Dons Luftnummer
November 20, 2006Hehe … der große Don Alphonso kann ja mit Gegenwind nicht so gut umgehen und möchte lieber unkritisch angejubelt als durch ein Minimum an Taschenrechner widerlegt werden. Weshalb er dann auch schonmal unter fadenscheinigen Gründen in seinen Kommentaren rumlöscht. (Und Benutzer sperrt, juhuu ;).) „Zahlenscheisse“ ist schon Mist, wenn man grad so schön in Fahrt ist. Und die Information, dass ein Tag 86k Sekunden hat, ist wahrhaft skandalös. Aber es steht ihm ja frei, ist ja sein Herzhäuschen.
Nichts desto trotz ist seine „ultimative Enthüllung“ eine Luftnummer sondergleichen.
Ich bin natürlich daran gewöhnt, dass die meisten Menschen nicht sonderlich gut rechnen können und es dann auch nicht wollen. Aber ich werde mich wohl nie daran gewöhnen, dass selbst das, was mein Mathe-Dozent „die wissenschaftliche Methode des scharfen Hinsehens“ nannte, entfällt. Selbst bei Themen wie dem da, mit StudiVZ. An Stelle der Jungs in dem Laden würde ich jetzt jedenfalls – nachdem ein paar Tage lang vermutlich eine gewisse Anspannung herrschte – ordentlich durchatmen.
Dies lesen und dies lesen und dann ist das hier mein Kommentar dazu:
(Und die wesentliche Information verrate ich jetzt doch mal vorweg: Wenn meine Zahlen stimmen und ich davon ausgehe, dass der Webserver 1000 Anfragen pro Sekunde bewältigen kann – was ich für viel zu hoch geschätzt halte -, dann brauche ich nur … na?
Genau: 6.445.167.612.000 Jahre. Um an das Bild Nummer 0001 zu kommen.
Und konnte mir dabei noch nichtmal einen Benutzer oder wenigstens ein Album aussuchen. Deutschland, erzittere vor Abscheu angesichts dieses unglaublichen Umganges mit Studentenbildern.)
Wie setzen sich denn die letzten Teile des URL zusammen? Im Kasi-Blog steht was von
http://…/userID/albumID-pictureID.jpg
, aber warum sind in den beiden URLs zu Alben von Juliane Schmidt die userIDs dann nicht identisch? Ist es nicht vielmehr so, dass das, was hier als „userID“ bezeichnet wird, tatsächlich die albumID ist? Jedenfalls scheint mir das aus den Screenshots so hervorzugehen. (Steht in einem oben in der Adresszeile des Browsers.) Danach folgt dann möglicherweise eher eine pictureID und hinter dem Bindestrich möglicherweise einfach eine laufende Nummer. Keine Ahnung wie viel Zeit zwischen dem Hochladen von …-2426.jpg und …2465.jpg vergangen und ob die Differenz von knapp 40 Bildern in dieser Zeit realistisch ist.
Wenn ich so einen Link nehme und verkürze, also bei den „/“ den hinteren Teil abschneide, dann bekomme ich 404-Meldungen. Obwohl ja offensichtlich ein Verzeichnis namens „http://…/2006-11/19″ vorhanden sein sollte. Oder natürlich auch nicht, wenn der Link keine echte Verzeichnisstruktur wiederspiegelt. Darüber müsste man auch noch nachdenken, denn sonst würden ja alle Bilder vom z.B. 19.11.2006 im gleichen Verzeichnis liegen, unabhängig vom einstellenden User. Kann man natürlich aber machen. Sollte der letzte Teil des URL tatsächlich eine laufende Nummer sein, dann würde das schon dafür sprechen.
Fest steht: da eine Verkürzung des URL keinen Hinweis gibt auf das Vorhandensein oder eben Nichtvorhandensein eines Ordners, muss ich tatsächlich den kompletten URL wissen, um auf ein Bild zugreifen zu können. Der erste Teil ist ja anscheinend fix, nämlich „http://…/albums/“. Danach Jahr und Monat, dann Tag. Bisher kein Problem. Danach kommt eine ID, die meiner Meinung nach die albumID ist. Erstes Problem.
