Kollege »corona« von fimpern.de hat ja dankenswerterweise küzlich zu blogdoch verlinkt — ich möchte da nicht nachstehen und jeden blogdoch-Leser ermutigen, auch bei einem flauen Leserratio (), sich auf fimpern.de umzusehen.
Ich denke nach wie vor, daß jene Site unterrepräsentiert ist in der deutschsprachigen Blogosphäre; der einzigartige Humor, die tiefsinnigen historischen Berichte … all das sollte man sich nicht entgehen lassen!

Kurz und schmerzlos, an der Uni St. Gallen (Schweiz) ist man auf Ehssan Dariani nicht mehr gut zu sprechen. Laut 20 minuten, einem schweizer Newsportal, war »das von einem ehemaligen HSG-Studenten gegründete Netzwerk StudiVZ.net Thema einer eigens einberufenen Sitzung zwischen Universitätsleitung und Studentenschaft.«
Der Präsident der Studentenschaft, Florian Düvelius, wird dort im Hinblick auf Dariani wie folgt zitiert: »Ich bin betroffen, dass sich ein ehemaliger Mitstudent derart verhält«. Antisemitismus und Sexismus würden an der Uni St.Gallen nicht toleriert, heißt es weiter.
Auch das St. Gallener Tagblatt hat [die jüngsten Probleme von Studivz mittlerweile thematisiert. Fazit: »Aufgrund dieser mannigfaltigen Probleme erstaunt es nicht, dass sich StudiVZ-Gründer Ehssan Dariani vollumfänglich auf sein in Berlin ansässiges und über 50 Mitarbeiter zählendes Unternehmen konzentrieren muss und das HSG-Studium auf Eis gelegt hat. Vielleicht hätte es ihm gut getan, die eine oder andere zusätzliche Vorlesung zu besuchen. Sein Werk wäre ein Negativbeispiel fürs Lehrbuch.«

Ruhig wurde es hier auf blogdoch.net in den letzten Tagen, was aber mehr mit einem aufgrund des sich nähernden Jahrensendes immer weiter füllenden Terminkalenders zu tun hat denn mit einem Mangel an Themen. (Eigentlich paradox, je weniger Jahr noch bleibt, desto mehr Arbeit manifestiert sich. Glücklicherweise gibt es noch keine Möglichkeit, das Datum 31.12. zu verschieben.)
Aus aktuellem Anlaß also – auch hier – ein kurzes Update zum Social‐Network‐Paradebeispiel für Bananaware, dem Studivz.
Am Montag berichtete ich über eine neue, schnell gestopfte Lücke im Studivz, mit der man eine ältere Lücke erneut ausnutzen konnte (Änderung der Parameter beim HTTP-POST und schon war wieder das willkürliche Selbsteinladen in jedwede Gruppe möglich). Aufgrund der für Studivz optimalen Veröffentlichungsuhrzeit konnte diese Lücke binnen ca. zwei Stunden nach Veröffentlichung gestopft werden.
»Ist doch super schnell reagiert worden« könnte man erwidern; ja. Reagiert. Auf eine Lücke, die, lt. Selbstdarstellung Studivz, so nicht mehr hätte existieren dürfen:

– Wir haben das Sicherheitskonzept generell überarbeitet und z.B. die Anwendung von One-Time-Tokens auf alle Seiten ausgeweitet.
[…]
– Es ist jetzt nicht mehr möglich, sich selbst in Gruppen einzuladen.

 
Naja, Software ist halt fehlerhaft. Per se? Am falschen Studienfach des einstigen Hauptprogrammierers kann’s eigentlch nicht liegen …
Mittwoch stieg dann Don Alphonso mit einer neuen Lücke wieder auf das Thema ein, angeblich stünde »StudiVZ momentan […] für das Abgrasen sämtlicher nicht geschützter, personenbezogener Daten wie Freundeslisten, Bilder und Gruppenzugehörigkeit offen wie ein Scheunentor«, es sei wieder nur ein »Script, das, mit der richtigen, lückenversehenen URL ausgestattet, sich munter durch StudiVZ wühlt« notwendig:

