Der Datenschutz-GAU von StudiVZ: Auch geschützte Bilder sind für jeden online ohne einloggen abzurufen
English Summary. This Article shows how the infamous startup StudiVZ cares about the data of their Users. Even with the highest security standards set in the profile of the users, everyone with a browser and an internet connection can browse all the hidden, maybe extremely private pictures (sex, drugs, rockŽnŽroll orgies noone should see) by simply by typing the URL of the pictures without registring at StudiVZ. This is definitely not a bug or a hack – StudiVZ stored all pictures on a webserver without the slightest securuety meassures.
Gestern Abend war eine Bekannte bei mir, eine Jura-Doktorandin aus München. Zusammen haben wir uns eingehend mit der Frage beschäftigt, wie die Datensicherheit bei der Studentencommunity StudiVZ aussieht. StudiVZ selbst behauptet ja:
Unsere Benutzer vertrauen uns, dass wir
* ihre Daten nie an Dritte weitergeben
* Informationen aus unserer Arbeit nie außerhalb der Tätigkeit bei studiVZ benutzen
* ihre Anliegen bezüglich Privatsphäre respektieren und ernst nehmen
* den Zugang zu den Daten schützen
So steht es in unserem internen Leitfaden für unsere Mitarbeiter.
Aber sonst wohl nirgends. Wir haben nämlich gestern für Juliane ein Profil bei StudiVZ angelegt. Nehmen wir mal an, Juliane wäre lesbisch, und würde dieses Profil auch dazu nutzen, Bilder von der letzten Sexorgie in Schloss Pommersfelden online zu stellen. Natürlich soll das nicht jeder sehen, sonder nur, ausschliesslich Juliane selber. Deshalb legten wir einen Bildordner mit höchster Sicherheit an: Den Ordner “Lesbenspass”, mit der Bemerkung:
sichtbar für: nur mich selbst
Mit dieser Einstellung werden alle Verlinkungen in diesem Album gelöscht.
Dann haben wir ein Bild hochgeladen – Lesbenspass in Pommersfelden eben. Oder was man dafür halten kann – eigentlich sind es Skulpturen am Haupttor des Schlosses, aber die Gesten, die sind doch recht eindeutig. Das sieht dann im geheimen Album so aus:
Natürlich hat unsere Juliane auch Interessen, die man offen herzeigen kann. So ein Lesbenspass kann schnell die Karriere ruinieren, ein Besuch auf einem Trödelmarkt in Berlin dagegen eher nicht. Deshalb gibt es ein weiteres Album mit dem Titel Berlinberlin, das in Julianes Profil offen angezeigt werden kann:
Juliane jedoch ist sehr, sehr vorsichtig, also stellt sie bei ihrem Profil trotz allem, wie schon beim Ordner Lesbenspass, ihre Daten so verborgen und sicher wie möglich ein. Sichtbar ist das Ding generell ausschliesslich für ihre Freunde, noch nicht mal die Suche findet Juliane:
Und so sieht dann von einem anderen StudiVZ-Account aus das fertige Profil aus: Zu, vernagelt, keine Chance, reinzukommen, allein das eine Album mit Berlin ist zugänglich, aber nicht das riskante Album mit dem Lesbenspass in Pommersfelden – von dem ahnt keiner was, also ist das alles sehr, sehr sicher.
Prima, oder? Dann bitte mal aus StudiVZ ausloggen, wer drin ist, und dann diese beiden Links klicken – Hier ist ganz offen im Internet der Flohmarkt in Berlin:
http://217.188.35.147/albums/2006-11/19/5qw5V0/1Dn92LT-2465.jpg
Und hier, vollkommen offen einsehbar für jeden, der nur die richtige URL hat, das streng geheime, ideal abgesicherte Lesbenspassbild, das angeblich allein Juliane sehen kann:
http://217.188.35.147/albums/2006-11/19/jzhYV0/nS182LT-2426.jpg
Frei, ungesichert, vollkommen offen für jedermann mit Browser und URl sichtbar. Wie jedes Bild bei StudiVZ – der Mann, der jetzt die Augen entsetzt aufreisst, auf diesem Bild
http://217.188.35.147/albums/2006-08/25/TzDf0V/wY5049-1386.jpg
ist Dennis Bemmann, der Mitgründer und Chefprogrammierer von StudiVZ. Das ist der Mann, von dem die obige Behauptung kommt, StudiVZ würde Eure “Anliegen bezüglich Privatsphäre respektieren und ernst nehmen”. Sogar seine eigenen Bilder sind nicht geschützt. Es ist offen, die Bilder, egal mit welcher Sicherheitseinstellung von StudiVZ liegen auf dem Server 217.188.35.147, und jeder könnte mit simpelsten Mitteln
EURE BILDER VOM BESÄUFNISS ÜBER DAS KIFFEN BIS ZUM SEX ABGREIFEN.
Und das ist weder ein Hack noch eine “Sicherheitslücke”, es ist einfach so offen wie dieser Blogartikel hier. Tatsächlich wird bei StudiVZ so eine gewisse Datensicherheit vorgetäuscht, weil eine nicht verwertbare Bild-URL in den Eigenschaften erscheint:
Aber das Betrachten der beiden Quellcodes reicht aus, um die wahren URLs der Bilder zu finden. Ãœber das, was man mit den Informationen in der URL anfangen kann, sage ich jetzt nur, dass das Datum offensichtlich ist, aber bitte macht Euch klar:
Alle Eure Bilder liegen in diesem Moment frei im Internet herum, es ist spielend leicht, an sie heranzukommen, und dieser Umstand ist so offensichtlich, dass er bei StudiVZ auch bekannt sein muss. Das ist nicht so, als ob man eine Tür offen stehen lässt und jeder rein kann – hier hat ein Haus einfach keine Wand. Es ist kein Hack, kein Geheimnis, kein Eindringen. Jeder kann hingehen und sich ein paar Millionen Bilder besorgen, vom Nutzerbild bis zum privatesten Photo. Und zumindest teilweise zuordnen.
So sicher nimmt StudiVZ Eure Datensicherheit.
Und wer glaubt, dass es nicht noch schlimmer geht: Es geht schlimmer. Selbst dieses Totalversagen hat StudiVZ offensichtlich noch beim amerikanischen Gegenstück Facebook übernommen.
Dinanzi a me non fuor cose create
se non etterne, e io etterno duro.
Lasciate ogne speranza, voi ch’intrate
Sorry, the comment form is closed at this time.
Das gleiche funktioniert auch bei Facebook:
http://www.karsten-wenzlaff.de/?p=130
don, du müsstest noch die beiden letzteren studivz-bilder-links ändern. verweisen beide auf das trödelmarktbild (http://217.188.35.147/albums/2006-11/19/5qw5V0/1Dn92LT-2465.jpg).
Die Bilderlinks zeigen noch alle auf das Flohmarktbild.
M̦̦̦p РDa sind wir bei einem Knackpunkt angelangt. Selbst die beste Unternehmenskommunikation hilft nichts, wenn das was Kommuniziert wird falsch ist bzw. nicht eingehalten wird.
Das ist auch das generelle Problem an Leitfäden: Sieht schön aus, kann man toll rumzeigen, aber wenn sich keiner dran hält absolut nutzlos.
Ihr wollt doch nur Lesb… na gut, ist richtig gestellt.
@Don: Deine Links sind nicht okay – die zeigen alle auf das Flohmarktbild.
(Aber keine Sorge, der “Hack” geht noch.)
Bei Karsten (oben) ist noch beschrieben, wie die URL zusammengesetzt ist.
Reicht es dann aus, einen Download-Roboter darauf anzusetzen, Karsten? Oder muss man da schon mehr raten?
@Don: Das dritte Bild ist immer noch falsch verlinkt :)
Ausgerechnet PHP-Experte Bemmann!
Jetzt aber…
äh, 1 Frage, die Sache mit Juliane, geht die noch weiter?
Zu der Sache mit einem Datenroboter sage ich hier nichts und würde auch bitten, das nicht breitzutreten. Da sind Millionen Bilder, da sind auch meine Studis dabei, ich will nicht, dass jemand damit Unfug macht.
Supatyp, sie könnte weitergehen. Durchaus. Sie überlegt sich da gerade was.
Aber ist es nicht so, dass man erst die Bildadresse haben MUSS, um an die Bilder zu gelangen?
Der Pfad und der Name des geheimen Bildes jzhYV0/nS182LT-2426.jpg ist doch nicht so einfach zu erraten oder liege ich falsch?
Das ist doch alles Teil eines Spinoffs: Nach Pornotube kommt jetzt PornoVZ
*hüstel* Es soll ja in den interessierten Kreisen so ein Stück Programm geben, das einfach ein Weile rät. Sagt man. Solche Kreise gibt es sogar bei StudiVZ intern, da findet sich eine Gruppe, die sagt:
Wer eine wirklich fotogene Frau im Studiverzeichnis gefunden hat, teile uns dies doch bitte mit. Bitte gebt Vor- und Nachnamen sowie die jeweilige Uni an.
Korrektur: Ich sehe grad, dass lediglich der letzte Teil zufällig ist. Sprich die letzten 4 Zahlen. Immerhin :-)
@Lalalala: Zu dem Download-Robobter hat Don Alphonso schon den richtigen Ton angestimmt.
Wo ist das Problem, einfach ALLE Bilder von dem Server zu ziehen? Es liegt ALLES offen! Man kann sogar schön nach Datum vorgehen, wenn man nach Bildern bestimmter Ereignisse suchen möchte. Toller Service, nicht?
Wie Don schon schrieb, ist es dann durchaus möglich diese Bilder auch Personen zu zuordnen. Nicht in jedem Fall, aber wer gründlich sucht, der wird finden!
Also damit ich das richtig verstehe, der einzige Schutz der Bilder besteht darin, dass man sie für nicht berechtigte MITGLIEDER innerhalb der Software ausblendet?
Mein Gott ist das schlecht.
@ Hans: Im Prinzip schon und deshalb war auch die Rede von dem Datenroboter, der tausende Variationen in sekundenschnelle durchprobiert.
Dave, das ist nicht schlecht.
Das ist die Bombe, von der ich sprach. Das sind die Ultimaten, die verstrichen sind. Ich habe sie jetzt 3 Wochen lang gewarnt. Ich habe keine Lust mehr.
und alle, die da meinten, sei doch nett zu denen:
WAS WOLLT IHR NOCH?
Haste vielleicht noch irgendwas mit minderjährigen großgewachsenen Blondinen in BDM-Uniform aus Ehssans Privatalbum?
Das ist wirklich zu geil. Weil in den URLs auch die StudiVZ-ID steckt, lässt sich das tatsächlich problemlos nachvollziehen.
Das grenzt ja schon fast an den AOL-Suchmaschinen-Skandal, wo ebenfalls alles zuzuordnen war, weil es eindeutige IDs gab. Meine Fresse.
Kann mal jemand so einen […].
Editiert, bringt bitte bitte keine Leute auf blöde Gedanken, das Thema ist absolut nicht komisch, es geht um die Daten von Hunderttausenden. Und manches Bild könnte Leben zerstören. Don.
Ich bin mal auf die Reaktion aus Berlin gespannt. Eigentlich verlangt diese Veröffentlichung nach einer schnellen Reaktion. Naja, da wird dann einfach mal die bekannte Kaffee Meldung eingeblendet. Die Frage ist nur, kann man das so einfach ändern. Wenn nicht sieht es schlecht aus.
abschalten/sperren das Ding, sofort!
Das wäre es, was ich tun würde, wenn es meins wäre.
Es geht nicht um erwischt, es geht nicht um Panik, es geht um die Daten der User. Alles andere als eine sofortige Abschaltung, mindestens des Dateiservers ist inakzeptabel. Es sei denn, man ist in der Lage, in ein paar Minuten eine Authentifizierung zu integrieren, was aber angesichts der bisher Ereignisse eher nicht zu erwarten ist.
Nun, sie wissen es jetzt schon seit über eine Stunde. Das ist übrigens auch der Grund, warum ich bis heute morgen zu Bürozeiten gewartet habe. Damit sie sofort reagieren und den Server vom Netz nehmen können.
Mit jeder Minute steigt ihre Schuld. Ich verstehe nicht, dass man dermassen unverantwortlich sein kann. Das sind daten, da hängen Leben dran. Das geht so seit langer, langer Zeit. Ich weiss nicht, wer da was schon gezogen hat, aber seit einer Stunde müsste das Ding weg sein.
Ich verstehe es nicht.
Es ist an sich ganz einfach: Man speichert die Bilder in einem nicht erratbaren, verschachtelten Pfad ab, der per .htaccess geschützt ist. Die Bilder werden dann immer nur über ein PHP-Skript eingebunden, das die Berechtigung des Users (Session) checkt und entweder das Bild zeigt oder nichts, falls keine Berechtigung da ist, also kein eingeloggter User das Bild aufruft. In diesem Fall wären zusätzlich die vom veröffentlichenden Benutzer vorgenommenen Einstellungen zu checken. Der StudiVZ-Chefkopierer ….äh… -Chefprogrammierer kann das gerne in einem Seminar bei mir lernen: Tagessatz 750,00 Euro netto zzgl. Spesen *lol*
MfG
Daniel
was mich wirklich wundert, sind die vielen studis, die in die richtung “bei einer freemail-adresse gebt ihr viel mehr daten preis” argumentieren. habe im presönlichen bekanntenkreis jemanden auf die problematik aufmerksam gemacht, “ich habe keine supergeheimen daten angegeben” kam da nur zurück. ich versteh die studis nicht. das so etwas wie studivz nicht zum reinen selbstzweck gegründet wurde, sollte doch wohl noch einleuchten. wenn es investoren gibt, … ach mist, hier ist das ja eigentlich jedem klar.
@Don: danke für (zweipunktfünf) sehr spannende und unterhaltsame wochen.
Bei flickr ist es ähnlich möglich, wie hier beschrieben:
http://olbertz.de/blog/2005/08/16/geschaeftsidee-web-20-fuer-bilderdienste/
Im vierten Abschnitt gibt es ein Beispielbild. Die Dateinamen der Bilder scheinen bei flickr jedoch zufälliger zu sein. Aber wenn jemand die URL kennt, erreicht man durch ein einfaches “auf privat setzen” keinen Schutz mehr.
Alles andere ist technisch aber auch ein wenig anspruchsvoller…
Tatsache ist, dass StudiVZ das genauso macht wie Flickr, facebook, ebay und der Rest des Internets. Diese sensationellen Enthüllungen über angebliche Skandale werden langsam langweilig.
@Dr. Decker: Wer stellt denn bitte bei Ebay private Bilder ins Netz, ohne zu wissen, dass diese Bilder dann bei den Auktionen gesehen werden können? Und dass es bei Flickr und Facebook funktioniert, ist doch eher traurig, oder?
Dann geh einfach weiter, Süsser, da draussen findest Du sicher einen, der Deine Daten will.
Dr.Decker: der Unterschied steckt, wie so oft, im Detail. Und nur, weil andere es auch falsch machen, macht es nicht besser.
Aber im Dateiname so offensichtlich die StudiVZ-ID und das Datum abzulegen, ist einfach fahrlässig. Statt einer vierstelligen Zufallszahl einen Hash über den kompletten Dateinamen legen und schon wäre StudiVZ um einiges sicherer – bezüglich der Bilddaten.
Um dann perfekt zu sein, müssten sie jedes Photo nicht über den Webserver ausliefern lassen, sondern auch hier überprüfen, ob jemand eingeloggt ist und welche Rechte derjenige hat. Zugegeben, dass selbst flickr dies nicht macht.
@30: Es werden auch anderswo Leute umgebracht. Dann wäre es also in Ordnung, den sog. “Todespfleger” einfach unbehelligt weiter in seinem Beruf arbeiten zu lassen?
Entschuldige bitte diesen polemischen Vergleich, aber es kotzt mich immer mehr, wie Mißstände schön geredet werden, nur weil es anderswo auch diesselben Mißstände gibt. DAS IST KEINE ENTSCHULDIGUNG! Es zeigt nur, dass Leute, die so argumentieren entweder selbst von den Mißständen profitieren oder gar nichts verstanden haben.
Die Info über das Leck haben sie schon seit der Nacht von Freitag auf Sonnabend, 02.50h. Nebenaspekt: Nun wird (wieder) auf deren Blog moderiert, sprich: Der betreffende Trackback wurde nicht freigeschaltet. ;-)
Mein Betrag wartet da auch schon länger. Und ich nehme an, dass sie es eigentlich schon von dem Tag an wissen, als sie das programmiert (oder so) haben.
@Kajetan: Die Frage ist doch warum Don ploetzlich bei dem Fall den Mund aufmacht und bei den anderen Faellen schweigt bzw. auch in seinem Blogeintrag verschweigt, dass es bei anderen Diensten genau so gehandelt wird.
@Don/23: Okay, darfst mich ruhig zensieren :)
Aber mal ernsthaft: Das fällt wirklich jedem sofort ein. Nun sind Ehssan und Konsorten am Zug.
Ja, das ist eine berechtigte Frage. Die solltest aber Don stellen und nicht mir, da ich erst nächstes Jahr mein Gedankenleser-Diplom in der Tasche habe ;)
Weil es hier um StudiVZ geht. Und das Problem akut ist. Und weil da erhebliche Gefahren damit verbunden sind. Und wer andere Fälle kennt, kann hier gerne in den Kommenataren beitragen, Facebook ist ja oben verlinkt. Und StudiVZ Behauptungen zur datensicherheit aufstellt, die sie nicht einhalten.
Die Frage ist für mich mehr: Was bist Du eigentlich für ein süsses Knäbchen mit so einfältigen Fragen? Nix tun aber das Schnütchen verziehen? Ist der Kindergarten schon aus? o ist Dein Blogeintrag über Probleme bei anderen Anbietern? Na? Darfste gerne hier verlinken.
@Mischpult: Ganz einfach, weil StudiVZ sich einen Klopper nach dem anderen leistet. Und, wie oben schon gesagt wurde, bei Flickr sind die URLs wesentlich schwerer zu erraten, was man auch bei StudiVZ problemlos hinkriegen würde, wenn da irgendjemand was von seinem Job verstehen täte. Tun sie aber nicht. Geht ja alles in die Ukraine und Herr Dennis guckt wahrscheinlich nur ab und zu mal rüber.
Und Facebook wird von Don ständig als Datenkrage kritisiert.
Schon komisch, dass keiner das vorher publiziert oder gemerkt hat. Aus Webprogrammierersicht sind das ja nun wirklich sehr grundlegende Sicherheitslücken, über die schon im Jahr 2000 viele gegähnt haben.
@DonAlphonso: Ich bin nur ein Leser, habe weder was mit dem StudiVZ zu tun noch mit euren Blogger Geschichten. Ich lese einfach nur und hinterfrage einiges. Denn wie auch schon bei Spreeblick gesagt, erinnert mich das ein bisschen mehr an “Scheiterhaufen 2.0 Beta” als an ein vernuenftiges und sachliches Vorfuehren von Problemen/Sicherheitsluecken/etc. des Dienstes StudiVZ.
OK. Und wo ist dein Beitrag zu den anderen Dir so wichtigen Geschichten? Hinterfragst Du sonst noch was? Komm. lass es raus. Gib uns Deine grosse geschichte über flickrebaywhatsoever. Ich warte.
Scheiternhaufen hab ich gelesen. Weia!
StudiVZ Bilder immer aufrufbar
Wenn man lang genug sucht, dann findet man immer irgendwelche Fehler. Zum Thema StudiVZ suchen im Moment alle nach Fehlern, Ungereimtheiten und Verfehlungen des GrÃŒnders und daher wird besonders viel gefunden. Gerade hat DonAlphonso herausgefunden, da…
Hallo Mischpult,
Blogger-Geschichten? Nur Leser? Dass Blogs keinen vortragenden Charakter haben, hast Du aber schon kapiert, oder? Du selbst trägst mit Deinen Kommentaren zum Gesamtbild bei. Die klare Trennung zwischen aktivem Vortragendem und passivem Zuhörer gibt es hier nicht. Sprich, Du musst dann schon etwas nachlegen, wenn Du solche Anmerkungen machst. Ansonsten bleibt das nur dünnes, schwammiges “Ich will auch was sagen”.
Du kritisierst offenbar die Art und Weise, wie hier Kritik geäussert wird, oder? Falls es das ist, was stört Dich daran? Zu bissig? Zu gemein? Nicht nett genug? Die Artikel hier sind zwar in einem sehr persönlichen Stil geschrieben, aber ihr Inhalt ist objektiv nachprüfbar und spricht offensichtliche wunde Punkte an. Hetzjagd? Scheiterhaufen? Quatsch! Man muss, man DARF nicht immer nett sein und ich weiß auch aus eigener Erfahrung, dass ein bestimmter Schlag Mensch/CEO/Geschäftsführer erst dann sein Verhalten oder zumindest das Produkt ändert, wenn man gewaltig unter Druck gesetzt werden, da solche Leute beratungsresistent bis hin zum Autismus sind.
Na ja, gut,
so 100% neu ist mir persönlich das nicht, ich war nur zu unkreativ das in meinen Sammelblogpost (in dem es vermutlich untergegangen wäre) explizit einzubauen – denn selbst gelöschte Bilder sind ja noch zu finden…
Die Sache ist allerdings skandalös, aber wie hier schon steht ist es “Usus” – Es ist nicht unaufwendig, da eine exakte Abfrage zu machen (dürfte die Serverauslastung deutlich erhöhen.
Insgesamt gilt aber wohl: Wenn einer an deine Daten wirklich kommen will, schafft er es fast immer.
Könnte man nicht einen Brief mit all den Sicherheitslücken an den Berliner Datenschutzbeauftragten schicken? Der wird dann mal in der Wasserschaden-Bude vorstellig :-)
Hat mal jemand probiert, was mit den Bildchen passiert, wenn man den Account löscht? Die müssten eigentlich vom Server verschwinden. Tun sie das nicht, ist das ein Beweis, das der Account mit allen seinen Daten NICHT vollständig gelöscht wird.
Daburna. Danke für den Tipp.
Wenn demnächst in von mir ausgelieferten Anwendungen ernsthafteste Sicherheitsprobleme auftauchen, dann sach ich auch einfach: “Wenn man lange genug sucht, findet man immer etwas”
Ich find das nicht besonders realistisch.
Wie setzen sich denn die letzten Teile des URL zusammen? Im Kasi-Blog steht was von
http://…/userID/albumID-pictureID.jpg
, aber warum sind in den beiden URLs zu Alben von Juliane Schmidt die userIDs dann nicht identisch? Ist es nicht vielmehr so, dass das, was hier als “userID” bezeichnet wird, tatsächlich die albumID ist? Jedenfalls scheint mir das aus den Screenshots so hervorzugehen. (Steht in einem oben in der Adresszeile des Browsers.) Danach folgt dann möglicherweise eher eine pictureID und hinter dem Bindestrich möglicherweise einfach eine laufende Nummer. Keine Ahnung wie viel Zeit zwischen dem Hochladen von …-2426.jpg und …2465.jpg vergangen und ob die Differenz von knapp 40 Bildern in dieser Zeit realistisch ist.
Wenn ich so einen Link nehme und verkürze, also bei den “/” den hinteren Teil abschneide, dann bekomme ich 404-Meldungen. Obwohl ja offensichtlich ein Verzeichnis namens “http://…/2006-11/19” vorhanden sein sollte. Oder natürlich auch nicht, wenn der Link keine echte Verzeichnisstruktur wiederspiegelt. Darüber müsste man auch noch nachdenken, denn sonst würden ja alle Bilder vom z.B. 19.11.2006 im gleichen Verzeichnis liegen, unabhängig vom einstellenden User. Kann man natürlich aber machen. Sollte der letzte Teil des URL tatsächlich eine laufende Nummer sein, dann würde das schon dafür sprechen.
Fest steht: da eine Verkürzung des URL keinen Hinweis gibt auf das Vorhandensein oder eben Nichtvorhandensein eines Ordners, muss ich tatsächlich den kompletten URL wissen, um auf ein Bild zugreifen zu können. Der erste Teil ist ja anscheinend fix, nämlich “http://…/albums/”. Danach Jahr und Monat, dann Tag. Bisher kein Problem. Danach kommt eine ID, die meiner Meinung nach die albumID ist. Erstes Problem.
Auf dem Screenshot des Profils von Juliane Schmidt kann ich in der Adresse oben vermutlich ihre userID sehen, oder? Die übrigens nicht Bestandteil der beiden angegebenen Bilderlinks ist. Außerdem kann ich in der Auflistung unten links sehen, dass Juliane ein Album hat. Eins. Das muss also wohl das halböffentliche sein. Der Screenshot sagt aus, dass nur Julianes Freunde ihre Seite sehen dürfen. Ich gehe also mal davon aus, dass ich nicht dichter rankomme an ihr eines Album. Und der Link “Julianes Fotoalben(1)” führt vermutlich zu einer Ãœbersichtseite, so dass er ebenfalls die albumID noch nicht enthält. (Die dann im Quelltext einsehbar wär.) So weit richtig geraten? Das würde bedeuten, ich müsste die albumID erraten. (Also wenn mir nicht grad noch der Programmierer begegnet und verrät, dass das gar keine “echte” Zufalls-ID ist.)
Die albumID – also was ich dafür halte – besteht aus sechs Stellen. Es kommen offenbar Klein- und Großbuchstaben sowie Ziffern vor. Das sind – ohne Umlaut und so – 62 mögliche Zeichen je Stelle. Studium ist schon ein bisschen her, aber ich würde sagen, das sind 62 hoch 6 Möglichkeiten. Das sind … aeh … 56.800.235.580 Möglichkeiten.
Aber ich muss ja den ganzen URL auf einmal versuchen, also für jede der 56.800.235.580 Möglichkeiten muss ich auch noch den eigentlichen Dateinamen erraten. Der besteht meiner Meinung nach ja aus einer pictureID der Länge … tja. Sechs oder sieben!? Das ist mal komisch. Vor allem weil in den beiden URLs von Juliane jeweils “LT” vorkommt. An dieser Stelle würde man wohl überlegen, ob man nicht rausbekommen kann, wie diese angeblichen IDs wirklich erzeugt werden. Ich kann das aber nicht. Und muss weiter probieren bzw. probieren lassen. Also weiter:
Erstmal weiss ich jetzt nicht, ob der erste Teil des Dateinamens sechs- oder siebenstellig ist. Und dann ist da noch der letzte Teil, den ich weiter oben als laufende Nummer angenommen hatte. Was die Nummer angeht: da mache ich es mir mal leicht und prüfe einfach immer auf “-0001”. Mit Glück wird da angefangen zu zählen, dann weiss ich bei einem Treffer, dass ich auch noch “-0002” und weitere testen muss. Und hab ich bei “-0001” keinen Treffer, dann gibt es vielleicht auch mit höheren Zahlen keinen Treffer. (Das geht natürlich davon aus, dass jeden Tag der Zähler bei Null anfängt, was aber ja auch nicht unbedingt so ist. Ach ach ach, so viele Unklarheiten.)
Bleibt der erste Teil des Dateinamens. Wenn ich nur die sechsstelligen Möglichkeiten prüfe, dann hab ich wieder 56.800.235.580 Möglichkeiten. Prüfe ich auch die siebenstelligen, dann sind es noch 3.521.614.606.000 dazu. Puh.
Insgesamt muss ich also für die 56.800.235.580 Möglichkeiten aus der (angenommenen) albumID jeweils (56.800.235.580 + 3.521.614.606.000 =) 3.578.414.842.000 Möglichkeiten für den Dateinamen testen, um rauszukriegen, ob es ein Bild mit dem Zähler “0001” gibt.
Das sind 203.254.806.000.000.000.000.000 Möglichkeiten.
Ok, und wenn ich dann mit dem Prüfen möglicher Bilder am 19.11.2006 durch bin, dann schau ich mit den 18.11.2006 an.
Das sind dann wieder 203.254.806.000.000.000.000.000 Möglichkeiten.
Und so weiter.
Ein “ping” von hier auf den Bilderserver benötigt grade im Durchschnitt 43 Millisekunden. Und meine Anbindung ist recht gut. Mit einem Ping ist es ja auch lange nicht getan: Der angesprochene Server muss ja noch nachschauen, ob das Bild da ist. DOSen will ich ihn ja auch nicht, also lass ich mir n bissl Zeit mit den Abfragen. Die er allerdings wohl parallel abarbeiten kann. Sagen wir … 500 Anfragen pro Sekunde? 1000? Keine Ahnung was so ein Server (parallel) leisten kann.
