CoreSEC

Hm da reden sich die Netzwerke aber mal fein raus

Aber schön das jemand nochmal zeigt, das es immernoch möglich ist “böse” Dinge anzustellen. Trotz einem Tüv Siegel

Hallo Florian,

sehr schöne Arbeit hast Du da abgeliefert. Magst Du nicht auch mal die Sicherheitslücken von Planetromeo.com analysieren? Ich denke da gibt es noch wesentlich mehr zu tun, als bei den VZ’lern.
Nochinteresannter fände ich auch die “Entertainment-Shopping”-Site swoopo. Dort wird ja eigentlich so eine Art Glückspiel um die angeblichen Schnäpchen betrieben. Auch deren Seite hat ein “Zertifikat” des TÜV-Süd bekommen, welches meines erachtens noch viel schädlicher für die “Kunden” dieses Portals ist, weil nicht untersucht wurde, ob der Anbieter schummelt. Es wurde nicht einmal der Source-Code angeschaut sondern nur ein “safer Shopping”-Zertifikat vergeben. dabei kann man die Produkte ja eigentlich gar nicht kaufen sonder nur “gewinnen”. Auffällig ist aber, daß da oft dieselben “Leute” gewinnen…

Well done! Ich war gerade gestern in einer Schule als Referent über Probleme und Gefahren bei der Benutzung von sozialen Netzen

Deine Analyse enthält keinen Hinweis auf irgendeine Veröffentlichungslizenz; würde es Dir etwas ausmachen, das Werk unter eine Creative-Commons-Lizenz (oder eine artverwandte) zu stellen? Dann wäre es möglich, das PDF zu mirrorn und weiterzugeben…

Gute Arbeit und herzlichen Glückwunsch dafür, dass du damit den Stoff für den “neuen Skandal um eine mögliche Sicherheitslücke” für Spiegel-Online geliefert hast.
Die zusätzliche öffentliche Aufmerksamkeit für das Thema zwingt zum Glück bestimmt wieder einige Schüler_Innen , Eltern und Lehrer_Innen dazu, sich mit Datenschutz zu beschäftigen.

M.E. zeigst du damit aber ein Problem auf, dass schuelerVZ gar nicht beheben kann, es sei denn die Anbieter der Webseite würden ihre AGB, ihren Namen (..”Verzeichnis” ) und große Teile der Seitenstruktur verändern. Als Zwischenlösung wird doch von einigen Kommentatoren vorgeschlagen, dass sich doch bitte Schüler_Innen nur unter Pseudonym anmelden sollten. Mich würde dabei drängend interessieren, wie hoch in etwa der Anteil der Schüler_Innen ist, die dies bereits tun!

Wäre es möglich, dass du dies anhand deiner Daten schätzen kannst?

Glückwunsch, gut gemacht. Auch toll wie das Ganze publiziert wurde.
Daumen hoch.

@Florian: Sehr gute Arbeit, weiter so. Erschrenkend wie einfach die Daten abgegriffen werden können. Der technische Aufwand zur Absicherung der Daten, den die VZGruppe betreibt, ist echt lächerlich. Hoffentlich erstattet jemand Anzeige gegen die Betreiber der Netzwerke wegen nicht vorhandenen Datenschutz, und hoffentlich verdonnert mal ein Gericht die Verantwortlichen zu einer empfindlichen Geldstrafe. Das hätte dann auch Symbolcharacter für die vielen anderen Netzwerke, die oft noch offener mit sensiblen Daten umgehen.

Respekt. Klasse Arbeit. Das wird, denke ich, wie beim letzten mal, in den Medien platt getreten und “überwacht”.

Vom Prinzip her eigentlich eine logische Abwicklung. Das da noch keiner vorher drauf gekommen ist…!

Was ich nicht verstehe: Alles wird verboten und verschärft. Warum greift im Internet nicht der Jugendschutz und verbietet ganz klar unter 18 Jährigen sich im Internet auf dem Silbertablett anzubieten??

Das Thema wird sicher einige Konsequenzen nach sich ziehen… (für die VZler)

Also: Viel Ruhm und Ehre!!!

greetings.

Nach Heise und Golem nun auch bei den ZDF Heute-Nachrichten… nicht schlecht

Und die Kiddies im schülerVZ beschweren sich über den anscheinend ja noch viel zu lockeren “Kurzurlaub”.

Ordentliche Aktion und außerdem Danke für deine Analysen zum Thema Crawler Erkennung im VZ.
In den entsprechenden Gruppen wurde ja schon länger besprochen, dass deren System extrem löchrig ist, aber das liebe VZ bewahrt Stillschweigen und kehrt alles “wird schon nix passieren” unter den rosa Teppich.

Ich habe übrigens bemerkt, dass die User-IDs teilweist zufällig generiert werden, alte Links aber anscheinend immer zum gleichen Profil führen, denn meine .tk Adresse die einfach via Header Redirect auf mein Profil weiterleitet funktioniert immernoch.

das mit dem foto schmeckt iwie komisch

deine arbeit ist nicht sonderlich kreativ oder intelligent. jeder der halbwegs curl bedienen kann, kann automatisiert webseiten abgrasen und weiss ick was damit machen. es zeigt lediglich wie viel langeweile ein mensch haben muss, um sich an so einem blödsinn festzubeissen, der am ende wieder in einer hetzerei gegen vz endet. dass schlussendlich irgendwann alle bei facebook landen, wo die daten in amerika liegen, wo man nicht mal crawlen muss, damit sie den laden verlassen, dass kapiert auch ihr spackos irgendwann.

andi: das wissen wir alle, florian liebt es aber aufmerksamkeit zu generieren und wenn möglich auf sich zu fokussieren – siehe seine anderen einträge hier…

Warum wäre das in dieser Form z.B. bei facebook nicht möglich, bzw. sind tatsächlicher besser geschützt.

