Autor Thema: Homoglyphen-"Attacke" auf Benutzer "Miau!"  (Read 1731 times)

Admin

  • Administrator
  • Newbie
  • *****
  • Beiträge: 31
  • Karma: +12/-1
Homoglyphen-"Attacke" auf Benutzer "Miau!"
« am: 05.12.2018 22:51 »
Hallo,

erstaunt haben wir heute erfahren, daß es in diesem Forum zwei verschiedene Nutzer "Miau!" gibt.
Einer schreibt sich "Miau!" mit lateinischem "i", der andere "Mіau!" mit kyrillischem "і". Dies ermöglichte 2 verschiedene Accounts, deren Benutzernamen aber für den Leser genau gleich aussahen.

Daß derartiges möglich ist, betrachte ich als Fehler in der Foren-Software. Wir haben das nun selbst abgeändert, so daß nur noch Usernamen mit Buchstaben des deutschen Alphabets möglich sind. Und natürlich haben wir den kyrillischen "Mіau!" gelöscht.

Falls noch jemand einen Doppelgänger entdeckt, bitte melden!

------------
$ echo "Mіau!" | od -c    # Fake
0000000   M 321 226   a   u   !  \n
0000007
$ echo "Miau!" | od -c    # Original
0000000   M   i   a   u   !  \n
0000006

https://en.wikipedia.org/wiki/Homoglyph

« Last Edit: 05.12.2018 22:54 von Admin »

Miau!

  • Newbie
  • *
  • Beiträge: 29
  • Karma: +9/-69
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #1 am: 06.12.2018 01:51 »
Danke.  ;)

Admin

  • Administrator
  • Newbie
  • *****
  • Beiträge: 31
  • Karma: +12/-1
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #2 am: 06.12.2018 13:36 »
die Entwickler der Foren-Software sehen darin übrigens gar kein Problem und keine Notwendigkeit, eine Option bereitzustellen, demnach login-Namen auf ASCII oder zumindest ISO-Latin-1 beschränkt werden können.

Sie argumentieren, man könne ja auch ein kleines l mit einem großen I verwechseln in ASCII, es würde also das Problem nicht lösen. (wohlgemerkt: das ist die einzige Verwechselungsmöglichkeit in ASCII und dies auch nur bei einigen Fonts)
Außerdem schreiben die Entwickler, soziale Problem sollten nicht technisch gelöst werden. (erstaunlicherweise wollen sie das soziale Problem Spam aber sehrwohl technisch lösen).
Was für Geistesgrößen!

Wie auch immer: jetzt ist die Funktion selbst in den Sourcecode gehackt. Das nervt, aber war unvermeidbar.

MoinMoin

  • Full Member
  • ***
  • Beiträge: 123
  • Karma: +5/-0
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #3 am: 06.12.2018 15:37 »
Ihr seit Helden!

Dude23

  • Newbie
  • *
  • Beiträge: 13
  • Karma: +1/-0
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #4 am: 06.12.2018 16:41 »
Das war doch jetzt Absicht... 8)

Katzenfänger (war: Міаu! )

  • Newbie
  • *
  • Beiträge: 4
  • Karma: +11/-3
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #5 am: 06.12.2018 18:39 »
Guten Abend,

ich oute mich einfach mal als der böse Homoglyphen-Attackierer :-)
Nicht ganz unerwartet, aber auch nicht wirklich nachvollziehbar, dass mein überaus ausgeklügelter Plan so schnell ein Ende fand. Eigentlich war noch angedacht, unter jeden Post des Original-Miau! ein "Bitte entschuldigt meinen dümmlichen und nicht sachdienlichen Kommentar" zu posten...
Nicht nachvollziehbar, da auch bei mehrmaligem Lesen der Registrierungsbedingungen fand ich jedoch keinen Grund dafür, heißt es doch sogar
Zitat
6. Sie können Ihren Benutzernamen frei wählen. Vermeiden Sie aber im eigenen Interesse markenrechtlich geschützte Namen und E-Mail-Adressen, vermeiden Sie ihren tatsächlichen Namen
(Hervorhebung durch mich).
Man hätte mich auch gern anschreiben dürfen, immerhin hinterlege ich ja eine Mailadresse hier... (Nun, über die Forenmailfunktion ist es etwas kompliziert, da man keine Profile aufrufen kann, aber wenn man den Namen direkt eingibt, geht auch das.

