And now something completely different: »quaero«, oder wie das heißt.

Gut, okay, Studivz ist grade ein spannendes Thema für Kleinbloggersdorf — für die Nutzer weniger, da heute schon schon wieder, seit ca. 12:45 bis nach 20:30 bislang, down. Wegen Sicherheits- mängeln, und das, obwohl noch vor 10 Tagen »Sicherheitsbedenken sind unbegründet« gemeldet und grade erst vor drei Tagen die neue Parole – »Alles wird gut« – ausgegeben wurde … So richtig ernst scheint man sich selbst nicht mehr zu nehmen, denn aus der Kaffeepause wurde mittlerweile »Ene mene meck, die Seite die ist weg! Mit ein bisschen Glück kommt sie bald zurück!« — immerhin verspricht man: »Ernsthaft Leute, wir hauen rein -auch ohne Kaffee- und sind bald wieder da!« Bald. Zeit ist eben doch relativ.
Nehmen wir uns relativ viel Zeit also, uns einer anderen Merkwürdigkeit zu widmen, something completely different: Quaero.
Ich bin unschlüssig, ob hier das »Blase2.0«-Tag passend ist; partiell scheint mir »Unsinn3.0« sinnvoller. Aber gut, fangen wir mal an.
Da ist zu erst schon mal der Name, »Quaero«. Klingt toll — kann aber niemand fehlerfrei schreiben.
G, o, l, e => Google. Q, u, a, e, r, o => »War das jetzt ‘Quero’, ‘Quaero’, ‘Qaero’ oder wie?«
Nein, Usability scheint keine Kernkompetenz der Bürokraten zu sein, die lächerliche 400.000.000 Euro in diesem Groschengrab zu versenken gedenken — davon aber, immerhin, lt. heise online, nur 240.000.000 Euro aus der leeren deutschen Staatsschatulle.
Ausschreibung? Bah, ist doof, machen wir doch nicht bei sowas: »Bei der Aufsetzung von strategischen Großprojekten mit grundlegender Bedeutung sind Ausschreibungen nicht üblich«, warum nur assoziiere ich gleich wieder TolleKollekte TollCollect?
Nein, nach etwas (Spiegel-basierter) Recherche zum Themenkomplex EADS und Airbus Industries bin ich ziemlich langfristig kein Freund davon, daß die Politik sich in Unternehmenspolitik einmischt; Parallelen zu Airbus sehe ich durchaus. Lustigerweise nicht nur ich; die Suchmaschine fand z. B., daß der Lycos‐Europe‐CEO europäische “Airbus‐Strategie” im Internet für notwendig erachte. Sowas.
Zuckersüß finde ich die Äußerung »“Wir sind nicht interessiert an Dingen”, betonte Wahlster [– der Direktor des beteiligten DFKI, dem Deutschen Forschungszentrums für Künstliche Intelligenz –] auf einem Bitkom-Forum Anfang September in Berlin, “wo wir sagen, das stellen wir jetzt zum Gemeinwohl ins Internet.”«
Dem Gemeinwohl, zumal dem europäischen, verpflichtet wird sich auch Google nicht fühlen, nicht jedenfalls, wenn’s an die Bilanz Substanz geht — verständlich bei jedem privatwirtschaftlichen Unternehmen. Welche Chancen hat aber eine mit staatlichen Mitteln hochgepäppelte Konkurrenz zur Datenkrake Google – die nicht evil sein möchte –, einem Unternehmen, von Analysten gehypet und geliebt? Einem Unternehmen, welches viele seiner Dienste »kostenlos« (bzw. für die Preisgabe von persönlichen Daten) abgibt? Wie soll dabei – z. B. für’s DFKI – Geld reinkommen?
Siehe beispielsweise Studivz (sorry; das letzte Mal in diesem Artikel, wirklich jetzt): geniale¹ Idee (nein, nicht neu; aber den Bedarf der Nutzer erkennend und deckend), initial gutes, virales Marketing (höre ich Bertelsmann, fällt mir noch immer BOL ein), durch kostenlose Bereitstellung der Grunddienste hohes Nutzerwachstum und durch grundlegende Funktion (von ein »paar« Ausfällen mal abgesehen) hohe Nutzerbindung. So richtig ein Bein auf die Erde bekamen die, z. T. früher gestarteten, Alternativen nicht. (Das mag sich noch ändern, medial wird, noch scheinbar unbemerkt von den Nutzern, Studivz ob der manigfaltigen Probleme aktuell durch den Wolf gedreht.)
Und nun »will Europa« staatlich gelenkt eine Alternative zu den US-amerikanischen Suchmaschinen (Plural!) anbieten? Man tritt ja nicht alleine gegen Google an; Yahoo und MSN gibt’s da auch noch. Mutig. Aber erfolgversprechend?
Wie sprich man »Quareo« eigentlich aus, auf finnisch, spanisch oder englisch?
___

