StudiVZ-Blog gehackt zur Gegendarstellung verwendet
Als ich heute Konstantin Urbans Interview im Manager Magazin las, und seine Behauptung, der Chaos Computer Club hätte sich an StudiVZ die Zähne ausgebissen, da dachte ich mir: Der Mann weiss nicht, was er tut. Nicht nur, weil er 50 Millionen in die Kiste gesteckt hat, sondern auch, weil das eine ganz grosse fette Einladung ist. Keine Einladung im Stil des Völkischen Beobachters, aber auch nicht wirklich rasend intelligent. Echt jetzt, ich würde so etwas nie sagen.
Und ich denke, Konstantin Urban ab heute auch nicht mehr [Edit 1: da tut sich was, der Artikel findet sich jetzt hier]:
Liebe StudiVZler.
Der neue offizielle Eigentümer euer persönlichen Daten, Konstantin Urban von Holzbrinck Networks, scheint genauso wenig vom Thema Sicherheit zu verstehen, wie die Simulanten denen ihr bisher schon zu viele Details über euch anvertraut habt: gar nichts. So behauptet er dummdreist, der Chaos Computer Club hätte “vergeblich versucht das System zu hacken” und deswegen sei nun alles total sicher. Wörtlich behauptet Konstantin Urban im “manager magazin”:
“Selbstverständlich musste man nachrüsten, und das hat StudiVZ getan. Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken. Auch die Seite ist jetzt stabil.”
[http://www.manager-magazin.de/it/artikel/0,2828,druck-458408,00.html]
Das ist leider komplett falsch.
Der Chaos Computer Club beteiligt sich nicht an solchen “Hackt uns doch”-Mätzchen wie den von studiVZ ausgerufenen Wettbewerb. Es kommt leider vor, dass einzelne Spinner von sich behaupten “im Namen des CCC” zu handeln, wie wohl auch hier geschehen. Mit dem Chaos Computer Club hat das jedoch nichts zu tun.
Der Chaos Computer Club beschäftigt sich gerade mit wichtigeren Dingen, z.B. dem Vertrauensverlust durch Wahlcomputer, den Gefahren von biometrische Reisepässen und dem Kampf gegen die Totalüberwachung durch die sogenannte Vorratsdatenspeicherung. Vielleicht habt ihr ja auch besseres zu tun, als eure Daten freiwillig in den Rachen einer gewinnorientierten Verwertungsgesellschaft zu kippen und kümmert Euch mal um Euer Leben, die Welt da draußen und die wirklichen Probleme der Menschheit.
Vielen Dank
Dies ist eine maschinengenerierte Meldung im Interesse der öffentlichen Sicherheit. Sie ist ohne Unterschrift gültig.
Ein anderes Zitat aus dem obigen Interview ist:
Aber irgendwann sollte man Dinge gut sein lassen.
Oder auch nicht.
Von hier. Screenshot ist vorhanden.
[Edit 2: Um 1 Uhr ist obiger Beitrag das einzige, was noch auf dem StudiVZ-Blog steht – damit fehlen jetzt auch Einträge wie der, in den behauptet wird, die Daten der User wären sicher.]
[Edit 3: Umd 1:13 Uhr ist das komplette Blog weg]
Sorry, the comment form is closed at this time.
Sehr ulkig. Dass es die Schnarchnasen rund um Dariani und Co nicht hinbekommen, ihre zu-viele-Millionen-Euro Datensammlung vorm neugierigen Publikum zu schützen, hat mich nicht wirklich gewundert – aber bei den Herren von H. Networks hätte ich eigentlich etwas mehr technisches Verständnis erwartet…
Wie auch immer: Das ist wirklich mal eine neue, innovative Form, eine Gegendarstellung zu erwirken. Aber nachdem sie auch gegen die WordPress-Lizenzbestimmungen verstossen, wundert mich da eigentlich gar nichts mehr.
Gecracktes Studiblog
Mußte ja gerade schlucken, aber dann konnte ich mir ein leichtes Grinsen nicht verkneifen:
Da wird wohl jemand Nachtschicht schieben mÃŒssen.
Klar kann ein gecracktes WordPress-Blog jeden treffen, aber Unternehmen, die vor kurzem 50 – 100 Millionen E…
LOL, das ist ja wirklich amüsant :-)
DonAlphonso, lehn dich nicht zu weit aus dem Fenster, immerhin benutzt du exakt das gleiche Blogsystem wie das Studiverzeichnis ;)
Als Gegendarstellung ist es tatsächlich äußerst unterhaltsam, sogar die “Unterschrift” beweist echten Stil. Und noch unterhaltsamer finde ich, dass die Jungs vom StudiVZ immer noch nicht merken, was ihnen die nächtliche Besucherspitze beschert hat.
LOL … und congratulations dem ccc. Das ist doch mal ne gelungene Aktion!
Ich persönlich kann mir nicht vorstellen, dass der CCC so einen Schwachsinn macht…
Zu Allererst: Herrrrrlich!
Da hab ich absolut keinen Mitleid.
@5: Ich denke, dass die Architektur des Blogsystems nicht die Schwachstelle war. Würde wetten, dass da einfach nur ein schwaches Passwort verwendet wurde.
Jetzt wurden sogar Kommentare freigeschaltet…
Nun, die Idee und die Machart, die sind jetzt nicht wirklich dumm. Denn was Urban da im Manager Magazin unterstellt hat, war ziemlich klar eine Straftat. Da hätte man wohl auch rechtlich dagegen vorgehen können. Die Reaktion ist ziemlich, hm, durchdacht.
mirror / screenshot hier: http://seclog.de/2007/01/11/studivz-owned/
anscheinend wurde ein neuer zeroday fuer wp 206 genutzt
Oooooops – wenn da Kommentare freigeschaltet werden – wer ist denn da gerade am Ruder bei StudiVZ?
Im StudiVZ Blog gibt/gab es einen Link zu einem Exploit für WordPress 2.06
Darin stand:
> —————————————————————————
> WordPress / sql injection admin hash disclosure exploit
> (needs register_globals=on, 4
Grummel, dumme Spitze Klammern …
Im StudiVZ Blog gibt/gab es einen Link zu einem Exploit für WordPress 2.06
Darin stand:
—————————————————————————
WordPress
Grummel, dumme Spitze Klammern …
Im StudiVZ Blog gibt/gab es einen Link zu einem Exploit für WordPress 2.06
Darin stand:
—————————————————————————
WordPress bis 2.0.6 wp-trackback.php Zend_Hash_Del_Key_Or_Index /
/ sql injection admin hash disclosure exploit
(needs register_globals=on, PHP bis 4.4.3, und bis 5.1.4)
Sollte der es tatsächlich sein, dann ist das peinlich. Opfer einer unbekannten Sicherheitslücke kann man immer werden, aber register_globals=on ist fahrlässig.
Tja, und ich dachte ich wäre der erste, der es bloggt :)
Tja, das mit der CCC internen Rundmail “veröffentlich gegendarstellungen!” hat wohl jemand zu wörtlich genommen.
Was bedeutet das konkret? Was kann der Angreifer jetzt tun – nehmen wir mal an, das Blog liegt immer noch auf dem normalen Server, wo auch andere Sachen drauf sind?
Kannst du das genauer ausführen? WordPress wird unter der GPL verbreitet, wo liegt da genau das Problem?
BTW: 01:00 Uhr – da hat jemand Nachtschicht geschoben, der Blogeintrag fehlt jetzt…
Wie geil ist das denn, gerade eben (ca. 1:00 Uhr) war der Beitrag gelöscht, jetzt ist er wieder da da (?p=115)… mal sehen wie lange die das Spiel noch spielen :)
Dann kommt er an den WordPress “Superuser” Account ran … gibts da ne Art Onlineconfig wo vielleicht das DB-Server Passwort drinsteht?
Nö, ist wieder da – dafür fehlen alle anderen Blogeinträge…
Ui nu hat jemand den Blog leer gemacht :(
Und das ist definitiv NICHT der Stil vom CCC
Btw.: Ich geh grad mal n Notebook kaufen :)
http://www.amazon.de/Toshiba-Satellite-Notebook-1-66GHz-Mobility/dp/B000K808C2/ref=pd_ts_ce_4/303-5414223-4344268?ie=UTF8&s=ce-de
weg
Da hat wohl jmd in Panik den kompletten Blog runter genommen :)
Hui! Eintrag gelöscht, unter neuer ID wieder da, alle anderen Einträge weg!!!
@18/Don: Hängt davon ab, wie PHP und WordPress konfiguriert ist.
Wenn alles sauber konfiguriert ist, können sie die WordPress Datenbank einsehen. Mehr nicht.
Allerdings deuten die Anzeichen nicht darauf hin, sonst würde man register_globals=off erwarten. Dann würde der obige Exploit wohl nicht funktionieren.
Wenn PHP nicht sauber konfiguriert ist, kann alles mögliche passieren. Über die PHP Befehle system und ähnliche lassen sich Systemkommandos absetzen. Und WordPress erlaubt das one the fly ändern des Themes. Und in einigen dieser Dateien wird PHP geparst.
Das heißt, sie könnten eine Shell mit den Rechten des Webservers haben. Damit kann man schon viel anstellen, je nachdem wie abgeschottet die einzelnen Apache Hosts sind, kommt man auch an die Script Daten von anderen Seiten auf dem Server dran.
Da könnte wiederum das Passwort für die studivz Datenbank drinstehen. Was den Supergau bedeuten würde.
Alternativ könnte es auch lokale root Exploits geben, die Root Rechte verschaffen.
Von daher kann das von harmlos bis zum Super GAU gehen.
@ “Gähnende Leere” aka Du weisst schon: Was weisst Du schon… geh pennen.
Wie auch immer, da scheint es ein masives Problem zu geben. In meinem Kopf sagt mir eine leise Stimme, dass das vielleicht noch nicht alles war. Ob die bei StudiVZ ein Backup haben?
Tja jetzt haben sie das Blog erstmal vom Netz genommen. Fehler 403.
Hacken! Der große Spaß für Langweiler….
Das ist echt die Aktion des Jahres, ich lach mich schlapp
PENG – und weg… 403 Forbidden
Ich würde WordPressnutzern empfehlen register_globals=off zu setzen (was sowieso eine gute Idee ist und bis ein Patch draußen ist wp-trackbacks.php zu löschen oder zumindest die Rechte so anzupassen, das der Webserver nicht mehr drauf zugreifen kann.
