Posts Tagged ‘Partyguide’

Dienstag, 16. Oktober 2007

Partyguide versendet unkonforme Mails

Gestern Abend kam ich aus einem mir unerklärlichen Grund auf die Idee, den Quellcode eines von Partyguide automatisch versandten Mails unter die Lupe zu nehmen (in Apple Mail: Apfel + Alt + U):

Return-Path: <partyguide@partyguide.ch>
Received: from all01.mx.genotec.ch (unknown [IPv6:2001:1b50::82:195:224:51])
 by gmc-pop-bsd-014.genotec.ch (Postfix) with ESMTP id 94C481739A51
 for <spam@emeidi.com>; Tue, 16 Oct 2007 00:34:09 +0200 (CEST)
Received: from partyguide.ch (defiant.partyguide.ch [217.150.245.69])
 by all01.mx.genotec.ch (Postfix) with ESMTP id C634B558B8E
 for <spam@eMeidi.com>; Tue, 16 Oct 2007 00:31:23 +0200 (CEST)
Received: (qmail 3397 invoked from network); 15 Oct 2007 22:33:57 -0000
Received: from unknown (HELO nebula.partyguide.ch) (192.168.0.13)
  by defiant.partyguide.ch with SMTP; 15 Oct 2007 22:33:57 -0000
Received: by nebula.partyguide.ch (Postfix, from userid 507)
 id 238C850D831; Tue, 16 Oct 2007 00:33:57 +0200 (CEST)
To: spam@eMeidi.com
Subject: ******* hat heute Geburtstag!
From: noreply@partyguide.ch<noreply@partyguide.ch>
X-Mailer: PHP/5.2.3
X-Sender-IP: 
Content-Type: text/html
Message-Id: <20071015223357.238C850D831@nebula.partyguide.ch>
Date: Tue, 16 Oct 2007 00:33:57 +0200 (CEST)
X-GIC-MailScanner-SpamCheck: not spam, SpamAssassin (not cached,
 score=-0.045, required 10, BAYES_00 -2.60, FORGED_RCVD_HELO 0.14,
 HTML_30_40 0.37, HTML_MESSAGE 0.00, HTML_MIME_NO_HTML_TAG 1.08,
 MIME_HEADER_CTYPE_ONLY 0.00, MIME_HTML_ONLY 0.00, NO_REAL_NAME 0.96)

<font face="verdana" size="2">Hallo mad4you!
 <br><br>
 Dein PartyGuide.ch myFriend ******* hat heute Geburtstag!<br>
 Vergiss nicht zu gratulieren :-)
 <br><br>
 Hier gehts zum Profil von *******:<br>
 <b><a href="http://my.PartyGuide.ch/*******">http://my.PartyGuide.ch/*******</a></b>
 <br><br> 
 Dies ist ein automatisch generiertes eMail...
 <br><br>
 Liebe Grüsse<br>
 PartyGuide.ch Team
 </font>

Einige Bemerkungen:

