Neue Woche, neue Lücke: Studivz lebt!

JFTR; da an der Blogbar das Thema schon behandelt wird, hier nur ein Kurzabriß der neuen Lücke, einer Variation von etwas, was vor gut zwei Wochen schon berichtet wurde. RedoFromScratch wäre vielleicht doch zielführender gewesen als PatchAsPatchCan?
Wie auch immer — die neue Lücke basiert dadrauf, daß der Lückenausnutzer Moderator in einer Gruppe im Studivz sein muß. Simpel, da man jedezeit eigenen Gruppen gründen kann; dabei sein ist quasi alles. Weitere Voraussetzung dieses Mal: »Firefox und die Webdeveloper-Extension«.

Um sich selbst in eine Gruppe einzuladen, einfach eine Gruppe auswählen, wo man Moderator ist. Dort dann eine beliebige Person einladen, dann aber nicht auf “XXXX einladen” klicken.
Anstelle dessen jetzt unter Firefox bei Extras Webdeveloper anklicken und “Edit HTML” unter Miscelleanous anwählen: […] der Quelltext öffnet sich auf der linken Seite des Browser-Fensters.
Jetzt gilt es nur noch, im entsprechenden Formular die entsprechenden Zeilen anzupassen:

 
Anstelle einer simplen Übergabe per HTTP‐GET, die Studivz letztes Mal zum Verhängnis wurde, ist sind nun die per HTTP‐POST übergebenen Variablen zu manipulieren — »elias« von verspult.com löst diese Aufgabe über ein Firefox-Plugin, andere Wege sind denkbar. Details sind bei verspult.com nachzulesen, für die Dokumentation der Einfachheit und der grundlegenden Probleme der Anwendung, die Studivz betreibt, genügen die folgenden Hinweise:
<input type="hidden" id="ids" name="ids" value="USERID" >
<input type="hidden" id="gids" name="gids" value="GROUPID">

Dazu müsst ihr einfach bei gids die ID der vermeintlich geheimen Gruppe eintragen, bei ids gehört eure User-ID rein… Das HTML-Fenster nicht schließen, dann auf Absenden klicken – und schwupp die wupp, man sieht die Übersichtsseite über alle Gruppen.

 
Hernach sieht man dann auf »Meine Seite« die eigene Einladung in die fremde Gruppe, in die man schon immer mal reinwollte.
Wenn man bedenkt, daß zuvor
http://www.studivz.net/groupinvite.php?ids=DEINE_USERID&&gids=GRUPPENID&save=1
reichte — ja, es ist schwieriger geworden. Nur: augenscheinlich werden nach wie vor die Usereingaben nicht auf Gültigkeit im Kontext überprüft — dies ist umso verblüffender, da in der neuen, HTTP‐POST‐basierten Variante, ein »checkcode« übertragen wird. Was checkt der denn, mögliche Nutzer- und Gruppen-IDs offensichtlich nicht.
So ganz Unrecht mit ihrern Warnungen vor Studivz scheinen u. a. der ReferentInnenrat der HU, der AStA FU Berlin sowie der AStA der Hochschule Darmstadt also nicht zu haben — selbst wenn die neue Lücke wieder mal relativ zügig geschlossen werden sollte, sie hätte gar nicht auftreten dürfen!
Zitat aus der Netzeitung von heute, 09:43:

«Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet», sagt StudiVZ-Marketingleiter Suter. Die Studentenplattform kämpft gegen Probleme auf mehreren Ebenen.

 
Dario Suter, Mitgesellschafter und Marketingleiter von StudiVZ, versichert dort: »Die Sicherheitslücken sind geschlossen und der Datenschutz wieder gewährleistet« und gibt ferner zu Protokoll, daß er »nach den turbulenten Wochen« hoffe, daß wieder Ruhe einkehren möge. Ob der Weihnachtsmann diesen Wunsch erfüllen kann?
Anstatt aus den Blogs die Lücken der eigenen Software zu erfahren und dann mit einem weiteren Heftpflaster den Trümmerbruch über die Zeit bis zum Verkauf retten zu wollen, wäre ein Rewrite anzegeigt. Die Nagelprobe für Studivz dürfte denn auch der kommende 23C3 werden, Motto: »Who can you trust?«