Kommentare zu: Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe

Von: Aktuelle Datenskandale bei SchülerVZ, Bundesagentur für Arbeit, JobBörse, Postbank & Online-Buchhändler Libri « cyberpunk – punkrock, politics & computer

Sat, 31 Oct 2009 16:45:02 +0000

[...] (netzpolitik.org) – SchülerVZ: Warum wurde Tatverdächtiger verhaftet? (netzpolitik.org) – Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe (netzpolitik.org) – Dokumentation der SchülerVZ-Crawling-Aktion (netzpolitik.org) – [...]

Von: Daten über Bord bei SchülerVZ! | ichimnetz.de

Daten über Bord bei SchülerVZ! | ichimnetz.de — Fri, 30 Oct 2009 13:05:31 +0000

[...] Netzpolitik.org: Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe [...]

Von: Popo

Popo — Thu, 29 Oct 2009 09:21:45 +0000

Korrekturlesen.

Von: Skandal um SchülerVZ-Daten - was dahinter steckt? | Blogpiloten.de - das Beste aus Blogs, Videos, Musik und Web 2.0

Wed, 28 Oct 2009 13:21:11 +0000

[...] Nicht nur für Freunde: Wie mangelhaft persönliche Angaben bei VZ-Netzwerken geschützt waren Immer noch nicht verstanden, was beim Datencrawlen bei SchülerVZ genau passiert ist? Auch hier bringt netzpolitik.org etwas Licht ins Dunkel — mit Hilfe eines anonymen Informanten, der erklärt, wie schlecht die persönlichen Angaben der Nutzer bei der VZ–Gruppe geschützt waren. [...]

Von: Datenleck bei SchülerVZ war größer als bekannt : netzpolitik.org

Datenleck bei SchülerVZ war größer als bekannt : netzpolitik.org — Wed, 28 Oct 2009 08:01:58 +0000

[...] vergangenen Mittwoch brachten wir ein Interview mit einer dritten Person, die beschrieb, wie man noch mehr Daten aus SchülerVZ auslesen konnte. Dazu zählen auch [...]

Von: m94.5-Netzticker #008: Leistungsschutzrecht « m94.5 Netzticker

m94.5-Netzticker #008: Leistungsschutzrecht « m94.5 Netzticker — Sun, 25 Oct 2009 16:31:22 +0000

[...] netzpolitik.org: Interview: Sicherheitslücken bei der VZ-Gruppe [...]

Von: Sicherheitslücken der VZ-Gruppe | just a phase

Sicherheitslücken der VZ-Gruppe | just a phase — Sun, 25 Oct 2009 14:22:08 +0000

[...] ist auf Netzpolitik ein Interview erschienen, bei dem es um die Sicherheit der Netzapplikationen der VZ-Gruppe ging. Im Interview [...]

Von: Aktuelle Links (gespeichert vom 20.10.2009 bis zum 22.10.2009) « Der Webanhalter

Thu, 22 Oct 2009 18:01:45 +0000

[...] Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe : netzpolitik.org – 21.10.2009 "In den VZ-Netzwerken gab es noch ein paar mehr Sicherheitsprobleme, als bisher bekannt sind. Das ist vor dem Hintergrund spannend, wie die VZ-Gruppe in den letzten Tagen kommuniziert hat: Da hieß es immer, es seien nur Daten gecrawlt worden, die innerhalb des Netzwerkes öffentlich zugänglich waren. Das stimmt so nicht ganz. Mit der richtigen Technik konnte man auch auf Daten zugreifen, die als “Privat” eingestellt waren, bzw. nur für Freunde zugänglich sein sollten. Wir haben uns mit einer Person in Berlin getroffen, der uns mehr dazu erzählt hat." [...]

Von: neunetz.com » Lesenswerte Artikel - 22. October 2009

neunetz.com » Lesenswerte Artikel - 22. October 2009 — Thu, 22 Oct 2009 06:09:55 +0000

[...] Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe [...]

Von: saitensprunk - denke quer!

saitensprunk - denke quer! — Wed, 21 Oct 2009 19:22:14 +0000

Crawler – Wie die Netzwerke ausgelesen werden…

Mit diesen Artikel möchte ich euch nochmals auf die Problematik hinweisen, wie schnell es geht – und vor allem wie einfach es für einen nicht ganz unbegabten ist, die Netzwerke wie Facebook, StudiVZ und andere auszulesen und somit auf einfachen W…

Von: test

test — Wed, 21 Oct 2009 13:02:15 +0000

“Die Antwort darauf müsste eigentlich heißen: Vieles! Denn ohne XSS kein Session Hijacking.”
falsch.
Sql inj. o.ä. geht auch.

