du hast vor kurzem Dein erstes Buch veröffentlicht. Aus dem Titel lässt sich ableiten, dass es um Sicherheit in Webanwendungen geht. Warum soll ich das lesen?
Alexios: Genau, es geht rund um das Thema Webanwendungen oder Webapplikationen und deren Sicherheit. Wenn Du Dir ein solides Grundlagenwissen diesbezüglich aneignen willst, dann ist das ein Buch für Dich. Es ist praxisbezogen, wobei die Theorie nicht zu kurz kommt. Es werden die wesentlichen Schwachstellen und -arten vorgestellt, wie z.B. SQL Injection oder Cross-Site Scripting; was solche Schwachstellen anrichten können und wie man diese findet ist ein weiterer Bestandteil des Buches Sichere Webanwendungen . Ferner werden dann die Gegenmaßnahmen diskutiert, theoretisch und praktisch, beispielsweise in Form von Quellcode. Darüber hinaus werden auch einige Fallstricke vorgestellt, die man ebenfalls beachten sollte.
Wer jedoch ein Buch sucht, wo alle Schwachstellen bei Webanwendungen peux en peux untersucht und vorstellt werden, der sollte das Geld anderweitig investieren. Es werden nur die drei häufigsten Schwachstellen ausführlich vorgestellt und zwar jene, die im letzten Jahr bei der National Vulnerability Database aufgezeichnet worden sind.

Scill.de: Ich habe jahrelange Programmiererfahrung in PHP und blogge schon eine Weile. Als Blog-Software setze ich WordPress 2.2 ein. Über FTP schiebe ich die meine ganzen Plugins hoch achte darauf stets die aktuellste Version von WordPress hoch zuspielen. Ich pflege also meine Blog nicht nur inhaltlich sondern auch technisch. Auf was sollte ich den achten? Was kann ich alles falsch machen? Was kann denn passieren? Und was mache ich wenn was passiert. Polizei und Provider anrufen?
Alexios: Das zeitnahe Einspielen von Updates ist wichtig, auch wenn bei einer der letzten WordPress Version ein Backdoor eingespielt worden ist. Hier nachzulesen.
Sofern es möglich ist, sollte man die Konfigurationseinstellungen des Webservers und von dem PHP-Interpreter „härten“, was Du bisher noch nicht gemacht hast;-) Beispielsweise solltest Du die PHP-Direktive display_errors auf Off setzen…
Auch wenn es die Entwickler nicht so gerne sehen, ich würde jeden Hinweis der auf deren Software hindeutet entfernen. WordPress zum Beispiel, generiert einen Meta-Tag mit der Bezeichnung „generator“, in der die eingesetzte WordPress Version sichtbar ist. Traut man dieser Information, weiß ein Dritter ob Du tatsächlich regelmäßig Updates einspielst;) Ansonsten gilt es noch weitere Tricks, um eine WordPress-Installation festzustellen. Das gleiche gilt auch für die eingesetzten Plugins. Denn die Pfade dieser Anwendung sind fest vorgegeben, wie z.B. /wp-content/plugins bzw. /wp-content. Es gibt ein spezielles WordPress „Härtungsskipt“ das dies verhindern soll. Der „security by obscurity“-Ansatz ist aber nicht immer empfehlenswert. Solche Dinge werden in dem Buch ebenfalls diskutiert.
Wenn man was „passiert“ …. In gewisser Weise hängt die Vorgehensweise ein wenig davon ab, welches Hosting-Paket Du nutzt. Den Hoster sollte man immer informieren. Der hilft Dir dann hoffentlich weiter, beispielsweise bei der Beweissicherung.