Trotz obiger Versprechungen funktioniert das reibungslos, wie man mir in den ülicherweise wohlinformierten Kreisen versichert hat. Ich habe es […] auch probiert, und tatsächlich, es geht.
Jeder verantwortungsbewusste Seitenbetreiber würde jetzt sein System runterfahren, die Lücke suchen und schliessen. StudiVZ macht das bekanntlich anders, die lassen ihr System lieber anderthalb Stunden offen, selbst bei wirklich schweren Sicherheitsproblemen, und reparieren am offenen Herzen. Mit Datenschutz hat sowas nichts zu tun. Deshalb verändern wir jetzt mal die Regeln für den Wettlauf StudiVZ-Hase vs. Blogbar-Igel zu Ungunsten des Hasen. Ich veröffentliche hier die für das Abgrasen verwendbare Lücke, und zwar als später nachvollziehbar kryptographierte URL:
http://www.studivz.net/rzofmbki4gg6uuo0bdnd5aykp9

 
Augenscheinlich, den Kommentaren an der Blogbar nach zu schließen, besteht diese Lücke noch — inwiefern es eine »Lücke« darstellt, mag kontrovers diskutiert werden; nach Selbstdarstellung Studivz dürfte es jedenfalls nicht so einfach sein, was Don Alphonso – nach Hinweisen – geschafft haben will:

– Wir haben an verschiedenen Stellen Mechanismen eingebaut, um automatisierte Profilabfragen und automatisierten Nachrichtenversand zu erschweren.

 
Aber obiges ist nicht das letzte Problem von Studivz gewesen — offensichtlich gab es eine Möglichkeit zur SQL-Injection, und man darf aufgrund der Historie vermuten, daß dies nicht die letzte, durchaus gravierende, Lücke im System gewesen sein dürfte. Bis das Linienflugzeug Studivz also in der Luft fertig gebaut ist, dürfte noch einige Zeit vergehen. Aber eine Gefahr für die Fluggäste – oder die Bevölkerung unter ihnen – besteht ja, wie immer, nicht.

Durch das Wochenende wäre es fast untergegangen: Das PennerVZ sagt Bye-Bye — oder, mit den Worten von Rudi:

Den millionsten Besucher konnten wir letzte Woche hier begrüssen, bei knapp 5,5 Mio. Seitenaufrufen. PennerVZ verabschiedet sich an dieser Stelle.
Wir möchten uns herzlich bei euch allen für eure Unterstützung bedanken. Viele Reaktionen sind bei uns eingegangen, positive und kritische, über die wir uns gefreut haben. […]
PS: Es gab nie einen Betatest und es wird auch keine Konkurrenz zu anderen Verzeichnissen mit ähnlich klingendem Namen geben. Die Domain wird wie angekündigt am Tag der Armut 2.0 (24. Dezember 2006) auf die Webseite einer gemeinnützigen Organisation weitergeleitet werden. Vorschläge dafür sind herzlich willkommen!

 
Eigentlich schade. Aber verständlich, wenn man die Ausführungen des »Rudi R.« in seinem Blog verfolgt:

Am nächsten Tag hatte der Blogger Andreas Dittes, die Story aufgegriffen und einen Bericht über PennerVZ auf seinem Blog veröffentlicht. Durchaus mit Kritik gespiekt. Der erste Lebenstag des PennerVZ war vorüber und hatte 172 Besucher mit sich gebracht.
Von Klaus-Martin Meyer kam eine Interviewanfrage. Die ersten Blogger, darunter Kolja Hebenstreit, griffen das Thema auf und berichteten über PennerVZ. Teils positiv, teils negativ waren die Reaktionen und ich fand mich als “Krisenmanager” meiner eigenen Seite wieder. Ich war davon ausgegangen, für jeden wäre dieser “schwarze Humor” auf den ersten Blick ersichtlich. Sehr naiv, mein Fehler. Ab sofort war ich mehrere Stunden täglich damit beschäftigt, Zweifler und berechtigte Kritiker von der Idee hinter PennerVZ zu überzeugen. Zu diesem Zeitpunkt war noch nicht abzusehen, mit welchen Problemen StudiVZ, das PennerVZ parodierte, zu kämpfen haben würde.

 
In der Tat. Mit einer solchen — für die Zuschauer — interessanten bzw. — für die Nutzer — ärgerlichen Pannenstatistik, wie sie pannenVZ Studivz hinlegte, und dabei sich durchaus selber wiederholt ausschaltete, konnte niemand rechnen.

Dann fand das PennerVZ Erwähnung im zu diesem Zeitpunkt schon gehörig gebeutelten und obendrein gut frequentierten StudiVZ Blog und bescherte der Seite mehr als 50.000 Besucher. In den Kommentaren bei Wallstreet online, Heise.de, Onlinekosten.de, Golem.de und anderen IT-Portalen, die Beiträge zu Social Networks brachten, erschienen Hinweise auf das PennerVZ.

