Operationen am offenen Herzen
Thursday, December 7, 2006, 18:00 - Blase2.0, Studivz
Der mir freundlicherweise zugetragene Link auf den Bau von Flugzeugen in der Luft paßt sehr schön auf die Situation, in der sich sowohl Unister als auch Studivz – im letzteren Falle: wieder mal – befinden.Beide Studentenportale haben aktuell, den Berichten aus der Blogosphäre nach, ein Problem mit dem Sessionhandling. Bei Unister scheint man die Identität bei Kenntnis einer relativ frischen Sessionkennung komplett übernehmen zu können, auch parallele Nutzung mit einer Session von mehreren IPs aus scheint möglich (in Kinofilmen fällt sowas eigenlich immer auf und verrät gerne die Protagonisten) – Details bei sajonara.de. Blogbar‐Kommentaren zufolge ist www.unister.de latent anfällig für Cross‐Site‐Scripting (XSS); das, was final Studivz zu einer längeren Auszeit brachte:
88. Kommentar von h1ro, 7.12.2006, 11:38
Unister hat übrigens nicht nur Privacy-, sondern auch massive XSS-Probleme (i.e. in User-Blogs oder der Suche). Ist alles derselbe Mist auf dem Markt
Bei Studivz (siehe auch beetlebums Wichtelspaß mit Studivz) ist, lt. Don Alphonso (siehe auch beetlebums Vorweihnachstgeschichte), nach dem Ausloggen aus dem VZ es einem anderen Nutzer in derselben Browsersession – relevant also insbes. in Internet-Cafes und Poolräumen – möglich, über die Back-Funktion des Browsers den Weg durch das VZ des Vorbenutzers zu verfolgen. Details mal wieder an der Blogbar. Wobei ich, für die Akten, das nicht so als den GAU einschätze, als den ihn Don hochzustilisieren versucht …
Schlußendlich gerät nun auch nur!studenten ins Rampenlicht, ein weiterer kuscheliger, aber älterer, Versuch Studenten zu vernetzen. Was Alfons mit »Studentenportal killen leicht gemacht« sagen will — vielleicht gibt's die Auflösung ja als Nachspeise an der Blogbar? (Sofern die Hardware mitspielt, sonst wird man sich woanders treffen müssen.)
Portals considered harmful to data security?
2 Kommentare 
Blogger und Hoster (II) — oder eher: Hoster und Support?
Thursday, December 7, 2006, 08:13 - Blase2.0
Guten Morgen, liebe Zielgruppe.Dienstag nachmittag hat's mal wieder einen Server von Bloggern zerlegt, diesmal die Blogbar, wo vornehmlich ein gewisser Don Alphonso serviert. Was macht ein Blogger, wenn ihm sein angestammtes Blog grade technisch abhangen gekommen ist? Er versucht zu klären, wie das denn mit dem Support grade ausssieht und hinterläßt die Details in einem anderen Blog — so auch hier. Bei YAMB.BETA², Jörg-Olaf Schäfers gar nicht mehr so kleinem Blog, begann die Spekulation, ob (d)DOS oder nur simples Technikversagen:
felix am 6. Dezember 2006 um 19:46 Uhr:
warum ist den die blogbar down? gesläschdottet? abgeraucht? hat don keine lust mehr? […]
Don Alphonso am 6. Dezember 2006 um 19:52 Uhr:
Am Server allein kann´s nicht liegen, Blogbar hat einen für sich allein. Man macht sich schon so seine Gedanken :-/
Jörg-Olaf Schäfers am 6. Dezember 2006 um 19:54 Uhr:
So, und nun einmal in aller gebotenen Vorsicht. Es ist nur eine Beobachtung. Nicht mehr, wirklich.
Die Blogbar könnte von einem (d)DOS-Angriff betroffen sein. Meint zumindest Kai Pahl gerade via Instant Messenger.
Ebenfalls von (d)DOS-Angriffen betroffen war vor einiger Zeit das Blog von Andreas Dittes, als er über seinen Konflikt mit Unister berichtete.
Wie gesagt, keine Unterstellung, wohl eher Zufall.
Vielleicht schadet es trotzdem nicht, wenn bei Unister nochmal jemand die Netiquette laut vorliest.
Scheiss Blagen, anyway.