Gut, vielleicht habe ich gleich gegen den ersten Punkt
Zitat
1. Argumentieren Sie fair. Bleiben Sie sachlich und vermeiden Sie persönliche Angriffe.
(Hervorhebung durch mich) verstoßen, doch ich musste dem Nutzernamen und der daran gerichteten Erwartungen ja gerecht werden. Hätte man dann nicht konsequenterweise den/die/das Original-Miau! gleich mit löschen müssen? Besagter User (m/w/d) hat im alten Forum maximal einen mir bekannten Post verfasst, der auch nur im geringsten zum Sachverhalt beigetragen hat. Im neuen, sehr jungen Forum ist, so glaube ich, auch immerhin bereits ein halbwegs nützlicher und nicht nur die mangelnden Rechtschreib- Zeichensetzungs- oder Grammatikkenntnisse anderer User anprangernder Post zu finden, was angesichts der Anzahl der bisherigen Posts noch eine halbwegs gute Quote ist.

Angesichts der Tatsache hätte ich mir seitens des/der Admin(s) erhofft, dass auch die Existenz des "Original"-Users mal kritisch hinterfragt wird, oder ist er mittlerweile als anerkannter Forentroll bzw. -clown akzeptiert?

Lustigerweise wäre der Nutzername des fraglichen Users inzwischen wegen der Anforderungen an Usernamen auch nicht mehr wählbar, welch Ironie :-D

Nun, schön dass ich Admin erstaunen (und so indirekt maßgeblich zur Forensicherheit beitragen (soll ich meine Bitcoin-Adresse für die Bug-Bounty posten?)) und zur allgemeinen Erheiterung beitragen konnte.

Nun, bleibt mir noch, einen angenehmen Abend zu wünschen, und Admin zumindest insoweit zu beruhigen, als dass von meiner Seite keine weiteren "Doppelgänger" existieren, meine Mission ist beendet. Amen.
« Last Edit: 06.12.2018 18:41 von Katzenfänger »

Admin

  • Administrator
  • Newbie
  • *****
  • Beiträge: 31
  • Karma: +12/-1
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #6 am: 06.12.2018 19:10 »
Guten Abend,

ich oute mich einfach mal als der böse Homoglyphen-Attackierer :-)

Lieber Katzenfänger. Vielen Dank für dein Outing und den Beitrag! :-)

Ich muß dir recht geben: du hast tatsächlich mit dem kyrillischen Miau!-Nutzer gegen keine Nutzungsbedingung verstoßen. Wir sind damals gar nicht auf die Idee gekommen, daß dies einmal passieren könnte. (Und auch nicht, daß das Forum so bescheuert programmiert ist, daß es derartiges erlaubt).

Aber du hast sicherlich auch Verständnis, daß wir das nicht so stehen lassen konnten. Solche "Attacken" wären durchaus geeignet, den Ruf honoriger Forums-Teilnehmer zu beschädigen. Bis hin zu Auswirkungen im Kollegenkreis bei Nutzern, die bewußt keine Anonymität gewählt haben.
Der normale Leser sieht nämlich keinen Unterschied, ob ein Nutzer "Hans Wurst" der echte "Hans Wurst" ist oder der Fake "Ηans Wurst" (hier ist das H das griechische Eta Unicode 0397). Für den Nutzer ist es der altbekannte "Hans Wurst", der seit einige Zeit auffallend viel Blödsinn postet.

Mich hat diese Attacke durchaus belustigt, aber es waren dann doch mehr als zwei Stunden Arbeit, das Problem ersteinmal zu erkennen, richtig zuzuordnen, in der Foren-Software Lösungen zu suchen, feststellen daß es diese nicht gibt und dann selbst im Code rumzupfuschen.

Muenchner82

  • Newbie
  • *
  • Beiträge: 1
  • Karma: +0/-1
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #7 am: 08.12.2018 14:20 »
Admin, ich sehe ihr verwendet ein freies System wie smf, myBB o.Ä. als Unterbau für das Forum. Warum sollte es von Entwicklern einer globalen Forumlösung bescheuert sein andere Zeichensätze als ASCII zu unterstützen?
Der "Fehler" liegt hier ganz klar bei Euch und sonst bei niemandem! Bei einer freien/internationalen Software ist es kein bug, sondern ein feauture, dass auch andere Sprachen als Deutsch unterstützt werden, auch wenn das für deutsche Beamte manchmal offenbar schwer zu verdauen ist.

Admin

  • Administrator
  • Newbie
  • *****
  • Beiträge: 31
  • Karma: +12/-1
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #8 am: 08.12.2018 20:21 »
Weshalb soll dieser Bug unser Fehler sein? - erkläre das mal bitte näher, Münchner.

Es ist offensichtlich, daß Eindeutigkeit von Benutzernamen eine Voraussetzung für den Betrieb eines Forums ist. Sonst könnte man sich Logins und Benutzernamen gleich schenken und jeder könnte als Gast posten.
Wenn man nun annimmt, daß die Leser eines Forums humanoide Wesen sind, welche die Gestalt eines Buchstabens zur Identifikation verwenden und nicht den Unicode dahinter, dann ist auch offensichtlich, daß neu angelegte Benutzernamen, die komplett gleich aussehen wie bestehende Benutzernamen, nicht wünschenswert sind.

