Nach den von Randy bereits ausführlich dargelegten Ereignissen von gestern Abend (Motto: Da Posse meets Berne City) und kleinen Seitenhieben gegenüber meiner Wenigkeit (tanze ich wirklich sooo schlecht?) wurde die Storie unseres gestrigen Ausfluges heute Sonntag Nachmittag weitergeschrieben.

You’ve got Mail!

Auf dem Party-Portal meines Vertrauens trudelte unerwartet eine Nachricht einer Dame ein, die mich aufhorchen liess:

hej
du bisch doch geschter im propäuer gsi gäu?
greez

Quelle: Partyguide-Mitteilung von Sime4 an mad4you, 14:56 Uhr

Wow! Ich war baff. Da erinnerte sich also tatsächlich ein weibliches Geschöpf an meine Anwesenheit an einer Party und findet mich dann auch noch auf Partyguide (wie sie das bewerkstelligt hat, ist mir immer noch ein Rätsel). Die Ernüchterung kam postwendend auf meine Antwort:

böö ha ds gfüeu gha i heig di oscho gseh när isch mir i sinn cho dasi mau di profil uf partyguide ha agluegt.
ha di ja eigentlech nur wöue frage ob di kolleg wo geschter isch drbi gsi o bi partyguide registriert isch?

Quelle: Partyguide-Mitteilung von Sime4 an mad4you, 15:06 Uhr

Tjach. Also halt ;-) Jedenfalls hat sie jetzt Hebelis Nummer und E-Mail-Adresse. Dass er eine Freundin hat, habe ich dummerweise vergessen zu erwähnen … *grins*

Checkliste

Als das kleine Techtelmechtel vorüber war, fiel mir noch ein Element ihres Profils auf:

humorvou, sarkastisch, intelligänt, charmant, spontan, erlech, treu, hesch niveau & bisch nid längwilig. söttsch nid lenger im bad ha, und bitte NID ängeri chleider trage aus ig

Quelle: myPage von Sime4

Schön und gut, dass die heutigen Frauen derart ausführliche und passgenaue Vorstellungen davon haben, was sie von einem Partner erwarten. Dennoch frage ich mich manchmal, ob es diese eierlegenden Wollmilchsäue wirklich auf dem Markt gibt? Sanft, sensibel, aber trotzdem – im richtigen Augenblick – ein Macho und harter Kerl. Ich glaube, dass die heutigen Frauenzeitschriften solches Checklisten-Gehabe noch weiter fördern. Ich befürchte einfach, dass gerade auf Grund solcher Anforderungsprofile manchmal ein guter Partner durch die Lappen gehen könnte.

Doch wie auch immer: Liebe Frauen, falls es diesen „perfekten“ Mann wirklich gibt, erklärt mir mal, wieso er dann gerade ausgerechnet euch als Partnerin aussuchen sollte? Wenn er wirklich all diesen Anforderungen entspricht, müsste es sich hierbei um einen seeehr begehrten Zeitgenossen handeln …

Zurechtrückens-Orgien

Beim pfingstlichen Abendessen erfuhr ich heute zudem von meinem Schwesterherz, dass momentan Oberteile en vogue sind, die weit über das Hinterteil getragen werden.

Wunderbar! Endlich! Wer dann und wann dem Nachtleben frönt, solle sich doch achten, wie oft Frauen an einem Abend folgende zwei Bewegungen ausführen:

• Vorbau kaschieren. Das Oberteil mit grossem Ausschnitt rutscht immer wieder ab, weshalb mann [sic!] die darunterliegende Unterwäsche erheischen könnte. Deshalb überprüft man alle fünf Minuten den Sitz des Tops und zieht es nach Bedarf nach oben … Bis es wieder heruntergerutscht ist.
• Nieren verdecken. Eine ähnliche Bewegung findet auch reissenden Anklang bei den besseren Hälften: Das offensichtlich zu kurze Top zieht man ebenso regelmässig alle fünf Minuten Richtung Gesäss, um die Nieren zu verdecken.

• Jeans hochziehen. Auch mit den Jeans ist es so eine Sache. Die letzten Jahre haben wir u.a. mit den Miss Sixty-Jeans erlebt, wie die Distanz zwischen Bauch- und Beinansatz kontinuerlich zusammenschrumpfte. Nennen tut man dies „low waist“ oder „low cut“. Dies führt dazu, dass die Welt im Frauenrücken bei kleinsten Bück-Bewegungen freie Sicht auf den Slip – meist Tanga/G-String – hat. Da die Hosen auch sonst oft herunterzurutschen scheinen, bemüht man sich auch hier alle paar Minuten, die Hose auf ein sittliches Niveau hochzuziehen.

  Ein Blogger aus dem Vereinigten Königreich hat ähnliche Erfahrungen gemacht:

  She didn’t seem the type to show off her breast cleavage, but was happy to expose her buttocks in full. That wouldn’t have been so bad, but she had the tattiest pink thong on. We agreed that we’d never wear low cut jeans.

  But there’s no turning back the tide of fashion. […] Needless to say, I now need to ensure my underpants are suitable for public display.

  Quelle: Low cut jeans… enough’s enough

Für mich sind das ernsthafte Anzeichen eines grossen Widerspruchs, eines Paradoxons: Die von der Modeindustrie und der Umwelt vorgelebte Kleidungsregeln werden zwar bereitwillig adaptiert, dennoch scheint man im Innersten doch unwohl zu sein, zu viel Haut zu zeigen, was ich auf die Erziehung zurückführe. Wird sich Frau irgendeinmal mit beiden Anforderungen arrangieren können?