Dann bin ich bei 203.254.806.000.000.000.000.000 Möglichkeiten aber n bisschen beschäftigt.
Wenn die Info aus dem Kasi-Blog aber stimmt, der URL also aufgebaut ist nach dem Schema
http://…/userID/albumID-pictureID.jpg
, und wenn man wenigstens die userID irgendwie rausbekommen kann. Und man die pictureID als Vision geliefert bekommt … (Oder habt ihr wirklich 2465 Bilder hochgeladen?) … Dann muss man nur noch die albumID raten. Die wie gesagt offenbar sechs- und siebenstellig sein kann und sich auch sonst irgendwie komisch zusammensetzt. Um es kurz zu machen:
Dann sind es nur noch 3.578.414.842.000 Möglichkeiten.
Pro durchsuchten Tag.
Und wenn ich Recht habe und die userID nicht im Link auftaucht, dann kann ich mich bei der Suche nicht mal auf eine Person – deren ID ich vllt aus einem mir zur Verfügung stehenden Link kenne – beschränken.
(Tatsächlich hör ich natürlich auf, sobald ich das 0001-Bild hab. Fang dann aber ja für die 0002 wieder neu an. Aber die Größenordnung sollte klargeworden sein.)
… und lieber Peter: Wenn man sich mit der Materie auskennt, dann ist es schon möglich Daten so abzusichern, dass “Interessierte” nur über prohibitive Kosten an sie drankommen.
Vielleicht müssen private Bereiche in einer Social Network Site nicht so abgesichert werden wie mein Online Banking Zugang.
Aber bestimmt auch nicht so, dass sich ein aufgewecktes Skriptkiddy mit schneller Internetverbindung in 1 Minute Vollzugriff auf gleich mehrere geschützte Bereiche verschaffen kann.
@28: Es ist allerdings verwunderlich, die Argumentationen der Leute in meinem Umfeld, die bei StudiVZ mitmachen und die ich in den letzten Wochen immer wieder angesprochen habe ist unglaublich! Da ist überhaupt kein Bewusstsein vorhanden: “Na und, was juckt mich das wenn jetzt irgendjemand weiß, dass ich $band höre, $sport mache und mit $kumpel befreundet bin?”. Und sowieso: “Ich hab ja nichts zu verbergen” – so wie immer. Nun, falls jemandem mal langweilig ist, ein guter Artikel zu “meine Daten und was Bösewichte damit anstellen könnten” wäre wirklich von Nöten… (bereite selbst schon was vor, weiß aber viel zu wenig)
@mitlerser / 28: die studis kümmern sich nicht drum, weil sie (a) von dem versäumnissen bei SudiVZ nichts wissen, oder (b) nicht datensensibel sind, oder (c) beides.
ich führe seit einigen jahre bewerbungsgespräche zum einstieg an die uni und prüfe u.a. auch die allgemeinbildung ab. das bild, das die studis hinterlassen, ist regelmäßig desolat. anzahl bundesländer-keine ahnung. aktuelle politische debatte (angemessenheit von topgehälterm/vorzeitige bundestagswahlen) – pustekuchen. zeitungen lesen ist noch nicht. arbeiten ist was, was noch fern liegt.
deswegen überrascht es mich auch nicht, dass die studis, die an meinem büro vorbeilaufen, auch von dieser diskussion nichts wissen…keiner. ausnahmslos. wenn also reaktionen bei den studis erzeugt werden sollen, dann ist die special interest group der blogosphere nicht die richtige plattform.
Es ist ein GAU, zweifellos. Aber kein Super-GAU. Ich hab grad mal bissel rumgespielt dort drüben: Es gibt eine User-ID, eine Album-ID (6stellig), eine Bild-ID (7stellig) und eine Zufallsziffer (4stellig). Die Kenntnis einer dieser IDs scheint (!) keine Rückschlüsse auf die anderen IDs zu erlauben; gleichzeitig enthält der Direktlink zum Bild nicht die User-ID. Will sagen:
1. Man kann anhand der Bild-URL nicht erkennen, um welchen User es sich handelt.
2. Ein “Raten” der Bild-URL scheint (!) mir relativ aussichtslos: Die User-ID (die man als einzige Anhaltspunkt hat) scheint dafür nutzlos. Und ein siebzehnstelliger, alphanumerischer Code kann 62^17 oder 2955688905823059073916326510592 Variationen annehmen. Das Datum (das ja ebenfalls Teil der URL ist) noch nicht eingerechnet.
Lasse mich gern vom Gegenteil überzeugen.
Michael, und was, wenn ich morgen anonym bei blogger.de ein Blog er̦ffne, das einzig dem Zweck gewidmet ist, STudiVZ-Bilder zu ver̦ffentlichen? Sonne Art deutsches Priceless Рwem das was sagt. ;-)
Sprich, ich meld mich bei StudiVZ an, suche mir da Tag für Tag die besten Bilder raus und veröffentliche die Links.
Das wäre ein Heidenspaß. ;-)
Selbst wenn ich zugute halte, dass sie in der Nacht die Geschehnisse auf deren eigenem Blog nicht verfolgen, so wissen sie um diesen Umstand seit mind. 50-55 Stunden bescheid. Peinlich, verantwortungslos, inkompetent. Mehr ist dazu nicht zu sagen.
Aber sie nehmen ja den Schutz Eurer Daten ernst…
Ich würde hier wirklich gern die Debatte um die Möglichkeiten vermeiden. Nicht wegen der Wahrscheinlichkeit oder der Unwahrscheinlichkeit, sondern weil es einfach keiner probieren soll. Noch nicht mal daran denken. Fest steht: Man kann zugreifen. Es gibt Systeme, da geht das nicht.
@ on: Dann lösche den Eintrag, damit habe ich kein Problem.
@DonAlphonso:
Ich sehe nicht dass ich einen “Datenschutzerziehungsauftrag” habe. Ich gucke mir die Dienste an und bewerte diese fuer mich. Den Rest ueberlasse ich den Leuten, die dies koennen. Nur ist das was bei StudiVZ ablaeuft nichts neues fuer einen “Web 2.0” Dienst – wie Dir auch schon andere hier bestaetigt haben.
@Kajetan:
Ich muss hier gar nichts nachlegen. Das Beispiel Flickr ist hier breits gebracht worden und auch verlinkt.
Zu dem Thema “Art und Weise” – auch schon bei Spreeblick genannt.
Ich wuesste nicht was der Musikgeschmack, das Tagen von weissen Logo-Shirts und die Pressefotos mit dem guten Stil des Geschaeftsfuehrers zu tun hat.
@justbe: Da wahrscheinlich ein Grossteil der Studenten eine Seite bei myspace.com haben wird, sind diese Infos eh nur ein Dublikat, der dort schon vorhandenen Daten ;)
BTW: Weiss jemand wie es bei MySpace.com mit der Sicherheit der Bilder aussieht?
@Chris: Wenn Du nachrechnest, dann wirst Du feststellen, dass die systematische Suche nach den Bildern eines Tages wesentlich länger als einen Tag dauert. Und dann musst Du sie noch sichten. Wenn man mal den Anteil wirklich spektakulärer Bilder bei StudiVZ mit so … naja, sagen wir … 0,5% annimmt (Denn mal ehrlich: Bilder von der letzten Lesbenparty, die ich mit niemandem teilen will, die lade ich nicht hoch. Und selbst wenn … Lesbenpartybilder werden gewöhnlich überschätzt.), dann hast Du ne Menge Arbeit für richtig wenig … naja, Heidenspaß>/i>. Meine Meinung.
Eben, nochmal Korrektur: Es ist ein Kreuz mit der Mathematik. ;-) Es sind natürlich 24 Stunden weniger, die sie bescheid wissen. Ändert natürlich nichts am Sachverhalt.
Es ist erschreckend, dass ein Unternehmen, welches angeblich auf 1 Mio. Datensätzen sitzt noch nichts unternommen hat. Ein Bug kann immer passieren, es gibt keine Software, wo dies nicht der Fall ist – erschreckend ist diese Untätigkeit, dieses Totschweigen, diese Ignoranz.
Einfach großartig. Vorm Datenklau kommt der Daten-GAU. Aber gleichzeitig bin ich doch ein bisschen enttäuscht. Die Lesben sind auch nicht mehr das, was sie mal waren.
@just be (#54):
du bringst die argumentation exat auf den punkt. schlimm nur, genau die person hat es hinbekommen mails (versehentlich und peinlicherweise) an ein ganzes gmail-adressbuch rausgehen zu lassen. und jetzt rate mal: einladung sich das …”trara”… studivz-profil anzuschauen. ich durfte mich dann aber beschimpfen lassen…
@felix (#55):
s.o., was die aussage von dir offensichtlich bestätigt. und das möchten die “zukünftigen eliten” dieses unseres freizeitparks sein? danke, [bitte sarkastischee bemerkung selber einsetzen]…
sind denn jetzt die Zahlen von #52 soweit korrekt?
Was ist das für eine geek-Diskussion.
Wenn ich als user Bilder als “verborgen” markiere, dann erwarte ich, das sie eben nicht offen im Internet herumliegen. Was in anderen Diensten und Ländern üblich ist, ist mir egal. Denn es gibt ausser OpenBC/Xing keinen social-Network-Dienst, der ähnlich viele user und damit die Daten dieser user hat. Ich glaube kaum, dass Deutsche bei flickr so stark vertreten sind.
Wenn studivz erklärt: “Unsere Benutzer vertrauen uns, dass wir den Zugang zu den Daten schützen”, dann muss man sich daran messen lassen.
Vielleicht ist es eine deutsche Besonderheit, dass dem Datenschutz in Politik und Öffentlichkeit soviel Relevanz eingeräumt wird (ich hoffe nicht). Aber nur warme Wort zur Beruhigung der User langen da eben nicht.
Denn es gibt ausser OpenBC/Xing keinen social-Network-Dienst, der ähnlich viele Deutsche user und damit die Daten dieser user hat. I
Es war nur eine Frage der Zeit…
…bis das Web-2.0 seine Kinder fressen würde – zumindest die unvorsichtigen. Und nun ist es soweit: StudiVZ demonstriert bei seiner Demontage, wie gefährlich das coole, neue Web-2.0 doch ist.Zunächst wurde ausgerechnet dessen Obermotz Dari
Oh, man hat die Kommentare freigeschalten. Na dann hoffe ich mal, dass sie auch jemand gelesen hat.
@strappato: Dann erwartest Du wahrscheinlich auch das geloeschte Dateien von deinem Rechner auch wirklich geloescht sind.
Irgendwann mal gelernt: Fotos, die niemanden etwas angehen – bleiben da wo sie sind und werden nicht irgendwo hochgeladen. Denn egal wie gut der Datenschutz ist, es gibt immer einen der genug kriminelle Energie in sich traegt um diesen zu knacken.
Um Daten, die “unsichtbar” sind “sichtbar” zu machen benoetigt es keinen David Copperfield. ;)
“verborgen” “unsichtbar” beinhaltet nicht das Wort “geschuetzt/gesichert/etc” auch wenn man es anscheinend die armen StudiVZ User so anehmen.
Nach Verborgenem kann man suchen und es finden.
Wie mühselig es nun ist die Bilder-URLs mit “brute force” rauszubekommen ist eigentlich egal. Man kommt ran. Und möglicherweise hat man die URL ja schon weil Juliane in einem Moment trunken vom leichtsinn der frisch Verliebten dachte “ich habe nichts zu verbergen” die Bilder freigab. Um sie am nächsten Morgen wieder nüchtern zu beschließen, dass es doch nicht mehr jeder sehen soll. Nur leider hatte der neidische und irgendwann mal abgeblitzte P. die Bilder schon gefunden und die URL an seine Freunde weitergeleitet. Da die URL ja frei zugänglich ist, ist es auch das eigentlich inzwischen gesperrte Bild. Muss man wissen.
@strappato: Irgendwer sagte es schon: totale Sicherheit gibt es nicht. Wenn Du Deine Bilder sicher aufbewahrt haben willst, dann memoriere sie und lösche sie dann. In der Informatik geht es ausschließlich(!) um relative Sicherheit.
Die Sicherheit eines Servers ist durch verschiedene Methoden des Angriffs gefährdet. Und der Betreiber versucht ein Verhältnis aus Sicherheit und Aufwand zu finden. Wenn ich die Bilder will, also wirklich will, dann kann ich ein paar Freunde anrufen und den Laden stürmen. Oder, klischeehafter, ich such im Hausmüll des Providers nach Schmierzetteln mit dem Passwort. Oder ich ermittle die verwendete Software und verfolge die Diskussion zu passenden Sicherheitslöchern in einschlägigen Seiten. Oder ich löse das Problem brute force – und dann kann ich mir entweder das Admin-Passwort vornehmen oder den URL wie oben beschrieben. Und in diesem Fall erscheint mir das Admin-PW vielversprechender.
Ich will gar nicht abstreiten, dass es schon etwas komisch aussieht, wenn ich von außen ohne Login und ohne Prüfung meiner Berechtigung auf diese Bilder zugreifen kann. Das ist ganz sicher kritisierenswert und absolut unnötig. Aber – wenn ich mich nicht total irre bei meiner Bewertung oben – der Knüller ist das nicht. Sich erst mit einem Login die nötigen Daten einfach besorgen und dann sagen “seht her, wenn ich erstmal die Daten hab, dann kann ich Mist bauen” ignoriert ganz einfach den Aufwand, den man betreiben muss, um an die Daten zu kommen. Also für andere Profile/Alben als meinen eigenen.
Naja, und “die Möglichkeiten nicht Diskutieren wollen” ist ja auch typisch. siehe hier. Nichts von dem, was ich hier bisher geschrieben oder gelesen habe, ist irgendwie verschweigenswert. Jedes Skriptkiddie sieht hier vermutlich drei mal so viele Ansatzmöglichkeiten wie ich. (Und wer weniger sieht könnte so einen Angriff auch mit Handbuch nicht durchführen.)
Danke für die Auflärung. Dann ist es wohl zuviel erwartet, wenn ich der Zugriff zu den Bildern mit meinem account verbunden wird, bsp. verschlüsselt. Ich will auch immer das Unmögliche… Tut mir leid.
@71
marcc: Genau das ist der entscheidende Punkt.
Die Bilder URLs werden ja bereits herumgereicht. [Edit: Link auf Google-Suchanfrage von mir erst einmal gelöscht -dogfood]
Da es aber beim Zugriff auf den Bildserver keine Prüfung der Session gibt, kann jeder auch auf Bilder zugreifen, die auf “privat” gesetzt sind, falls die URL irgendwann mal geleakt ist.
Die Wirtschaftswoche hat schon eine Titelseite mit ‘Karrierekiller Google’ laufen. Personalberater durchforsten systematisch Web 2.0 Anwendungen nach Infos über Bewerber. Die Ãœberschrift ist recht plakativ – trifft trotzdem den Nerv. Solche Datenauswertungen gibt es auch schon für Kreditwürdigkeit, Mietverträge etc. Fies dabei ist das Wirken dieser Strukturen im Hintergrund – kaum mehr angreifbar, kontrollierbar. Der Mietvertrag wird OHNE Begründung abgelehnt, der Kredit hat plötzlich 2% mehr Zinsen als beim Nachbarn, der Job ist schon weg usw.
Von kriminellen Strukturen ganz zu Schweigen – die bedienen sich auch bei den gefälschten eBay-Accounts, Mobilfunkverträgen usw. aus den PRIVATEN Daten. Ganz aktuell in meinem Umfeld: Ein Mobilfunkvertrag taucht auf, den der Rechnungsempfänger nie abgeschlossen hat. Das geht nur mit genauer Adresse, Geburtsdatum etc. Der muss jetzt nachweisen dass er das nicht war, dass der Vertrag gefälscht war etc. Weil er erstmal nicht mehr zahlt ergab das schon einen Schufa-Eintrag und einen Eintrag in einer Wirtschaftsdatei für den Mobilfunk mit allen Nebenwirkungen. Alles nur nach ewig schweren Recherchen rauszufinden.
Diese ‘Ichhabdochnixzuverbergen’-Haltung ist hochgradig naiv.
Die Bilder aus “gesicherten” Alben sind sogar nach kompletter Löschung der Alben durch den User weiterhin über den entsprechenden Link abzurufen.
D.h. es wird NICHTS gelöscht, sondern lediglich innerhalb der StudiVZ Plattform ausgeblendet.
@Don: Wenn Dir wirklich was an dem Leben der StudiVZ User liegt – zensier bitte den Link in Eintrag #74
auch wenn dieser Zeigt das Suchmaschine No1 besser ist als jedes BruteForce Tool
Michael und Mischpult, mit Verlaub, asoziales Pack und ihre Gossenrelativierung ist die Basis für jeden Missbrauch. Klar kann man alles tun, ich kann mich auch hinstellen und Euch das dumme Maul einhauen oder die Kniescheiben rausballern lassen.
Und wenn Ihr dann einen Sicherheitsdienst hattet, bei dem Ihr angekreuzt habt “Mit diesem Dienst stellst Du sicher, dass nur Du entscheidest, wer in die Nähe Deines dummen Maules und Deiner Knie kommt”, dann versteht Ihr vielleicht das Problem, um das es hier geht.
Ne? Nicht? Na dann geht woanders spielen, Appeaser und Versteher wie Ihr kotzen mich nämlich an. Ihr seid die digitale Analogie zu “Selbst schculd, wenn sie vergewaltigt wurde, sie weiss ja, dass man keine kurzen Röcke tragen soll”. Um das mal ohne Beschönigung und gradraus zu sagen.
@Don:
Mir ist neu, dass das Verlinken/Finden/Suchen von Daten auf anderen Server wie z.b. Bilder bei StudiVZ, eine Straftat wie eine Vergewaltigung ist. Aber bitte Deine Analogie.
@Michael: Du schreibst: Wenn Du Deine Bilder sicher aufbewahrt haben willst, dann memoriere sie und lösche sie dann.
Das wäre der nächste Punkt, piz_boese piz_boese schreibt hier:
wollte mein profilbild löschen. hmm. kann man leider garnicht. also ausgetauscht durch eine schwarze fläche. original weiterhin über den zweiten server erreichbar.
Müsste noch verifiziert werden – der nächste Gau – gelöschte, persönliche Bilder sind weiterhin auf den Servern zu finden.
Ach so, und nochwas: StudiVZ ist eine Firma. Was ich mich frage – und die Frage geht an die hier mitlesenden Unileute: Die Jungs kosten die Unis ein Schweinegeld für Traffic und Infrastruktur. Die Jungs scheren sich einen Dreck um die Studenten. Gleichzeitig rennen vierhundert Mitarbeiter von den durch die Unis und werben Leute an.
Wieso haut man diese Bande nicht hochkant raus? StudiVZ-URLs blocken, eine erklärende Seite schaltgen, und die Campus Captains so hochnehmen, wie sich das mit anderem kommerziellen Vertreterabschaum gehört. Es ist ja nicht so, dass der Studi als ein solcher blöd ist – vielleicht kann man denen die Sache auch erklären.
[editiert. Wie oben schon gesagt: Keine Zahlenscheisse von Amateurhackerberatern]
@Don: Mit Verlaub, dies ist ja Deine Hütte und Du kannst Dich angekotzt fühlen, wovon Du willst – aber Deine Enthüllung hier ist schlicht nicht durchdacht. Und wenn jeder, der besser rechnen kann als Du, deswegen ein “Versteher” und ein “Appeaser” ist, dann ist die Welt wohl voll davon. Wenn das hier die große finale Enthüllung sein soll, die StudiVZ jetzt entgültig vom Markt haut, dann können die sich ja entspannen. Und Du solltest das “hacken” – denn in der Tat ist es ein Hack, auch wenn Du das Deinen Anhängern hier nicht so verkaufen magst – vllt doch jemandem überlassen, der mehr davon versteht.
@Chris: Ich bezweifle auch nicht, dass die ihre Daten nicht sauber halten. Der ganze Laden stinkt. Aber an anderer Stelle als Don glaubt.
Das ist Datenbanken nicht “echt” gelöscht wird ist allerdings eher normal.
@83:
der letzte satz ist schwer zu verstehen, tut aber am tatbestand nichts zur sache. wenn der anbieter in seiner gui schreibt “alles geloescht”, dann muss und will ich mich darauf verlassen koennen, dass dem so ist.
@Don: blogbar.de kostet den Unis auch Geld fuer Traffic und Infrastruktur und dient nicht wirklich Ihrem Studium. Vielleicht gleich mitsperren.
Die Blacklist ist sicher noch erweiterbar. ;)
“der mehr davon versteht”. Ich sagŽs ja: Du Versteher. Es geht nicht Hypothesen, es geht um die StudiVZ-Ansage, um die Umsetzung und die Glaubwürdigkeit. Aber zu dieser logischen Höchstleistung fehlt es dann doch wohl am Verständnis. Und ich habe oben mehrfach b etont, dass ich Deinen Scheiss aus anderen Gründen hier nicht sehen will.
@ Mischpult: Da kann ich helfen. Ich verspreche Dir, dass Du ab jetzt nicht mehr dazu beitragen wirst.
@hiddensee: Ok, also: Datensätze in Datenbanken nur als “gelöscht” zu markieren ist ziemlich alltäglich, jedenfalls sehe ich das immer wieder und selbst an offensichtlich unsinnigen Stellen. Der Grund ist vermutlich, dass Daten ja verknüpft sind und es insgesamt … naja, einfacher für den Entwickler ist, Daten zu behalten und so Löcher und inkonsistenzen in der Datenbank zu vermeiden, als hochwertige Arbeit zu leisten und den Entwurf entsprechend zu gestalten. Spätestens im (täglichen? stündlichen?) Backup sind die Daten ja auch nach wie vor enthalten.
Davon abgesehen bin ich natürlich Deiner Meinung: Wenn ich mich lösche, dann gehe ich auch davon aus, dass meine Daten da nicht länger stehen. Und weil ich den Unterschied zwischen Anspruch und Wirklichkeit kenne, verändere ich normalerweise meine gespeicherten Daten, bevor ich mich irgendwo abmelde.
Was die Sache mit dem Löschen von Bildern angeht:
Ich habe eben ein Bild hochgeladen (privat eingestellt) und die URL des Bildes gebookmarkt. Jetzt habe ich das Bild gelöscht, und es ist noch da.
Ich stelle hier mal den Link zum Bild rein, dann kann man überprüfen, ob das Bild irgendwann gelöscht wird.
http://217.188.35.147/albums/2006-11/20/fDDkT0/2w38c0T-6031.jpg
bild ist gelöscht
blogbar hat aber nicht Klinkenputzer in den Unis, die die Studenten von der Relevanz der Seite für das Studium und das Studentenleben überzeugen wollen.
… und 1.000.000 Leser hat blogbar auch nicht.
Gut, dann werden Albumbilder also tatsächlich gelöscht… prima.
Klappt das auch, wenn man den Link nicht hier veröffentlicht?
“404 – Not Found
The requested URL /albums/2006-11/20/fDDkT0/2w38c0T-6031.jpg was not found on this server.
Apache/2.0.52 (Red Hat) Server at 217.188.35.147 Port 8080”
Also ich sehe es nicht. Vielleicht mal den Browser-Cache leeren. Bislang sehe ich den Skandal übrigens auch nicht. Die Bildernamen sind zufällig generiert und lassen sich mit Brute-Force nicht in (sinnvoller) endlicher Zeit erraten. Dazu kommt, dass es aufgrund fehlender Korrelation schwer fällt, auf den Nutzer zurückzuschließen, der/die das Bild eingestellt hat.
Weckt mich, wenn es wichtige Erkenntnisse gibt, die mir entgangen sind ;-)
@93: Das wüsste ich auch gerne. Don – Lesen die StudiVZler gerade aktiv mit? Sicher, oder?
@Peter: Mach die Löschung doch mal mit einem anderen Bild, ohne es zu posten. Aber am besten mit einem neuen Account :)
Sösö, das dürfte ein idealtypsisches Technikerproblem sein. Das Bild ist sichtbar, obwohl es das nicht sein sollte, und irgendwelche Codes sind da wirklich irrelevant. Und man könnte das auch anders machen, oder?
Das ist wie mit dem Wasserhahn, es ist mir scheissegal, warum er tropft. Und ich welcher möglichen Frequenz. Er tropft.
Ich zähl dann schon mal an….
…Studivz, der erste Web 2.0 Knaller, der noch vor Silvester in der eigenen Start-Up-Hand losgeht.
Tschüss StudiVZ-Jungs. Aber ihr habt uns wenigsten unterhalten…
Sorry,
aber die Kommentare über die technische Möglichkeit lenken doch vom eigentlichen Thema ab. Im StudiVZ heisst es meine vertraulichen Daten wären sicher und ich bräuchte mir deshalb keine Gedanken machen – nur sind sie das nicht.
Logge ich mich auf einem fremden Rechner ein und zeige auch nur ein Bild aus dem Album, braucht sich ein anderer nur die Seiten im Cache anzusehen, um an alle anderen Bilder zu kommen.
Man muss ja noch mal Bilder einer lesbischen Liebesnach hochladen РBilder einer etwas ausgearteten Party k̦nnen einem nach dem Studium den Einstieg in bestimmte Branchen erheblich erschweren.
Würde das StudiVZ mit offenen Karten spielen, gäbe es dieses Problem gar nicht erst.
Neuer Account? Muss das sein?
Habe es mit meinem Account noch einmal überprüft. Es klappt, auch ohne das man die Bilder hier erwähnt – ich hatte – Entschuldigung schwerer Fauxpas – beim posten meinen Cache nicht gleich geleert, war eine Minute später darauf gekommen – da war das Bild auch schon weg.
Die Bilder werden also (zumindestens von dort, von wo sie geladen werden, was Backups angeht, kann man das ja schlecht überprüfen) gelöscht.
Für alle die hier mit Rechenbeispielen kommen:
Ein handelsüblicher Rechner mit einem AMD Athlon-Chip und Linux als Betriebssystem kann derzeit etwa 14 Millionen Varianten dieser Adresse pro Sekunde erzeugen. Bleibt nur die Frage, ob deren Server die Abfragen erträgt, wo die doch eh schon so lahm sind.
ABER: Es geht ja nicht um alle Bilder, es reicht ja schon, wenn nur ein einziges als privat gekennzeichnetes Foto auftaucht, das eben nicht für die Öffentlichkeit bestimmt war.
Wenn man sich im StudiVZ-Blog so die Sicherheit der Daten auf die Fahnen schreibt, dann sollte die Sicherheit auch gewährleistet sein, oder?
StudiVZ-Investor/Gründungsmitglied Lukasz G. wurde von der Zeitschrift NEON heute unter die Top100 der jungen Deutschen gewählt.
Lukasz G. Gründungsmitglied? Eher nicht. Und die 5000 VC mit der er investiert ist, würde man heutzutage wohl unter Peanuts 2.0 abstempeln. Aber lassen wir das….
Über die Frage, wer Gründungsmitglied ist, ist man sich nicht ganz einig.
Aber Lukasz G. schreibt selber:
Ich bin übrigens Gründungsmitglied bei StudiVZ und deswegen so gut informiert.
http://www.gruenderszene.de/?p=18
Die Möglichkeit direkt auf die Bilder zugreifen zu könnnen, hat nichts mit einer Zwischenspeicherung beim StudiVZ (was übrigens durchaus ein Lösungsansatz wäre) oder dem lokalen Browsercache zu tun.
Es handelt sich viel mehr um ein weiteres strukturelles Problem, das äusserst unschöne Rückschlüsse auf die Architektur des Gesamtsystems und die Arbeitsweise der Verantwortlichen erlaubt. Um es mal unangebracht höflich zu formulieren.
Lukasz G. ist Gründungsgesellschafter, so stellt der Herr das zumindestens hier dar.
In einem späteren StudiVZ-Blogeintrag bestätigt Ehssan dieses.
