Einträge vom Februar 2007 ↓

StudiVZ Bashing – ich mache mit

StudiVZ – Das Studentenverzeichnis

2004 wurde in Cambridge, Massachusetts Facebook gegründet. Facebook ist ein klassischer Vertreter des Web 2.0 nach dem AAL (Andere Arbeiten Lassen) Prinzip. Die Idee ist, eine Plattform zu erschaffen, wo sich Studenten, Professoren und Alumni treffen und über Universitätsgrenzen hinweg Kontakt halten, sich über ihre Interessen austauschen und nach gleichgesinnten suchen. Man könnte es als die informelle Variante von XING (OpenBC) bezeichnen. Wie das bei solchen Netzwerken, die auf der Kommunikation zwischen Menschen beruhen, nun mal so ist, muß man zuerst die Plattform mit persönlichen Daten füttern, bevor man sich auf die Suche nach Gleichgesinnten macht. Die Daten, die Abgefragt werden, beginnen mit dem eigenen Namen (nicht Pseudonym oder Nickname, sonder Vor- und Nachname) und dem Geburtsdatum, werden aber schnell um Adressen, Schul- und Universitätslaufbahn, Hobbies, Fotos und ähnlichem angereichert. Facebook wurde ein riesen Erfolg, aber vor allem im Englisch-Sprachigen Raum. Und wie das mit erfolgreichen Geschäftsideen nun mal so ist, werden diese oft und fleißig kopiert.
Die deutsche Variante von Facebook nennt sich StudiVZ. Ob die Ursprüngliche Idee wirklich den Aufbau und Betrieb einer solchen Seite war oder ob man auf ein flottes gekauft werden wie damals bei Alando setzte ist leider nicht klar und inzwischen auch egal. Holtzbrinck hat sich StudiVZ Anfang des Jahres für über 50 Millionen gekauft und somit sind die Gründer zwar finanziell fein raus, aber der Betrieb der Plattform hängt ihnen noch an der Backe. Nun könnte man Fragen, was den die Schwierigkeit am Betrieb einer solchen Plattform sei und schnell würden sich drei zentrale Probleme herauskristallisieren:

  1. Finanzierung
  2. Performanz
  3. Sicherheit

Und in dieser Reihenfolge haben sich die Gründer des StudiVZ an die Probleme gesetzt. Schnell wurde Gründerkapital aufgetrieben und die Seite aufgebaut. Zu Anfangs noch mit dem selben Design von Facebook (blaue Farbe) und gleichlautenden Skriptnamen (ob da jemand den Sourcecode von Facebook verwendet hat?), aber schnell mit eigenständigem Getue („Gruscheln“ als Bezeichnung für das ansprechen anderer Nutzer). Als nächstes wurde massives Marketing betrieben, um der Plattform Nutzer zu zu führen. Im Herbst letzten Jahres gings dann richtig los mit stark steigenden Nutzerzahlen. Jetzt kümmerte man sich auch etwas um den zweiten Punkt aus der Liste, die Performanz. Aber natürlich erst, als es erste Probleme gab. Das Thema Sicherheit spielte aber noch keine Rolle. Stichpunkthaft nun Sicherheitsprobleme aller Arten bei StudiVZ in chronologischer Reihenfolge der Entdeckung:
(Yamb.Beta ist nicht mehr, der Autor Jörg-Olaf Schäfer hat das Blog geschlossen)

  • Profilbilder von außen ohne Login einsehbar (Yamb.Beta)
  • Bilder aus „privaten“ Fotogalerien von außen ohne Login einsehbar (Yamb.Beta)
  • „private“ Freundesliste von jedem Nutzer einsehbar (Yamb.Beta)
  • Stalking im größeren Stil (Yamb.Beta)
  • Suchen in privaten Daten geschützter Profile (Yamb.Beta)
  • Mehrere Cross-Scripting-Lücken (heise newsticker)
  • Berechnung der Nutzer IDs, Adressen von Fotos und Fotoalben geknackt (Yamb.Beta)
  • Abrufen der Nutzerdaten sämtlicher Nutzer per kleinem Skript möglich (Yamb.Beta)
  • Sich selbst in geschlossene Nutzergruppen einladen (Yamb.Beta)
  • etc. etc. etc