Hast du den Crawler selbst auch veröffentlicht, weil in dem Paper die Benutzung beschrieben ist?

Ich ärgere mich grün und blau, dass immer mehr einfallslose Trittbrettfahrer auf die unheimlich revolutionäre Idee kommen ein paar triviale cURL-Scripts in PHP zusammen zu schustern, um damit öffentliche Aufmerksamkeit zu erregen. Was hast Du — ausser medialem Buzz — damit erreicht? Du hilfst trägen ignoranten Kommerzflaggschiffen wie den VZ-Netzwerken dabei Werbekosten zu sparen und eröffnest gleichzeitig auch noch ein paar Bugtickets für sie. Sollte das Gerücht (?) wahr sein, und LenaML Kernthema Deiner Abschlussarbeit sein, so hoffe ich, dass sie mangels fachtheoretischem Anspruch abgelehnt wird.

Alter_Hut :
[edited]

Dem stimme ich zu. Besser wäre es gewesen, zu zeigen, wie einfach es für jeden möglich ist, Daten aus dem Netz zu sammeln.

Außerdem wäre es sinnvoll erst alle Kommunikationswege(Post, Telefon, ggf. Persönlich) ausszuschöpfen, bevor Dritte eingeschaltet werden.

Weiter halte ich den Namen \LenaML\ für den Crawler für einen \Wissenschaftler\ nicht angebracht. Da dieser überhaupt nichts mit dem Crawler zu tun hat und es so aussieht, als wenn er nur dazu dient sich selbst zu profilieren.
Eine wissenschaftliche Arbeit sieht m.M.n. anders aus.

@fLoo
Das tue ich bereits seit geraumer Zeit. Und noch dazu habe ich bewusst auf mediale Berichterstattung verzichtet. Waren zwar Höllenqualen, weil mein Ego Amok lief, aber ich habs durchgestanden.

Tach Florian,

gute Arbeit! Die vorhergehenden Kommentare wie einfach oder schwierig, kreativ oder nicht kreativ das ist kann ich nicht beurteilen, spielt aber auch überhaupt keine Rolle. Ich finde aber man kann gar nicht genug Öffentlichkeitsarbeit auf diese Weise leisten. Grade SchülerVZ finde ich was das betrifft kritisch, denn die ab 12 jährigen Kiddies werden ja nunmal auch gerne Opfer irgendwelcher Perverser. Mit deiner Arbeit machst du positiven Wirbel, vielleicht rüttelt das die Betreiber auf mal Ihre Sicherheitspolitik großflächig zu überdenken, aber auch Eltern wieder mehr darauf zu achten was Ihre Sprösslinge so treiben bzw. ob Plattformen dieser Art das richtige für sie sind.

Also: Weitermachen!

fLoo :
1. Ich werde nicht von den VZ-Netzwerken angestellt. Das ich bereits zwei Mal per Mail Kontakt gesucht habe ist mehr als freundlich von mir.
2.Ich bin kein Wissenschaftler.
3. Der Crawler war eine wissenschaftliche Arbeit, das Paper sollte lediglich eine Doku sein welche dann erweitert wurde.

zu 1. sehe ich anders, wenn es Dir wirklich wichtig gewesen wäre auf den Crawler hinzuweisen, hättest Du alles daran setzen müssen den Kontak herzustellen. Eine oder zwei E-Mails sind da nicht ausreichend.
Der Aufwand wäre nicht größer gewesen, als diese PR Aktion.

zu 2. Ich weiß das Du nur Student bist, aber in einigen Artikeln (Internet,Teletext) steht Wissenschaftler.

zu 3. Der Name des Crawlers ist unpassend. Aber das scheint ja wohl heute so zu sein, das man irgendwelche Tools nach Castingshow Kandidaten benennt. Als Schüler mag das ja noch gerade so gehen, aber als Student???

Ich würde mal versuchen die Sicherheit Deiner eigenen persönlichen Daten sicherzustellen.

Interessante Jugendfotos –> http://bit.ly/bH1FNY

Hallo,

vielleicht sagt dir mein Name ja was

Pass auf dass gegen dich nicht die Staatsanwaltschaft wg. Verstoß gegen das Datenbankschutzgesetz ermittel oder sogar den §202a in abstruser Form zur Anwendung bringt. So bei mir geschehen!

Will StudiVZ nun wieder Captchas zum Einsatz bringen? Was hatten Sie denn gegen reCaptcha?

@fLoo
>Interessante Jugendfotos –> http://bit.ly/bH1FNY

nice one!

Ich finde Florian hat das ordentlich gemacht. Dass es nicht gerade empfehlenswert ist für VZ, dass der Code nun im Netz rumfliegt, oder dass ein erster, zweiter, dritter, … Prototyp nicht gerade aussieht wie eine durchgestylte Standardbibliothek ist auch klar. Am Ende hat es funktioniert. Und wer weiß, vielleicht (wahrscheinlich) ist Florians Crawler garnicht der Erste, der bei VZ reinguckt.

Auf jederfall eröffnen so viele Datenpunkte eine super Grundlage zur Datenanalyse.