Neue Woche, neue Lücke: Studivz lebt!
Monday, December 11, 2006, 15:07 - Blase2.0, Studivz
JFTR; da an der Blogbar das Thema schon behandelt wird, hier nur ein Kurzabriß der neuen Lücke, einer Variation von etwas, was vor gut zwei Wochen schon berichtet wurde. RedoFromScratch wäre vielleicht doch zielführender gewesen als PatchAsPatchCan?Wie auch immer — die neue Lücke basiert dadrauf, daß der Lückenausnutzer Moderator in einer Gruppe im Studivz sein muß. Simpel, da man jedezeit eigenen Gruppen gründen kann; dabei sein ist quasi alles. Weitere Voraussetzung dieses Mal: »Firefox und die Webdeveloper-Extension«.
Um sich selbst in eine Gruppe einzuladen, einfach eine Gruppe auswählen, wo man Moderator ist. Dort dann eine beliebige Person einladen, dann aber nicht auf "XXXX einladen" klicken.
Anstelle dessen jetzt unter Firefox bei Extras Webdeveloper anklicken und "Edit HTML" unter Miscelleanous anwählen: […] der Quelltext öffnet sich auf der linken Seite des Browser-Fensters.
Jetzt gilt es nur noch, im entsprechenden Formular die entsprechenden Zeilen anzupassen:
Anstelle einer simplen Übergabe per HTTP‐GET, die Studivz letztes Mal zum Verhängnis wurde, ist sind nun die per HTTP‐POST übergebenen Variablen zu manipulieren — »elias« von verspult.com löst diese Aufgabe über ein Firefox-Plugin, andere Wege sind denkbar. Details sind bei verspult.com nachzulesen, für die Dokumentation der Einfachheit und der grundlegenden Probleme der Anwendung, die Studivz betreibt, genügen die folgenden Hinweise:
<input type="hidden" id="ids" name="ids" value="USERID" >
<input type="hidden" id="gids" name="gids" value="GROUPID"> Dazu müsst ihr einfach bei gids die ID der vermeintlich geheimen Gruppe eintragen, bei ids gehört eure User-ID rein… Das HTML-Fenster nicht schließen, dann auf Absenden klicken - und schwupp die wupp, man sieht die Übersichtsseite über alle Gruppen.
Hernach sieht man dann auf »Meine Seite« die eigene Einladung in die fremde Gruppe, in die man schon immer mal reinwollte.
Wenn man bedenkt, daß zuvor
http://www.studivz.net/groupinvite.php?ids=DEINE_USERID&&gids=GRUPPENID&save=1reichte — ja, es ist schwieriger geworden. Nur: augenscheinlich werden nach wie vor die Usereingaben nicht auf Gültigkeit im Kontext überprüft — dies ist umso verblüffender, da in der neuen, HTTP‐POST‐basierten Variante, ein »checkcode« übertragen wird. Was checkt der denn, mögliche Nutzer- und Gruppen-IDs offensichtlich nicht.
So ganz Unrecht mit ihrern Warnungen vor Studivz scheinen u. a. der ReferentInnenrat der HU, der AStA FU Berlin sowie der AStA der Hochschule Darmstadt also nicht zu haben — selbst wenn die neue Lücke wieder mal relativ zügig geschlossen werden sollte, sie hätte gar nicht auftreten dürfen!
Zitat aus der Netzeitung von heute, 09:43:
«Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet», sagt StudiVZ-Marketingleiter Suter. Die Studentenplattform kämpft gegen Probleme auf mehreren Ebenen.