Selbstverständlich betrachten wir das als Aufgabe einer Foren-Software, zumindest auf Konfiguration des Admins hin, derartiges auszuschließen. Erst abwarten zu müssen, daß ein betroffener Nutzer dieses Problem selbst erkennt, dies an den Admin meldet und dieser dann zur manuellen Löschung schreitet ist Schmarrn.
Die Rufschädigung des betroffenen Nutzers kann bis dahin bereits irreparabel sein.

Für unser Forum ist der ISO-Latin1 Zeichensatz völlig ausreichend. Für Benutzernamen sowieso. Genau so wie für Forenbetreiber in Osteuroa ISO-Latin2 ausreichend ist. Es wäre für die Entwickler von SMF ein leichtes, eine Funktion einzubauen, nach deren Aktivierung in der Admin-Steuerung Benutzername auf bestimmte Zeichensätze beschränkt würden. Oder auch nur ASCII. Programmieraufwand dafür: 1 Mannstunde.
Allein der Wille ist nicht da.

Garfield

  • Newbie
  • *
  • Beiträge: 3
  • Karma: +0/-0
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #9 am: 11.12.2018 13:41 »
Solche "Attacken" wären durchaus geeignet, den Ruf honoriger Forums-Teilnehmer zu beschädigen.


In diesem Fall aber nicht. Der User ist im alten Forum nur durch hetzerische Beiträge aufgefallen, die sich über Rechtschreibung oder Inhalt eines anderen Posts lustig machten.
Dass er sich extra dafür wieder registriert hat ist genauso erbärmlich wie dieses als Admin wieder zuzulassen.

Ich hoffe dem Ganzen wird im neuen Forum irgendwann mal ein Riegel vorgeschoben.

Miau!

  • Newbie
  • *
  • Beiträge: 29
  • Karma: +9/-69
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #10 am: 11.12.2018 16:17 »
Der Admin ist bisher nicht damit aufgefallen, sich von solchen Scheißhausparolen beeindrucken zu lassen. Aber lustig zu sehen, wie hier einige ihren Geifer auf die Tastatur sabbern.  ;D

Pseudonym

  • Newbie
  • *
  • Beiträge: 35
  • Karma: +1/-0
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #11 am: 11.12.2018 19:19 »
Vielleicht ist des Admins Alter Ego ja auch Miau(!), welcher sich durch das Leid beim Betrieb des Forums einfach Luft verschaffen muss?

AlterOtter

  • Newbie
  • *
  • Beiträge: 2
  • Karma: +1/-0
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #12 am: 12.12.2018 07:39 »
Es gibt immernoch die "Ignorier Liste" unter Benutzerkonto, da kann man unliebsame Forenteilnehmer, für sich selbst, ausblenden.
Habe ich im alten Forum erfolgreich mit "JustinCredible" gemacht, also es muss sich niemand aufregen das er blöde Kommentare lesen muss, alles eine "Einstellungssache".

Nutzer direkt zu sperren, nur weil Sie meistens blödsinn schreiben, halte ich persönlich für keine gute Idee.
Wenn es jemanden stört s. o.!

Katzenfänger (war: Міаu! )

  • Newbie
  • *
  • Beiträge: 4
  • Karma: +11/-3
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #13 am: 12.12.2018 08:09 »
Der Admin ist bisher nicht damit aufgefallen, sich von solchen Scheißhausparolen beeindrucken zu lassen. Aber lustig zu sehen, wie hier einige ihren Geifer auf die Tastatur sabbern.  ;D

Bitte nicht von den eigenen körperlichen Reaktionen auf die der anderen schließen.
Willst Du die Vorbringungen von Garfield et al. etwa anzweifeln? Er trifft den Nagel doch auf den Kopf.

P.S. Admin, ich hoffe, Du nimmst es mir nicht übel, aber ich habe Dir nochmal eine Stunde Arbeit verschafft. Sieh es aus dem Sicherheitsaspekt und lösch nicht gleich das Konto wieder.
Herzlichst
Katzenfänger
« Last Edit: 12.12.2018 08:14 von Міаu! »

was_guckst_du

  • Newbie
  • *
  • Beiträge: 39
  • Karma: +5/-0
Antw:Homoglyphen-"Attacke" auf Benutzer "Miau!"
« Antwort #14 am: 12.12.2018 08:21 »
...was für ein Katzentheater... ;D
Gruß aus "Tief im Westen"