[...] Verantwortung der Social Networks: Anti-Profiling und Sicherheitsstrategien Ueber die Langzeitwirkung von Social Networks und ihre moeglichen Auswirkungen bspw. bei der Jobsuche (Basic Thinking Blog) Filed in Sidenotes · Tags: none Bookmark on Delicious [...]

Das Ding mit der gültigen Uni-email würde wohl einge Fakes auschliessen. Da aber die Uni-mails meistens viel zu kompliziert sind, werden auch viele der normalen Studenten sich nicht anmelden können. Naja, wäre mir egal, ist es aber den Gründern sicher nicht.

Also, wenn man seine Fotos dort für alle einsehbar veröffentlicht, rechnet man damit, daß nur die Nutzer des StudiVZ also im Moment 1Mio (?) Studenten die Bilder sehen können. Aber kein anderer. Da die Bilder aber auch über eine Adresse wie z.B. http://bilder.studivz.net/Bild.....kryptische Zahl].jpg von aussen aufrufbar sind, kann die jeder andere auch sehen, allerdings nur, wenn er den Link kennt. Woher er den bekommt, ist jetzt erstmal zweitrangig. Hier ist es angebracht, statt des Bildes ein “Kein Berechtigung zum Zugriff auf diese Seite” bzw. einfach auf die StudiVZ Startseite umzuleiten. Sowas ist meiner Meinung nach leicht zu implementieren.

Wenn ich meine Fotos als “nur für mich” einsehbar kennzeichne, sind sie nur für mich einsehbar. Wenn ich meine Fotos “für meine Freunde” einsehbar kennzeichne, sind sie nur für meine Freunde einsehbar. Wenn ich davon ausgehe, dass meine Freunde Fotos von mir im Netz verbreiten sind das entweder nicht meine Freunde oder ich bin paranoid. Wenn ich Fotos für alle einsehbar mache (wie es der Gründer von ***** getan hat) muss ich damit rechnen, dass sie jeder in dieser Community einsehen kann. DonAlphonso hat dieses Foto sehen können (und mit AGB-Verstoss auf seinen Blog hochgeladen), weil er einen FakeAccount bei StudiVZ (oder Bekannte, die einen Account haben) hat und weil das Foto für jeden in StudiVZ als einsehbar gekennzeichnet ist. Nicht weil er den Link “gehackt” hat. Wenn der Gründer von ***** seine Fotos als “privat” oder “nur für seine Freunde einsehbar” gekennzeichnet hätte, hätte er das Problem nicht gehabt. Ich würde dir deshalb widersprechen, dass ” kryptische Links einfach überhaupt gar keine Sicherheit für irgend jemanden beim StudiVZ bieten”. Ich wüsste auch nicht wie dieses Problem “durch eine jeweilige Authorisierung anhand der vorhandenen Login-Daten geschehen” behoben werden kann, da es in der Verantwortung des Users liegt wem er seine Fotos zugänglich machen will (StudiVZ bietet ja alle Möglichkeiten). Ich glaube das Problem liegt nicht in der Verschlüsselung der Bilder, sondern bei der Einfachheit mit der ich einen Account erstellen kann. Bei Facebook kann ich nur eintreten, wenn ich eine gültige Uni-Emailadresse habe. Das würde die Anzahl von Missbräuchen zwar nicht ausschließen aber wenigstens verringern.

Jonathan, zu deinem Test mit dem Fotolink – es ist nicht wahrscheinlich, dass den irgend jemand erraten wird. So wie du den Test formuliert hast, würdest du dann daraus schließen, dass es kein Problem mit der Datensicherheit beim StudiVZ gibt.

Das sehe ich aber trotz deines Tests völlig anders, weil ich deinen Test für nicht aussagekräftig halte – entsprechend bedenkliches Szenario folgt.
Du schreibt ja:

Absolut scheiße ist natürlich wenn Sachen von denen ich denke, dass sie nur mich und meine Freunde was angehen auf einmal von jedem angeschaut werden können.