¹ Ok, der Duden definiert das Genie als die »höchste schöpferische Wirkungskraft«; ich denke, ich verwende das Wort hier dann in der abgeschwächten umgangs- sprachlichen Bedeutung »schon eine richtig tolle Idee«.

Studivz: meine Message, Deine Message

So, nachdem die fast schon regelmäßige nächtliche Studivz‐Downtime eingesetzt hat, darf man wohl, während hoffentlich die »Software von Dennis [vom] November letzten Jahres« entrümpelt statt »inkrementel weiterentwickelt« wird, auf das ebenfalls fast schon obligarotische neue Studivz-Loch verlinken. (BTW, die Zitate stammen von Ehssan Dariani, nachzulesen, sofern noch nicht redigiert, in http://www.studivz.net/blog/?p=59.) Kurzinfos zur zur neusten Lücke, die sich um Messages dreht:

[…] Was passiert dann? Ich bekomme eine neue Nachricht. Und die ist von Paul, hat den Titel “hallo du” und der Nachrichtentext lautet “du bist dumm und ich mag dich nicht”. Komisch, denn Paul weiß nichts davon. Klar, die Nachricht habe ich generiert. Wem es also nicht klar geworden ist: Die message_id bezeichnet anscheinend unter anderem ein Sender-Empfänger-Paar. Und dieses Paar kann genutzt werden, um eigene Nachrichten zu generieren, und zwar unabhängig davon, ob man selbst der Absender ist oder nicht.
Wie bereits erwähnt akzeptiert das Skript message.php nur eine message_id von Nachrichten, bei denen der Benutzer entweder Sender oder Empfänger war. Und das geht nur, wenn man Zugang zum jeweiligen Account hat. Trotzdem sollte man die Gefahr nicht unterschätzen, denn in Kombination mit dem, was eventuell noch kommen mag (manche reden da ja nur von der Spitze des Eisbergs), könnte die Sache auch unangenehme Folgen haben. Möglicherweise funktioniert der Trick auch mit fremden message_id, momentan bekommt man aber einen “Kaffee-Fehler”, wenn man es versucht.

 
Zur weiteren Pleiten‐Pech‐und‐Pannenshow siehe u. a. – es ist unmöglich, hier alle sich mit dem Sichereitsproblemen bei Studivz befassenden Blogs aufzulisten oder eine solche Liste auch nur aktuell zu halten; ggf. bei www.technorati.com nach »studivz« suchen – Golem.DE (»StudiVZ: Verhaltenskodex und neue Merkwürdigkeiten — Diskussionen über IDs von StudiVZ-Nutzern«, »StudiVZ – Probleme 2.0 — Datenschutzprobleme bis zur vorübergehenden Abschaltung«), cloudkicker.net (»StudiVZ – Armutszeugnis für Studierende«), nodomain.cc (»StudiVZ – quo vadis?«), Artikel hier (»Studivz: Löcher und Weihnachtskarten«, »StudiVZBoykott.net; Database‐Dump von Studivz in freier Wildbahn?«) und, derzeit schwer angesagt bei dem Thema, die Blogbar — sofern sie nicht aktuell wieder durch Comment‐SPAM oder Erwähnung bei heise, Spiegel Online und Co. wegen Überfüllung geschlossen ist.