@Don: Ich weiß mehr als du glaubst ;)
@Scotty: Thx für die Info :)
@Don:
Weiss nicht … der Exploit ist von gestern und offensichtlich wurde das ganze geplant und getimed (wegen des Veröffentlichungsdatums des ursprünglichen Beitrags). Denke auch, dass da durchaus mehr passiert sein könnte – die Wege und Mittel sind mit dem uneingeschränkten Zugriff auf WP durchaus gegeben.
ot: //Notebook
Auch eine Art von web 2.0:
http://www.macuser.de/forum/showthread.php?t=232868
Grad noch kurz die Meldung “Ene mene meck der Blog is nu mal kurz weg” gelesen. Jetzt antwortet der Server gar nicht mehr :P
Don, ich hab da die gleiche Befürchtung… Da kommt noch mehr.
Darf ich mir was wünschen?
Ich wünsche mir ein Externes StudiVZ Passwort-Recovery Tool ;-)
–
Gibt’s eigentlich eine Verifikation, dass das tatsächlich der CCC ist/war?
den exploit gibts hier
http://milw0rm.com/exploits/3109
ich denke nicht, dass es der CCC war
Keine Panik, da läuft lediglich kein Apache mehr.
@benny: war da jemand mit nmap fleissig? oder was macht dich da so sicher ? :P
Eigentlich müssten sie es jetzt komplett vom Netz nehmen, das ganze StudiVZ… ich ahne was.
@42: Sicher?
telnet blog.studivz.net 80
Trying 217.188.35.146…
Connected to blog.studivz.net.
Escape character is ‘^]’.
Da antwortet was.
btw:
telnet http://www.studivz.net 80
Trying 217.188.35.145…
Connected to http://www.studivz.net.
Das ist eine andere IP, was für einen anderen Rechner sprechen kann, aber nicht muss.
[kupfer@antwort ~]$ host ww.studivz.net
http://www.studivz.net has address 217.188.35.145
[kupfer@antwort ~]$ host blog.studivz.net
blog.studivz.net has address 217.188.35.146
Es sind 2 verschiedene IPs, was allerdings nichts heißen muss.
Schon gar nicht bei dem Laden.
@Don: Ich bin auch schon die ganze Zeit am refreshen, in der Vorahnung, dass da halt mehr passiert ist. Aber die StudiVZ-Seite hält sich wacker und bleibt vorerst scheinbar online. Man muss sich mal vorstellen was da grad passiert ist! Das wird niemals spurlos an StudiVZ vorbei gehen. Ich bin ja sowas von gespannt. Fast schon nervös. Wollt grad ins Bett, und jetzt? Jetzt sitz ich hier wie ein kleines Kind, und warte darauf, dass noch was passiert ;)
Jungs: Wenn Ihr eine TK-Pizza im Eisfach liegen habt, oder Popcorn im Schubladen: Das ist die Stunde dafür.
@Gähnende Leere: Das kann so sein, kann aber auch in die andere Richtung gegangen sein. Kommentar 29 erklärt das gut. Und bei dem Ruhm und dem technischen Know-How mit dem sich StudiVZ in den letzten Monaten bekleckert hat, geh ich hier mal vom Worst-Case aus…
Hui! Die Kommentare unter dem StudiVZ Eintrag waren gut. Hab gerade per Mail noch einen Screenshot bekommen… Ein bißchen bösartig, aber bei den Datenmengen ist Verantwortung und Sicherheit wichtiger…
Kinners,
die “gaaanz vielen SVZ-Server” hängen in einem VLan bei Ex-Mediaways. VLan bedeutet, daß da ein bis max. zwei physikalische Server euch dutzende IPs vortäuschen, auf denen Virtuelle Maschinen laufen.
Die Jungs von Telefonica haben grad die “blog”-VM “virtuell” runtergefahren, also tut da nix mehr.
Was da noch kommt, ist wirklich Spass pur:-)))
So, Gähnende Leere aka Sobert aka noch ein paar andere Namen ist jetzt zu Spam Karma 2 gegangen, wer nicht hören will, tja.
Die fehlenden Kommentare hier nochmal nachgetragen:
26 Responses to “Liebe StudiVZler.”
1. Thomas Says:
January 11th, 2007 at 00:05
Ich schmeiß mich weg!
2. Christoph Says:
January 11th, 2007 at 00:08
BWAHAHAHAHAHA
Wurde jetzt der Blog gehackt?
3. Felix Gröbert Says:
January 11th, 2007 at 00:09
hrhr… owned?
4. fukurokuju Says:
January 11th, 2007 at 00:13
Ah wie geil is das denn!
Ich roll hier vom Hocker…
5. enttäuschter Says:
January 11th, 2007 at 00:13
haha
6. Supporter Says:
January 11th, 2007 at 00:15
Blog gehacked – Großartig!!!
So stehts um die Sicherheit von WordPress… :-(
7. Thomas Says:
January 11th, 2007 at 00:15
StudiVZ stinkt einfach nur, Komerzdreck!
8. Florian Says:
January 11th, 2007 at 00:17
Der Blog ist also auch sehr sicher wie man sieht ;)
9. Anonymous Says:
January 11th, 2007 at 00:20
Cool
10. Anonymous Says:
January 11th, 2007 at 00:20
lol
11. Fakri Says:
January 11th, 2007 at 00:21
dickes lol! :)
12. Ich Says:
January 11th, 2007 at 00:22
Cool
13. Jack Bauer Says:
January 11th, 2007 at 00:23
Haha
14. krono Says:
January 11th, 2007 at 00:24
ROFLCOPTER
15. roogy Says:
January 11th, 2007 at 00:26
WTF?!
16. F!XMBR Says:
January 11th, 2007 at 00:28
StudiVZ und der CCC…
Liebes StudiVZ,
1. Regel im Web: Niemals mit den Jungs vom CCC anlegen, kapiert, ja? Nein, okay, dann halt nicht.
Die Aussage da von Holtzbrinck war schon an Peinlichkeit nicht zu überbieten. Ich habe heute Nachmittag innerlich ob das, was da…
17. Anonymous Says:
January 11th, 2007 at 00:31
Danke, war nötig…
18. Blogs! Buch Blog Says:
January 11th, 2007 at 00:31
StudiVZ-Blog gehackt zur Gegendarstellung verwendet…
Als ich heute Konstantin Urbans Interview im Manager Magazin las, und seine Behauptung, der Chaos Computer Club hätte sich an StudiVZ die Zähne ausgebissen, da dachte ich mir: Der Mann weiss nicht, was er tut. Nicht nur, weil er 50 Millionen in die K…
19. weltraumpapst Says:
January 11th, 2007 at 00:34
nice work!
20. Hans Wurst Says:
January 11th, 2007 at 00:35
Ich lach mich kaputt……….
21. studiVZ-Fan Says:
January 11th, 2007 at 00:38
ERSTER!!!!
Danke, CCC! :)
22. Edelholz Says:
January 11th, 2007 at 00:41
\m/
23. Andreas Says:
January 11th, 2007 at 00:41
word
24. be. Says:
January 11th, 2007 at 00:41
erster!
HAHA!
25. dante Says:
January 11th, 2007 at 00:42
Ist ja nix neues, dass WordPress anfällig ist ;)
26. Flow Says:
January 11th, 2007 at 00:42
Das wird ja immer besser hier.
wunderbar was hier gerade passiert ;-)
hier der eintrag mit kommantaren: http://tinyurl.com/yegtxo
Mal ne blöde Frage, ohne jetzt WordPress näher zu kennen…
Gehen wir mal davon aus, dass jemand auf dem Blogserver Zugriff auf die Blogdatenbank hatte…
Es gibt dort im StudiVZ-Blog sicherlich für die StudiVZ Mitarbeiter unterschiedliche Benutzeraccounts, um Kommentare frei zu schalten, oder?
Es gibt doch sicherlich auch im StudiVZ Hauptsystem einen eigenen Benutzeraccount für jeden Mitarbeiter, um Benutzer zu löschen oder um Änderungen vor zu nehmen, oder?
Wie groß ist da jetzt die Wahrscheinlichkeit, dass ein Mitarbeiter so faul war, und in beiden Systemen das gleiche Passwort benutzt hat?
@54: GENAU das meinte ich grad. Da muss man und kann man guten Gewissens vom Schlimmsten ausgehen.
Übt euch in ein wenig Geduld, das wird noch gaaanz großes Kino. Da wette ich drauf.
Pfeif…
Ich sag ja: Ich hätte StudiVZ sofort abgeschaltet. Ich sage das jedes Mal. ich habe das denen im Bonker auch schon mal gemailt. Aber auf mich hört ja keiner.
Mal schaun, wie der Urban das morgen den Medien erklärt. (Wenn seine Datensätze im Wert von 50 Millionen weiterhin da sind)
hier sind noch die drei letzten:
27: Arno Klein
Was lese ich denn da im Bloglines? Ausnahmsweise mal ein Komplettzitat, denn dieser Artikel dürfte nicht allzu lange an seiner momentanen Position zu finden sein: …
28: dante
Hm ich kann mir eigentlich nicht vorstellen, dass der CCC hinter so einer kindischen Aktion hier steht… Aber naja, vielleicht hat sich da ja vieles geändert…
29: Jetzt endgültiger Ex – Nutzer
Na, da ist es hier um unsere Daten ja unheimlich sicher, wie es scheint!
Meinen allerhöchsten Respekt an Dich Ehssan und deine beiden Kollegen, wie ihr Holzbrink übers Ohr gehauhen habt (-:
Hier ein Screenshot *mit* Kommentaren. :)
Allein die Tatsache jetzt so eine pseudo-lustige Nachricht ala
“Ene mene meck, der Blog ist kurz mal weg.
Er kommt aber bald wieder – wir arbeiten dran.” zu bringen, ist schon eine ganz große Frechheit finde ich.
@Don: Der Urban ist sicher grad wachgeklingelt worden, und bereitet jetzt bei nem doppelten Whisky die Presseerklärung vor.
OT@Chris
Womit macht man Screenshots von Fenstern die so lang sind?
Oder hast Du das etwa von Hand zusammengesetzt?
Danke :-)
Also, wenn Holtzbrinck klug war, dann haben sie für solche Fälle irgendwelche Klauseln drin. Wenn sie nicht ganz so klug waren, haben sie wenigstens noch nicht überwiesen. Weil, wenn das schief geht, dann… ich mein, die Büroeinrichtung im Bonker ist jetzt nicht so viel wert.
