In den VZ-Netzwerken gab es noch ein paar mehr Sicherheitsprobleme, als bisher bekannt sind. Das ist vor dem Hintergrund spannend, wie die VZ-Gruppe in den letzten Tagen kommuniziert hat: Da hieß es immer, es seien nur Daten gecrawlt worden, die innerhalb des Netzwerkes öffentlich zugänglich waren. Das stimmt so nicht ganz. Mit der richtigen Technik konnte man auch auf Daten zugreifen, die als „Privat“ eingestellt waren, bzw. nur für Freunde zugänglich sein sollten. Wir haben uns mit einer Person in Berlin getroffen, der uns mehr dazu erzählt hat. Nennen wir ihn mal Lutz Harder. (Das ist übrigens nicht unsere erste Quelle.)
netzpolitik.org: Was genau hast Du heraus gefunden und wie bist du vorgegangen?
Lutz Harder: StudiVZ verwendet verschiedene Schutzmechanismen um seine Nutzer zu schützen, dazu gehören u.a. das Captcha-System und Einstellmöglichkeiten unter Privatsphäre. Dort kann der User Einstellungen vornehmen, um sensible Daten wie u.a. das Geburtsdatum für die Öffentlichkeit sperren. Ebenso können bestimmte Profilbereiche (Fotos, Freunde) explizit nur für den Freundeskreis freigeschaltet werden.
Das alte Captcha-System (bis Samstag) von StudiVZ verwendete eine Version mit verschiedenen Schriftarten, Farben und Größen. Aufgrund der fehlenden Variation der einzelnen Zeichen ließ sich das Captcha-System mit PHP (inkl. GD Lib),cURL, MySQL und SQLite aushebeln. Hierzu wird mittels PHP und cURL dem StudiVZ ein normaler User vorgegaukelt. Die Captcha-Grafik wird heruntergeladen, auf dem Server gespeichert, in seine einzelnen Buchstaben zerlegt und diese mit einer vorher erstellten Zeichendatenbank abgeglichen. Das Zerlegen und erkennen des Captchas dauert ungefähr 1 Sekunde bei optimierten Algorithmen. Die Gesamterkennungsquote lag durchschnittlich bei 70%.
Um nun bei StudiVZ genügend Profile crawlen zu können, benötigt man die gehashten User-IDs der Nutzer. Um an diese zu kommen gibt es verschiedene Möglichkeiten:
1. Über die Freundeslisten der User.
2. Über die Gruppen im StudiVZ: Diese Variante lässt sich sogar ohne einen Captcha-Knacker nutzen, weil das Captcha-System nicht bei Ajax-Funktionen in den VZ-Netzwerken greift.
3. Über die implementierten Suchfunktionen im StudiVZ. Hier existierten bis gestern Abend eklatante Sicherheitslücken, die meiner Meinung nach gegen die Datenschutzvorschriften verstießen.
Es war möglich über die vorhandenen Sucheinstellungen (Alter, Universität, Beziehungsstatus…) Rückschlüsse auf für die Öffentlichkeit gesperrte Nutzerdaten zu ziehen. Das heißt, es hat jemand bei StudiVZ sein Geburtsdatum angegeben, es aber nur für Freunde freigeschaltet, so konnte man dennoch über die Supersuche im StudiVZ herausbekommen. Unter gewissen Umständen war es nötig die Suche manuell auf Geburtstag und Geburtsmonat zu beschränken und danach eine Suche nur über das Alter zu starten, womit sich das korrekte Geburtsdatum dann errechnen ließ. So konnte man sich eine ausführliche Datensammlung von VZ-Nutzern mit sehr viele persönlichen Daten anlegen, die eigentlich nur für Freunde sichtbar sein sollten.
Natürlich habe ich das nur zu Testzwecken ausprobiert, um die Sicherheitslücke zu identifizieren. Alle gespeicherten Daten wurden unverzüglich nach dem Testlauf gelöscht.
netzpolitik.org: War das nur bei StudiVZ möglich oder auch bei SchülerVZ?
Lutz Harder: StudiVZ, MeinVZ und SchülerVZ beruhen auf der selben Plattform. Ich konnte mein Programm erfolgreich bei allen VZ-Netzwerken testen. Die Unterschiede in den Systemen waren marginal, es mussten lediglich einzelne URLs angepasst werden.
netzpolitik.org: Gab es irgendwelche Hürden von Seiten von VZ?
