05 Jun, 08
mspro schreibt auf seinem Blog “tief” über Profiling mit Twitter, oder: was ist ein Captcha?. Dieser Eintrag ist ein Kommentar zu seinem Eintrag und wird hier nachveröffentlicht, weil ich das Thema interessant genug finde, mal darüber zu diskutieren.
Ich stimme mspro grundsätzlich zu - irgendwo. Klar, Summize-Suche nach #hpybdy und zack! Profile. Selbiges nach “Feierabend” ist schon schwerer, weil man dazu Intelligenz braucht, um die verschiedenen Benutzungen zu trennen. Seine Twitter-Timeline zu protecten hilft, aber wie immer muss jeder selbst abwägen, ob man Tools wie Summize & Co. praktisch findet und für sich nutzen will oder lieber mehr Privatsphäre hat. (Besonders nett wird’s dadurch, dass #hpybdy ja von anderen verwendet wird - da bleibt nur, das Geburtsdatum komplett geheimzuhalten. Das ist aber zum einen schwer und erscheint mir zum anderen nicht sinnvoll.)
Zum von ihm angesprochenen Feierabendprofil - meinetwegen kann jeder versuchen, ein Arbeitszeitprofil von mir zu erstellen. Ich habe aufgehört, irgendwelchen Erwartungen oder Normen entsprechen zu wollen. Meine letzten Arbeitsstellen hatten die Anforderung “Job gets done”, nicht “Anwesenheit nach der Uhr”. Ich hab auch beschlossen, dass ich es nicht nötig habe, mich in sowas zwängen zu lassen. Heutzutage ist es noch einfacher, mit Laptop, UMTS-Karte, ubiquitous Wifi, etc. kann ich sowieso von überall arbeiten. Ich bin auch überzeugt, dass ich genug Jobs oder Projekte zur Auswahl habe, um nicht Dinge zu tun, von denen ich nicht überzeugt bin oder die mich unglücklich machen.
Und schließlich twittere ich eigentlich nur Dinge, die für die Öffentlichkeit bestimmt sind. Der Rest läuft durch andere Kanäle.
Ich will die Hoffnung noch nicht aufgeben, dass man in dieser Welt ohne persönliche Nachteile offen sein kann, denn ich glaube, die Welt wäre besser, wenn jeder offener sein könnte, offener wäre.
Nachtrag:
Man kann nicht wissen, welche Analyse- und Verknüpfungsmöglichkeiten es noch geben wird. Aber wie kann man dem potenziellen Problem begegnen? Es ist so wie der sichere Computer - unter der Erde, vom Strom- und Inter-Netz getrennt, dicke Stahlbetondecke drüber. Zwischen der absoluten Wahrung der Privatsphäre und schonungslosen Offenheit sehe ich nicht viele Möglichkeiten. Und die neue wie auch alte Medienwelt zu ignorieren, aus Sorge um seine Datenspur, das kann’s auch nicht sein. Bleibt also wieder das leidige Thema Medienkompetenz - da muss wieder jeder mit sich selbst ausmachen, was und wie er/sie/es tut und sagt.
Ich will die Zukunft lieber gestalten, als sie zu fürchten.
06 Nov, 07
Mehr beim AK Vorrat.
Die Demo in Saarbrücken beginnt um 18:00 auf dem St. Johanner Markt. mehr via pro-individuum
26 Apr, 07
Leider ist die Generation Web 2.0 eher unpolitisch, beziehungsweise virtuell politisch. Da ist nicht mehr viel los mit Reichstag besetzen oder so. Schade eigentlich. Davon hätte ich gerne Fotos…
THE ALGORITHM IS BANNED IN CHINA
THE MOVEMENT WAS NOT INVENTED HERE
30 Nov, 06
Ich hatte es ja schon angedeutet: Die User-, Album- und Foto-IDs beim StudiVZ sind far from unique. Ich hatte in den Tagen vor dem Blogpost ein bisschen mit den Ids rumgespielt, und sie natürlich auch in ihre binäre Repräsentation umgewandelt, einfach weil es nahe lag. Leider habe ich mir nicht so viel Mühe gemacht wie andere Leute; ich habe aufgehört, nachdem ich festgestellt habe, dass die ersten paar Bits scheinbar recht egal sind.
Jetzt weiß wohl jeder weshalb.
Mein Offset ist übrigens 23.
Und zum Datenbank-Dump nur so viel.
