Don Alphonso haut zur Zeit so richtig drauf auf StudiVZ. Ich kenne einige aus meinem Bekanntenpreis, die auf dieses Verzeichnis voll abfahren. Da ich mich aber für den ganzen Social-Kram nicht wirklich begeistern kann, hab ich da nicht mal einen Account und kann mich daher entspannt zurücklehnen und das gegenseitige Hauen und Stechen aus der Statler&Waldorf-Loge beobachten – und kommentieren.

Wenn ich mir allein den HTML-Quelltext so anschaue, den StudiVZ da geklautgeschrieben hat, stellen sich mir alle Zehennägel auf. Inline-CSS, hoffnungslos veraltetete Tags wie <center>, da würde es mich nicht wundern, sollte auch das php-Grundgerüst und Sicherheitskonzept eher, hm, Hinterhofniveau haben. Beweisen kann ich es freilich nicht. Ist mir aber primär auch egal.

Und nur weil andere „große Anbieter� wie flickr und eBay das mit den angeblich zufälligen Buchstaben-Zahlenkombinationen auch nutzen, macht das ganze primär nicht besser. Ich finde es nachgerade peinlich, wenn man sein eigenes Sicherheitskonzept mit dem Hinweis auf andere verteidigen muss.
In dem Zusammenhang fällt mir ein, das flickr Bilder gegen Download durch das Überlagern mit einem transparenten Gif-Bildchen „schützt�. Die Anführungszeichen deswegen, weil das natürlich kein wirklicher Schutz ist. Der zu beitreibende Aufwand, um an dieses Bild zu kommen, ist gering. Wer verhindern will, das seine Bilder, die er ins Netz stellt, von irgend jemandem lokal gespeichert werden, hat sowieso nur eine Möglichkeit: Nicht online stellen. Interessant in dem Zusammenhang ist eigentlich eher ein älterer Beitrag von Johnny und die Diskussion bei flickr. Da können sich die StudiVZ-Jungs noch einige Scheiben abschneiden.

Bei Don stapeln sich derweil die Kommentare und die Vorschläge, die da zur Lösung kommen, sind manchmal schon wunderlich. Da hat wer nicht zu Ende gedacht. Sieht man mal von den Tippfehlern ab, dann kann das nicht funktionieren. Die Anfrage nach den Bildern stellt nämlich nicht irgendein StudiVZ-Server, sondern der Browser. Und der hat irgendeine IP. Mit diesen Deny-Allow-Einstellungen würde man den Server mal richtig dichtmachen. Bilder willst du sehen? Dann musst du ins Rechenzentrum von StudiVZ, denn nur die Rechner aus dem StudiVZ-IP-Pool dürfen das. Lösungen, die auf irgendwelche Referer-Spielchen setzen, sind darüber hinaus genauso wenig geeignet.

Dabei wäre die Lösung so einfach. Man nehme etwas Wissen über Webserver, etwas Scripsprache, etwas Datenbank, vielleicht etwas Verschlüsselung, mixe das mit mod_rewrite, rühre gut um und fertig.
Und so macht man dann aus http://www.meinserver.de/MjQ2NXwz9sDEYdmX6q5M451GtySh/DTTkZAQu.jpg einfach http://www.meinserver.de/image.php?valid=MjQ2NXwz9sDEYdmX6q5M451GtySh&id=DTTkZAQu, prüft den Zeitstempel, den man in ‘valid’ verschlüsselt transportiert, sowie mögliche Berechtigungen zum Anzeigen des Bildes und liefert dann das Bild, welches außerhalb des eigentlichen DocumentRoot abgelegt und mittels Scriptsprache angezeigt wird, aus. Oder eben nicht.

Dafür braucht es etwas mehr Serverleistung, dafür wären dann private Bilder aber auch wirklich privat. Vielleicht sollte ich mir die Idee patentieren lassen…