Lutz Harder: Um das maschinelle Auslesen von Nutzerdaten zu verhindern, gibt es neben dem Captcha-System die Möglichkeit die Anzahl der maximalen und zeitgleichen Zugriffe je Nutzer oder IP zu begrenzen. Diese bzw. ähnliche Sicherheitsmechanismen hat die VZ-Gruppe nur beim „Gruscheln“ und im internen Mailsystem implementiert. Bekannte Meldungen aus dem VZ-Netzwerk sind „Massennachricht erkannt…“ oder „Du hast in letzter Zeit zuviel gegruschelt..“. Bei normalen Profilaufrufen gab es keine Beschränkung.
netzpolitik.org: Welcher Aufwand war nötig, so ein Programm zu entwickeln?
Lutz Harder: Um automatisiert die Captchas zu lösen, war ungefähr ein Entwicklungsaufwand von 15 Stunden notwendig inkl. erstellen einer einfach Zeichendatenbank, welches sich selbständig erweiterte. Da StudiVZ öfters kleine Änderungen am System vornahm, musste das Crawling-Programm ständig angepasst werden, so dass der komplette Zeitaufwand sich schwer abschätzen lässt. Die Anpassungsarbeiten war aber der kleinere Teil des Zeitaufwandes. Somit lässt es den Schluss zu, das im gesamten VZ-Netzwerk viele ähnliche Crawling-Bots unterwegs waren, wenn man bedenkt wie viele Programmierausschreibungen an Freelancer gerichtet wurden.
netzpolitik.org: Was hat man jetzt bei der VZ-Gruppe geändert?
Lutz Harder: Nach dem publik werden der „Sicherheitslücken“ im VZ-Netzwerk, wurde das Captcha-System auf das sicherere reCaptcha System umgestellt, welches u.a. schon bei Facebook im Einsatz ist. Außerdem scheint es nun eine Limitierung der maximalen Zugriffe auf Profile zu geben (siehe Stellungnahme seitens VZ-Netzwerk).
netzpolitik.org: Was könnte man mit den gesammelten Daten anstellen?
Lutz Harder: Zum Beispiel lassen sich anhand von: Vorname, Nachname, Wohnort und Geburtsdatum Schufa-Abgleiche fälschen. Ebay nutzt dieses Verfahren um seine Nutzeraccounts zu validieren. Weiteres muss dazu nicht gesagt werden. Im Netzwerk selbst konnte man auch automatisiert Nutzer belästigen, in dem man unbegrenzt und wiederholt Freundschaftseinladungen an fremde Profile verschickte. Auch das wiederholte Besuchen von Profilen empfanden viele Nutzer als Belästigung. Sie fühlten sich teilweise von einem Stalker verfolgt.
Das Problem mit der Suche nach eigentlich nicht sichtbaren Daten, wie z.B. dem Geburtsdatum, ist IMHO schon länger bekannt – ich fand es jedenfalls seit längerer Zeit sehr, sagen wir mal, irritierend.
Auch dürfte man über Social Engineering (Freundschaftsanträge von hübschen Mädels o.ä.) sehr leicht an private Daten kommen. Wurde möglicherweise auch schon versucht – ich hatte selber Freundschaftsanfragen von am selben Tag der Anfrage angelegten „attraktiven“ Benutzern, die selbstverständlich solo waren.
Mhh also öffentlich zugängliche Daten die da gecrawlt wurden. In einem recht gut geschützten System mit sehr feinen Einstellungen der Privatsphäre. Die Suche ist ein Punkt, funkionierte aber meines Wissens nur in bestimmten Einzelfällen.
Meiner Meinung nach alles Panikmache. Vermutlich ist es billiger ein paar Niedriglohnleute den Kram per Hand rausfinden zu lassen als nen Entwickler dran zu setzen.
Vielleicht sollte sich mal jemand aufgregen und VZ an den Karren fahren wenn die BILD mal wieder Privatfotos klaut, Fotomontagen daraus bastelt und veröffentlicht. Das dabei regelmäßig Persönlichkeitsrechte und (!) Urheberrecht verletzt werden, interessiert die VZ Gruppe einen Scheiss. DAS ist ein Skandal.