Das klingt mir hier in den Kommentaren zu sehr nach heise. Die Leutchen, die bei StudiVZ sind, studieren nicht alle Informatik. Das ist so wie bei den Kommetaren, selbst schuld, wer nen Virus kriegt, weil er Windows benutzt. Nicht Jeder StudiVZ-Nutzer verbringt seine Zeit damit, seine daten irgendwie zu sichern und am Rechner rumzuschrauben. Der normale Nutzer denkt, seine Daten sind sicher, wenn er es esagt bekommt. Das mag etwas naiv sein, aber diese Naivität nutzen Computer Geeks in anderen Bereichen auch. Ein Nerd auf dem OP-Tisch vertraut auch darauf, dass de rArzt weis, was er mit dem skalpell anstellt und er kann mit an Sicherheit grenzender Wahrscheinlichkeit nicht sein Auto auseinande rund wieder zusammen bauen. Das Gesellschaftssytem beruht darauf, dass wir bestimmten Menschen die einen Dienst für usn ausführen, glauben schenekn können. Wenn StudiVZ also sagt, Eure Daten sind sicher und dann kommt das oben Gesagte von Don dabei heraus, dann ist dass als würde der Arzt sein skalpell im Bauch vergessen oder der Automechaniker dem Ferrari einen Trabbimotor einbauen. Es ist Pfusch.
@Jan, Dirk: Also wenn euch schlichtes nachrechnen zu mühsam ist mach ich euch einen Vorschlag: Tut euch zusammen und luchst euch gegenseitig eure geheimen Bilder ab – rechtlich ist das einwandfrei. Bringt Daten, die ihr nicht haben sollt. Keine Links zu Bilder, die ihr selbst hochgeladen habt. Keine Links, die man euch geschickt hat.
Dann bringt einen Erfahrungsbericht – die störenden Zahlen könnt ihr ja auch weglassen -, und dann hängt StudiVZ. Aber so?
Das ist richtig, mir bekannt, und das wollte ich auch kein Stück un abrede stellen – es ging nur darum, dass das Gerücht aufgekommen war, dass gelöschte Bilder auf den StudiVZ-Servern liegen bleiben würden – für die Albumbilder habe ich klargestellt, dass das nicht so ist. D.h.: Wer komische Albumbilder hat, die besser niemand sehen sollte, kann diese problemlos löschen.
Was Avatare angeht (die man ja nicht löschen kann) ist dieses noch nicht klar, und ich habe hier keine Lust, den alleinigen Überprüfer zu spielen (Freiwillige vor: Die Frage ist: Werden, wenn man ein neues Avatarbild hochlädt, die alten gelöscht? ).
strappato: Lukasz bezeichnet sich im spreadlog selber als “non exec-co founder & seed investor”. Das ist eine Definition, bei der man an “stille Teilhaber” denkt und die der offiziellen Version von den drei Vorzeigestudis nicht komplett widerspricht.
Nope, mindestens seit Anfang November, vermutlich länger. Also lange bevor die “Eure Daten sind sicher!”-Propaganda ausgekippt wurde.
Hier geht es aber auch gar nicht um ein mehr oder weniger gravierendes Leck, sondern um die Frage, ob sich massive strukturelle Probleme mit simulierter Transparenz übermalen lassen.
Versuche jetzt mal Michael ernst zu nehmen:
[quote]
In der Informatik geht es ausschließlich(!) um relative Sicherheit.
[/quote]
Ahso. Na dann. Relativ zu was eigentlich?
Dem Durchschnittswert der Lottozahlen vom letzten Samstag.
Nein. Die Kosten, um etwas zu knacken sollen aus ökonomischer Sicht prohibitiv sein. Das heisst: Der ökonomische Nutzen steht in keinem Verhältnis zu den ökonomischen Kosten.
[quote]
Oder, klischeehafter, ich such im Hausmüll des Providers nach Schmierzetteln mit dem Passwort.
[/quote]
Das funktioniert vielleicht bei Paulchen Panther, aber in der Realität kommt das nicht so oft vor weissu.
[quote]
Oder ich ermittle die verwendete Software und verfolge die Diskussion zu passenden Sicherheitslöchern in einschlägigen Seiten.
[/quote]
Kenn mich nicht so gut mit PHP Lösungen aus, aber mit den Plattformen, mit denen ich arbeite ist das praktisch auszuschliessen.
[quote]
Oder ich l̦se das Problem brute force Рund dann kann ich mir entweder das Admin-Passwort vornehmen oder den URL wie oben beschrieben. Und in diesem Fall erscheint mir das Admin-PW vielversprechender.
[/quote]
Ein System, in dem man einen Brute-Force-Attack auf ein Admin-PW fahren kann, ist nicht professionell.
Zugriff auf Bilder kann man bestimmt irgendwie an Autorisierungsmechanismen binden. Im Apache Bereich wird oft dieser htaccess Ordner genannt. Etc.
Deine Vorstellungen von Internetsicherheit halte ich geradezu für geschäftsschädigend für die gesamte Branche. Das heisst dann faktisch:
Tscha nu. Eigentlich gibt ja dieses Sicherheitsgedöns. Aber in der Praxis kommen Häcker eh an alles. Aber die Juser tschecken das nich so richtig. Also erklären wir einfach in den AGBs, dass wir das mit der security voll drauf haben und in Wirklichkeit agieren wir halt “realistisch”.
UND nein. In der Realität siehts anders aus.
Also ich kann hier auf den Bilderserver nicht mehr zugreifen:
Fehler: Netzwerk-Zeitüberschreitung
Der Server unter 217.188.35.147 braucht zu lange, um eine Antwort zu senden.
Hat da jetzt wer den Stecker gezogen?
@Don[81] StudiVZ auf dem UniCampus verbieten?
Der Zug ist doch schon längst abgefahren. Wenn schon die ZEIT in StudiVZ inseriert und die Zeit an der Bertelsmannstiftung beteiligt ist und die Bertelsmannstiftung im Beirat von jedem zweiten Uni-Institut sitzt?
Die Herren Professoren ducken sich doch bei dem ganzen Thema entweder weg oder rutschen schon auf der Schleimspur des größten neoliberalen Propaganda-Tanks der Republik!
Ach so, noch! Liebe Studis. Lasst Euch doch gleich ein Interface legen von euren Mobile-Devices über’s Auge direkt in’s Hirn. Ihr werdet alle assimiliert!
@113/Brainbomb: Wo sieht man das ‘Die Zeit’ an der Bertelsmannstiftung beteiligt ist? Quelle?
http://www.neon.de/kat/sehen/gesellschaft/167841.html
Hier ist die Liste, in der Lukasz G. als wichtigster Deutscher (dabei isser doch Pole! Sorry, just kidding) drin steht. Aber da sind auch Torfnasen wie der Hinrichs von OpenBC und sogar Holm Friebe.
(Herr Lobo wird sich sicher ärgern!)
Schick: Lukasz interviewt Marc Samwer —
http://www.gruenderszene.de/?p=17
Zum eBay-Alando-Deal:
“Bist Du damals wochenlang mit einem Grinsen herumgelaufen?”
Jamba spricht man übrigens “Djamba” aus. Wusste ich ooch noch nich!
So, meine Geduld mit den Herren Verstehern ist am Ende. Wer sich partiout über Zahlen unterhalten will, mag bitte ein Hackerforum aufsuchen.
@ 81 / @113:
so ein quatsch. seit wann sollen den profs bestimmen, welchen webseiten die verwaltung im rechenzentrum sperren lassen soll? profs haben damit genauso wenig zu tun wie don und mittelalterprosa.
die univerwaltung wird sich im übrigen auch nicht drum kümmern. mehr als tetrisspielen läuft da nämlich auch nicht.
Das ist jetzt also “die Bombe”? lol
Ist ein fettes Sicherheitsproblem, dass man auch den Betreibern hätte mitteilen können ohne sich selbst zu profilieren. Aber wenn die Geltungssucht so ausgeprägt ist, geht das natürlich nicht. Hast ja auch deine Stammleser.
Nebenbei würde es den Deppen auch gut tun, ihre Orgienfotos nicht bei welchem-Dienst-auch-immer zu platzieren. Da gab es schon ganz andere Anbieter, die gehackt wurden.
@beissreflex
OK, kann sein, dass ich nicht auf dem neuesten Stand war. Habe gerade einen Link gefunden, dass die Bertelsmannstiftung Anteile der ZEIT-Stiftung an der Bertelsmann AG vollständig zurückgekauft hat. Aber die Verbindungen und Verflechtungen werden trotzdem deutlich.
@felix
Du willst es nicht verstehen!
Also, ich möchte Michael hier ausdrücklich zustimmen.
Das Problem ist aber dennoch eins (wenn auch nicht ganz so wie Don es beschrieben hat; ich bitte um eine Ergänzung/Korrektur), denn ein einmal geleaktes Bild ist immer verfügbar, egal ob man’s nun als “privat” kennzeichnet, oder nicht.
Und da man nicht weiss, wer alles die URLs von einmal öffentlich gewesenen Bildern gespeichert (oder sonstwo veröfftlicht hat), ist das “privat” Merkmal nur eine Scheinsicherheit (ausser die alten URLs würden beim Ändern des Bilderstatus ungültig).
Wer also ein evtl. peinliches Bild in einen für andere studivz-Nutzer sichtbaren Bereich gestellt hat und es sich dann anders überlegt (es auf “privat” setzt) wird verarscht.
Sven, immer nur herein, isz ja nicht so, das nicht noch ein paar weitere leseunfähige Vollhorste hier Platz hätten. Die Betreiber kennen das Problem längst, weil es für sie keines ist – es ist so programmiert worden. Und wenn Du den Test da oben gelesen hättest, wüsstest Du vielleicht – wenn das Erinnerungsvemögen ausreicht – dass StudiVZ etwas anderes gegenüber den Usern behauptet, als es tut.
So, und jetzt räum Deine Spielsachen auf und helfe Mama beim Abtrocknen.
@121:
oh doch, ich verstehe das schon sehr gut, denke ich. zwar nicht, was du meinst, aber doch den einfluss der profs auf das tagesgeschäft und die organisation einer uni. die reichweite und einflussnahme eines profs endet regelmäßig an den grenzen des eigenen lehrstuhls/instituts/seminars. aktivitäten darüber hinaus kosten kraft und bringen nichts (ein).
was die beziehung der IT-Abteilung einer Uni zu den Profs und Assis betrifft, formuliere ich es mal so: da muss man zuweilen auf den campus-hof gehen und mit dem handy anrufen, weil die eigene büronummer auf dem display dazu führt, dass das telefonat nicht angenommen wird und der pc kaputt bleibt.
also: uniseitig wird da nichts unternommen, von den profs am wenigsten.
Als der “Leidensweg” des Datenschutzes bei StudiVZ begann hab ich mir noch gedacht “naja sooo schlimm wirds ja wohl nicht kommen.”
Denkste. Als diese Bombe mit den frei zugänglichen Bilder platze ist bei mir dann doch das Faß übergelaufen (ich weiß, bin viel zu geduldig).
Als Konsequenz wollte ich einige Bilder von meinem Account löschen – für die Fotoalben auch weiter kein Problem. Allerdigs gibt es ja noch das Profil-Foto. Sucht da man einen Knopf “Bild löschen”! Nix. Nada. Alles was hilft, ist ein anderes Pic hochzuladen. Auch ne echte Glanzleistung.
In meinem Bekanntenkreis schneide ich das Thema Datenkrake u.a. des öfteren mal an – und bin sehr erstaunt wie wenig es doch viele interessiert. Aber mit Namens- und Persönlichkeitsschildern in der Öffentlichkeit rumlaufen will dann doch keiner.
Echt traurig
@felix [124], noch diese Anmerkung, dann muss ich einkaufen!
Das ist kein technisches Problem. Wenn Du dich auch mal politisch etwas informieren würdest (anstatt sich auf diese Kleinkram-Technik-Ebene zu begeben), würdest Du wissen, dass die Bertelsmann-Stiftung der Propaganda- äh Think-Tank bei uns ist, der Bildung und insbesondere Studium komplett marktradikal durchorganisiert haben möchte. Und StudiVZ ist exakt das System, das in dieses Raster passt. Solch Phänomene, wie z.B. die Versteigerung von 10-StudiVZ-Kontakten passen im Grunde in diese marktradikale Philosophie, auch wenn sie heute noch skuril erscheinen mögen. Die Professoren haben diese Ideologie überwiegend schon verinnerlicht und folgen ihr konsequent, wenn sie das Treiben von StudiVZ auf dem Campus tolerieren. StudiVZ als quasi out-gesourcte Dienstleistungsfunktion.
Und die Medien für das Problem zu sensibilisieren ist ungefähr so vergeblich, wie der Versuch, die GEZ-Gebühren-Erhöhung adäquat im öffentlich-rechtlichen Fernsehen zu diskutieren, weil die ja letztendlich vom Markplatz Uni profitieren.
(Kleines Politseminar für Techis)
@124: danke für nachhilfe. bin kein techi – befinde mich genauso auf der gesellschaftlichen diskussionsebene wie du und ich bleibe bei der haltung, dass profs das problem nicht lösen können, wenn es denn eines ist, welches (a)überhaupt gelöst werden soll und (b) von den profs.
ich wette, dass 90%+ der profs von studiVz NICHTS gehört haben. und was die bertelsmann-stiftung betrifft, so ist das doch alles käse. was DIE WILL, und was die UNIS MACHEN, sind zwei unterschiedliche paar schuh.
deine ideologie ist offensichtlich, was okay ist – leider auch deine ahnung über hochschulpolitik. was dies betrifft schätze ich dich möglicherweise auch falsch ein. dann sind meine erfahrungen an der uni einfach anders als deine. ich stehe vorne an der tafel und meine, einen relativ präzisen überblick zu haben.
der post 127 gilt post 126 aka politseminar für techis. an der tafel stehen heisst nicht mehr ganz student sein – dies nur sicherheits halber hinterhergeschoben.
Kleine Kochschule
Man kann zu Don Alphonso stehen wie man will(ja, er ist eine streitbare Figur), aber was er in der Blogbar mit StudiVZ bzw. deren Betreibern macht, kommt einem filetierem gleich.
Und ich denke, noch ein oder zwei Tage, dann wird angerichtet.
Bei allem
STUDIVZ ist KLASSE.
DIE GRÜNDER WERDEN ZURECHT MILLIONÄRE.
OB EINSTELLIG ODER ZWEISTELLIG IST ZWEITRANGIG.
SOVIEL GRUENDERGRINSEN KRIEGST DU, FOSSILEIN, IN DEINEM GANZEN LEBEN NICHT MEHR ZUSAMMEN.
UND ES IST GUT SO!
@brainbob: siehe da. du standest auch mal an der tafel :)
@129: Versteh ich nicht! Also wenn die nicht bald weiter machen mit ihren ehrlichen Pressemitteilungen und den Kommentaren in ihrem Blog, sollten die mit ihrem Gründerdrinsen lieber keinem in Berlin begegnen. Könnte man ihnen übelnehmen, über die eigene Dummheit so zu grinsen, während 1.000.000 Mitglieder darunter leiden…
@129
Soso, “Gründergrinsen”. Wie muss man sich das denn vorstellen?
Ich denke, das kommt dem wohl noch am nächsten:
Ja, die Googlejungs sind auch reich geworden. Aber die haben auch was geleistet.
@felix. ist stehe vorne an der Tafel
Ah verstehe! Ich stand auch mal vorne an der Tafel und meine, ebenfalls einen recht guten Überblick (immer noch) zu haben. ([128] hättest Du nicht hinterschieben dürfen, dann hätte mich [127] mehr beeindruckt ;-)
Bertelsmann keinen Einfluss auf die Hochschulpolitik? Bitte weiter von der heilen Welt träumen!
Und außerdem: ICH HEISSE BRAINBOMB UND NICHT BRAINBOB!
Kleine Anmerkung noch zum Einfluß von Bertelsmann auf die ZEIT. Wer macht das Uniranking der ZEIT, wer? Na wer?
@brainbob: du warst aber schnell einkaufen…. ja, sorry, hab erst nach dem post 128 mal geschaut, woher dein fundiertes verständnis kommt… kann es sein, dass deine erfahrungen möglicherweise große kähne wie aachen betreffen?
du überbewertest den einfluss der rankings auf die unis. gerade du kennst die evolutionsgeschwindigkeiten von bildungseinrichtungen? erfährste morgen, dass du die rote laterne hast, kannste den kahn erst in drei jahren umgekrempelt haben.
meine uni/arbeitgeber kann aufgrund seiner größe bei einigen kriterien der rankings nicht mithalten. folglich ist auch das ranking dann uninteressant i.S.v. nicht ausschlaggebend.
zudem: glaube keinem ranking, dass du nicht selbst gefälscht hast. sind nciht einige unis in die exzellenz/elite-förderung aufgenommen worden, die eben nicht bei CHE oben waren? (oder irre ich mich?)
@121
Hast du dir mal den Link durchgelesen und auch siehst auch den Zusammenhang mit dem Rückkauf der BAG Anteile von GBL?
Ließ dir mal
http://www.heise.de/newsticker/meldung/78206
durch.
Die Familie Mohn wollte nicht mit der AG an die Börse und die Anteile der Familie liegen in der Stiftung.
Der Rückkauf der Anteile der ZEIT Stiftung passt da bestens ins Bild, den so wird der Einfluss der Stiftung (Und damit der Familie Mohn) auf die Bertelsmann AG größer.
Die ZEIT gehört jedenfalls nicht zum Bertelsmann Konzern und den Rückkauf der Anteile kann man rein wirtschaftlich sehen und wenn man schon Richtung Verflechtung denkt, dann ist das wohl eher eine Entflechtung.
Was du im übrigen meinst ist das CHE, dass sicherlich sehr nah an der Stiftung angesiedelt ist, es scheint aber durchaus seinen eigenen Willen zu haben.
Anders kann ich es mir jedenfalls nicht erklären, dass deren Studienranking nicht mehr im Stern (Bertelsmann Konzerntochter) sondern in DER ZEIT (Gehört nicht zum Bertelsmann Konzern) erscheint.
MfG AbRaXeS
Ein Fass ohne Boden. Studi VZ solltenden Namen ändern, mein Vorschlag wäre: Dilettanten olé!
Wenn das so weiter geht, schaffen die es noch in eine bekannte überregionale Publikation. Ich meine die Titanic.
@felix[134]
Supermarkt ist um die Ecke, aber Du wirst verstehen, dass ich weitere persönliche Einzelheiten aufgrund des Themas hier nicht preisgeben möchte und bitte dringenst darum, mein Pseudonym ZU RESPEKTIEREN (von wegen kann es sein, dass … woher mein Verständnis kommt, etc.) und von weiteren Nachforschungen abzusehen.
Und außerdem: seufz, Du kannst doch abstrahieren, oder?
Es ging mir nicht darum, zu zeigen, dass Rankings Schwachsinn sind. Da sind wir uns beide einig. Es ging mir um die Abhängigkeitsketten und speziell umd den Einfluß von Bertelsmann auf ZEIT und im weiteren um die Interessen von Medienverlagen im Sinne von Uni als Marktplatz und in diesem Zusammenhang wird das Projekt von StudiVZ von denen sehr genau beobachtet und zwar wohlwollen!!!!
Macht doch was Ihr wollt, ich mach sowieso mein Ding und am Ende gewinnen wir!
@135 Mit Verlaub, das ist naiv von wegen:
“im übrigen meinst ist das CHE, dass sicherlich sehr nah an der Stiftung angesiedelt ist, es scheint aber durchaus seinen eigenen Willen zu haben.”
Was heißt da, “es scheint”? Bitte präsisieren.
Und ansonsten widersprichts Du dir in Deiner Argumentation permanent. Mal selber die Logik analysieren.
Und ansonsten bin ich auch der Meinung von Che “Ein Fass ohne Boden”, also weiter meinetwegen mit StudiVZ,
wünsche fröhliches Defektsuchen
Don,
is’ Ehssan jetzt wirklich weg?
Hier steht dit, also irgendwie.
Soweit ich aus gewöhnlich gut unterrichteten Quellen weiss, sollen ihm die Gesellschafter Ende letzter Woche gesagt haben, dass es so nicht weitergeht, und er solle mal ne Pause machen nach dem Jahr. Es gab Mitte letzter Woche noch ein paar Rettungsversuche (Anrufe bei mir und anderen), und irgendwann war wohl allen Beteiligten klar, dass es kein Spass mehr wird. Es kann gern mal einer in Berlin anrufen und nach ihm fragen. *g*
Was für mich schon wieder so ein Zeichen des Kommenden ist: Sowas wird totgeschwiegen. Lukasz hatte die Idee von Gründerszene schon 2003, damals ging es in die Richtung Erfolge und Probleme parallel zu thematisieren. Statt dessen gibt es bei ihm prinzipiell nur eitel Sonnenschein, obwohl er sehr, sehr viel zu den Vorgängen der letzten 10 Tagen sagen könnte. Da bahnt sich so eine Realitätsverweigerung an…
@Peter (108)
Vorhin habe ich ein neues Avatar hochgeladen; beim anschließenden Aktualisieren des alten Bildes konnte dieses nicht mehr gefunden werden. Scheint also gelöscht zu sein. Dass man den Avatar generell nicht einfach löschen kann, finde ich auch eher seltsam.
Im Ãœbrigen lese ich hier und anderswo seit einigen Tagen aufmerksam mit und habe ebenfalls die Erfahrung gemacht, dass sich die letztlich betroffenen Studivz-etc-Nutzer in den seltensten Fällen darum scheren, wer ihre Daten in die Finger bekommt. Von daher halte ich diese Diskussion für absolut notwendig. Gerade Akademikern sollte doch die Bedeutung und Problematik des Datenschutzes – und der Datensicherheit! – im 21. Jahrhundert besonders bewusst sein.
Nunja, man darf gespannt sein, wie es weitergeht.
Nachtrag: Ja, man könnte eine Meldung draus machen mit viel Bohei. Ja, sie haben es mir “zuliebe” getan. Ja, ich weiss noch sehr viel mehr. Ja, das wäre eine schöne Geschichte. Aber wozu. Die Situation ist traurig genug, bei StudiVZ hat man sich dazu entschlossen, das Loch erst mal zu ignorieren. 9 Stunden und noch sehr viel länger. Gar nicht gut. Der Maulwurf meldet, dass man die Sache kleinreden will.
Nach dem imaginären Abtrocknen und dem stattgefunden Anpflaumen, dir, lieber Don, nur ein versöhnendes Sätzchen: Selbst mit einem pessimistischen Menschenbild würde es schwer fallen, die Datenschutzabsichten und den technischen Mängel in direkte Verbindung zu bringen. Du denkst nicht wirklich, dass der Fehler absichtlich einprogrammiert wurde, oder? Als leseunfähiger Vollhorst ist mir da vielleicht was entgangen. Wenn ja, dann wäre das für mich genauso eine Bombe, die entweder noch etwas weiter reichendes Hintergrundwissen oder pure Agitation vermuten lässt.
Nochmal: Die Lücke ist da, tja. Dumm gelaufen wenn da jetzt private Pornobildchen technisch aufwändig sichtbar gemacht werden können.
Auch dumm gelaufen, dass der blogger.de Server die Grätsche gemacht hat und tausende Blogger in Panik versetzt hat. Das sind aber technische Probleme, die passieren können, ausgemerzt werden müssen, und – ja – kommuniziert werden müssen.
Ich finde nur deine Vorgehensweise – mit Verlaub – fragwürdig, aber geschenkt.
Gruß
Anna, wie schätzt Du die Lage ein: Wenn es Alternativen gäbe, bessere, schönere und natürlich auch gruscheligere;-), wie hoch ist die Bindung der Leute an StudiVZ?
Falls noch ein paar Informatik-Worte (von einem Technik-Fritzen wie mir ;)) zum Thema “relative Sicherheit” erlaubt sind:
Natürlich gibt es keine 100%ige Sicherheit. Aber wenn ich meine sensiblen Daten an einen Anbieter weitergebe, dann muss man erwarten können, dass er ALLES fachlich mögliche tut, um die bestmögliche Sicherheit zu erhalten. Das Beispiel von DonAlphonso mit dem Sicherheitsdienst finde ich genau richtig. Mit viel Aufwand und Trickserei kann man immer irgendwie Sicherheitsbarrieren umgehen. Es ist nur die Frage, wie hoch die Schwelle ist und wie schwer man es einem macht. Und dieser Fall hier hat auch nichts mit “Security by Obscurity” zu tun.
Bei StudiVZ hat man jedoch wohl nicht alles fachlich mögliche getan. Es handelt sich hier um eine Implementierungsentscheidung, deren Konsequenzen einem Informatiker durchaus bewusst sein sollten. Dass Brute-Force nur theoretisch möglich ist, ist klar. Aber was ist mit der Weitergabe des direkten Links an einen Freund? Wenn der Link in Google landet, dann ist nix mehr mit Sicherheit. Wenn man man die Konsequenzen dieser Implementierungsentscheidung als “akzeptabel” eingestuft, dann wurde nicht mit der notwendigen Sorgfaltspflicht gearbeitet. Das sollte einem zu bedenken geben.
Nochmal Horst äh Sven, der Server wurde mit diesen Einstellungen aufgesetzt. Es ist nicht so, dass da eine Sicherung weggefallen ist, man hat einfach das Prinzip von Facebook für den Bildserver übernommen, inklusive der -m Endung für die Jpegs der Thumbnails. Wie es so schön bei IBM hiess:
ItŽs a feature, not a bug.
Reicht schon, werden sie sich gedacht haben, als sie den Code geschrieben haben. Allein der Umstand, dass ein technischer Horst wie ich sowas herausfinden kann, zeigt halt, wie mies diese Lösung ist. Klar könnte man das anders machen, aber dann wird es teuer, und StudiVZ ist von vorn bis hinten billigster Ramsch.
Sven,
das mit den Bilder-URLs ist höchstwahrscheinlich nicht ganz unabsichtlich da drin. Es ist nämlich schneller und weniger belastend für die Server, das Bild jedem zu geben der, den URL kennt, als jedesmal in der Datenbank nachzusehen, ob der Zugriff auch erlaubt ist.
Was die Bewertung der Tragweite dieses Problems angeht, sehe ich das aber eher wie Felix Deutsch in #122, der nebenbei gleich noch einen Tip gibt, wie man es besser macht.
(Es sei denn, es gibt noch, wie von Don angedeutet, einen Trick, wie man die Bilder-URLs einfach erraten kann. Das wäre dann richtig übel.)
@Don Nr. 144: Beim Wechsel zu einem anderen Portal dürfte die Sache mit der kritischen Zahl von 150 Personen noch wirksamer sein als sie beim sVZ gewesen sein mag. Ich habe lange nicht geglaubt, daß tatsächlich 700.000, 800.000, 1.000.000 Leute da drin sind. Aber – 10, 20 % Fake- und Doppelaccounts abgezogen – mittlerweile glaube ich diesen Teil der Geschichte. Da sind so viele, daß es wirkt, als seien alle da. Und das ist der Grund, warum die Leute da bleiben. Wenn die Technikschwierigkeiten sie nicht abgehalten haben, halten Blogeinträge sie auch nicht ab. Trittbrettfahrerproblem.
@138
Was ist daran unlogisch den Rückkauf der Bertelsmann Anteile im Zusammenhang mit den Plänen der Familie Mohn zu sehen, ihren Einfluss auf die Bertelsmann AG zu festigen bzw. auszubauen? Ich jedenfalls finde das sehr schlüssig. Ich kann die von dir Behauptete Verbindung Bertelsmann / DIE ZEIT jedenfalls nicht sehen und den Rückkauf der Aktien auch nicht so interpretieren, da die beiden Firmen ja es so nun wirklich eher ein Trennung ist, mal davon abgesehen, dass DIE ZEIT 10,irgendwas % Anteilen ja ohnehin keinen Einfluss auf Bertelsmann hatte.
Zum CHE mag man im übrigen stehen wie man will, dass deren Ranking in DER ZEIT erscheint, dürfte dem Stern nicht gefallen und damit einer Tochter der Bertelsmann AG. Oder glaubst du nicht auch, dass sich die Ausgaben mit dem Ranking besser verkaufen als die normalen Ausgaben?
Daher auch das mit dem eigenem Willen, den wenn das CHE nicht eigenständig für sich entscheiden könnte, wäre das Ranking bei einer der Konzerntöchter.
Warum das CHE von Stern zu DIE ZEIT gewechselt hat, weiß ich im übrigen nicht, es werden aber wohl die üblichen Gründe gewesen sein, besseres Angebot, evt. Unzufriedenheit, such dir einen der Gründe aus, warum man sich einen neuen Partner sucht.