@Sebastian. Das kann hypersnap (capture window und autoscroll in den Einstellungen einschalten).
Bei Interesse kann ich eine tolle “safari-generated” PDF hochladen von dem “Defacement” hochladen :)
…frage mich ja, wie Holtzbrinck Ventures den Mutterkonzern von dem Investment überzeugen konnte, ein Freund von mir arbeitet dort und hat auf hoher Ebene – wie er mir erzählt hat – eindringlich davor gewarnt, dieses Investment zu tätigen (er kannte die ganze StudiVZ-Vorgeschichte und pikante Details)
fukurokuju, ich glaube, der Urban wird morgen nicht wirklich gern aufstehen wollen. Und das bei diesem tollen Wetter. Ja, man hat es nicht leicht als VC. Immer diese nervigen Fragen.
Pause
Ene mene meck, der Blog ist kurz mal weg.
Er kommt aber bald wieder – wir arbeiten dran.
—
Na seht ihr, nix VLAN und vServer. Einfach nur den Indianer gekillt und ein wenig gumgefrickelt ;)
Für Screenshots ganzer Seiten kann ich übrigens auch sehr das kleine Freeware-Tool ScreenCapture von FastStone empfehlen. Sechster Button von Links in der Symbolleiste ;)
Die Frage ist doch: Derjenige, der da administrative Rechte gehabt hat, und diesen Post verfasst hat; Ja,…
1) hat der das Admin-Passwort so belassen, wie es ist? Oder hat er es vielleicht geändert?
2) hat er, wenn er Zugriff auf das Admin-Passwort hatte (Klartext), gleich mal an den Türen der anderen Datenbanken angeklopft?
3) hat er vielleicht gar nicht an andere Türen klopfen müssen, weil alles in derselben Datenbank gespeichert ist / war?
4) hat er, sofern er Zugriff auf andere Datenbanken hatte, Dumps davon erstellt / Daten manipuliert?
5) hat er denn vielleicht sogar alles mit Screenshots dokumentiert, und beglückt uns da die Tage mit?
Ja hat er denn vielleicht…? :)
[ot]
@Sebastian: Ich bin glücklicher User von SnagIt. Hab ich mir mal zugelegt, ich habs nie bereut.
[/ot]
Die Meldung dort ist an Unprofessionalität nicht zu überbieten. Nach einem Hack – was macht man? Kpl. die ganze Sache vom Netz nehmen. ;-)
“Ich”, nach meinen Informationen war es ein Streit zwischen Gier und Verstand, der da getobt hat. Die hatten kein Geld mehr und mussten in die nächste VC-Runde, und für die Anteile, die die Gründer noch hatten, hätten sie nicht mehr allzu viel bekommen. Also haben sie sich auf einen Verkauf geeinigt. Wenn das in der FAZ mit den 2 Millionen für Lukasz gestimmt hat und er die gerüchteweise durchklingenden 10% hatte, dann haben sie ohnehin nur ca. 20 Millionen realiter ausbezahlt.
jo stell mal bitte das pdf online :-)
Danke
“ScreenCapture von FastStone” ist super
:-)
Sorry wegen des grandiosen Hosters ;o)
http://rapidshare.com/files/11150042/studivz_hacked.pdf.html
Oh, ich sehe gerade, Ehssan Dariani himself ist soeben online!
Hm.
Also, zumindest sein Profil ist online.
Der guckt sicher nur mal zufällig grad rein…
Die Frage ist, wer da wo reinguckt. Da gibt es viele Möglichkeiten und Kombinationen.
Ich denke er lacht
ich würde auch lachen
Mir war der Wink durchaus bewusst, ja. Gleich ist das Popcorn alle und nichts passiert mehr.
Ich würde auch lachen.
Wenn ich das Ding komplett verkauft hätte.
Gäbe es aber eine Regelung, dass ich den grossen Batzen Geld erst bekomme, wenn alles prima läuft, dann würde ich nicht lachen.
Oh. Es gibt ja so eine Regelung.
haha.
Wer sagt denn, dass wir unbedingt etwas sehen müssen, wenn etwas passiert?
Eine 404 sind nur drei Zahlen. Da sieht man auch wenig.
ich freue mich auf diverse reaktionen von presse und co!
so kann das nicht weitergehen :-)
hoffentlich passiert da noch mehr.. ist zu spannend..
gute nacht wünsche ich
Auch wenn jetzt lauter blogger wie die wölfe darüber herfallen (teilweise zurecht), muss man ja schon sagen, dass dank dem studivz die blogosphäre eine größere rolle in der traditionellen berichterstattung in deutschland spielt. also eine gute sache hat es schon mal für sich…
Nicht ganz richtig Oliver. Die Blogger spielen eine größere Rolle, weil sie nen verdammt guten Job machen, recherchieren, genial schreiben, (meist) unabhängig und nicht gekauft sind – that’s the point. StudiVZ ist “nur” eine Geschichte – macht halt Spaß den angeblichen Experten zu zeigen, was Sache ist. *fg*
es stimmt schon, die blogosphäre bringt wichtige themen und hintergründe auf, die sonst nicht da wären. das hatte ich ja auch nicht bestritten
immer noch nichts im studivz blog
meint ihr, die person war noch eingeloggt, als die studivzler den einen eintrag löschten? oder hat jemand an das “delete post” ein “all” drangehängt (SQL string vorher manipuliert) ?
Und Don: Weißt Du vielleicht Näheres über die erfolgsbasierte Klausel im Übernahmegebot?
Ich denke nicht. Es wird morgen mit einem Dank an den Hacker, der Mitteilung, keine Daten des “normalen” StudiVZ seien in Gefahr gewesen, weitergehen… ;-)
Das grosse Ding war das Freischalten der Kommentare. Meines Erachtens war es so: p114 wurde eingetragen, dann die Kommentare freigeschaltet, dann hat jemand p114 gelöscht, daraufhin war es einen Moment wieder im alten Zustand, dann kam p115 und alles andere war dann weg.
Genaueres scheint Dennis Bemann (der Verantwotliche für die frühere Software) gerade herauszufinden, er ist gerade online. Pizzaservice oder Tanke? Das wird heute Nacht die Frage sein.
Die FTD hatte die mutmasslich richtigen Zahlen, und die Welt das Procedere:
http://www.f td.de/technik/medien_internet/146735.html?nv=cd-topnews
http://www.w elt.de/data/2007/01/03/1164527.html
Wobei nach Gerüchten in den jetzigen 50 Millionen auch die kommenden Betriebskosten dabei sein sollen, sowie das hausinterne Geschäft mit Holtzbrinck Ventures.
Wie auch immer, jeder Euro ist da meines Erachtens verlorenes Geld, aber mit dem Urban scheint der Dariani ja den passenden VC gefunden zu haben.
so, ich hau mich hin. und dass ihr mir ja alles vernünftig mit screenshots dokumentiert, falls was neues passiert, ja? :)
Was ist eigentlich aus der Lücke geworden? Nicht die im Blog, die andere im System?
@Don, ist das ne Frage an mich? Steht alles in meinem Blog.
gute links, danke!
Ah, ein wunderbares Beispiel für “I am in your base, killing your Dr00ids”. ;-) Auf die Reaktionen der Presse bin ich auch schon gespannt. Heise hat noch nichts.
Ad Astra
Ich lenke mal von dem “Hack” einer Millionfach genutzten SW ab und würde gerne auf der Artikel im MM.de zurückkommen und versuchen zwischen den Zeilen zu lesen.
Der Urban faselt was von “Die Nutzerdaten sollen nicht innerhalb der Holtzbrinck-Gruppe verwendet werden.”. Die Daten “sollen” nicht genutzt werden, aber das System vom VZ sollte auch mal sicher sein. Warum heisst es nicht “Die Daten werden nich…”? Weil es sicherlich von Anfang an geplant war, die Daten hin und her zuschieben im eigenen Unternehmen. Im Gegensatz dazu wird es mit Sicherheit keine Abogebühren geben.
Auch die für mich auszeichnende Arroganz ist nicht zu übertreffen. “Wir befinden uns in einem The-Winner-takes-it-all-Markt…” dachten sich lycos, yahoo und Konsorten auch und dann kam Google. Kann man im Web ein Monopol für eine Interessengemeinschaft erreichen? In meinen Augen ein klares nein. Ich kenne kaum einen Bereich, wo es DEN einen Anbieter gibt, ausgenommen Ebay. Microsoft hat sich auch gedacht, das der Internet Explorer der Browser schlechthin ist, derzeit wandern die User in scharen zum FireFox. Mit der Antwort ob das VZ den Kaufpreis wert ist (“Diese Frage kann ich erst in zwei Jahren beantworten.”), wäre ich doch vorsichtig. In zwei Jahren könnten wir im schnelllebigen Web Geschäft eine Platzen der hiesigen 2.0 Blase erlebt haben und Web3.0 wird aufgebaut.
“Wir bieten der Marketingindustrie lediglich eine Plattform. Dann können die Nutzer immer noch selbst entscheiden, ob sie an dem Produkt interessiert sind oder nicht.” Mit dem Argument ist meine Haustür auch eine Plattform, wo die Zeugen Jehovas auch immer anklopfen und ich entscheiden muss. Auch das passende Beispiel mit den Banken und den BWLern kenne ich eher mit Versicherungen (“… sie haben ja gerade Schule/Studium/Ausbildung beendet, wollen sie nicht…”). Klar, ich kann dann noch entscheiden, Pulli ausziehen und das riesen Satanslogo kommt hervor, da rennen die Besucher vor der Tür.
Es gibt viele weitere Punkte wo ich nur mit dem Kopf schütteln kann. CCC usw brauch man nicht kommentieren.
Was meint Ihr? Gezielte und gewollte Aussagen oder Antworten von jemand, der auch mal wieder in der Zeitung auftreten will?
Adios!
Köstlich. Glaub, die Welt ist doch nicht so schlecht, wie ich gedacht hab.