»So ein Tool würde nur weitere Gerüchte schüren.«

Lustig, lustig — die neue Sicherheitsphilosophie bei Studivz: Da versucht sich ein Studivz-Nutzer daran, sowas, was in openBC TPFKAoB (nein, ich finde den neuen Namen nicht besser) z. T. machbar ist (»was wäre, wenn A nicht direkter Kontakt wäre?«), nachzubauen …

Und zwar lass ich alle meine Freunde auslesen und im nächsten Schritt alle Freunde von meinen Freunden. […] Dann kann man (im moment noch per copy und paste) seinen Bekanntenkreis als Graph darstellen. […] Hier mal eine erste Test-Svg von meinem Account aus. Schon lustig. Da lassen sich Verbindungen erkennen, von denen ich voher gar nichts wußte. […]

 
… und bekommt dann nette Anrufe von netten Gründern:

Heute, 18:07
Hab gerade ein Anruf von Dennis Bemmann (Mitbegründer von Studivz?) bekommen mit der Bitte den Source-Code nicht zu veröffentlichen. Begründet hat er das mit der aktuell recht schlechen Presse und der Kritik am Datenschutz bei Studivz. So ein Tool würde nur weitere Gerüchte schüren.
Ich verstoße zwar meiner Meinung nach (und auch nach Meinung von Herrn Bemmann) nicht gegen die AGB, hab aber auch keine Lust auf Ärger *G*. Also lass ich das mal lieber. Ob das jetzt der richtige Weg ist, für bessere Presse zu Sorgen sei mal dahingestellt.
Vielleicht sollten die Jungs mal lieber ihre Sicherheitsproblem in den Griff kriegen.

 
Nächster Eintrag:

Heute, 18:15
Ach so wie es aussieht wurd mein Account gesperrt? Ich kann mich zumindest nicht mehr
Einloggen. Sehr nett….

 
Kann man so handhaben — muß man aber nicht, IMHO.
Schon eine denkwürdige Vorgehensweise. Nachts macht man die abends gestopften Löcher erst mal wieder auf, sicher neu gestopft hatte man das Loch von gestern erst wieder heute am Nachmittag. Eine durchaus sinnvolle, und lt. Zitat oben auch Studivz‐AGB‐konforme, Erweiterung der Funktionalität – wenn auch offline beim jeweiligen Nutzer – aber versucht man mit der Argumentation »wir haben grade schlechte Presse« zu verhindern.
Paßt aber ins Bild, siehe nur versteckte, als privat gekennzeichnete Daten ausplaudernde SuperSuche, siehe nicht wirklich unbegründete Sicherheitsbedenken, siehe die erst gestern gefixte Hijacking-Möglichkeit von Accounts, siehe XSS‐Angriff mit Studivz-Downtime (XSS steht für Cross‐Site‐Scripting, vgl. Wikipedia), …
Klar, »Sicherheitsbedenken sind unbegründet«, »Alles wird gut« — und die Erde ist eine Scheibe‽
Alaska.

StudiVZBoykott.net; Database‐Dump von Studivz in freier Wildbahn?

StudiVZBoykott.net nennt sich das nächste »Watchblog«, welches allerdings, anders als z. B. Karsten Wenzlaffs »StudiVZ Encyclopedia«, durchaus einen latenten Missionscharakter aufweist.
Ich möchte dann noch auf StudiVZ: Chronologie (Stand: 27.11.06) bei beissreflex hinweisen, wo es eine umfangreichere Linksammlung gibt, ferner auf den unverkäuflichen Artikel die Sorgenfreien, last but not least auf die hier zum Thema Studivz geschriebenen Artikel (ja, sogar dieses Blog‐for‐run‐aways hat eine Suche implementiert ;)).
Bzgl. Datenschutz bei Studivz wird es langsam aber sicher ungemütlich: bei Jörg-Olaf Schäfers – wie natürlich auch an der Blogbar – philosophiert man über einen angeblich im Edonkey‐Filesharingnetz verfügbaren Datenbankdump — sollte jener authentisch sein, müßte das für das Projekt Studivz den finalen BOO bedeuten. Was, da gebe ich den Nutzern recht, wirklich schade wäre; aber klar sein sollte auch jedem, daß schon die bislang veröffentlichten und dann mehr oder minder mühsam gefixten Probleme jedem popeligen Webshop das Genick doppelt und die Nase vierfach gebrochen hätten. Sollte es wirklich möglich (gewesen) sein, direkt opder indirekt SQL mit der Datenbank zu sprechen, … ja, dann fiele mir nichts mehr zu sagen ein :(