Wenn man also davon ausgeht, dass das CHE nur im Sinne der Bertelsmann AG handelt, dann ist das schon ein deutliches Indiz dafür, dass dem nicht so ist, den was hat Bertelsmann davon, dass deren Ranking in DER ZEIT erscheint?
Nichts, den DIE ZEIT gehört nicht zum Bertelsmann Konzern, ganz im Gegenteil, es ist einer von vielen Konkurrenten.
Ich wollte damit im übrigen hauptsächlich zeigen, dass deine konstruierte Verbindung zwischen Bertelsmann und StudiVZ doch sehr wage ist.
Warum DIE ZEIT bei StudiVZ Werbung schaltet, kann auch einen ganz einfachen Grund haben, die dort vertretene Zielgruppe ist schlicht interessant, den wer ließt/kauft heute noch eine Tageszeitung, außer die “Ältere” Generation, die wiederum fast nicht bei StudiVZ zu finden ist.
MfG AbRaXeS
Aber selbst wenn E.D. jetz erstmal seinen wohlverdienten Urlaub macht, um seine Kameramannqualitäten zu verbessern, ist das doch nicht das Ende oder gibt es für die Neider und Kritiker nur das Bauernopfer? Kann ich nicht glauben…
Hm. Ich denke zumindest nicht, dass “blinde Gefolgschaft” besteht. Der Attraktivitätsfaktor liegt schätzungsweise in der relativ hohen Chance Freunde/Bekannte zu finden (und Dinge über sie herauszufinden, so nebenbei). Wahrscheinlich würden sich viele auch anmelden – vorausgesetzt, sie versprechen sich etwas davon. Nur glaube ich nicht, dass sie sich auch alle bei StudiVZ abmelden würden. Ziemlich viele Internet-Nutzer haben doch sowieso mehrere “Mitgliedschaften” – warum nicht bei zwei Studentenportalen angemeldet sein? Ich mag mir gar nicht vorstellen, wieviele vergessene Accounts mit den ein oder anderen persönlichen Angaben in den Untiefen des Internets zu finden sind.
@ flawed:
http://217.188.35.147/albums/2006-09/26/Tfz5qT/0z6fw8V-5503.jpg
http://217.188.35.147/albums/2006-09/26/Tfz5qT/z56fw8V-8491.jpg
Noch Fragen?
TRÖÖÖT! DAS IST EIN ERNSTFALL! DAS IST KEINE ÜBUNG! TRÖÖÖT!
Na endlich wieder cat content.
Wenn schon bloggen, dann richtig. Ohne Cat Content geht gar nichts.
Hasse die URLs jetzt “erraten”, Don?
Erklär doch mal, ich versteh noch nicht ganz, was es mit den putzigen Bildchen auf sich hat.
Wie sicher ist StudiVZ?
Sherpa, als Kulturhistoriker weiss man, dass keine wie auch immer geartete Community sich ewig halten konnten. Die meisten eingegrenzten Communities sind irgendwann zerbrochem. Ich gestehe zu, dass StudiVZ durch die Gruppen enorm selbstverstärkt wird, aber ich glaube auch, dass diese Netzwerkstruktur höchst anfällig ist für Angriffe und Krankheiten. Ich denke, der schnelle Weg des E.D. vom millionenschweren Jungunternehmerstar zum Fussabstreifer der Berliner Zeitung in weniger als 2 Wochen durch ein paar Blogger zeigt, dass es diese Probleme gibt, und dass die Schaltzellen des systems auch im Negativen funktionieren. Und dazu kommt, dass diese schnell gewachsene Struktur keine Gegenmittel hat. Wir werden sehen, es ist sehr spannend.
Anna,es ist so: ich glaube nicht unbedungt an einen digitale AStA, aber ich sehe einfach Potentiale, die StudiVZ nicht erkannt hat. Beispiele: Seminarbewertungen, Couchsurfen, Buhmarkt, Uniwechselhilfen, Wohnungsmarkt, ein rudimentäres Ebay und Lerngruppen. Ich glaube sehr wohl an die Kraft des Marktes, und dessen positive Kräfte. ich glaube auch nicht, ass jetzt Zilliarden autreten, aber ich glaube, dass aus den vielen Erfahrungen eine Alternative entstehen kann und sollte, die erst mal ein Zusatzangebot ist, und dann einfach die bessere Lösung wird. Ähnlich wie beim Übergang von Altavista auf Google.
Kinners, die Rankings sind Erdnüsschen. Mit ekligem Beigeschmack.
An vielen Unis geht ohne Drittmittel aus der Wirtschaft kaum noch was. Und ihr glaubt an die “Freiheit der Lehre”? Wacht doch bitte auf.
Weiter hier:
http://www.wiki.bildung-schadet-nicht.de/index.php/Hochschule/CHE
@ Lalalalala: Das ist alles aus einem Ordner, und wenn man mehrere URL-Pakete mal genauer anschaut, könnte man auf Ideen kommen.
@122: Felix, es wurde ein Squid Proxy als Cache accelerator vor den eigentlichen apache gespannt, da der Webserver selbst sonst überlastet wäre. Jedes Bild jelches in jüngeren Vergangenheit abgerufen wurde landet dort auf dem Cache. Der Cache lagert die Bildchen statisch zwischen und gibt es an jeden heraus, der die richtige URL “raten” kann. That’s all – oder auch nicht, denn es bedeutet, daß ein sehr einschneidender Fehler bei der Konzeption passiert ist. Der Squid ist nicht an die Sicherungfunktionen der Datenbank gekoppelt. Wenn’s überhaupt je sicher sein soll, wirds sääääähhhrrr laaaangsaaam sein. Käffchen gefällig?
Hmm wenn ich mir die zwei URLs so anschaue könnte ich mir vorstellen, dass die großen Brute-Force Zahlen von heute Mittag etwas kleiner werden.
Nach einer kurzen (nicht wirklich represäntativen) Umfrage in meinem Bekanntenkreis würde ich sagen, dass ca. 1/3 bis 1/2 meiner Bekannten dort zumindest einen Account haben. Mit den aktuellen Studentenzahlen: http://www.destatis.de/indicators/d/lrbil01ad.htm
sind die Benutzerzahlen die sutdivz angibt wahrscheinlich gar nicht so falsch.. dass die mit so vielen Mitarbeitern so lange brauchen, um das zu beheben…
*räusper* … repräsentativen
@DonAlphonso:
Die entscheidende Frage ist: Wie bist Du an diese URLs gekommen?
Wenn Du sie wie in Deinem Artikel einer Profil- oder Galerieseite entnommen hast, ist es schon problematisch genug, dass man sie von ausserhalb StudiVZs erreichen kann.
Das habe ich schon verstanden, vor allem dank den Kommentaren #122 und #71, die es auch nochmal “für doofe Techniker” erklären.
Wenn Du die URLs aber ohne sie jemals vorher gesehen irgendwie errechnen könntest, dann wäre das Problem noch um Dimensionen schlimmer.
Es ist der Unterschied, ob ein Datensammler die Bilder bekommen kann, deren URL irgendwann irgendwo veröffentlicht wurde, oder alle Bilder.
@Don 144:
Ich glaube so hoch ist die Bindung an studiVZ nicht. Die Leute haben gemerkt, dass man so ein Ding in ein, zwei Monaten aufziehen kann, wenn nur ein paar Mitmachen, die viele Leute mitziehen. Vor ca. einer Stunde habe ich eine Freundin dazu gebracht, sich abzumelden. (Wäre mal interessant zu wissen, ob ihre Daten wirklich weg sind. :-)) In letzter Zeit gibt es ausßerdem auch immer häufiger Gastbucheinträge mit “Nutzer hat sich abgemeldet” zu sehen.
@Don152: Links funktionieren bei mir nicht!
Komisch, der Chefkopierer von StudiVZ scheint hier mitzulesen, due URLs gehen nicht mehr. Neben der Sache mit der Session gäbe es noch eine andere / zusätzliche Möglichkeit, den Direktzugriff zu unterbinden mittels Apache-Direktiven. Man kann dort für jeden Ordner die Zugriffsrechte mittels Directory-Abschnitt festlegen, indem man entweder erst alle Zugriffe sperrt und dann einzelne freigibt oder alle Zugriffe freigibt und nur einzelne sperrt. Das geht auch auf Basis von IPs/Hostnamen. Mittels der Anweisung
Order Deny, Alllow
Deny from all
Allow from toller-studivz-server oder IP
könnte nur der Server oder IP-Range vom Studi-VZ auf die Ordner zugreifen. Aber so weit reichen die Kenntnisse der Chefkopierers wohl nicht. Wahrscheinlich hat man auch noch HTML und PHP bunt gemixt und benutzt weder Template-Engine noch Caching-Mechanismus, geschweige denn eine anständige 3 Schichten-Architektur. Hätten die besser mal wen gefragt, der sich damit auskennt…
MfG
Daniel
Don, ich wußte ja nicht, daß Du von solchen Zeiträumen sprichst :-). Gib ihnen aber kurzfristig eine neue, schönere Plattform, und es wird noch nicht reichen für einen Wechsel. Was die von Dir aufgezählten Features angeht: Ein Portal kann auch zu dick sein. Das müßte entweder sehr geschickt oder aber nach und nach zur Verfügung gestellt werden. Und wer nun genau dahinter steckt und wie sicher die Daten sind – das sind leider sekundäre Fragen für die Masse der Nutzer. Man sieht’s ja.
@AbRaXeS[150]
Das wusste ich gar nicht, dass der Stern eine Tochter von Bertelsmann ist :-). Dann ist also das NEON-Magazin (Stern) ebenfalls eine Tochter von Bertelsmann und hat gerade Lucasz G., einen der Supporter von StudiVZ, unter die 100 wichtigsten jungen Deutschen eingereiht [101] (apropos Rankings)!
Danke für die Information ;-)
Sieh es doch einfach mal so. Diese Medienhäuser sind einfach eine große Familie!
Arrivederci, Ciao
Hält man das in Berlin für eine sinnvolle Strategie? Ich meine es ist doch sehr auffällig, dass immer wenn hier eine URL gepostet wird, sie nach kurzer Zeit verschwindet. Das ist fast schon das Kaliber von getarnt agierenden Kommentatoren.
Interessante Diskussion, wobei ich nicht verstehe, warum die technischen Überlegungen hier so niedergebügelt wurden. Seis drum.
Das Problem existiert in ähnlicher Form auch mit dem Media-Center von GMX. Wenn man die URL einer dort abgelegten und nicht für die Allgemeinheit freigegebenen Datei kennt, dann kann man diese Datei auch herunterladen. Das Raten der URL durch Dritte wird aber u.a. dadurch erschwert, dass der Benutzer den Dateinamen als Teil der URL selbst festlegt. Auch scheint mir als technischen Laien die URL insgesamt wesentlich komplizierter aufgebaut.
Ihr macht hier die Arbeit von StudiVC. So billig kommen die nie mehr an manuelle Tester :-)
studivz hat im blog reagiert. muss aber auch erst lesen…
Manfred hat sich gemeldet:
“Sicherheitsbedenken sind unbegründet”
http://www.studivz.net/blog/?p=84
Und wenn ich ihm glaube, dauern die nächsten Bilder, die Neuseeland oder Pizza zeigen bestimmt 10 – 100 Jahre..
@ 175 falsch. er sagt es dauert viele Millionen Jahre :-)
lustigerweise hatten wir eine grössere zeit etwa 2-3 jahren aufgebaut und das selbe thema kam auf dem tisch. macht man es so wie studivz spart man etwas cpu zeit ABER mit ein paar kniffen ist der unterschied minimal bis gar nicht vorhanden.
bei ein millionen bildern nd einer “privat” funktion in der gallerie sollte ich es auch richtig machen können.
@Dominik: Ich dachte einfach nicht so verfängliche Bilder dauern nicht sooo lange :-)
Spreeblick ruft zur StudiVZ-Spendenaktion auf
Da ist mein RSS-Feedreader doch gerade mal auf einen äußerst interessanten Spreeblick-Artikel zum Thema StudiVZ gestoßen. Vielen Dank, Johnny, für die Aufklärung! Ich wusste doch, warum ich in mein StudiVZ-Profil nur sehr sp…
@Dominik (167): “(Wäre mal interessant zu wissen, ob ihre Daten wirklich weg sind. :-))”
Ich kann Deiner Freundin nur empfehlen, dass sie sich schriftlich an das StudiVZ bzw. deren Datenschutzbeauftragten wendet. Gemäß §34 Bundesdatenschutzgesetz (BDSG) besteht eine kostenlose, schriftliche Auskunftspflicht, welche Daten das StudiVZ über sie gespeichert hat. Und in §35 ist geregelt, dass diese Daten gelöscht (und nicht nur gesperrt) werden müssen, wenn sie das wünscht. Die tatsächliche Löschung ihrer Daten sollte sie sich am besten auch schriftlich bestätigen lassen. Und zwar nicht nur per E-Mail.
habe ich drüben gerade gepostet …
sorry manfred aber diese lösung ist keineswegs sicher – und die art alles zu beschönigen hier nervt mich langsam. wenn man scheisse baut sollte man nicht behaupten das wäre gold.
urls die eine bestimmte gültigkeit haben wären wirklich sicher. ansonsten ein checken im applikationsserver vor der direkten auslieferung damit sichergestellt ist das nicht irgendwer meien bilder kriegt.
abgesehen davon was passiert wenn ich ein ordner öffentlich gestellt hatte und danch auf privat umstelle? die urls sind bekannt und eventuell längst bei bilder.google.de
glaubt mir ich weiss was ich erzähle … ich hantiere auch mit terabyte an daten!
Die Kombination des von uns verwendeten Codes ist bedeutend komplexer als die Kombination aus PIN und TAN beim Online Banking. Sorry bin Weg – Konten auflöööösen…
Keine Sorge es bleiben genug Unstimmigkeiten am Aufbau von StudiVZ. Leckere Schiko für heute, morgen kommt ein neues Türchen im StudiVZ Adventskalender. ;-)
@Brainbomb [170]
Der Stern gehört zu Gruner und Jahr, was wiederum zum Bertelsmann Konzern gehört.
G+J wurde 1969 von Bertelsmann gekauft. Die 3 Gesellschafter Grunner, Jahr und der relativ unbekannte Bucerius wurden dabei mit Bertelsmann Aktien “bezahlt”.
DIE ZEIT hat bis dato zu G+J gehört und wurde dem Herrn Bucerius dabei aber ausgegliedert, da er wohl sehr an dem Blatt hing. Als der Herr B. dann starb, ging sein Vermögen an DIE ZEIT Stiftung und da waren auch die Aktien bei.
Das der Lucasz nun in dieser Top 100 steht, finde ich ok, warum auch nicht, verkaufen kann er sich jedenfalls sehr gut, jedenfalls wesentlich besser E.D.
Tach Don,
ich wollt nur mal zur allgemeinen Beruhigung sagen, dass in der URL KEINE UserID enthalten ist. Ich habe mehrere Bilder in mehreren Alben und von allen Symbolen, deren Bedeutung zunächst unklar ist, ist keines für alle Bilder gleich. Damit ist selbst bei einem Zufallsfund eine Rückverfolgung nur möglich, wenn man den Bildinhalt dem Ersteller zuordnen kann.
Gehen wir es mal durch
http://217.188.35.147/albums/2006-11/11/sT6LW8/3a627ng-1234.jpg
sT6LW8: Dies scheint mir die AlbenID zu sein. Jedenfalls haben alle Bilder im gleichen Album hier die gleiche Zeichenkette
3a627ng-1234: ist Bild für Bild unterschiedlich. Wobei diese Aussage nicht ganz korrekt ist. Die letzten drei Stellen vor dem Strich (7ng) scheinen bei zeitnah hochgeladenen Bildern gleich zu sein.
Die AlbenID scheint an sechs Positionen 62 mögliche Zeichen (Groß- und Kleinbuichstaben und Ziffern) zu haben, die BilderID, wenn man von den stabilen Zeichen absieht an 4 Positionen 62 Möglichkeiten und an weiteren 4 10 Möglichkeiten.
Für jeden Tag stehen somit 62^6 mögliche Albennamen und in jedem Album 62^4*10^4 mögliche Bildnamen. Das macht pro Tag 8.392.993.658.683.402.240.000 (8,4 Trilliarden) mögliche Bildnamen.
Wenn 1.000.000 Nutzer jeden Tag 10 Bilder hochladen, ergibt eine Zufallssuche jeden 839.299.365.868.340 (840. Billiardsten) Versuch einen Treffer. Dann jedoch stehen die Chancen aber wohl besser das ganze Album abzuräumen. Ob das alles viel oder wenig ist, können andere hier sicher besser beurteilen. Meine Vermutung ist jedoch, dass eine akute Gefahr nicht gegeben ist, obwohl ich es “Lesbenspaß” Uploadern fast wünschen würde (nix gegen euch leiben Lesben).
Das behebt nicht das Problem, dass StudiVZ nicht ALLES für die Sicherheit tut.
Und das behebt nicht das Problem, der URL, die schonmal verfügbar war und dann versteckt werden soll. Es sei denn beim Verstecken wird erneut gewürfelt.
Gruß, Judith
@ PrivatTV Tja da war wohl die Löschtaste von StudiVZ schneller als du :-) ich seh nämlich nichts
Ich wollte posten fragen was mit dem bild ist was ich hier mal gesehen habe, vom einem der gründer beim kuchenessen, glaub ich. habs aber gelassen weil ich mich nicht mehr wirklich erinnern konnte.
scheisse die verdammten penner haben das echt schon gelöscht … .ich schreib es nochmal ohne den ersten teil
komisch nun sehe ich es 2mal… mal in meiner kurzen entschärften form und einmal normal. http://www.studivz.net/blog/?p=84
Lustig, ich seh es gar nicht, nur 2 andere Kommentare
Hach, und die Judith (185) postet drüben auch mit. wie lustig
@184: Bucerius “relativ unbekannt”? Oho.
Es behebt auch nicht das Problem, dass die URL (von jemand der Zugriff darauf hat) herauskopiert werden und durch alle möglichen Webseiten und Foren wandern kann,
und in Suchmaschinen landen kann.
@AbRaXeS[184] (mein Posting 170]
Danke dass Du mir Recht gibts :-)
@Dominik. Nein! Die schalten wieder Kommentare frei. Und die Private Seite des dualen Rundfunksystems ist mit von der Partie. Und “Scheisse” wird bei jedem zweiten Beitrag ZENSIERT – im Gegensatz zu den BlowJob Gruppen, die uunter gemeinsame Interessen firmieren.
http://217.188.35.147/albums/2006-11/20/zT2zz0/M1j6gBT-4500.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/hYD6gBT-6063.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/kxD6gBT-5591.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/1xj6gBT-1901.jpg
http://217.188.35.147/albums/2006-11/20/zT2zz0/20D6gBT-8700.jpg
Wieso sind da eigentlich immer die gleichen 6gBT-Abfolgen drin?
Fragjanur.
Wer hat bloß diese tollen bilder von diesen barocken kirchenfresken gemacht?? :-)
Und weiter: Nehmen wir mal an, ich habe eine einzige URL aus so einem Album, ok? Das sind jetzt alles top gesicherte Bilder. Wenn ich weiss, dass 6gBT immer gleich ist und sich nur die drei alphanumerischen Stellen davor ändern und die 4 Ziffern danach… und wenn es mich dann noch überrascht, dass bei der alphanumerischen Stelle davor bei 5 Bildern nur zwei Zeichen auftauchen D und j…
HM.
Irgendwie habe ich nämlich den Verdacht, dass diese gleichen Blöcke, die sogar in unterschiedlichen Alben auftauchen, siehe oben, irgendwas mit der hochladenden Person zu tun haben… denn der Ordner ist es nicht…
Sach ich ja, wer ein Bild hat, hat das Album. Die Pic-ID scheint irgendwie hochzuzählen. Das ist nicht gut. Und das ist eigentlich – auch wenn man nur Rechenzeit sparen will – nicht nötig, oder bringt das irgendwas zu zählen statt zu würfeln?
Nein, hat nichts mit der Person zu tun, bei meinen Pics sind die Zeichen z.T. sehr unterschiedlich, wenn einige Zeit zwischen dem hochladen vergeht. Grob geschätzt sind die letzten beiden identisch für Bilder, die innerhalb einer Stunde hochgeladen wurden.
@don [195]: kannst du mal ein paar mehr infos zu den bildern geben? ein abschnitt (oder abschnitte) der dateinamen können durch die systemzeit determiniert werden. in diesem fall könte der name tatsächlich vorhersehbar sein. damit wäre dann auch das ganze system angreifbar, weil ein angreifer nicht mehr brute force über den kompletten zahlenraum testen müsste, sondern nur noch über einen sehr kleinen ausschnitt.
in jedem fall wäre es besser gewesen, eine echte zufallszahl (oder zumindest eine gute pseudozufallszahl) für die namenswahl zu nehmen. ein gutes beispiel wäre dafür ein hash (zum beispiel der aktuellen systemzeit).
alles in allem lässt sich sagen, dass das gesamtsystem vom standpunkt der sicherheit eindeutig schlecht designed ist.
@Don (195):
Ich vermute mal, dass diese Bilder in kurzer Zeit nacheinander hochgeladen wurden, und dass in der Bilder-ID irgendwie die Uhrzeit enthalten ist. Der Stunden-Anteil der Uhrzeit bliebe dann gleich, und deshalb auch die 6gBT-Abfolge.
Das würde bedeuten, dass die Bilder-ID gar nicht so zufällig ist.
Und ein Programm, das systematisch Bilder-URLs durchsucht, vielleicht doch keine “viele[n] Millionen Jahre” (StudiVZ) braucht, sondern schneller fertig ist.
Gut, dass die Bezeichnung “Datenschutz-Super-GAU” noch frei ist.
So, jetzt kann ich mich nicht mehr zurückhalten und muss auch mal was loswerden.
@195: Don, ich schätze Du hast die Bilder alle kurz nacheinander hochgeladen, oder? Wenn ich raten müsste würde ich sagen, da sitzt so ein toller “zeitgesteuerter” Zufallsgenerator hinter, vielleicht wird auch einfach nur hochgezählt. Und irgendwie habe ich das Gefühl, dass die “Differenzen” des ersten Buchstabenteils und die des Ziffernteils einander entsprechen. Kennt sich jemand mit PHP aus, ob es da Standardfunktionen zum wandeln von (großen) Zahlen in Buchstabenfolgen gibt?
(Das würde auch die Unterteilung nach Tagen erklären, irgendwann gehen die Zahlen vielleicht einfach aus…)
Ach ja, zu den “zeitgesteuerten” Zufallsgeneratoren:
Das Problem:
http://www.heise.de/security/news/meldung/78961
Und die (späte) Reaktion:
http://www.heise.de/security/news/meldung/80079
Legt doch mal ein paar Alben schnell hintereinander an, und schaut euch die Alben-ID an. Gibts da ähnliche Effekte?
@Don[197]
Die haben noch nie was von GUID gehört. Dann sind 16-Byte-Zufallszahlen, die auch über eine Domain hinaus international (ziemlich) eindeutig sind. Wenn sie GUIDs verwenden würden, könnte man ihrer Argumentation bis dahin folgen, aber nicht weiter. Wahrscheinlich besitzt ihre Dateihierarchie die von Dir aufgedeckte Struktur. Gerade solche Dateisysteme unterstützen das Wiederfinden! Umgekehrt bei Verwendung von GUID’s hat man zwar mehr Datensicherheit, aber im Fehlerfalle die grosse Katastrophe (man findet halt nix wieder). Ein grosses Dilemma, in dem die Jungs da stecken.
Mark (203):
Die Unterteilung nach Tagen kommt wahrscheinlich daher, dass der Server furchbar lahm würde, wenn alle Bilder im gleichen Verzeichnis wären.
Deswegen legt man pro Tag ein Verzeichnis an.
Ich finde es ja super, dass die Argumentation von “Michael” und eben auch von “Judith” so toll mit Mannis agilem Posting im StudiVZ-Blog (“Sicherheitsbedenken sind unbegründet”) korrespondieren.
Blöd nur, dass die Erwähnung von “PIN” und “TAN” so ziemlich der blödeste Vergleich ist, der einem dazu einfallen kann. Das Zeuch liegt im Web, offen, ohne Passwort. DAS IST FAKT, HERR NEUSEELAND-FAN. Es reicht, sich die URL aus dem Quellcode einer Bilderseite zu nehmen.
Selbst wenn man ohne Kenntnis dieser URLs nicht an womöglich “private” Bilder herankommt, ist allein die Tatsache, dass der Kram offen im Web liegt, SCHLIMM GENUG. Es braucht nur jemand mal kurz zwecks URL-Notation Zugriff auf eine Bilder-Seite gehabt zu haben, die der User dann runternimmt, weil das Bild vielleicht zu doof war – schwupp, kann man es immer noch herummailen.
Schlimmer noch, es ist ULTRAEINFACH, solche Probleme zu vermeiden, in dem man, wie in diesem Kommentar genannt den Zugriff auf den Bilderserver auf interne Abfragen beschränkt und dass dann “von intern” einbaut. Dass Ihr PHP-Nulpen es überhaupt so gemacht habt, zeugt von ERSCHRECKENDER UNKENNTNIS.
Und nun erzählt mir nix vom Pferd, ähhh, von Flickr, eBay oder sonstwas. Das sind US-Dienste, wo man mit solchen Sachen gerne etwas lockerer umgeht (und umgehenkann). Außerdem sind diese Dienste nicht grundsätzlich geschlossen, WIE EURER. Hier haben wir es mit einem Haus zu tun, dass vorne abgeschlossen wurde, hinten aber SPERRANGELWEIT offensteht.
ich finde diese Diskussion dermaßen irrelevant, das glaubt man gar nicht.
Fakt ist doch, ohne Account komme ich da nicht rein, das heißt im Umkehrschluss, es gehören keine Inhalte nach außen.
Anhand von Google habe ich mal ein bisschen geschaut. Die Leute geben ja zum Teil Bilder auch außerhalb des StasiVZ an…
Wie es aber momentan für mich AUSSIEHT (NICHT sicher!) werden die Bilder vom Server gelöscht. Es gibt ein paar Bilder die nicht mehr gehen. Und dies obwohl sogar das Album des Nutzers noch existiert.
Philip Fidler von der Uni Münster meldet sich z.B. hier zu Wort http://www.gb.gratis-gaestebuecher.de/cgi-bin/gb/multigb.cgi?gb=68423
Dort gibt er 2 Bilder an:
http://217.188.35.147/albums/2006-06/08/T08S/1DDqMV-1566.jpg
http://217.188.35.147/albums/2006-06/08/T08S/9gkS8-4385.jpg
Beide gehen aber nicht mehr. Das Album existiert aber durchaus noch unter: http://www.studivz.net/showalbum.php?id=T08S und ist auch öffentlich. Andere Bilder aus dem Album wie z.B. http://217.188.35.147/albums/2006-06/08/T08S/6qc7xVT-3222.jpg
sind ohne Probleme aufrufbar.
Und das diese URLs nicht rumgehen ist auch schmarn. Mal ein Eintrag aus einem Studentenforum zitiert:
“Also Christiane, thoretisch ganz einfach. Du musst nur irgendwo die möglichkeit haben ein Bild von dir hochzuladen (z.b. Studivz.net). Ab dann kannst du von überall aus auf das Bild zugreifen. So sieht die addresse (beispielhaft) beim Studivz aus: http://217.188.35.147/pics/members/11/282/16024-6966.jpg
Um an die Addresse zu kommen, gehst du einfach auf dein eigenes Bild (das im Studivz), klickst es mit der rechten Maustaste an, dann eigenschaften und dort findest du diesen Link. Den kannst du dann markieren und mit strg+c in die Zwischenablage kopieren. Anschließen gehst du hier ins Forum und fügst in deinen Einstellungen die Addresse mit Strg+V wieder ein. Dann sollte das eigentlich klappen…”
Kann also nicht so geekig sein.
Mathe ist universell meine Tochter. Meine Vermutung ist ja, dass 6gBT für “Bilder aus einem Kircheninnenraum” steht. Wenn Pornoanbieter die Kombi für “Pimmel, Fotze, Arschgesicht” herausbekommen, hat StudiVZ den Salat.
