Go read Scott Adams’ blog.
Word of the Year 2006 will be “pwnage”
Merriam-Webster‘s top ten “Words of the Year” 2006 will be determined by an online poll. What could possibly go wrong?
I, for one, welcome our new l33tsp34k pwnage w0rd of the year overlordz.
StudiVZ: “Erfolg” ist Definitionssache
“studiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt” – wobei “erfolgreich abgewehrt” bedeutet, dass man erst mal alles runtergefahren hat und dann für knapp acht Stunden down war. Der “Phishing-Angriff” (eigentlich ein XSS-Wurm, aber wer wird sich denn mit Details aufhalten wollen) hatte in der Zwischenzeit schon ordentliche Kreise gezogen und Unmengen von Benutzerdaten (Login und Passwort) ausgespäht. Kommt halt alles darauf an, wie man “Erfolg” definiert…
Wer könnte auch ahnen, dass man Benutzereingaben im ‘Web 2.0’ irgendwie filtern müsste.
StudiVZ: I’m off
“Dein Account wurde gelöscht. Vielen Dank dass du das Studiverzeichnis benutzt hast.”
Nochmal zur Erinnerung:
Die Stalker-Gruppe (“*****”):
Nachricht von Tobias W. 2006-07-25 11:45:17
Von: Tobias W.
An: Christian W.
Betreff: Deine Gruppe
Nachricht: Moin Christian,[…]
Zuerst, okay ich bin ein Mann – also erster Eindruck… Ne, ernsthaft: die Inhalt in deiner Gruppe sind absolut okay […]
Kannst du die Beschreibung bitte in diese Richtung des Fotocontests abäñdern und diese – naja, sagen wir “pornographischen Elemente” – entfernen? […]
P.S.: Einer der Gründer (Michael B.) hätte übrigens gerne ne Einladung für die Gruppe… – ich würd mich dann da auch anschließen;-)
Die öffentlichen Bilder, die schlechten IDs, die Super-Suche, private öffentliche Pinnwände (mit unlöschbaren Nachrichten), immer öffentliche Freundesliste, etc.
Und jetzt noch der XSS-Wurm (und es war nicht die letzte XSS-Lücke).
Viel Spaß noch.
Update: schuehsch auch. 700 notgeile Stalker sind überzeugend, ne?
“Killerspieler”-Winterkollektion
Alle Jahre wieder kommt die leidige Diskussion auf – machen “Killerspiele” unsere Kinder zu Mördern, Amokläufern oder gar Schlimmerem? Sollten wir am besten alles verbieten, was je ein Mörder getan hat, oder beschränken wir uns auf die leichten Ziele, die nur eine kleine Lobby haben?
Leider ist bei vielen unserer Politiker die populistische Reaktion direkt im Kleinhirn verankert – man muss aus Reflex sofort nach Verboten schreien, ohne sich großartig mit Nachdenken aufhalten zu müssen. Besonders beliebt ist seit jeher all das neumodische Teufelswerk mit grellen Lichteffekten und dämonischen Stimmen – Musik, TV und Computer. Nachdem wir den ganzen “Iron Maiden rückwärts spielen”-Hype geschafft haben und auch die Horrorfilme schon eine Weile nicht mehr in die Medien kamen, sind nun zum wiederholten Male die Computerspieler dran.
Es wird Zeit, dass “wir Killerspieler” uns das Wort “zurückerobern” und in der Öffentlichkeit präsenter werden. Um so mehr die Berichterstattung nämlich extremistisch (also den Extremen zugewandt) ist, desto leichter ist es für den Kurzschlusspopulismus, seine Parolen glaubhaft scheinen zu lassen.
Killerspieler — represent!
Die neue Winterkollektion
men
men
women
Internet Explorer habla Español
Internet Explorer habla Español. Apparently Microsoft mixed up the binaries. 😉
Politisch inkorrekt
Mir egal, ob das geschmacklos ist. Ich kann das Wort “Killerspiele” nicht mehr hören.