Dario Suter, Mitgesellschafter und Marketingleiter von StudiVZ, versichert dort:
;){kind=icon}
»Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet« und gibt ferner zu Protokoll, daß er »nach den turbulenten Wochen« hoffe, daß wieder Ruhe einkehren möge. Ob der Weihnachtsmann diesen Wunsch erfüllen kann?Anstatt aus den Blogs die Lücken der eigenen Software zu erfahren und dann mit einem weiteren Heftpflaster den Trümmerbruch über die Zeit bis zum Verkauf retten zu wollen, wäre ein Rewrite anzegeigt. Die Nagelprobe für Studivz dürfte denn auch der kommende 23C3 werden, Motto: »Who can you trust?«
Kommentar hinzufügen 
»Du bist eine Quelle … ich schick Dir Polonium«
Saturday, December 9, 2006, 08:04 - Blase2.0, Studivz
So schnell kann's gehen; wie Google Analytics zeigte (und ein Logfile-grep bestätigte), verlinkt de.wikipedia.org auf blogdoch.net — Details in der Artikelhistory bei Wikipedia: »K (→Unternehmen und Finanzierung - neue Quelle)«, verlinkt ist ein Artikel hier als »Blogbeitrag u.a. zur Gesellschaftsstruktur«.»Neue Quelle«. Hmm. Was tue ich? Ich suche Informationen, trage sie zusammen, bereite sie – durchaus subjektiv – auf und lasse die (deutschsprachige) Menschheit an meinen Funden teilhaben.
Ist das eine »Quelle«? Wahrscheinlich schon. Ich gebe meine Quellen (sic!) ja an — auch und grade, damit man sich nicht mit meiner eingefärbten Sicht der Dinge zufrieden geben muß.
So be it; blogdoch.net – meine persönliche Blog-Spielwiese – ist eine Quelle in einem Wikipedia-Artikel … Ok, eigentlich ist es das, was unzählige Webseiten erst »zum Web« macht — die Verlinkung. Dennoch … ein komisches Gefühl. Verlinkt von Wikipedia …
Dank des wochenlangen Technorati‐Such‐Highscores bekam natürlich auch der Wikipedia‐Artikel Zulauf und ab einem gewissen Zeitpunkt auch diese eher gruschelfeindliche¹ Site. Bedeutet das nun (noch) mehr Verantwortung?
Nope; meine Leser sind schon groß2, wenn sie hierher gefunden haben (drum dürfen Sie auch direkt zu Britney, ohne schwarze Balken). Und ich spiele mit offenen Karten, Information ist nachvollziehbar für den, der es wissen will — dem überwiegenden Rest mag meine Schreibe genügen.
So be it. Willkommen, Fremde(r), in meiner, eigentlich gar nicht, kleinen Welt …
P.S.: Noch ca. 60 Blogs, die zu blogdoch.net verlinken, und blogdoch.net will enter the Olymp of Kleinbloggersdorf4 — the DeutscheBlogCharts3. Go. For. It! ;)
____
1 Nichts gegen den geilen Marketing-Gag mit der Wortneuschöpfung; als jemand, der in diesen unwirklichen Zeiten versucht, die Rechtschreibung1.0‐Fahne hochzuhalten, kann ich derlei plumpe Verballhornungen der deutschen Sprache aber nicht gutheißen. Unisters »anstupsen« erfreut mich da doch mehr — über den Rest der Site blogge ich vielleicht ein anderes Mal.
2 Falls Du noch nicht groß bist, gemessen in Lebensjahren: was zum Henker führte Dich hierher?
3 Dies wiederum beweißt eigentlich nur die relativ geringe Größe – um nicht gar von »Überschaubarkeit« zu reden – besagten virtuellen Dorfes, mit etwas unter 200 Blogs, die herlinkten, qualifizierte sich ein Blog für die deutschen Top‐100. Faszinierend.
