Deanonymizing Facebook Users By CSP Bruteforcing

Deanonymisierung

Did you ever wish to have all relevant information about a visitor right when he hits your site? Think of (full) name, gender and maybe hobbies and interests? Thanks to social networks we could at least get some of that data. All you need is the URL to that visitors (public) Facebook or Google+ profile – but if he doesn’t actively give it to you, you’re probably out of luck.

What if we could get that profile URL without the user even noticing it?

Inspired by the great article When Security Generates Insecurity (hat tip to Michael, who shared it and implemented the proposed login-check) I discovered that it is possible to get the profile URL of a logged-in Facebook user by exploiting the Content-Security-Policy implementation in Google Chrome. It requires some preconditions, but it’s definitly possible – and I’m going to explain how it works and why it’s dangerous in really great detail 😉

Lesen Sie weitere Deanonymizing Facebook Users By CSP Bruteforcing

Deanonymisierung von Facebook Nutzern durch CSP Bruteforcing

Deanonymisierung

Stellt euch vor, ihr könntet über einen Besucher eurer Webseite alle relevanten Informationen in Erfahrung bringen (Name, Geschlecht, Vorlieben, etc.). Dank den sozialen Netzwerken sind diese Informationen zumindest zum Teil öffentlich verfügbar (z.B. durch Facebook- oder Google+ Profile). Allerdings müsste man dazu wissen, ob ein Besucher ein solches Profil besitzt und – hier wird es kompliziert – wie dieses lautet.

Angestoßen durch den Artikel When Security Generates Insecurity (Hat Tip to Michael, der die Abfrage des Login-Status implementiert hat) habe ich herausgefunden, dass es möglich ist, die Facebook Profil-URL eines Users durch die Ausnutzung einer Lücke in Google Chrome herauszufinden.

Lesen Sie weitere Deanonymisierung von Facebook Nutzern durch CSP Bruteforcing

[NSC Woche 5 & 6] Linkbuilding und Kack-Links, die immer noch ziehen

Nischenseitenchallenge 2014 Logo Bitcoins-Kaufen.org

In der vorigen Statusberichten ging es weitestgehend nur um OnPage-Faktoren ([1] Nischenfindung, [2] Content-Erstellung, [3] Snippet-Optimierung). Diesen Report widme ich deshalb dem mindestens ebenso wichtigen OffPage-Bereich bzw. ein paar Insights zum Linkbuilding von http://www.bitcoins-kaufen.org/.
Lesen Sie weitere [NSC Woche 5 & 6] Linkbuilding und Kack-Links, die immer noch ziehen

[NSC Woche 4] Snippetoptimierung – Mehr Klicks für die Coins

Nischenseitenchallenge 2014 Logo Bitcoins-Kaufen.org

Im zweiten Status Bericht habe ich beschrieben welchen Content ich erstellt und worauf ich dabei geachtet habe. Diesen dritten Bericht widme ich der Darstellung in den Google-Suchergebnissen – genauer: Dem Snippet meiner Nischenseite http://www.bitcoins-kaufen.org/ in den SERPs.
Lesen Sie weitere [NSC Woche 4] Snippetoptimierung – Mehr Klicks für die Coins

[NSC Woche 2 & 3] Content: „Wie kauft man Bitcoins?“ & „Welches Konto nutzt man dafür?“

Nischenseitenchallenge 2014 Logo Bitcoins-Kaufen.org

Im ersten Status Bericht bin ich auf meine Nische Bitcoins kaufen eingegangen und habe sowohl das Finden derselben als auch den Status Quo der Webseite beschrieben. Der zweite Bericht zu meiner Nischenseite http://www.bitcoins-kaufen.org/ steht ganz im Zeichen des Contents – ergänzt um ein paar Infos zur Struktur der Webseite. Ich setze dabei auf einzelne, handgesetzte Webseiten, die einen starken Onepager/Landing Page Charakter haben.

Lesen Sie weitere [NSC Woche 2 & 3] Content: „Wie kauft man Bitcoins?“ & „Welches Konto nutzt man dafür?“

Rich Snippets – Testprojekt zur Manipulation [Campixx’14]

Google Rich Snippet Manipulation

Rich Snippets sind eine fantastische Möglichkeit, die Ergebnisdarstellung in den SERPs aufzuwerten und sich von den Konkurrenten abzuheben. Gefühlt setzen jedoch nur wenige Webseiten diese Möglichkeit ein. (Falls jemand Studien dazu kennt: Bitte in die Kommentare!) Ich habe mich bisher nur rudimentär mit den vorhandenen Einsatzmöglichkeiten befasst, weil ich selbst keine passende Inhalte bzw. Webseiten für die meisten Rich Snippet Typen besitze. Aber benötigt man überhaupt „passende“ Inhalte, oder bekommt man Sternchen, Bilder und Co. auch, wenn inhaltlich abweichender Content ausgezeichnet wird?
Lesen Sie weitere Rich Snippets – Testprojekt zur Manipulation [Campixx’14]

PHP Wrapper für die Wortschatz Uni Leipzig API

Wortschatz Uni Leipzig PHP Wrapper

Wenn man sich etwas intensiver mit der algorithmischen Analyse von Sprache auseinandersetzt, dann trifft man früher oder später auf den Wortschatz der Uni Leipzig. Dabei handelt es sich um eine Sammlung von Webservices, die sowohl über eine Web-Oberfläche als auch via API genutzt werden können. Leider gibt es keine REST-API (dabei wäre eine solche mit JSON Output so viel einfacher für Clients und auch gar nich sooo schwer für Server…), sondern der Zugriff ist lediglich über SOAP möglich – was meiner Meinung nach die Einstiegshürde zur Verwendung der API unnötig erhöht. Das ist schade, weil man mit der API echt coole Daten bekommt und die momentanen PHP Beispiele ziemlich alt (und außerdem offline…) sind. Deshalb habe ich einen einfachen zu bedienenden Wrapper entwickelt, der sich automatisch aus der Übersichtsseite der Wotzschatz API generiert.
Lesen Sie weitere PHP Wrapper für die Wortschatz Uni Leipzig API

SEODay 2013 – Das war richtig sch…

SEODay

..ön! Hoffe der SEOProgrammierer hat sich jetzt nicht erschrocken 😉

Im Anschluss gibt’s ein kurzes Recap zum SEODay 2013, den ich zusammen mit meinen Tchibo-Kollegen Gero, Gloria und Michi besucht habe.. Eine ausführliche inhaltliche Beschreibung der Sessions spare ich mir – das haben andere schon gemacht und bei Andreas gibt’s sogar einige Vorträge als Videos. Leider hat mich auch pünktlich mit der Landung in Köln eine Grippe erwischt, deshalb musste ich die Konferenz leider unter Medikamenteneinfluss genießen :/ Lesen Sie weitere SEODay 2013 – Das war richtig sch…

OS-Party zur dmexco 2013 – Gewinn Dein Ticket!

os-party

Am 18. und 19.09.2013 findet die Dmexco in Köln statt und wie jedes Jahr wird sie von „inoffiziellen“ Partys begleitet. Da wäre zum einen der OMClub von Randolf und zum anderen die OS-Party vom Online Stammtisch Köln. Diese Partys sind für die meisten Online Marketer wahrscheinlich interessanter als die eigentliche Messe – wen wundert’s bei free drinks, free party and massive networking? Ich werde zwar dieses Jahr leider nicht in Köln sein, habe aber von Fabian die Möglichkeit bekommen, ein Ticket für die OS-Party zu verlosen.
Lesen Sie weitere OS-Party zur dmexco 2013 – Gewinn Dein Ticket!