powerbook_blog

klein, praktisch, unverdaulich seit 2004

Wunderwelt Internet

| Keine Kommentare

Ich bin ja immer wieder begeistert. Vom Internet. Und von all den Firmen, die mit dem Internet Geld verdienen. Richtig spannend finde ich immer dann diese, die scheinbar keine Ahnung haben, aber es doch schaffen, den Kunden das grosse Geld aus der Tasche zu ziehen.

Für ein Projekt im Rahmen meiner Selbstständigkeit habe ich einen reizenden Kunden, der von einem System auf ein anderes umsteigen möchte. Nun sollten die Daten aus dem einen System ins andere übernommen werden. Knapp 300 Datensätze a 7 Felder. Da muss ein armer Student schon ziemlich oft Copy und Paste bemühen.

Also habe ich bei dem für meinen Kunden zuständigen Partner des Software-Betreibers (Anbieter) nachgefragt, ob man mir ein CSV/XML-Schema geben könnte, in dem ich die vorhandenen Daten dann aufbereite, damit man sie kostenneutral in die Datenbank des Anbieters einlesen kann.

K O S T E N N E U T R A L ? Ich sollte nicht so schreckliche Fremdwörter benutzen. Also habe ich mir die Pflegemasken des Anbieters angesehen. Super. HTML-Formulare anno 1997. Muss ja auch nicht alles schick sein. Aber die Handhabung ist auch eher aberwitzig. Zuerst muss man einen Link anklicken, damit ein neuer Blanko-Datensatz angelegt wird. Dann kann man eben diesen Datensatz pflegen.

Also habe ich zunächst mal 300 Mal auf diesen Link geklickt. Dann habe ich mit die erste ID genommen, das HTML-Formular auf meinem Server abgelegt und die Daten des Kunden in eine Datenbank gestopft. Nun denn fix 300 Mal meine modifizierte Maske aufgerufen und die darin eingebetteten Kundendaten abgespeichert. Das ganze hat inkl. Anpassungen und einigen Neuberechnungen der Werte eine Stunde gedauert. Ich fand mich super.

Heute bekommt mein Kunde eine E-Mail von dem Anbieter, dass die Datensätze eines anderen Kunden mit den Daten meines Kunden überschrieben worden sind. Wie das denn kommen würde?

Also, wenn ich der Anbieter wäre, dann würde ich mich ja selbst um so ein Problem kümmern und nicht gerade einen Kunden fragen…

Ich habe das jetzt geprüft. Und als ich die 300 Mal auf diesen ollen Link geklickt habe, hat der andere Kunde ebenfalls neue Datensätze angelegt. Meine Vermutung, dass das System nicht prüft, ob der Datensatz der Person auch gehört, die ihn da versucht zu ändern, hat sich bestätigt. Schlimmer noch – man muss sich überhaupt nicht bei dem System anmelden. Ich kann jetzt ohne Anmeldung auf sämtliche Datensätze des Systems zugreifen und diese manipulieren.

Keine Sorge, das sind jetzt weder spannende Daten, noch kann man irgendwas damit anfangen. Aber kritisch finde ich das schon. Ich habe meinem Kunden jetzt ein paar Zeilen geschickt, in denen ich mich höflich entschuldige und auf die Sicherheitslücke … uhm Verzeihung … das klaffende schwarze Sicherheitsloch hinweise. Ich bin mal gespannt, was da noch kommt ( Ach, Moment, ich weiss schon. Wir sind gerade kurz vor dem Release einer neuen Version in der das uns bekannte Problem behoben wird … Blah! ).

Eigentlich sollte man mir eine Flasche Schampus zukommen lassen. Eigentlich sollte ich mich als Berater selbstständig machen. Eigentlich sollte ich eine AG gründen und auch den Leuten das Geld aus der Tasche ziehen. Verrückte Internetwelt …

Schreib einen Kommentar

Pflichtfelder sind mit * markiert.