Auf dem Screenshot des Profils von Juliane Schmidt kann ich in der Adresse oben vermutlich ihre userID sehen, oder? Die übrigens nicht Bestandteil der beiden angegebenen Bilderlinks ist. Außerdem kann ich in der Auflistung unten links sehen, dass Juliane ein Album hat. Eins. Das muss also wohl das halböffentliche sein. Der Screenshot sagt aus, dass nur Julianes Freunde ihre Seite sehen dürfen. Ich gehe also mal davon aus, dass ich nicht dichter rankomme an ihr eines Album. Und der Link „Julianes Fotoalben(1)“ führt vermutlich zu einer Übersichtseite, so dass er ebenfalls die albumID noch nicht enthält. (Die dann im Quelltext einsehbar wär.) So weit richtig geraten? Das würde bedeuten, ich müsste die albumID erraten. (Also wenn mir nicht grad noch der Programmierer begegnet und verrät, dass das gar keine „echte“ Zufalls-ID ist.)
Die albumID – also was ich dafür halte – besteht aus sechs Stellen. Es kommen offenbar Klein- und Großbuchstaben sowie Ziffern vor. Das sind – ohne Umlaut und so – 62 mögliche Zeichen je Stelle. Studium ist schon ein bisschen her, aber ich würde sagen, das sind 62 hoch 6 Möglichkeiten. Das sind … aeh … 56.800.235.580 Möglichkeiten.
Aber ich muss ja den ganzen URL auf einmal versuchen, also für jede der 56.800.235.580 Möglichkeiten muss ich auch noch den eigentlichen Dateinamen erraten. Der besteht meiner Meinung nach ja aus einer pictureID der Länge … tja. Sechs oder sieben!? Das ist mal komisch. Vor allem weil in den beiden URLs von Juliane jeweils „LT“ vorkommt. An dieser Stelle würde man wohl überlegen, ob man nicht rausbekommen kann, wie diese angeblichen IDs wirklich erzeugt werden. Ich kann das aber nicht. Und muss weiter probieren bzw. probieren lassen. Also weiter:
Erstmal weiss ich jetzt nicht, ob der erste Teil des Dateinamens sechs- oder siebenstellig ist. Und dann ist da noch der letzte Teil, den ich weiter oben als laufende Nummer angenommen hatte. Was die Nummer angeht: da mache ich es mir mal leicht und prüfe einfach immer auf „-0001″. Mit Glück wird da angefangen zu zählen, dann weiss ich bei einem Treffer, dass ich auch noch „-0002″ und weitere testen muss. Und hab ich bei „-0001″ keinen Treffer, dann gibt es vielleicht auch mit höheren Zahlen keinen Treffer. (Das geht natürlich davon aus, dass jeden Tag der Zähler bei Null anfängt, was aber ja auch nicht unbedingt so ist. Ach ach ach, so viele Unklarheiten.)
Bleibt der erste Teil des Dateinamens. Wenn ich nur die sechsstelligen Möglichkeiten prüfe, dann hab ich wieder 56.800.235.580 Möglichkeiten. Prüfe ich auch die siebenstelligen, dann sind es noch 3.521.614.606.000 dazu. Puh.
Insgesamt muss ich also für die 56.800.235.580 Möglichkeiten aus der (angenommenen) albumID jeweils (56.800.235.580 + 3.521.614.606.000 =) 3.578.414.842.000 Möglichkeiten für den Dateinamen testen, um rauszukriegen, ob es ein Bild mit dem Zähler „0001″ gibt.
Das sind 203.254.806.000.000.000.000.000 Möglichkeiten.
Ok, und wenn ich dann mit dem Prüfen möglicher Bilder am 19.11.2006 durch bin, dann schau ich mit den 18.11.2006 an.
Das sind dann wieder 203.254.806.000.000.000.000.000 Möglichkeiten.
Und so weiter.
