SwirlyMyself

2009-12-23T13:28:00+00:00

Die Photo-Kalender der Anderen

Seit über einem Jahrzehnt schon produziere ich für meine Verwandtschaft Photo-Kalender. Anfangs waren es Abzüge vom analogen Photo auf einem Bastelkalender, die letzten Jahre dagegen Digitalbilder, aus denen Pixum.de, ein Online-Photoshop, Kalender produziert hat. Dabei beschrifte ich meine Bilder mit einem Perl-Skript bereits auf meinem Computer und lade sie dann in der richtigen Reihenfolge hoch – fertig.

Dieses Jahr, ich war schon recht knapp dran, musste ich mit Schrecken feststellen, dass Pixum eine neue Software für das Kalender-Design eingeführt hat. Da kann man zwar ganz tolle Designs auswählen, Bilder- und Textrahmen frei platzieren und vieles mehr. Was aber nicht geht, ist ein Bild so ein dem Bild-Rahmen zu platzieren, dass es eingepasst wird. Die Software besteht darauf, den Rahmen zu füllen und dadurch das Bild abzuschneiden.

Also machte ich mich auf die Suche nach einem alternativen Anbieter, doch die allermeisten hatten das gleiche Problem oder es gab andere Probleme: Die Kalenderformate waren ungeeignet oder fertig entworfene Kalender verschwanden beim Speichern. Sogar der Photoladen vor Ort arbeitet mit einer Kalender-Design-Software mit dem gleichen Manko und konnte die Bilder nicht einmal ohne Zuschnitt entwickeln. Zuletzt habe ich mich dann einen verlängerten Abend lang hingesetzt und mit LaTeX und Perl mein eigenes Design gemacht, um dann die erzeugen PDF-Dateien bei einer „richtigen“ Druckerei drucken zu lassen.

Aber eigentlich wollte ich ja etwas anderes erzählen:

Bei einem der Anbieter (Nennen wir ihn, um ihm den Spott zu ersparen, kurzschlussverlag.de. In echt firmiert er unter einem halben Dutzend verschiedener Namen im Internet.) waren die Kalender-Entwürfe weg, sobald ich sie im Flash-Designer speichern wollte. Das äußerte sich darin, dass der Web-Browser eine Weile läd und irgendwann einfach nichts mehr macht. Dabei enthielt die URL-Zeile einen Eintrag, der ungefähr so aussieht (der Lesbarkeit halber auf mehrere Zeilen aufgeteilt):

http://shop.kurzschlussverlag.de/cgi-bin/r40msvcshop_beleg_detail_anzeigen.pl?
  var_hauptpfad=../r40/vc_kurzschluss/&
  var_datei_selektionen=20091222/12913721974b3118f19322eb.dat&
  var_html_folgemaske=frontend_login_aus_flash_opener.html&
  var_te46_uebergabe=J&
  var_te40_uebergabe=2&
  var_variable_uebergabe5=2&
  var_variable_uebergabe3=../r40/vc_kurzschluss/public/firma2/pdf_files/vcmedia_lq/124898.pdf 

Dabei machte mich vor allem der letzte Parameter neugierg. Ins Blaue hinein rief ich die Seite

http://shop.kurzschlussverlag.de/r40/vc_kurzschluss/public/firma2/pdf_files/vcmedia_lq/124898.pdf

auf und siehe da: Eine PDF-Vorschau meines Kalenders, mit etwas verpixelten Bildern, war zu sehen. Wer nun, wie ich, diese URL aufmerksam betrachtet kommt vielleicht auf die Idee, auch andere Nummern im Dateinamen der PDF-Datei zu probieren. Und siehe da: auch 124899.pdf, 124900.pdf und 124901.pdf waren Photo-Kalender – nur eben nicht meine! Der direkte Zugriff auf diese Dateien ist völlig ungesichert, und die Nummern werden sequentiell vergeben. Es ist eigentlich überflüssig zu erwähnen, dass ein solches Leck bei sensiblen Daten wie privaten Photos ein großes Problem ist! Vor allem auch, da die Kalender und andere Photo-Produkte zum Teil mit Texten versehen sind, die Rückschlüsse zur Identität der abgebildeten Personen zulassen. Man findet etwa das Facebook-Profil einer frisch verheirateten Frau, die anscheinend ihrem Mann (und sicherlich nur ihrem Mann) einen Kalender mit Bildern von sich schenken wird und deren Spitzname auf dem Kalender-Titelbild auftaucht.

All dies passierte letzten Mittwoch. Ich schrieb eine e-Mail an den Verlag und wies auf das Problem hin. Am nächsten Morgen bekam ich eine kurze Antwort mit einem Dank für den Hinweis. Man werde sich nach Rücksprache mit den Entwicklern erneut melden. Am Montag dann eine e-Mail, dass die Entwickler eine Lösung gefunden habe (die Dateien sollen mit einer zufälligen Zahl geschützt werden) und diese am Mittwoch, also heute, produktiv eingesetzt werden soll – noch ist das nicht der Fall, ich werde das prüfen.

Mehr als ein kurzer Dank in einer e-Mail war dem Verlag der Hinweis nicht wert. Einen Anspruch habe ich natürlich nicht darauf, aber eine kleine Aufmerksamkeit, etwa in Form eines Warengutscheins, für das diskrete Vorgehen wäre doch angemessen, oder? Was für Erfahrungen haben denn andere gemacht, die deratige Hinweise an Website-Betreiber gaben? (Ich vermute dass dies bei einigen Lesern dieses Blogs schon vorgekommen sein könnte.)

Nachtrag: Gerade eben finde ich heraus, dass die verwendete Shop-Software keine Eigententwicklung des „Kurzschlussverlags“ ist, sondern von einer anderen Firma gekauft und auch von dieser gehostet wird. Auf deren Website findet sich dann auch eine Liste von weiteren Websites, die mit der fraglichen Software arbeiten und auch andere Produkte wie etwa Grußkarten oder Hochzeitszeitungen anbieten. Und auch hier kann man auf diesem Wege die Bestellungen anderer Kunden betrachten. Alles sehr bedenklich.

Comments

Das ist natürlich sehr unschön, die Geschichte. Das sinnvollste wäre mMn, Druck auszuüben durch Presse oder Organisationen wie CCC oder netzpolitik.org.

Noch was: Bevor das ganze gefixt ist, würde ich das ja so verklausuliert formulieren, dass man nicht sofort rausbekommt, wer der Anbieter ist. Nicht um den Anbieter zu schützen, aber die Kunden, die dort bestellt haben. Das ist bei Deinem Blogeintrag leider nicht der Fall ...

Gruß,
alech
#1 alech (Homepage) am 2009-12-23T22:51:44+00:00
Hmm, ich hab den Namen extra geändert, aber wohl nicht kreativ genug – oder was war der Fehler?
#2 Joachim Breitner (Homepage) am 2009-12-23T22:59:51+00:00
Nein, der Name war's nicht, aber man gut nach den Parametern googlen :-/
#3 alech (Homepage) am 2009-12-23T23:19:52+00:00
In der Tat. Wie kommt denn Google an die Adressen – hat etwa der Google Spider seiner heimlichen Liebe Bing einen erotischen Kalender entworfen? Mit acht nackten Beinen...
#4 Joachim Breitner (Homepage) am 2009-12-23T23:47:23+00:00

Have something to say? You can post a comment by sending an e-Mail to me at <mail@joachim-breitner.de>, and I will include it here.