  • Fangen wir mit der einzigen vorbildlichen Eigenschaft des Mails an: Return-Path ist gesetzt. Tritt beim Versand des Mails ein technisches Problem auf, kriegt dies Partyguide über die Adresse partyguide@partyguide.ch mit.
    Würde man diese Adresse als Absender einsetzen, würden wohl täglich unzählige unerwünschte Antworten von Endbenutzern auf die erwähnte Adresse eintrudeln, die gedankenlos den Antworten-Knopf drücken. Deshalb noreply@partyguide.ch im From:-Feld.
  • Irgendwie sieht aber genau dieses From-Feld nicht ganz koscher aus: From: noreply@partyguide.ch<noreply@partyguide.ch> Sollte da nicht noch ein Abstand zwischen dem anzuzeigenden Namen und dem < zu stehen kommen? Da die Information aber sowieso redundant ist, sollte man den Namen einfach weglassen und nur <noreply@partyguide.ch> schreiben …
  • Wo bleibt der html und der body-Tag (inkl. End-Tags)?! Wenn das Mail als Content-Type: text/html versandt wird, sollte es auch den minimalsten Anforderungen des HTML-Standards genügen. Der Entwickler hat – wieder einmal – geschlampt. Nebenbei: Wieso muss für einen solchen Text überhaupt ein HTML-Mail versandt werden? Nur damit die URL fett eingefärbt werden kann?
    Man beachte X-GIC-MailScanner-SpamCheck (SpamAssassin), der sich auch über die fehlenden Tags beschwert (HTML_MIME_NO_HTML_TAG) und dafür satte 1.08 Spam-Punkte vergibt
  • X-Mailer: PHP/5.2.3 – wieso um Gottes willen greift man nicht auf OSS-Klassen wie den ausgereiften (und von Profis programmierten) PHPMailer zurück, die das Versenden von HTML-Mails mit alternativem Plain-Text-Body und Attachment zum Klacks machen?
  • Immerhin verwendet man nicht mehr PHP 3.x, sondern 5.2.3. Der erste Schritt in die Absicherung der Plattform ist somit getan. Nun kommt aber noch der deutlich grössere Teil der Arbeit: Der Code-Audit und damit einhergehend neu schreiben von mehrere Jahre altem Spaghetti-Code …

Ein zufälliger Blick in ein Nebenprodukt von Partyguide – und man wird sich wieder einmal bewusst, wie gering die Ambitionen der Programmierer sind (waren?), standardkonformen und sauberen Code vorzulegen. Aus meiner Sicht ein klassisches Beispiel von „Internet-Frevel“ und symptomatisch für das Portal. Nur weil ein Script funktioniert und auf dem Internet Explorer und in Microsoft Outlook anständig gerendert wird, heisst das noch lange nicht, dass der Code auch professionellen Anforderungen standhält.

Jason und Argonauten: Das ist eure Visitenkarte, die euer „Unternehmen“ Techies unter die Nase hält – kein Wunder, hat sich Tamedia für die Zusammenarbeit mit dem geringsten aller Übel, Tilllate, entschieden …

Tags: ,
Labels: IT, Web

Keine Kommentare | neuen Kommentar verfassen

Freitag, 5. Oktober 2007

Partyguide: Volkssport gefälschte Benutzerprofile


Mel_85
Originally uploaded by emeidi

perfection
Originally uploaded by emeidi

Hmmm, da fragt man sich doch: Welche ist nun die richtige Melanie?

Bei der Kindergarten-Community Partyguide gibt es immer wieder Spassvögel, die sich mit gefälschten Angaben ein Konto eröffnen. Ganz dreist wird es aber, wenn die hinterlistigen Benutzer nicht nur Profile eröffnen, sondern auch noch gleich Bilder von anderen Partyguide-Benutzern stibitzen.

Ab und zu stolpert man auf Profilseiten auf Kommentare, wo ein User einen anderen anfährt, wieso er sein Bild in seinem Profil verwendet.

Dieses Mal hat es das Foto meiner Freundin getroffen. Mal schauen, wie lang es geht, bis „Celine Ingolds“ Account gelöscht wurde.

Lieber Oli (an den Rest der Argonauten-Truppe wende ich mich gar nicht mehr, da man lieber Banknoten zählt als die Plattform voranbringt), wann endlich wird die Verifizierung per SMS Pflicht? So kann es doch einfach nicht weitergehen!

Tags: ,
Labels: Blogosphäre

Keine Kommentare | neuen Kommentar verfassen

Samstag, 15. September 2007

Ajax-Klicks und das WEMF-Rating

Bei einem anderen Einsatzgebiet ist Ajax aber kritischer, und zwar dann, wenn auf einen Mausklick des Benutzers reagiert werden soll, und Ajax hilft, nur den Teil neu zu laden, welcher den gewünschten Inhalt darstellt. In diesem Fall darf laut gültigen WEMF-Regeln kein WEMF-Klick ausgelöst werden, d.h. kurz gesagt, um so mehr Ajax wir in diesem Bereich einsetzen würden, um so geringer würden unsere ausgewiesen WEMF Pageimpressions werden und damit die Pageimpressions gar nicht mehr die tatsächlichen Klicks unserer Besucher widerspiegeln.

