Index of /etc/

7.12.2006

Sag mal als wie sicher würdest du denn jetzt das studi-vz bezeichnen?

Filed under: studiVZ — ghandi @ 21:24

Das fragt Sandro hier und ich versuche mich mal in einer kurzen Antwort.
Zur Zeit scheint sich der Fokus beim studiVZ auf drei wesentliche Aspekte zu konzentrieren. Das ist zum Ersten die Sicherheit der Daten eines einzelnen Benutzers. Also persönliche Angaben, die nicht für alle sichtbar sein sollen, wie zum Beispiel die Handynummer, aber auch so Sachen wie persönliche Nachrichten oder Bilder.
Zum Zweiten gibt es bei allen Plattformen die mit einer großen Menge Userdaten umgehen das Problem des massenhaften Abrufens von Userdaten. Das kann zum Beispiel für Marktforschungsinstitute sinnvoll sein. Wenn sich nach einer Analyse von 250.000 Useraccounts herausstellen würde, dass homosexuelle, verheiratete, Erstsemesterstudenten dazu neigen die Gruppe „CounterStrike zocke ich um im Reallife auf alles vorbereitet zu sein“ zu joinen, dann würde sich für diese Information sicherlich ein Käufer finden.
Der dritte Aspekt ist die Zuverlässigkeit der eingesetzten Software. Wenn sich ein User selbst in eine Gruppe einladen kann, und dabei Vorkehrungen umgeht, die den Mods der Gruppe eigentlich das Privileg verschaffen sollen dies als einzige zu tun, dann Arbeitet die Software nicht so wie sie soll. Das gleiche trifft zu, wenn ein User automatisiert „Freunde“ adden kann und dabei die Captchaabfrage verscheißert, oder sich irgendwelcher Code auf dem Servern ausführen lässt.

Die Daten eines einzelnen Benutzers

Welche Daten ich ins studiVZ oder in irgendein anderes Webformular eingebe, ist mir selbst überlassen. Es ist blauäugig zu glauben, dass meine Daten nur dort wieder aftauchen wo ich sie selbst am liebsten sehen würde. Selbstverständlich können die Admins vom studiVZ alle meine Bilder sehen, alle meine Messages lesen, und ausprobieren, ob mein studiVZ-Passwort auch bei der Emailadresse funktioniert, die ich angegeben habe. Und weil das ganze auf einem Computer gespeichert ist, können das nicht nur die Admins des studiVZ, sondern auch alle, die bisher an die Daten gekommen sind oder an die Daten kommen werden.
Dieses Problem ist aber nicht studiVZ-spezifisch, sondern trifft genauso auch auf alle anderen Formulare zu. Oder, um es ganz deutlich zu sagen: Was ein User ins Internet wirft ist öffentlich, es sei denn der User trifft selbst Maßnahmen wie Verschlüsselung, um die Daten zu schützen.
Wer heute Student ist sollte ungefähr wissen was das Internet ist und muss selbst entscheiden, ob er die damit verbundenen Risiken eingeht oder nicht.

Dei Daten von $vielen Benutzern.

Es ist möglich das Internet und einzelne Dateien mit einem Programm zu durchsuchen und gegebenenfalls abuspeichern. Die Userdaten, die ein Crawler aus dem studiVZ holen kann, passen (ohne die Bilder) locker auf eine handelsübliche Festplatte. Um Werbung zielgruppenorientiert zu platzieren, oder soziologische Studien anzustellen ist studiVZ eine hervoragende Plattform. Bei eintsprechender Größe der Datenbank, können die Daten auch zur Rasterfahndung, oder Suche nach $auffälligkeiten eingesetz werden.

Das studiVZ-System

Bei der Entwicklung der Plattform scheinen die Programmierer sehr „featureorientiert“ vorgegangen zu sein. Das zeigen die bereits veröffentlichten Bugs. Usereingaben werden wurden an vielen Stellen nicht zuverlässig überprüft. In der Regel ist es sinnvoll größere Projekte von Beginn an „anständig“ zu Programmieren, weil das rumschustern im laufenden Betrieb häufig neue Fehlerquellen produziert. Ich glaube das sollten die studiVZ-Leute in den letzten Wochen gelernt haben.