@Dave-Kay[208]
Genau. Sehr guter Einwand. Und als Test-Case könnte man fordern, dass kein Personaler jemals einen Account bei StudiVZ kriegen kann. (Also ohne Matrikelnummern sind die Jungs aufgeschmissen)
Nun, wenn die Leute anfangen StudiVZ als Bildserver zu missbrauchen, werden die sich auf Dauer eh was Neues überlegen müssen.
Unabhängig davon ob und wie man an irgendwelche Daten kommt, ist es doch wohl absolut hirnrissig irgendwas online zu stellen, was kein anderer sehen darf.
Ob das nun Bilder von Omas 80stem oder Bilder vom G*ngB*ng letzte Woche sind.
Ins Internet kommen nur Daten, die…
a) … mir absolut egal sind und jeder sehen kann, oder…
b) … von mir wissentlich falsch angelegt sind.
Natürlich kann man jetzt wieder mit den Blicken eines “Naivlings” um sich schmeißen und einfach nur schulterzuckend der Meinung, “Die sagen doch aber das alles hier sicher ist!” sein. Aber wer das macht, ist selbstschuld!
@206: Möglich. Ich dachte aber das kann man serverseitig anders lösen. Bin da aber kein Experte. Außerdem werden die Bilder dann wohl nicht besonders gleichmäßig auf die Verzeichnisse verteilt, oder?
@209: Huch, da kommt mir eine ganz böse Idee, die nicht nur ein (möglicherweise) theoretisches Problem ist. Wenn man so Bilder hat, die nur von außen und nicht von innen ansehbar sind.
Ach, ich führe das mal nicht aus. Es könnte da ja strafrechtlich relevant werden.
Ich mache zu dem Thema der Nummernkombis gleich einen neuen Beitrag.
Richtig Gigamil, Dons Arbeit erst hat mich auf die Idee gebracht, dass es Leute geben könnte, die nicht denken wie Du und ich. Offensichtlich gibt es diese Leute aber. Ich bin echt nicht wenig erstaunt.
Mal am Rande:
Auf der StudiVZ-Startseite ist links die altbekannte, unter den Login-Eingabefeldern platzierte, Box, die auf den hauseigenen Blog verweist, verschwunden.
Inzwischen ist bei mir ein Kasten mit “Willst du mit mir gehen ?” und den anklickbaren Feldern “Ja”, “Nein”, “vielleicht” sichtbar. Ein Anklicken hat allerdings keine Folgen, ein Link ist auch nicht auszumachen….
@217: Du hast eine Beobachtung gemacht und weißt nicht, wie Du sie in die Anti-StudiVZ-Front einbauen kannst. Diesen Service sollen jetzt die Leute hier liefern. Stimmt’s? Der Blog-Link ist oben zwischen hilfe und salon wie eh und je zu finden. Links der Link führt seit ein paar Wochen immer zu anderen Sprachen.
noch was lustiges am rande: nicht mal die richtige uhrzeit bekommen die jungs von studivz hin. hab mich vorhin schon gewundert als ich judiths beitrag (185) hier um 21:45 gelesen habe, mit fast den identischen Argumenten wie in Manfreds StudiVZ Blogeintrag, der dort um 22:23 veröffentlicht worden sein soll….
ts ts
UnbegrÃŒndete Sicherheitsbedenken
Eigentlich wollte ich mich ja zur studiVZ-Posse nicht mehr Àußern, da das einfach alles nur noch peinlich ist. Aber das heutige Blogposting als Reaktion auf diesen ebenso hochgespielten und Ìberzogenen Angriff ist dann doch eine ErwÀhnung wert.
Ma…
@217: Meinst du die uneingeloggte Startseite für NichtStudiVZler – Kann ich bestätigen!
@218: Meinst du die eingeloggte Startseite für die StudiVZler – Kann ich auch bestätigen!
Hier sonst nochmal die URL: http://www.studivz.net/blog/
Schönen Abend noch…
Die psychodynamischen Strukturen hier sind interessant und selbstentlarvend. Der Kampf um Anerkennung geht weiter.
Hätte ich das mal alles früher erlebt – ich hätte schneller, viel schneller promovieren können. Schade.
Mark (214):
Klar kann man das auch anders machen, auch gleichmäßiger auf die Verzeichnisse verteilen, aber für die Geschwindigkeit bloß wichtig, dass nicht zu viele Dateien in einem Verzeichnis sind, und ein Datum ist halt einfach.
Das ist ja auch nicht die sicherheitsrelevante Komponente, sondern die Zufallszahl. Und da machen übrigens auch mal Leute Fehler, die damit unsere Gesundheitsdaten schützen wollen.
StudiVZ: facebook.com in german, no privacy either
You sure have heard about the german social network startup StudiVZ (the link doesn’t go to their home page, but to a great summary of what all the fuss is about).
Now there’s even more proof that StudiVZ is a facebook.com rip-off:
“T…
@218: einen Einstellungstest zum “Hellseher” würdest Du leider nicht bestehen.
Ich weiß ganz einfach nicht, wie ich meine Beobachtung überhaupt einordnen soll.
Dass oben zwischen “Hilfe” und “Salon” ein Link zum Blog steht, ist mir durchaus seit Wochen bekannt. Trotzdem danke für Deine große Hilfe diesbzüglich.
Ach ja, ich helfe jetzt auch gerne mal Dir auf die Sprünge: “Links der Link führt seit Wochen immer zu anderen Sprachen”.
Das glaubst aber auch nur Du: seit Mitte letzter Woche, genauer: seit den ersten Blogs in Sachen “Finanzierung/Fehler” &cO. führte der LInk dort zum Blog.
Eben, als ich die Startseite aufrief, ist dieser exponierte Link verschwunden. Und da ist bei mir auch nix von Sprachen zu sehen gewesen, sondern eben genau das, was ich in 217 geschildert habe.
Was sagst Du jetzt, Du Schlaumeier ?
ich finde auf der studivz-loginseite für noch unregistrierte nutzer keinen link zum studivzblog. da war doch vorhin noch einer, oder? mach ich da was falsch? oder legt sich mein browser gerade mit mir an?
@221. Was ist denn hier selbstentlarvend? Dass nur Mitglieder bei StudiVZ ganz einfach den Blog finden können?
Kann ja auch einfach ein Fehler in der Programmierung sein. Bei den handwerklichen Schnitzern in der Kommunikation traue ich denen noch so einiges zu.
Dass ich zunächst auch den linken Link zum Blog verwendet habe, in den vergangenen Wochen immer mit der Maus auf dem Weg dorthin war und dann seltsame Dinge wie “studiVQ.it” u.ä. gelesen und immer gerade noch die Kurve nach oben bekommen habe.
Ganz einfach: Mein Sohn Manni hat das alles hier gelesen und es dann seinem Chef – das ist der Dennis, der ist 15 Jahre jünger als mein Manni, was dem Manni aber merkwürdigerweise gar nichts ausmacht! – erzählt. Der hat das daraufhin dem letzten zur Verfügung stehenden “Founder” gesteckt, der sich wiederum entschied, den prominenten Link zum Blog von allen StudiVZ-Seiten zu nehmen, von wegen Schadensbegrenzung und so.
Hm, der erste User kommentiert “drüben”, dass das ja nicht ein Bug, sondern ein Feature sein, dass man die bilder auch extern verlinken könne. Ich denke, das ist einer von solchen Usern, die nur Fotos veröffentlichen wollen und zu blöd waren, Flickr zu finden. Dann kamen die Captains vom StudiVZ mit einem Flyer, da lud er die Bilder hoch und lebte glücklich und zufrieden bis an sein Lebensende…. *augenroll*
Also die Kombi aus Session-Check und Apache-Direktive wäre das mindeste, was ich erwarten würde, wenn Bilder als “privat” gekennzeichnet werden können. Da KnowHow bei den VZlern dringend notwendig erscheint, passe ich den Tagessatz meines Angebots an: 1.000 Euro plsus Spesen / Tag *lol* Allerdings nur noch gegen Vorkasse, denn wer weiß, wann die VCs da den Hahn zudrehen, wenn da weiter so gruschelige Details ans Licht kommen? Irgendwie lustig: der CEO taugt nicht zum CEO, der Chefprogrammierer nicht einmal zum normalen Programmierer und der Datenschutzbeauftragte wurde wohl auch irgendwann abends beim Drehen eines Klovideos ernannt oder sowas. Das sind so Dinge, da wird einem als User schon übel. Was für ein Glück, dass ich mich nie bei Diensten wie Unister, StudiVZ usw. angemeldet hatte…
MfG
Daniel
“1. Blogger sind modular. Wenn wir uns die jetzige Krise anschauen, gibt es ein weites Spektrum an Aktionen und Meinungen. ICH weiss, dass momentan ICH herausrage, ICH bin sowas wie der Stosstrupp, weil ICH, salopp gesagt, die meisten Kugeln im Magazin und zwei nicht kleine Blogs habe – und das, was man mal als “Prätorianergarde” bezeichnet hat, eine Gruppe, die bei sowas mitgeht. Und ICH kann etwas tun, was ICH als Journalist nie könnte – ICH kann unabhängig vom Genörgel der Leser ganz nach Belieben das Thema so setzen und entwickeln, wie ICH will. ICH gebe zu, dass ICH mutmasslich eine Menge über solche Einsätze weiss, aber an diese Freiheiten musste ICH mich auch erst mal gewöhnen. Inzwischen, denke ICH, weiss ICH, wie das geht, und ICH kann sowas über zwei, drei, vier Wochen fahren. Medien ginge da längst die Puste aus”
Gute Nacht
schlaf gut.
Mal eine Frage am Rande: Was für Computer benutzen die, wenn man zum Ausnutzen einer so banalen Lücke “viele Millionen Jahre” benötigen soll? Rechenschieber? Oder warten die gerade auf die Erfindung des Papyrus, damit sie die Binärcodes aufschreiben können?
Zu den offensichtlichen charakterlichen Schwächen des CEO gesellt sich technischer und organisatorischer Dilettantismus – perfekt! Der neue Name für das StudiVZ-Team: Die Daltons – da war auch einer beschränkter als der andere…
MfG
Daniel
@231: “psychodynamischen Strukturen” = ICH? Also da versteh ICH den Don. Wenn ICH ein Blog betreiben würde käme da auch ganz viel ICH vor. Denke ICH jedenfalls…
Sind doch irgendwie auch psychodynamische Strukturen, wenn ICH mich über sowas auslasse. Im StudiVZ-Blog ist ICH nur auf mehr Nutzer verteilt.
Was issn das hier?
Das STUDIVZ-NET-PROBLEM-DISKUSSIONSBLOG?????
Kill ’em. Und gut is’.
Meine Meinung, die ich gerade schon im Studivz-blog gepostet habe (wo sie sicher, mit anderer Uhrzeit auftaucht), hier nochmal eingefügt:
Ich seh’s wie Alex: Hätte studivz nicht das Versprechen gegeben die Privatsphäre so gut wie möglich zu schützen und nicht die Möglichkeit geboten private Alben hochzuladen und deren Sicherheit zu versprechen, wäre die ganze Diskussion nur halb so wichtig.
Aber dadurch, dass ihr euren Nutzern die Möglichkeit geboten habt Fotos jedweder Art in vermeintlich sichere “Private Alben” hochzuladen seid ihr in der Pflicht diese nach bestem Wissen und Gewissen zu schützen. Und da dies nicht der Status quo ist besteht absoluter Handlungsbedarf, der nicht in Schönreden gipfeln sollte, sondern entweder
a) Ich mache die Alben absolut sicher, so dass sie auch über die Weitergabe von URLs nicht einsehbar sind
oder
b) Ich informiere meine Nutzer ehrlich darüber, dass die privaten Alben zwar nicht ohne weiteres einsehbar sind aber durch Indeskretionen von Mitglieder oder mit Brutal Force-Methoden relativ leicht einsehbar sind.
Alles andere führt die Idee “studivz – von Studenten, für Studenten” ad absurdum und macht sie ungläubiger, als sie in den letzten Tagen eh schon geworden ist.
P.S: Verdammt, ich hab wirklich “ungläubiger” statt “unglaubwürdiger” geschrieben! Nojo, hab mit ein paar befreundeten Moslems grad zwei Flaschen Rotwein geleert – vielleicht liegt’s daran ;-)
Der Manni kommt gerade ganz schön ins Schwitzen!
UnbegrÃŒndete Sicherheitsbedenken
Eigentlich wollte ich mich ja zur studiVZ-Posse nicht mehr Àußern, da das einfach alles nur noch peinlich
Von wegen “vielen sicheren Grüßen” und so!
Die URLs von Bildern bei StudiVZ
Gerade hat sich StudiVZ zu diesem Bericht geäussert:
Die URL besteht aus:
2006-11/20 = Datum
Ev4M21= Code des Albums
Z3uP7KA-5819 = Code des Fotos
Mal angenommen, ich hätte ein Programm, das 1.000 URLs pro Sekunde nach einem Bild durchsucht. Dann würde…
Meine neue Lieblingsgruppe bei StudiVZ ist ja die hier:
Anti StudiVZ-Hasser!
Beschreibung
– Du bist die ständigen Hasstiraden über das StudiVZ leid?
– Es ist dir egal, dass die Idee von Facebook übernommen wurde?
– Es juckt dich nicht, was PR-technisch alles falsch gemacht wird?
– Es interessiert dich nicht, welche Geldgeber in das StudiVZ investiert haben?
РDu sțrst dich nicht an Ehssans vielkritisiertem Humor?
– Das wichtigste ist, dass das Projekt StudiVZ weiterhin so gut läuft?
>> Dann bist du hier richtig!
Is’ natürlich von den StudiVotZen aufgesetzt und hat nur 27 Mitglieder, aber egal.
tschuldigung ihr habt nen schatten. hättet ihr euch nicht angemeldet, hättet ihr nie die ip gekommen, ohne ips keine fotos. und wer macht sie öffentlich? ihr! diese abicherung, haben alle platformen, styfriends usw, die sind aber so nicht in den medien. kümmert sich darum einer? nein! bei myspace kann man fotos und profile einsehen, ohne sich anzumelden. und da stehen meines erachtens genau so viele daten drin! und die werden finanziert! interessiert das euch? oder regt ihr euch darüber auf? Nein!Manchmal zweifel ich an so manschen menschen!
Wenn ihr nicht wollt das man private fotos sehen kann, wie wäre es damit: stellt sie nicht ins internet! oder wenn ihr gar nichts von euch im internet lesen oder sehen wollt: kündigt eurem provider, und gebt wieder rauchzeichen!
Das ist sozusagen die Gruppe für Freiwillig-Dumm-Bleiber.
ihr seit wohl alle etwas neidisch, das ihr nicht aus so ne idee gekommen seit oder?
idee. haha.
@241: Blöd leider, dass wir hier über die GRÖSSTE VERDAMMTE STUDENTEN-SOCIAL-NETWORKING-PLATTFORM IN DEUTSCHLAND reden. Jedenfalls nennt sie sich so. Selbst.
@241: Security by obscurity.
Tolles Konzept. ;-) Alle vergebenen IP-Blöcke sind öffentlich bekannt und es recherchierbar, wem was zugeordnet ist.
“ihr seit wohl alle etwas neidisch, das ihr nicht aus so ne idee gekommen seit oder?”
Die Idee ist in der Tat “aus”… =:-) [nitpick]seit?[/nitpick]
[nitpick]bei mir fe lt zwischen es und recherchierbar ein “ist”[/nitpick]
Das StudiVZ-Blog kennt mehr solche Typen wie 241 und die Jungs aus der “Anti StudiVZ-Hasser!”-Gruppe:
Ich lasse mich gerne vom gegenteil überzeugen, dass Datenschutz wichtig ist. Bis jetzt bin ich persönlich das noch nicht.
Da fällt mir echt das Gebiss aus dem Mund.
Meine absolut unwichtige Deinung und Deinung als Designer (“Werber-Fuzzine”) dazu:
Es geht um eine falsche oder unrichtige (Werbe?-)Behauptung “Deine Daten sind sicher”).
Wenn damit öffentlich geworben und eingeworben wird, kann man denen das UWG (Gesetz gegen unlauteren Wettbewerb) mit einigen Paragraphen, nicht nur einem, um die Ohren hauen und auf Unterlassung/Bußgeld klagen. die sind dan auf sehr dünnem Eis. Evtl. sogar als Strafsache. Das kann aber kein Betroffener klagen, sondern nur ein Wettbewerber (das sind andere ähnliche Plattformenbetreiber udn Aggregatoren.) Was die nicht tun werden, denn die sind selber nicht recht datensicher, wenn auch meist etwas mehr, aber im Grunde auch nicht.
Was die Falschaussage weiter auch ist: Evtl. Betrug/Mogelpackung am (End-)konsumenten oder auch Verbrauchertäuschung (ob arglistig und absichtlich ist zu klären). Meine persönliche Meinung: Wenn mit kostenlosem Userkontent ganze Plattformen für Millionen oder Miliarden verscheuert werden, dann ist da schon Arglist mit dabei, zumindest bewusst in Kauf genommen Fahrlässigkeit, denn man spart bewusst am der Service und der Sicherheit des Verbraucher/User, um möglichst viel Profit herauszuschlagen). Ein Autohersteller, der mangelhafte Bremsen einbaut, weil der die Automotive Suppliers, die ihm diese liefern, unter brutalen Preisdruck hält, dass die Bremsen keinsfalls vernünftig funktionieren können, gehört für mich auch in diese Reihe.
Das ist kriminell.
Bei “Betrug/Mogelpackung(krimineller Bereicherung” kann ein Betroffener dagegen angenehmen. Die Frage ist, wen definiert man als “Betroffenen”: eine/n, dem ein Schaden erst entstanden ist, oder grundsätzlich alle User, denen man in Profitgier falsche Versprechungen gemacht hat.
Daher würde mich interssieren, wie aktiv damit eingeworben oder geworben wird.
Das Nächste: die AGB.
Wenn DA drin steht, die Daten seien absolut sicher, dann kann man StudiVZ sofort abmahnen lassen.
Denn sicher sind Daten nirgendwo, nicht einmal beim online-banking, deswegen mache ich auch keins. (Nein, ich relativiere nicht: wenn sowas vor Gericht geht, will der Richter auch Tacheles wissen, dann werden die Datenbak-Spezialisten per Gutachten aufgefordert, sich dazu abgesichert und fundiert zu äußern. Und dass nix sicher ist, außer der Tod, das werden sie sagen für teuer Gutachtergeld.)
Last not least meine unmagebliche Deinung als Schmalspur-IT-Anwender und -Betroffener:
JEDER noch so sichere Provider/Server kann gehackt werden, wenn man ihm nur recht viel Anfragen oder Müll schickt und ihn damit zuballert. Dann entstehen auch bei sicher geglaubten Servern Sicherheitslücken (Sachen wie “uffer overflow”, etc, Datenbankfuzzis wissen die Begriffe besser). Das heißt, um eine derartige Ãœberlastung zu vermeiden, müssen genug Reserve-Server da sein, die sofort die Ãœberlasten übernehmen. (Das unterscheidet auch gute Provider von schlechten, billigen.
Die schlechte Performance und die Langsamkeit der studiVZ-Server an sich sind daher eigentlich bereits ein Sicherheitsproblem und skandalös. DAs muss man wissen, ohne bereits ein Heise.de-Geek zu sein.
Disclaimer: Dies alles ist keine auf den Fall zugeschnittene Rechtsberatung, sondern mein allgemeines, sicher ungenügendes, Schmalspur-Rechtswissen und auch keine IT-oder Datenbank-Beratung.
Sondern nur das bisschen mabngelhafte Wissen, das ich und meine Kollegen als computernutzende Werrber haben müssen, sonst kriegen uns die Räuber. Das Writschaftsleben ist kein Mädchengeburtstag. Bei Problemen konusltiere ich auf jeden Fall einen im IT- und Ineternetrecht ausgebildetetn Juristen :-)
Und Werbekunden, die wollen, dass ich in ihre Werbemittel Versprechungen reinschreibe, die hinten und vorne nicht stimmen, sage ich das auch. Wenn sie es trotzdem wollen, dann wird der Auftrag im Vorfeld abgelehnt oder während der Arbeiten abgebrochen. Weitere Unklarheiten regelt ein Haftungsausschluss, dass ich für unrichtige Angaben des Kunden nicht zur Rechenschaft gezogen werden kann. Das muss er unerschreiben. so arbveitn viel Kolgen vonmir, denn adners geht es nicht.
Der scheinbare Vorteil von StudiVZ ist, dass sie kaum solche Art schriftliche Werbung machen, alsso da nicht recht festgenagelt werden können, sondern per mündlicher Einwerbung/Campus Captains und Mundpropaganda/Vergünstigungen arbeiten. Selbst da wird man sie kriegen, da bin ich überzeugt. Da mögen Rechtsprofis ran von dem Kaliber, die auch betrügerische Versicherungskonzerne mit ihrem Kleingedruckten oder MLM-Finanzberatungen wie MLP drankriegen können. (MLM = Mulitlevel-Marketing, id est: Schneeballsystem)
Niemand hier wird es zu Lebzeiten schaffen ein Bild nach dem StudiVZ/Facebook URL-Muster zufällig zu erraten/hacken. Selbst wenn am Ende Eurer Theorien nur noch 5 Zeichen mit klein/großbuchstaben/zahlen übrig blieben könnten Eure Enkelkinder das Ergebnis nicht bewundern.
Eine reine Character-BruteForce ist im Web ab 5 Zeichen ziemlich bescheuert. Nur eine Lexikon Brute-Force erzielt bei solchen Latenzzeiten gerne Ergebnisse bei dummen Passwörtern usw…
Zufallszeichenketten zu knacken mit einer Gesamt-Latenzzeit von mindestens 100ms pro Abruf ist utopisch. Und da spielt es keine Rolle ob es 5,6 oder 12 Zeichen sind.
Das ganze ändert natürlich nichts an der Sache, dass es wirklich eine dumme Idee vom Facebook/StudiVZ ist, die Daten nicht über Sessions zu schützen. Es ist also durchaus ein gewisses Sicherheitsproblem. Ich wollte nur klarstellen, das die Bruteforce Geschichte in diesem Fall ziemlicher Schwachfug ist. Jeder der das Gegenteil behauptet hat leider keine Ahnung von der Materie.
Nochwas: Wenn jemand einmal ein Album öffentlich macht, kann tatsächlich jemand den Link speichern um die Bilder immer wieder anzuschauen. Das derjenige auch einfach direkt die Bilder hätte speichern können, um sie später anonym im Netz zu verteilen ist anscheinend was anderes oder wie? Wer einmal jemandem seine Bilder zeigt, der muss davon ausgehen das dieser seine Bilder hat. Ob nun per Link oder auf seiner Festplatte…
Ich will die technische Absicherung der Daten vom StudiVZ hier auf keinen Fall gut heißen, nein ganz im Gegenteil. Ich will Euch nur von Eurem Super-Gau Thron runterholen. Das StudiVZ ist standard Web 2.0 abgesichert. Und untergehen wird das StudiVZ eh nicht mehr. Es hat die kritische Masse schon längst erreicht. Da könnt ihr Bloggen soviel ihr wollt.
JustMy2Cents
Ich sage es einfach mal so. Wenn Studivz nicht alles so dermaßen dreist geklaut hätte und ich hoffe das darf ich mal schreiben ohne das es wie sonst üblich zensiert wird, dann hätten die auch nicht solche Probleme. Denn wie schon so oft geschrieben, hat Facebook die gleichen Probleme zur Zeit. Da geht die Rechnung eben nicht auf einfach mal abzukassieren mit den Daten der User. Nur das es noch viel zu wenige Leute lesen was eigentlich mit den Daten passieren kann. Solche Sachen sollten in den Medien stehen. Schreibt das mal in der Bild, dann erreichen wir auch die Zielgruppe :). Es fängt ja schon an das Unternehmen nach Profilen über potentielle Bewerber suchen. Das wird auch noch weiter gehen und schlimmer werden. Der Weg zum gläsernen Webnutzer ist nicht mehr weit. Aber eure Daten sind so sicher wie die Rente ^^.
Sorry für die vielen Tippfehler mal wieder, habe leider wenig Zeit gerade fürs Korrekturlesen (auch “uffer overflow” muss heißen: buffer overflow) and so on…
@252: Hey Manni, Du sollst doch nicht immer mit gefälschten Namen in kritischen Blogs schreiben! Und geh’ jetzt echt mal nach Hause. Du bist doch nicht mehr der Jüngste!
Der Höhepunkt ist erreicht, wenn man in so einer Situation diese Meldung bekommt:
Hallo Juliane!
xxxx xxxxx hat dich gegruschelt!
http://ww w.studivz.net
Viel Spaß!
Dein Studiverzeichnis-Team
Du, Juliane, das war der ***********! Der ist wegen der Lesbenbilder schon ganz heiß!
[Sorry, I had to. Don]
Okay. Ich höre ja schon auf. Der Witz wird langsam wirklich flach. Meine aber trotzdem, dass Manfred hier mitschreibt. Die “Millionen Kombinationen”-Postings sind einfach so gleich und entsprechen auch dem Posting auf StudiVZ.
Mann muss nicht Manfred heißen und Datenschutzbeauftragter sein, um festzustellen, dass es Bullshit ist zu versuchen ein paar Billiarden Kombinationen übers Web durchzuprobieren. Dazu reicht es vollkommen aus, wenn man in der Schule bei der Potenzrechnung nen paar Minuten zugehört hat. Aber das hat hier anscheinend nicht jeder…
Schade drum.
Dann schau’ Dir doch mal bitte die URLs an, die Don vorhin gepostet hat. Da schnurren Deine Wahrscheinlichkeiten schnell zusammen.
Aber darum geht’s auch gar nicht. Es geht um das Hauptproblem, dass das überhaupt alles frei im Netz steht. Und dazu hat sich Manni mit keinem Wort geäußert. Alle Verteidigungsstrategien, die Du vorbringst, sind Ablenkungen, die die Glaubwürdigkeit der Blogger untergraben sollen.
Und dann auch noch der Vergleich mit PIN und TAN! Da weiß ich als Computerlaie ja schon, dass das was anderes ist!
Äh, ich meine festhalten zu wollen, dass Hendrik mit StudiVZ erst mal nicht die IP gemein hat.
Nun dann finde doch mal nur ein einziges Bild, auf das du nicht direkt übers StudiVZ Zugriff hast. Es sollte ja genug Bilder drauf haben, du musst ja nur ganz wenig ausprobieren, nehme ich an. Leider kann man aus der Bild-ID dann noch nicht die User-ID entdecken, aber lasen wir das mal…
Falls es dir nachweislich von einer Fremden dir garantiert unbekannten Person gelingt, Hut ab… davor ist alles nur gebloggt gewesen
offtopic:
Das einzige, was ich recht lustig finde in den Links ist “albums” statt “alben”, tss.
sicherheitslücken hin oder her, wer absolute sicherheit will läßt seine fotos einfach auf seinem rechner. finde das beispiel total hirnrissig. was bringt es mir denn wenn ich meine fotos die keiner sehen darf ins netz hochlade??? die gallery beim studivz ist doch dazu da um sie mit anderen zu teilen. weniger nörgeln, mehr entspannen!
“die gallery beim studivz ist doch dazu da um sie mit anderen zu teilen.”
Nein, ist sie nicht, deshalb gibt es ja den Menupunkt bei StudiVZ, dass es ausser einem selber niemand sehen darf.
@264
man könnte glatt meinen, das sei englisch.
Moin!
Sollte hier Jemand von Telefonica/Ex-Mediaways in Gütersloh mitlesen: Leute, ihr habt da einen komplett offenen Server stehen, der Euch via StudiVZ nicht nur Nacktfotos bescheren kann. Wenn (oder besser: weil) das Teil vor Eurer DMZ steht – seht zu, dass darüber keine Intruser reinkommen. So offen habe ich seltenst Kundenserver gesehen; das muss kesseln, wenn Ihr Reputanz wollt.
Leute, Leute, es geht zu weit wie ich finde.
Es ist doch klar, dass im Normalfall jedes Bild frei einsehbar ist. Wenn ich ein Album nur für meine einrichte, kann ich dennoch davon ausgehen, dass jemand (der nur scheinbar mein Freund ist), einen Screenshot von dem Bild macht und auf seinem Blog die Hetzjagd startet. Kein Bild und kein Video ist jemals sicher, das sich irgendwo im Netz befindet. Gut und schön – man könnte ein Authentifizierungsskript für Bilder integrieren, das entspräche natürlich dem gängigen SIcherheitsstandard für Bilder. Aber mich macht euer Bericht nicht wirklich an, denn was ist schon sicher?