 
Viral Advertising im Web2.0 — und auf eine ganz bestimmte Art komisch obendrein: durch die gnadenlose Naivität der Entwicklder der Studivz-Software fliegt ihnen das Ding laufen um die Ohren (Phase I: mangelde Performance bzw. fehlende Skalierungsoptionen), offensichtliche Privacy‐Lücken führen zu neuen Features (Phase II: It’s not a bug, it’a a feature we’ve forgotten to announce), fehlende Parameterprüfung gefährdet die Systemstabilität (Phase III: XSS-Würmer zerfressen den Rest Reputation) und führt zur langer Downtime für eine rudimentäre Renovierung. Nach dem Neustart sind wir nun in Phase IV: Rückkehr der Jugendsünden … Aber ich schweife ab.
Jedenfalls scheinen die Tage des Blogs zu »pennerVZ — Das einzig wahre Soziale Netzwerk« gezählt und es wird auch kein solches Verzeichnis geben. Wie schon vor rd. anderthalb Monaten geschrieben: »[Mit pennerVZ wurde] nun eine Web2.0-Community für den Wachstumsbereich in der bundesdeutschen Bevölkerung geschaffen: dem Prekariat.« So unsinnig das Unterfangen sein mag — die traurigen Hintergründe bleiben, allen Aufschwungsmeldungen zum Trotz, bestehen.

JFTR; da an der Blogbar das Thema schon behandelt wird, hier nur ein Kurzabriß der neuen Lücke, einer Variation von etwas, was vor gut zwei Wochen schon berichtet wurde. RedoFromScratch wäre vielleicht doch zielführender gewesen als PatchAsPatchCan?
Wie auch immer — die neue Lücke basiert dadrauf, daß der Lückenausnutzer Moderator in einer Gruppe im Studivz sein muß. Simpel, da man jedezeit eigenen Gruppen gründen kann; dabei sein ist quasi alles. Weitere Voraussetzung dieses Mal: »Firefox und die Webdeveloper-Extension«.

Um sich selbst in eine Gruppe einzuladen, einfach eine Gruppe auswählen, wo man Moderator ist. Dort dann eine beliebige Person einladen, dann aber nicht auf “XXXX einladen” klicken.
Anstelle dessen jetzt unter Firefox bei Extras Webdeveloper anklicken und “Edit HTML” unter Miscelleanous anwählen: […] der Quelltext öffnet sich auf der linken Seite des Browser-Fensters.
Jetzt gilt es nur noch, im entsprechenden Formular die entsprechenden Zeilen anzupassen:

 
Anstelle einer simplen Übergabe per HTTP‐GET, die Studivz letztes Mal zum Verhängnis wurde, ist sind nun die per HTTP‐POST übergebenen Variablen zu manipulieren — »elias« von verspult.com löst diese Aufgabe über ein Firefox-Plugin, andere Wege sind denkbar. Details sind bei verspult.com nachzulesen, für die Dokumentation der Einfachheit und der grundlegenden Probleme der Anwendung, die Studivz betreibt, genügen die folgenden Hinweise:
<input type="hidden" id="ids" name="ids" value="USERID" >
<input type="hidden" id="gids" name="gids" value="GROUPID">

Dazu müsst ihr einfach bei gids die ID der vermeintlich geheimen Gruppe eintragen, bei ids gehört eure User-ID rein… Das HTML-Fenster nicht schließen, dann auf Absenden klicken – und schwupp die wupp, man sieht die Übersichtsseite über alle Gruppen.

 
Hernach sieht man dann auf »Meine Seite« die eigene Einladung in die fremde Gruppe, in die man schon immer mal reinwollte.
Wenn man bedenkt, daß zuvor
http://www.studivz.net/groupinvite.php?ids=DEINE_USERID&&gids=GRUPPENID&save=1
reichte — ja, es ist schwieriger geworden. Nur: augenscheinlich werden nach wie vor die Usereingaben nicht auf Gültigkeit im Kontext überprüft — dies ist umso verblüffender, da in der neuen, HTTP‐POST‐basierten Variante, ein »checkcode« übertragen wird. Was checkt der denn, mögliche Nutzer- und Gruppen-IDs offensichtlich nicht.
So ganz Unrecht mit ihrern Warnungen vor Studivz scheinen u. a. der ReferentInnenrat der HU, der AStA FU Berlin sowie der AStA der Hochschule Darmstadt also nicht zu haben — selbst wenn die neue Lücke wieder mal relativ zügig geschlossen werden sollte, sie hätte gar nicht auftreten dürfen!
Zitat aus der Netzeitung von heute, 09:43:

«Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet», sagt StudiVZ-Marketingleiter Suter. Die Studentenplattform kämpft gegen Probleme auf mehreren Ebenen.

