Internet - Fortsetzung
Neuigkeiten von der Internetfront:
Wie ich bereits berichtete, gab es mit den Betreibern einer - eigentlich seriös aussehenden und auch von der Textgestaltung / AGBs unauffälligen - Internetseite ein paar Differenzen. Das Verhalten des dazugehörigen Rechtsvertreters war mehr als Besorgnis erregend in mehrer Hinsicht.
Da mich so etwas aber nicht in Ruhe lässt, besonders wenn einer daherkommt und mich einen Betrüger nennt, habe ich weitere Nachforschungen angestellt.
1. Dieses Internetportal besteht in dieser Form und mit dieser Seite seit 2005.
2. Die Betreiber haben vor ein paar Jahren ein Patent angemeldet, welches sich direkt mit dem Aufbau von Internetportalen dieser Art befasst. Darin heißt es:
Zitat:
Zur Kontrolle des Systems wird vorgeschlagen, dass bei Nutzung dieser E-Mail Adresse automatisch Kopien der E-Mails, vorzugsweise des Nutzers und des E-Mail-Adresseninhabers, einer Zentralstelle zugeleitet werden. Die Zentralstelle ist somit über alle E-Mails zwischen den Systemnutzern und den angesteuerten Fachleuten informiert. Dies ermöglicht es, unerwünschte E-Mails zu eliminieren und fehlgeleitete E-Mails an die richtigen Fachleute weiterzuleiten. Außerdem wird hierdurch die Grundlage für eine Bezahlung der dem Nutzer zur Verfügung gestellten Information erschlossen. Dies ermöglicht es, den Fragenden mit Kosten zu belasten und den antwortenden Fachmann für seine Dienstleistung zu entlohnen.
Vorteilhaft ist es daher, wenn die Nutzung der E-Mail Adresse ein Inkassosystem auslöst. Durch vorherige Abfrage von Inkassodaten, Entbindung der Schweigepflicht etc., kann ein automatisches Inkassosystem, das Geld für die Beantwortung der dem Fachmann gestellten Fragen eintreiben und – gegebenenfalls ebenfalls automatisch – den Fachmann entlohnen.
Die Allgemeinen Geschäftsbedingungen des Portals besagen, dass eine Einsicht Dritter in den Text der Fragesteller und der antwortenden Experten angeblich nicht möglich ist, eine Entbindung der Schweigepflicht ist jedoch nicht erwähnt oder wählbar.
AUSZUG
Sie erhalten dann Ihre Antwort direkt von den jeweiligen Experten. Die Inhalte der Fragen und der Antworten werden ausschließlich von den jeweiligen Experten gespeichert, da diese aufgrund ihrer gesetzlichen Dokumentationspflicht dazu verpflichtet sind. Da die Experten der gesetzlichen Schweigepflicht unterliegen, werden die Inhalte der Fragen und Antworten in keinem Fall an Dritte (auch nicht an das Team der XXXXX oder des Betreibers XXXXX weitergegeben. Das Team der XXXX oder des Betreibers XXXX. kann weder die Inhalte der Fragen, noch die der Antworten einsehen. Sie kommunizieren also auf direktem Wege mit den Experten.
Wie also wird nun der Vorgang betriebsintern dort abgewickelt? Ist das nicht etwas, wo man ansetzen kann? Gibt es nicht immer irgendwo administrative Möglichkeiten, den Schriftverkehr zwischen registrierten Usern und dem "Experten" zu „belauschen“?
3.
AUSZUG:
Die Schutzgebühr ist ausschließlich durch Vorleistung, derzeit im Lastschriftverfahren zu erbringen.
Hätten sie sich entsprechend verhalten, hätten sie die angeblich falsche Kontonummer schon vor Erbringung der Leistung entdeckt und diese dann zurückhalten können.
4. Auf der Internetseite und/oder der Datenbank ist ein gravierender Programmierfehler.
Angeblich wurde eine falsche Kontonummer eingegeben. Die Nummer lautet 2147483637. Dieses ist jedoch die Begrenzung einer Variablen.