Diese ganze Liste an Sicherheitslücken, die zT auch extrem ausgenutzt wurden (Auslesen der Nutzerdaten in externe Datenbanken) fanden sich in dem kurzem Zeitraum von nur 2 Wochen Ende November. Es wurde anschließend wieder ruhiger, es wurden aber weiterhin Lücken gefunden.
Jetzt aber, genauer gesagt Gestern, wurde aus den Lücken ein Loch. Ein Hacker hat es geschaft, die Login-Daten der Nutzer auszulesen, d.h. die Login-Daten, eMail-Adressen und die Freundschaftslisten (Yamb.Beta). Nun ist das natürlich ein riesen Problem, doch eingrenzbar. Denkt man sich so. Als erfahrener Nutzer, der für verschiedene Webseiten verschiedene Logins verwendet. Sieht man sich aber die stoische Ruhe an, die die Nutzer bisher an den Tag legten und mit welcher Ignoranz sie über die Probleme von StudiVZ hinweg sehen, so nehme ich an, daß viele der Nutzer auf vielen Webseiten die selben Login-Daten wie bei StudiVZ verwendet haben werden. Ich möchte mir die Welle der Amazon oder eBay-Betrügereien gar nicht ausmalen, die in der nächsten Zeit auf uns zurollen wird. Ganz abgesehen davon, daß der Hacker nun 1,4 Millionen eMail-Adressen in der Hand hat, deren Nutzerprofil recht klar umrissen werden kann: 18-30 Jahre alt, Abitur oder Studienabschluß, offen für allerlei Webspielereien. Selbst wenn rund ein Drittel der eMail-Adressen inzwischen ungültig (einmal Adressen für Fake-Accounts, etc) sind, haben alleine die verbliebenen 1 Mio Adressen einen nettern Wert bei den Herren und Damen Spamversendern.

Reifenplatzer

Samstag Abend wollte ich zu einem Kumpel nach Regensburg fahren. Mit meinem Corsa war meine Freundin unterwegs und so habe ich mir den Corsa meiner Eltern ausgeliehen. Ab auf die Autobahn, es sind ja nur 100 Kilometer bis Regensburg. Ich bin die Strecke schon zig mal gefahren, es war wenig Verkehr, also versank ich in Gedanken. Plötzlich begann das Auto zu vibrieren. Ich ging vom Gas, doch mit abnehmender Geschwindigkeit nahm das Vibrieren zu. „Meine Güte, ist die Straße hier aber schlecht“ dachte ich mir und beschleunigte wieder auf 160. Das Auto vibrierte weiter und kurz darauf platzte ein Reifen. Der Corsa bricht nach links aus. Ich nehm den Fuß vom Gas und steuere entgegen. Aber zuviel, jetzt gehts nach rechts. Wieder entgegen lenken, aber ich bekomme die Kiste nicht unter Kontrolle. Automatisch trete ich auf die Bremse, jetzt bin ich nur noch Passagier und rase auf die Mittelleitplanke zu. Ich kann mich nicht mehr erinnern, was ich gemacht habe, aber das Heck kommt rum und ich drehe mich einmal um die eigene Achse und verliere so drastisch schnell an Geschwindigkeit und rolle nun in Fahrtrichtung der Autobahn auf den Seitenstreifen zu. Ich stelle das Auto auf dem Seitenstreifen ab, schnappe mir meine Jacke und springe aus dem Auto und über die Leitplanke. Glück gehabt!
Der linke Hinterreifen war der Übeltäter. Ein ziemlich genau 1 Jahr alter runderneuerter Reifen mit nicht mal 10.000 gefahrenen Kilometern.

Reifenplatzer

Ergo: Passt auf eure Reifen auf!

Geburtstag

Seit Donnerstag gibts hier nicht mehr viel neues. Mich hat aber nicht etwa die Lust am Bloggen verlassen, sondern ich bin zu meinen Eltern gefahren, wo ich verständlicherweise etwas besseres zu tun habe.
Und warum habe ich mich aus der Online Welt für einen Kurzurlaub verabschiedet? Weil ich mal wieder ein neues Lebensjahr zu beginnen habe, mein 29stes inzwischen. Noch 2 Jahre und man kann mich ungestraft als „Alter“ Bezeichnen.
Morgen wirds dann wieder was ausführlicheres geben, auch zum Thema Autoreifen und warum man auf selbige Achten sollte.