 
Dario Suter, Mitgesellschafter und Marketingleiter von StudiVZ, versichert dort: »Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet« und gibt ferner zu Protokoll, daß er »nach den turbulenten Wochen« hoffe, daß wieder Ruhe einkehren möge. Ob der Weihnachtsmann diesen Wunsch erfüllen kann?
Anstatt aus den Blogs die Lücken der eigenen Software zu erfahren und dann mit einem weiteren Heftpflaster den Trümmerbruch über die Zeit bis zum Verkauf retten zu wollen, wäre ein Rewrite anzegeigt. Die Nagelprobe für Studivz dürfte denn auch der kommende 23C3 werden, Motto: »Who can you trust?«

So schnell kann’s gehen; wie Google Analytics zeigte (und ein Logfile-grep bestätigte), verlinkt de.wikipedia.org auf blogdoch.net — Details in der Artikelhistory bei Wikipedia: »K (→Unternehmen und Finanzierung – neue Quelle)«, verlinkt ist ein Artikel hier als »Blogbeitrag u.a. zur Gesellschaftsstruktur«.
»Neue Quelle«. Hmm. Was tue ich? Ich suche Informationen, trage sie zusammen, bereite sie – durchaus subjektiv – auf und lasse die (deutschsprachige) Menschheit an meinen Funden teilhaben.
Ist das eine »Quelle«? Wahrscheinlich schon. Ich gebe meine Quellen (sic!) ja an — auch und grade, damit man sich nicht mit meiner eingefärbten Sicht der Dinge zufrieden geben muß.
So be it; blogdoch.net – meine persönliche Blog-Spielwiese – ist eine Quelle in einem Wikipedia-Artikel … Ok, eigentlich ist es das, was unzählige Webseiten erst »zum Web« macht — die Verlinkung. Dennoch … ein komisches Gefühl. Verlinkt von Wikipedia …
Dank des wochenlangen Technorati‐Such‐Highscores bekam natürlich auch der Wikipedia‐Artikel Zulauf und ab einem gewissen Zeitpunkt auch diese eher gruschelfeindliche[sup]¹[/sup] Site. Bedeutet das nun (noch) mehr Verantwortung?
Nope; meine Leser sind schon groß[sup]2[/sup], wenn sie hierher gefunden haben (drum dürfen Sie auch direkt zu Britney, ohne schwarze Balken). Und ich spiele mit offenen Karten, Information ist nachvollziehbar für den, der es wissen will — dem überwiegenden Rest mag meine Schreibe genügen.
So be it. Willkommen, Fremde(r), in meiner, eigentlich gar nicht, kleinen Welt …
P.S.: Noch ca. 60 Blogs, die zu blogdoch.net verlinken, und blogdoch.net will enter the Olymp of Kleinbloggersdorf[sup]4[/sup] — the DeutscheBlogCharts[sup]3[/sup]. Go. For. It! ;)
____

Aufregung an der Blogbar: Ein anderes Blog berichtet, »Ehssan Dariani wurde entlassen«. Dies wäre in der Tat eine Meldung – und ein vielleicht harter aber deutlicher Schritt, daß man mit den Gründereskapaden zu Gründungszeiten abschließen wolle –; allerdings läßt sich sich nicht verifizieren und glaubhaft ist es auch nicht, denn Ehssan Dariani ist immerhin einer der zwei, drei Gründer des Unternehmens Studivz Ltd. Vertretungsberechtigt obendrein, auch wohl noch immer Anteilsinhaber … Mit einfach so entlassen ist da nicht.
Zwischenzeitlich wurde der Text korrigiert:

Ich denke, dies ist ein gutes Beispiel dafür, wie leicht aus dem lustigen Bloggen ein durchaus problematisches »Stille Post«‐Spiel wird … Du da draußen, was immer Du sein magst, nimm Dich in Acht. Nicht alles, was geschrieben steht, stimmt. Mehr denn je ist bei Blogs ein Quellenstudium zur Bewertung der Angaben wichtig.