Studi-VZ Blog gehackt: Blöd gelaufen
Naja, sowas macht man nicht: Wie Stefan berichtet, hat Holzbrinck behauptet, der CCC hÀtte das System von StudiVZ nicht hacken können, und somit sei ja alles sicher. Die Geschichte basiert wohl darauf, dass Mitglieder eines CCC-Erfakreises tatsÀchlich
“Der CCC hat vergebens versucht, sich ins (StudiVZ)-System zu hacken”
Spiegel Online hat ein Interview mit Konstantin Urban, dem Chef von Holtzbrinck Networks (die Verlagsgruppe, die StudiVZ gekauft hat) gefÃŒhrt. Auf die Probleme mit der Datensicherheit angesprochen, sagt dieser:
Die Datensicherheit ist jetzt gegeben. Unl
“Ene mene meck, der [StudiVZ-]Blog ist kurz mal weg”
Mein Tag ist gerettet! Selten so gelacht.
(Der Titel meines Beitrags ist ein Zitat vom StudiVZ-Blog, Stand 11.01.2007, 09.33 Uhr.)
…
Und wenn man glaubt, die können keinen mehr drauf setzen…doch! sie können!
Man darf gespannt sein, wie sie das noch steigern wollen.
oh menno, den ganzen schönen Spaß verpaßt weil ich gepennt hab…
dafür würde mir der morgen enormstens versüßt, studiVZ = Witz des Jahres
Sagt mal, wär das Ganze nicht auch was für SPON?
Ich meine, das mit dem CCC ist doch der Gag des Jahrtausends, nachdem das VZ erst vor ein paar Tagen für “100 Millionen” (höhö) über den Tisch gegangen ist.
Und die vom VZ werden es unter Garantie vertuschen wollen, d. h. die Studis erfahren wieder mal gar nix von dem schönen Scherz!
Also, wer auch immer hier Medienkontakte hat, ich finde, einen Versuch ist es wert, das in die online-Ausgaben der Printmedien zu bekommen…
Passend dazu: Die Stellenausschreibung fuer einen Administrator:
http://www.heise.de/fastbin/heisejobs/zeige_anzeige.pl?sid=514ee25676db4582f54139aa188a446e&sh=quk&seiten_nr=7&id=afae9027f726
Na? Wer hat Lust? :)
Noch witziger sind allerdings die Rechtschreibfehler in der Ausschreibung…
Merke: Es geht immer NOCH einen Schritt serioeser!
@Urs: Die werden den Teufel tun und ihrem Schwestermagazin in den Rücken fallen. Denn dabei könnte ja rauskommen, dass das Manager Magazin ein verdammt unkritisches Interview geführt hat, um nicht zu sagen – sie haben sich zu PR-Zwecken einspannen lassen. ;-)
Ich finde es ganz einfach traurig, wie Leute wie Urban Millioneninvestments tätigen können ohne nur einen blassen Schimmer von der Materie zu haben. Hier werden arrogant die berechtigten Sorgen bzgl. Datenschutzes abgewigelt und ungerechtfertigte Hackerbeschuldigen in die Welt gesetzt (Ist eine strafbewährte Unterlassungserklärung vom CCC schon raus?!).
Das schlimmste ist, das diese Investition ein Millionengrab werden wird und damit Hunderte Arbeitsplätze in der Holtzbrink-Gruppe gefährdet werden. Herr Urban, schämen Sie sich !
@Chris (106)
Hast recht, das werden die nie machen. Schade eigentlich, SPON hat unter den Studis halt mit Abstand die größte Reichweite.
Hm, zeigt sich echt, dass der SPIEGEL noch gewaltigen Nachholbedarf im Bereich Journalismus über “neue Medien” hat.
Ich meine, die Printausgabe hat sich in der Hinsicht ja neulich auch nicht gerade mit Ruhm bekleckert (Schlagwort “140 Millionen Menschen bei MySpace”).
Also elf Tage und schon der Spaß des Jahres: wenn SVZ so weiter macht werden wir uns zu Silvester kichernd und kugelnd weiterbewegen müssen. Irgendwie frage ich mich aber dennoch wieso der Hr. Urban den CCC direkt benennt. Wenigstens der verantwortliche Redakteur sollte doch wissen, dass das nicht die Art ist wie man sich gut Freund macht. Und selbst wenn sich jemand die Zähne ausgebissen hätte, irgendwo ist immer eine Lücke durch die man hindurchschlüpfen kann – und sich genau jetzt, wo man schon sowieso ein schlechtes Image hat in Teilen des Internets, auch noch so aus dem Fenster zu lehnen. ts,ts,ts
Wenn das ein großer amerikanischer Datenbankproduzent macht kann ich das eher verstehen, aber ein aufgeblasenes Startup?
studivz war von anfang an unehrlich, böse und gemein.
das ding stinkt seit jeher vom kopf, das hat sich durch den Eigentümerwechsel nicht geändert. über kurz oder lang wird das Gute siegen.
Bezüglich Urban:
Ich halte das für die typische Manager-Arroganz, die ein wichtiges Defizit dieser “Kaste” beleuchtet. Solche Leute sind häufig so lange stark, wie sie sich unter ihresgleichen bewegen. Da wo es eben tatsächlich nur um Geld geht, und andere Aspekte einen Dreck interessieren.
Probleme gibts aber immer dann, sobald solche Leute in einer Öffentlichkeit kommunizieren sollen, die eben (glücklicherweise) teilweise nach anderen Wertmaßstäben tickt. Ist im Prinzip genau dasselbe wie beim vielzitierten Ackermann. Als Manager ist der bestimmt ziemlich effizient, aber einfach null Gespür für die allgemeinen Wertvorstellungen in einem Land wie Deutschland (und damit dann eben auch irgendwann geschäftsschädigend für die Deutsche Bank). Die Liste kann man echt ohne Ende fortsetzen: Kleinfeld, Mehdorn, Hartz etc.
Bei mir persönlich ist es dann häufig gar nicht so sehr moralische Entrüstung, die mich da erfasst, sondern mehr, dass ich denke: Wie doof muss man sein, um solche Klöpse zu bringen wie Urban oder auch die zitierten Herren. Und auch die Frage: Können die sich bei der Kohle, die die ja nun unzweifelhaft haben, keine gescheiten PR-Berater leisten, die ihnen da mal ein wenig Bescheid stoßen?
Daran müssten doch eigentlich nicht nur solche Manager selbst ein Interesse haben – wer will schon wegen seiner Jahreseinkünfte öffentlich durch den Kakao gezogen werden -, sondern auch gerade die dahinter stehenden Unternehmen (und Investoren!).
Beispiel Deutsche Bank: Zu Herrhausens Zeiten, da hat sich in einer typischen mittleren deutschen Großstadt, wenn da der örtliche Chef der Deutschen Bank auf einem Empfang erschien, echt die Menge geteilt. Das Image haben sie für alle Zeiten verspielt (freilich nicht nur durch Ackermanns öffentliche Auftritte, aber eben auch).
Sorry, bisschen offtopic, aber musste mal sein.
Urs, interessanter Punkt. Die Frage ist nun, inwieweit eine solche Manager Arrgoganz die Credibility von StudiVz beschädigen kann.
Das Subversive und das “Studis fürs Studis” Getue war ja grade eine Stärke von StudiVz. Inwieweit will man wirklich Mitglied in Gruppen wie “Mallorca – TUI bringt Dich hin” sein ? Da mache ich doch ganz schnell eine Gruppe auf wie “Mallorca- wir machens ohne TUI”. Ich denke, dass Urbans Marketingphantasien viel zu viel Kopfgeburt sind und den Community Gedanken überhaupt nicht verstandnen haben.
http://www.heise.de/newsticker/meldung/83536
:-)
Wie es aussieht, ist innerhalb der Seite (also nach der Anmeldung) der interne Standard-Link zum Blog in der Navigations-Menüleiste entfernt worden.
(Wenn mir wer erklärt, wie es geht, kann ich auch einen Screenshot geben… sorry, first post ever)
@Aaron:
“Ich denke, dass Urbans Marketingphantasien viel zu viel Kopfgeburt sind und den Community Gedanken überhaupt nicht verstanden haben.”
DAS ist das Grundproblem aller seit kurzem durch die Gegend schwirrenden Web2.0-Geschäftsmodelle, sei es Youtube, Myspace, Xing, usw. usf. Eine Community ist deswegen eine Community, weil die Leute gerne und freiwillig dort sind. Diese Leute (eh ein krudes Gemisch aus allen möglichen Alters-, Berufs- und Gesellschaftsschichten) haben diese Community nicht geschaffen, um dann plötzlich mit Werbung und Marktanalysen beglückt zu werden, sondern um sich dort gegenseitig auszutauschen. Denn sobald sich das gemütliche virtuelle Wohnzimmer in eine kalte, marktschreierische Mall verwandelt sind genau die Leute, die in der Lage sind mit ihren Beiträgen eine Community zu bilden und zu halten, schnell wieder weg. Und aus der Traum mit all dem Easy Money!
Ich bin mir aber sicher, dass man durchaus den einen oder anderen Dollar/Euro mit Communities verdienen kann. Aber mehr als der eine oder andere Dollar wird es nicht sein und verdienen werden daran nicht die üblichen Schlipsträger mit ihren Excel-Sheets und Kraftpunkt-Präsis, sondern Leute, die dieses spezielle Medium verstehen und wissen, dass weniger in diesem Falle mehr ist.
Pause
Ene mene meck, der Blog ist kurz mal weg.
Er kommt aber bald wieder – wir arbeiten dran.
—und wer Krieg provoziert kann ihn haben…:-) …
sagte mal igendwer, irgendwo…
—ne im ernst, das Studivz hofft doch wirklich darauf, dass man glaubt, dass der laden sicer ist und zwar aus zwei perspektiven….
1. ganz klar, die Benutzer/ User sind das höchste Gut des VZ(“Kz”)
2. und großer Anfängerfehler: Urban wollte wahrscheinlich genau das gegenteil bezwecken….er wollte quasi sagen, dass der LAden sicher ist und es sich nicht lohnt zeit mit hackversuchen zu vergeuden….
–> damit hat er den ccc und jeden kleinen anfänger dem langweilig ist natürlich was gegeben was jetz mal jeder knackne will, jetz erst recht…(die armen benutzer)
Eigentlich müsste der SPON nach dem gestrigen devoten Interview ja aufspringen… aber wer weiss, ich glaube, für die ist die Geschichte erst mal mit dem Verkauf gelaufen. Sie recherchieren ja auch nicht. Sie schreiben nur ab.
@ DON
in der aktuellen UNICUM biste namentlich erwähnt als der größte Studivz-kritiker…mit dons namen und dem realen namen und so…
und UniSPIEGEL hetzt jetzt auch im Printbereich gegen das Studivz
@Aaron (112)
Interessante Frage!
