Ich sehe fremde Fotos!

Nachdem Dominik heute wieder einen Beitrag über die Foto-Privatsphären-Sicherheit bei StudiVZ geschrieben hat, habe ich mir diese Sache auch mal näher angesehen.

Er schreibt folgendes:

Man nehme ein total zufälliges Profil. Zufall heisst, ich kenne diese hier gezeigten Personen nicht. […]
Das heisst, ich besitze eigentlich nicht die Rechte, die Bildergallerie dieses Nutzers einzusehen, richtig? […]
Nun, ich frage mich halt, warum ich trotzdem sämtliche Bilder einsehen darf? Ist das nun gewollt oder nicht? Und bitte: Ich habe keine besonderen Rechte … ich kenn diese Person nicht. Was heisst das konkret? Bilder im StudiVZ sind nicht sicher. Derzeit kann jeder mit ein wenig Wissen sämtliche Bilder von sämtlichen Nutzern einsehen, soweit ich das beurteilen kann.
Wenn Lischen Müller montags denkt, sie kann ihre Bilder vom Exzess am Wochenende sicher ins StudiVZ stellen, weil ja nur ihre Freunde diese sehen können … dann hat sie sich wohl geirrt.

Hört sich doch toll an, oder? Und wer meinen Blog regelmäßig liest, weiß auch, dass ich nicht gerade ein Freund des Facebook-Klons bin.
Aber ganz korrekt ist das, was Dominik geschrieben hat, nicht.

Ich habe das heute an zwei beipielhaften Profilen nachvollzogen: Klaus Müller und Hans Meiers. Beide kennen sich nicht.
Klaus Müller erstellt nun also zwei Fotoalben: Ein öffentliches, dessen Bilder jeder sehen kann und ein geheimes, dessen Bilder nur seine Freunde oder er selbst (dies macht keinen Unterschied) sehen kann.

Surft nun ein Fremder zu Klaus‘ Profil, sieht er nur das öffentliche Album, was ja auch korrekt ist. Hier gibt es auf der Profil-Übersichtsseite nur das öffentliche Album zu sehen; Freunde bekommen zusätzlich das zweite „geheime“ Album angezeigt.

Hier muss man nun allerdings zwischen zwei Sachen unterscheiden: Der Privatsphäre-Einstellung des Useraccounts und zum anderen der Sichtbarkeits-Einstellung des Fotoalbums.

Entschließt sich Klaus jetzt dazu, in seinen Privatsphäre-Einstellungen die Sichtbarkeit seines Profils generell soweit einzuschränken, dass man als Nicht-Freund seine Fotos nicht mehr einsehen kann, sollte auch nicht jeder dahergelaufene Hans die (eigentlich öffentlichen) Fotos einsehen können.

Und genau hier liegt der Fehler, den Dominik beschreibt und der seinen Aussagen nach schon einige Zeit besteht: Auf Klaus‘ Profilseite wird nun lediglich der Link zu den Fotoalben ausgeblendet, durch Austauschen eines Teils der URL sind seine Fotos aber weiterhin sichtbar.
Und das funktioniert so einfach, dass es schon wieder stinkt.

Aber die eigentliche Funktion der öffentlichen und privaten Fotos funktioniert, meines Erachtens kommt man derzeit nicht ohne Weiteres an ein „geheimes“ Album heran. Aber wer weiß: Was nicht ist, kann ja noch werden. Ich lasse mich gerne vom Gegenteil überzeugen.

Dennoch sollte man wissen, dass die Privatsphären-Einstellungen wohl komplett sinnlos sind; jedermann kann alle öffentlichen Fotos einsehen.