Scill.de: Suhosin und mod_security sind Möglichkeiten seine Web-Applikation noch sicher zu machen. Was machen den diese Module?
Alexios: Suhosin führt Änderungen direkt an dem PHP Quelltext durch, um den PHP-Interpreter zu härten. Des Weiteren stellt Suhosin weitere Erweiterungen zur Verfügung, wie ein Protokollwesen oder mehrere Filterfunktionen.
mod_security ist hingegen eine Web Application Firewall. Ein definiertes Regelwerk überprüft die eingehenden HTTP-Anfragen und leitet diese ggf. an die Webanwendung weiter. Andernfalls werden die HTTP-Anfragen verworfen und dieses Ereignis wird entsprechend protokolliert.

Scill.de: Hast Du irgendwelche statistische Zahlen, die die Unsicherheit im Web wieder geben?
Alexios: Aus der letzten Bedrohungsanalyse von Symantec geht hervor, dass im ersten Halbjahr 2006 insgesamt 69 Prozent der veröffentlichten Schwachstellen Webanwendungen zuzuordnen waren. Eine prozentuale Zuordnung der Schwachstellen ist in dem Statistikprojekt des Web Application Security Consortiums (WASC) zu finden.
Ferner möchte ich darauf hinweisen, dass die Verbreitung von Malware über Webanwendungen in den letzten zwei Jahren massiv zugenommen hat. Das prominenteste Beispiel war im Februar diesen Jahres: der Dolphins Stadium Angriff.
WASC dokumentiert weitere Vorfälle, in der sog. Web Hacking Incidents Database.

Scill.de: Warum gilt den der Einsatz von AJAX als unsicher? Ich setzte die AJAX-Lib prototype.js und die Yahoo-Lib ein sowie Lightbox für Image-Angebereien. Ist das unklug?
Alexios: Webanwendungen sind auch „unsicher“, so ist es nicht;) Im Ernst, mit AJAX kann man genauso viel falsch machen, wie bei der Entwicklung einer Webanwendung. Die Schwachstellen sind die gleichen sowie die einzelnen Problemfelder. Ok, der einzige Unterschied ist die Programmiersprache JavaScript. Dennoch, am Ende des Tages sollte man sich lediglich an zwei Grundregeln halten:
1. Jeder Input ist verdorben, daher überprüfe und verarbeite ihn entsprechend.
2. Jeder Output kann unter Umständen ausgeführt werden, daher kodiere ihn entsprechend.
Aber das ist meistens leichter gesagt als getan.
Der erste dokumentierte Webwurm JS.Spacehero worm verwendete den XHR, um sich als Samy bei den MySpace Benutzern als Freund hinzuzufügen.
Letztes Jahr war Google Mail ebenfalls in den Schlagzeilen, als ein Dritter die Möglichkeit hatte, die komplette Kontaktliste eines Google Mail Benutzers auszulesen.
Letztendlich handelt es sich bei beiden Angriffen, um einen Cross-Site Request Forgery. AJAX / XHR ist daher ein nützliches Hilfsmittel um Privilegien zu eskalieren.
Das schlimme dabei ist, dass der betroffene Benutzer nichts von dem Angriff mitbekommt. Der Angriff läuft förmlich im Hintergrund ab. Und wie Du weißt, kann man XHR im asynchronen Modus verwenden …