Einfach ausgedrückt, umso komplizierter eine Webseite, desto höher liegt sie in der WEMF Seitenstatistik.

Quelle: Lautundspitz goes Ajax

Könnte dies mit ein Grund sein, wieso Partyguide – eigentlich die besucherstärkste schweizer Party-Community – unangefochten an der Spitze der WEMF-Ratings für Party-Sites steht (August: PartyguideTilllateLautundspitzUsgang) – aber dennoch nicht von Tamedia aufgekauft wurde?

Tags:
Labels: Allgemein

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 13. September 2007

Bewegung in der Party-Portal-Szene

Zuerst erfahre ich, dass Partyguide seit kurzem bloggt, und nun das:

Das Medienunternehmen Tamedia baut seine Online-Aktivitäten weiter aus und beteiligt sich an der Schweizer Nightlife-Plattform tilllate.com.

Quelle: Tamedia beteiligt sich an tilllate AG

Gratulation an Silvan & Co. zu der Anerkennung ihrer Leistung. Da bleibt eigentlich nur die Frage, wieso Tamedia nicht in das „meistbesuchte“ Party-Portal investiert hat? Weiss ein Insider mehr?

Nummer 4

Wenn ein anderer, anonym bleibender Informant recht hat, tut sich in der Branche in letzter Zeit viel:

Anderes Gerücht […] scheint die Usgang.ch GmbH an den Axel Springer Verlag verkauft worden zu sein. Natürlich nicht direkt, sondern über den Umweg Axel Springer -> Verlagsgruppe Handelszeitung -> Amiado AG -> Guestlist.ch GmbH -> Usgang.ch GmbH.

Da ich dieses Gerücht nur aus einer Quelle zugetragen bekommen habe, ist es mir unmöglich, die Behauptung zu bestätigen.

Tags: ,
Labels: Allgemein

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 13. September 2007

Partyguide bloggt!

Wie es sich für Partyguide gehört, ist die Kommentarfunktion (noch) deaktiviert. Könnte sich da mal jemand reinhacken und die Funktion aktivieren? *zwinker* Kommentare verfasst man, in dem man auf 0 Kommentare klickt. Die Ergüsse der Leser werden aber gegengelesen und erst dann freigeschaltet:

Achtung: Der Kommentar muß erst noch freigegeben werden.

Grundsätzlich aber begrüsse ich den Entscheid und hoffe, dass damit ein neues, fröhlicheres Kapitel in der Geschichte des meistbesuchten Party-Portals der Schweiz geschrieben wird.

Via: PG goes WordPress?

Tags:
Labels: Allgemein

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 5. September 2007

Promo-Team infiltriert Tilllate, Partyguide etc.

Ein Bekannter hat mir folgendes Mail zugespielt:

!..PROMOTER GESUCHT..! Hast du Lust auf einen kleinen Nebenjob? Wir von La Campania sind ein neues Promo-Team am zusammenstellen, weil wir jetzt Schweizweit in vielen verschiedenen Clubs der Schweiz arbeiten. Deine Aufgaben währen: Werbung in denn verschiednen Internetportalen wie Tilllate, Partyguide usw.. Deine Eigene Friendsliste zu erstellen Deine Vorteile: Für jeden Namen der von Deiner Friendsliste an die Party kommt, bekommst du 1.50 Fr. Und du hasst an jeder Party die von La Campania veranstaltet wird 2 Gratis Eintritte. Falls dich das interessiert melde Dich bei: m.********@gmx.ch

Ich glaube kaum, dass die Bürokratie zur Überprüfung der Namen auf der Friendsliste dem Anbieter einen Profit ermöglicht. Abgesehen davon: Mein ganz persönlicher Buch-Tipp.