Ein- und Ausparken mal anders

Einparken

Ausparken

via boje

Und um solche Parkkünstler zu markieren, kann man sich Aufkleber bei Iparklikeanidiot.com/ kaufen.

Second Life, was soll der Hype?

Second Life, zur Zeit in aller Munde, was soll der Hype?
Ende 2004, Anfang 2005 war ich mal wieder auf der Suche nach einem neuen Online-Spiel. WoW war noch nicht auf dem Markt, von Browser-Games hatte ich gerade die Nase voll, da stolperte ich über ein Spiel namens „Second Life“. Die Beschreibung hörte sich dann schon etwas seltsam an, weder der Client noch die Nutzung kosteten etwas, warum sollte eine Firma so etwas anbieten? Also erstellte ich mir einen Account und eine Spielfigur und begann die Virtuelle Welt zu erforschen, doch schon nach einer durchzockten Nacht hatte ich am nächsten Morgen keine Lust mehr einzuloggen. Warum das? Nun, aus meiner Sicht war Second Life nur ein 3D Chat Client. Man konnte umher wandern, umher fliegen, mit anderen Charakteren chatten und das wars dann auch schon. Die Tatsache, daß man echtes Geld in inGame Währung wechseln konnte, interessierte mich nicht, va da es imho nichts interessantes zu Kaufen gab.
Nun, diese Erfahrungen sind über 2 Jahre her, Second Life hat sich weiter entwickelt, einen riesen Medienhype generiert und so war es an der Zeit sich nochmal umzusehen. Und was stelle ich fest? Second Life ist immer noch nur ein 3D Chat Client. Und nichts weiter. Es gibt keine Missionen zu erfüllen, keine Aufgaben zu erledigen, sondern nur ödes Chatten mit einem Haufen Newbies, die Millionäre werden wollen.
Millionäre? Ja, echte Dollar-Millionäre wollen sie werden. Die Idee ist bestechend einfach. Jeder Nutzer kann jederzeit echte US-Dollar gegen Linden-Dollar, die inGame Währung, umtauschen. Und vor allem auch wieder Linden-Dollar in US-Dollar. Falls also jemand einen Geldschein im Spiel finden sollte, kann er ihn in reales Geld umtauschen.
Aber woher sollte das Geld kommen? Warum sollte man echtes Geld in Linden-Dollar tauschen? Zu Beginn des Spiels kann man seinen Charakter, seinen Avatar basteln. Man kann sein Äusseres bis ins letzte Detail festlegen und ihm allerlei Klamotten anziehen. Doch alles in allem sieht nun jeder Charakter ähnlich aus. Um sich nun zu differenzieren kann man sich genau so oberflächlich wie in der Realen Welt durch andersartige Kleidungsstücke zum Individuum differenzieren. Um aber an ein solches Kleidungsstück zu kommen, muß man es sich kaufen. Und dafür tauscht man dann Geld. In anderen Spielen wie zB World of Warcraft würde man im Spiel losziehen und Geld verdienen, indem man zB Blumen pflückt oder seltene Gesteine sammelt und verkauft. Hier hat man eine wirkliche, eine echte, eine reale „Virtual Economy“ (schöner Wortwitz). In Second Life aber lässt sich kein Geld erarbeiten, kein Geld verdienen. Second Life ist darum keine wirkliche Economy, sondern eher wie die Börse aufgebaut. Der Wert eines Gegenstandes bzw einer Aktie bemisst sich nicht an dem Sach- oder Materialwert des Gegenstandes, sondern rein nach dem, was die Konsumenten (Spieler bzw Anleger) bereit sind für den Gegenstand zu bezahlen. In beiden Fällen muß man aber erst von aussen Geld zuführen, um mit diesem agieren zu können.