Mein Rat: Um Himmelswillen, habt ihr zuwenig Geld, weshalb ihr euch nur zu knappe/einige Nummer zu kleine Kleidungsstücke kaufen könnt?

Die armen Jungs kommen nicht zur Ruh. Schon wieder ist eine ober-peinliche Schwachstelle auf dieser Web-Community an die Oberfläche des Webs geschwappt:

Unter PartyGuide.ch ist es möglich Profile von anderen Users zu betrachten. Vorausgesetzt wird, dass man einen gültigen Account besitzt und eingeloggt ist.

Quelle: PartyGuide.ch – XSS Vulnerabilities [Sicherheitslücke – Exploit]

Diese „Vulnerability“ ist aber bedeutend weniger gefährlich als der vor einigen Wochen von mir publizierte (aber nicht von mir entdeckte) Hack, da es sich hierbei „nur“ um eine Cross-Scripting-Attacke handelt. Ich muss dazu mein Opfer gezielt auf einen Link klicken lassen, um an dessen Cookie-Daten zu gelangen. Da Partyguide aus einigen der auf think eMeidi publizierten Fehlern gelernt hat, kriegt der Angreifer zumindest das Passwort nicht im Klartext zu sehen.

Peinlich: Die Scripts der PHP-Bastler bei Partyguide sind anfällig auf Query-String-Injections (diesen Begriff habe ich kurzerhand selbst erfunden – SQL-Injections waren mir bisher bekannt). Die Partyguide-Codebasis wäre mir bei einer feindlichen Übernahme keinen Fünfer wert …

Dank: Anonymer Tippgeber

Technische Störung
Originally uploaded by emeidi.

Nachtrag: Da lobt man Partyguide ausserordentlicher Weise für einmal, und eine Stunde später so was … *tz*

Nachdem es eMeidi.com vorgemacht hatte, beschreitet nun auch meine Lieblings-Party-Site Partyguide den „asynchronen JavaScript/XML-Weg“. Entdeckt habe ich die Neuerung letzte Woche:

User Verzeichnis

Die Frischzellenkur tut gut – dies hängt sehr wahrscheinlich mit einem neu zum Team hinzugestossen Entwickler zusammen (unbestätigter Rumor).

Vorteile von AJAX

Anstelle also bei einer Suche gleich den ganzen Inhalts des Frames neu zu laden, beschränkt man sich neuerdings darauf, nur noch den dynamisch-variablen Teil, die Tabelle mit den Suchresultaten, gemäss den Such-Parametern auszuwechseln.

Endlich bleiben die Suchparameter also im Formular stehen! Ich hatte mich bisher immer grün und blau geärgert, dass ich die Suchparameter bei jeder Suche wieder von vorne eingeben musste. Manchmal möchte man die bestehenden Angaben ja beibehalten, und nur eine Option (z.B. „Nur User mit Foto anzeigen“ aktivieren resp. deaktiveren).

Leider, leider hat man meinen Ratschlag vom Dezember 2005 immer noch nicht beherzigt: Damals schlug ich vor „Sich wiederholenden HTML-Code [zu] vereinfachen“. Nichts ist seit her geschehen.

Die von user.php zurückgegebene JavaScript-Variable enthält immer noch die fürchterliche, zig-fach redundante HTML-Tabelle. Mit einem wenig Bytes grossen CSS-File zur Formatierung der Tabelle könnte die grösse der AJAX-Antwort drastisch reduziert werden …

Schade übrigens, dass HTML-Code zurückgeliefert wird. XML hätte mir besser gefallen, denn dann hätte ich mir eine auf meinem Server laufende Suchfunktion gebastelt – mit schickem HTML/CSS. Bis zur Partyguide-API ist es wohl aber noch ein weiter Weg.

Framework

Das im Einsatz stehende JavaScript-Framework stammt von Modern Method und nennt sich Simple AJAX Toolkit. Auf eMeidi.com habe ich dagegen Prototype im Einsatz. Was besser ist? Keine Ahnung. Hauptsache, es funktioniert.

Nachteil von AJAX

Der Nachteil des momentanen AJAX-Booms: Die Libraries sind sehr umfangreich, Prototype bspw. knapp 50KB. Dies macht sich deutlich bemerkbar, wenn die Site mit einer langsamen Verbindung abgerufen wird. Aber auch schnellere Leitungen bringen nicht viel, da die Browser den Code auch noch interpretieren müssen. Kaum verwunderlich, dass Sites wie Digg (49 Page-Requisites, darunter 7 JavaScript-Dateien, die je über 10KB wiegen) oder Flickr (40 Page-Requisites, darunter zwei JavaScript-Files mit 32.6KB und 28.8KB, aber auch ein 60KB (!) grosses CSS-File) beim ersten Aufruf eine deutliche Ladeverzögerung aufweisen.

Partyguide-Implementation

Wieso der Entwickler von Partyguide den JavaScript-Code direkt in das HTML/PHP-File eingefügt hat, verstehe ich nicht.

Auch beim Konkurrenten tilllate findet man immer wieder CSS-Styles, die nicht über ein globales CSS-File includiert werden, sondern direkt im HTML-Quelltext stehen.

