PennerVZ: Macht's gut und Danke für die Links

Durch das Wochenende wäre es fast untergegangen: Das PennerVZ sagt Bye-Bye — oder, mit den Worten von Rudi:

Den millionsten Besucher konnten wir letzte Woche hier begrüssen, bei knapp 5,5 Mio. Seitenaufrufen. PennerVZ verabschiedet sich an dieser Stelle.
Wir möchten uns herzlich bei euch allen für eure Unterstützung bedanken. Viele Reaktionen sind bei uns eingegangen, positive und kritische, über die wir uns gefreut haben. […]
PS: Es gab nie einen Betatest und es wird auch keine Konkurrenz zu anderen Verzeichnissen mit ähnlich klingendem Namen geben. Die Domain wird wie angekündigt am Tag der Armut 2.0 (24. Dezember 2006) auf die Webseite einer gemeinnützigen Organisation weitergeleitet werden. Vorschläge dafür sind herzlich willkommen!

 
Eigentlich schade. Aber verständlich, wenn man die Ausführungen des »Rudi R.« in seinem Blog verfolgt:

Am nächsten Tag hatte der Blogger Andreas Dittes, die Story aufgegriffen und einen Bericht über PennerVZ auf seinem Blog veröffentlicht. Durchaus mit Kritik gespiekt. Der erste Lebenstag des PennerVZ war vorüber und hatte 172 Besucher mit sich gebracht.
Von Klaus-Martin Meyer kam eine Interviewanfrage. Die ersten Blogger, darunter Kolja Hebenstreit, griffen das Thema auf und berichteten über PennerVZ. Teils positiv, teils negativ waren die Reaktionen und ich fand mich als “Krisenmanager” meiner eigenen Seite wieder. Ich war davon ausgegangen, für jeden wäre dieser “schwarze Humor” auf den ersten Blick ersichtlich. Sehr naiv, mein Fehler. Ab sofort war ich mehrere Stunden täglich damit beschäftigt, Zweifler und berechtigte Kritiker von der Idee hinter PennerVZ zu überzeugen. Zu diesem Zeitpunkt war noch nicht abzusehen, mit welchen Problemen StudiVZ, das PennerVZ parodierte, zu kämpfen haben würde.

 
In der Tat. Mit einer solchen — für die Zuschauer — interessanten bzw. — für die Nutzer — ärgerlichen Pannenstatistik, wie sie pannenVZ Studivz hinlegte, und dabei sich durchaus selber wiederholt ausschaltete, konnte niemand rechnen.

Dann fand das PennerVZ Erwähnung im zu diesem Zeitpunkt schon gehörig gebeutelten und obendrein gut frequentierten StudiVZ Blog und bescherte der Seite mehr als 50.000 Besucher. In den Kommentaren bei Wallstreet online, Heise.de, Onlinekosten.de, Golem.de und anderen IT-Portalen, die Beiträge zu Social Networks brachten, erschienen Hinweise auf das PennerVZ.

 
Viral Advertising im Web2.0 — und auf eine ganz bestimmte Art komisch obendrein: durch die gnadenlose Naivität der Entwicklder der Studivz-Software fliegt ihnen das Ding laufen um die Ohren (Phase I: mangelde Performance bzw. fehlende Skalierungsoptionen), offensichtliche Privacy‐Lücken führen zu neuen Features (Phase II: It’s not a bug, it’a a feature we’ve forgotten to announce), fehlende Parameterprüfung gefährdet die Systemstabilität (Phase III: XSS-Würmer zerfressen den Rest Reputation) und führt zur langer Downtime für eine rudimentäre Renovierung. Nach dem Neustart sind wir nun in Phase IV: Rückkehr der Jugendsünden … Aber ich schweife ab.
Jedenfalls scheinen die Tage des Blogs zu »pennerVZ — Das einzig wahre Soziale Netzwerk« gezählt und es wird auch kein solches Verzeichnis geben. Wie schon vor rd. anderthalb Monaten geschrieben: »[Mit pennerVZ wurde] nun eine Web2.0-Community für den Wachstumsbereich in der bundesdeutschen Bevölkerung geschaffen: dem Prekariat.« So unsinnig das Unterfangen sein mag — die traurigen Hintergründe bleiben, allen Aufschwungsmeldungen zum Trotz, bestehen.