* * *
Ein Fachmann hat Folgendes dazu geschrieben:
Also.. hab das gerade auch noch mal mit meinem lokalen MySQL-Server nachgemacht!
Die Tatsache der falschen Kontonummer lässt sich mit an Sicherheit grenzender Wahrscheinlichkeit auf folgenden Fehler zurückführen:
Der Wertebereich einer Integer-Variablen in einem 32-Bitsystem erstreckt sich entweder
über die Zahlen von -2147483648 bis +2147483647 (einschließlich 0) [-2hoch31 bis (2hoch31-1)] --> mit Vorzeichen versehen (signed) oder 0 bis 4294967295 [0 bis (2hoch32-1)] --> ohne Vorzeichen versehen (unsigned)
Vorausgesetzt man versucht eine Zahl, die über dem Wertebereich liegt in eine solche Variable zu speichern, kann das System unterschiedlich reagieren.
Drei der wahrscheinlichsten Möglichkeiten:
Fall 1: Fehler wird ausgegeben
Fall 2: Betrachtet man die Zahl im mathematischen Binärsystem, werden 'überstehende' Ziffern vernachlässigt ('abgeschnitten') Dies hätte zur Folge, dass eine wesentlich kleinere Zahl gespeichert werden würde. Beispielrechnung für ein 32-Bitsystem und der Verwendung einer Integervariablen, die als unsigned deklariert ist: '4294967295 + 1 = 0' oder '4294967295 + 100 = 99'
Fall 3: Der höchstmögliche Wert (MAX-INT) wird verwendet.
Diese Tatsache unterstützt den Verdacht, dass genau dieser Fehler beim Speichern in der Datenbank aufgetreten ist, wenn die Datenbankspalte als signed int deklariert wurde!
Dies wäre auf einen Fehler seitens der Programmierung zurückzuführen.
In den eingebauten Schutzmechanismen der Seite sind darüber hinaus weitere gravierende Fehler vorhanden, die eine solche Fehleingabe ermöglichen!
1. Die Länge für das Eingabefeld im HTML-Code ist auf 10 Ziffern begrenzt, wodurch Eingaben von Zahlen über 2147483647 möglich sind.
2. Für die Prüfung auf Gültigkeit des Inhaltes des Feldes für die Kontonummer wird die Javascriptfunktion test() verwendet. Diese Funktion testet jedoch lediglich, ob eine Zeichenfolge in dem eingetragenen Feld vorhanden ist und nicht ob die Bedingung auf die gesamte übergebene Zeichenkette zutrifft.
In dem konkreten Fall macht sich dies wie folgt bemerkbar:
Mit der regular expression (Bedingungsausdruck) '/[0-9][0-9][0-9][0-9][0-9][0-9][0-9]/' wird überprüft, ob in der gesamten Kontonummer eine siebenstellige Ziffernfolge mit den Ziffern von 0-9 existiert und NICHT, ob es sich bei der gesamten Kontonummer um eine siebenstellige Ziffernfolge handelt.
* * *
Ich halte es für sehr unwahrscheinlich, dass der Fehler jetzt zum ersten Mal ans Licht kommt. Auch hat der Seitenbetreiber weder auf das Schreiben des Anwalts, noch hat er auf den Hinweis einer möglicherweise fehlerhaften Programmierung reagiert.
Da er auf den Hinweis nicht reagiert hat, vielmehr ein sehr unfreundliches Schreiben ( welches durch Wortwahl und Inhalt mich wohl einschüchtern sollte ) mit einer Wiederholung seiner Forderung sandte, geht die Sache in vollem Umfang an den Verbraucherschutz, da man dann davon ausgehen muss, dass er sich wissentlich diesen Fehler zu Nutze gemacht hat, um Kunden mit Abmahnungen abzuzocken.
Letztlich scheint er zu glauben, sollte das nicht klappen, könne er noch immer sagen "Sorry, Systemfehler, das wusste ich nicht..."