Würden diese Angaben konsequent in eigenständige Dateien ausgelagert, könnten diese lokal oder auf dem zwischengeschalteten Proxy gecached werden und müssten nicht jedes mal neu Übertragen werden (Stichwort: HTTP 304). Aber anscheinend ist das Transfervolumen nebensächlich.

Weitere Verbesserungen bei PG

Übrigens: Auch die in Partyguide – ach Wunder – lahmt kritisierte Ladeverzögerung an Sonntagen gehört der Vergangenheit an. Nur wenige Tage nach meiner Kritik hat man einen neuen, professionellen Load-Balancer (Hersteller unbekannt) installiert, der die fehleranfällige und langsame Apache/mod_proxy-Lösung ablöste. Nun lädt die Page auch flott bei über 4000 gleichzeitigen Besuchern.

Weiterführende Links

(Fast) alle auf think eMeidi erschienene Artikel über Partyguide.

Ausgehen in Kopenhagen
Originally uploaded by emeidi.

Luux Copenhagen
Originally uploaded by emeidi.

Club S, Kopenhagen
Originally uploaded by emeidi.

Der Osterausflug 2006 hat mich und die Kollegen Ritz, Sedlacek und Zgraggen vorgestern Mittwoch nach Hamburg und anschliessend am Donnerstag nach Kopenhagen geführt, wo wir nun bis Sonntag verweilen werden.

Gegen neun Uhr Abend trafen wir mit unserem Mietauto nach einer Überfahrt mit der Fähre in Kopenhagen (Kobenhavn) an. Das Appartment im Quartier Vesterbro ist umwerfend gross und luxuriös eingerichtet. Sogar einen Internet-Anschluss (inkl. Ethernet-Kabel *smile*) findet sich in der Wohnung im ehemaligen Arbeiter- und heutigen Trend-Quartier wieder.

Unerlässlich: Wo läuft was?

Da ich – aus früheren Unterlassungen mittlerweile klug – bereits zu Hause nach geeigneten Party-Locations umgesehen habe, kam ich schnell einmal auf die Party-Site Denmarkbynight (DKBN), einer dänischen Version von Partyguide.

Get in contact!

Eine dort angekündigte Party des Club S, auf Donnerstag-Abend angesetzt, erregte meine Aufmerksamkeit. Das Problem: Es handelt sich hierbei um einen „Memberclub“ (was auch das immer in Dänemark bedeutet). Auf den Touri-Bonus tippend, verfasste ich am Montag-Abend ein kurzes Mail an die auf der Web-Site des Clubs angegebene Adresse. Ich fragte darin an, was ich unternehmen müsse, um Mitglied zu werden. Siehe da, bereits am Dienstag-Mittag erreichte mich Daniels Antwort, in der er mir mitteilte, dass er mich auf die „Liste“ gesetzt hätte. Das Mail druckte ich aus und legte es zum Gepäck.

Energiezufuhr und Anfahrt

Nachdem wir in der Nähe unseres Appartments pakistanisch gespiesen und uns danach noch einmal ins Appartment zurückgezogen hatten, um uns schön zu machen, ging es ab in die Innenstadt. Dank Vorarbeiten mit Google Earth sowie dem dänischen map.search.ch-Pendant Krak.dk hatte ich mir eine Karte der wichtigsten Party-Locations in Sack. Da das Navigationssystem des 5ers kläglich versagte, mussten wir uns auf das ausgedruckte Kartenmaterial von Google Earth verlassen. Dieses war aber derart akkurat, dass wir keine Probleme hatten, in die Umgebung des Clubs zu gelangen.

Die Menschenmenge

Der Club S befindet sich in einer Seitenstrasse – als wir um die Hausecke traten, traf uns fast der Schlag: Eine riesige Menschenmenge bevölkerte die Hälfte der Strasse und schien geduldig auf Einlass in einen Club zu warten. Als wir näher kamen realisierten wir, dass sich hier nur die Schönsten der Schönen tummelten. Unglaublich viele hübsche Gesichter, seien es Frauen wie Männer. Doch nirgends stand etwas von Club S – an den am Gebäude angebrachten Schildern lasen wir Luux Copenhagen. War das der Club S? Wieso hiess er anders als auf der Web-Site?

Die Gedenkstunde

Wir entschieden uns, mal kurz im Quartier herumzuspazieren und abzuklären, ob der Club in einer anderen Seitenstrasse angesiedelt war. Wir fanden – nichts. Nach einem kurzen Ölhalt (Öl = dän. Bier) im nahe gelgenen7 Eleven-Store schlossen wir uns an das Ende der Schlange an.

Anstehen bei den Augenweiden

Eineinhalb Stunden lang sollten wir uns inmitten von urkomisch sprechenden Menschen verbringen, bis uns der Türsteher musterte. Wie kaum jemals verging die Wartezeit im Flug – ungläubig wurden wir Zeugen der wohl wochenendlichen Szenerie von heranfahrenden Taxis und daraus aussteigenden Schönheiten (und vielen Metrosexuellen). Trotz Temperaturen knapp um den Gefrierpunkt herum sah das Standard-Outfit der weiblichen Geschöpfe aus, als würde Hochsommer herrschen: Röckchen, kaum Nylons und offene Stöckelschuhe. Dass manche in der Warterei (und Sauferei – ich glaube, die Frauen dort haben echte Alkoholprobleme) ab und zu einen Fuss voll aus den vielen Regenpfützen herauszogen, gehört wohl zum Ritual. Niemand schien sich gross darüber aufzuregen. Meine Füsse – umhüllt von Sockend und Lederschuhen waren nach einer Stunde in der Kälte total kalt. Wie die Frauen diese Tortur überleben, ist mir immer noch ein Rätsel.