Scill.de: Genug über scill.de und Blog. Viel kritischer ist die Einstellung zu Sicherheit von Betreiber von Online-Plattformen. Zum Beispiel zu meinen Zeiten bei Jobs.de haben wir die Anhänge der
Bewerber außerhalb von document root abgelegt, passwortgeschützt gezippt und nicht mit dem ursprünglichen Namen abgelegt. Jetzt sind 7 Jahren vergangen und da erwarte ich von kommerzielle Stellenbörsen oder Stellenbörsen von Unternehmensseiten einen noch höheres Sicherheitsniveau. Ist das so? Sind Bewerberdaten sicher? Oder macht es kein Sinn darüber nachzudenken, weil die Bewerber ihre Daten sowieso gerne preisgeben möchten?
Alexios:
Bzgl. des Sicherheitsniveaus muss Du die betroffenen Stellenbörsenbetreibern oder Unternehmen befragen… In dem E-Recruitment-Umfeld gibt es relativ viele kleine Unternehmen. Ich denke da z.B. an spezialisierte Stellenmärkte, die bestimmte Branchen oder Berufsgruppen als Zielgruppe haben.
Aus Erfahrung weiß ich, dass der Funktionsumfang einer Webanwendung in der Regel viel wichtiger ist als deren Sicherheit. Letztendlich differenziert man sich gegenüber seinen Konkurrenten mit „außergewöhnlichen Features“, die Anzahl der ausgeschriebenen Stellen und evtl. der Popularität der Stellenbörse. Nur mit diesen und anderen kritischen Erfolgsfaktoren verdient man am Ende des Tages sein Geld. Mit Sicherheit nicht; im Gegenteil. Man muss in der Regel viel Zeit und Geld investieren. Sei es durch Mitarbeiterschulungen, Security Audits oder weiteren Maßnahmen. Das entsprechende Budget fehlt allerdings. Wenn es jedoch zu dem Gau kommt, dann ist das Geschrei groß, aber auch zu spät. Das zu tragende Risiko bzw. die Eintrittswahrscheinlichkeit eines Vorfalls kennen letztendlich nur die Betreiber/Unternehmen, falls sie diese Kennzahl kennen.
Nun, sind die Bewerberdaten sicher? Nichts ist sicher, Herr Schiller;) Ich möchte das anhand des Dolphins Stadium Angriffs belegen.
Durch eine SQL Injection auf der Stellenbörse konnten Unbekannte den title-Tag manipulieren und so Ihre Malware platzieren. (die Analyse des Einbruchs ist hier nachzulesen)
Betroffen waren auch weitere Webseiten. Wenn Du nach der Malware suchst, z.B. nach cn/[1-9].js bei Google wirst Du feststellen, dass immer noch einige Seiten das Malware-Skript enthalten.
Zurück zur Ausgangsfrage. Wenn man in der Lage ist Inhalte zu verändern, dann kann man in der Regel auch die Inhalte auslesen und so personenbezogene Daten stehlen und ggf. später auf den virtuellen Schwarzmarkt verkaufen.
Die Webanwendung als Vehikel für seine Malware zu verwenden ist nicht zu unterschätzen, zumal die Dophin Stadium vor dem SuperBowl Endspiel bis zu 1.000.000 Page Impression pro Monat hatte…
Erst einen Monat später wurde der Einbruch festgestellt. Und wer weiß ob nicht einer der infizierten Rechner bei der jüngsten DDoS-Attacke auf Estland unbewusst beteiligt gewesen war.

Scill.de: Vielen Dank, Alexios, für das aufschlussreiche Gespräch.

Relaunch von ICJobs

Hab gerade wieder eine Mail bekommen.
Die Preview von www.icjobs.de ist fertig. Schöne Seite. 🙂

Derzeit habe sie 334,002 Jobangeboten von 1,313,756 Unternehmen und können sich daher als „Deutschlands größte Jobsuchmaschine und Stellenmarkt“ nennen.

Diese hohe Anzahl an stets aktuellen Jobangebote wird durch den Einsatz ihrer intelligenten Webspider-Techologie gewährleistet. 1999 wurde von jobs.de (bevor es von Jobscout24 geschluckt wurde) ein ähnliches Konzept gefahren. Unternehmen die bei jobs.de Stellenanzeigen schalten wollten, mussten lediglich die URL zu ihrer Stellenbörse auf der Firmenhomepage angeben. Der damalige „Jobspider“ (Ist „Jobspider“ noch geschützt?) wurde entsprechend parametresiert, angepasst und täglich zum Abgleich auf die Firmenhomepage gejagt.

Die Technologie von ICJobs ist dagegen intelligenter . Der Webspider braucht nicht mal den Link zur Stellenbörse. Er braucht nur den Link zur Firmenhomepage und mit diesem Link findet der Webspider selbstständig Stellenanzeigen. Wahrscheinlich ist Dein Unternehmen schon lange drin. Für Unternehmen, die auf ICjobs.de besser platziert werden möchte, bietet ICJobs unterschiedliche Angebote an.

