git.marmaro.de Git - krt-msg/blob - 2012-12-16T23:30:18.00Z.msg

   1 From: Boris Kraut <krt@nurfuerspam.de>\r
   2 Date: Mon, 17 Dec 2012 00:30:18 +0100\r
   3 Category: \r
   4 Message-ID: <20121217003018.pdIR6U@silberbruch>\r
   5 Organization: \r
   6 Keywords: \r
   7 Comments: \r
   8 To: undisclosed-recipients: ;\r
   9 Subject: [.plan] PHacebook\r
  10 \r
  11 Mir wird ja ein Hang dazu nach gesagt, dass ich so lang auf Hard-\r
  12 und/oder Software rumdruecke, bis sie entweder kaputtgespielt ist\r
  13 oder zumindest unvorhersehbare Dinge passieren. Fuer die ZIM-Ver-\r
  14 anstaltungen habe ich mal eine harmlose Version erstellt, wo denn\r
  15 so private Daten anfallen und wie man die dann kombinieren koennte.\r
  16 \r
  17 Dabei bin ich mal wieder von den Scripting Moeglichkeiten der Power-\r
  18 shell und der IE-Automatisierung sehr angetan gewesen. Webseiten\r
  19 scrapen oder schnell ne LDAP-Anfrage? Fast ein Einzeiler..\r
  20 \r
  21 Sorry, dass ich die interessanten Teile hier rauslasse. Ich bin mir\r
  22 nicht so wirklich sicher, ob das a) mit der Nutzerordnung *hust*\r
  23 vereinbar ist und b) ob ich das gut finden soll. Ich will nicht\r
  24 in anderer Daten rummuellen. Natuerlich ist alles nach dem Vortrag\r
  25 wieder geloescht worden. Die Studis selbst waren davon eher un-\r
  26 beeindruckt. Entweder sie hoffen auf das "das wird schon keiner\r
  27 machen" Argument oder sie sind sich der Tragweite von Matrikel-\r
  28 nummern usw. nicht bewusst.\r
  29 \r
  30 Hier der Text:\r
  31 \r
  32 \r
  33 Die Benutzerverzeichnisse sind nach den Accountnamen benannte; ihr\r
  34 Oberverzeichnis ist fuer Nutzer lesbar, was uns eine naeherungs-\r
  35 weise Liste aller studentischen Accounts gibt.\r
  36 \r
  37 \\kampfs01\stud\\r
  38 smb://kampfs01/stud/\r
  39 \r
  40 Eine vollstaendige Liste erhalten wir direkt vom AD mit einer Suche\r
  41 nach allen Nutzer/User-Objekten:\r
  42 \r
  43 ldap://ka.ph-bw.net/dc=ka,dc=ph-bw,dc=net\r
  44 (&(objectCategory=person)(objectClass=user)(sAMAccountName=*ka))\r
  45 \r
  46 StudIP stellt uns neben dem Profil auch noch einen Direktdownload\r
  47 einer vCard zur Verfuegung -- zumindest bei sichtbaren Profilen:\r
  48 \r
  49 https://elearn.ph-karlsruhe.de/studip/about?username=\r
  50 https://elearn.ph-karlsruhe.de/studip/contac_export.php?username=\r
  51 \r
  52 Da diese vCard zwar -- falls angegeben -- die private Telefon- \r
  53 und/oder Handynummer sowie die Privatadresse, aber leider nicht\r
  54 alle Informationen aus dem Profil enthaelt, muessen wir zusaetzlich\r
  55 das  Profil scrapen. Insbesondere ist beispielsweise das Benutzer-\r
  56 bild interessant. Es ist das Bild, dessen Adresse mit folgender\r
  57 URL beginnt:\r
  58 \r
  59 https://elearn.ph-karlsruhe.de/studip/pictures/user/\r
  60 \r
  61 Der sog. "globale Status" laesst sich nicht im Profil nachschauen,\r
  62 sondern nur ueber die Personensuche. Eine automatisierte Suche kann\r
  63 so dazu genutzt werden, um den Account einem Studenten (mit dem\r
  64 Status "author" bzw. "tutor") oder einem Dozenten (mit dem Status\r
  65 "dozent") zuzuordnen. Auch der Status "admin" ist moeglich.\r
  66 \r
  67 https://elearn.ph-karlsruhe.de/studip/browse.php?\r
  68 \r
  69 Zusaetzliche Informationen -- z.B. eMail-Aliase -- bzw. Informationen\r
  70 zu in StudIP unsichtbaren Nutzern liefert wie oben direkt der AD-\r
  71 Server. Bei Bedarf kann man mit etwas Aufwand auch weitere\r
  72 Informationen *hust* daraus auslesen.\r
  73 \r
  74 Weitere Optionen, die etwas mehr Handarbeit benoetigen, sind:\r
  75 \r
  76 Matrikelnummern von Studierenden sind im AD gespeichert, aber nicht\r
  77 fuer alle Nutzer sichtbar. Sie koennen aber leicht aus Fehl- bzw.\r
  78 vergessenen Drucken der Studierenden oder Anwesenheitslisten und\r
  79 Aushaengen nicht datenschutzrechtlich aufgeklaerter Dozenten ge-\r
  80 wonnen werden.\r
  81 \r
  82 Mit den Matrikelnummern koennen aus Klausuraushaengen die jeweiligen\r
  83 Noten abgelesen werden.\r
  84 \r
  85 Ueber den Account und dessen Profil bzw. ueber den AD-Server bekommt\r
  86 man auch Vor- und Nachnamen. Diese kann man fuer eine automatisierte\r
  87 Suche auf Facebook nutzen. Die Entscheidung, ob bzw. welches Ergebnis\r
  88 zur Suche gehoert, ist -- ohne groesseren Aufwand -- nicht maschinell\r
  89 zu treffen; es muss also der Anwender aktiv werden.\r
  90 \r
  91 http://de-de.facebook.com/search.php?q=VORNAME+NACHNAME\r
  92 \r
  93 Das Speichern der Profil-URL in der vCard bzw. des kompletten Profils\r
  94 laesst sich dann wieder Scripten. Ggf. ist es ratsam vorher auch\r
  95 automatisiert eine Freundschaftsanfrage zu senden und das weitere\r
  96 Auslesen des Profils ein paar Tage nach hinten zu verschieben. Dann\r
  97 kann man daraus Bilder und weitere Informationen gewinnen.\r