@Felix Nagel: Das ist auch ein Skandal. Aber wenn die Firma kommuniziert, dass da keine privat gestellten Profile gecrawlt wurden und das nicht stimmt, dann ist das zumindest auch ein kleiner Skandal.
@markus: kannst mir in dem artikel mal die stelle zeigen, an der steht, dass der crawler zugriff auf geschützte daten hatte?
ich lese da immer was von der suchfunktion über die man mit detektivischem geschick rückschlüsse auf geschützte daten ziehen kann. ist bstimmt auch nicht schön hat mit dem eigentlichen problem aber nichts, also soo überhaupt nichts zu tun.
dieser ganze skandal besteht aus ner menge heisser luft. selbst heise titelt erst was von „datenklau“ und stellt im gleichen artikel den tatbestand des diebstahls gleich wieder in frage.
@Stephan: Ich hab mir das Programm zeigen und mir das auch ausführlich erklären lassen.
Das hat nichts mit detektivischem Geschick zu tun. Suchabfrage mit Geburtsdatum stellen mit der User-ID speichern. Neuer Suchlauf mit Beziehungsstatus, Datensatz mit neuer Information aktualisieren…
Das lässt sich mit Programmen halt herstellen!
Momentan ist dieser Text im StudiVZ (von offizieller Seite) veröffentlicht:
——————
Hallo miteinander,
vorgestern ist bekannt geworden, dass ein Nutzer im schülerVZ eine eingrenzbare Anzahl von Daten, welche für jeden eingeloggten Nutzer frei sichtbar sind, kopiert hat.
Dies betrifft nur einen Teil der Community.
Der Dieb hat keine Privatsphäre-Einstellungen umgangen und auch keine Zugriffe auf Datenbanken gehabt, sondern lediglich Daten kopiert, die auch für jeden anderen Nutzer sichtbar sind.
Keine der Sicherheitsmaßnahmen in den VZs wurde ausgehebelt oder umgangen.
An dieser Stelle ist ganz wichtig: Daten wie Telefonnummern, Messenger-Informationen, Mailadresse, Zugangsdaten und Passwörter sind davon nicht betroffen, da hier aufgrund der funktionierenden Privatsphäre-Einstellungen zu keinem Zeitpunkt ein Zugriff erfolgen konnte.
Wir sprechen hier auf keinen Fall von einer Sicherheitslücke, sondern von einem Vorgang, der in jeder anderen Community problemlos durchgeführt werden kann.
Das ist vergleichbar mit dem Abschreiben des Telefonbuchs, nur dass in den VZs Daten wie Adresse und Telefonnummer besonders geschützt und davon nicht betroffen sind.
Heute stellt sich zudem heraus, dass der Nutzer auch Daten aus den Netzwerken studiVZ und meinVZ kopiert hat.
Wir stehen mit diesem Nutzer in Verbindung und sorgen dafür, dass die Daten nicht publik werden.
Und: Wir dokumentieren diesen Vorgang ständig aktuell im VZ-Blog.
Einen ruhigen und wundervollen Restsonntag wünscht,
Samir
Und Du solltest übrigens immer vor Augen haben, welche Daten Du wem zeigst.
In Deinen Einstellungen zur Privatsphäre kannst Du das sehr genau einstellen.
————-
Eine Frage hätt ich da mal… sind alle Profile potenzielle Opfer geworden oder nur diese die den Crawler als Freund hatten?
Abgesehen von den Profilen die eh für alle Freizugänglich waren.
Momentan wird von offzieller Seite im StudiVZ folgendes veröffentlicht:
——————–
Hallo miteinander,
vorgestern ist bekannt geworden, dass ein Nutzer im schülerVZ eine eingrenzbare Anzahl von Daten, welche für jeden eingeloggten Nutzer frei sichtbar sind, kopiert hat.
Dies betrifft nur einen Teil der Community.
Der Dieb hat keine Privatsphäre-Einstellungen umgangen und auch keine Zugriffe auf Datenbanken gehabt, sondern lediglich Daten kopiert, die auch für jeden anderen Nutzer sichtbar sind.
Keine der Sicherheitsmaßnahmen in den VZs wurde ausgehebelt oder umgangen.