Wie wird man nun Millionär? Auch den linden Labs, den Erschaffern von Second Life, war klar, daß man den Nutzern möglichst viele Möglichkeiten geben musste, um ihr umgetauschtes Geld wieder los zu werden. Also erschufen sie Kleider, Schmuck, Fahrzeuge, Accessoirs ( zB Bierkrücke mit Bier) oder Immobilien. Die Nutzer kauften diese Gegenstände und somit wanderte der entsprechende Dollarwert in den Besitz von Linden Labs. So konnten sie sich finanzieren. Um nun den Nutzern etwas zu tun zu geben und da Linden Labs keine all zu große Firma mit viel Manpower war, gaben sie den Nutzern die Möglichkeit selbst Kleidungsstücke, Schmuck und Accessoirs zu entwerfen, erstellen und zu handeln. So konnten nun die Nutzer im Spiel Geld generieren. Sie produzierten Waren und handelten mit ihnen. Nicht jeder ist ein guter Designer oder hat Lust, sein Gehirnschmalz für ein paar bunte Pixel zu verschwenden. So entwickelte sich schnell auch das Älteste Gewerbe der Welt in Second Life. Zwar kann man keine reale Befriedigung erzeugen, aber das ist ja auch beim Telefonsex kein Hinderungsgrund. Millionär wird man so aber nicht. Millionär wird, wie im echten Leben, nur der, der etwas wagt, der ein Risiko eingeht. Und so wurden die jenigen Millionäre, die sich dem Wagnis des Immobilienhandels hingaben.
Immobilienhandel in einer Virtuellen Welt? Ja, denn auch das virtuelle Auto braucht einen Parkplatz. Linden Labs vermietet inGame Grundstücke für eine monatliche Gebühr, verkauft aber auch ganze Inseln mit eine Fläche von 65,536 m^2 für 1.675 US-Dollar zzgl einer Monatsmiete von 295 US-Dollar. Gewinn generiert man nun dadurch, indem man sich so eine Insel kauft, sie parzelliert und diese Parzellen weitervermietet. Da man eine Insel in 128 Parzellen zu 512 m^2 aufteilen kann und Linden Labs selbst je 512 m^2 Parzelle 5 US-Dollar Miete für die ihrigen Flächen kassiert, kann man, wenn man die Parzellen für 4 Dollar vermietet bis zu 217 US-Dollar je Monat Gewinn machen. Gut, man wird sicher etwas Fläche für Straßen etc reservieren müssen und evtl nicht alle Parzellen vermieten können, aber das System wird so klar.
Im Laufe des Jahres 2006 wurde Second Life drei Jahre alt, knackte endlich die Nutzergrenze von 1 Million Nutzern und schaffte es dank der ersten durch das Spiel geschaffenen Millionärin auf zahlreiche Zeitungscover. Angeblich wurde noch im selben Jahr die 2 Millionen Nutzergrenze gesprengt. Second Life ist somit knapp 1/3 so groß wie World of Warcraft. Woher kommt nun aber die viel größere Mediencoverage? Der Hauptgrund liegt wohl daran, daß Blizzard sehr genau kontrolliert, was in WoW geschieht und durch die Quests und Instanzen einen deutlichen Fokus auf den spielerischen Aspekt legt. Second Life besitzt aber einen solchen nicht und muß sich daher auf den hype durch das „Wirtschaftssystem“ verlassen. Andererseits ist SL kostenfrei für den First-Time-User und Ermangelungs des Spielcharakters leichter als „ernstes“ System zu vermarkten. Hochschulen versuchen sich durch Vorlesungen im virtuellen Raum ein modernes Image zu geben, Unternehmen können ungestört Werbung erzeugen (in anderen Spielen gäbe es einen Aufschrei wegen Product-Placement…) und die Mafia kann in aller Ruhe Geld waschen.