Neue Woche, neue Lücke: Studivz lebt!

JFTR; da an der Blogbar das Thema schon behandelt wird, hier nur ein Kurzabriß der neuen Lücke, einer Variation von etwas, was vor gut zwei Wochen schon berichtet wurde. RedoFromScratch wäre vielleicht doch zielführender gewesen als PatchAsPatchCan?
Wie auch immer — die neue Lücke basiert dadrauf, daß der Lückenausnutzer Moderator in einer Gruppe im Studivz sein muß. Simpel, da man jedezeit eigenen Gruppen gründen kann; dabei sein ist quasi alles. Weitere Voraussetzung dieses Mal: »Firefox und die Webdeveloper-Extension«.

Um sich selbst in eine Gruppe einzuladen, einfach eine Gruppe auswählen, wo man Moderator ist. Dort dann eine beliebige Person einladen, dann aber nicht auf “XXXX einladen” klicken.
Anstelle dessen jetzt unter Firefox bei Extras Webdeveloper anklicken und “Edit HTML” unter Miscelleanous anwählen: […] der Quelltext öffnet sich auf der linken Seite des Browser-Fensters.
Jetzt gilt es nur noch, im entsprechenden Formular die entsprechenden Zeilen anzupassen:

 
Anstelle einer simplen Übergabe per HTTP‐GET, die Studivz letztes Mal zum Verhängnis wurde, ist sind nun die per HTTP‐POST übergebenen Variablen zu manipulieren — »elias« von verspult.com löst diese Aufgabe über ein Firefox-Plugin, andere Wege sind denkbar. Details sind bei verspult.com nachzulesen, für die Dokumentation der Einfachheit und der grundlegenden Probleme der Anwendung, die Studivz betreibt, genügen die folgenden Hinweise:
<input type="hidden" id="ids" name="ids" value="USERID" >
<input type="hidden" id="gids" name="gids" value="GROUPID">

Dazu müsst ihr einfach bei gids die ID der vermeintlich geheimen Gruppe eintragen, bei ids gehört eure User-ID rein… Das HTML-Fenster nicht schließen, dann auf Absenden klicken – und schwupp die wupp, man sieht die Übersichtsseite über alle Gruppen.

 
Hernach sieht man dann auf »Meine Seite« die eigene Einladung in die fremde Gruppe, in die man schon immer mal reinwollte.
Wenn man bedenkt, daß zuvor
http://www.studivz.net/groupinvite.php?ids=DEINE_USERID&&gids=GRUPPENID&save=1
reichte — ja, es ist schwieriger geworden. Nur: augenscheinlich werden nach wie vor die Usereingaben nicht auf Gültigkeit im Kontext überprüft — dies ist umso verblüffender, da in der neuen, HTTP‐POST‐basierten Variante, ein »checkcode« übertragen wird. Was checkt der denn, mögliche Nutzer- und Gruppen-IDs offensichtlich nicht.
So ganz Unrecht mit ihrern Warnungen vor Studivz scheinen u. a. der ReferentInnenrat der HU, der AStA FU Berlin sowie der AStA der Hochschule Darmstadt also nicht zu haben — selbst wenn die neue Lücke wieder mal relativ zügig geschlossen werden sollte, sie hätte gar nicht auftreten dürfen!
Zitat aus der Netzeitung von heute, 09:43:

«Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet», sagt StudiVZ-Marketingleiter Suter. Die Studentenplattform kämpft gegen Probleme auf mehreren Ebenen.

 
Dario Suter, Mitgesellschafter und Marketingleiter von StudiVZ, versichert dort: »Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet« und gibt ferner zu Protokoll, daß er »nach den turbulenten Wochen« hoffe, daß wieder Ruhe einkehren möge. Ob der Weihnachtsmann diesen Wunsch erfüllen kann?
Anstatt aus den Blogs die Lücken der eigenen Software zu erfahren und dann mit einem weiteren Heftpflaster den Trümmerbruch über die Zeit bis zum Verkauf retten zu wollen, wäre ein Rewrite anzegeigt. Die Nagelprobe für Studivz dürfte denn auch der kommende 23C3 werden, Motto: »Who can you trust?«