Die Sicherheit deiner Privatsphäre siehst du dadurch garantiert:

Wenn ich ein Photo als privat markiere, dann sieht das keiner, außer er kennt den genauen Link. Den kann er nur rausbekommen, wenn ich so doof bin und ihm den gebe oder wenn er ein krasser Hacker ist.

Neben der Möglichkeit, dass du selbst den Link verrätst oder dass gehackt wird, gibt es noch eine dritte Möglichkeit die ich für wesentlich wahrscheinlicher halte:

Bei social networks ist es keine Seltenheit, dass man 100 Freunde in seiner Liste hat, die Zugriff auf die als privat gekennzeichneten Daten haben. Was, wenn nur ein einziger Freund auf deiner Liste – aus welchen Gründen auch immer – die LInks zu deinen Fotos öffentlich postet? So ein paar interessante Links sind im Internet schnell verbreitet und beim StudiVZ hast du dann überhaupt gar keine Kontrolle mehr über deine als privat gekennzeichneten Daten. Du kannst natürlich irgendwann dein Foto löschen, aber bis dahin musst du erst mal mitkriegen, dass du unfreiwillig zum Star im Netz geworden bist.

Wie konkret dieses Szenario ist, hat Don Alphonso doch hier gezeigt. Er hat den LInk zu einem Photo des Gründers der Stalker-Gruppe auf einem der meistgelesenen Blogs gepostet. Ziemlich viel Publicity für diesen Stalker – der ja trotzdem anonymisiert war, da geht noch viel mehr.

Allein das Bsp zeigt doch, dass kryptische Links einfach überhaupt gar keine Sicherheit für irgend jemanden beim StudiVZ bieten.

Die Datensicherheit lässt sich deutlich erhöhen, wenn man als Betreiber solch eines Services etwas Geld in Senior Developer investiert, die mehr drauf haben als ein paar Dilletanten die noch nicht mal performand Daten hin und her schaufeln können. Eine entsprechende Lösung muss auch nichts mit lästigen PINs etc zu tun haben, sondern kann durch eine jeweilige Autorisierung anhand der vorhandenen Login-Daten geschehen und macht keine Umstände für den Nutzer. Das scheint beim StudiVZ aber kein Thema zu sein, statt dessen wird immer noch dreist behauptet, dass die Daten aufgrund von ausgeblendeten Links sicher sind. Allein für solche Ablenkungsmanöver gehört denen weiterhin kräftig der Arsch versohlt – just my 5ct.

Moin,

finde den Beitrag interessant, nur hätte ich mir dann am Ende doch konkretere Vorschläge gewünscht als “die brauchen halt bessere Leute”…Meiner Meinung nach sollte Datenschutz so sicher sein, wie der Benutzer es erwartet. Da hinkt der Vergleich zwischen StudiVZ und Bank etwas finde ich…Klar, meine PIN und meine Kontobewegungen die gehen keinen was an, da muss alles so sicher wie möglich sein, aber doch nicht bei ‘ner Seite wie studiVZ. Das ist ein Social Network – da will ich doch gerade dass mich viele Leute entdecken! Wenn nicht melde ich mich da nicht an. Wenn ich mir vorstellen müsste, dass ich da jedes Mal ne TAN eingeben müsste um an die hochgeheimen Daten zu kommen wäre der Spaß schnell vorbei. An meine öffentlichen Daten da können eine Million Leute zugreifen, dessen ist man sich doch bewusst wenn man da was schreibt! Hier können theoretisch 6 Milliarden Leute zugreifen – na und? Absolut scheiße ist natürlich wenn Sachen von denen ich denke, dass sie nur mich und meine Freunde was angehen auf einmal von jedem angeschaut werden können. Da sind wir uns ja alle einig. Allerdings werden die sogenannten Datenlecks meiner Meinung nach etwas reißerisch dargestellt. Und auch wenn’s spießig klingt, die Darstellung auf dem StudiVZ-Blog hat mich überzeugt. Wenn ich ein Photo als privat markiere, dann sieht das keiner, außer er kennt den genauen Link. Den kann er nur rausbekommen, wenn ich so doof bin und ihm den gebe oder wenn er ein krasser Hacker ist. Das schließe ich nicht aus, dass es da draußen ‘ne Menge Leute gibt die das können, aber es würde mich doch interessieren wie schnell das geht. Tenor in der Blogospähre ist ja: Der Datenschutz von studiVZ ist unter aller Sau, jeder zweitklassige Hacker (nocht nicht mal!) kann auf deine Fotos zugreifen. Mag sein! Dann will ich dafür aber auch einen Beweis. Deshalb hier der Selbstversuch. Mein Profil bei StudiVZ ist “Jonathan Stock”. Ich habe dort einen Fotoordner als Privat markiert und ein Foto hochgeladen (das Foto ist von mir selbst geschossen und kann frei publiziert werden). Ich gebe hier das eindrückliche Einverstaendnis den Fotolink herauszubekommen und es hier zu posten. Bitte keine Hackeranleitung dazu schreiben – einfach das Foto reicht! Dann habt ihr mich (und den Rest der Skeptiker) auf jeden Fall überzeugt, dass man den Datenschutz von studiVZ in der Pfeife rauchen kann! Dieser Versuch kann gerne bekannt gemacht werden.