Was ist nun der Haken an SL, das hört sich doch alles ganz toll an. Neben den üblichen Risiken jedes Online-Spiels (Sucht, Realitätsverlust, etc) die nur die Spieler betreffen, gibt es nun ganz gewaltige mögliche Auswirkungen auf die reale Welt. Unternehmen wie Nissan oder adidas verkaufen virtuelle Autos oder Sportschuhe in Second Life und bisher läuft dieser Handel an den Regularien und Steuersystemen der Realen Welt vorbei. Nun könnte man meinen, daß die paar Millionen US-Dollar, die pro Monat in SL umgesetzt werden kein großes Problem darstellen. Momentan spricht man von 1 Mio pro Tag, also rund 365 Mio im Jahr. Wenn man aber etwas in die Zukunft schaut, erkennt man schnell, daß es zum ersten mal in der jüngeren Geschichte problemlos und ungefährlich möglich ist, Geld über Ländergrenzen hinweg unversteuert und unkontrolliert zu verschieben.
Ein Beispiel: Unternehmen D wird in Deutschland gegründet und hat in Deutschland seinen Hauptsitz. Das Unternehmen gründet eine Tochterfirma in einem Steuerparadies S. Das Geschäft floriert und D macht große Gewinne. S und D Firmen gründen eine Niederlassung in SL und können die Kosten dafür als Investition oder Werbung von der Steuer absetzen. S verkauft in SL Klopapier zum Preis von 300 Mio Linden-Dollar (rund 1 Mio US-Dollar) je Blatt. D kauft nun fleissig dieses Klopapier und drücken so ihren Gewinn auf 0. Während dessen kann S ganz gemütlich das Geld aus SL abziehen und dank dem Sitz im Steuerparadies nahezu unversteuert an D zurückgeben. Die Gewinne von S sind schon im Steuerparadies versteuert und darum muß D sie nicht weiter versteuern. Soweit, so lustig. Kauft nun aber D weiter Klopapier, wandert der Gewinn in den roten Bereich und D bekommt bereits gezahlte Mehrwertsteuer zurück. So kann man recht einfach die Steuerlast eines Unternehmens auf Null senken und den Markt mit niedrigen Preisen begeistern.
Aber ist das Rechtens? Ich bin leider kein Steuerberater und weiß es nicht. Der Gedanke, daß es rechtens ist, macht mir aber Angst.
Ganz abgesehen davon lässt sich so wohl sehr einfach Geld im großen Stil waschen und ich glaube kaum, daß Linden Labs die Transaktionen protokolliert…

Ideen und Inspirationen von: Carsten, Capitalism 2.0, _notizen aus der Provinz

Raucher gefährden die Unternehmenssicherheit

Raucher sind böse, abgrundtief böse. Naja, zumindest manchmal. Und zwar dann, wenn sie ihrer „Lust“, ihrer „Sucht“ frönen. Schon seltsam, daß Rauchen etwas mit Fron zu tun hat.
Wie dem auch sei, wenn diese Raucher nun rauchen wollen, finden sie immer einen Weg. Am einfachsten ist es für sie, wenn sie rauchen dürfen, wo sie sich gerade befinden. Wenn das auch eklige folgen haben kann. Falls das am Platz rauchen nicht opportun ist, rauchen sie am offenen Fenster und fallen manchmal aus selbigen. Darum verlassen viele Raucher zur Sicherheit das Gebäude. Aber natürlich wollen sie dies auf dem kürzesten Weg tun und das Gebäude auch auf selbigem wieder betreten. Da werden dann schon mal Schließmechanismen blockiert, was eventuellen Bösewichten einen einfachen Zutritt zum Gebäude ermöglicht. Bei Penetrationstests kamen die Angreifer bis in Konferenzräume und bekamen dort Zugang zum Netzwerk und Telefonsystem (Quelle: nta-monitor.com).
Aber natürlich gefährden die Raucher nicht nur die Sicherheit der Unternehmen, sondern auch die der Mitarbeiter. Ich bin echt froh nicht im Gastgewerbe zu arbeiten, wenn ich mir diese Feinstaubkonzentrationen anschaue…

Ein Posten und zwei Familien…

Ein Zweifamilienhaus, eine Bahnstrecke und ein Posten, sind die Hauptdarsteller in diesem nervenaufreibenden Film über den Irrsinn in der Provinz. Ob Beckstein hier nicht eingreifen müsste, wegen Verletzung der Menschenwürde des Bahnwärters? Hach nein, is ja Niedersachsen

(Quelle: youtube via boje)