Ich denke in dem Zusammenhang in letzter Zeit häufiger über diese ganzen Kommentare der Studis im VZ-blog zum Verkauf an Holtzbrinck nach, die so nach dem Motto laufen: “Hey, ihr Neider, gewöhnt Euch dran, das ist halt freie Marktwirtschaft. Jeder von uns hätte die Kohle auch mitgenommen!”
Denken die wirklich so? Wenn ich das mal küchenpsychologisch deute, ist da glaube ich bei ganz vielen Studis ein unbewusster Widerwille dagegen, derart vermarktet und verkauft zu werden.
Und dann ist da wieder eine andere Instanz, die sagt, hey, ist doch cool hier im VZ, die ganzen süßen Mädels (bzw. Typen), vielleicht ist auch eine(r) für mich dabei usw. Es wird eine unbewusste emotionale Abwägung getroffen, ob man sich das VZ noch geben will. Und die fällt im Moment aufgrund des Flirt- und “Dazugehören”-Faktors, der für diese Altersgruppe halt doch wichtiger ist, noch positiv aus.
Und der Kommentar, das ganze Gebaren der Gründer und von Holtzbrinck “OK” zu finden (“das ist halt Marktwirtschaft”) ist dann schon eine Rationalisierung eben dieser unbewusst getroffenen Abwägung.
Wie gesagt, nur mal so küchenpsychologisch von mir gedeutet… :-)
wie sieht das eigentlich aus könnten communities wie das vz mit marktforschung/Umfragen geld machen? das ist keine aufdringliche werbung lässt sich immer schön innen spiel verpacken….und die ergebnisse bringen auf dem markt geld!aber wieviel?
@Alexander (114)
Tatsache, die haben echt den Link zum VZ-blog rausgenommen. Meine Güte, denen muss ja echt der Arsch auf Grundeis gehen. Stillos bis zuletzt, die Typen vom VZ. Versuchens mit den üblichen dreisten Vertuschungsversuchen. Anstatt sich mal öffentlich zu bedanken, dass der ccc da eine weiter Sicherheitslücke aufgedeckt hat!
Könnte man doch eigentlich mal mit n paar Fake-accounts rein ins VZ und ccc-Fanclub-Gruppen gründen… ;-)
m!cele/105: Die Administratorenstelle ist schon ewig ausgeschrieben. Im Grunde seit Anfang letzten Jahres, als Ehssan Dariani auf den Webmontagen in Berlin Leute anwerben wollte. Konkret seit iirc Oktober/November.
Bei jobpilot.de wird sie hin und wieder neu datiert, bei der StudiVZ Ltd findet sich eine Version von Anfang Dezember, das am 02.01. mal wieder neu als PDF abgelegt wurde: http://www.studivz.net/job/de/Administrator.pdf
Irgendwie kommen hier meine Kommentare nicht mehr durch :-(
Schade, würde gern mitdiskutieren ;-)
Beste Grüße MIC
Hey, der SPIEGEL ist auf die Geschichte mit den Doppelanmeldungen beim StudiVZ angesprungen:
http://www.spiegel.de/netzwelt/web/0,1518,459036,00.html
Hab mir den Artikel grad durchgelesen. Scheint mir wesentlich besser recherchiert als die bisherigen Sachen von SPON zu dem Thema. Schäfers Blog ist verlinkt. Auch scheint der SPIEGEL die Sache mit den Doppelt- und Dreifachanmeldungen von Nutzern inzwischen durchschaut zu haben (wieviel macht eigentlich 140 Mio geteilt durch 3…grübel… ;-)
Aber den Knüller von heut nacht haben sie trotzdem noch nicht drin…
Übrigens war die blogbar eben mal für n paar Minuten nicht erreichbar. Hoffentlich bleibts hier stabil, heut ist doch bezogen aufs StudiVZ mal wieder ein Festtag. :-)
Alexander: Stimmt, da war letztens noch ein Link zum Blog. Nun denn.
Screenshots: Unter Mac OSX nimmst du am besten “Grab” (Applications -> Utilities -> Grab). Unter Windows funktioniert die Tastenkombination ALT+Drucken (oben rechts), dann landet der Screenshot in der Zwischenablage. Von dort via Bildbearbeitung und Upload ins Netz.
Alternativ kannst du dir unter Firefox die Extension “Screengrab” installieren, die macht schöne Bilder vom Browserfensterinhalt: http://andy.5263.org/screengrab/
Ich kann solange gern mit einem Screenshot aushelfen: http://de.sevenload.com/bilder/oNGAzwj/070111-ausgebloggt
(oben aktuell, unten vom 23.12.)
StudiVZ-Anzeige: Wettbewerbsfähige Vergütung
Ich kann mir schon denken was das heisst:
Könnt ihr euch noch entsinnen, was StudiVZ damals pro gefundener Sicherheitslücke gezahlt hat :-)
In Relation zum Kaufpreis von StudiVZ wirkt das immer absurder.
Ich sags euch: Die Story um StudiVZ kann nur noch besser werden :-)
Wir freuen uns drauf ;-)
Screenshots unter MacOS X gehen noch einfacher: SHIFT+APFEL+3 für den ganzen Screen, SHIFT+APFEL+4 um per Maus einen Ausschnitt zu definieren. Das ganze landet per Default als “Bild 1.png” (Bild 2 etc…) auf dem Schreibtisch.
Wenn man bei SHIFT+APFEL+4 anschließend die Leertaste drückt, wird ein komplettes Fenster ausgewählt und als Datei abgelegt.
Ah ja:
http://www.golem.de/0701/49886.html
Nix mehr “Pause – Ene mene meck, der Blog ist kurz mal weg.”
Jetzt wird man von blog.studivz.net einfach auf http://www.studivz.net weitergeleitet. Auch nicht schlecht. Wir hatten mal ein Blog? Ach ja …
Schon blöd, dass Blogs keine gleichgeschalteten VZölkischen Beobachter sind.
Ich verstehe eine Sache wirklich nicht: Warum wird das StudiVZ jetzt schon wieder kritisiert, weil die Software eines Drittanbieters (in diesem Falle WordPress) eine Lücke enthielt?
Fall das Ausnutzen der Sicherheitslücke erst durch einen schlecht konfigurierten Webserver möglich war. So hab ich es zumindest verstanden!
@ ohrenoptiker
nein, nicht weil wordpress ne lücke enthält…dann wär dons blog ja auch schnell weg, wenn er es denn provozieren würde, und genau darum geht es…, das sie es provoziert haben also selber schuld sind…und sich noch nicht mal in irgendeiner form selber äussern, das geht auch über ihre normale seite…
oder hat der user des vz kein recht zu wissen warum so nen blog verschwindet? muss man das aus anderen quellen erfahren?
wer so blöd ist und sagt das die seite sicher ist und vergisst das es eigentlich zwei sind…den darf man auch kritisieren…
Moment, noch ist nichtmal klar, ob die Provokation Ursache für den Exploit war, oder hat der CCC schon ne Stellungnahme abgegeben? Genau so gut könnten es irgendwelche Script-Kiddies gewesen sein, die neidisch auf die 100 Millionen sind…
Der Webserver war nicht schlechter konfiguriert als z.B. der von Don oder anderen. register_globals ist bei fast allen Webservern auf ON gestellt…
Naja egal, mittlerweile dürfte ja klar sein, dass die Intention der ganzen Stories von DonAlphonso nicht der Verbesserungswille ist, sondern möglichst viel wirtschaftlichen Schaden anzurichten.
@131
Weil die vom tuten und “eher schon blasen” keine Ahnung haben und große Fresse schieben!
studiKZ stinkt!
@ ohrenoptiker
im hinblick zum don widersprech ich dir noch nicht mal….aber es geht auch um spaß…wobei wo richtet er den genau wirtschaftlichen schaden an? indem er texte mit lücken und fehlern über das studivz in die bar setzt (SEINE BAR SETZT)?wenn er damit schaden anrichtet, dann zu recht…keine fehler, keine Artikel in der bar, kein schaden…
aber wer sagt das es der ccc war…ich glaube auch an computer-kiddies, aber fühlen die sich nie provoziert oder herausgefordert…?
@ Ohrenoptiker
“möglichst viel wirtschaftlichen Schaden”
Das ist ja wohl der Oberlacher. Wo bitte ist denn der wirtschaftliche Schaden, wenn hier und in anderen Blogs auf Sicherheitslücken und unterirdisches Geschäftsgebaren hingewiesen wird. Bei StudiVZ gibt es doch außer Bürobestuhlung kaum irgendwelche Wirtschaftsgüter, die einen großen Schaden nehmen könnten. Der Schaden besteht für StudiVZ (jetzt Holtzbrinck) im Imageverlust und der Erkenntnis, dass da Millionen für fragwürdige Datensätze und eine labile Community ausgegeben wurden.
Ohrenoptiker: Ein Statement des CCC findest du bei Heise Online:
Filepic: Solange keine Details bekannt sind, sollten wir mit technischen Fernanalysen vorsichtig sind. Ich glaube nicht so recht an die Version vom Zeroday für WordPress, der einen suboptimal konfigurierten Server benötigt. Zumal es WP betreffend wohl noch ganz andere Probleme gibt (Eigentlich möchte man zur Zeit kein WP-Blog am Netz haben).
Artista: Das ist immer eine Abwägungssache. Ganz generell sollte einem aber klar sein, dass wenn solche Dinge hier an der Blogbar aufschlagen, die richtig bösen Jungs davon schon ein paar Tage länger wissen. Durch die Veröffentlichung (oder auch Statements wie von Urban oder Datenschutz-Manfred) malt man natürlich nochmal eine große Zielscheibe für Kiddies auf die Server.
@134, Ohrenoptiker: laut update bei heise dementiert der CCC eine direkte verstrickung.
http://www.heise.de/newsticker/meldung/83536
Leute, habt ihr eigentlich auch den Eindruck, dass der SPIEGEL so langsam auf das Thema anspringt?
Ich meine, Zeit wärs ja, dass die endlich mal raffen, dass es auch um IHRE Zielgruppe geht. Oder muss da erst ein Studentenportal der Süddeutschen im VZ eröffnet werden?