Nachtrag: Jetzt gibt’s €256 pro Bug, was wegen mehrerer Gründe lächerlich ist. Udo findet es jedoch - aus anderen Gründen - interessant.
27 Nov, 06
“Dein Account wurde gelöscht. Vielen Dank dass du das Studiverzeichnis benutzt hast.”
Nochmal zur Erinnerung:
Die Stalker-Gruppe (“*****”):
Nachricht von Tobias W. 2006-07-25 11:45:17
Von: Tobias W.
An: Christian W.
Betreff: Deine Gruppe
Nachricht: Moin Christian,
[…]
Zuerst, okay ich bin ein Mann - also erster Eindruck… Ne, ernsthaft: die Inhalt in deiner Gruppe sind absolut okay […]
Kannst du die Beschreibung bitte in diese Richtung des Fotocontests abäñdern und diese - naja, sagen wir “pornographischen Elemente” - entfernen? […]
P.S.: Einer der Gründer (Michael B.) hätte übrigens gerne ne Einladung für die Gruppe… - ich würd mich dann da auch anschließen;-)
Die öffentlichen Bilder, die schlechten IDs, die Super-Suche, private öffentliche Pinnwände (mit unlöschbaren Nachrichten), immer öffentliche Freundesliste, etc.
Und jetzt noch der XSS-Wurm (und es war nicht die letzte XSS-Lücke).
Viel Spaß noch.
Update: schuehsch auch. 700 notgeile Stalker sind überzeugend, ne?
21 Nov, 06
Jaja, die Leute schreiben immer noch übers StudiVZ. Also schreib ich jetzt endlich mal die Sachen auf, die ich in den letzten Monaten (seit meiner Anmeldung beim StudiVZ, Mitte September) so bemerkt habe.
Das mit den Bilder-URLs ist ja schon stadtbekannt. Natürlich machen alle anderen Großen - wie Xing, flickr, etc. - auch so, und das macht es nicht viel besser, aber das ist ja kein Grund, nicht darüber zu schreiben. Man kann also auf Bilder immer zugreifen, wenn man eine direkte URL hat. Na gut.
Viel interessanter fand ich: Die User-IDs sind nicht unique. Man kann die ersten 8-24 Bits (je nach Länge der ID) recht frei ändern und landet immer noch auf dem selben Profil. Das selbe gilt für die Album-IDs und vermutlich auch für die Bild-IDs. Na, was das wohl für ein Algorithmus ist… *hust*
Jedenfalls kann man so sehr leicht alle Benutzer, Alben und Bilder enumerieren, indem man der showalbum.php beliebige IDs in relativ großen Schrittweiten gibt. Wenn man einen Treffer hat, steht die ‘wahre’, primäre Album-ID (sowie Titel und Besitzer) im Seitenquelltext. Damit kann man dann den Bildserver behämmern. Für nicht-öffentliche Alben muss man dann nur den Rest des Suchraums durchgehen, oder man knackt einfach die ID-Erzeugung. Der Bilderserver geht jetzt schon merklich in die Knie.
Listen aller Alben eines Benutzers gibt’s bei showpeoplealbums.php, wobei auch hier gilt: etwa die Hälfte der ID ist eh wurscht. Es gibt verschiedene Meldungen für “Album ist noch leer” und “hat keine Alben”.
Immerhin hat man durch die eigenen IDs (3-6 Zeichen) gegenüber UUIDs (16-36 Zeichen) Traffic gespart…
Auch interessant: Das StudiVZ benutzt offenbar Smarty und sajax. Smarty, klar, sinnvoll. Sajax, auch sinnvoll, aber hoffentlich haben sie nicht zu viele Funktionen exportiert, auf die Normalsterbliche eigentlich gar nicht zugreifen können sollten. Na, wer will’s testen?
Was haben wir noch … ach ja, das mit den nichtöffentlichen Profilen? Geht ja auch grade durch die Welt… sei es nun friends.php oder profile_guestbook_large.php oder showpeoplealbums.php, man kann sich so ziemlich alle Teile eines “privaten” Profils ansehen. Hübsch. Da fällt auch das “Diese Nachricht wurde von Foobar gelöscht und
wird anderen Mitgliedern nicht mehr angezeigt” nicht mehr ins Gewicht.
Hätte ich mich doch nur noch ein paar Wochen länger geweigert, da mitzumachen! Le seufz! Todo für morgen: Profile meiner Freunde scrapen, mein Profil löschen, Freunde per ICQ anhauen, done. Gute Nacht.
Privacy, profiling, lifestream and work 2.0