Herzlichen Gruß,
Jonathan

PS.: Nein, bin kein Freund oder Mitarbeiter von studiVZ sondern einfach nur ein kritischer Benutzer, der weder studiVZ noch Bloggern alles so einfach abnehmen möchte wie sie es hinschreiben.

[...] Verantwortung der Social Networks: Anti-Profiling und Sicherheitsstrategien [BasicThinking]: …neben dem Wirtschaftswoche-Artikel zum Thema Profiling von Usern via Webdaten, die diese überall hinterlassen, gesellt sich passenderweise ein Artikel auf Heise dazu. Dort geht man auf Sicherheitslücken beim – ich wage es schon fast nicht mehr zu schreiben- StudiVZ-Netzwerk ein: Datenleck beim StudiVZ?. Es beruht auf den Angaben, die die Blogs Yamb.Beta und Blogbar… [...]

[...] Robert schreibt auf Basic Thinking zu recht: [...]

[...] Im Erdgeschoss sitzt jeder für sich allein. Füllt mehr oder weniger ausführlich die Profilblätter von StudiVz oder Xing mit persönlichen Daten und gibt dort Links zu den eigenen Bildern bei flickr, seinen Videos bei YouTube, seiner Linksammlung bei del.icio.us oder den Schilderungen eigener Erlebnisse im Weblog an. Dort schreiben wir dann hemmungslos über Besuche bei der Tante, den eigenen Renovierungs- oder Hausbauwahn oder, dass wir heute beim Spar um die Ecke waren, um Schokolade zu kaufen. Vielleicht hinterlassen wir auch einmal eine grimmige Zeile über den Chef oder Kollegen. Kurz: Wir hinterlassen unsere Spuren. Und nicht immer nur die, die wir irgendwann auch wiederfinden wollen. [...]

[...] Gerade geht eine Diskussion herum, dass immer mehr Menschen ihre intimsten Geheimnisse im Web Preis geben und deswegen Ärger mit dem Chef bekommen. Wen wundert das? Schon mal was von Google gehört? Auch künftige Chefs checken Bewerber mit Suchmaschinen. Da spielt die ganze Persönlichkeit eine Rolle, so wie sie sich im Web darstellt. Und Google hat ein langes Gedächtnis: Bei mir findet man, dass ich mich mal mit der Elternteilzeit befasst habe (Faulpelz!), mich mit Überwachung am Arbeitsplatz auskenne (Betriebsratskandidat!), weiß, was Wurzel-Ex ist (Bombenbastler! oder war es Unkraut-Ex?), und mich mit Schweizern über Peperoncini streite (Pervereser!) Ich glaube nicht, dass Social Networks mehr Verantwortung mit Nutzerdaten üben müssen, sondern die Nutzer selbst. Egal an welchem Ort im Netz. Via Basic Thinking, Wirtschaftswoche, SZ [...]

