EDIT:
Die im folgenden beschriebenen Sicherheitsmängel wurden behoben
Ich möchte hier alle Benutzer ausdrücklich vor einer Sicherheitslücke von Schuelervz und Studivz warnen!
Alle Bilder, die ihr hochladet, können OHNE REGISTRIERUNG eingesehen werden, es funktioniert auch wenn ihr nicht eingeloggt seid!
Die Macher von SVZ werben stets dafür dass man ja sicher sei, man kommt nur mit Einladung rein, man muss sich jedes Mal einloggen etc.
Aber die Bilder, die stehen unverschlüsselt und ungesichert im Netz!
Ich gebe euch nun einfach mal ein Beispiel, eines meiner Bilder im Schuelervz: LINK
Und nun der direkte Link zum Bild:
LINK
Ich kann das Bild sogar hier direkt anzeigen:
Wie findet man den Bildlink?
Einfach im Quellcode suchen nach:
Die Domain imagevz.net verlinkt übrigens auf studivz.net
Wenn man bereits so einfach an die Bilder herankommt ist kein Schutz gegeben, auch nicht vor Crawlbots und ähnlichen fiesen Tricks.
Daraus folgt für mich -> Schueler- und StudiVZ Bilder sind nicht so sicher wie immer angenommen.
Die Warnung wurde bereits an das Schuelervz-Team weitergeleitet.
Lennart
Die im folgenden beschriebenen Sicherheitsmängel wurden behoben
Ich möchte hier alle Benutzer ausdrücklich vor einer Sicherheitslücke von Schuelervz und Studivz warnen!
Alle Bilder, die ihr hochladet, können OHNE REGISTRIERUNG eingesehen werden, es funktioniert auch wenn ihr nicht eingeloggt seid!
Die Macher von SVZ werben stets dafür dass man ja sicher sei, man kommt nur mit Einladung rein, man muss sich jedes Mal einloggen etc.
Aber die Bilder, die stehen unverschlüsselt und ungesichert im Netz!
Ich gebe euch nun einfach mal ein Beispiel, eines meiner Bilder im Schuelervz: LINK
Und nun der direkte Link zum Bild:
LINK
Ich kann das Bild sogar hier direkt anzeigen:
Wie findet man den Bildlink?
Einfach im Quellcode suchen nach:
Code:
<div id="PhotoContainer"><img src="http://img-a2.pe.imagevz.net/photo9/2b/98/11bbebcc6cd158f6658943c4ca7f/6-cebb77cfde20230a5cff838ddd07c527.jpg" alt="" onload="this.parentNode.style.width=this.width+'px';" oncontextmenu="return false;"/></div>
Die Domain imagevz.net verlinkt übrigens auf studivz.net
Wenn man bereits so einfach an die Bilder herankommt ist kein Schutz gegeben, auch nicht vor Crawlbots und ähnlichen fiesen Tricks.
Daraus folgt für mich -> Schueler- und StudiVZ Bilder sind nicht so sicher wie immer angenommen.
Die Warnung wurde bereits an das Schuelervz-Team weitergeleitet.
Lennart