Ich lege mal einen Kommentar drunter: Hmm. Gekonnt keinen Verdacht zielgerichtet ausgesprochen — oder grade nicht ausgesprochen?
Jörg-Olaf Schäfers am 6. Dezember 2006 um 19:55 Uhr:
Achja, ich wäre euch wirklich verbunden, wenn dieser Server um Mitternacht noch zu erreichen ist. Ich bin derweil unterwegs, realsoziale Verpflichtung und so.
Daniel H. am 6. Dezember 2006 um 20:09 Uhr:
Also bei den Problemen, die es zur Zeit bei Hetzner gibt würde ich eher auf was trivialers tippen :o).
Hetzner? Waren das die mit dem Akkuschrauber bzw. 'nem Cocktailset? Ah, nein, das waren die, die *.blogger.de mal kurz ein Wochenende ausgefallen sein liessen. Oder so, war kompliziert, die Kiste …
dogfood am 6. Dezember 2006 um 20:46 Uhr:
Ob was Trivialeres ist, weiß ich nicht. Die Kiste ist noch nicht mal anpingbar.
Wenn die Kiste wieder oben ist und nicht von was-weiß-ich runtergerissen wird, wäre der Beweis erbracht, das kein Zusammenhang mit Unister besteht.
dogfood am 6. Dezember 2006 um 22:20 Uhr:
Nein, wir wurden FRlt ;-)
http://www.fr-online.de/in_und_ausland/ ... nt=1026709
Spaß beiseite.
Ich gehe gerade Hetzner gepflegt auf den Sack (oder vice versa). Olbertz-Support-GAU lite: ein Support-Ticket wurde damit beantwortet, das man nicht zuständig sei, ohne dass man meine Support-Anfrage weitervermittelt wurde oder sagt wer für mich zuständig sei. An den RZ-Telefonnummern ist bei meinen Versuchen seit 19h niemand rangegangen. Stattdessen sprang immer sofort ein Tape an. Mein aktuelles Support-Ticket ist seit 50 Minuten unbeantwortet.
dogfood am 6. Dezember 2006 um 22:35 Uhr:
So. Blogbar kann wieder seinen Betrieb aufnehmen.
WICHTIG: Auskunft von Hetzner: KEINE dDOS-ATTACKE! Es war ein Hardware-Problem. Hardware wurde ausgetauscht.
Daniel H. am 6. Dezember 2006 um 22:36 Uhr:
@dogfood:
Kannst du die Kiste nicht einfach per Webinterface rebooten bzw. falls nötig in ein Rescue Image laufen lassen? Dachte bislang so was sei selbstverständlich, damit ersparen sie sich ja auch Arbeit.
ogfood am 6. Dezember 2006 um 23:00 Uhr:
Nein, bei den Managed Server ist der Zugriff nur eingeschränkt. Ein Reboot muss manuell veranlasst werden, d.h. bei denen landet eine eMail auf den Tisch und sie rebooten. Kostenlos bis 22h45, danach für 116EUR + x (Anfahrtspauschale).
Sie haben erst auf mein drittes Support-Ticket hin festgestellt, dass es ein Hardware-Problem ist.
Wobei ich Hetzner zugute halten muss, dass sie vor zwei Wochen sehr schnell und sehr flexibel reagiert haben, als die Zweieinigkeit von SPIEGEL und Heise über den damals noch Shared Server herfielen.
Ich war nicht dabei, kommentieren tue ich dennoch weiter unten; in der Außendarstellung liest es sich dann so:
Blogbar wieder erreichbar
6.12.2006 | 23:31 von dogfood
War es letzte Woche noch der Traffic der uns zu schaffen machte [Link, -wusel], war es nun ein Hardware-Problem.
Gegen 17h00 klinkte sich der Server das erste Mal aus, für zirka eine halbe Stunde bis ein Reset den Server wieder neu startete. Das Vergnügen war von kurzer Dauer. Gegen 18h30 verabschiedete sich der blogbar-Server das nächste Mal. Dass der Server weder “anpingbar” war noch via SSH erreicht werden konnte, deutete auf ein schwerwiegenderes Problem hin.
Bei einer ersten Support-Anfrage wies mich der Support des Providers Hetzner als “nicht zuständig” ab, ohne mein Support-Ticket weiterzuleiten oder mich auf den korrekten Ansprechpartner hinzuweisen. Auf ein zweites Support-Ticket wurde längere Zeit nicht reagiert, ehe ich gegen 22h30 eine Mail von Hetzner bekam:
es war ein Hardware-Problem am Server. Das betreffende Teil wurde ausgetauscht. Es war keine dDOS-Attacke.