Mit der Gewissheit, dass es sich bei den hier anwesenden Personen definitiv um keine repräsentative Stichprobe handelt, muss ich unserem Appartment-Vermieter beipflichten: „Oh, and we have very nice girls“. Schlank, oftmals blond, modisch und aufreizend gekleidet, alle geschminkt. Hübsche Gesichter – skandinavisch halt. Für Schweizer aus der bernischen Provinz definitiv ein Aha-Erlebniss (wobei wohl auch Zürich den Kürzeren ziehen würde, das ist gewiss).

Schattenseiten

Ich persönlich vermute aber, dass sich die Ladies durch den anhaltend grossen Konkurrenzdruck selber ein Ei gelegt haben. Dies führt zu einer positiven Rückkoppelung, also verstärktem Wettbewerb und Verdrängungskampf, den Neoliberale ja gerne als Urquell der westlichen Erneuerung sehen. Ein Kollege bemerkte süffisant, dass das im europäischen Vergleich vorbildliche Wirtschaftswachstum wohl durch enorme Umsatzzahlen in Mode-Shops, Kosmetik, Mani- und Pediküre und von Friseur-Läden stamme. Fitness-Center dürften auch dazu gezählt werden …

Nachtrag: Natürlich profitiert auch die nachgelagerte Industrie von den Rückkoppelungen. Man denke nur an die Podologen, die durch exzessives Stöckelschuh-Tragen verformte Fusspartien der Däninen „reparieren“ müssen. Oder die Psychologie, die sich derjenigen Fälle annehmen muss, die sich nicht in das hohe Niveau einfügen können/wollen.

Die entscheidende Minute

Nach 1.5h Warterei kriegten wir also unsere Chance beim Türsteher. Die Situation verschlechterte sich innert Sekunden rasch – er sprach auf mein Bitten hin zwar englisch, wollte aber nichts von einem „Memberclub S“ wissen. Ich zog das vorsorglich mitgebrachte Mail aus der Tasche. Er las Daniels Zeilen, schüttelte aber den Kopf. Kurz bevor er mir den Zettel zurückgab, erblickte er aber den Absender. Seine Miene heiterte sich schlagartig auf, und drin waren wir. „Sesam, öffne dich!“ auf dänisch? Die Dummen haben wohl auch manchmal Glück.

Hard Facts & Ambiente

Eintritt: 60DKK (12 SFr.). Garderobe: 20DKK (4 SFr.). Vodka Red Bull: 35DKK (7 SFr.). Cola: 15DKK (3 Fr.). Offiziell geöffnet bis 5 Uhr morgens (die Musik spielte aber bis etwa 5.30 Uhr weiter). Hochstehender DJ, spezieller Musikstil (House und Hip-Hop, gegen Ende noch eine 90er-Revival-Runde mit Culture Beat, Sash (Ecuador und Encore une fois u.a.). Besucher: Vorwiegend Dänen, wir haben auch zwei Deutsche „gehört“. Auch einige dunkelhäutige (z.B. pakistanischer Abstammung).

Die Bilder

Photo-Gallerie auf DKBN

Fotos auf Lautundspitz über das Miss Bern Training

Ich befürchte, dass man da auch mit viel, viel Training nichts besseres hinbekommt …

Root in the Bumb

Kommentar einer Chat-Bekanntschaft aus Brasilien, zur Zeit in AUS:

look a[t] her“ being root in the bumb“ face

Was der Ausdruck sagen will, verschieben wir aus Gründen des Jugendschutzes auf nach 23.00 Uhr.

Nachtrag: Kandidatin I mit einem Partyguide-Profil (Referer ausschalten oder Link in neues Browser-Fenster kopieren, denn „PG is evil“ und erlaubt keine Verweise von fremden Seiten). Jg. 1985, aus Burgdorf, Mathematik-Studentin (Chapeau!) und – gemäss den Flirt-Angaben auf PG – noch zu haben.

Lokales

Ha! Thörishaus ist auch prominent vertreten!

Nachtrag: Kandidatin II mit einem Partyguide-Profil (Referer ausschalten oder Link in neues Browser-Fenster kopieren, denn „PG is evil“ und erlaubt keine Verweise von fremden Seiten). Jg. 1987, (wie erwähnt) aus Thörishaus, Beruf unbekannt und mit Blick auf die hochgeladenen Bilder vergeben.

Favoritin

Etwas zu dünn zwar (Nachtrag: Je mehr ich die Dame blicke, umso dünner kommt sie mir vor – ist das gesund?!), aber ein hübsches Gesicht. Mit Schoggi erreicht man da sicher schnell Kampfgewicht :-)

Eigentlich freuen wir uns ja über Mitbewerber, oder solche welche es gerne sein würden. Sie spornen uns an, noch besser zu werden und hart für unsere treuen Lautundspitz Fans zu arbeiten! Doch wenn ein „Filmlidrüller“ plötzlich auf die Idee kommt, kurzerhand einfach alle unsere Fotografen anzuschreiben und versucht abzuwerben, dann finden wir das nicht nur ethisch bedenklich, sondern, da er das ganze noch über Lautundspitz.ch gemacht hat, einfach nur noch dämlich!