Pirelli Blandness
The new Pirelli Calendar is exceptional. Exceptionally boring.
Firefox 2.0 Password Manager Bug
Mozilla today made bug #360493 public. It describes an attack using cross-site forms and a security flaw in the Firefox Password Manager to read stored passwords for a different site. There is a proof of concept that demonstrates that the bug can even be abused without any hint to the user – the form need not be visible for the auto-fill of the credentials to work, and Firefox does not even give a warning.
The type of attack has been coined a Reverse Cross-Site Request (RCSR).
As of the time of this post, there is no fix available. However, a possible workaround is to set a Master Password and use the Master Password Timeout extension with a very short timeout. One can also disable the password manager altogether.
The bug existed since at least Firefox 1.5. Also, similar bugs seem to exist in at least IE 6 and 7, but Microsoft say they’re working on a fix.
StudiVZ in den Medien (Privatsphäre für Anfänger)
Jaja, die Leute schreiben immer noch übers StudiVZ. Also schreib ich jetzt endlich mal die Sachen auf, die ich in den letzten Monaten (seit meiner Anmeldung beim StudiVZ, Mitte September) so bemerkt habe.
Das mit den Bilder-URLs ist ja schon stadtbekannt. Natürlich machen alle anderen Großen – wie Xing, flickr, etc. – auch so, und das macht es nicht viel besser, aber das ist ja kein Grund, nicht darüber zu schreiben. Man kann also auf Bilder immer zugreifen, wenn man eine direkte URL hat. Na gut.
Viel interessanter fand ich: Die User-IDs sind nicht unique. Man kann die ersten 8-24 Bits (je nach Länge der ID) recht frei ändern und landet immer noch auf dem selben Profil. Das selbe gilt für die Album-IDs und vermutlich auch für die Bild-IDs. Na, was das wohl für ein Algorithmus ist… *hust*
Jedenfalls kann man so sehr leicht alle Benutzer, Alben und Bilder enumerieren, indem man der showalbum.php beliebige IDs in relativ großen Schrittweiten gibt. Wenn man einen Treffer hat, steht die ‘wahre’, primäre Album-ID (sowie Titel und Besitzer) im Seitenquelltext. Damit kann man dann den Bildserver behämmern. Für nicht-öffentliche Alben muss man dann nur den Rest des Suchraums durchgehen, oder man knackt einfach die ID-Erzeugung. Der Bilderserver geht jetzt schon merklich in die Knie.
Listen aller Alben eines Benutzers gibt’s bei showpeoplealbums.php, wobei auch hier gilt: etwa die Hälfte der ID ist eh wurscht. Es gibt verschiedene Meldungen für “Album ist noch leer” und “hat keine Alben”.
Immerhin hat man durch die eigenen IDs (3-6 Zeichen) gegenüber UUIDs (16-36 Zeichen) Traffic gespart…
Auch interessant: Das StudiVZ benutzt offenbar Smarty und sajax. Smarty, klar, sinnvoll. Sajax, auch sinnvoll, aber hoffentlich haben sie nicht zu viele Funktionen exportiert, auf die Normalsterbliche eigentlich gar nicht zugreifen können sollten. Na, wer will’s testen?
Was haben wir noch … ach ja, das mit den nichtöffentlichen Profilen? Geht ja auch grade durch die Welt… sei es nun friends.php oder profile_guestbook_large.php oder showpeoplealbums.php, man kann sich so ziemlich alle Teile eines “privaten” Profils ansehen. Hübsch. Da fällt auch das “Diese Nachricht wurde von Foobar gelöscht und
wird anderen Mitgliedern nicht mehr angezeigt” nicht mehr ins Gewicht.
Hätte ich mich doch nur noch ein paar Wochen länger geweigert, da mitzumachen! Le seufz! Todo für morgen: Profile meiner Freunde scrapen, mein Profil löschen, Freunde per ICQ anhauen, done. Gute Nacht.