(Der vollständigkeitshalber erwähnt: der Umzug letzte Woche zu einem dedizierten Server wurde von Hetzner flexibel und zügig durchgeführt)
Nun denn; nachdem ich seinerzeit Dirk Olbertz, den Betreiber von *.blogger.de, hart ins Gericht genommen habe, muß ich auch was hierzu sagen. Nur was? Ich war nie Beteiligter; die Schilderungen klingen – leider – glaubhaft und wurden von Hetzner nicht medienrechtlich oder anders angegangen.
Ganz falsch zumindest sind die Schilderungen dann wohl nicht. Was aber sagt das für die Servicequalität aus? »we keep your business online.« scheint mehr eine Marketing-Floskel denn ein Supportversprechen zu sein? Ein Blick in die AGB klärt auf — Hervorhebung durch mich: 3.2 Wir gewährleisten eine Erreichbarkeit unserer Server von 99 % im Jahresmittel. Hiervon ausgenommen sind Zeiten, in denen der Server aufgrund von technischen oder sonstigen Problemen, die nicht im Einflussbereich von uns liegen (höhere Gewalt, Verschulden Dritter, etc.), nicht zu erreichen ist. Ist die Sicherheit des Netzbetriebes oder die Aufrechterhaltung der Netzintegrität gefährdet, können wir den Zugang zu den Leistungen je nach Erfordernis vorübergehend beschränken.
[…]
3.6 Technische Supportleistungen sind nicht in den Angeboten enthalten. Sofern diese gewünscht und in Anspruch genommen werden, werden sie gesondert berechnet. Die jeweils gültigen Preise sind jederzeit einsehbar unter
http://www.hetzner.de/preise_accounts und
http://www.hetzner.de/preise_server.
Hmm. Gut, ich schreibe sicherlich niemandem vor, wie und wo er hostet, auch habe ich mir die Detailvereinbarungen für die Hetzner-eigenen Kisten, die man mieten kann, nicht angesehen — aber zumindest auf den ersten Blick scheint mir die Wiederherstellung des Blogbar-Servers mehr eine nette, freiwillige Aktion zu sein denn ein schriftlicher fixierter Service?
Muß ich mir mal genauer angucken, auch für mein eigenes Fallbackszenario … Zwischen den Jahren sollte sich dafür Zeit finden.
Unister.de: Mindestens so anfällig wie Studivz?
Thursday, December 7, 2006, 04:03 - Blase2.0
Bei Jörg-Olaf Schäfers und insbesondere bei Alexander Trust wird über einen Bug im Sessionhandling berichtet, über den latent Schindluder getrieben werden kann. Konkret: Gesagt, getan. Ein Unister-Magazin-Artikel bewog mich, einen Link darauf zu setzen, um auf einen Kommentar zu verweisen. Ich kommentierte den Link außerdem in der blogbar, um darauf hinzuweisen, dass Naivität nicht nur im StudiVZ in Teilen versammelt sei. Der Hamburger Kai Pahl meldete sich umgehend bei mir, man könne sich meines Profils bemächtigen. In den Kommentaren des Artikels in der blogbar kam es unmittelbar zur Diskussion. Man entfernte auch dort den Link, den ich eingestellt hatte und informierte ebenfalls Unister über dieses Sicherheitsleck. Dass nicht nur Pahl sich zu Zwecken der Illustration an meinem Nutzerprofil zu schaffen machte, zeigen die Kommentare und folgender Screenshot kann als Beweis für Veränderungen dienen:
[…]
Die ganze Zeit über war “ich” allerdings bei Unister eingeloggt. Hätte ich mich ausgeloggt, wäre die Session wohlmöglich nach einer gewissen Zeit abgelaufen. Doch eigentlich sollte es nicht möglich sein, dass in einem System zwei verschiedenen IP-Nummern (Ich, Kai Pahl aus Hamburg, u. a. m.) unter ein und demselben Profil eingeloggt sein dürften. Kinderkrankheiten aus den ersten Tagen des Webs, als z. B. Foren aufkamen. Man fragt sich, warum solche Dinge heute, im Kontext von Social Web oder Web 2.0 noch immer nicht im Vorfeld ausgemerzt werden. Es drängt sich der Verdacht auf, dass die achso tollen Programmierer solcher Projekte ihren Code lediglich kopieren, und sich so die Fehler ungesehen fortpflanzen.