Allein Sessions (die Cookies) benutzen sind verdammt unsicher. Wenn Juliane ein (physikalischer) Freund ist und ich zufällig mal an ihrem PC sitze, hole ich mir ihre Session ID und schon habe ich alles was ich will. Das ist ja auch mal eine Sicherheitsdimension die man sich ankucken sollte ,)
Gruß aus Ulm
Andi
Es geht nicht um den “Normalfall”, sondern darum, das Bilder ausdrücklich als “privat” deklariert werden, aber trotzdem noch zugänglich bleiben. Es geht um den Widerspruch zwischen StudiVZ-Anspruch/-Aussage und Realität.
Weswegen in Shoppingsystemen reine Cookie-Lösungen kaum anzutreffen sind, sondern u.a. solche, die Session-IDs per DB mit Datum/Uhrzeit abgleichen, nach einer Zeit als ungültig deklarieren und Julianes Freund vor dem Rechner um eine IT-Erkenntnis schlauer ist.
Die hier ausgerechneten Zeiten sind relevant für das Finden eines ganz bestimmten Bildes.
Die Wahrscheinlichkeit irgendein (auch privates) Bild mit dieser eher plumpen systematischen Methode zu finden dürfte ungleich höher sein und erheblich weniger Zeit in Anspruch nehmen.
Grüße
Mo
Bei unserer letzten Firmenkontaktmesse haben von 32 Firmen 7 angegeben, dass es ein negativer Aspekt ist, wenn der Bewerber kein (!) Profil by StudiVZ oder openBC hat, weil dies zeigt, dass er entweder ein mangelndes soziales Leben hat, sich versteckt oder mit neuen Medien nicht klar kommt.
Das es ein negativer Aspekt ist, wenn überhaupt man eins hat, sagte nur einer von 32 (das ein schlechtes Profil negativ sein kann mehr als 2/3).
Morgen!
@271, Nein, meine Rechnung mit 2 Jahren Suche für ein Bild war auf ein Zufallsbild bezogen.
Wenn die Album-ID wirlich eine sehr einfache Struktur aufweisen sollte reduziert das die Zahl der Versuche tatsächlich erheblich.
Dennoch: Wir nehmen an ihr habt eine Album ID erschnüffelt/erraten und wollte alle Bilder haben… OK, rechnen wir: Die ersten 3-Ziffern in der Bild-ID scheinen ziemlich zufällig zu sein. 3 Zeichen á 62 Kombinationen entspricht 3^62 Kombinationen. Die 4 Zahlen am Ende wollen wir mal vernachlässigen und tun so, als wären sie nicht da. Die restlichen Zeichen die sich ähneln lassen wir auch mal weg. Wir füttern unseren Taschenrechner und erhalten die Zahl von 3.81520424 × 10^29. Eine Zahl mit 29 NULLEN an verschiedenen Kombinationen bei nur 3(!) unbekannten.
Sagen wir pro Bildcheck braucht unserer PC im Schnitt 100ms. wir ziehen also eine Null bei den Kombinationen ab und erhalten die Gesamtzahl der benötigten Sekunden für alle(!) Bilder des Albums. Das ganze durch die Minuten/Stunden/Tage/Jahre Mühle gezogen ergibt!:
(((((3^62) / 10) / 60) / 60) / 24) / 365 = 1.20979333 × 10^21 Jahre
OK OK! Unser Rechner stellt ca. 100 Anfragen gleichzeitig pro 100ms an den Server. Bleiben 1.20979333 × 10^19 Jahre, um alle Bilder eines einzigen Albums zu erraten bei nur(!) 3 Zufallszeichen.
Ich weiß aber wirklich nicht wie der Zahlenbeispielclown auf 5 Tage kommt für alle Bilder eines Albums. Wenn ich einen Denkfehler hab, korrigiert mich bitte.
Sichere Bilder
Don Alphonso haut zur Zeit so richtig drauf auf StudiVZ. Ich kenne einige aus meinem Bekanntenpreis, die auf dieses Verzeichnis voll abfahren. Da ich mich aber fÃŒr den ganzen Social-Kram nicht wirklich begeistern kann, hab ich da nicht mal einen Accou…
Ach Hendrik / Manfred, Du lernst es nicht mehr. Die Zeiten, die Du angibst, beziehen sich auf ein ganz bestimmtes Bild aus allen Bildern. Zufallstreffer kann man jedoch locker schon nach Stunden oder wenigern Tagen landen. Zwing mich nicht, dafür ganz ohne “Hacker-Tools” (braucht man für so banalen Quatsch nicht) den Beweis anzutreten, das könnte die Blamage für StudiVZ potenzieren…
MfG
Daniel
Belanglose Diskussion. Let’s stop it. Es ist alles eine Sache der Abwägung. Was allein die Server für eine Mehrbelastung fressen müssen, wenn die Bilder über Sessions authentifiziert und aus einer DB geladen werden, kann man sich denken. Die jetzige Lösung ist schon ganz passabel.
Eine Frage sei aber gestattet:
Der Autor des Artikels schreibt :
“Angenommen Julia wäre lesbisch und würde ihre Orgienfotos online stellen…. die soll aber keiner sehen, nur sie selbst”
WIESO ZUM HENKER SOLL SIE DIE FOTOS DANN BITTE SCHÖN ONLINE STELLEN?
Brauch man selbst für den harmlosensten zeitvertreitb Vater Staat, der uns mit Gesetzen und Verordnungen schützt ? Wie wenig Selbstständig seid ihr denn?
Man stellt doch bitte nur harmlose WM-Fotos, Freunde etc. ins netz, aber auch nur dann, wenn man möchte dass die jemand sieht. Wenn nicht, lass ich die Dinger doch nicht drauf.
Aber dafür brauch ich diese Apokalypse-Seite nicht, das WEISS MAN einfach.
Viel Spass und versucht mal erwachsen zu werden und bettelt nicht immer nach Trost, wenn ihr euch an einer heißen HErdplatte verbrennt, sondern schaltet euren gesunden MEnschenverstand ein
GruSS
KEINE AHNUNG!
Aber ich kenne da einen Geschäftsführers eines in Berlin ansässigen Web2.0-StartUps, der die Brisanz seines ins Netz abgestellten privaten und geschäftlichen Materials unterschätzt hast. Vielleicht fragst du den mal, was ihn geritten hat.
Ich find die Aufregung auch etwas übertrieben. Ein Sturm im Wasserglas.
Der “bemerkenswerte” Test ist wahrlich nicht bemerkenswert. Es gibt haufenweise Seiten, in deren Quellcode URLs drin sind, die sich dann direkt aufrufen lassen können. Es ist die Frage, wie schnell man an die URLs rankommt, wenn man sie nicht kennt.
Die Wartezeit zwischen der Meldung des Bugs bis zum Veröffentlichen der Methode ist auch viel zu kurz gewesen. Alles in allem bin ich über diese Meldung eher enttäuscht.
außerdem: gerade die studis, die im studivz sind, sind solche, die sich selber als einigermaßen internet-affin bezeichnen würden. d.h. fast jede/jeder besitzt die möglichkeit mit rechts auf ein bild zu klicken und auf “bild anzeigen” zu gehen. das sind zwei klicks!
im anschluss muss man nur die url des bildes kopieren und an freunde und freundinnen verschicken, die sich außerhalb des geschlossenen kreises befinden, für den das bild eigentlich gedacht war.
und dann, dann sind wir ganz schnell dort, wo die schicken online-konzepte immer hinwollen: beim viralen mailen. wenn nämlich person a ein bild von sich selber beim kotzen auf einer party nur dem besten freund b zugänglich macht, der aber insgeheim person c viel netter findet als person a – obwohl die c die a hasst, dann ist davon auszugehen, dass person c, die den link von b bekommt, die a recht schnell in größerem umfeld lächerlich machen wird.
und jetzt komme mir einer und sage: das ist aber eine arg konstruierte angelegenheit. dann sage ich nämlich: mann-o-meter, Du hast keine ahnung, wie studenten sind.
lieber studi-vz-kinder:
jede verdammte dritklassige pornoseite bekommt es hin, dass sauber sortierte und gelistete bilder trotz aller struktur in den dateinamen nicht von außen einzusehen ist. dass weder xing noch studivz hier mithalten kann, ist ein armutszeugnis.
Also wenn du so direkt fragst – verdammt selbstständig. Gilt das aber auch für den Rest der Internetz-/StudiVZ-User?
Ersteres hab ich, letzteres bin ich. Schon ein komisches gefühl, wenn noch nicht alle Menschen gleichgeschaltet sind und eventuell mal wer eine andere (konträre) Meinung hat, als einer selbst. Passt nicht so recht ins gruschelige Weltbild heutzutage oder?
Wieso eigentlich nicht? Wer oder was gibt speziell *dir* das Recht, über das Tun oder Lassen von anderen Menschen zu entscheiden?
Frag ja nur…
Falk, da antworte ich gerne: Weil Du vielleicht irgendwann wünscht, dass Deine Bilder nicht frei kursieren. Stell Dir vor, Du bist auf einer Fete, und Deine Kamera ist voller Bilder. Du lässt sie rumliegen, und dann kommen ein paar Typen, machen sie an, schauen sie durch, machen sich über Dich lustig, ziehen die Karte raus, überspielen die Bilder auf ihr Notebook und verschicken sie an ihre Kumpels –
würdest Du das wollen? Hm?
Frag ja nur.
Don, für diesen Fall hat man andere Möglichkeiten dagegen vorzugehen. Denke das weisst du.
Mir gings um den (konstruierten) Fall, dass eben jemand sich auf ein Angebot verlässt, welches vorgibt die Daten sicher zu verwahren und ich entscheiden kann, diese Daten bestenfalls nur ausgewählten Menschen zeigen zu können.
Dessen freie Entscheidung, dies im Internet zu tun, kann und sollte man ja nicht in Abrede stellen – egal wie widersinning uns das erscheint.
@280
Und genau dein Beispiel würde auch funktionieren, wenn die Bilder extrem hoch geschützt wären. Dann speichert Person B das Kotzfoto und schickt es Person C. Egal was Person A mit dem Original macht.
Und die Zufallstreffer, die ein “privates” (vielleicht sollte hier lieber von “nicht ganz so öffentlich wie die anderen” gesprochen werden) Bild von irgendjemandem im StudiVZ hervorholen finde ich nicht dramatischer als über die Google-Image Suche recht zuverlässig Fotos von bestimmten Leuten zu finden. Google Cache, Google Web Accelerator und die neue Spielerei mit dem Image Labeler (http://images.google.com/imagelabeler/) finde ich da mindestens genauso problematisch.
Und schlimmer als die eigenen Fotos sind eigentlich nur die flickr-abhängigen, die immer und überall mit der Knipse unterwegs sind und munter drauflos fotografieren. Da findest du dein Kotzfoto dann nämlich nicht mal von dir verteilt sondern von einem Anwesenden verteilt. Siehe die Prollvideos des E.D.
Gruß
Aber ja! Natürlich gibt es eine Entscheidungsfreiheit!
Man sollte sich halt ein paar Gedanken machen, was das letztlich bedeutet. Ich mag hier jetzt keine URLs von Bildern posten, die zeigen würden, dass Entscheidungsfreiheit per se nicht viel wert ist und auch etwas Gehirn dazu gehört – aber vielleicht ruft man sich wirklich den Fall des Ehssan D. ins Gedächtnis, der per Pinwandmitteilung Kumpels aufgefordert hat, bedenkliche Bilder zu entfernen. Und ich finde, es reicht, wenn es einer auf die harte Tour lernt. Schlimm ist es, wenn es andere so lernen müssen, weil irgendein ARSCH nicht nur sich, sondern auch sie ins Internet klatscht.
Sven, nur weil Flickr, wie hier schon öfters debattiert, mit den Tags schlichtweg die Hölle ist, bedeutet nicht, dass StudiVZ mit der Bildverlinkung nicht ein anderer Feuerkreis derselben wäre. Aber hey, es ist Euer Hintern, der gegrillt wird.
Servus,
müsste es aber zum Zugriff auf die Bilddatei nicht so sein, dass ich selbst eingeloggt sein muss, um die URL im Quelltext der Bilddatei ansehen zu können?
Bitte um Aufklärung.
Thanx
Tresor kaufen, Bankkonto kündigen!
Das sagt StudiVZ zu diesem Bericht:
Die Kombination des von uns verwendeten Codes ist bedeutend komplexer als die Kombination aus PIN und TAN beim Online Banking. Wir finden, dass unsere Bilder deshalb ziemlich sicher sind – was meint ihr?
Ich w&…
Wie Du oben siehst, genügt es völlig, wenn irgendwer irgendwo die URL hat. Also Links, Mails, Chat, ICQ…
Nun, Don, danke immerhin für die Offenlegung des Leaks. Ist jetzt für mich kein Grund, das CopyVZ völlig zu meiden. Aber eben eine Bestätigung meiner Vorsicht im Verbreiten persönlicher Daten. Da scheinen sich wenige Leute Gedanken zu machen und bereitwillig jeden Mist auszufüllen. Und nein, nicht nur unter Studenten, wie manche Kommentatoren hier zu wissen meinen.
BTW: Ich hatte vor der Anmeldung auch erstmal einen Fake-Account gemacht um mich umzugucken. Die Löschung desselben hat damals etwa zwei Tage gedauert, diese Laufzeit sollte man also auch bei Datenänderungen bedenken.
Bis dahin, Gruß
so mal nebenbei… das geht auch mit anderen “gesperrten” bereichen. wenn zb jemand seine seite nicht freigeschaltet hat (nur für freunde sichtbar) und man sich entsprechend die freunde der person nicht ansehen kann, dann einfach mal:
[aufgrund schrecklicher Erkenntnis gelöscht]
das schwierige war nur leute zu finden, die alles gesperrt haben, um es auszuprobieren. legt am besten mal n account an und bastelt euch die urls zusammen.
sag dass das nicht wahr ist, bitte.
@275(Daniel):
Ach Hendrik / Manfred, Du lernst es nicht mehr. Die Zeiten, die Du angibst, beziehen sich auf ein ganz bestimmtes Bild aus allen Bildern
Wieso glaubt ihr das alle? Drücke ich mich undeutlich aus?
Wenn du 10 Millionen Jahre brauchst um alle Bilder zu finden und es 2 Millionen Bilder gibt, wie lange brauchst du im Durchschnitt um IRGENDEIN(egal welches!!!) Bild zu finden? Glaubst du die liegen alle auf einem Klumpen am Anfang?
OK nochmal für die Intelligenzallergiker unter uns:
Nehmen wir an wir haben 1 Millionen Bilder und brauchen 1 Millionen Jahre um alle zu finden.
Wie viele Bilder finden wir statistisch gesehen pro Jahr?
Klick?
Zufallstreffer kann man jedoch locker schon nach Stunden oder wenigern Tagen landen.
Klar kannst du zufällig einen Treffer landen nach einigen Versuchen. Du kannst sogar nach nur einem Versuch einen Treffer landen. Schonmal Lotto gespielt? Schade versuchs mal, du wärst eher Millionär als das du per Bruteforce eine Person findest, die du kennst.
Zwing mich nicht, dafür ganz ohne “Hacker-Tools” (braucht man für so banalen Quatsch nicht) den Beweis anzutreten, das könnte die Blamage für StudiVZ potenzieren…
Eine ähnliche Argumentation hatte hier schonmal jemand… “ich könnt alles kaputt machen aber ich sage ich nicht wie… *ätsch*”
Wenn es so schlimm ist, dass es das StudiVZ blamiert, dann haben sie es auch verdient.
Also trete den Beweis doch bitte an!
Zwing mich nicht, dafür ganz ohne “Hacker-Tools” (braucht man für so banalen Quatsch nicht) den Beweis anzutreten, das könnte die Blamage für StudiVZ potenzieren…
Also trete den Beweis doch bitte an!
Bitte, Leute, ich habe mehrfach darum gebeten, hier solche Argumentationen dringendst zu unterlassen. Das Ganze muss auch ohne gehen, oder Ihr zwingt mich, hier die Kommantare zu vernageln. ich gebe Euch auch gern die wechselseitigen Emails, aber hier bitte keine Aufforderungen für Skriptkiddiecontests.
Hendrik, Deine ganze Argumentation steht und fällt damit, dass das zufällig aussehende in der URL tatsächlich zufällig ist.
Aber was, wenn das gar keine Zufallszahl wäre, sondern nur eine verschleierte Uhrzeit. Oder eine verschleierte laufende Nummer.
Na, bräuchte man immer noch Millionen Jahre?
Nein.
Und so richtig zufällig sehen die URLs ja auch nicht aus.
290/291: Doch Don, auch das funktioniert. Gehört aber zu den Dingen, die man mit Rücksicht auf die Betroffenen nicht in Blogs schreiben sollte. Überleg bitte, ob die Info so im Blog bleiben sollte.
und jetzt???
und jetzt???
… sollte man vielleicht die rechtlichen Möglichkeiten ausloten.
Die – in Teilen akademische – Debatte um die Bilder ist eine Sache, die Informationen von “jo” jedoch eine ganz andere Hausnummer.
seh ich das nun falsch oder hab ich nur nicht richtig aufgepasst, aber man kann doch nicht gezielt nach bildern einer person suchen, wenn der dateiname zufällig gewählt ist. klar, das bild liegt auf einem über http zugänglichen server, aber wenn keiner die url kennt und sie ohne entsprechenden aufwand auch nicht erratbar ist, dann kann ich den aufstand nicht ganz nachvollziehen…?
Die ganze Sicherheit beruht also an jeder Stelle auf nicht zeigen von Links? Kann das jemand mal besipielhaft bestätigen?
Wo leibt der Bericht Don?
Und verdammt, warum schreiten die Ringrichter nicht ein? Der Gegner liegt am Boden, schon lange!
Erst mal Ende der Debatte, sorry.
… und jetzt?
wenns nicht um 500000 ungefälschte Profile und Daten ginge würde ich sagen: alles auf den Tisch.
So würde ich den Kontakt mit jemanden suchen der das hinter den Kulissen vorrantreibt, ohne das die Einzelheiten des einfachen Komplettdatenabrufs beim VZ an die Öffentlichkeit dringen…
(die einfache Ratbarkeit von Album-Ids oder Bildern ist jetzt vollkommen Banane und ein vergleichsweise winziges Problem)
Heise? oder ein CERT? die StudiVZler scheinen ja hier mitzulesen, aber die scheinen ja wirklich mögliche Verbesserungen als Schuldeingeständnis zu werten und stellen sich deshalb lieber tot.
Da muss jemand anderes den Viehtreiber zücken als ein Don aus Kleinbloggershausen…
ich muss vielen hier zustimmen. WO IST DAS PROBLEM?
die URL zum bild besteht aus einer menge zufälligen zeichen, die nicht einfach mal so zu erraten sind. dadurch kann nur der die adresse rausfinden, der auch das bild bei studiVZ sehen kann – also nur die lesbe!
hierbei von einer sicherheitslücke zu sprechen und ein riesen hehl draus zu machen ist einfach überzogen!
Was ist da gerade los ?
Auf meiner Browserseite gerade eben das entdeckt:
“ERROR
The requested URL could not be retrieved
While trying to retrieve the URL: http://217.188.35.147/XXXXXX(X von mir eingefügt)
The following error was encountered:
* Connection to 217.188.35.147 Failed
The system returned:
(111) Connection refused
The remote host or network may be down. Please try the request again.
Your cache administrator is ncc@telefonica.de. “
http://www.datenkraken.de/2006/zeit-fur-die-exmatrikulation/
Bemmann ist informiert, Zeit läuft, aber wenn ich die wäre, würde ich jetzt einfach den Stecker ziehen, und zwar komplett.
Verdammt jetzt hab ich die schrecklichen Erkenntnisse verpasst
Schrecklicher Erkenntnisse hier:
http://fx3.org/blog/2006/11/21/studivz-unseren-tglichen-privacy-gau-gib-uns-heute/#more-2124
Es gibt einen Grund, warum ich sensible Daten nie auf externen Seiten speichere. Die Leute machen sich da wirklich keine Gedanken. Da werden die persönlichsten Mails über GMail versendet und was weiß ich. Und dann brüllen wieder alle über den gläsernen Bürger.
Kleine Kochschule [UPDATE]
Man kann zu Don Alphonso stehen wie man will(ja, er ist eine streitbare Figur), aber was er in der Blogbar mit StudiVZ bzw. deren Betreibern macht, kommt einem filetierem gleich.
Und ich denke, noch ein oder zwei Tage, dann wird angerichtet.
Bei allem
Sagt mal, ist das mit den URLs nicht bei OpenBc/Xing genauso?
Hier Profil: https://www.xing.com/profile/Ehssan_Dariani/
Hier bild: https://www.xing.com/img/users/8/3/a/c806dcd7f.3293005.jpg
Beides m.E. ohne Registrierung und ohne einloggen sichtbar…
OH JE! Das wird doch wohl nicht den Börsengang von xing beeinflussen, oder?
David (310):
Das Profilfoto ist ja ganz offiziell öffentlich sichtbar, auch ohne einloggen auf der Profilseite. Das ist was anderes als bei Bildern eigentlich privat sein sollten.
Nachdem ich nun die zahlreichen Einträge (und Kommentare) durchforstet habe, fühle ich mich genötigt, ebenfalls einen unqualifizierten Kommentar abzugeben (wie immer *grins*).
Ich habe mich vor gar nicht all zu langer Zeit bei StudiVZ angemeldet und finde das Ding eigentlich gar nicht schlecht (eigentlich beinhaltet immer eine gewisse Einschränkung …). Mit Freunden in Kontakt bleiben, ein paar sinnlosen Gruppen beitreten usw. ist doch alles prima. Was ich nicht verstehen kann, ist dass eine derart lahme Plattform überhaupt so viele User gewinnen konnte?!? Es macht einfach keinen Spaß, sich anzumelden, eine Tasse Kaffee zu holen, um danach einen “Server is not responding” Error vorzufinden …
Den Wirbel um die frei zugänglichen und angeblich geschützten Bilder kann ich hingegen nicht nachvollziehen. Ist halt so. Es würde mich nicht wundern, wenn das auf anderen Seiten genau so gehandhabt würde! Vertrauliche Daten gelten deshalb als vertraulich, weil man sie eben nicht in jedes Upload-Formular einträgt … Willkommen im Web2.0! – da geht es eben nicht um die Inhalte, sondern um das TEILEN der Inhalte! Und StudiVZ hat damit zweifelsfrei bewiesen, dass sie ihr Handwerk verstehen. Ist doch wunderbar :)
p.s. Gleiches gilt für Online-Festplatten. Wer sowas nutzt ist selber Schuld!
Hab noch was vergessen …
@ DonAlphonso:
Beim Lesen deiner Beiträge gewinnt man den Eindruck, dass du einer der ersten warst, dessen Nacktbilder öffentlich wurden, obwohl du sie geschützt hattest ;)
Warum der ganze Aufriss? Wenn du Interesse an Systemlücken hast, dann kuck dir lieber den folgenden Link an: http://baseportal.com/baseportal/phishmarkt/de
Da ist StudiVZ ein Dreck dagegen …
Sag mal… Ihr habt alle ein leichtes Auffassungsproblem, oder? Klar ist es nicht klug, manche dinge zu tun, aber wenn mir einer sagt, dass man es tun kann und ich glaube es und es stimmt nicht, dann ist das ein Problem. Nicht für mich, sondern für den anderen. Dafür haben wir hier in Deutschland Gesetze. Wenn Ihr Knalltüten meint, dass Eure Rechte ohnehin nix wert sind, dann habt Ihr ein schräges Weltbild. Es sind EURE verfickten RECHTE, und mit jedem Lahmarsch, der sagt, juckt mich nicht, arbeitet ihr diesem Abschaum in die Hände.
Sorry, wenn ich Dir das so deutlich sage, das entspricht nicht im Mindesten dem, was ich in Seminaren so von mir gebe, aber das hier ist kein Proseminar, sondern ein Blog, und ich habe mittlerweile den Eindruck, dass Typen wie Du nicht wirklich den Peil von dem haben, was man als gesamtgesellschaftliche Verantwortung bezeichnet. Das ist das Ding, das, wenn man es aufgibt, dafür sorgt, dass Dir jeder der meint an der nächsten Ecke in die Fresse hauen kann. Yoschi in Goschi, verstehst, Alda.
@hendrik
Du hast da einen Zahlendreher in deiner Rechnung.
Die Anzahl der möglichen Kombinationen beträgt 62^3.
An alle die, die sagen “nur weil ich ein Bild gefunden hab, weiß ich doch noch nicht, wem’s gehört”: Guckst Du http://www.studivz.net/showalbum.php?id=album-id und schon steht in der Titelzeile der Albumtitel und -besitzer. Das war ja einfach.
Das ist ja langsam genug Material für die nächsten drei Tage.
@Matthias: Aber das funktioniert offenbar (wenigstens) nicht bei den geschützten Bildern, und auch nur dann, wenn man eingeloggt ist. Obwohl man nach den ganzen anderen Entdeckungen auch anderes hätte befürchten können :-(…
“Aber das funktioniert offenbar (wenigstens) nicht bei den geschützten Bildern, und auch nur dann, wenn man eingeloggt ist.”
Natürlich funktioniert es das. :-) bzw :-(
Und es “funktioniert” auch, wenn man nicht eingeloggt ist.
Wie sieht es denn mit älteren Avataren aus? Sind die auch noch anzeigbar? Die Avatare scheinen ja durchgehend nummeriert zu sein, nach Aktualisierung sind ältere aber nicht mehr abrufbar.
zu David(310):
bei openBC/XING kann man in den Optionen wählen, dass nur eingeloggte Mitglieder deine Seite sehen können und es funktioniert, habe es selber gerade ausprobiert…
Ich lasse mich selten von Schwachstellen überzeugen, die ich nicht selber ausprobiert und für kritisch empfunden. StudiVZ agiert eindeutig fahrlässig…
Die AlbumIDs sind auch noch redundant und nicht absolut wie die URL einen glauben läßt. Meine erste wahllose 6-stellige Alphanumerische Kombination nach dem Pfad aus #316 brachte mich als angemeldeten Nutzer in ein (zugegebenermaßen öffentliches) Photoalbum eines unwissenden Studentin der Uni Giessen. Im Verzeichnis ihrer öffentlichen Alben wurde dieses jedoch mit einer andere Album-ID verlinkt… ergo gehe ich davon aus, dass die ID intern verrechnet und auf einen weniger komplexen Datenbankeintrag verweist.
Informatiker mögen aus beiden IDs den zugrundeliegenden Code erraten, jedoch ist das der Studentin bestimmt nicht recht, hier erwähnt zu werden.
Das mein erster Versuch schon wieder soetwas zu Tage brachte hat mich nur veranlasst mein Profil radikal zu zensieren/beschneiden.
(Achja, und für Besserwisser: ich gehe nicht von der geringen Chance aus, dass es sich um ein Zufall handelt, sondern eher absichtliche DB-Programmierung, aber es ist wiederum nur eine Stichprobe)
Update #322: Eine StudiVZ Photo-Url gibt nur Auskunft über einen Accounthalter, wenn das zugehörige Album öffentlich ist.
Wenn nicht aus dem Blog-Kontext hervorgehen würde, dass die steinernen Lesben zu Julia gehören, würde man es (ohne weitere Photos aus öffentliche Alben) auch nicht rausfinden.
Hi Leute!
Ich habe nicht alle Komentare gelesen, also nicht verfolgt ob es schon erwähnt wurde aber seit Januar 2005 ist die TkÜV (Telekomunikations Überwachungs Verordnung) in kraft, was bedeutet das alle Telekomunikationsanbieter vom Gesetzgeber gezwungen werden die Metadaten ihrer Kunden zu speichern, was bei einem ISP bedeutet das anhand dieser auch die WebINHALTE nachvolziehbar sind.
Diese Speicherkapazität muß von den ISPs finanziell getragen werden. Um diese Investiotionen wieder einzuspielen haben die ISPs vorgeschlagen durch Datamining die über die User gewonnen Informationen offiziell komerziell zu verwerten. Das dies inoffiziell über den Umweg andere “Länder andere Rechte” sowieso schon passiert ist ein offenes Geheimnis (Auslagerung der Dienste auf Server im Ausland).