Quelle: Lautundspitz Newsletter 12/2006, 23. März 2006.

Sorry, wenn es wieder einmal so weit ist: Da stecken doch nicht etwa die von Partyguide dahinter, oder?

Sobald ich von Lautundspitz mehr über diese Story erfahre, poste ich meine Erkenntnisse hier.

Nachtrag: Doch nicht. Das kommt halt davon, wenn man den PG-Reflex schon fest einprogrammiert hat. In Tat und Wahrheit war es ein findiger Kopf von Videooo.ch:

Video ist keine Konkurrenz zu Partyfotos, sondern ein neues, spannendes Medium. Wir suchen
dringend Leute, die Lust haben, hin und wieder auch mit einer Profi-Videoausrüstung aus Zürich,
Bern, Basel, Luzern oder der Ostschweiz von der Partyszene zu berichten. Falls Du jemanden
kennst, der sich für Video interessiert, freue ich mich über ein Mail an team@videooo.ch
Bernhard Seiffert, Gesamtleitung videooo.ch

Quelle: Mail von Saxer an Mario Aeby, 23. März 2006.

Jungs, sorry, aber das will kein Mensch. Es gibt zwar auch Videodokumente von eMeidi ausser Rand und Band – aber daraus gleich einen abendfüllenden Spielfilm zu produzieren? Näää. Mal schauen, ob sich das Konzept – analog zu Handy-TV – dennoch durchsetzen wird …

Demnächst in einem Kino in Ihrer Nähe:

Foto-Wars!

Wie kürzlich ein unerkannt bleibender Kenner der Party-Photographen-Szene süffisant im Gespräch mit bemerkte:

Wenn 50% unserer Photographen nicht mal ihre Kameras bedienen können, wie sollen Sie je von RSS gehört haben?

Dennoch: Ist das Party-Photographen-Handwerk derart kompliziert, dass man nicht etwa neue Leute mit ihrem Aldi-Kompaktkameras anwirbt (O-Ton: Blitz? Für was brauch‘ ich mitten in der Nacht einen Blitz?), sondern der Konkurrenz die Leute „abzugrasen“ versucht?

Komische Welt … *kopfschüttel*

Partyguide.ch is lame
Originally uploaded by emeidi.

Sonntag-Abend. Die gesamte Schweizer Partyszene versammelt sich auf ihren bevorzugten Party-Portalen und schaut sich die digitalen Schnappschüsse des gestrigen Abends an.

Alle Partygänger? Nein, leider nicht alle. Benutzer von Partyguide sind sich daran gewöhnt, statt Bildern zuerst einmal gaaanz lange nichts zu sehen. Ist es nicht erstaunlich, wie sich dieses Spiel von Sonntag zu Sonntag wiederholt und die Benutzer anscheinend immer wieder zurückkehren? Ausdauer scheint eine positive Eigenschaft des durchschnittlichen Partyguide-Fanboys zu sein …

Ein Test von heute Sonntag, 19. März 2006, 19:44 Uhr zeigt: Um von der Startseite auf die Informationsseite des Events This is it! @ Eclipse Bar, Bern zu gelangen, benötigt der ausdauernde Partyguide-Surfer 72.294 Sekunden (gemessen mit der Firefox-Extension Fasterfox).

Mehr als eine Minute vergeht also, bis eine neue Seite geladen ist. Gemäss dem WEMF-Rating sei Partyguide diejenige (von WEMF beglaubigte) Web-Site der Schweiz, auf der die Benutzer am Längsten verweilen. 20 Minuten im Schnitt. Gemäss Adam Riese macht dies an einem Sonntag wie diesem sagenhafte 20 Seiten, die sich ein Benutzer anschaut. Fast wie damals, als man noch mit einem 56k-Modem unterwegs war …

Als Hilfe für die Partyguide-Sicherungsspezialisten hier ein kleiner Überblick, wie es die anderen Schweizer Party-Sites denn so machen:

Partyguide

Hier bereits zu Genüge diskutiert:

• PHPSESSID: Eindeutige ID der Session
• c_ip: IP-Adresse des Benutzers
• c_plz: Postleitzahl
• sess_psw: Passwort
• sess_member_id: Benutzer-ID
• sess_login: Benutzernamen

Vor noch nicht allzulanger Zeit hatte man in den Cookies auch noch das Geschlecht, das Geburtsdatum und den Kanton gespeichert. Aus „Performance-Gründen“, wie man mir gesagt hat. Wieso speichert man das nicht in die Session?! Wurde jetzt wohl auch als bessere Lösung entdeckt.

Tilllate

Tilllate.ch

Kurzkritik: Fürchterliches Design, Urgestein der Party-Sites, gesponsert von Sony, in Zürich weit verbreitet, kürzlich Medienpräsenz bei Schweiz Aktuell.

Session-Variablen:

• tilllateAutoLogin: Ein 56-Zeichen langer String, urlcodiert, der bei mir neben Buchstaben und Zahlen auf ein /, + und zwei == enthält. Ich werde nicht ganz schlau daraus. Ob die Sonderzeichen benutzt werden, um Hashes von Userid und Passwort voneinander zu separieren?
• tlsid: Die eigentliche ID, um den User während seiner Sitzung zu identifizieren (verfällt am Ende der Session).