An dieser Stelle ist ganz wichtig: Daten wie Telefonnummern, Messenger-Informationen, Mailadresse, Zugangsdaten und Passwörter sind davon nicht betroffen, da hier aufgrund der funktionierenden Privatsphäre-Einstellungen zu keinem Zeitpunkt ein Zugriff erfolgen konnte.
Wir sprechen hier auf keinen Fall von einer Sicherheitslücke, sondern von einem Vorgang, der in jeder anderen Community problemlos durchgeführt werden kann.
Das ist vergleichbar mit dem Abschreiben des Telefonbuchs, nur dass in den VZs Daten wie Adresse und Telefonnummer besonders geschützt und davon nicht betroffen sind.
Heute stellt sich zudem heraus, dass der Nutzer auch Daten aus den Netzwerken studiVZ und meinVZ kopiert hat.
Wir stehen mit diesem Nutzer in Verbindung und sorgen dafür, dass die Daten nicht publik werden.
Und: Wir dokumentieren diesen Vorgang ständig aktuell im VZ-Blog.
Einen ruhigen und wundervollen Restsonntag wünscht,
Samir
Und Du solltest übrigens immer vor Augen haben, welche Daten Du wem zeigst.
In Deinen Einstellungen zur Privatsphäre kannst Du das sehr genau einstellen.
————
So ganz kann ich das Problem auch nicht nachvollziehen – eine Suchmaschine mit der man durch spezielle Suchmuster auf Daten schließen kann ist zwar blöd und läd natürlich zum social engineering ein – aber so schwer ist das auch ohne so eine Suche nicht.
Man muss empathisch und intelligent genug sein, eine andere Person spielen zu können – mit solch einem Agieren richtet man weit mehr Schaden an, als so eine automatisierte Abfrage von größtenteils eh öffentlichen Daten.
Hm, auch jetzt noch machen die VZs heftige Pressepatzer. Ich hatte gehofft, dass da durch Holtzbrinck zumindest ein kleines bisschen mehr Professionalität hereinkommt …
Das hier ist besonders schlimm:
„Wir sprechen hier auf keinen Fall von einer Sicherheitslücke, sondern von einem Vorgang, der in jeder anderen Community problemlos durchgeführt werden kann.“
Na, ich kenne wenige nennenswerte Communities, die solche Fehler machen:
„[…]Möglichkeit die Anzahl der maximalen und zeitgleichen Zugriffe je Nutzer oder IP zu begrenzen. Diese bzw. ähnliche Sicherheitsmechanismen hat die VZ-Gruppe nur beim “Gruscheln” und im internen Mailsystem implementiert.“
@Jojo: Stimmt, den Bug hatte ich schon damals vor dem Verkauf an Holtzbrink dokumentiert. Dazu dürfte evtl. auch noch was in der c’t oder bei Heise online zu finden sein.
Ah, hier, Heise Online vom 27.11.2006(!):
Ziemlich erschreckend, dass das immer noch (bzw. wieder) funktioniert ,(
Das sichere reCaptcha … von wegen. Ich sag nur 4chan und recaptcha „penis“. reCaptcha hat das Problem, dass es selber noch neue Worte lernt, und daher manipulierbar ist.
StudiVZ hat um 18:35 folgenden Blogpost veröffentlicht und gleich danach wieder gelöscht: http://developer.studivz.net/2009/10/20/neue-sicherheitsmassnahmen-seit-heute-nacht-aktiv/
————-
Neue Sicherheitsmassnahmen seit heute Nacht aktiv
von developer.studivz.net von Sebastian Galonska
Seit heute Nacht haben wir auf unseren Plattformen schülerVZ, studiVZ und meinVZ zusätzliche Sicherheitsmassnahmen in Betrieb genommen, welche die Nutzung unserer Produkte für alle Benutzer sicherer machen.
-Wir verwenden ab sofort das zur Zeit sicherste Captchasystem, reCaptcha. Die dort generierten Codes sind erwiesenermaßen nicht maschinell lesbar. Dadurch schützen wir unsere Seiten vor automatisierten Crawlern.
-Wir haben “Rate Limits” eingeführt. Diese Limits liegen so hoch, dass ein Mensch nie an diese Grenzen stoßen wird, lediglich Crawler werden hier ausgeschlossen. Dabei zählen wir die Anzahl der Zugriffe, die ein angemeldeter User auf unseren Seiten durchführt. Ab einer sehr hohen Zahl von Zugriffen wird der Account für 6 Stunden gesperrt.