Der Handel mit Benutzerspezifischen Daten hat ein ernormes finanzielles Potential.
In diesem Kontext ist es unrelevant wie groß die Wahrscheinlichkeit ist Daten per Script von einem Server holen zu können.
Ein weiterer Punkt ist die Zuordnung von Bilder. Das Interesse
über Bildmaterial “on the fly” Menschen widerzuerkennen ist sehr groß (Fight against Terrorism). Dementsprechend schnell schreitet die Entwicklung derartiger Software fort (Auf Telepolis stand vor kurzem ein interessanter Bericht über aktuelle Forschungen).
Am Mainzer HBF läuft ein entsprechendes Deutsches Pilotprojekt.
Die Möglichkeiten die sich mit einer solchen Software in http basierten Suchmaschinen oder halt in käuflichen Informationen von ISPs ergeben würden sind enorm und können wirklich Existenzen vernichten, da schon jetzt etliche Arbeitgeber bei Neueinstellungen scialnetworks durchforsten.
Dies ist gewiss nur ein kleiner Auszug eventueller Zenarien.
Die anzahl der Menschen die sich intensiev mit diesen Technologien befassen, wissen was momentan Möglich ist und in naher Zukunft Möglich sein wird und welche Folgen sich daraus ergeben können ist verschwindend gering. Das müssen sie aber im Grunde auch nicht, da wir in einer Gesellschaft leben in der die Arbeit verteilt wird auf Menschen die sich auf bestimmte Bereiche spezialisieren, diese Leistungen anderen zur Verfügung stellen und in Form von Geld untereinander vergüten. Jemand der meint jeder müsse wissen wie das Internet aufgebaut ist und welche speziellen Gefahren im Detail lauern wenn man seinen Browser anwirft kann sich demnächst auch selbst den Blinddarm opperieren (Schlieslich benutzt er seinen Körper auch jeden Tag).
Die Äusserung eines Anbieters von Internetdiensten das private Daten seiner User bei ihm sicher wären, keine Verschlüsselung zu verwenden sondern “security by obskurity” zu betreiben ist meiner Ansicht nach grob fahrlässig vor allem wenn er explizit darauf hingewiesen wird.
Das wiederholte publizieren von Sicherheistmängeln ist durchaus ein angemessenes Mittel um den Betreibern Druck zu machen entsprechende Sicherheit zu Implementieren, da der Gesetzgeber dazu scheinbar nicht in der Lage ist eine entsprechende Richtlinie zu erlassen und lieber die Programierung, Weitergabe und Anwendung von Tools für Sicherheitsprüfungen unter Strafe stellt um deutschen IT-Spezialisten die Möglichkeit zu nehmen sich gegen Angriffe aus einem Weltumspannenden Netz abzusichern, inkl. Ländern die für solche Delikte sowiso keine Strafen vorsehen oder denen die Sicherheit der deutschen IT am A… vorbei geht weil sie ganz andere Probleme haben, schraubt dann an anti Terror Gesetzen die Konzernen die Taschen voll machen, nicht mehr als eine imaginäre Sicherheitsatmosphäre schaffen und verschärft damit noch eine sich abzeichnende Bewegung in eine Gesellschaft ala “1984”.
MfG :)
So ein Schwachsinn !
“seit Januar 2005 ist die TkÃœV (Telekomunikations Ãœberwachungs Verordnung) in kraft, was bedeutet das alle Telekomunikationsanbieter vom Gesetzgeber gezwungen werden die Metadaten ihrer Kunden zu speichern, was bei einem ISP bedeutet das anhand dieser auch die WebINHALTE nachvolziehbar sind.”
Hast Du Deine Tabletten nicht genommen, oder bist Du nur ein dummer Troll ?
@all:
“kumpelfilzchen” erzählt SCHWACHSINN
Die von ihm benannte “TkÃœV” ist entweder ein missglückter Satireversuch, oder er ist wirklich nicht bei Sinnen.
Die von ihm erwähnten Verpflichtungen für Provider gibt es defintiv noch nicht.
Er behauptet, es sei schon seit 2005 der Fall – also entweder hat sein Therapeut versagt, oder ich war in einen monatelangen Dämmerschlaf verfallen.
@Don:
Lösche bitte diesen Schwachsinn, der manch unbedarften Leser sicher unnötig verwirren dürfte.
Nix gegen eine Diskussion über die geplante Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung (die wir sicher noch ausführlicher zu diskutieren haben werden), aber hier und in diesem Zusammenhang könnte ein solches Posting eines Cyberspace-Maniacs unnötige, da unsachliche Verwirrung stiften.
@ Ein Interessierter
Du solltest dich besser infomieren. TKÜV ist kein Witz sondern bittere Realität
http://www.heise.de/newsticker/meldung/72439
Was soll das werden? Zensur?
Die “TkÃœV” ist seit Januar 2005 beschlossene Sache, die technische Umsetzung ist Momentan noch in Arbeit das ist wahr, dafür kann schon auf die meistens 3 Monatige Speicherung der ISPs zurückgegriffen werden und die Sina Boxen zur Contentüberwachung sind auch umgesetzt.
Contentüberwachung für bedarfsanfordernde Stellen, wir wollen ja keine Fehlinformationen streuen. ;)
Mal ernsthaft, Ihr alle: Spätestens ab Kommentar 30 klinken sich die meisten aus, und das hier ist Kommentar 329. Das ist offen gesagt fast schon so privat wie Email.
@Hans und kumpelfilzchen: also seit Januar 2005 sind, ich zitiere gerne nochmal, “alle Telekomunikationsanbieter vom Gesetzgeber gezwungen die Metadaten ihrer Kunden zu speichern”.
Das ist Bullshit.
@Hans:
Du ahnst nicht, wie gut ich informiert bin. Deshalb lege ich auch soviel Wert darauf, nicht das zu vermischen, was angedacht/geplant (und noch lange nicht rechtskräftig ist), mit dem, was noch kommt. Kannst Du mir soweit folgen ?
Rumpelfilzchen hatte eben noch behauptet, das sei seit Januar 2005 schon Vorschrift. Und das ist einfach falsch. Siehs doch ein…
@rumpelfilzchen:
“noch in Arbeit, das ist wahr”.. warum schreibst Du dann erst, dass es seit Januar 2005 schon gültig war ???
“Meistens dreimonatige Speicherung der ISPs”. aha… und die speichern also schon die berühmten “Metadaten”, von denen Du ursprünglich erzählt hast ?
Die 90-Tage-Speicherung beinhaltet ausschließlich die Verbindungs-, sprich IP-Daten. INHALTE werden noch nicht gespeichert.
Und die wohlkligenden Boxen, die nach Deiner Aussage nun umgesetzt sind, mögen nett sein – rechtsŽmäßig sind sie noch nicht.
Wenn Du mit Deinem Post auf die kommende Umsetzung der EU-Richtlinie zur TK-Datenspeicherung aufmerksam machen wolltest, dann isses prinzipiell okay. Aber mache aus Eifer nicht den Fehler, irgendwas zu behaupten, was noch nicht Realität ist.
Es ist schon richtig das die Richtlinie noch nicht umgesetzt ist, ich wollte nicht ganz so weit ausschweifen ;)
Dafür das die Boxen noch nicht “rechtsmäßig” sind, haben aber schon etliche Mailanbieter richtig investiert.
Wenn es interessiert, hier ist ein Vortrag zur TKÃœV einer Vertreterin der Internetwirtschaft.
http://chaosradio.ccc.de/ds2005-338.html
von 2005-05-08
Dort wird auch die Aussage getroffen:
“Um diese Investiotionen wieder einzuspielen haben die ISPs vorgeschlagen durch Datamining die über die User gewonnen Informationen offiziell komerziell zu verwerten.”
Für Interessierte. :P (Spässle)
Ich suche auch gerne noch mal für meine anderen Aussagen Material zur Recherche.
n8
Hallo Don,
danke für deine Nachricht. Ich werde trotzdem bei StudiVZ angemeldet bleiben, da es für mich mehr Vor- als Nachteile bietet (Leute wiederfinden, die man Jahre nicht mehr gesehen hat, etc).
Ich habe allerdings jetzt alle Daten dort gelöscht, von denen ich nicht will, dass sie jedem zugänglich sein könnten, nicht nur meinen Freunden.
Hatte eigentlich eh nur welche dort, die nicht geheim waren, bis auf die Handynummer.
Trotzdem danke für den Hinweis, hat meine Auffassung bestätigt, streng geheime Daten sowieso nicht übers Internet weiterzugeben, egal wo.
MfG,
Anja
also. nach längerer Recherche und rumbasteln… die kryptisch aussehenden Zeichen sind verschleierte laufende Nummern. die Funktion wird offenbar sowohl für die Album-Ids, die User-Ids und als Teil der Dateinamens bei Bildern verwendet. die Erreichbarkeit von Alben unter mehreren Album-Ids bedeutet wohl das das Script, welches die Album-Id auf die laufende Nummer zurückrechnet und eine zur Verschleierung hinzugefügte Zufalls(?)zahl herausrechnet.
die vierstellige Zahl des Bilddateinamens dagegen scheint eine echte Zufallszahl zu sein, die im Bereich 1000-8999 liegt.
kurz: alles was uns hier als ‘nicht in endlicher Zeit ratbar’ verkauft wird, reduziert sich auf eine verschleierte fortlaufende Zahl (wenn man eine Zahl bestimmt hat, weiss man das später entstandene Alben oder Bilder eine höhere laufende Nummer erhalten haben) und eine vierstellige Zufallszahl, was in der Summe die Sicherheit der Bilder (mal abgesehen von den gestern aufgedeckten Sicherheitsproblemen) auf einen Level bringt der geringer ist als beim PIN-/TAN-Verfahren, dort wird wenigstens der komplette Zahlenraum von 0000-9999 ausgenutzt und beim dritten Fehlversuch ist man gesperrt.
PS: genauere Informationen werde ich aus naheliegenden Gründen nicht geben,
Ich denke, der Grund, dass dort kein Script mit Session ID Überprüfung vorgeschaltet ist, liegt einzig allein an der Performance. Hat hier jemand ne Ahnung, wie lange es dauert, 10000 Möglichkeiten auf studivz auszuprobieren? Die Mühe macht sich keiner für ein Bild dessen vermeintlichen Inhalt man nicht kennt. Die Inhalte sind nicht so unsicher, wie hier dargestellt wird. Wer weiß denn schon, welches Bild denn wirklich interessant ist?
Vielleicht noch eine Ergänzung: Bilder, die niemanden etwas angehen, sollte man nicht veröffentlichen. Spätestens die Adminstratoren von studivz können diese Bilder sehen. Das ist aber kein spezielles Problem von studivz.
Ihr Imageserver ist ein Datenleck
Eine monstergefährliche Sicherheitslücke bei StudiVZ wird derzeit als Sau der Woche durch Kleinbloggersdorf getrieben. Was passiert?
StudiVZ betreibt einen Webserver für dynamische Anwendungen und einen zweiten Webserver für statische Daten, zum Beispi
Was soll StudiVZ nach Deiner Meinung tun? Wenn man Deinen Feldzug gegen sie liest, wäre die einzige Möglichkeit: sich erschießen. Wäre Dir das radikal genug?
NA und Tobias, wie Ihr seht: Wir hätten gerne eine valide Email von Euch. Nicht weil wir sie verkloppen, sondern wegen des hohen Trollaufkommens. Ich gehe wieder dazu über Leute ohne valide Mail zu löschen – das als Warnung.
NA, es gib t Programme, die machen ein paar tausend Abfragen in einem Zeitraum, der weitaus kürzer ist das die Zeit, die ich hier mit dem Schreiben verbringe.
Tobias, die Leute müssen selbst wissen, welche Konsequenzen sie ziehen. Sie sind alt genug, ihre Nutzer über die Investoren, die Sicherheit und andere Dinge zu belügen, also sollten sie auch alt genug sein, zu ihren Verhaltensweisen zu stehen. Ein Blick in die Wirtschaft und die Politik zeigt durchaus, dass es da Wege gibt, die nicht im Selbstmord enden.
@333
Ein Anfang – leider zu spät, denn wie weit(er) oben schon beschrieben kann man sich nicht sicher sein, dass diese Daten auch gelöscht sind und nicht nur nicht angezeigt werden. (Was bei Bildern zumindest nachweislich der Fall ist.)
Denn wenn ich (als fiktiver Betreiber) die Datensätze mal verkaufen wollte wäre ich schön blöd auf eine Handy# zu verzichten.
Bilder sicher vom Webserver ausliefern
Aus aktuellem Anlass:
Isotopp weist darauf hin, wie man Bilder sicher ausliefern kann, ohne seine Benutzerdatenbank belasten zu müssen: lighttpd ModSecDownload
Gibt es Seiten bzw. Social-Networks, wo dies NICHT möglich ist?
Aber die Verschlüsselung funktioniert doch ganz gut, oder?
Also ich hab in obigen Links mal ein paar Buchstaben und Zahlen verändert, und dabei kein anderes Bild gefunden.
Man muss doch den Link kennen, um ihn von außerhalb aufzurufen. Und dazu wiederrum muss man fähig sein, diesen Link einer Quellcode-Seite aus dem StudiVZ zu entnehmen. Und dazu braucht man Zugriff auf die Seite…
Nicht, dass ich nicht mittlerweile auch sehr skeptisch bin (meine Adressdaten hab ich fast gleich nach dem Eintragen wieder gelöscht…), aber hier wird jetzt glaube ich ein wenig zu sehr Angst geschürt…
Ihr ganzen Leute: Lest erst mal die Diskussion, bevor ihr hier das 124. Schwachsinnsposting mit dem gleichen Müll ablaiocht – sorry, wenn ich das so hart sage, aber langsam zweifle ich an der Rezeptionsfähigkeit mancher hier aufschlagender Textabsonderer. Es geht nicht um drei händisch eingegebene URLs, das ist klar, es geht um die Möglichkeit, auf geschützte Bilder zuzugreifen
@Don: Ja, die theoretische Möglichkeit, auf geschützte Bilder zuzugreifen. Aber der Rateaufwand ist doch enorm. Sicherlich in einem ähnlichen Aufwandsrahmen, wie jemand die PIN (nicht TAN) zu meinem Konto erraten könnte und so an meine höchst privaten Kontostände käme. Theoretisch ist dies genauso möglich, durch einfaches raten eben.
Gibt es denn einen technischen Nachweis, wie man bei StudiViz bei einem beliebigen Nutzer a) dessen “geheime” Alben und b) die Namen der darin enthaltenen Bilder in endlicher, erlebbarer Zeit herausbekommt?
Solange das nicht der Fall ist, sehe ich in dem ganzen hier nur den oben angesprochenen “Scheiterhaufen 2.0 beta” und es bleibt der Verdacht, dass dies hier einzig ein Propagandafeldzug aus privaten Abneigungen ist.
Erfahrene IT-Experten haben rumprobiert, ja, es geht, weil sowohl die Alben als auch die Bilder sehr unsauber verschlüsselt sind, egal ob sie offen oder versteckt sind, aber nein, ich erkläre das jetzt nicht technisch. Du kannst ja Porschekiller fragen. Über diesem Beitrag steht ein Update, da kannste Dir gern eine Meinung bilden. Oder auch nicht.
HINWEIS: Nachdem hier in letzter Zeit nur noch Wiederholungen längst durchdebattierter Sachen reinkommen und das Laden der Seite dauert, mache sich bitte jeder klar, dass ich hier rigoros jeden weiteren Schwachsinn von Vollhorsten lösche, die irgendwie meinen, es reicht, hier seinen pbem schon mehrfach nachzulesenden Sums abzulaichen, ohne vorher mal in die Kommentare und andere Artikel zum Thema geschaut zu haben.
Dies Type verhalten sich ja wie Mitglieder irgendeiner Psychosekte: “Hört auf, unseren Meister schlecht zu machen!!!11!”
Und kippen dann irgendwelche nichtverstandenen, nicht zu Thema gehörenden Rechtfertigungen hier ab.
@290
ich weiß es ist total verspätet. aber man kann die freundesliste auch von geschützten seiten völlig regulär abfragen. dazu muss man nicht mal irgend welches c&p machen. nicht das ich diese vorgehensweise gut oder sinnvoll fände, aber das ist einfach ne designschwäche. pinwand und gruppen eines “geschützen accounts” konnte ich mit ähnliches mechanismen nicht so einfach sehen.
Weihnachtskarten II – StudiVZ
Und noch eine Weihnachtskarte. Diesmal vom Customer Of Hell:
Hey. Die Naziverherrlichungen gingen ja noch, aber bei dem was ich mittlerweile lesen muss wird mir echt schlecht. Jetzt werden schon weibliche Communityteilnehmer ge-stalkt und unlautere Gr…
Krisenmanagement bei StudiVZ
StudiVZ hat ein Problem. Sie sind erfolgreich. Aber sie sind nicht erfolgreich, weil sie sich selber ein gutes Produkt ausgedacht haben und dieses erfolgreich vermarktet haben sondern weil sie ein erfolgreiches Produkt aus den USA kopiert haben und damit
Seit über 10 Jahren gehört es zum Stand-der-Technik, daß es ein böses Sicherheitsvergehen ist, wenn man Seiten/Dateien mit vertraulichen Informationen, die nicht jeder sehen soll, ungeschützt vom Internet aus abrufbar macht. Denn ein Schutz durch “schwer zu erratene” URLS ist kein tatsächlicher Schutz. Wer etwas anderes behauptet (Internet und Programmier-Anfänger machen das gerne regelmäßig), versteht leider nichts von der zugrundeliegenden Technik.
Und wenn bei StudiVZ sowas anscheinend mit Bildern (die nicht vom User öffentlich freigegeben werden, und die sehr persönliche Dinge enthalten können) gemacht wird, dann ist das grob fahrlässig von StudiVZ und die Programmierer müssen ziemliche Stümper gewesen sein.
Da nützt alles Lamentieren und Beschwichtigen nichts.
Studivz – trügt der Schein?
Nach dem ich vor gut 5 Tagen dem StudiVZ eine gute Kritik gegeben habe (http://blog.stvc.de/admin/2006/11/20/studivzde-studiverzeichnis.stvc), so muss ich heute diese Meinung revidieren. So ist mir durch das lesen von sehr sehr vielen Blogbeiträge…
haha!
Security by Obscurity
Nachdem dieses aufgedeckt wurde, behauptet der Datenschutzbeauftragte von studiVZ jedoch weiterhin
So sollte eine Community nicht funktionieren
Dieser Blogeintrag wird eine ungeordnete Zusammenstellung aller möglichen Links, die ich rund um die Probleme bei StudiVZ finde:
Was war. Was wird (1)
Was war. Was wird (2)
Was war. Was wird (3)
(Heise) Datenleck beim StudiVZ?
(Heise) Weiter Wi…
Shit, und ich habe auch noch ihne Ende Werbung für studivz – Seite gemacht. Jetzt haben wir im Freundeskreis eine Gruppe da, und wenn einer abspringt ist direkt die Gruppengründerin dabei Fragen zu stellen: “Warum denn das?” (*göbel*) Dabei ist nicht nur die Sache mit den Fotos ein Problem, sondern auch das:
Studiverzeichnis soll wohl für personalisierte Werbung genutzt werden, weil man Akademikern ja nicht so einfach was unterjubeln kann wie dem gemeinen Prollasi, der den ganzen Tag vor der Glotze hängt und Talkshows guckt.
Das macht mich jetzt alles so extrem wütend!
Ich weiß nicht was diese ganze Diskussion um Datenschutz in diesem konkreten Fall in der Presse zu suchen hat. Meiner Meinung wird da wieder ein rießen Hype um Nichts gemacht. Als ob gleich Morgen meine Kreditkartennummer, meine Kontoumsätze der letzten 5 Jahre, meine Einkaufsgewohnheiten usw. auf der Titelseite der FAZ veröffentlicht würden! Hallo??
1.) Was denn bitteschön für “private” Daten? Wie ich heiße wissen ungefähr tausend Leute, wo ich studiere auch, was ich studiere ebenfalls. Meine Handynummer haben ca. 500 Leute, ganz zu schweigen von meiner eMailadresse. Wenn Jemand damit Unfug treibt, kann ich immer noch dagegen klagen. Die rechtliche Grundlage dafür gibt es in D., daher sollte es auch gar nicht erst soweit kommen.
2.) Wenn ich ein Bild ins Internet stelle, auch wenn es im angeglich “sicheren” Bereich ist genügt der Erstbeste Idiot, der Zugriff auf das Bild hat, es herauskopiert und woanderst im Inet veröffentlicht. Das ist wirklich nicht neu. Solche Warnungen kann jeder User zig-mal in Computerzeitschriften nachlesen. Die “Sicherheit” der Internets ist und war schon immer eine trügerische Illusion.
3.) Eine Gruppe pubertierender Männer mit Interesse an hübschen Frauen mit Stalkern zu vergleichen, die ihre Opfer mit Gewaltandrohung bis hin zu Mord stressen, ist völlig überzogen und entbehrt jeglicher Grundlage. Es ist völlig in Ordnung wenn man in einer Gruppe diskutiert wer das hübscheste Mädel ist. Das einzige was fehlt, ist eine Funktion im StudiVZ um sich vor übermäßigem Gruscheln zu schützen.
4.) Nur weil ca. 700 Leute sich in einer Gruppe vergnügen muss man nicht gleich das gesamte StudiVZ runtermachen. Dort gibt es mittlerweile über eine Million User. Die Presse hat hier mal großzügig aufgerundet.
5.) Natürlich ist Datenschutz wichtig und eine Plattform sollte möglichst nicht hackbar sein. StudiVZ sollte alles unternehmen um die Sicherheit der Profile zu schützen. Dennoch ist die Situation, auch mit den vermeintlich “unsicheren” Profilen lange nicht so dramatisch wie hier und in der Presse dargestellt. Sollen sich doch irgendwelche Leute mein Profil ansehen. Und? Was haben die dann davon? Ich hätte für so etwas keine Zeit.
Mal ein bisschen auf dem Boden der Realität bleiben Leute!
Grüße Hans
Nachtrag:
und welche Weltansichten der Gründer des StudiVZ hat – ob richtig oder falsch – muss mich als simpler User nicht im Geringsten stören. Wenn überhaupt, dann hat das die Gesellschafter und Investoren der Firma zu stören, die sich um deren Image in der Öffentlichkeit Sorgen machen. Gut, was wird im schlimmsten Fall passieren? Geschäftsführer wechseln. Punkt. Mich als User interessiert die Seite und deren Funktion. Wer dahinter steckt und was die von dieser Welt halten kann mir im Grunde völlig egal sein.
Als ob ich zunächst 3 Jahre recherchieren gehe was denn so mein Bankberater für eine Weltanschauung hat bevor ich bei ihm eine Versicherung abschließe!
Gruß Hans
Hans, klar, man kann sich die Realität immer zurecht biegen, aber es gibt ein Recht auf Berichterstattung in diesem Land. Wenn Du für Dich andere Schlüsse ziehst, bitte, kein Problem. Lustigerweise gibt es halt jenseits der StudiVZ-Junkies eine ziemlich deutliche Meinung, der sich nicht nicht mal die Investiren von StudiVZ verschliessen wollen.
StudiVZ-Junkies – ist gut, übrigens
@supatyp (#360)
Na ja, sooo lustig ist das gar nicht. Ja, da sind Junkies unterwegs. Im Wortsinne, nicht als Metapher.
Ich schau die Tage ab und zu in das Blog von StudiVZ – und es nötigt mir ein gewisses schauderndes Interesse ab, wie wenig bemäntelt da Leute ihre Sucht offen zur Schau stellen.
Nur: Die sind alle ziemlich ins Knie gefickt. Denen da drinnen sind die da draußen zu Hunderten an der Tür bummern doch scheißegal. Die haben andere Sorgen.
Das ist wirklich wie in der Dealerszene: Wenn die Drogenfahndung vor der Tür steht, hat der Dealer andere Interessen, als sich um seine Kunden mit’m Turkey zu kümmern. Da lernt der “Kunde” dann, was er für seinen Dealer ist: Ein Stück Scheiße, gut genug um abgemolken zu werden – aber ein Problem, wenn die Basics des Geschäfts auf dem Spiel stehen.
Aber der Junkie ist halt wenig lernfähig in seiner emotionalen Ausnahmesituation …
Ihr habt doch alle nen Schaden….
Wer ist hier der Junkie??? die leute aus dem VZ oder ihr mit eurem datenschutz-verfolgungswan
achso und wie sicher sind meine (OK nicht meine aber egal) Daten die ich bei euch hier angegeben hab, um diesen Kommentar abgeben zu können.
Ich sag immer: “Das Internet sind nur ein paar doofe Leitungen und en Haufen dummer Computer, die über den Erdball verteilt sind. Was man daraus macht muss jeder selbst entscheiden.”
Wer seine Pornobilder beim VZ reinstellt is doch selber schuld, dazu ist es nicht gedacht!
Obi Verfolgungswan Kenobi?
leute, die bei studivz bilder von sich beim ficken oder kiffen hochladen tun mir leid. leute die sich darüber das maul zerfetzen noch mehr. habt ihr kein eigenes leben? wer nicht sorgsam mit seiner privatsphäre umgeht ist halt selbst schuld wenn er damit auf’s maul fliegt. aber was kümmert uns das bitte? von mir aus könnte man alle lesben, kiffer und stricher von studivz und euch alle in einen großen sack stecken und…
Pilgervater: Mir tun Leute leid, die anderen vorhalten kein Leben zu haben. Ekelhaft hingegen finde ich Menschen, die sich mit Floskeln wie “selbst schuld” von ihren vermeintlich dümmeren Mitbewerber am Arbeitsmarkt abgrenzen zu versuchen. Und schreib nicht “uns”. Danke.
Aber was will man auch von jemandem erwarten, der “Lesbe” und “Stricher” denunzierend verwendet?
@ Hans:
zu 1. Was man aus den privaten Daten alles machen kann, weiß der größte Teil der Studis wohl genauso wenig wie Du! Manipulationsversuche über personalisierte Werbung, ggf. Jobkiller-Erfahrungen wenn sich der Personaler einer möglichen künftigen Firma eben genau solche “harmlosen” Daten zu nutze macht… Das sind nur zwei naheliegende Optionen, über die selbst ich als Laie bisher gestolpert bin. Genauso gut lönnte man fragen warum Telefonnummern im Zeitalter von CallCentern so wertvoll sind oder warum Marktforschungsunternehmen und ganze Studiengänge sich damit beschäftigen aus genau solchen harmlosen Daten Zusammenhänge in Bezug auf das Verhalten/Denken/etc. einer Person heraus zu kristallisieren. Wären die Daten so harmlos, wären sie denen, die sie zu nutzen wissen, nicht so viel Geld wert!
zu 2. der 08/15-Studi von heute kennt sich mit den Möglichkeiten Daten zu schützen oder eben auch nicht sicherlich nicht wirklich aus. Sämtliche Bekannte, die ich bisher auf das StudiVZ-Problem angesprochen habe, verstehen den Angriff auf ihre Privatsphäre gar nicht. Auch ich habe vom IT-Hintergrund keine Ahnung. Aber, so wie ich erwarte, dass ein Herd den ich kaufe auch so funktioniert wie es drauf steht, muss ich das auch bei allen anderen Produkten können. Wenn StudiVZ behauptet, die Daten seien im Privat-Bereich sicher, dann muss es auch so sein. Wenn einem Produkt Eigenschaften zugeschrieben werden, die es – offensichtlich und dem Hersteller bewusst – nicht erfüllt, ist das sogar unlauterer Wettbewerb. Dagegen kann man zumindest auf Unterlassung auch klagen. Also: Hat sich was mit “banal” oder “Panikmache”
zu 3. die User des StudiVZ sollten – zumindest dem Namen nach – die Pubertät längst hinter sich haben. Zum Thema Stalking kann ich nur sagen: das funktioniert gerade deshalb so gut, weil die Opfer keiner Ernst nimmt und die Bedrohung häufig lange nur für den Betroffenen nachvollziehbar ist, nicht aber für jemanden, der das noch nicht erlebt hat. Wer also solche Aktionen herunterspielt, ebnet den Tätern noch den Weg. Glücklicherweise wird das zunehmend erkannt, deshalb auch kürzlich eine Änderung der Gesetzeslage in Bezug auf Stalking. Dank StudiVZ besteht für Stalker nun die Möglichkeit, dank Infos über belegte Veranstaltungen, Fotos, Adressen etc. sich ihre nächsten Opfer quasi “online zu bestellen” bzw. zumindest auszusuchen. Zumindest wenn er Grundwissen im Bereich IT hat. So etwas darf nicht möglich sein! Und es eine Sache, wenn solche Sicherheitslücken aus Versehen passieren. Das aber Gründer um eine Mitgliedschaft in den Stalking-Gruppen bitten, wenn sie darüber informiert werden, anstatt die Gruppe und ihre Mitglieder von der community auszuschließen, hat noch einmal eine ganz andere “Qualität”.
zu deinem Nachtrag: Natürlich habe auch ich nicht die Zeit, bei jeder Dienstleistung die ich in Angriff nehme vorher zu checken wer dahinter steckt. Aber spätestens wenn ich gewisse Mentalitäten/Neigungen der Macher erfahre, kann ich nicht länger behaupten, eine weitere Nutzung des Angebots betreffe mich nicht. Wenn es mich nicht kratzt, dass der Dariani etwas Lustiges an Symbolen und Machenschaften des NS-Regimes findet bzw. ihm zumindest die Sensibilität für dieses Thema fehlt, o.k., dann kann ich StudiVZ weiternutzen. Aber ich kann nicht behaupten, dass diese Entscheidung nichts über mich aussagt. Ich für meinen Teil möchte und werde nicht länger dazu beitragen, dass sich ein Typ mit faschistoiden Zügen eine Goldnase an mir verdienen kann! (so weit ich weiss, steigt schließlich der Wert der Plattform mit der Anzahl der registrierten Nutzer, gelle?) Wenn ich also weiss, wer da an mir verdient und nichts daran ändere, dass er an mir verdient, dann bin ich entweder völlig ignorant oder es ist für mich ok, dass so einer sein Geld mit mir verdient!