* * *
Jetzt wird es richtig putzig, und ich werde nicht eher ruhen, bis dieser Typ blutend am Boden liegt. Der soll lernen, was es heißt, einen Rentner mit Zeit wütend zu machen ]8-)
Wie ich bereits berichtete, gab es mit den Betreibern einer - eigentlich seriös aussehenden und auch von der Textgestaltung / AGBs unauffälligen - Internetseite ein paar Differenzen. Das Verhalten des dazugehörigen Rechtsvertreters war mehr als Besorgnis erregend in mehrer Hinsicht.
Da mich so etwas aber nicht in Ruhe lässt, besonders wenn einer daherkommt und mich einen Betrüger nennt, habe ich weitere Nachforschungen angestellt.
1. Dieses Internetportal besteht in dieser Form und mit dieser Seite seit 2005.
2. Die Betreiber haben vor ein paar Jahren ein Patent angemeldet, welches sich direkt mit dem Aufbau von Internetportalen dieser Art befasst. Darin heißt es:
Zitat:
Zur Kontrolle des Systems wird vorgeschlagen, dass bei Nutzung dieser E-Mail Adresse automatisch Kopien der E-Mails, vorzugsweise des Nutzers und des E-Mail-Adresseninhabers, einer Zentralstelle zugeleitet werden. Die Zentralstelle ist somit über alle E-Mails zwischen den Systemnutzern und den angesteuerten Fachleuten informiert. Dies ermöglicht es, unerwünschte E-Mails zu eliminieren und fehlgeleitete E-Mails an die richtigen Fachleute weiterzuleiten. Außerdem wird hierdurch die Grundlage für eine Bezahlung der dem Nutzer zur Verfügung gestellten Information erschlossen. Dies ermöglicht es, den Fragenden mit Kosten zu belasten und den antwortenden Fachmann für seine Dienstleistung zu entlohnen.
Vorteilhaft ist es daher, wenn die Nutzung der E-Mail Adresse ein Inkassosystem auslöst. Durch vorherige Abfrage von Inkassodaten, Entbindung der Schweigepflicht etc., kann ein automatisches Inkassosystem, das Geld für die Beantwortung der dem Fachmann gestellten Fragen eintreiben und – gegebenenfalls ebenfalls automatisch – den Fachmann entlohnen.
Die Allgemeinen Geschäftsbedingungen des Portals besagen, dass eine Einsicht Dritter in den Text der Fragesteller und der antwortenden Experten angeblich nicht möglich ist, eine Entbindung der Schweigepflicht ist jedoch nicht erwähnt oder wählbar.
AUSZUG
Sie erhalten dann Ihre Antwort direkt von den jeweiligen Experten. Die Inhalte der Fragen und der Antworten werden ausschließlich von den jeweiligen Experten gespeichert, da diese aufgrund ihrer gesetzlichen Dokumentationspflicht dazu verpflichtet sind. Da die Experten der gesetzlichen Schweigepflicht unterliegen, werden die Inhalte der Fragen und Antworten in keinem Fall an Dritte (auch nicht an das Team der XXXXX oder des Betreibers XXXXX weitergegeben. Das Team der XXXX oder des Betreibers XXXX. kann weder die Inhalte der Fragen, noch die der Antworten einsehen. Sie kommunizieren also auf direktem Wege mit den Experten.
Wie also wird nun der Vorgang betriebsintern dort abgewickelt? Ist das nicht etwas, wo man ansetzen kann? Gibt es nicht immer irgendwo administrative Möglichkeiten, den Schriftverkehr zwischen registrierten Usern und dem "Experten" zu „belauschen“?
3.
AUSZUG:
Die Schutzgebühr ist ausschließlich durch Vorleistung, derzeit im Lastschriftverfahren zu erbringen.
Hätten sie sich entsprechend verhalten, hätten sie die angeblich falsche Kontonummer schon vor Erbringung der Leistung entdeckt und diese dann zurückhalten können.
4. Auf der Internetseite und/oder der Datenbank ist ein gravierender Programmierfehler.
Angeblich wurde eine falsche Kontonummer eingegeben. Die Nummer lautet 2147483637. Dieses ist jedoch die Begrenzung einer Variablen.
* * *
Ein Fachmann hat Folgendes dazu geschrieben:
Also.. hab das gerade auch noch mal mit meinem lokalen MySQL-Server nachgemacht!
