Month: November 2006

Ich hatte es ja schon angedeutet: Die User-, Album- und Foto-IDs beim StudiVZ sind far from unique. Ich hatte in den Tagen vor dem Blogpost ein bisschen mit den Ids rumgespielt, und sie natürlich auch in ihre binäre Repräsentation umgewandelt, einfach weil es nahe lag. Leider habe ich mir nicht so viel Mühe gemacht wie andere Leute; ich habe aufgehört, nachdem ich festgestellt habe, dass die ersten paar Bits scheinbar recht egal sind.

Jetzt weiß wohl jeder weshalb.

Mein Offset ist übrigens 23.

Und zum Datenbank-Dump nur so viel.

Nachtrag: Jetzt gibt’s €256 pro Bug, was wegen mehrerer Gründe lächerlich ist. Udo findet es jedoch – aus anderen Gründen – interessant.

“When it comes to handling delicate matters affecting the survival of the planet, you want to send in the 79-year old German guy with a Marge Simpson hat, a history of talking directly to God, and seven decades of sperm backup. I don’t see how that could go wrong.”

Go read Scott Adams’ blog.

Merriam-Webster‘s top ten “Words of the Year” 2006 will be determined by an online poll. What could possibly go wrong?

I, for one, welcome our new l33tsp34k pwnage w0rd of the year overlordz.

“studiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt” – wobei “erfolgreich abgewehrt” bedeutet, dass man erst mal alles runtergefahren hat und dann für knapp acht Stunden down war. Der “Phishing-Angriff” (eigentlich ein XSS-Wurm, aber wer wird sich denn mit Details aufhalten wollen) hatte in der Zwischenzeit schon ordentliche Kreise gezogen und Unmengen von Benutzerdaten (Login und Passwort) ausgespäht. Kommt halt alles darauf an, wie man “Erfolg” definiert…

Wer könnte auch ahnen, dass man Benutzereingaben im ‘Web 2.0’ irgendwie filtern müsste.

“Dein Account wurde gelöscht. Vielen Dank dass du das Studiverzeichnis benutzt hast.”

Nochmal zur Erinnerung:

Die Stalker-Gruppe (“*****”):

Nachricht von Tobias W. 2006-07-25 11:45:17
Von: Tobias W.
An: Christian W.
Betreff: Deine Gruppe
Nachricht: Moin Christian,

[…]

Zuerst, okay ich bin ein Mann – also erster Eindruck… Ne, ernsthaft: die Inhalt in deiner Gruppe sind absolut okay […]

Kannst du die Beschreibung bitte in diese Richtung des Fotocontests abäñdern und diese – naja, sagen wir “pornographischen Elemente” – entfernen? […]

P.S.: Einer der Gründer (Michael B.) hätte übrigens gerne ne Einladung für die Gruppe… – ich würd mich dann da auch anschließen;-)

Die öffentlichen Bilder, die schlechten IDs, die Super-Suche, private öffentliche Pinnwände (mit unlöschbaren Nachrichten), immer öffentliche Freundesliste, etc.

Und jetzt noch der XSS-Wurm (und es war nicht die letzte XSS-Lücke).

Viel Spaß noch.

Update: schuehsch auch. 700 notgeile Stalker sind überzeugend, ne?

Alle Jahre wieder kommt die leidige Diskussion auf – machen “Killerspiele” unsere Kinder zu Mördern, Amokläufern oder gar Schlimmerem? Sollten wir am besten alles verbieten, was je ein Mörder getan hat, oder beschränken wir uns auf die leichten Ziele, die nur eine kleine Lobby haben?

Leider ist bei vielen unserer Politiker die populistische Reaktion direkt im Kleinhirn verankert – man muss aus Reflex sofort nach Verboten schreien, ohne sich großartig mit Nachdenken aufhalten zu müssen. Besonders beliebt ist seit jeher all das neumodische Teufelswerk mit grellen Lichteffekten und dämonischen Stimmen – Musik, TV und Computer. Nachdem wir den ganzen “Iron Maiden rückwärts spielen”-Hype geschafft haben und auch die Horrorfilme schon eine Weile nicht mehr in die Medien kamen, sind nun zum wiederholten Male die Computerspieler dran.

Es wird Zeit, dass “wir Killerspieler” uns das Wort “zurückerobern” und in der Öffentlichkeit präsenter werden. Um so mehr die Berichterstattung nämlich extremistisch (also den Extremen zugewandt) ist, desto leichter ist es für den Kurzschlusspopulismus, seine Parolen glaubhaft scheinen zu lassen.

Killerspieler — represent!

Continue reading ““Killerspieler”-Winterkollektion”

Internet Explorer habla Español. Apparently Microsoft mixed up the binaries. 😉

Neu im Shirt-Shop!

siehe auch: die Winterkollektion

Mir egal, ob das geschmacklos ist. Ich kann das Wort “Killerspiele” nicht mehr hören.

The new Pirelli Calendar is exceptional. Exceptionally boring.

Mozilla today made bug #360493 public. It describes an attack using cross-site forms and a security flaw in the Firefox Password Manager to read stored passwords for a different site. There is a proof of concept that demonstrates that the bug can even be abused without any hint to the user – the form need not be visible for the auto-fill of the credentials to work, and Firefox does not even give a warning.

The type of attack has been coined a Reverse Cross-Site Request (RCSR).

As of the time of this post, there is no fix available. However, a possible workaround is to set a Master Password and use the Master Password Timeout extension with a very short timeout. One can also disable the password manager altogether.

The bug existed since at least Firefox 1.5. Also, similar bugs seem to exist in at least IE 6 and 7, but Microsoft say they’re working on a fix.