Irgendwie scheint mir da bei den sonst so fixen Jungs vom SPIEGEL der Groschen echt in Zehn-Pfennig-Stücken zu fallen. Noch letzte Woche – nach dem Verkauf an Holtzbrinck! – haben die ja in ihrer Printausgabe voll ins Horn der süßen Studi-Entrepreneure getutet, die für ihre Mit-Studis da was schönes basteln, und jetzt von dem Holtzbrinck-Millionen “als erstes mal ihre Studiengebühren zahlen”. Wer schreibst so nen Scheiss, was für ne Einstellung braucht man da als Journalist? VölkischerBeobachterStalkerWardamalwas?najawirmachenallefehler…
Um es mal so auszudrücken: Der Mensch ist träge. Mein Vater hatte den SPIEGEL 30 Jahre abonniert. Abonniert hat er ihn damals in seiner Studenten-Zeit, aber er hat in der Tat immer zwischen SPIEGEL und der ZEIT geschwankt (und sich im Urlaub dann auch manchmal letztere gekauft…).
Vor dem Hintergrund muss sich der SPIEGEL echt schonmal fragen lassen, wie blöd man eigentlich sein kann, so eine Entwicklung wie das StudiVZ erstmal völlig zu verpennen, und dann aber auch noch schlecht recherchierte Jubel-Artikel über das Web 2.0 im allgemeinen und das StudiVZ im besonderen in die Printausgabe zu setzen, wenn das Ding schon an die Konkurrenz verkauft ist.
Das StudiVZ in der Printausgabe des SPIEGELs den Studis schmackhaft machen, und im manager-magazin Werbung fürs VZ bei der zukünftigen Anzeigen-Kundschaft zu betreiben: Ist das die Arbeitsteilung, die sich der SPIEGEL vorstellt?
Dann sollen sie sich aber auch nicht wundern, wenn der Holtzbrinck-Konzern irgendwann auf dem VZ zweiwöchige Probeabos für die Süddeutsche an die Studis gegen kostenlosesn unbegrenzten Speicherplatz in den VZ-Fotoalben verschenkt (“Sollten Sie nach Ablauf der 2 Wochen nicht mehr an der Süddeutschen Zeitung interessiert sein, genügt eine kurze Mitteilung per Postkarte”)…
Naja, ist ja nicht meine Kundschaft, die der SPIEGEL da vergeigt!
@jo 125:
Du kehrst doch den Technikfreak raus, normalerweise?
Wie kommst du dann zu solchen Aussagen.
Für einen Screenshot ist KEINE weitere taste notwendig als die “drucken”-Taste. Ich verstehe nicht, warum man immer wieder liest, es seien alt+drucken oder strg+drucken….
Betr. Spiegel:
Weil bei studivz Holtzbrinck dabei ist. Die Verlage gehen normalerweise relativ respektvoll miteinander um. Denn Spiegel will ja auch nicht, dass das Handelsblatt das nächste Mal ihr eigenes Investment gnadenlos auseinandernimmt. Die Herausgeber, Chefredakeure und Verantwortlichen wollen sich ja auch bei Tagungen und Treffen der Branche und der Branchenverbände noch in die Augen sehen können.
DaveKay: alt+drucken erzeugt Screenshots vom aktiven Fenster. Ist ziemlich praktisch wenn man Monitore mit hoher Auflösung benutzt, wa!
Dave-Kay: Ich simuliere das nur, eigentlich bin ich Journa^H^H Theoretiker. Aber ernsthaft: Mit ALT+Druck nimmt er nur das aktive Fenster unter Windows, das finde ich nicht unschick.
Es wird spätestens seit PHP5, das aktuell in Version 5.20 vorliegt, vor register_globals als eine der größen Sicherheitslücken gewarnt. Seit PHP 4.10 sollen die entsprechenden superglobalen Arrays verwendet werden. Ebenso macht die Aktivierung vom magic_quotes_gpc viele Programmierer auch nicht glücklich. Manche vermeintlich bequemen Optionen in der PHP-Konfiguration sind sicherheitstechnisch unbequemer als kleine Funktionen, mit denen man die entsprechenden Variablen filzt und entschärft.
MfG
Daniel
Und das empfinde ich als grob fahrlässig. Und wer ein so großes Portal betreibt und elemtarste Sicherheitslücken (welche nunmal schon in PHP drin stecken – es ist nämlich eher eine Schwachstelle in PHP, denn eine in WordPress) nicht schliesst, der hat nunmal die Lacher auf seiner Seite. Und je größer das Portal und höher der eingesetzte Geldbetrag, umso schmerzhafter dann die Erkenntnis, das man doch nichts Besseres ist und auch Fehler macht. Und wo bleibt eine Stellungnahme der Verantwortliche? Genau, aus…
Heise-Ticker: Neuer WordPress-Exploit betrifft auch Version 2.0.6:
Don, auch dein Blog ist unsicher. WordPress 2.0.6 hat noch genug Lücken. Die reichen auch für Dich, also mach dich nicht über andere lustig.
Wenn der Don auch mal über die Stränge schlägt, tut er doch eines (zumindest hoffentlich) nicht: lügen bzw. absichtlich falsche provokative Statements zu veröffentlichen. Und genau das scheint ja hier passiert zu sein, und zwar von “Profis” dies eigentlich besser wissen sollten.
@ stephan
nix verstanden, darum ghet es doch gar nicht….
auf dem studivz blog waren weder vertrauliche daten noch irgendwelche anderen relevanten daten…es ist gar nicht sooo schlimm das der blog von denen gehackt wurde…
es geht darum,dass sie den usern keine einblicke über solche sachen bieten…
Sers,
Kann vielleicht mal einer der Spezis erklären, WAS dieses “register_globals” ist, bzw. falls das (ohne Progammiererlatein) zu schwierig ist, was man sich als DAU darunter vorzustellen hat oder ne kleine Erläuterung dazu geben?
Im Ãœbrigen glaube ich weniger an irgendwelche “Kiddies”. Die Person, die dass geschrieben hat, scheint ja doch eine gute Mischung aus echtem Anliegen (den Ruf des CCC wiederherstellen/StudiVZlern zeigen wie super-sicher ihr System ist/Herr Urban für seine dumm-dreiste Aussage lügen strafen) und einer schönen Prise Humor zu besitzen. Vielleicht ist die Aktion kindisch, aber mMn zeigt sich hier eher, wer wirklich kindisch ist, nämlich die Herren Dariani und Co., die nichts besseres als Vertuschung und dämlicher Lügen in Petto haben. Schade, dass es nicht noch länger da gewesen ist. Besser kann man eigentlich die ganzen Fehler im System den lieben leichtgläubigen “Wir-halten-zu-Euch-ihr-supi-StudiVZ-Team”-Studis nicht vorführen. Alles andere müsste man ja selbst nachlesen, aber sowas schlägt jegliches Argument der Richtung “Und es ist DOCH sicher!” tot.
Markey
@122
i know – aber unter berücksichtigung der aktuellen sachlage bekommt das angebot doch noch mal ganz besonderen “reiz” … ;)
warum meldet sich da nur keiner …?!
@Markey, 16:11: ganz ohne Programmiererlatein wird das kaum gehen.
Aber der Reihe nach: Beim Programmieren benutzt man üblicherweise Variablen, um Werte zu speichern. Ein Programm arbeitet mit verschiedenen Ursprungswerten, die z.T. durch den Zustand und Vorgaben besetzt werden, z.T. aber auch vom User der Webanwendung geschickt werden (z.B. was du in das Suchfeld eingetippt hast oder die Daten des Formulars, die du ausgefüllt hast).
Letztere Daten, also die, die vom Nutzer kommen, sollten in den meisten Fällen eben nicht Daten überschreiben können (z.B. wenn der Nutzer unerwartete Werte schickt, bzw. Werte für Variablen, die er eigentlich gar nicht schreiben kann — z.B. die zur Verfügung stehenden Nutzungsrechte). Bei sauberer Programmierung kann das auch nicht passieren, da die Daten je nach Herkunft isoliert sind. “register_globals” ist eine PHP-Einstellung, die dieses Verhalten abschafft und erhebliche Vermengungen zulässt. So kann man schneller und schmutziger schnell ‘was hinprogrammieren, muss sich aber selbst darum kümmern, dass nichts falsches überschrieben wird. Da es eine PHP-Einstellung ist, muss man als Programmierer aber auch dann, wenn man Programme schreibt, die sich nicht auf “register_globals” verlassen, berücksichtigen, dass vielleicht später die Software aber doch auf einem Server eingesetzt wird, der vielleicht aus anderen Gründen “register_globals” eingeschaltet hat. Dies wird oft als PHP-Schwäche ausgelegt — was so verkehrt auch nicht ist.
@151
http://www.phpbar.de/w/Register_globals
Die Jungs drehen frei und es geht gar nicht mehr. Siehe auch den Kommentar in meinem Blog: http://tim.geekheim.de/2007/01/11/studivz-und-der-ccc/
Markey: Ganz ohne Programmiererlatein ist das ein bisschen schwierig …
Grob gesagt: Bei alten PHP-Versionen, und bei neuen mit gesetztem register_globals, wird nicht unterschieden, ob ein Wert urspruenglich vom Programmierer, vom System selbst, oder von dem, der auf der Webseite surft (“Benutzer”) gesetzt wurde.
Das kann dann dazu fuehren, dass ein boeswilliger Benutzer Werte ueberschreibt, auf die sich der Programmierer der Seite faelschlicherweise verlaesst. Und das wiederum oeffnet Tuer und Tor fuer riesige Sicherheitsluecken.
Bei neuen, “vernuenftigen” PHP-Installationen muss der Programmierer jedesmal explizit sagen, wenn er auf einen Wert zugreifen will, den der Benutzer und nicht er selbst gesetzt hat. Das verhindert schon einmal diesen Typ Angriff, ist aber etwas zusaetzlicher Schreibaufwand, und wird daher von faulen Programmierern verweigert. Ausserdem sind groessere Softwarepakete oft schon vor dieser Umstellung entstanden, und verlassen sich an zu vielen Stellen auf die alte Vorgehensweise — so dass die Webseitenbetreiber lieber auf den “alten”, unsicheren PHP-Modus umstellen, als die Software anzupassen (oder gar nicht zu verwenden).
@ Hans-Werner, Anderer Gregor, m!cele: Man dankt :). Und wieder ein wenig schlauer geworden.
Markey
Sicherheitsschwankung – was für ein wunderbares Wort!