Ein „ping“ von hier auf den Bilderserver benötigt grade im Durchschnitt 43 Millisekunden. Und meine Anbindung ist recht gut. Mit einem Ping ist es ja auch lange nicht getan: Der angesprochene Server muss ja noch nachschauen, ob das Bild da ist. DOSen will ich ihn ja auch nicht, also lass ich mir n bissl Zeit mit den Abfragen. Die er allerdings wohl parallel abarbeiten kann. Sagen wir … 500 Anfragen pro Sekunde? 1000? Keine Ahnung was so ein Server (parallel) leisten kann.
Dann bin ich bei 203.254.806.000.000.000.000.000 Möglichkeiten aber n bisschen beschäftigt.
Wenn die Info aus dem Kasi-Blog aber stimmt, der URL also aufgebaut ist nach dem Schema
http://…/userID/albumID-pictureID.jpg
, und wenn man wenigstens die userID irgendwie rausbekommen kann. Und man die pictureID als Vision geliefert bekommt … (Oder habt ihr wirklich 2465 Bilder hochgeladen?) … Dann muss man nur noch die albumID raten. Die wie gesagt offenbar sechs- und siebenstellig sein kann und sich auch sonst irgendwie komisch zusammensetzt. Um es kurz zu machen:
Dann sind es nur noch 3.578.414.842.000 Möglichkeiten.
Pro durchsuchten Tag.
Und wenn ich Recht habe und die userID nicht im Link auftaucht, dann kann ich mich bei der Suche nicht mal auf eine Person – deren ID ich vllt aus einem mir zur Verfügung stehenden Link kenne – beschränken.
(Tatsächlich hör ich natürlich auf, sobald ich das 0001-Bild hab. Fang dann aber ja für die 0002 wieder neu an. Aber die Größenordnung sollte klargeworden sein.)
Und:
Kleine Korrektur: Meine Zahlen sollten so weit stimmen, aber im Ablauf hab ich mich geirrt. Ich bin mir ja – bei 1 Mio Benutzer ;) – sicher, dass es für jeden Tag Bilder gibt. Die restlichen Annahmen übernehme ich einfach wie oben, auch wenn ich grad an der laufenden Nummer zum Schluß eigentlich zweifel.
Dann sind das 203.254.806.000.000.000.000.000 Möglichkeiten, die ich im ungünstigsten Fall durchprobieren muss, um an das Bild Nr. -0001.jpg zu kommen.
Und dann muss ich im schlechtesten Fall nochmal 203.254.806.000.000.000.000.000 Möglichkeiten durchprobieren, um an das Bild Nr. -0002.jpg zu kommen.
Natürlich werde ich diese Möglichkeiten nicht alle durchprobieren müssen, da der entscheidende Treffer irgendwann bei der Suche kommt. Aber selbst wenn ich im Durchschnitt nach der Hälfte der Zeit einen Treffer habe: ein Tag hat nur 86.400 Sekunden. Und dann habe ich erst Bild Nr. 0001.
PS: Irgendwer hat es geschafft, sich bei StudiVZ einen Freundeskreis anzusehen, den er nicht sehen sollte. Und offenbar hat er dafür nicht 6.445.167.612.000 Jahre gebraucht. Ab und an dringt also doch ein wenig Helligkeit in das eher unbelichtete Herzhäuschen.
Ich bin ja so gespannt, wies weitergeht … *gaehn* Wie auf eine schlechte Monthy Python Imitation.
Ach ja: Irgendwie erinnere ich mich vage an ein Gerichtsurteil, nachdem die Manipulation eines URL, also der nicht vorgesehene, direkte, per zu diesem Zweck manipulierter URL erfolgte Zugriff auf Daten, einem „Hacken“ (oder welche Vokabel grade genehm ist) entspricht. Muss schon ein paar Jahre alt sein und fällt natürlich rein technisch eher in die Kategorie „auch ein wirkungsloser Kopierschutz darf nicht umgangen werden“. Aber ich frage mich, ob das noch gängige Rechtsauffassung ist. Und ob StudiVZ noch Mumm hat oder schon ausgezählt ist.