-Es besteht nun die Möglichkeit, seine Session an seine IP-Adresse zu binden. Dadurch wird das “Session Hijacking” verhindert.
Darüberhinaus arbeiten wir an weiteren Sicherheitsmechanismen, um die Privatsphäre unserer Benutzer noch besser zu schützen.
————-
@ Nikolas / Kommentar 17:
Diese Rate Limit ist offensichtlich bei einigen mittlerweile seit über 24 Stunden aktiv und sperrt wohl gerade tausende an User aus, die per Script Farben oder die Darstellung angepasst haben.
http://blog.studivz.net/2009/10/16/illegaler-datenkopierer-auf-schulervz/#comments
Hier im Google Cache: http://209.85.135.132/search?q=cache:developer.studivz.net/2009/10/20/neue-sicherheitsmassnahmen-seit-heute-nacht-aktiv/
Mein RSS-Reader hatte noch ein Bild von recaptcha mit drin.
Immer dieses alberne rumgehacke auf Studivz. Wie kann man sich ernsthaft daran stören, dass öffentlich zugängliche Daten crawlbar sind? Der Tolle Geburtstagstrick ist auch eher unspektakulär. Beschäftig Euch lieber mit Personensuchmacshinen wie Yasni, die halte ich für erheblich bedenklicher, denn sie bieten keine Privatssphäreeinstellungen. Wie schon an anderer Stelle gesagt: Probiert das crawlen doch einfach mit Xing, Facebook oder Yappi. Da beschwert sich auch keiner.
tzzzzzz hab ich schon vor monaten gemerkt aber nicht als Sicherheitslücke angesehen..
unnötige scheiße wie aus einer mücke ein Elefant gemacht wird.
Ich geb euch mal paar kleine Gründe:
1. Mit XSS´s kann man nicht sonderlich viel anfangen.. Wieso?
Weil die Sessions/Cookies die man brauch um den Account von dem Opfer zu übernehmen bestehen (meistens)
aus der Ipadresse und dem Browser..
Welche man über ne externe seite holen muss und das macht wieder den sinn von wegen „ist ja ne sichere Homepage, da steht http://schülervz.de“ zu nichte ..
Außerdem sind in vielen System wie z.B. in vbulletin software zu sehen ist als bbpassowrd
bestehnd aus Passwort + VBlizenz (die man nicht auslesen kann außer man hat serverzugang oder kann den sourcecode irgendwie sehen)
Zig Seiten wie unteranderem auch paypal.de haben XSS´s (immernoch), ebay hatte welche, adobe hat auch noch ein paar,Klamm.de hat welche und tausende shops haben welche..
Reine Panikmache und wird in den meisten Fällen nicht ausgenutzt werden weil es einfach zu viel Aufwand für wenig Gewinn ist.
2:
Mit den Daten kann man ein scheiß dreck Anfangen. Und diese „Lücke“ fidnet sich in jedem beschissenen „Netzwerk“ was öffntliche Profile zeigt.
3: Die genannte Methode die auch ich gefunden habe dauert extrem lange um mehr Infos zu bekommen und lohnt sich nicht..
Man muss zig abfragen senden.. Bis dahin ist die Ip längst gespeert weil es wie DDos aussieht und einfach zu viel Traffic verursacht
4: Die Lücke mit den Bildern ist sowas von alt..
die ist aus alten Zeiten von einem Board (google hacksector)
Jemand hatte mir da mal irgendwann (vor 1-3 Jahren oder so) ne Lücke gesendet um das „Zugriff verweigert“ zu umgehen wenn ein Fotoalbum als „nicht öffentlich“ makiert wurde..
obs noch geht weiß ich nicht, weil die viel neu gemacht haben.
Diese sogenannten „Lücken“ die keine Lücken sind, sind alle schon lange bekannt und die ganze scheiße hier ist einfach nur der Medienrummel damit sich im Endeffekt irgendwelche tollen Datenschützer über das Internet auslassen können:
„Unsere Kinder sind nicht sicher im Internet..“
„Sie sollten guckn was ihr Kind im Internet macht..“
„Schülervz ist schlecht, unsere Kinder sind dort nicht sicher“
usw. usw.
