IPv4 1.2.3.4

Als ich kürzlich die Zeilen

Waiting for 1.2.3.4

und dann noch

Transferring from 1.2.3.4

in der Status-Zeile des Firefox Browser las wurde ich etwas unrund. Die aufgerufene Seite (http://snowhow.info) hatte ich selbst entwickelt und ganz sicher keinen Link auf http://1.2.3.4 eingebaut. Irgendwie schaute die Seite auch anders aus, aber nicht wesentlich. Also den Quellcode der Seite studiert und da steht es: Vor der head-Anweisung hat jemand Javascript-Code aus einer anderen Domain eingeschleust:

<script src="http://1.2.3.4/bmi-int-js/bmi.js" language="javascript"></script>

Gehackt

Die Seite wurde gehackt, ganz klar. Aber wie konnte ich gehackt werden und wer hat eigentlich die extrem coole IP-Adresse 1.2.3.4 auf die da verlinkt wird? Dr. Google hilft in solchen Fällen ja immer sehr zuverlässig: In meinem Fall wird das Javascript von meinem aktuellen Internet Service Provider (eine Prepaid SIM von Vodafone Greece) eingefügt um Datenvolumen zu sparen. Also nicht gehackt, zuerst einmal durchschnaufen.

Doch nicht gehackt

Wie viele Seiten im Netz zeigen ist es gar nicht einfach (oder mir zumindest nicht gelungen) die wohl gut-gemeinte Optimierung abzuschalten: Vodafone proxyt alle Bilder, verkleinert sie massiv und schickt nur schlecht aufgelöste Versionen an den Client. Für Entwickler unangenehm dabei ist, dass der Javascript-Code nicht gerade state-of-the-art ist: Es werden einige globale Variable erzeugt (oder überschrieben) und es wird versucht eine Art Tooltip mit inkorrekten Informationen über alle Bilder zu legen.

Und wer ist jetzt 1.2.3.4?

Wie Google ebenfalls ans Licht brachte wurde der Adressblock im Jahr 2010 zwar vergeben, aber er kann nicht seriös verwendet werden, weil Skripts wie dieses den Bereich vollständig überschwemmen. Schade eigentlich.

Fazit

Mit HTTPS wäre das nicht passiert! Die Übertragung der Webseite wird dabei vom Browser zum Webserver verschlüsselt, was es für den ISP unmöglich macht eine Javascript Datei unterzuschieben.

See also