Fundstücke

Der gestrige Userfriedly‐Strip trifft es eigentlich ganz gut … Und da ich noch die Quellenangabe für den Hintergrund der Weihnachtskarte schuldig bin, heute also noch ein Blogeintrag:
»Liebes Webtagebuch, wie Du weißt, …« Just kidding.
Die Recherchen im Netz zu den »Gründern« von Studivz – zeitaufwändig aber unerläßlich – brachten so manches zu Tage. Besonders angetan haben es mir die, nach der Reanimation der guten alten Wayback-Machine, nun wieder zugänglichen historischen Versionen von www.dariani.de: Eine alte Version von www.dariani.de wirft ein paar Fragen auf. Wer ist der junge Mann, der sich da lasziv auf einem Zebrafell räkelt? (Und warum grade Zebra? Nein, da google ich lieber nicht nach …) Der Spreadshirt-Shop, auf den am Ende der Seite verlinkt wird, existiert noch; jedenfalls existiert ein Shop unter der Shop-ID — allerdings weiß ich nicht, ob Spreadshirt Shop‐IDs recycled.
Ist dies das in den Medien genannte erste Projekt E. Darianis? Heute ist die Seite linklos und zeigt den text »Herrenkultur: Herrenpflege«. Lt. Netzzeitung hat Dariani 2005 »versucht, eine Kette für Herren‐Kosmetik aufzubauen – ohne Erfolg«. 2003 war etwas vor 2005, hmm …
Man könnte es ja als weiteren medialen Ausrutscher werten, stünde nicht unten eben der besagte Link auf einen Spreadshirt‐Shop.
Ich bin mir wirklich nicht sicher; eine gewisse Ähnlichkeit mit dem »Jugend Forscht«‐Foto ist ja vorhanden; verglichen mit aktuellen Pressefotos allerdings erscheint mir grade die Kinnpartie nun weniger spitz?
Egal, ob Ehssan Dariani, heute CEO der Studivz Ltd., nun selbst Modell gelegen hat oder nicht; spannend wäre noch zu wissen, was denn auf dem auf diese Art beworbenen Spreadshirt‐Shop seinerzeit angeboten wurde — die Bilder jedenfalls erzeugen bei mir eine gewisse Erwartungshaltung ;)
Vollkommen unklar ist mir ferner, was die erste registrierte Seite soll. Das »Ultimative Virtuelle Ehssan Dariani Demütigungs Forum« sollte dort entstehen (hmm, war das vielleicht der Sinn der ab 2003 geschalteten, oben behandelten, Seite?), aber warum dann hier unter der iranischen Flagge ein Link auf zivishirt.de, einer bis auf Links nach www.lakattack.com, www.gruenderszene.de und www.voicegenie.de wiederum leeren Seite?
Wie auch immer, der Hintergrund für meine Studivz‐Weihnachtskarte stammt von der 2003er‐Seite, letztes der vier Fotos. Das diese Bilder noch immer abrufbar sind, beweist wieder einmal eindrucksvoll die These, daß einmal ins Internet gestellter Content fast nicht wieder gelöscht werden kann. (Dies mußte Ehssan ja schon mit dem Mädels‐in‐der‐S-Bahn‐anbaggern‐Video erfahren, welches Kolja produziert und initial veröffentlicht hat.)
Was das mit Studivz zu tun hat? Nichts; ich stolperte nur drüber und frage mich, ob er für jenen Shop selbst Modell stand. Da die Site fast ein Jahr in der Art am Netz war, dürfte es zumindest kein kurzlebiger Joke gewesen sein.

Studivz: Löcher und Weihnachtskarten

Seufz. Nachdem die Software hinter dem Studiverzeichnis »Studivz« nicht erst gestern und heute gleich mehrfach sich dem rauen Wind im Internet stellen muß (wir erinnern uns: »Die Software von Dennis entstand im November letzten Jahres und wurde inkrementel weiterentwickelt. Es war auf einige Hundert oder Tausend Nutzer Pro Tag ausgelegt. Momentan sind es viele Hunderttausend Studis PRO TAG, die oft für Stunden im VZ online sind.«) und dabei immer wieder (zu) optimistische Annahmen mit der Realität kollidieren, folge auch ich dem Aufruf »Schickt uns Eure selbstgestalteten Motive für unsere Weihnachtskarte!«.