So, nun noch mal allgemein: Ich bin selbst erst sehr spät über die tatsächlichen Problematiken mit StudiVZ gestolpert. Gäbe es Bloggs wie diesen nicht, hätte ich das ganze wohl auch weiterhin gut geheißen. Seit mir aber klarer wird, was das ganze bedeutet (allgemein und für mich persönlich) ist mir nur noch schlecht. Würd mich mal interessieren unter welchen Aspekten man die Macher tatsächlich auch verklagen oder anzeigen könnte. Auf alle Fälle erstmal vielen Dank an euch Wachsame!!! Vor allem an die, die mit beigetragen haben, dass sich die Presse auch damit beschäftigt hat! Es ist erschreckend, wie naiv – und da nehm ich mich nicht aus – selbst die gebildeteren Menschen an solche Dinge heran gehen. Und noch viel erschreckender ist, dass nicht nur Sicherheitslücken bestehen, sondern vor allem, dass die Verantwortlichen nichts dagegen unternehmen, nur Opium fürs Volk verteilen und somit sogar den missbrauch ihrer Community unterstützen!
@ bunny
Ich denke inzwischen, wir haben es hier teilweise mit Süchtigen zu tun.
“Aber spätestens wenn ich gewisse Mentalitäten/Neigungen der Macher erfahre, kann ich nicht länger behaupten, eine weitere Nutzung des Angebots betreffe mich nicht. …
Ich für meinen Teil möchte und werde nicht länger dazu beitragen, dass sich ein Typ mit faschistoiden Zügen eine Goldnase an mir verdienen kann! (so weit ich weiss, steigt schließlich der Wert der Plattform mit der Anzahl der registrierten Nutzer, gelle?) Wenn ich also weiss, wer da an mir verdient und nichts daran ändere, dass er an mir verdient, dann bin ich entweder völlig ignorant oder es ist für mich ok, dass so einer sein Geld mit mir verdient!”
Ich fürchte, den Junkies ist es auch egal, ob ihr Dealer charakterlich deformiert ist. Es ist ihnen auch egal, dass der Dealer damit ordentlich Geld verdient, während sie nur verlieren. Den Junkie interessiert am Dealer nur, dass er sie zuverlässig mit Stoff versorgt. Und das ohne Pause.
Wenn man in der Zeit, als der Drecksladen down war, das Forum verfolgt hat, dann sieht man ein eindeutiges Junkiemuster: “Hey, Dealer, es ist mir egal, was du für ein Schwein bist. Besorg mir den Stoff! Alles andere ist mir egal.”
Erschrecken, sowas.
Hat sich daran denn jetzt was getan? Sind die Probleme behoben?
Sorry. Frage natürlich bezüglich des Topics. Das Suchtverhalten der User tangiert mich recht wenig.
warum funzt das denn immer noch?!
Ich will jetzt endlich die Lesben sehen!!!
[…] Gleich zu beginn darf ich garantieren, dass ich mich ganz sicher nicht in die angeblich geschützten Fotoalben anderer hacken verirren werde oder der lästigen Gruppe von Stalkern beitreten werde. […]
[…] StudiVZ und kein Ende: Alle Eure Bilder liegen in diesem Moment frei im Internet herum, es ist spielend leicht, an sie heranzukommen, und dieser Umstand ist so offensichtlich, dass er bei StudiVZ auch bekannt sein muss. Das ist nicht so, als ob man eine Tür offen stehen lässt und jeder rein kann – hier hat ein Haus einfach keine Wand. Es ist kein Hack, kein Geheimnis, kein Eindringen. Jeder kann hingehen und sich ein paar Millionen Bilder besorgen, vom Nutzerbild bis zum privatesten Photo. Und zumindest teilweise zuordnen. […]
Leute eure Kommentare in allen Ehren, es gibt keine Ausreden für den nicht vorhandenen Datenschutz im studiVZ aber es wird sich wohl nichts daran ändern wenn selbst der Chef-kopierer *ähem* -programmierer nicht dazu bereit ist, über die Funktionen des kopierten *hüstel* programmierten Codes nachzudenken. Es gibt schon längst zahlreiche Seiten im Netz die von Robots zusammengetragene Daten und Statistiken über studiVZ-Profile frei auflisten und selbst an die Robot-Skripts kommt man ohne größere Schwierigkeiten. So schade es ist, aber dieser Tatsache sollte man sich bewusst sein, wenn man seine Daten ins Netz *ähem* studiVz stellt. Nichts davon gewusst zu haben wird spätestens dann unglaubwürdig wenn man dazu aufgefordert wurde sich (nach einem der zahlreichen Hacks in der Vergangenheit) ein neues password auszudenken (immerhin mit dem bekennenden Hinweis eines zu wählen dass man nirgens anders verwendet). Demnach müssen sich die (Chef-) Programmierer auch dreisterweise zweifelsohne darüber im klaren sein, dass der Schund den sie verzapfen eine Menge Sicherheitslücken aufweist, ohne dazu bereit zu sein, auf die zahlreichen Hinweise auf selbige angemessen zu reagieren. Dass immer erst etwas schiefgehen muss bis zumindest minimale Einsicht diesbezüglich aufkommt ist wirklich einfach nur schade…
[…] Illusionen über den Schutz der Daten, die man bei Online-Communities eingibt, braucht man sich nicht machen. StudiVZ erklärte ja unlängst, wie sicher die Daten bei ihnen seien. Diese Aussagen kann man getrost als veraltet ansehen. […]
Am interessantesten sind ja die Gruppen in denen User Nacktbilder der Userinnen tauschen.. ja auch das ist wieder möglich :-( Aber ist ja alles kein Problem.. Was wollen die mit meinen Daten!? Meine haben sie jedenfalls nicht :-P
…na dann könnt ihr mir vielleicht ja auch helfen…
ich hatte mal einen studivz account mit bildern eingerichtet… habe diesen dann gelöscht!
Problem ist nur: paar Tage später ist meine Festplatte kaputt gegangen und alle bilder sind futsch…
Studivz angeschrieben, doch da war nix zu machen…
Komm ich trotz eines gelöschten Account noch an meine bilder ran??
…na dann könnt ihr mir vielleicht ja auch helfen…
ich hatte mal einen studivz account mit bildern eingerichtet… habe diesen dann gelöscht!
Problem ist nur: paar Tage später ist meine Festplatte kaputt gegangen und alle bilder sind futsch…
Studivz angeschrieben, doch da war nix zu machen…
Komm ich trotz eines gelöschten Account noch an meine bilder ran??
LG agnes
[…] Ich hab mir sowas schon länger gedacht. Die ganze Sozialisierung vom Web2.0 ist zwar schön und gut. Aber das kann natürlich auch nach hinten losgehen. Es gab ja nicht nur einen S k a n d a l um StudiVZ. Dennoch wird diesem jungen (oder inzwischen altem?) Web2.0 Start-Up viel Vertrauen entgegen gebracht und die deutschen Studenten gruscheln munter weiter. Nur: Wo soll das denn hinführen? […]
Dieses Internetportal macht leider immer wieder Schlagzeilen und immer wieder sind Frauen davon betroffen. So ist neueste Marketing Aktion mit einem unmöglichen Namen verbunden: “Frauen schei**en nicht”. Sehr unpassend
Die Menschen, die ihre Fotos im Internet hochladen (nicht nur auf StudiVZ) sollten immer daran denken, dass sie nicht sicher sind!
Der wie vielte GAU ist das eigentlich?
Sorry, ich sehe das Problem nicht: Das auffinden der Bilder ist viel zu umständlich und kann auch nicht ohne weiteres meiner Person zugeordnet werden.
Viel mehr Gedanken würde ich mir über die Bilder aus der Jugendzeit machen, die mich mit Sportzigarette, total betrunken irgendwelchen Schabernack treibend zeigen. Man beachte nur die Inflation der Digicams. Denn von jemanden, der böswillig (Ex-Freund, Ex-Freundin, entfernter Bekannter, Feind) mir durch gezieltes (!) in Umlauf bringen solcher Fotos schaden will, dann ist das viel leichter zu realisieren als durch Brute Forcing eines WWW Servers… Wer hat nicht solche Fotos von Freunden, Bekannten oder Fremden schon aufm Rechner?!
[…] Ursprünglich war dies ein sehr kurzer Eintrag zur Sicherheitsproblematik bei Deutschlands umstrittensdem Studenten-Netzwerk: Studenten Deutschlands, löscht Eure Bilder! […]
Kann mir jmd. beantworten bzw helfen, wie ich Bilder von Studi-Mitglieder sichtbar machen kann, die “unsichtbar” meine Seite gesehen haben. Die Leist unten auf der Startseite zeigt die User an, die sich als sichtbar eingetragen haben und die Seite besucht haben. Ich möchte aber gerne auch diejenigen sehen können, die unsichtbar bei mir zu Besuch waren. Geht das irgendwie. Ich dachte ich würde es hier am ehesten finden, wahrscheinlich habe ich es aber überlesen.
[…] This morning Don Alphonso reported that StudiVZ has a huge data leak – which seems to be the next big problem in the StudiVZ history. The images are saved on a different server and have public access – despite the StudiVZ announcement that data privacy is ensured. Even more, their competitor and potential buyer Facebook.com reveals the same security leak which fuels speculations about identical program codes and ongoing co-operation. If you go to StudiVZ.net and sign up, you can see the picture galleries of other users – unless they have changed their settings and only their immediate friends can see their galleries. If you have a look at a person’s picture and you want to save it by right-clicking on the picture, all you get as a response is: “http://www.studivz.net/images/space.gif” – which is an empty picture. […]
[…] Second stage: illussion. Okay, maybe I have a problem. But the problem is not that big. If somebody wants to enter my place, they have to knock on my door for a million years. It’s almost as safe as the bank tresor in which I put the money that I get from selling my place. Will they believe that? Yes, sure. They are not mathematicians. Yet maybe … maybe it is actually quite easy to get in. And maybe I have not understood how a Bank Tresor works. Maybe a normal bank tresor does not allow to try to knocking on its doors for a million years. Or even less. New stage. […]
[…] Data leaks recently discovered in StudiVZ and Facebook have the same structure. In both communities it is fairly simply to retrieve the uploaded pictures of users (see details below see my this recent article, see Jörg-Olaf Schäfers (I),Jörg-Olaf Schäfers (II) Don Alphonso (I) Don Alphonso (II), see the response of StudiVZ here) […]
Wie schön, dass du jetzt jedem nochmal erklärt hast wie man es macht.
Ich bin der Meinung, dass jeder selbst angeben kann was er möchte und somit seine Privatsphäre selbst Stück für Stück Preis gibt.
Wenn ich keine Nacktbilder von mir im Netz haben will lade ich sie nicht hoch! Wenn ich nicht gefunden werden möchte gebe ich nicht meinen richtigen Namen an! (gibt genügend die es tun)u.s.w.
Und wenn alles sowieso scheiße ist, dann melde ich mich da ganz ab!
Bilder und Links von mir kann ich löschen bzw. melden.
Daten werden übrigens auch in anderen Socialnetworks geleaked – und das gar nicht so selten.
Mir gefällt die neue AGB bzw. Werbeoffensive auch nicht und ich würde es auf jeden Fall unterstützen indem ich meine neue AGB nicht unterzeichne!
Leider bringt es nichts, wenn keiner mitzieht und bei den ganzen Teens wird es der Fall sein.
Du kannst diesen Beitrag ja gerne wie angekündigt löschen – es wird aber an der Tatsache nichts ändern!
Ich finde solche Stalkergruppen auch total daneben und die StudiVZ-macher sollten dagegen schon entschieden vorgehen aber ein wenig Selbstverantwortung ist ÃœBERALL UNABDINGBAR!!!
Das ganze Internet funktioniert so ….
Guten Morgen!!!!
Hallo Karl,
der Thread, auf den Du geantwortet hast, ist vom
20. November 2006 (sic!)
[…] Einer der Gründe, warum StudiVZ oft durch die Presse geht, sind diverse Sicherheitslücken. Das geht von einfachen Defacements des Blogs, über das unproblematische, öffentliche Erreichen eigentlich geschützter Inhalte (siehe auch hier) bis hin zum unerlaubten Auslesen der Datenbanken. […]
also mal ehrlich….
stelle ich bilder, die keiner sehen soll ins internet??? waere das ansich net schwachsinnig?
aber des mit dem datenschutz is echt boes….
lg min
min: Nicht jeder, der Bilder für eine geschlossene Community oder gar nur für ausgewählte Freunde ins Netz stellt, möchte, dass diese webweit für jederman ohne Login abrufbar sind.
[…] 20.11.2006: Don Alphonso erklärt, wie man als privat gekennzeichnete Bilder doch sehen kann. Im StudiVZ Blog meldet sich Manfred Friedrich, der Datenschutzbeauftragte, zu Wort und eklärt, daß die Sicherheitsbedenken unbegründet seien. Die Bilder seien durch einen komplexen Code sehr sicher geschützt und man bräuchte zum knacken mehrere Millionen Jahre. […]
[…] Nachdem ich gestern schon über diesen interessanten Artikel gestolpert bin: Der Datenschutz-GAU von StudiVZ, gibt es heute nochmals schöne Neuigkeiten. Ein Blick auf den Link der sich hinter dem Bild verbirgt, kann durchaus interessant sein (auch für Leute die nicht Mitgleid bei diesem Datenkraken sind). […]
Erschreckend! Das Spacegif kann im FF schon durch AdBlock blockiert werden und alle Bilder per RechtsKlick gesichert werden.
Viele Grüße Tobbe
ach ja.. hier Infos zum Ändern der Datenschutzeinstellungen:
http://www.tobbworld.de/kurious/andern-datenschutz-im-studivzde/
Also langsam bekomm ich ja echt Angst was die Datensicherheit bei studivz angeht.Mir persönlich kann dises riesen bombastische mega Leck zwar weniger schaden weil (ihr könnt es von mmir aus paranoid nennen aber) ich stelle in das World Weid Web sowieso nix rein was niemanden außer mich was angeht. Schließlich impliziert ja schon der Name des Internets das theoretisch (und im Fall von Studivz ja wohl auch praktisch)jeder Zugriff auf die dort eingestellten Daten hat.
Mal davon abgesehen ist die Arbeit der Studivz-Betreiber schon mehr als stümperhaft,das wäre mit einem ausgebildetem Mediziner zu vergleichen, der einem Patienten statt dem Linken das rechte Bein amputiert!! Und dazu nix zusagen hat als: UPPS, das kann ja passieren.
Das ist doch wirklich mehr als vertrauenserweckend (und steigert mein Misstauen gegeüber dem internet noch mehr)
Liebe grüße eine geschockte Pixi!
[…] Der totale Selbstbetrug. Glaubt mir: Jeder hat etwas zu verbergen. Oder denkt ihr, es ist eurer Karriere förderlich, wenn der Chef erfährt, dass ihr soeben zum hottest Boy oder hottest Girl in der “Heute-Community” aufgestiegen seit? Auch nicht gerade beliebt bei Personalchefs sind Labertaschen, die zusätzlich ihre sexuellen Präferenzen ins Internet nageln. Nennt mich altmodisch. Aber hat es hat durchaus Vorteile seine intimsten Geheimnisse nur mit einem kleinen Personenkreis zu teilen. Reicht die beste Freundin, der beste Freund nicht? Muss es gleich ein Millionenpublikum sein? Nur meine Meinung. Dass es Betreiber solcher Netzwerke nicht immer so ganz genau mit dem Datenschutz nehmen, ist andernorts nachzulesen. […]
Ja Leute was denkt ihr auch jeder der sich mal ein bisschen übers Internet informiert hat der weiß das das Internet sowas von offen ist. Naja irgendwie müssen die Daten ja auch zum Rechner kommen von daher erklärt sich das von selbst. Wer denkt seine Daten im Internet sind sicher täuscht sich da gewaltig.
Naja mit den gutgläubigen kann mans ja machen is ja immer so…
[…] Generell finde ich die neuen Social Networks im Internet interessant. Ich denke auch, dass diese das “Networking” mit neuen, alten und vergessenen Freunden erleichtern. Wenn dazu dann noch sinnvolle Funktionalität wie bei Flickr, ein Six-Degrees-of-Separation-Spiel wie bei OpenBC bzw. XING oder einfach Quatsch zum rumblödeln wie bei MySpace dazukommt, halte ich mich auch gerne mal in diesen Communities auf und suche interessante Leute oder Inhalte. Kürzlich bin ich auch Mitglied bei StudiVZ geworden. Allerdings gefällt mir schon der Name überhaupt nicht – vielleicht wäre die Domain http://www.Facebook-Deutschland.de auch ehrlicher gewesen. Zum Zeitpunkt meines Beitritts war die ganze Plattform auch nur begrenzt stabil und überhaupt eher zäh zu benutzen. Wenn man sich im Netz anschaut, was andere Leute so über StudiVZ bloggen, überfällt einen dann vollends das Grauen. Da gibt es Bilder, die eigentlich superprivat eingestellt werden und dann von jedem überall zu sehen sind. Dann gibt es 700 Mann, die sich zu einer “Wir-suchen-die-geilste-Schnitte”-Gruppe zusammenschließen – eigentlich vorhersehbares Verhalten der Zielgruppe. Als das Treiben der Gruppe (was man wohl schon unter Stalking fassen könnte) dann bekannt wird, wird die Gruppe nicht gelöscht, sondern die Mitarbeiter und Gründer von StudiVZ wollen lieber selber Mitglied der Gruppe werden! Das der Hauptgründer dann noch eine sehr suspekte Person ist, reicht schon, um dafür zu Sorgen, dass man diesem Portal lieber fernbleibt – auch wenn die soziale Interaktion auf dieser Plattform am meisten Spaß zu machen scheint. Filed under: Meinung, Netzwelt | […]
[…] Dass der suggerierte Schutz (Einwählen mit Passwort, Erklärungen und scheinbar gut verschlüsselte Links) so gering ist, dass ein Anmelden nur geringen Mehrwert bringt, erschreckt: Die Daten vom StudiVZ stehen zumindest teilweise frei verfügbar im Netz. Dass Stalker auf der Plattform geduldet wurden, deren Hauptantrieb das Abgreifen von Sexy-Pics ist, und dass an öffentlichen Rechnern die Sessions anderer Nutzer einfach übernommen werden können, sind nur noch kleine Dramatisierungen. […]
[…] Let’s take a look at the web… (at my favorite social app) […]
lol naja habt schon recht das das etwas unsicher ist, aber wer von euch coded denn sagen wir PHP? Eine andere Möglichkeit gibts nicht wirklich, jedenfalls keine die einen vertretbaren Rechenaufwand hätte um die Seiten flüssig laufen zu lassen bei so vielen Klicks pro Sekunde. (Bilder in einer Datenbank ablegen, evtl per PHP Script includen, header manipulieren auf JPG bild umbiegen und Zugang per htaccess schützen….)
Ganz einfache Lösung: Ladet halt keine Lesbenbilder hoch die keiner sehen soll! :D Versteh ich eh nicht wieso man Bilder nur für sich selber sichtbar da hochladen muss… nehmt halt nen USB Stick mit auf dem ihr ne TrueCrypt Partition eingerichtet habt, AES 256 Bit verschlüsselt… und das Problem ist gelöst. Viel Problematischer find ich das vermutlich 80% (sehr nett geschätzt) der StudiVZ Nutzer/innen keine Ahnung haben was des ist… selber schuld erst informieren dann weinen. ;)
Oh. Mein Gott. Selten so einen Stuss gelesen. Tu der Welt bitte einen Gefallen und lass deine Finger vom Netz, bevor du wenigstens halbwegs weißt, wovon du redest.
[…] Wie, der aktuelle Bug bei StudiVZ ist neu? Das kann ich aber nicht glauben. Vielleicht sollten die bei StudiVZ einfach mal jemanden programmieren lassen, der programmieren kann. Oder sind solche Leute immer schreiend weggerannt, wenn sie den bestehenden Strunzcode gesehen haben? Das würde mich gar nicht wundern. (Und werte Studenten, wenn ihr wirklich eine Plattform zum Austausch braucht, warum setzt ihr nicht einfach selbst eine auf? Ihr konsumdepperten Schwachküppe, ihr!) […]
wie funktioniert das genau, dass man bilder einsehen kann, obwohl album gesperrt ist?
Wie funktioniert das genau, dass man ein Album einsehen kann, selbst wenn es gesperrt ist?
Hallo,
ich habe mein Album im Studentenverzeichnis STUXUM ( http://www.stuxum.de ) angelegt, scheint echt sicher zu sein.
Ich hoffe dies nartürlich nur, bin mir 100% sicher aber auch nicht.
Natalie
besteht die gefahr aktuell immer noch?
ich hab nämlich mal bisschn im quelltext von nicht einsehbaren usern gesurft und habe festgestellt, dass man nur so viel quelltext sieht wie ich auf dessen seite sehen kann. also wenn ein album für mich als nicht freund nicht sichtbar ist, dann erscheint es auch nicht quelltext. wurde das problem eventuell behoben?
gruß
Ich frage mal andersherum:
Gibt es denn tatsächlich noch Leute, die glauben, im Netz wäre IRGENDETWAS “sicher”?
Halloo-hooo?
Es ist doch ganz einfach – macht es doch bitte wie früher auch:
Was andere nicht sehen dürfen, solltet Ihr im stillen Kämmerlein belassen! Lasst es auf Euren Externen Festplatten und schleppt diese nicht draußen mit Euch rum; speichert Eure “gefährlichen”, karriere-gefährdenden Bilder auf CDs und schließt diese zu Hause weg! Oder druckt sie aus, vernichtet die Datei und versteckt die Bilder in der Matratze… WIE AUCH IMMER!
Was nicht im (Achtung! Nomen est Omen:) WORLD-WIDE-WEB herumschwirrt, kann auch nicht gefunden werden!
Easy, oder?
LG
MiAnTo
kann mir jemand sagen ob ich obwohl jemand eingestellt hat das er unentdeckt sein will wenn er andere seiten besucht dieses trotzdem merken kann???
kann ich theoretisch alle sehen die meine page besucht haben???
[…] Es war einmal im November 2006, als sich eine Datenschutz-Panne nach der nächsten bei StudiVZ zutrug. Die Blogbar berichtete damals ausführlich und deckte fast täglich neue Unzulänglichen auf. […]
[…] Nachdem ich gestern schon über diesen interessanten Artikel gestolpert bin: Der Datenschutz-GAU von StudiVZ, gibt es heute nochmals schöne Neuigkeiten. Ein Blick auf den Link der sich hinter dem Bild verbirgt, kann durchaus interessant sein (auch für Leute die nicht Mitgleid bei diesem Datenkraken sind). […]
[…] Das ist ja nicht das erste Mal sowas. Und das ist bei schülerVZ bis heute so: Alle “privaten” Bilder – die ja nur für Mitglieder sichtbar seien sollten, liegt auch nach ihrerer Löschung in alten Versionen noch auf den Servern als .jpg ungeschützt herum. Aber nein, die Betreiber sind ja nicht lernresistent oder so, nein auch diesmal versprechen sie uns, bereits Maßnahmen gegen sowas ergriffen zu haben (Achtung: Vergangenheit!). Juhu, dann passiert ja doch mal was. Ob dieser Teil der Datenschutzzusammenfassung aber jemals wahr wird? Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf. […]
[…] Na, und was hatten wir lange nicht mehr im deutschsprachigen Internet? Richtig, so ein klaffendes Datenleck bei einem dieser VZ-Dinger für Studis, Schüler oder schlicht alle. Diesmal hat es das SchülerVZ erwischt. Datenlecks bei diesen VZ-Dingern sind ja nichts Neues, aber das hält leider kaum einen davon ab, da jede Menge persönliches Zeug reinzuschreiben und sich auf die versprochene Sicherheit zu verlassen. Spammer und Kriminelle werden sich gewiss darüber freuen. […]
Undichte Stellen bei StudiVZ – keine Privatsphäre für Fotos
Mittels eines simplen Tricks ist es möglich, Fotoalben, Fotos und Fotoverlinkungen von jedermann anzuschauen, selbst wenn diese Ihre Privatsphären-Einstellungen dahingehend eingestellt haben, dass die Fotos bspw. nur für Freunde sichtbar sind. Der Trick wurde ausprobiert mit einem samsung sgh f480 und einem iPhone 2G. Man öffne mit dem Handy-eigenen Browser einfach die studiVZ Seite und loggt sich ein (Beim iPhone nicht das StudiVZ-App benutzen sondern den Safari!) – anschliessend landet man auf der WAP Seite des Portals. Ãœber den man nun freien Zugriff hat. Einzige Einschränkung: über die WAP Seite kann man nicht gezielt nach Personen suchen – man muss sich also über seine eigenen Freunde, Pinnwandeinträge etc. den Weg zu der Person suchen, von der man die Fotos sehen will. Viel Erfolg :-)
Was sehen meine ermüdeten Augen gerade in der Tagesschau? SchülerVZ ausgesaugt?
Don, übernehmen Sie! :-)
ich glaube nciht das don irgendwas da übernimmt. Komischerweise hat er ziemlich schnell nach dem management-wechsel bei studi aufgehört zu berichten. fand jegliche aufdeckung habe ich damals interessiert verfolgt…doch leider ist es mir unverständlich warum einer kleinen studentfirma nichts verziehen wurde aber sobald namenhafte größen den laden auf neuen kurs steuern und weiterhin ohne ende offensichtliche fehler machen das thema plötzlich uninteressant ist.
Man darf jetzt nicht denken, dass ich gegen die damaligen ergüsse war, es fehlt einfach das verständniss dafür das nur durch einen managementwechsel nicht mehr berichtet wird.
Fühlt sich irgendwie gekauft oder nach einem neidkrampf gegen die damaligen kleinen studenten an….
Aber vielleicht gibt es da ja eine einfache sinnige erklärung…
Ich glaube einfach, dass die Welt beschissen werden will. Ich habe es allen gesagt und gezeigt und mich daran abgearbeitet – wer jetzt Ärger bekommt, hat es nicht anders verdient. Soziale netzwerke sind Dreck. Ihre Betreiber sind nur auf Prófit aus. Wer denen hilft, muss halt mit den Risiken leben.
[…] Oder aber regt euch darüber auf das StudiVZ früher massenhaft Sicherheitslücken hatte, Hacker das komplette System sogar lahmlegen, bzw. Mitgliederdaten “abgrasen” konnten! Eure Daten deswegen unsicher waren bzw. sind, weil StudiVZ sehr lange auch ein unsicheres System mit vielen Macken und Fehlern hatte und streckenweise sogar noch immer hat! […]