Man kann mit dem Cookie alleine nichts anfangen, wenn die Coder von der Software sich etwas mit Websecurity auseinander gesetzt hat.

“Es konnten mehrere hundertausende Datensätze wenn nicht Millionen (;)) ”
10.000 Datensätze von einem Shop = 10€
100.000 -> 100€
1.000.000. -> 1.000€

Von den ca. 1.000.000 Datensätze sind mind. 30% Schrott weil der name nicht angegeben wurde/ geburtsdatum nicht vollständig/ Doppelaccounts/ Profil nicht vollstöndig etc.

Nur mal zum vergelich:
Man kriegt heutzutage für unter 1.000E Millionen Datensätze von shops die zu 99% stimmen
der typ verlangt 20.000 € für irgendwelche Daten von schülern die unnütz sind.

(1.000€/1mill Datensätze ist eigntl. auch übertrieben.. kriegste wahrschienlich sogar shcon für 200E oder weniger… aber egal)

Von: Sargo Darya

Sargo Darya — Wed, 21 Oct 2009 12:37:39 +0000

Zitat: ichda “was z.T. hat bitte session hijacking mit Cross-Site-Scripting zu tun?! – garnix!”

Die Frage ist eigentlich falsch gestellt. Es müsste heißen: “Was hat XSS mit Session Hijacking zu tun?”

Die Antwort darauf müsste eigentlich heißen: Vieles! Denn ohne XSS kein Session Hijacking. Du musst eine URL von einem Script als Bild angeben welches dann ein Bild im richtigen Format zurückliefert. Die einzige halbwegs sichere Methode ist es, alles nur auf seinem Server zu machen und sämtliche Sonderzeichen und Escapezeichen rauszufiltern.

Ich wage sehr stark zu bezweifeln das es viele Seiten im Internet gibt, welche wirklich sicher sind aber wie viele Leute stört das wirklich? Stört es die User von SchülerVZ wenn man ihnen erklärt, dass ihre Daten gerade gelesen wurden? Wenn ich meine Daten im Internet preis gebe, warum sollte mich es dann stören? Ich muss sie ja nicht eingeben.

Mittlerweile gibt es so viele Seiten im Internet bei denen man von Grundauf sich alle Grundlagen beibringen kann, dass es kein Wunder ist, dass viele sich die Mühe machen eine Seite zu hacken.

Von: Stephen

Stephen — Wed, 21 Oct 2009 11:43:15 +0000

“was z.T. hat bitte session hijacking mit Cross-Site-Scripting zu tun?! – garnix!”

damit erkläre ich den dialog für beendet.

Von: ichda

ichda — Wed, 21 Oct 2009 10:53:22 +0000

1. hat session hijacking nichts mit dem eigentlichen Problem (daten crawlen) zutun.
2. was z.T. hat bitte session hijacking mit Cross-Site-Scripting zu tun?! – garnix!
3. “zusammenhang zwischen session hijacking und der beschränkung der session auf eine bestimmte ip nicht sehen kannst” das ist klar, aber wieso den account dann für neue sessions sperren? außerdem wird das Problem total überbewertet und solche angriffe kommen eh zu >99% aus einem privaten netz. d.h. die Internet IP spielt dabei eine sehr untergeordnete rolle.
Facebook und Co. machen so einen Quatsch ja auch nicht und die haben wohl eine hand voll mehr user wie diese dämlichen VZ-Seiten

Jetzt halbfärtige “Lösungen” auf alle Plattformen auszurollen ohne diese Gescheit zu testen und tausende User auszusperren ist jedenfalls armselig.

Von: Stephen

Stephen — Wed, 21 Oct 2009 10:30:08 +0000

@ichda sry wenn du den zusammenhang zwischen session hijacking und der beschränkung der session auf eine bestimmte ip nicht sehen kannst, weiss ich keine möglichkeit dir das in kurzen worten zu erklären.

und mal unter uns pfarrerstöchtern: wenn man weder das problem noch die lösung richtig verstanden hat, sollte man den mund vllt. nicht so elendig weit aufreißen.