Nette Gegendarstellung. Wobei man den Betreiber des StudiVZ diesmal keine Vorwürfe machen kann. Sie hatten eine aktuelle WordPress-Version.
“Sie haben es provoziert und sind selbst schuld…”
Also das ist echt die Härte. Auch wenn ich sehr lachen musste als ich den Blog gesehen habe ist das ja wohl Blödsinn.
Wer sich dadurch provoziert fühlt(abgesehen vom CCC der den Angriff dementiert) muss schon ein arg geschwächtes Ego haben.
Man haut doch auch nicht jedem eins aufs Maul der sagt er gehe ins Fitnessstudio. – “Soll er doch zeigen wie fit er ist” :D
Vielleicht ist das hier an dieser Stelle etwas OT, aber in den Stellenanzeigen von StudiVZ wird ja schon deutlich, wohin die Reise geht:
Zum Ausbau unseres Teams in Berlin bieten wir Praktikum im Bereich Marketing
Ihre Aufgaben:
• Assistenz der Geschäftsführung
• Planung, Umsetzung und Optimierung von Marketingmaßnahmen und
Wachstum
• Projektmanagement für Aktionen von Werbekunden auf studiVZ
Projektmanagement für Aktionen von Werbekunden?
Ob eine derartige Reaktion auf die Aussage im MM jetzt angebracht ist oder nicht, darüber lässt sich sicherlich streiten.
Nichtsdestotrotz ändert es ja nichts an der Tatsache, dass die an jener Stelle gemachte Aussage – das StudiVZ ist so sicher, daran beißen sich auch [hier Super-Hacker oder einfach nur ccc einfügen] die Zähne aus – schlichtweg eine Lüge ist.
Mal ganz abgesehen davon, ob es jetzt überhaupt möglich ist, eine 100%ig sichere Plattform bei einem so großen Projekt online zu stellen: Die hier wieder erneut bestätigte Unternehmensphilosophie, die Nutzer über bestehende Risiken im Unklaren zu lassen (oder eben durch Falschaussagen die Realität wissentlich grob zu verzerren) und bei dementsprechend häufigen Pannen auch noch alles unter den Teppich zu kehren, hat nichts mit Professionalität zu tun, für die irgend jemand Geld kassieren sollte. Von daher finde ich ein bisschen Häme (zumal die Gegendarstellung ja so plump gar nicht ist) an dieser Stelle wirklich nicht Fehl am Platze.
@strappato (142)
Das wirds wohl sein. Da gibts bestimmt, wenn es um riskante Investments geht, so ein “gentlemens agreement” zwischen den Medienkonzernen, wonach die eine Krähe der anderen kein Auge aushackt.
Einerseits.
Andererseits:
Ich weiß nicht, ob der SPIEGEL schon rallt, wie gefährlich im ein tatsächlich funktionierendes und fest etabliertes Studentenverzeichnis in der Hand eines Konkurrenten wirklich werden könnte.
Im Moment hat SPON ja wohl noch einsam die Marktführerschaft bei den Studis, was die online-Ableger der Printmedien anlangt. Wenn Du aber z. B. die Süddeutsche direkt im VZ verlinkst, und als opener da Meldungen reinpackst, die auch Studierende interessieren könnten, wird das ganz rasch anders.
Schlagwort Bequemlichkeit: Wenn ich sowieso schon auf dem VZ bin, klick ich auch da die Nachrichten an, wenn mich eine interessiert. Tja, und das sind dann halt auch die Abonennten der zukünftigen Printausgaben, gerade wenn Du Probe-Abos noch mit coolen online-Features verknüpfst. Und das könnte dem SPIEGEL – mal auf eine ganz lange Sicht gedacht – wirklich gefährlich werden. So ein Magazin lebt von den Abonnenten als sichere Bank, und der SPIEGEL wendet sich in seiner Zielgruppe faktisch ausschließlich an Akademiker.
Ich schätze auch, dass Springer deswegen dem Vernehmen nach so verzweifelt für dieses Häufchen Schrott VZ mitgeboten und offenbar sogar ziemlich ansehnliche Summen geboten hat: Weil die gerafft haben, dass so ein Ding wie das VZ ein Einfallstor in den Studi-Markt sein könnte, wenn man die Studis dort geschickt an eine bestimmte Zeitung (in dem Fall vielleicht die online-Ausgabe der Welt) gewöhnt.
Sozusagen die Verlagerung der unsäglichen Abo-Verkaufsstände aus der Uni in das Internet, nur mit besseren Möglichkeiten der Heranführung an die zukünftigen Kunden. In der Tat ist das zur Zeit eigentlich die einzige wirklich gescheite Applikation, die ich mir für so ein Ding wie das VZ überhaupt denken kann. Es liegt einfach sehr nahe, das tägliche “Nachgucken, wer mich gegruschelt hat” mit ein bißchen online-Zeitungslesen in der Vorlesungspause zu verbinden…
@Christoph (160)
Stell Dir vor, Du bist ein berühmter Kunstsachverständiger, sagen wir für Bilder von Picasso.
Jetzt sagt jemand öffentlich in einem Interview, dass Du die Echtheit eines bestimmten Picasso, den er besitzt, gutachterlich geprüft und bestätigt hättest. Und das, obwohl Du das erstens niemals getan hast, und es sich zweitens tatsächlich um einen falschen Picasso handelt.
Darf man sich dadurch provoziert fühlen oder nicht?
Ich denke, Du verstehst das Problem…
Bei Heise gab es ein weiteres Update des Artikels:
http://www.heise.de/newsticker/meldung/83536
Nun äußert sich auch erstmals(?) StudiVZ zu der Sache.
@Urs:
Na ja, aber sobald studiVZ durch Links auf eine Zeitung (wäre ja wohl eher die ZEIT, da zu Holtzbrinck gehörend ;-) seine vermeintliche Neutralität aufgibt, ist es eben nicht mehr die Seite für alle Studis. Das ist doch bisher der Pluspunkt: studiVZ ist (noch) werbefrei und “neutral”.
ähhhh
http://studivz.irgendwo.org/
wurde das hier schon behandelt?
Endlich mal ein offizieller Kommentar vom CCC (155).
@Don
Kann sein, dass der Link schonmal gekommen ist, aber was crawling und Datenauswertung angeht:
http://studivz.irgendwo.org/
damned :) zu lange geschrieben
FYI: blog.studivz.de, also der Ex-Blogserver, existiert nicht mehr im DNS. Also machen die jetzt wohl ihre etwas ältere Ankündigung wahr, das Blog in den Hauptserver integrieren zu wollen. Wenn da dann weiter WordPress laufen sollte – *das* wird erst richtig lustig…
@Oli (165)
Hm, ich dachte, die Süddeutsche hängt auch irgendwo bei Holtzbrinck mit drin. Bei redaktioneller Unabhängigkeit, versteht sich! :-) Außerdem würde das VZ dann ja nicht “seine Neutralität aufgeben”, sondern es macht den Studis ein Angebot, nämlich zusätzlich zum Gruscheln auch Nachrichten lesen zu können. Was ist daran Schlechtes… ? :-)
Ich denke nicht, dass sie so blöd sein werden. _Völlige_ Merkbefreitheit würde ich ihnen nicht unterstellen. Ich kenne ja die Infrastruktur nicht, aber vll. lassen überlegen sie, das ganze auch auf einer eigenen Maschine, anstatt in einer VM laufen zu lassen und sind gerade dabei, dies zu tun..
steht bei Heise.
Es gibt da noch eine dritte Möglichkeit. An das neue Exploit glaube ich nicht. Nur weil StudiVZ glaubt, dass die andere Seite sie nicht gehackt hat, heisst das nicht, dass das system nicht längst gehackt ist. Angesichts des Umstandes, dass da jeder an seinem privaten Notebook werkelt, kann man sich ja mal Gedanken machen, was da sonst noch ginge.
Ich komme nochmal auf @19 zurück: Wo soll studiVZ gegen Lizenzbestimmungen von WordPress verstoßen haben?
@172, Don:
Meinst, da könnte einer aus dem Team Daten weitergegeben haben oder dessen Laptop wurde evtl. ausgelesen, als er anderweitig online war? So in Richtung Social Engineering oder Angriff von innen?
MfG
Daniel
@Urs 163
Ich verstehe die Problematik durchaus und habe meinen Post wohl ein wenig überzogen.
Die Informationspolitik von StudiVZ und Kohorten ist unbestrittenermaßen unter aller Sau(wenn das was die veranstalten überhaupt so nennen darf), aber zu sagen man würde durch eine solche Aussage selbst verschulden gehackt zu werden, schießt meiner Meinung nach deutlich weiter über das Ziel hinaus und steht /*Achtung Polemik ;-)*/ mit “selber Schuld wenn die keine Arbeit haben” “selber Schuld wenn die armen Leute kein Geld haben”.
Diese Aussage bezweckte ich mit meinem Post.
@Daniel (174)
Denk auch dran, was so ein privater Laptop schon so alles verseuchtes Zeuchs drauf haben könnte, wenn man damit ins FirmenLan geht…
@wennEsAnfaengt (171)
Leider kann ich ja nicht mehr aufs Blog verlinken, aber die hatten explizit vor, ihr Blog ins StudiVZ zu integrieren, also auch nur den eigenen Usern zugänglich zu machen. Da macht eine eigene Maschin’ nicht sooo viel Sinn – immer aus ihrer wirren Perspektive gesehen, natürlich;-)
Die Welt berichtet:
http://www.welt.de/data/2007/01/11/1173319.html
hat sich eigentlich schon einer mal mit den neuen svz seiten beschaeftigt und mal geschaut ob dort die enromen sicherheitslücken der vegangenheit ebenfalls enthalten sind?
waere doch mal interessant
@178: 1.) ja… *g* (zumindest hat mir das ein vögelchen gezwitschert :P) und 2.) nein…
der “welt” artikel ist ja heftig *gg* so gemixt, gewürfelt, geschüttelt und gerührt hab ich des noch nicht lesen dürfen….
@ olli: die sind nur noch teilweise enthalten :)
@ fukurokuju: Was ist 1., und was ist 2.?
@ steda: lies das Original! Die “Welt” hat dazu wenig beigetragen.