Die anderen zwei Cookies, track_cookie und tilllate_stat2, dienen meiner Vermutung nach dazu, das Benutzerverhalten für Werbezwecke aufzuzeichnen. Sie laufen erst im 2007 resp. 2008 ab.

Usgang.ch

Usgang.ch

Kurzkritik: Sehr frisches und ansprechendes Design (IMHO das beste hier in der Schweizer Szene), Ursprünglich Schwerpunkt auf Zürich, danach Expansion, deshalb Unterteilung in Regionalsites (guter Ansatz!), grösste und schärfste Fotos im Vergleich zu den anderen Anbieter (bezogen auf Fokus, nicht die Frauen! *grins*). Sponsor: Canon, wohl als Gegenpol zu Sonys tilllate.

Session-Variablen:

• PHPSESSIONID: Nach dem Login wird der User durch diesen 32 Zeichen langen String identifiziert.
• cautologin: Enthält den Usernamen und den MD5-Hash des Passwortes, getrennt mit einem Komma.

Lautundspitz

Lautundspitz

Kurzkritik: Ansprechendes Design, zusammen mit Usgang.ch deutlich vor Tilllate und Partyguide, ursprünglich auf Nord- und Ostschweiz beschränkt, nun 7 Regionen.

Session-Variablen:

• PHPSESSID: Nach dem Login wird der User durch diesen 32 Zeichen langen String identifiziert.
• lus_last_visit: Unixtime des letzten Logins – falls dies beim nächsten Autologin wirklich auch beachtet wird (indem man auf dem Server dieselbe Unixtime auch in die Datenbank speichert) – Chapeau. Sehr gute Idee, wieder etwas gelernt.
• lus_access: 20 Zeichen langer String. Evtl. Zusammenfassung von Usernamen und Passwort? Müsste näher erforscht werden.

Man bemerke den Unterschied des Variablen-Namens im Vergleich zu Usgang.ch – PHPSESSID ist der Default-Name von PHP.

Ferner liefen …

• Lidahun.ch für Deutsch-Fribourg
• Partyzone24 im Raume Bern (?)

Kennt noch jemand mehr Nischen-Seiten?

Fazit

Partyguide, wie ihr seht ist kein Entwickler der anderen Communities auf die Idee gekommen, das Passwort im Klartext in ein Cookie zu speichern und es bei jedem Zugriff zu übermitteln. Aus gutem Grund – als PHP-Profi macht man das einfach nicht.

Nebenbei ist es natürlich interessant, das Schicksal der Communities weiter zu verfolgen. Gibt es einen Markt für vier grosse Sites? Wird es vielleicht gar einmal Fusionen geben? Können die Produkte längerfristig Geld generieren? Wird es bald ein zweigeteiltes Modell geben, bei dem der Benutzer für Zusatzfunktionen bezahlen muss? (In Skandinavien bereits der Fall). Sehr spannende Fragen. Ich bleibe dran :-)

Partyguide, die Web-Site mit der „grössten Verweilzeit der Schweiz“, ist ja im Laufe meiner kurzen Blog-Karriere so etwas wie mein Steckenpferd geworden. Leute, die sich meine sprachlichen Ergüsse zu Gemüte führen, wissen dies ja bereits längst – und fragen desöfteren, was der Antrieb dahinter ist. Meine Antwort: Kampagnenjournalismus à la Blick. Man beisst sich, einem Rottweiler gleich, in ein Thema fest und lässt nicht mehr los. So füllt man eine Zeitung, deren Titelblatt und die Schlagzeilenaushänge während einer ganzen Woche. Ich habe an dieser Form der Informationsvermittlung Freude gefunden, möchte mich aber hier wieder einmal bei den Machern von Partyguide höchstpersönlich bedanken – sie sind es nämlich, die (unter anderem) den „täglichen“ Stoff für dieses Blog liefern.

In unzähligen Artikeln bin ich über die mangelhafte Umsetzung der genialen Idee „Partyföttelis im Internet“ hergezogen. Selten hat sich etwas zum Guten gewendet, und wenn dann, betrafe es nur kleine Details. ohne dass sich gross etwas geändert hätte. Immerhin habe ich kürzlich herausgefunden, das Mitglieder der „Partyguide-Familie“ mein Blog frequentieren und ihren Senf dazugeben.

Doch nun ist der Zeitpunkt gekommen, wo es nicht mehr um schlechtes HTML oder überlastete Server geht. Nun wird es ernst. Sehr ernst. Und für einige verantwortlungslose Möchtegern-PHP-Entwickler sehr peinlich und brenzlig.

Die Anklage

Bis letzten Montag-Abend standen bei Partyguide persönliche Daten von 190’000 Accounts sperrangelweit offen. Mit dem Know-How eines Script-Kiddies konnte sich jedermann Zugang zu Namen, Postanschriften, Mobiltelefonnummern und sogar Passwörtern aller Partyguide-Benutzer machen. Hinzu kamen die persönlichen Nachrichten, die zwischen Mitgliedern der Community ausgetauscht wurden. Die Ausrufezeichen erübrigen sich wohl bei einer solchen Aussage.

Der „Hack“

Ich schreibe das Wort „Hack“ deshalb in Anführungszeichen, weil das Vorgehen derart trivial ist, dass es aus meiner Sicht kaum mehr als Hack durchgeht. Nein, ein Schelm würde wohl gar behaupten, dass es die PHP-Entwickler bei Partyguide geradezu herausgefordert haben – den Schlüssel sozusagen im Schloss der Villa stecken liessen und sich mit dem Fotoapparat bewaffnet in das Nachtleben das Samstag-Abends eintauchten.