Au weia. Das wird ein langes Jahresende, mit V0.02-grade Code in den ach‐so‐coolen Verzeichnissen und dem 23C3 vor der Tür (Motto: »Who can you trust?«) …
Scheidung vor der Ehe, fzs gibt Studivz den Laufpaß
Wednesday, December 6, 2006, 23:55 - Blase2.0, Studivz
Uiuiui, so gerne mit Studivz in einem Atemzug genannt werden will der fzs zumindest derzeit eher nicht mehr: Erklärung zur Zusammenarbeit mit dem StudiVZ
06.12.2006:
Zu einer Zusammenarbeit zwischen dem StudiVZ und dem fzs stellen wir folgendes klar:
Der Ausschuss der StudentInnenschaften hat am 8.10.2006 beschlossen, dass eine Zusammenarbeit […] angestrebt werden sollte. […]
Dieser Beschluss ist vor zwei Monaten gefasst worden. Angesichts der Entwicklungen in den letzten Wochen und der Geschehnisse im StudiVZ ist eine Zusammenarbeit zwischen fzs und StudiVZ jedoch nicht mehr möglich. […] Wir möchten weiterhin darauf hinweisen, dass der Gesprächstermin [Ende dieser Woche] mit den Betreibern schon vor der Veröffentlichung des heutigen Artikels in der taz vereinbart wurde.
Dennoch sieht der fzs es weiterhin als seine Aufgabe an, […] zu informieren und als Anlaufstelle für Fragen von Studierenden zu fungieren. Aus diesem Grund wird die Unterseite www.fzs.de/sozialinfo selbstverständlich auch ohne eine Zusammenarbeit mit dem StudiVZ online gehen.
Der Vorstand des fzs
Das hier erstmal nur der Vollständigkeit halber, Alexander Trust hat bei www.sajonara.de schon ein paar ausführlichere Artikel verfaßt.
Zwei Dinge nehme ich aus dieser Entwicklung mit:
- Studivz ist für Unternehmen und Organisationen im studentischen Umfeld — wie von den Initiatoren angestrebt – eine (ge)wichtige Plattform geworden
- Die gesamte jüngere Historie der Studivz Limited – Einladung zur Firmenfeier im Stile der Nazi-Postille »Völkischer Beobachter«; moralisch fragwürdige bis sichtlich belästigende Digicam-Filme von einem Gründer und einem Investor auf YouTube veröffentlicht; Duldung von Gruppen, in denen Teilnehmer heimlich ausspioniert und zur »Miß« gewählt werden — ein Gründer und ein Supportmitarbeiter ersuchten um Aufnahme in die Gruppe, anstatt dies Treiben zu unterbinden; Sicherheitslücken und inkonsequentes Handling von Privatheitseinstellungen, … – wirkt alles andere als anziehend auf die vorgenannten Organisationen und Firmen
nicht zuletzt, da die theoretisch existente Konkurrenz in fünf Tagen Downtime von Studivz es nicht hinbekommen hat, sich auch nur annähernd Gehör zu verschaffen oder gar sich als Alternative zu präsentieren. Nach der – nicht zwingend repräsentativen – Alexa‐Statistik scheinen einzig die Lokalisten annähernd an die Werte von Studivz heranzukommen.
Mit der Zeit – und wohl sogar ohne das in der Blogosphäre oftmals geforderte Rollenlassen von Gründerköpfen – wird Studivz wieder Oberhand gewinnen; lassen wir es Mitte Januar 2007 werden – das ist noch ein guter Monat –: Bleibt es ruhig, gibt es keine nennenwerten Vorkommnisse, dann sind weibsvölkische Verhaltensbeobachtungen auf Toiletten schnell vergesssen, und anstelle des »gruscheln = grabschen + kuscheln« wird man sich wieder freundlicherer Bedeutungen erinnern. Und sich gruscheln, bis der Arzt kommt.Unsicherheitsfaktor scheint nur die Fluktuation, insbesondere zum Orginal, www.facebook.com, zu sein — aber hier greift das Problem, was alle anderen Verzeichnisse haben: ohne einen signifikanten Bekanntenkreis, der dort schon ist, brauche ich da auch nicht hin und bleibe lieber, wo ich bin.