Die Tatsache der falschen Kontonummer lässt sich mit an Sicherheit grenzender Wahrscheinlichkeit auf folgenden Fehler zurückführen:
Der Wertebereich einer Integer-Variablen in einem 32-Bitsystem erstreckt sich entweder
über die Zahlen von -2147483648 bis +2147483647 (einschließlich 0) [-2hoch31 bis (2hoch31-1)] --> mit Vorzeichen versehen (signed) oder 0 bis 4294967295 [0 bis (2hoch32-1)] --> ohne Vorzeichen versehen (unsigned)
Vorausgesetzt man versucht eine Zahl, die über dem Wertebereich liegt in eine solche Variable zu speichern, kann das System unterschiedlich reagieren.
Drei der wahrscheinlichsten Möglichkeiten:
Fall 1: Fehler wird ausgegeben
Fall 2: Betrachtet man die Zahl im mathematischen Binärsystem, werden 'überstehende' Ziffern vernachlässigt ('abgeschnitten') Dies hätte zur Folge, dass eine wesentlich kleinere Zahl gespeichert werden würde. Beispielrechnung für ein 32-Bitsystem und der Verwendung einer Integervariablen, die als unsigned deklariert ist: '4294967295 + 1 = 0' oder '4294967295 + 100 = 99'
Fall 3: Der höchstmögliche Wert (MAX-INT) wird verwendet.
Diese Tatsache unterstützt den Verdacht, dass genau dieser Fehler beim Speichern in der Datenbank aufgetreten ist, wenn die Datenbankspalte als signed int deklariert wurde!
Dies wäre auf einen Fehler seitens der Programmierung zurückzuführen.
In den eingebauten Schutzmechanismen der Seite sind darüber hinaus weitere gravierende Fehler vorhanden, die eine solche Fehleingabe ermöglichen!
1. Die Länge für das Eingabefeld im HTML-Code ist auf 10 Ziffern begrenzt, wodurch Eingaben von Zahlen über 2147483647 möglich sind.
2. Für die Prüfung auf Gültigkeit des Inhaltes des Feldes für die Kontonummer wird die Javascriptfunktion test() verwendet. Diese Funktion testet jedoch lediglich, ob eine Zeichenfolge in dem eingetragenen Feld vorhanden ist und nicht ob die Bedingung auf die gesamte übergebene Zeichenkette zutrifft.
In dem konkreten Fall macht sich dies wie folgt bemerkbar:
Mit der regular expression (Bedingungsausdruck) '/[0-9][0-9][0-9][0-9][0-9][0-9][0-9]/' wird überprüft, ob in der gesamten Kontonummer eine siebenstellige Ziffernfolge mit den Ziffern von 0-9 existiert und NICHT, ob es sich bei der gesamten Kontonummer um eine siebenstellige Ziffernfolge handelt.
* * *
Ich halte es für sehr unwahrscheinlich, dass der Fehler jetzt zum ersten Mal ans Licht kommt. Auch hat der Seitenbetreiber weder auf das Schreiben des Anwalts, noch hat er auf den Hinweis einer möglicherweise fehlerhaften Programmierung reagiert.
Da er auf den Hinweis nicht reagiert hat, vielmehr ein sehr unfreundliches Schreiben ( welches durch Wortwahl und Inhalt mich wohl einschüchtern sollte ) mit einer Wiederholung seiner Forderung sandte, geht die Sache in vollem Umfang an den Verbraucherschutz, da man dann davon ausgehen muss, dass er sich wissentlich diesen Fehler zu Nutze gemacht hat, um Kunden mit Abmahnungen abzuzocken.
Letztlich scheint er zu glauben, sollte das nicht klappen, könne er noch immer sagen "Sorry, Systemfehler, das wusste ich nicht..."
* * *
Jetzt wird es richtig putzig, und ich werde nicht eher ruhen, bis dieser Typ blutend am Boden liegt. Der soll lernen, was es heißt, einen Rentner mit Zeit wütend zu machen ]8-)
Korinthe - 25. Sep, 10:41
