Eigentlich wollte ich mich ja zur studiVZ-Posse nicht mehr äußern, da das einfach alles nur noch peinlich ist. Aber das heutige Blogposting als Reaktion auf diesen ebenso hochgespielten und überzogenen Angriff ist dann doch eine Erwähnung wert.

Ich drücke es mal so aus: die Sache wird in der (Sicherheits-) Praxis nicht so heiß gegessen, wie sie hier angekocht wird. Tatsächlich hat das Generieren von kryptischen Urls allein noch nichts mit Sicherheit zu tun. Sie können nur ein Teil des Ganzen sein.

Wenn man als User dieses unsäglichen Plagiats von Website etwas als "nicht öffentlich" einstellt, und das sind nunmal zum Teil sehr private Daten, dann hat das gefälligst auch nicht öffentlich zugänglich zu sein. Egal wie. Technisch ist das ohne Probleme machbar, egal mit welcher Technologie.

Ich weiß gerade nicht warum, aber diese grenzenlose Dummheit geht mir irgendwie auf den Keks ...

Kommentare

#1 Kai Schmalenbach schrieb am Montag, 20. November 2006 23:18:00:
Es ist viel einfacher. In einem geschlossenen System gehören keine Daten nach außen.

OT:Weswegen ich eigentlich hier antworte. Gibt es hier Beiträge zur Technik dieses Blogs?
#2 Thomas schrieb am Montag, 20. November 2006 23:19:00:
"Wenn man als User dieses unsäglichen Plagiats von Website etwas als "nicht öffentlich" einstellt, und das sind nunmal zum Teil sehr private Daten, dann hat das gefälligst auch nicht öffentlich zugänglich zu sein."

Sag ich doch ;-)

Zur Technik welchen Blogs?
#3 Freddy schrieb am Dienstag, 21. November 2006 00:51:00:
Nobody is perfect ... und Xing auch nicht ;)

Habe das gerade mal mit meinem Pic von Xing ausprobiert. Obwohl nur angemeldete Benutzer mein Prfoil sehen dürfen ist mein Bild für jedermann sichtbar ...

Auch noch Mathe um diese Zeit ;)
#4 GENiALi schrieb am Dienstag, 21. November 2006 08:04:00:
So wie es mir scheint ist es nicht ein Problem das nicht behoben werden könnte. Es ist doch viel mehr so, dass man dem sein Kind angreift. Da wird sich gewehrt was das Zeugs hält. Sein Kind darf man nicht schlecht machen. Ist doch in vielen Firmen das selbe. Greif ein Projekt an, dass heisst finde Fehler und die Eltern des Projektes werden es runterspielen.
#5 Martin schrieb am Dienstag, 21. November 2006 08:27:00:
@Freddy: Bist du Praktikant bei StudiVZ und hast nun die Aufgabe bekommen eine neue Peinlichkeit unter den Tisch zu kehren, indem du die Aufgabe bekommen hast in allen Blogs die über dieses Thema negativ berichten, die selbe schwachsinnige Erklärung abzugeben ("Wenn andere Firmen wie XING es nicht schaffen Webanwendung sicher zubekommen, dann darf das StudiVZ auch"). Oder bist du einer der VC-Geber, dem langsam die Muffe geht? ;
#6 Martin schrieb am Dienstag, 21. November 2006 08:30:00:
Sry, Thomas fürs trippleposting... habe hier nen Server-Error bekommen (schon geschickt) und zweimal Reload gedrückt ^^

Lösch diesen und die doppelten dann einfach raus ^^
#7 Freddy schrieb am Dienstag, 21. November 2006 09:45:00:
@Martin: Nein weder noch!
Ich wollte nur zeigen, dass auch anderen Fehler passieren können, dir vermutlich auch so wie mir.
Selbstverständlich sehe ich es wie Thomas, dass die Sicherheitslücke durch andere Techniken schliessen lassen würde
#8 Martin schrieb am Dienstag, 21. November 2006 11:58:00:
Eine Sicherheitslücke in einem System zu haben, ist die eine Sache. Da gebe ich Dir durchaus Recht, dass kann im Eifer des Gefechts durchaus passieren.

Die andere Sache ist, auf berechtigte Zweifel bez. der Sicherheit eines System seitens der Community mit eine Pressemitteilung zu reagieren, in der diese Lücke zwar offen angesprochen wird, zugleich aber dumdreist verharmlost wird! Das ist nicht nur unprofessionell sondern zeugt euch von fehlendem Sicherheitsverständnis. Ganz zu schweigen, dass hier der User für dumm verkauft wird.

Eine korrekte Pressemitteilung würde lauten:

Wir haben erkannt, dass die geschützten Resourcen unserer Usern durch Brute-Force Angriffe prinzipiell sichtbar gemacht werden können. Wir werden diesen Missstand sofort beheben!

Dein Kommentar














« Zurück  |  Weiter »