Einfach alles nur Müll.. wäre es eine SQL Injection mit der man etwas anfangen könnte (Serverübernhemen o.ä.) dann könnte man von Sicherheitslücke reden.. aber das ist ja mal gar nichts.
Achso
wegen den Schufa-abgleiche etc.
Der Typ der das Interview mit euch gemacht hat ist ja mal der größte Honk..
so eine scheiße habe ich seit langen nicht mehr gesehen..
Schufa abgleich bei Kinderen.. braaaaavooo.. bringt gar nichts
Es werden in Foren Datenbanken von Shops,Foren etc. für schleuderpreise weggehauen:
10.000 User -> 10€
wieso sich die mühe machen hier die daten zu holen die zu 60% falsch sind, weil viele Leute nicht ihr ganzes Geburtsdatum angeben, den Namen in irgendeine Art verändern oder sonst was..
Da gibt man lieber 10€ aus und hat 10.000 richtige Daten aus nem Shop als die von irgendwelchen Kinderen xD TZZZZZ
dreck dreck.. alles dreck
@TEST:
Es konnten mehrere hundertausende Datensätze wenn nicht Millionen (;)) mit diesen privaten Feldern gecrawlt werden. Und ebenso möchte ich darauf hinweise, dass die Sicherheitslücke in jedem VZ Netzwerk bestand und auch Schüler teilweise schon volljährig sind.
Schon mal an Abiturienten gedacht?
Außerdem geht es bei der Sicherheitslücke nicht um XSS!
.. neuerdings auf schuelervz.net beim login!
„Diese Einstellung dient der Sicherheit deiner Daten: Unser System erfährt, von welcher IP-Adresse aus du aktuell eingeloggt bist und kann so verhindern, dass sich jemand anders von einem fremden Computer aus in deine Sitzung „einklingt“. Wenn du Pro[…]“
– kann mir bitte mal Irgendwer den Sinn davon erklären? – Ich mein wenn jemand anders deine Login daten geklaut hat kann er dich damit erfolgreich aus deinem eigenden Profil ausprerren damit er darin erfolgreich mist machen kann, oder wie jetzt? – obwohl halt das funktioiert auch nur für höchstens 24 Stunden.. danach wird er ja dummerweise wegen der Zwangstrennung auch ausgesperrt, da neue IP. ?!?!? also wem soll das jetzt bitte was bringen?!
Die VZ-Coder schaffen es echt immer wieder in regelmäßigen abständen mich von ihrer Inkompetenz zu überzeugen! Das ist echt lustig.
@ichda: Da gabs wohl noch weitere Lücken, die jetzt damit geschlossen wurden.
Erwachsene im SchülerVZ
Man konnte im schülervz und im studivz problemlos mit gleicher Emailadresse und gleichem Profilnamen angemeldet sein und im Schülervz behaupten, man sei 13, und im studivz behaupten, man sei 27. Völlig problemlos konnte jeder mit Wissen der VZ-Betreiber im schülerVZ sein Unwesen treiben. Wenn man schon Daten hat, dann kann man nicht mal die ordentlich verarbeiten, arme VZ-Netzwerk-Gruppe.
@markus, ich will ersthaft wissen was das für einen Sinn haben soll?!
das ist föllig sinnlos! – welche sicherheitslücken soll man den bitte durch so einen quatsch schließen?!
außer das die user, die sich wieder ne menge urlaubsfotos ohne einen rapidshare premium account runterladen wollen .. sich nach einem ruterneustart nicht mehr einloggen können :-D
.. es beschweren sich übrigens schon zig user, dass sie sich nicht mehr einloggen können :-D
@ichda: Hier ist der nicht SchülerVZ-Support und genauere Antworten können und wollen wir nicht liefern.
@ichda Schonmal was XSS oder session hijacking gehört? Nee? Dann mach doch bitte den Nuhr, ja?
Und solche Gestalten stellen hier die Kompetenzfrage … *hüstel*
als wenn die Sperrung des kompletten account (aufgrund der Internet-IP) für X-Stunden eine effektive Methode gegen Session Hijacking wäre… ich lach mich kaputt :-D, son quatsch ist mir ja noch nie untergekommen… außerdem, wie blöd is es den bitte das man in dem Zeitraum dann keine neue Session starten kann ?! (mit gültigen passwort und username).. also bitte
gib mir doch bitte mal eine technische antwort auf die frage die man nachvollziehen kann! ;) … rumblubbern kann hier jeder^^
@ichda sry wenn du den zusammenhang zwischen session hijacking und der beschränkung der session auf eine bestimmte ip nicht sehen kannst, weiss ich keine möglichkeit dir das in kurzen worten zu erklären.
und mal unter uns pfarrerstöchtern: wenn man weder das problem noch die lösung richtig verstanden hat, sollte man den mund vllt. nicht so elendig weit aufreißen.