Tags: , , ,
Labels: Wirtschaft

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 5. September 2007

Zugangsdaten für registrierungspflichtige Web-Sites

Wer wie ich gerade einem Bekannten Zugang zu Partyguide-Profilen verschaffen muss, ohne dass er sich in einem langwierigen und pingeligen Prozess registriert (just kidding), sei folgende Web-Site empfohlen:

BugMeNot – Partyguide

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Samstag, 1. September 2007

Parallelen zum dritten Partyguide-Hack

Underscoring a major susceptibility threatening thousands of high-profile computer users across the world, a Swedish security consultant has published login credentials belonging to some 100 embassies.

Quelle: Mystery SNAFU exposes email logins for 100 foreign embassies (and counting)

Beim dritten Partyguide-Hack veröffentlichte ich 13’000 Passwörter von Benutzerkonten der Online-Community Partyguide. Zum Zeitpunkt der Veröffentlichung des Blog-Artikels (Samstag, 9. Juni 2006) waren die Passwörter der komprimittierten Accounts aber bereits von den Verantwortlichen zurückgesetzt worden.

„It will only take 10 minutes and every script kiddie is going to be using the exact same method,“ he told The Reg. „I’m probably not the first one grabbing these passwords, but I’m absolutely the first one publishing them.“

Die Sicherheitslücke entdeckte ich während der Programmierung einer Suchfunktion für Partyguide-Benutzer (was bringt eine Suchfunktion, wenn man nicht auch gleich das Bild der gefundenen Benutzern präsentiert erhält). Nachdem ich beim Zugriff auf das AJAX-Such-Script auf Grund falsch formulierter GET-Parameter SQL-Errors zu Gesicht bekam, versuchte ich mich einer SQL-Injection. Leider führte dies zu keinem Erfolg. Umso erstaunter war ich, als ich der Suchabfrage einfach ein Parameter user_search.php?bla=bla...&password=123456 beifügte – und als Resultat alle Benutzer präsentiert erhielt, die dieses Passwort gesetzt hatten. Diese Lücke war selbst für Script-Kiddies schon fast zu einfach …

Ob vor mir bereits jemand auf diese Lücke aufmerksam geworden ist und diese ausgenutzt hat, weiss ich nicht. Die Entwickler hinter Partyguide wohl auch nicht. Schliesslich wurden sie auf den Hack nur aufmerksam, weil ich während sieben Tagen zehntausende von Anfragen auf das Suchscript losfeuerte. Die Sicherheitslücke wurde nach der Entdeckung durch die Partyguide-Entwickler innert Stunden gefixt. Ich war der erste, der die Lücke öffentlich machte (Partyguide hat bis heute zu keiner der von mir veröffentlichten Sicherheitslücken und Datenlecks weder öffentlich Stellung genommen noch seine Benutzer informiert).

Egerstad’s list offers a rare glimpse into the password robustness, or lack thereof, of various countries. At the top of the list was Uzbekistan, where a typical password looks something like „s1e7u0l7c.“ Surprisingly, the ultra-secret Iran was near the bottom of the list; passwords for its various embassies tended to be the city or country in which the embassy resides. The Hong Kong Liberal Party used „12345678“ while one for an Indian embassy was simply „1234.“

Auch ich liess es mir im Nachgang zur Veröffentlichung der Lücke nicht nehmen, die Liste der Zugangsdaten nach häufigen Passwörtern zu durchforsten.

Egerstad’s decision to publish the account details online is sure to reignite the frequent debate about whether such full disclosure is irresponsible because it simply allows a broader base of people to misuse the information. He says he’s well versed in the merits of responsible disclosure but decided that posting the login details was the only way to get the attention this problem deserves.

„I don’t have time calling all over the world to tell them something they won’t understand or listen to,“ Egerstad said. „I’m probably going to get charged for helping to commit a crime. I don’t really care.“

Eine ähnliche Diskussion hat sich auch bei der Veröffentlichung meiner Erkenntnisse entfacht. Und auch ich forderte Partyguide auf, ein Gericht über die Illegalität meiner Handlungen entscheiden zu lassen. Nun, Letzteres bahnt sich mittlerweile an.

Nachtrag: „Millionenraub“ auch bei Monster.com

[…] As is the case with many companies that maintain large databases of information, Monster is from time to time subject to attempts to illegally extract information from its database.