Dotty is public. And naked.

Don & his commentators defaced Studivz again: die Äonen dauernde Rumrechnerei um die verschlüsselten IDs kann man sich nun schenken, dank eines weiteren Programmierproblems: die intern offensichlich bislang verwendete Variable “id” für den numerischen Index war anstelle der Variable “ids” über die URL adressierbar. Damit waren dann Zugriffe möglich wie …

http://www.studivz.net/profile.php?id=4 (Dennis Bemman, der Coder)
http://www.studivz.net/profile.php?id=5 (Ehssan Dariani, der Pusher)
http://www.studivz.net/profile.php?id=6 (Lukasz Gadowski, der Business Angel)

 
… und obwohl »es praktisch unmöglich ist, bei StudiVZ an ein nicht-öffentliches Bild zu kommen«, funktionierten alternativ …

http://www.studivz.net/showpeoplealbums.php?ids=w8V
http://www.studivz.net/showpeoplealbums.php?id=4

 
… womit sich der Aufwand auf max. 1.000.000 Aufrufe relativiert. Zumindest theooretisch.
Gut, kaum war es öffentlich, hat man in Berlin am lebenden Patienten operiert und diese Möglichkeit unterbunden. Pfffew, noch mal gutgega… Halt, was ist das?

Kommentar von michi, 28.11.2006, 16:09
Projekt: Berechnung von verschluesselten IDs zurueck zu numerischen IDs
— REIN ZUR ANSCHAUUNG —
Aaaalso, fangen wir mal mit einem Zitat aus dem allzu vertrauenswuerdigen Blog an:
“Die Suche nach einem beliebigen Code, wie beispielsweise Ev4M21/Z3uP7KA-5819,
der Zahlen und Buchstaben enthält, viele Millionen Jahre benötigen. Die
Kombination des von uns verwendeten Codes ist bedeutend komplexer als die
Kombination aus PIN und TAN beim Online Banking”
Ehrlich? Nein, denn dann sollten wir schleunigst zum Protest gegen die Banken aufrufen!
[…]
Als naechstes stellte ich durch die Betrachtung einer groesseren Menge von IDs fest, dass es nur __32__ verschiedene Moeglichkeiten je Zeichen gibt: qVgT8z3L0Bnc2Rw7X19khS4Y56MjDpfx – nicht mehr und nicht weniger. Der Zeichenraum ist somit _MASSIV_ kleiner als behauptet, da nicht a-z A-Z 0-9 (62 Moeglichkeiten) verwendet werden. Somit sinken auch
die “viele Millionen [benoetigten] Jahre” um die IDs ggf. durchzutesten. Im Vergleich:
5 Zeichen mit je 62 Moeglichkeiten (62^5): 916.132.832 Variationen (optimum)
5 Zeichen mit je 32 Moeglichkeiten (32^5): 33.554.432 Variationen (VZ)
[…] Aber was nun? Toll Zahl, bringt insoweit nichts – aber wir wollen ja auf die
361889 kommen. Also teilen wir doch einfach mal!
102417461 / 361889 = 283.007941662
[…]
Zuerst wandelt man die ids wie oben beschrieben in eine Dezimalzahl, teilt anschliessend durch die ermittelte magische StudiVZ-Zahl 283 – und schneidet nur noch die Nachkommastellen ab.
Tada, schon ist das System, das “komplexer als die Kombination aus PIN und TAN beim Online Banking”… hmm.. als blankes Zahlenspiel enttarnt.
Bei den Bildern wird uebrigens auf gleiche Weise gezaehlt, in den Alben ebenfalls. Versuchts mal selbst mit Eurer ID oder Alben/Bildern – es wird stimmen.
Ich fass mir echt an meinem Kopf wenn ich solch ein PR-Humbuck vom VZ lesen muss…..
Mit bestem Gruss aus Regensburg,
Michi
P.S.: es beruht _komplett_ auf Beobachtungen, ist also fuer jedermann nachvollziehbar.