Voraussetzungen

• gültiger Partyguide-Account (in 5 Minuten mit komplett falschen Angaben eingerichtet)
• Mozilla Firefox 1.5
• Extension Add N Edit Cookies
• Minimale Kenntnisse von HTTP, Cookies und PHP

Wer obige „Zutatenliste“ liest und etwas vom Web vermutet wohl schon, wo der Angriffspunkt lag. Richtig – man loggte sich mit dem eigenen Account ein. War man „drin“, veränderte man zwei (der vielen) Cookie-Werte:

• sess_login
• sess_member_id

sess_login entspricht dem zu „kapernden“ Benutzernamen, sess_member_id der Benutzer-ID. Beides konnte man für jeden beliebigen Benutzer über die Community-Such-Funktion in weniger als einer Minute ausfindig machen.

Zusätzlich – und das verstehe ich bis heute noch nicht – musste man noch das PHPSESSID-Cookie löschen. Erst jetzt funktionierte die Übernahme eines fremden Accounts. Beim nächsten Request an den Server schlüpfte man in die Rolle des ausgesuchten Opfers.

Ich kann mir dieses Verhalten im Grund nur so erklären, als dass auf dem Server eine Session-Variable $bolLoggedIn lag, die bestätigte, dass sich der Sender der Cookies bereits eingeloggt hatte. Nach meinem Kenntnisstand wird die Session-Variable aber eben gerade demjenigen User zugeordnet, der die entsprechende PHPSESSID mitschickt … Anyone? chregu als PHP-Entwickler vielleicht?

Obwohl als Cookie auch sess_psw mitgeschickt wurde, „vergass“ man anscheinend, dieses auszuwerten. Galt jemand erst einmal als authentifiziert, konnte er sich nach vergnügen andere Identitäten überstülpen. Eine Fährlässigkeit sondergleichen!

Der grösste Fehler, welcher übrigens immer noch nicht gefixt ist, ist aus meiner Sicht aber die Preisgabe des Benutzerpasswortes im HTML-Quelltext. Auf der Seite „my Settings“ gibt es ein Passwort-Feld, das mit dem Passwort aus der Benutzerdatenbank gespiesen wird. Da das input-Feld den Typ password trägt, offenbart sich dem Benutzer (auf den ersten Blick) aber nur einige Sternchen. Wenn man sich aber die Mühe machte, den Quelltext zu Rate zu ziehen, las man da:

... type="password" name="passwort_neu" value="supersicherespasswort" size="20" maxlength="50" ...

Im Browser gerendert also etwa so:

Fantastisch, Jungs! Der branchenübliche Standard sieht anders aus (man beachte die leeren Felder, die alle drei vom Benutzer selber gefüllt werden müssen):

Nicht nur Windows-Benutzer werden dieses Schema zu genüge kennen (Ctrl-Alt-Del – „Kennwort ändern“) – es hat sich in der IT-Industrie überall eingebürgert.

Wie lange schon?

Aufmerksam auf den „Hack“ wurde ich – erstaunlicherweise, kann man sagen – nicht aus eigenem Antrieb. Sondern durch einen anonymen Tippgeber – ihm gebührt also die „Ehre“, der eigentliche Entdecker der Lücke zu sein. Ohne dessen Hinweis, der Aufgrund meiner im Netz publizierten Partyguide-Zerrisse den Weg zu mir fand, wäre ich nie auf die Idee gekommen, aktiv nach Löchern zu suchen. Dank gebührt natürlich auch dem Authentifizierungs-Spezialisten bei PG, der mich nicht lange auf die Folter spannen liess. Viel länger hätte ich mir nämlich nicht die Zähne ausgebissen.

Es darf aufgrund der Art des Hinweises angenommen werden, dass das Wissen um diese Sicherheitslücke wohl kurz auf dem Weg dazu war, „eidgenössisches Allgemeingut“ zu werden. Ich kann mir gut vorstellen, dass die „Neuigkeit“ in der Computer-Szene gerade begann, seine Kreise zu ziehen.

Wie lange die Sicherheitslücke aber bereits bestand, weiss niemand. Wohl nicht mal die Entwickler selber. Das Absichern ihres Produkts stand, wie vom Tippgeber süffisant vermutet, wohl auf Seite 200 ihrer „To-Do“-Liste.

Funkstille

Bis heute wurde kein einziges Mitglied der Community informiert, dass seine persönlichen Daten gefährdet waren. Man will sich ja nicht blossstellen. Der Fakt, dass auch die Passwörter frei zugänglich waren, würde mich aber erschaudern lassen. Wieviele KV-Stifte, die Partyguide von morgens bis abends im Büro geöffnet haben, verwenden für den Firmenrechner dasselbe Passwort? Oder für ihre E-Mail-Accounts? Abgründe tun sich auf …

Nie wieder!

Ich überlege mir, in der Blogosphäre eine Sammelaktion zu starten und mit dem gesammelten Geld dem Partyguide-Team das Buch Essential PHP Security zuzusenden. Ohne Gebete nützt das Buch alleine wohl nichts. Wenn solchen Leuten PHP und ein Server in die Hand gedrückt wird, verwandeln sie dieses in wenigen Minuten zu einer tödlichen Waffe.