As you may be aware, the Monster resume database was recently the target of malicious activity that involved the illegal downloading of information such as names, addresses, phone numbers, and email addresses for some of our job seekers with resumes posted on Monster sites.

The Company has determined that this incident is not the first time Monster’s database has been the target of criminal activity. […] While no company can completely prevent unauthorized access to data, […]

Quelle: Security Notice

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 29. August 2007

Partyguide Nutzerzahlen 2006


NET-Metrix-Audit Partyguide 2006
Originally uploaded by emeidi

Ist etwas dran an der Forderung von Partyguide? Definitiv beurteilen kann ich beim derzeitigen Stand der Dinge nicht.

Interessant ist sicherlich aber das von mir aus WEMF-Daten generierte Diagramm. Es zeigt einen deutlichen Einbruch in der Zahl der Visits und Page Impressions im Monat Juli 2006, um im August 2006 dann alle vorangegangenen Monate zu überflügeln.

Kurzsichtig argumentiert könnte man diesen „Benutzerschwund“ auf die Veröffentlichung meiner Hack-Gschichtli in meinem Blog zurückführen. Doch Sinn macht das kaum – erst im August erschienen die Medienberichte in heute und der BernerZeitung, die die Kunde definitiv an den letzten Hinterwäldler verbreitete.

Bad News are Good News?

Könnte es also gar sein, dass die Medienpräsenz Partyguide nicht etwa geschadet, sondern zu mehr Zugriffen verholen hat? Das wird man wohl nie genau eruieren können.

Dier Erklärung

Was den Juli anbelangt: Das Zielpublikum von Partyguide wird sich in diesem Monat wohl einfach wie der Rest der Schweiz auf in die Ferien gemacht haben. Jedenfalls zeigen die Zahlen von 2007 einen identischen Verlauf (auf höherem Niveau), ohne dass ich in diesem Sommer irgendein Datenleck hätte explodieren lassen …

Entscheidend: Werbegelder

Das A und O der Beweisführung des Zivilklägers wird aber sein, den Einbruch bei den Werbebuchungen geltend zu machen. Wie auch immer die Analyse ausfallen wird: Ich freue mich schon jetzt, endlich einmal einen Einblick in die während den betreffenden Monaten erwirtschaftete Summe an Werbegelder zu nehmen. Ob ausser Jason schon jemals jemanden der Blick in die Buchhaltung erlaubt wurde? Nun, vielleicht wirft ja Marcel (Jasons Pappi) dann und wann einen Blick in die Excel-Zahlenkolonnen.

Tags:
Labels: Allgemein

Keine Kommentare | neuen Kommentar verfassen

Montag, 20. August 2007

Partyguide will Geld von Blogger


Partyguide will
Geld von Blogger

Originally uploaded
by emeidi

Heute war es wieder einmal so weit – die wohl nie mehr enden wollende Story Partyguide v. think eMeidi scheint ein berichtenswertes Ereignis zu sein und wurde in der Abendzeitung heute vom 20. August 2007 (S. 27) kurz angerissen.

Wer von der ganzen Angelegenheit noch nichts mitbekommen hat, hier das wichtigste in Kürze:

Die Hacks

Die fragwürdigen Reaktionen von Partyguide

Kritik, die auf taube Ohren stiess

Wer an wirklich jedem je von mir geschriebenen Partyguide-Artikel interessiert ist, schaue hier vorbei:

blog.emeidi.com/q/partyguide

Ferner …

Dank einem aufmerksamen Leser der Partyguide-AGBs muss ich dieses Schmankerl einfach noch erwähnen:

Benutzeraccounts

Du darfst maximal 3 Benutzeraccounts eröffnen. Alle Benutzeraccounts müssen korrekte Angaben enthalten und dürfen die nachfolgenden Verhaltensregeln und AGBs nicht verletzen.

Dann sollte ich wohl schleunigst meine zwei zusätzlichen Accounts beantragen *zwinker*

Tags:
Labels: Allgemein

Keine Kommentare | neuen Kommentar verfassen