 
Ich hab’s nicht nachvollzogen (PHP-Beispielcode existiert) — aber mir zumindest scheint die Aussage »bedeutend komplexer als die Kombination aus PIN und TAN beim Online Banking« nur noch bedingt haltbar.
Wie schrieb es doch jemand an der Blogbar? »Die Welt ist gut. Alles ist schön! Will jemand gruscheln?«

Aus die Maus?

Nach einer ausgiebigen ungeplanten Downtime des Studiverzeichnisses »Studivz« von heute Mittag bis zum frühen Abend, ist nun wieder mal Schicht im Schacht, da verzeichnet grade nix mehr irgendwas: »Koffeinschock? Kinder, dann lasst doch den Kaffee sein! Wir arbeiten für Euch und sind gleich wieder für Euch da! Geduldet euch mit uns, wir arbeiten für euch und sind bald wieder da!«.
Nachdem mit sowohl Spiegel Online als auch heise online und Golem.de reichweitenstarke Onlinemedien auf die Blogbar verweisen – an der ein »(Teilzeit-) Mitautor diese Blogs« in einem Zwischenruf eine Verlagerung der »Geschichten wie [der] StudiVZ-Schlammschlacht, egal wie wichtig und richtig sie sein mögen« aus eben dem Blogbar‐Blog, sagen wir anregt – mußten dort nun Notbremsen gezogen werden, um eine Erreichbarkeit sicherzustellen:

Um die aktuelle Serverlast durch die Verlinkungen von SPIEGEL Online und Heise.de zu reduzieren, muss ich mal eine Weile (schätze mal bis Montag abend) die Anzeige der Kommentare komplett unterbinden. […]

 
Damit wäre jener Blog dann faktisch tot — Blog – Kommentarmöglichkeit = statische Website.
Kollateralschaden nennt sich das wohl. Hoffentlich sind die eingesetzten Blog‐Software‐Versionen bei allen Beteiligten auf dem neusten Stand und hinreichend sicher — lt. bislang seitens Studivz nicht bestätigten Berichten, hatten Designfehler bei der Studivz-Software das Einschleusen eines XSS-Wurms in die von studivz.net ausgelieferten Seiten ermöglicht:

Juergen Kuester am 27. November 2006 um 14:15 Uhr:
XSS-Wurm!
Derzeit scheint es eher so, alsob die Notbremse wegen eines XSS-Wurmes gezogen wurde, welcher sich automatisch ueber die Pinnwand als Link verteilt hat :-)
Sobald auf diesen Gruppenlink geklickt wurde, wurde die E-Mailadresse des aktuellen Users auf eine nicht oeffentliche Pinnwand geschrieben und die Loginseite angezeigt. Das hier angegebene Passwort wurde ebenfalls auf die Pinnwand geschrieben, der User wurde auf die Gruppe “Datenschutz im StudiVZ” weitergeleitet.
Gleichzeitig lief das Skript im Hintergrund weiter, fragte die Freundesliste ab und begann damit die Pinnwaende der Freunde mit einem aus Bloecken zusammengewuerfelten Text zu beschreiben “Hallo *vorname*, schau Dir mal die Gruppe an… *url* Gruss, *vorname des users*”. Da sich das Skript zwischen Browser und Web legte (als Man-in-the-middle) und die geklickten Links per XMLHttpobj abfragte und darstellte, ist/war es moeglich, dass es im Hintergrund weiterlief und sich somit effektiver verbreiten konnte.
Bis um 11:55 der Customer Support ebenfalls auf die Gruppe klickte – 4 Minuten spaeter stand “Kaffeepause” – weitere 2 Minuten spaeter wurde der Stecker gezogen.
Ich denke eher dass _dies_ der Grund fuer den “Ausfall” ist. Ein feiner Web2.0 Wurm/Virus, der im Browser des Besuchers und mit dessen angemeldeter Session lief, das JavaScript wurde ueber den im Titel nicht geparsten Gruppennamen eingefuegt.
Web2.0, viralen Marketing,
Wurm2.0, virale Verteilung :)
[…]