1. hat session hijacking nichts mit dem eigentlichen Problem (daten crawlen) zutun.
2. was z.T. hat bitte session hijacking mit Cross-Site-Scripting zu tun?! – garnix!
3. „zusammenhang zwischen session hijacking und der beschränkung der session auf eine bestimmte ip nicht sehen kannst“ das ist klar, aber wieso den account dann für neue sessions sperren? außerdem wird das Problem total überbewertet und solche angriffe kommen eh zu >99% aus einem privaten netz. d.h. die Internet IP spielt dabei eine sehr untergeordnete rolle.
Facebook und Co. machen so einen Quatsch ja auch nicht und die haben wohl eine hand voll mehr user wie diese dämlichen VZ-Seiten
Jetzt halbfärtige „Lösungen“ auf alle Plattformen auszurollen ohne diese Gescheit zu testen und tausende User auszusperren ist jedenfalls armselig.
„was z.T. hat bitte session hijacking mit Cross-Site-Scripting zu tun?! – garnix!“
damit erkläre ich den dialog für beendet.
Zitat: ichda „was z.T. hat bitte session hijacking mit Cross-Site-Scripting zu tun?! – garnix!“
Die Frage ist eigentlich falsch gestellt. Es müsste heißen: „Was hat XSS mit Session Hijacking zu tun?“
Die Antwort darauf müsste eigentlich heißen: Vieles! Denn ohne XSS kein Session Hijacking. Du musst eine URL von einem Script als Bild angeben welches dann ein Bild im richtigen Format zurückliefert. Die einzige halbwegs sichere Methode ist es, alles nur auf seinem Server zu machen und sämtliche Sonderzeichen und Escapezeichen rauszufiltern.
Ich wage sehr stark zu bezweifeln das es viele Seiten im Internet gibt, welche wirklich sicher sind aber wie viele Leute stört das wirklich? Stört es die User von SchülerVZ wenn man ihnen erklärt, dass ihre Daten gerade gelesen wurden? Wenn ich meine Daten im Internet preis gebe, warum sollte mich es dann stören? Ich muss sie ja nicht eingeben.
Mittlerweile gibt es so viele Seiten im Internet bei denen man von Grundauf sich alle Grundlagen beibringen kann, dass es kein Wunder ist, dass viele sich die Mühe machen eine Seite zu hacken.
„Die Antwort darauf müsste eigentlich heißen: Vieles! Denn ohne XSS kein Session Hijacking.“
falsch.
Sql inj. o.ä. geht auch.
Man kann mit dem Cookie alleine nichts anfangen, wenn die Coder von der Software sich etwas mit Websecurity auseinander gesetzt hat.
„Es konnten mehrere hundertausende Datensätze wenn nicht Millionen (;)) “
10.000 Datensätze von einem Shop = 10€
100.000 -> 100€
1.000.000. -> 1.000€
Von den ca. 1.000.000 Datensätze sind mind. 30% Schrott weil der name nicht angegeben wurde/ geburtsdatum nicht vollständig/ Doppelaccounts/ Profil nicht vollstöndig etc.
Nur mal zum vergelich:
Man kriegt heutzutage für unter 1.000E Millionen Datensätze von shops die zu 99% stimmen
der typ verlangt 20.000 € für irgendwelche Daten von schülern die unnütz sind.
(1.000€/1mill Datensätze ist eigntl. auch übertrieben.. kriegste wahrschienlich sogar shcon für 200E oder weniger… aber egal)
Korrekturlesen.
Der StudiVZ-Geschäftsführer erklärte gestern in der Tagesschau, dass Profildaten, die auf privat gestellt waren, also nur Freunden sichtbar sind, nicht abgegriffen wurden. http://www.tagesschau.de/multimedia/sendung/ts15328.html Daran glaube ich nicht mehr, wenn ich diese Beschreibung eines Weges lese.