Dilettanten

Als ich mit meiner Serie/Kampagne im August 2005 startete („Partyguide sucks“), konnte ich nicht wissen, dass im März 2006 der endgültige Beweis erbracht werden sollte, dass Partyguide entweder vom Netz genommen oder von Grund auf neu programmiert werden sollte.

Wann wacht ihr endlich auf?!

Übrigens

Auch ganz nett: Persönliche Einstellungen.

Anonyme Kommentare – nun gut. Wer die Balls nicht hat. Aber wie BloggingTom es heute bedauerte:

Übrigens: Wär doch schön wenn man wüsste, mit wem man hier diskutiert. Insofern finde ich „anonym“ etwas schade. Just my two cents…

Da im Netz niemand wirklich anonym ist, recherchiere ich aus Langeweile (und als kleine Herausforderung) ein bisschen. Welch‘ ein Glück, dass ich mein Blog auf dem eigenen Server hoste und so Zugriff auf die RAW-Logs habe.

Als erstes filtere ich das gestrige RAW-Log nach Zugriffen auf die entsprechende Seite. Der Kommentator muss ja den Kommentar von BloggingTom auf seinen Kommentar zuerst lesen, um darauf antworten zu können:

cat access.log | grep "GET /2006/03/partyguide-und" > access-filtered.log

25 Hits wurden auf diese Seite im Laufe des 10. März registriert. 7 Suchmaschinen-Einträge fallen weg, sind es noch 18 Stück.

Wie verhält sich der anonyme Kommentator wohl? Ich vermute im Laufe meiner Recherchen, dass er BloggingToms Kommentar liest und danach gleich seine Replik verfasst. Also interessieren mich die Zugriffe vor 15:16 Uhr und hoffe insbrünstig, dass Blogger.coms Uhren in etwa richtig justiert sind.

Drei Zugriffe kommen in die engere Wahl:

[1] wod0001.zl.com - - [10/Mar/2006:14:24:43 +0100] "GET /2006/03/partyguide-und-die-verweilzeit.html HTTP/1.1" 200 12275 "http://www.cocomment.com/comments/BloggingTom" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"

[2] 80-219-177-208.dclient.hispeed.ch - - [10/Mar/2006:15:05:57 +0100] "GET /2006/03/partyguide-und-die-verweilzeit.html HTTP/1.0" 200 12275 "http://search.blogger.com/?as_q=partyguide&ie=UTF-8&ui=blg&bl_url=blog.emeidi.com%2F&x=238&y=17" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8) Gecko/20051111 Firefox/1.5"

[3] 146.67.250.199 - - [10/Mar/2006:15:10:54 +0100] "GET /2006/03/partyguide-und-die-verweilzeit.html HTTP/1.1" 200 12275 "http://search.blogger.com/?as_q=partyguide&ie=UTF-8&ui=blg&bl_url=blog.emeidi.com%2F&x=238&y=17" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Ich verfüge nun also über drei IP-Adressen und die Informationen der verwendeten Browser. Auch sehr schön ersichtlich sind die sog. „Referer“, also die Angaben, von wo (URL) ein Besucher auf meine Seite kam (bspw. durch den Klick auf einen Link auf einer anderen Seite).

Die Hispeed-Adresse interessiert mich auf den ersten Blick am Meisten. Der einfachste aller „Tricks“: Man gibt diese in den Browser ein und schaut, ob eine Antwort zurückkommt. Viele Leute betreiben ja heutzutage zu Hause einen kleinen Web-Server. Für mich das gefundene Fressen – wenn denn eine Antwort zurückkommt:

80-219-177-208.dclient.hispeed.ch

Kaum zu glauben – es Antwortet jemand. Ich werde aber gleich auf eine „offizielle“ Web-Site umgeleitet:

beta:~ mario$ wget 80-219-177-208.dclient.hispeed.ch
--00:51:07--  http://80-219-177-208.dclient.hispeed.ch/
           => `index.html'
Resolving proxy.hispeed.ch... done.
Connecting to proxy.hispeed.ch[62.2.17.118]:8080... connected.
Proxy request sent, awaiting response... 302 Moved Temporarily
Location: http://www.bimixx.ch/ [following]

www.bimixx.ch

Was ist denn das? Aha: „bimixx Network ist ein gratis WebHoster“. Spannend. Muss aber noch nichts heissen – der Name sagt mir jedenfalls nichts.

Wer steckt wohl dahinter? Schauen wir mal doch mal bei Über uns …

Und jetzt haut’s mich vom Hocker. Volltreffer! Was lese ich dort:

Nach der Reorganisation von bimixx.ch besteht das Team nur noch aus Sandro Roth und Fabio Di Lorenzo. Bald gibts hier mehr =)

Fabio Di Lorenzo? Den kenn‘ ich doch! Bestens sogar. Ich habe LuLu vor wenigen Wochen einen think eMeidi-Artikel gewidmet: Partyguide bloggt.

Di Lorenzo ist nicht nur frischgebackener Blogger, sondern auch als Photograph für Partyguide tätig. In der Hierarchie trägt er den spannenden Titel „Regionalmanager Zürich“ (PG-Profil dilorenzo). Mehr über ihn in seinem Steckbrief.

Ich kann es natürlich nicht beweisen, doch ich vermute stark, dass es sich beim anonymen Kommentator um ihn handelt.

Jetzt kann ich wieder beruhigt schlafen *zwinker*.