StudiVZ: Was wir können, kann Unister schon lange.
{8}Vorsicht, böse Falle. Wer jetzt denkt, ich möchte Werbung für Unister machen, vertut sich. Es geht im Gegenteil darum, vielleicht als erster, durch mein eigenes Missgeschick, auf eine Sicherheitslücke hingewiesen worden zu sein. Session-Hijacking nennt sich das Ganze, und ist nur machbar, da Unister (wie viele andere Social Networks) jene zum Teil im Klartext, auf jeden Fall aber in den URL integrieren. Möchte man auf eine Seite verlinken, kopiert man für gewöhnlich den URL aus der Browserzeile — tut man doch, oder? — und integriert ihn an anderer Stelle zum Verweis.
Gesagt, getan. Ein Unister-Magazin-Artikel bewog mich, einen Link darauf zu setzen, um auf einen Kommentar zu verweisen. Ich kommentierte den Link außerdem in der blogbar, um darauf hinzuweisen, dass Naivität nicht nur im StudiVZ in Teilen versammelt sei. Der Hamburger Kai Pahl meldete sich umgehend bei mir, man könne sich meines Profils bemächtigen. In den Kommentaren des Artikels in der blogbar kam es unmittelbar zur Diskussion. Man entfernte auch dort den Link, den ich eingestellt hatte und informierte ebenfalls Unister über dieses Sicherheitsleck. Dass nicht nur Pahl sich zu Zwecken der Illustration an meinem Nutzerprofil zu schaffen machte, zeigen die Kommentare und folgender Screenshot kann als Beweis für Veränderungen dienen:
Die Einträge Heimatstadt und Heimatland wurden von zwei unterschiedlichen Personen verändert. Das geht auch aus den Kommentaren in der Blogbar hervor.
Die ganze Zeit über war “ich” allerdings bei Unister eingeloggt. Hätte ich mich ausgeloggt, wäre die Session wohlmöglich nach einer gewissen Zeit abgelaufen. Doch eigentlich sollte es nicht möglich sein, dass in einem System zwei verschiedenen IP-Nummern (Ich, Kai Pahl aus Hamburg, u. a. m.) unter ein und demselben Profil eingeloggt sein dürften. Kinderkrankheiten aus den ersten Tagen des Webs, als z. B. Foren aufkamen. Man fragt sich, warum solche Dinge heute, im Kontext von Social Web oder Web 2.0 noch immer nicht im Vorfeld ausgemerzt werden. Es drängt sich der Verdacht auf, dass die achso tollen Programmierer solcher Projekte ihren Code lediglich kopieren, und sich so die Fehler ungesehen fortpflanzen.
Dass Nutzer sich für gewöhnlich nicht ausloggen (neudeutsch f. abmelden), hat hauptsächlich in der Bequemlichkeit seine Gründe. Es sei jedem angeraten, in Zukunft darüber nachzugrübeln, ob man sich vielleicht nicht doch besser “immer” abmeldet. Ansonsten läuft man Gefahr, dass man anderen, egal in welchem Kontext, Tür und Tor öffnet. Bei besonders sensiblen Daten zur eigenen Person ist besonders viel Vorsicht geboten.
Hinzufügen zu del.icio.us, Mr. Wong, LinkARENA, SEOigg
Tags Datenschutz, Session-Hijacking, Sicherheitsloch, StudiVZ, Unister
Kategorie Media · Autor Alexander Trust · 8 Kommentare
December 6, 2006 · 9:42 pm
AHA! Nicht nur das studiVZ hat Lücken. Wer hätte das gedacht?
Nachdem sich jetzt alle ausgiebig auf das studiVZ gestürzt haben, sollte also das gleiche mit allen anderen Internetseiten gemacht werden, die ebenfalls viel zu wünschen übrig lassen beim Thema Datenschutz. Schön, dass das mal jemand entdeckt hat. Bei http://www.nurstudenten.de z.B. geht es nämlich, dass man sich Profile und Bilder von Mitgliedern ansehen kann, ohne eingeloggt zu sein.
http://www.nurstudenten.de/index_start.php?trefferid=11201
http://www.nurstudenten.de/bilder/profil_V3S7hBKRO5.jpg
Obwohl doch in deren AGBs folgendes steht:
“Wir werden deine personenbezogenen Daten unter keinen Umständen zu Werbe- oder Marketingzwecken an Dritte weitergeben oder anderweitig Dritten zugänglich machen.
Du entscheidest selbst, welche der von dir eingegebenen personenbezogenen Daten andere Mitglieder von nur!studenten einsehen können.”
http://www.nurstudenten.de/datenschutz.php
Der nächste Skandal!!!