 
Obacht, obige Informationen sind nicht verifiziert; sie klingen mir aber hinreichend plausibel, um sie hier – durchaus auch als Warnung an Studivz-Nutzer, denn inwiefern betroffene Nutzerprofile ob kompromitierter Passwörter deaktiviert wurden, ist zur Stunde nicht bekannt auch wenn lt. heise betroffene Benutzer benachrichtigt worden sein sollen – wiederzugeben. Der Bericht auf heise online bestätigt obige Aussagen zudem weitgehend: »Der oder die Angreifer haben demnach auf einem fremden Server ein gefälschtes Login-Formular im StudiVZ-Design angelegt. “Mittels JavaScript wurden die Login-Daten ausgelesen und wiederum an den StudiVZ-Server übertragen, wo mittels XSRF automatisiert ein Pinnwandeintrag generiert wurde. Dieser enthielt einen Teil-String der so ausgelesenen Daten”, erklärte ein Sprecher. Dies deckt sich mit der Darstellung in einigen Weblogs.«
Um nicht sich Einseitigkeit beschuldigen zu lassen, anbei auch die Geschehnisse aus Sicht des studiVZ-Teams:

Alles wird gut
Liebe studiVZler,
liebe Blogger,
studiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von studiVZ für die Nutzer zu gewährleisten wurde die Seite offline geschaltet. Die Seite ist im Laufe des Abends wieder online.
Euer studiVZ Team

 
That’s it, ungekürzt und unzensiert …
Über die bei heise online berichteten Änderungen aufgrund der Freigiebigkeit der »SuperSuche« aber schweigt das Firmenblog. Lt. heise wurde hingegen mal wieder den Lücken hinterherprogrammiert: »Der StudiVZ-Sprecher bestätigte gegenüber heise online die Lücke und versprach Nachbesserung: “Die Programmierung von StudiVZ wurde umgehend angepasst.” Die Super-Suche lasse ab sofort keine Rückschlüsse mehr auf Profildaten zu, wenn ein Nutzer das Merkmal privat auswählt. Die Suche wurde dahingehend geändert, dass Mitglieder, deren Sichtbarkeit nicht auf “für alle” gesetzt ist, bei der Suche nach erweiterten Kriterien nicht angezeigt werden.« Klingt für mich leider, als laufe der Countdown für den nächsten Gegenbeweis zur mutigen und leider auch mehrfach widerlegten Aussage »Sicherheitsbedenken sind unbegründet« — kein Wort von umfassendem proaktivem Codereview, der mehr denn je geboten scheint :(

»Kein "Handel mit der Gerechtigkeit"«

Hachja, Manager müßte man sein. Wie u. a. heise online berichtet (wieso berichtet Heise eigentlich darüber?), steht der (3.) Mannesmann‐Prozeß vor dem Aus: »Die Staatsanwaltschaft erklärte, eine Verfahrenseinstellung sei kein “Handel mit der Gerechtigkeit”, sondern entspreche der Rechtslage und sei sachgerecht. Die umstrittenen Prämienzahlungen hätten weder den Bestand noch die wirtschaftliche Leistungsfähigkeit der Mannesmann AG gefährdet. Die Angeklagten seien nicht vorbestraft, hätten in der Mehrzahl keinen wirtschaftlichen Vorteil von den Prämien gehabt und müssten allenfalls mit Bewährungsstrafen rechnen.«
Supi. Was kostet es eigentlich, jemanden – bei den im Raume stehenden Zahlungen – dazu zu bringen, von »in der Mehrzahl keinen wirtschaftlichen Vorteil von den Prämien gehabt« zu reden? Nein, nein, ich gehe natürlich fest davon aus, das Justitia unbestechlich ist und dies für alle am Verfahren Beteiligten gilt.
Mir fehlt nur die Vorstellungskraft, wie man aus mehreren Millionen als Prämienzahlung, und seien es »nur« D-Mark gewesen, keinen »wirtschaftlichen Vorteil« ergattern können soll.
Anders gefragt: wenn diese Manager so unfähig sind, aus derlei Zahlungen keinen wirtschaftlichen Vorteil zu erwirtschaften — bekamen sie dann die Prämien wegen ausgedehnter und erwiesener Unfähigkeit?