“StudiVZ verweist hingegen darauf, dass das Weblog des Unternehmens von der eigentlichen StudiVZ-Seite getrennt ist. “Das ist eine ganz eigene Infrastruktur”, so Sprecher Thilo Bonow. Deswegen habe keine Gefahr für die Daten der Nutzer bestanden.” (Welt)
Ghrrrmmbll… Wenn ich bei Holtzbrinck was zu sagen hätte – was ich gottseidank nicht habe, denn sonst wäre mein kleines, feines Leben zugunsten von Arschkriecherei, Mobbing, Wirbelsäule-Verbiegen und ultraschlechtem Prosecco in Gütersloher Absteigen da, wo keine Sonne hinkommt – dann wäre gestern Herrn Bonows letzter Arbeitstag gewesen. Und das global gesehen.
1.) Die Infrastruktur ist natürlich die selbe. Mehr als ein Klein-Netz bei Ex-mediaways ham’se nun mal nicht. Der Unterschied zum Haupt-studivz.net-Server beträgt grad mal 8 Bit im letzten Tripel.
2.) “Gefahr für die Daten der Nutzer” – geht’s noch? Ist die Panik-Konditionierung jetzt schon so weit, daß jeder leichte Wind aus egal welchen Richtungen solche Zuckungen auslöst? Kann es sein, daß dieser Ausgelutschte den Begriff Krisen-PR für lächerliche Wahnvorstellungen aus Hollywood-Filmen hält?
@porschekiller (182)
War nicht Bertelsmann in Gütersloh…? ;-)
Ansonsten stimm ich Dir aber voll zu. Ich frage mich übrigens manchmal auch, was einen dazu bringen kann, das einzige Leben das man hat, von neun bis neun in künstlich kühl klimatisierten Räumen in solchen Läden wie Holtzbrinck zu verbringen. Solche Karrieren können doch eigentlich nur Menschen anstreben, die auch einen ganz schlechten Kontakt mit sich selber haben. Da kommen dann so Typen wie der Urban raus, die ohne jedes Gespür für eine bestimmte Zielgruppe einfach wie die Axt im Walde pseudoschlaue Interviews geben. Vielleicht denkt der ja selbst mal darüber nach, warum er da vom ccc so postwendend eins auf die Mütze bekommen hat. Wenn er das mal konsequent zu Ende denkt – es täte ihm wahrscheinlich auch selber gut…
@porschekiller (176)
Also wenn sie die beiden Dinger echt auf ein System bringen –
hahaheul. Sowas verbietet schon der gesunde Menschenverstand. Da muss man sich nicht mal näher mit Netzwerken und Netzsicherheit beschäftigt haben. Ich wüsste nicht, wo darin der Sinn liegen sollte.Seit @19 und @173 warte ich immer noch auf eine Antwort: Gegen welche Lizenzbestimmungen von WordPress soll studiVZ verstoßen haben?
Pardon, das sieht man jetzt nicht mehr, aber das Blog hatte ein Impressum, das alles unter das Copyright von StudiVZ stellte, ohne Hinweis auf den Open-Source-Charakter von WordPress.
WordPress steht doch unter GPL oder? Dann dürften sie es strengenommen eh nicht für kommerzielle Zwecke nutzen. Nunja, hat sich inzwischen ja doch eh erledigt.
Hat von den hier mitlesenden Studierenden noch jemand den Spam von studi.net bekommen? Die wollen für die Datensätze immerhin 500€ pro Monat rausrücken ;-)
Link dazu gibts auf Anfrage, da ich nicht weiss ob hier erwünscht…
Wenn Du eine valide Email angibst, dann ist es machbar. Ansonsten eher nicht.
Och menno, schick mir doch bitte einfach mal ne eMail an diese Adresse damit du mir mal glaubst das sie valide ist. Was stört dich daran? Die Unterstriche oder die individuelle Ausprägung?
Schöner Kommentar:
http://www.computerwoche.de/treffpunkt/cw_wert/586311/
Wie kommst du denn auf das schmale Brett? Selbstverständlich darf man GPL-Software für kommerzielle Zwecke einsetzen.
–snip– http://de.wikipedia.org/wiki/GPL
Die GPL gewährt jedermann die folgenden vier Freiheiten als Bestandteile der Lizenz.
1. Das Programm darf ohne jede Einschränkung für jeden Zweck genutzt werden. Kommerzielle Nutzung ist hierbei ausdrücklich eingeschlossen.
2. Kopien des Programms dürfen kostenlos oder auch gegen Geld verteilt werden, wobei der Quellcode mitverteilt oder dem Empfänger des Programms auf Anfrage zum Selbstkostenpreis zur Verfügung gestellt werden muss. […]
–snip–
@jo: stimmt ja, habs mit dem vierten Grundsatz ins Gefüge bekommen:
3. Die Arbeitsweise eines Programms darf studiert und den eigenen Bedürfnissen angepasst werden.
4. Es dürfen auch die gemäß Freiheit 3 veränderten Versionen des Programms unter den Regeln von Freiheit 2 vertrieben werden, wobei dem Empfänger des Programms der Quellcode der veränderten Version verfügbar gemacht werden muss. Veränderte Versionen müssen nicht veröffentlicht werden; aber wenn sie veröffentlicht werden, dann darf dies nur unter den Regeln von Freiheit 2 geschehen.
Sie dürfen es anpassen, aber wenn sie es vermarkten wollen müssen sie den Quelltext offen beilegen…..
@Stimme
Auch “falsch”, denn sie müssen den Quellcode nur dem Käufer offenlegen und nicht der Allgemeinheit. Das wird auch immer wieder fehlerhaft behauptet, wenn es um GPL-Lizenzen geht.
Der Käufer darf aber wiederum den Quellcode jedem frei, öffentlich und ohne Gegenleistung zur Verfügung stellen.
CU
Stephan
@Stimme
Sorry, lesen will auch von mir gelernt sein ;)
Hattest Du ja alles so geschrieben… Wo ist der Kaffee?
[…] Auf jeden Fall bin ich mal gespannt wie das Ganze weiter geht. DonAlphonso der ja hin und wieder nicht ganz so positive Dinge über StudiVZ schreibt wird uns sicherlich auf dem neuesten Stand halten. « Page Rank Update Icons von IconBuffet » […]
[…] Nun hatte ja schon StudiVZ alles Mögliche erklärt, was nachher zur Lachnummer wurde. Die Nummer mit dem Chaos-Computer-Club, der vergeblich versucht hätte, sich dort einzuhacken, war wirklich großes Kino. Ich vermute daher, daß derlei Beschwichtigungen nicht nur schlechte Argumente sind, sondern obendrein gelogen. Und ich erlaubte mir, darauf in einer zweiten Mail hinzuweisen. Mein Vertrauen hält sich in Grenzen, und ich erklärte Dr. Sommer, daß ein fehlender Gastzugang für Eltern mehr Probleme erzeugt als löst. Es ist kein Problem, an einen Zugang zu kommen, wenn man Böses im Schilde führt. Es ist aber unmöglich, die Elterliche Sorge wahrzunehmen, ohne sich (illegal?) einen Account zu besorgen. Obendrein trägt dieses Vorgehen unlösbare Konflikte in Familien. Ich formulierte diesen Umstand so: “Dieses Gegenteil von Transparenz und Öffentlichkeit schafft nicht gerade Vetrauen. Gerade Eltern, die ihren Kindern den Zugang zum Netz ermöglichen wollen, kommen hier in die Zwickmühle: Sie können den Zugang nur verbieten oder blind darauf vertrauen, daß es “schon schiefgehen” wird. Dieser Konflikt kann nicht ans BKA oder freundliche Sozialpädagogen delegiert werden, er wird in den Familien ausgetragen. Die Jugendlichen können dann mit Recht sagen: “Du hast ja gar keine Ahnung, was ich da mache”. Und genau dafür sorgt SchülerVZ.[…] Bitte teilen Sie mir also mit, ob ein Zugang zu StudiVZ zum Zwecke der Gewährleistung der elterlichen Sorgepflicht möglich ist oder in absehbarer Zeit ermöglicht werden kann oder Eltern, die ihre Kinder auch im Internet beaufsichtigen wollen, nur die Möglichkeit bleibt, den Zugang zu SchülerVZ zu verbieten.” Dazu Herr Neurohr: “Der Gastzugang ist für uns schlicht gesagt zu riskant. Ãœber eine solche Funktion könnten ja schließlich Pädophile sehr einfach sich die Profile der Nutzer ansehen, ohne dass sie kontrolliert werden können. Wir würden in einem solchen Falle einen Voyeurismus bedienen, wie ihn Pädophile ja klassischerweise vorrangig praktizieren. Das wollen wir nicht. Daher kommt der Gastzugang für uns nicht in Frage. […] In unseren Gesprächen mit klicksafe.de und jugendschutz.net fühlen wir uns in unserer Einladefunktion als Schutzmaßnahme bestätigt.” Dieser groteske Blödsinn geht an allen Argumenten vorbei. Ich bin gespannt, wann die ersten Pädophilen auffliegen. Ich wette, in SchülerVZ tummeln sich mehr solche als Eltern. Man fühlt sich “in Gesprächen bestätigt”. Alles sicher in den 566000 Gruppen? Daß der Hansel sich an der Frage nach der Möglichkeit eines Gastzugangs festbeißt, zeigt: Ihm und den Seinen fehlt jede Idee und Motivation, Eltern in die Nutzung einzubeziehen. […]
[…] Carbogno and Fixmbr called a dispute between the CCC and StudiVZ on data security to my attention. Apparently StudiVZ-investor Holtzbrinck claimed in an interview that the data was secure and even the Chaos Computer Club had unsuccesfully tried to hack into the system. A few hours later, the StudiVZ blog was captured and somebody announced the following message (screenshot, text) on the StudiVZ-blog (which is now down): Dear StudiVZ-Users The new owner of your personal data, Konstanin Urban of Holtzbrinck Networks apparently also does not understand anything about security, just as the simulators to which you have given your data. Urban claims that the Chaos Computer Club has “unsuccesfuly tried to hack the system” but now everything is safe. […]
[…] Over at the Blogbar, someone in the comments asks whether the attacker was able to access and change the admin password, knock on the doors of other databases, create dumps, manipulate data etc. […]
[…] Angesprochen auf Probleme mit der Datensicherheit beim VZ sagte Urban: “Selbstverständlich musste man nachrüsten, und das hat StudiVZ getan. Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken.” Das wollte ein Hacker so nicht hinnehmen. Man kann auch annehmen, dass er die Worte des Holtzbrinck-Managers quasi als Einladung begriff. […]