Antwort von Peoplet.net

Hui, sind die schnell 🙂

Kaum habe ich den vorherigen Blogbeitrag online und paar Fragen zu Peoplet gestellt, werden diese auch prompt und ausführlich beantwortet.

Blogger Relationship Management als Marketinginstrument at it’s best

Es gefällt mir sehr gut, dass das Peoplet-Team aktiv in der Blogosphäre unterwegs ist und Blogger kontaktieren um auf ihr Produkt und Dienstleistung hinzuweisen.
Das Blogmonitoring über Technorati zeigt einen stetig wachsenden Anzahl an Blogbeiträgen, die alle bisher positiv über Peoplet berichten und schreiben.

Yourcha und Peoplet: Zwei neue eRecruiting-Konzepte.

In den letzten Tagen habe ich Post bekommen.
Einmal ein E-Mail von Peoplet und einmal Briefpost von Yourcha.

Zwei spannende eRecruiting-Konzepte, aber lest selbst.

Peoplet.net – Social Network Jobs

Peoplet vereint mehrere Ideen aus dem Web 2.0 Zeitalter.
Zum Beispiel die Idee Napster, BitTorrent und sonstige P2P-Clients.

Der javabasierende Peoplet-Client ermöglicht es dem Anwender sein berufliches Profil der Peopletgemeinde bereitzustellen. Der Anwender kann sein Profil je nach Karrierebedarf online und offline stellen. Laut Peoplet gibt diese Möglichkeit dem Anwender die absolute Kontrolle über seine Daten, da sein Profil nur auf seinem eigenen Rechner liegt. Die Recruiter der Peoplet-Gemeinde können so über wirklich aktive Profile suchen und mit ihren Stellenanforderungen abgleichen.
Das geht natürlich auch andersherum. Recruiter können ihre Jobangebote der Peopletgemeinde zu Verfügung stellen und bei Besetzung wieder offline nehmen.

Ein weitere web2.0-typische Idee ist der Community/Networking Gedanke. Der Peoplet-Client erlaubt es seine Kontakte mit anderen Peopletler zu pflegen und auszubauen. Natürlich kann der Anwender über den Peoplet-Client chatten und Nachrichten austauschen.

Für mich stellen sich da aber noch ein paar Fragen:

  • Wie wird den die absolute Kontrolle gewährleistet, wenn ich mein Profil bereits online war und gefunden wurde.
  • Wie verhindere ich, dass mich mein aktueller Arbeitgeber oder Kunden oder Geschäftspartner finden? Blacklist?
  • Wo soll der Client laufen? Doch nicht auch den Arbeitsplatzrechner 😕
  • Kann ich darauf vertrauen, dass der Client wirklich nur die Daten freigibt, die ich auch freigeben möchte? Trojanerangst?

Mehr unter http://www.peoplet.net/

Yourcha – Der versicherte Jobwechsel

Als Arbeitsuchender kann ich bei Yourcha mein Profil anonym einstellen. Arbeitgeber unterbreitet bei Interesse ein konkretes Angebot und überlässt dem Arbeitsuchenden die Entscheidung. Bisher nichts Neues. Das können andere Online-Börsen auch.

Das neue daran ist die Option der Gehaltsausgleichsversicherung. Geht der Arbeitsuchende auf das Angebot ein und übersteht die Probezeit nicht oder einer späteren Kündigung, dann erhält er bis zu 12 Monate die Differenz zwischen Arbeitslosengeld und Gehalt.

Der Monatsbeitrag geht ab 17,85 Euro los und versichert einen Ausgleich bis zu 1200 Euro.
Nagut, Yourcha ist nicht wirklich ein eRecuiting Konzept aber erst im Internetzeitalter denkbar.

http://www.yourcha.com