Studivz, Scheunentore und kein Ende

Ruhig wurde es hier auf blogdoch.net in den letzten Tagen, was aber mehr mit einem aufgrund des sich nähernden Jahrensendes immer weiter füllenden Terminkalenders zu tun hat denn mit einem Mangel an Themen. (Eigentlich paradox, je weniger Jahr noch bleibt, desto mehr Arbeit manifestiert sich. Glücklicherweise gibt es noch keine Möglichkeit, das Datum 31.12. zu verschieben.)
Aus aktuellem Anlaß also – auch hier – ein kurzes Update zum Social‐Network‐Paradebeispiel für Bananaware, dem Studivz.
Am Montag berichtete ich über eine neue, schnell gestopfte Lücke im Studivz, mit der man eine ältere Lücke erneut ausnutzen konnte (Änderung der Parameter beim HTTP-POST und schon war wieder das willkürliche Selbsteinladen in jedwede Gruppe möglich). Aufgrund der für Studivz optimalen Veröffentlichungsuhrzeit konnte diese Lücke binnen ca. zwei Stunden nach Veröffentlichung gestopft werden.
»Ist doch super schnell reagiert worden« könnte man erwidern; ja. Reagiert. Auf eine Lücke, die, lt. Selbstdarstellung Studivz, so nicht mehr hätte existieren dürfen:

- Wir haben das Sicherheitskonzept generell überarbeitet und z.B. die Anwendung von One-Time-Tokens auf alle Seiten ausgeweitet.
[…]
– Es ist jetzt nicht mehr möglich, sich selbst in Gruppen einzuladen.

 
Naja, Software ist halt fehlerhaft. Per se? Am falschen Studienfach des einstigen Hauptprogrammierers kann’s eigentlch nicht liegen …
Mittwoch stieg dann Don Alphonso mit einer neuen Lücke wieder auf das Thema ein, angeblich stünde »StudiVZ momentan […] für das Abgrasen sämtlicher nicht geschützter, personenbezogener Daten wie Freundeslisten, Bilder und Gruppenzugehörigkeit offen wie ein Scheunentor«, es sei wieder nur ein »Script, das, mit der richtigen, lückenversehenen URL ausgestattet, sich munter durch StudiVZ wühlt« notwendig:

Trotz obiger Versprechungen funktioniert das reibungslos, wie man mir in den ülicherweise wohlinformierten Kreisen versichert hat. Ich habe es […] auch probiert, und tatsächlich, es geht.
Jeder verantwortungsbewusste Seitenbetreiber würde jetzt sein System runterfahren, die Lücke suchen und schliessen. StudiVZ macht das bekanntlich anders, die lassen ihr System lieber anderthalb Stunden offen, selbst bei wirklich schweren Sicherheitsproblemen, und reparieren am offenen Herzen. Mit Datenschutz hat sowas nichts zu tun. Deshalb verändern wir jetzt mal die Regeln für den Wettlauf StudiVZ-Hase vs. Blogbar-Igel zu Ungunsten des Hasen. Ich veröffentliche hier die für das Abgrasen verwendbare Lücke, und zwar als später nachvollziehbar kryptographierte URL:
http://www.studivz.net/rzofmbki4gg6uuo0bdnd5aykp9

 
Augenscheinlich, den Kommentaren an der Blogbar nach zu schließen, besteht diese Lücke noch — inwiefern es eine »Lücke« darstellt, mag kontrovers diskutiert werden; nach Selbstdarstellung Studivz dürfte es jedenfalls nicht so einfach sein, was Don Alphonso – nach Hinweisen – geschafft haben will:

- Wir haben an verschiedenen Stellen Mechanismen eingebaut, um automatisierte Profilabfragen und automatisierten Nachrichtenversand zu erschweren.

 
Aber obiges ist nicht das letzte Problem von Studivz gewesen — offensichtlich gab es eine Möglichkeit zur SQL-Injection, und man darf aufgrund der Historie vermuten, daß dies nicht die letzte, durchaus gravierende, Lücke im System gewesen sein dürfte. Bis das Linienflugzeug Studivz also in der Luft fertig gebaut ist, dürfte noch einige Zeit vergehen. Aber eine Gefahr für die Fluggäste – oder die Bevölkerung unter ihnen – besteht ja, wie immer, nicht.