4 Wer ist eigentlich die Dorfschöne?
Dichtung und Wahrheit
Friday, December 8, 2006, 17:33 - Blase2.0, Studivz
Aufregung an der Blogbar: Ein anderes Blog berichtet, »Ehssan Dariani wurde entlassen«. Dies wäre in der Tat eine Meldung – und ein vielleicht harter aber deutlicher Schritt, daß man mit den Gründereskapaden zu Gründungszeiten abschließen wolle –; allerdings läßt sich sich nicht verifizieren und glaubhaft ist es auch nicht, denn Ehssan Dariani ist immerhin einer der zwei, drei Gründer des Unternehmens Studivz Ltd. Vertretungsberechtigt obendrein, auch wohl noch immer Anteilsinhaber … Mit einfach so entlassen ist da nicht.Zwischenzeitlich wurde der Text korrigiert:
| 16:10 | 17:30 |
|---|---|
| Inzwischen gibt sich das zerknirschte Management geläutert und hat erste Schritte eingeleitet: Ehssan Dariani wurde entlassen, die Seite wurde kurz offline gestellt, damit an den Sicherheitslücken gearbeitet werden kann. Ob diese Maßnahmen noch rechtzeitig kommen, um das Projekt zu retten, und ob sie ausreichend sind, um das Vertrauen der Nutzer zurück zu gewinnen, wird die Zukunft zeigen. | Inzwischen gibt sich das zerknirschte Management geläutert. Die Seite wurde vorübergehend offline gestellt, damit an den Sicherheitslücken gearbeitet werden kann. Seit kurzem ist sie wieder online. Ob diese Maßnahme noch rechtzeitig kommt, um das Projekt zu retten, und ob sie ausreichend ist, um das Vertrauen der Nutzer zurück zu gewinnen, wird die Zukunft zeigen. |
Ich denke, dies ist ein gutes Beispiel dafür, wie leicht aus dem lustigen Bloggen ein durchaus problematisches »Stille Post«‐Spiel wird … Du da draußen, was immer Du sein magst, nimm Dich in Acht. Nicht alles, was geschrieben steht, stimmt. Mehr denn je ist bei Blogs ein Quellenstudium zur Bewertung der Angaben wichtig.
Bad Hat
Friday, December 8, 2006, 11:49 - Verschiedenes
Aufnehmen von Serien beim nächtlichen Rerun hat durchaus interessante Aspekte. Die Werbeunterbrechungen sind in der Regel kürzer – wenngleich thematisch ähnlich vielfältig wie auf VIVA – und Abspänne werden häufig komplett gezeigt.So auch bei Dr. House diese Woche (RTL; view it while it's still
Operationen am offenen Herzen
Thursday, December 7, 2006, 18:00 - Blase2.0, Studivz
Der mir freundlicherweise zugetragene Link auf den Bau von Flugzeugen in der Luft paßt sehr schön auf die Situation, in der sich sowohl Unister als auch Studivz – im letzteren Falle: wieder mal – befinden.Beide Studentenportale haben aktuell, den Berichten aus der Blogosphäre nach, ein Problem mit dem Sessionhandling. Bei Unister scheint man die Identität bei Kenntnis einer relativ frischen Sessionkennung komplett übernehmen zu können, auch parallele Nutzung mit einer Session von mehreren IPs aus scheint möglich (in Kinofilmen fällt sowas eigenlich immer auf und verrät gerne die Protagonisten) – Details bei sajonara.de. Blogbar‐Kommentaren zufolge ist www.unister.de latent anfällig für Cross‐Site‐Scripting (XSS); das, was final Studivz zu einer längeren Auszeit brachte:
88. Kommentar von h1ro, 7.12.2006, 11:38
Unister hat übrigens nicht nur Privacy-, sondern auch massive XSS-Probleme (i.e. in User-Blogs oder der Suche). Ist alles derselbe Mist auf dem Markt
Bei Studivz (siehe auch beetlebums Wichtelspaß mit Studivz) ist, lt. Don Alphonso (siehe auch beetlebums Vorweihnachstgeschichte), nach dem Ausloggen aus dem VZ es einem anderen Nutzer in derselben Browsersession – relevant also insbes. in Internet-Cafes und Poolräumen – möglich, über die Back-Funktion des Browsers den Weg durch das VZ des Vorbenutzers zu verfolgen. Details mal wieder an der Blogbar. Wobei ich, für die Akten, das nicht so als den GAU einschätze, als den ihn Don hochzustilisieren versucht …
Schlußendlich gerät nun auch nur!studenten ins Rampenlicht, ein weiterer kuscheliger, aber älterer, Versuch Studenten zu vernetzen. Was Alfons mit »Studentenportal killen leicht gemacht« sagen will — vielleicht gibt's die Auflösung ja als Nachspeise an der Blogbar? (Sofern die Hardware mitspielt, sonst wird man sich woanders treffen müssen.)
Portals considered harmful to data security?
Zurück Weiter