Zur etwaigen Fluktuation wird man aber keine Zahlen aus Berlins gruscheliger Mitte hören; eine Brute-Force-Zählung der angeblichen über einer Million Teilnehmer per Profilabfrage wurde durch die jüngsten Änderungen, nach heutigem Stand, signifikant erschwert.
Kurzum: es bleibt noch immer spannend – zumindest ein bißchen ;)
RCDS & fzs, Traumhochzeit im Studivz
Wednesday, December 6, 2006, 01:05 - Blase2.0, Studivz
Trautes Stelldichein im Studivz — keiner kann es sich mehr leisten, dieses Portal zu ignorieren!
Diesen Eindruck jedenfalls könnte man gewinnen – buhlen doch sowohl der unionsnahe RCDS Münster als auch der »linkslastige Dachverband der Studierendenschaften, fzs« (taz) via Studivz um neue (und alte) Anhänger.Der RCDS war sich nicht zu fein, in sein Wahlprogramm 2006 (Orginallink mittlerweile gelöscht beim RCDS Münster — ist da wem was peinlich? Dabei sind die braunen Vorkommnisse im Umfeld des Studivz doch sicher nicht ganz so wild wie das, was der RCDS Gießen mit seinem Ex-Vorstand als Problemchen hat) aufzunehmen:
11. Für eine Zusammenarbeit mit dem StudiVZ !
Das Studentenverzeichnis ist die Innovation des Jahres für Deutschlands Studenten. Ein Internet-Portal, das es seinen Nutzern ermöglicht, Freundschaften zu pflegen oder neu zu schließen und verhindert, dass man sich aus den Augen verliert. Es gibt fast eine Million Nutzer, d.h. jeder zweite deutsche Student. Der überwältigende Erfolg überraschte selbst die Macher und erfordert eine stetige Ausweitung der Kapazitäten.
Daher möchten wir im Falle unseres Wahlsieges den Machern des Studiverzeichnisses als erster AstA deutschlandweit unsere Zusammenarbeit und Unterstützung anbieten, um z.B. die Arbeit des AstA mit einem BLOG transparent zu machen, und ein breites Publikum zu erreichen. Hierbei möchten wir keine politische Einflussnahme, sondern eine ehrliche Kooperation zur weiteren Verbesserung des Studiverzeichnisses in Eurem Sinne.
Mal dezent davon abgesehen, daß das Studivz zwar ein Blog hat, aber eben kein Blog ist – Blogs sind, u. a., i. d. R. nicht so lange down –, schon erstaunlich. Um »ehrliche Kooperation« geht es den christlich‐demokratischen Ringstudenten also. Alles ganz harmlos. Wir wollen nur gruscheln …
Ganz andere und doch ähliche Motive mag der fzs verfolgen, wie die taz berichtet:
Eine merkwürdige Liaison: Der fzs publiziert vor allem spaßfreie Postulate gegen Studiengebühren. Diese elektrisierten bisher nur eine Minderheit der 1 Million Studis, die der fzs nach eigenen Angaben vertreten will. StudiVZ ist dagegen als zweifelhafte Bagger- und Party-Community aufgefallen. Eine mit enormem Zulauf allerdings.
Auch der fzs möchte nur
Studivz ist da schon etwas weiter lt. taz: »Die Jungunternehmer allerdings […] wollen dem fzs zwar gestatten, Content einzupflegen - erwarten dafür jedoch eine "Gegenleistung". Asten und Studierendenräte sollen in der ganzen Republik Flyer fürs StudiVZ verteilen. Kostenlos.«
Ich finde das ganz schön grus
Der Ausschuss der StudentInnenschaften (AS), das zweithöchsten Organ im fzs, hat bereits den Beschluss gefasst, dass eine Kooperation mit StudiVZ anzustreben sei.
Krass, das. So kann es dann ja nur noch steil bergauf gehen mit dem Studivz, auf daß die bislang unwillige andere Million der deutschen Studenten auch noch missioniert werde. Kann also alles gar nicht so schlimm sein mit dem Extremismus im Studivz, denn die Extremen beider Lager fühlen sich dort allem Anschein nach wie zu Hause …
Gibt es eigentlich auch eine extreme Mitte?
Zurück Weiter