eine subjektive Aufstellung von informativen und/oder lesenswerten Links zu StudiVZ in chronologischer Reihenfolge

�berarbeitet und bis zum aktuellen Stand .. to be continued..

im Blog vom studiVZ steht:

„Jede tatsächliche XSS- oder CSRF-Lücke, die Ihr findet und uns meldet ist ab sofort“ … „256 € wert.“

Das waren die Spielregeln, und mein Eintrag dazu ist der kostenfreie „einfach so“ Hinweis auf einen Fehler, der dem studiVZ da offensichtlich passiert. Wo ist also dein Problem?

gruß
ghandi

Ich lese immer nur „studiVZ“

Na klar, „lumpige“ 256,- EUR, was ist das schon? Für jeden Fehler müsste es 10.000,-, 50.000,-, ach was sag ich, gleich einen Mittelklassewagen geben oder eine Karibikreise oder lebenslang All-you-can-eat bei McDonalds.

Ich empfinde es als selbstverständlich, dass jemandem seine Fehler „einfach so“ mitgeteilt werden. Das ist ähnlich wie mit Finderlohn für was Verlorenes: Wenn’s dann noch eine Belohnung gibt, umso besser, aber verlangen kann man das als ehrlicher Mensch nicht.

Wo lebt ihr denn eigentich??

Das Passwörter verschlüsselt gespeichert werden gehört zum „guten Ton“ und ist vermutlich auch beim studiVZ so.
Trotzdem können (wenn sie denn wollen) die Admins das Passwort im Klartext bekommen, der User schickt es ja schließlich im Klartext an den Server.

gruß
ghandi

und ausprobieren, ob mein studiVZ-Passwort auch bei der Emailadresse funktioniert

Im StudiVZ-Blog stand mal

Kann jemand mein Passwort einsehen?
Nein. Passwörter werden in unserer Datenbank generell verschlüsselt gespeichert, so dass nicht einmal Mitarbeiter auf diese Zugriff haben.

Ist so eigentlich auch üblich, oder?