Also, bitte schnell Don Alf bescheid sagen!
Aber halt, Don Fonso wird das nicht interessieren, weil er sich wahrscheinlich nicht von seinem Lieblingsthema trennen will, denn ihm geht’s ja gar nicht darum alle Misstände im Internet aufzuklären, wenn’s um Datenschutz geht, nein, ihm geht’s darum, seinen Privatkrieg weiterzuführen. Das hat ja wohl schon jeder mitbekommen
December 6, 2006 · 9:47 pm
@don b: Vielen Dank für den Kommentar. Ich werde die Sache nachher mal eingehender beleuchten, vielleicht sogar schon heute einen Artikel dazu schreiben. Na ja, Privatkrieg. Man(n) hat ja auch nicht ewig viele Ressourcen. Wenn man noch ein Privatleben haben möchte, kann man sich nicht der gleichen Art und Weise auf alles und jedes stürzen, was einem Im Web so über den Weg läuft. Seine Kräfte zu konzentrieren ist vielleicht nicht verkehrt, aber na ja… muss jeder selbst wissen, am Ende.
December 6, 2006 · 10:37 pm
@Alexander: Ich verstehe
“… Man(n) hat ja auch nicht ewig viele Ressourcen. Wenn man noch ein Privatleben haben möchte, …”
Wie bitte? Wenn man sich die Anzahl und Länge von Don Fons Texten (nein, nicht “Beiträgen”, denn Beiträge sind für mich ein Beitrag zu einem Thema und “Hasstiraden” würde es dann doch eher treffend beschreiben) anschaut, dann merkt man doch ziemlich schnell, dass der Don Alfi KEIN Privatleben (oder ein Leben neben dem Ich-mach-das-studiVZ-fertig-koste-was-wolle) haben kann. Arme Sau
Und für’s studiVZ scheint er unendlich viel Ressourcen zu haben, wie’s mir scheint. Komisch, komisch… Ich möchte fast wetten, dass es ihn wirklich einen Sch**ss interessieren würde, was z.B. bei nurstudenten oder sonstwelchen Seiten nicht richtig läuft.
Bei Flickr kann man sich übrigens auch Fotos anschauen, die nicht für einen bestimmt sind, solange man nur die URL irgend woher bekommt. Aber okay, das geht jetzt zu weit.
Ich möchte an dieser Stelle weder für noch gegen das studiVZ Stellung beziehen, denn mir geht’s hier um was Allgemeineres (viele Internetseiten haben Sicherheitsprobleme) und um die Art und Weise wie man sich damit beschäftigt (auf jeden Fall nicht wie der Don es macht, meiner Meinung nach). Längst geht es ihm doch nicht mehr um das Wesentliche. Der beisst sich nur fest wie eine Hyäne am Stück Aas, schaltet das Hirn ab und schüttelt den toten Kadaver wie ein Irrer, obwohl’s da langsam nichts mehr zu schütteln gibt
Aber gut, wie gesagt, ich habe, denke ich, zwischen Deinen Zeilen lesen können und bin beruhigt. Mich freut es daher umso mehr, dass es noch Blogger gibt, die sich nicht wie die Fliegen auf die Scheibenkleistermasse stürzen, blind und ohne nachzudenken.
Danke!
December 7, 2006 · 4:15 am
Unister.de: Mindestens so anfällig wie Studivz?…
Bei Jörg-Olaf Schäfers und insbesondere bei Alexander Trust wird über einen Bug im Sessionhandling berichtet, über den l……
December 7, 2006 · 7:57 am
Hallo Alexander!
Dein Profil ist immer noch für Leute, die von gestern Nachmittag die URL angeklickt haben sicht- und veränderbar!
Würde dir wohl raten dieses Profil zu löschen, und ein neues zu erstellen… wer weiß wie lang die Session noch gültig ist…
Grüße
Matthias
December 7, 2006 · 8:37 am
[...] Edit: Mehr dazu hier [...]
December 7, 2006 · 6:03 pm
Operationen am offenen Herzen…
Der mir freundlicherweise zugetragene Link auf den Bau von Flugzeugen in der Luft paßt sehr schön auf die Situation, in d……
December 7, 2006 · 9:58 pm
[...] Nur über teure Spritzen kann sich das Studiverzeichnis von Konkurrenten abheben: Denn auch bei Unister klafft eine Wunde im Schutz, und bei Nur!Studenten kann ziemlich frei herumgeclickt werden, wenn man nur einen beliebigen Link bekommt, um die Einwahlseite zu umgehen. Fazit: Verkauft ist nichts, die Daten sind aber schon ausgeliefert. [...]