[...] Where is the number of the plumber? Maybe he can fix it. Oh no! The plumber says he doesn’t want to fix this problem. He tells me that the problem was widely known weeks and weeks ago and that my left ear did not tell my right hand what to do. [...]

[...] Mic Trackback-URL Gelesen: 1 heute:1 [...]

Und dann noch dieses elende Web, in dem jeder Scheiß den man mal vor hundert Jahren verbrochen hat, wie ein Meteorit auf einer Umlaufbahn über einem kreist… und immer und immer wieder vorbeizieht.

cool, sehr cool, mein Zitat des Tages:)

Also ich finde der Kern der Sache sollte streiche”sollte” -> MUSS die Sicherheit des System sein. Kein Kompromiss.
Da ist Professionalität oberstes Gebot, da kann nicht Sparsamkeit oder mangelndes Nachdenken über mögliche Szenarien als Argument gelten. Das sind Management-Fehler, wie weitreichend diese sind wird sich imho zeigen. Das ganze Projekt scheint etwas aus der Hüfte geschossen, etwas lawinenartig (ob forciert oder von sich aus, jetzt mal uninteressant) an Fahrt gewonnen zu haben und dann organisch gewachsen zu sein. Dabei sind Kinderkrankheiten und Infrastrukturprobleme wohl nicht in ihrer Dringlichkeit erkannt worden bzw. wurden nicht vorrangig behandelt, abgestellt und beseitigt. Wie man auch gehört hat, gab es immer mal wieder Erreichbarkeitsprobleme da die Serverkapazitäten wohl unterdimensioniert waren.

Dann gab es diese unsäglichen Meldungen über den seltsamen Humor des Gründers, welcher bereits tief blicken lassen hat (mehr sag´ ich jetzt mal nicht zum Thema Professionalität)!

Tja, und dann noch den Versuch einer “deeskalierenden” Erklärung. Ja, das mit der Kommunikation ist aber auch ein Kreuz. Und dann noch dieses elende Web, in dem jeder Scheiß den man mal vor hundert Jahren verbrochen hat, wie ein Meteorit auf einer Umlaufbahn über einem kreist… und immer und immer wieder vorbeizieht. Ich glaub nach so einer Affäre hätte ich keinen Bock mehr auf das Web als Grundlage eines Businessmodell ;-), soll aber im Moment ja mal wieder schwer in Mode sein.

Aber eigentlich könnten Social Networks doch so eine gruschelige Sache sein, in einer gruscheligen, mollig-warmen, watteweichen Welt…

Wieso gehen bei solchen Vorhaben eigentlich die Grundsätze und Basics (´tschuldige;-) ) als erstes über Bord, kann denn niemand das solide, seriös und professionell durchziehen, das ist ja fast schon so dilettantisch wie das Polit-Kabarett, sorry – ich fürchte jetzt wirds pathetisch. Ich dachte in der Wirtschaft da wäre was mit Wettbewerb, Kräften des Marktes, Raubtier-Dings/Heuschrecken(fressen die alles?Wikipedia!), Globalisierung und “den letzten beissen die Hunde”, dem Zwang (und dem Streben) sich durch Verbesserung (nicht Copy/Paste!) von den anderen Spielern auf dem Spielfeld abzuheben?! Und zu Überholen!
I don´t know, was bleibt mir da noch zu sagen, ich weiß es nicht wo das noch hinführt, wenn der Wind noch rauher wird und der Seegang mal wieder zunimmt…

[...] Ein sehr interessanter Beitrag zu diesem Thema findet Ihr übrigens auf Roberts Blog. Er hat das Thema noch eingehender behandelt. [...]