 

Was sie noch nicht so gut drauf haben ist der Umgang mit gefundenen Fehlern bzw. deren Findern. Es gab da wohl Leute, die mehr als nur einen Fehler gemeldet haben, aber nur den einfachen „Finderlohn“ erhalten sollen. Ich könnte mir vorstellen, dass sich einige Leute jetzt nicht mehr die Mühe machen werden die gefundenen Bugs zu melden; schlimmstenfalls werden Leute versuchen anderswo einen „Finderlohn“ für Ihre Arbeit zu bekommen. 256€ pro gefundenem Fehler sind für das studiVZ eigentlich ein Schnäppchen, das wissen auch die „Lückensucher“.

gruß
ghandi

Advertisements

8 Kommentare »

  1. und ausprobieren, ob mein studiVZ-Passwort auch bei der Emailadresse funktioniert

    Im StudiVZ-Blog stand mal

    Kann jemand mein Passwort einsehen?
    Nein. Passwörter werden in unserer Datenbank generell verschlüsselt gespeichert, so dass nicht einmal Mitarbeiter auf diese Zugriff haben.

    Ist so eigentlich auch üblich, oder?

    Kommentar von Jorge — 7.12.2006 @ 23:16

  2. @Jorge

    Das Passwörter verschlüsselt gespeichert werden gehört zum „guten Ton“ und ist vermutlich auch beim studiVZ so.
    Trotzdem können (wenn sie denn wollen) die Admins das Passwort im Klartext bekommen, der User schickt es ja schließlich im Klartext an den Server.

    gruß
    ghandi

    Kommentar von ghandi — 8.12.2006 @ 11:50

  3. „Es gab da wohl Leute, die mehr als nur einen Fehler gemeldet haben, aber nur den einfachen “Finderlohn” erhalten sollen.“

    Na klar, „lumpige“ 256,- EUR, was ist das schon? Für jeden Fehler müsste es 10.000,-, 50.000,-, ach was sag ich, gleich einen Mittelklassewagen geben oder eine Karibikreise oder lebenslang All-you-can-eat bei McDonalds.

    Ich empfinde es als selbstverständlich, dass jemandem seine Fehler „einfach so“ mitgeteilt werden. Das ist ähnlich wie mit Finderlohn für was Verlorenes: Wenn’s dann noch eine Belohnung gibt, umso besser, aber verlangen kann man das als ehrlicher Mensch nicht.

    Wo lebt ihr denn eigentich??

    Kommentar von don b — 10.12.2006 @ 12:31

  4. @Jorge: Keines Deiner Passwörter ist vor anderen sicher. Das gilt für das ganze Internet!

    Ich lese immer nur „studiVZ“ 🙂

    Kommentar von don b — 10.12.2006 @ 12:33

  5. Hallo don b,

    im Blog vom studiVZ steht:

    „Jede tatsächliche XSS- oder CSRF-Lücke, die Ihr findet und uns meldet ist ab sofort“ … „256 € wert.“

    Das waren die Spielregeln, und mein Eintrag dazu ist der kostenfreie „einfach so“ Hinweis auf einen Fehler, der dem studiVZ da offensichtlich passiert. Wo ist also dein Problem?

    gruß
    ghandi

    Kommentar von ghandi — 10.12.2006 @ 18:49

  6. StudiVZ: Chronologie (Stand: 11.12.2006)

    eine subjektive Aufstellung von informativen und/oder lesenswerten Links zu StudiVZ in chronologischer Reihenfolge

    berarbeitet und bis zum aktuellen Stand .. to be continued..

    Trackback von Beissreflex — 12.12.2006 @ 10:07

  7. Wird Studi.vz ab heute Abend wieder laufen?

    Kommentar von Guido — 29.10.2008 @ 11:58

  8. casino standards

    Sag mal als wie sicher würdest du denn jetzt das studi-vz bezeichnen? | Index of /etc/

    Trackback von casino standards — 22.11.2014 @ 18:27


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Erstelle eine kostenlose Website oder Blog – auf WordPress.com.

%d Bloggern gefällt das: