Permalink

7

Aus der Rubrik „Unnützes Wissen“ – Pre-Publish-FTF

Vor rund einem Jahr steckte ich mit einigen anderen Geocachern aus Münster und der Region mitten in den Vorbereitungen zum großen Cache Rallye-Event (GC3CRM2), welches im Juni 2012 in Münster stattfinden sollte. Im Januar und Februar erstellten wir das Listing und sprachen dieses und jenes mit dem zuständigen Reviewer ab. Unter anderem auch den Publish-Termin. Standardmäßig schrieben wir dazu den gewünschten Termin vorab in eckige Klammern in den Titel des Cache-Listings. Dabei fiel uns allerdings erstmals eine Besonderheit auf, die zuvor niemand von uns jemals beachtet hatte: der Cachetitel des unveröffentlichten Listings erschien komplett in der Kurzübersicht der fünf zuletzt betrachteten Cache-Listings („Recently viewed caches“) auf der ersten Profil-Seite. Zwar mit einem roten Ausrufezeichen versehen, aber halt sichtbar.
Schnell probierten wir, ob dies auch von anderen Profilen aus zu sehen sei. Dabei stellten wir fest, dass jedes unveröffentlichte Listing bei Kenntnis des GC-Codes, der ID oder GUID so „aufgerufen“ werden kann. Nicht nur eigene Listings.
Wir änderten den Titel des Event-Listings daraufhin wieder ab und nahmen das Datum heraus, da der Publishtermin geheim bleiben sollte.

„Bug-Report“ an Groundspeak

Aber diese „Entdeckung“ ließ mich nicht los und ich fragte mich, ob dies nicht ein Fehler seitens Groundspeak sei. Ich war dann mal so frei und schrieb die Damen und Herren in Seattle an, um ihnen meine Entdeckung mitzuteilen. Vielleicht war diese Tatsache dort ja noch nicht bekannt. Die Einführung der „Recently viewed caches“ (Mitte Januar 2012) lag ja noch nicht allzu lange zurück. Als Antwort erhielt ich folgende Mitteilung:

Hello Jens,

Thank you for contacting Groundspeak. We are aware of this result on the „Recently viewed caches“ and at this time we are not too concerned about it. The reason being that the coordinates are not posted and thus people cannot go and search for the disabled/unpublished caches seen in the „recently viewed caches“.

If you have any questions or concerns, please reply.
Best regards,

Bethany

Community Relations Specialist

Mit dieser Antwort aus Seattle gab ich mich (ausnahmsweise mal) zufrieden und legte das Thema erstmal beiseite.

Ein neuer Cache … neue Entdeckungen

Gemeinsam mit einem anderen Geocacher-Kollegen legte ich dann im Sommer 2012 einen Multi-Cache an und dabei entdeckten wir wieder etwas, dass uns beiden zuvor nie aufgefallen war. Beim Aufruf der „richtigen“ Seite mit den „Recently viewed caches“ kann man sich die 50 zuletzt betrachteten Cache-Listings anschauen kann. Dazu erhält man zahlreiche Infos zu dem jeweiligen Cache, die man auch aus vielen anderen Cache-Listen kennt: Cache-Owner, GC-Code, D-T-Werte, (Bundes)-Land, Anzahl der Favoritenpunkte und wann der Cache versteckt bzw. zuletzt gefunden wurde.
Wie in den normalen Cache-Listen, zum Beispiel der „Nearest List“,  sieht man dort allerdings auch eine Entfernungs- und Richtungsangabe, welche den Abstand der eigenen Home-Koordinaten zum Cache darstellt. Diese Tatsache war uns natürlich nicht neu, interessant war allerdings, dass dies auch für unveröffentlichte Cache-Listings gilt.
Unser neues Multi-Cache-Listing erschien dort nämlich auch. Wieder durchgestrichen und mit einem roten Ausrufezeichen versehen. Und die Entfernungs- und Richtungsangabe zu den Home-Koordinaten des Cache-Owners stimmten, zumindest gefühlt, exakt.
In diesem Zusammenhang kamen wir erstmals auf die Idee, dass man so theoretisch einen unveröffentlichten Cache finden könnte. Natürlich nur, wenn es sich um Tradis und eventuell Multi-Caches handelt. Man müsste halt nur die Home-Koordinaten soweit anpassen, dass sie denen des unveröffentlichten Caches gleichen.

Der erste Test

Einige Monate später preiste irgendjemand in einer Geocaching-Gruppe bei Facebook einen neuen, offenbar grandiosen Cache an, der allerdings noch nicht veröffentlicht war. Da auch der GC-Code genannt wurde, probierte ich einfach mal mein Glück und gab den GC-Code in den Browser ein. Natürlich bekam ich die übliche Fehlermeldung von Goundspeak, dass der Cache noch unveröffentlicht sei. Daraufhin begab ich mich auf die Seite meiner „Recently viewed caches“ und erblickte dort alle oben genannten Daten zum zuvor aufgerufenen, unveröffentlichten Cache-Listing … auch die Entfernungsangaben.
Spaßeshalber passte ich dann meine Home-Koordinaten an, bis letztlich der Richtungspfeil und die Entfernungsangabe in den „Recently viewed caches“ zu diesem Listing einem „Here“ wichen. Somit hatte ich nun die auf 10 Meter genauen Koordinaten eines neuen, unveröffentlichten Caches in der Hand. Diese verglich ich einige Tage später mit den Koordinaten des inzwischen veröffentlichten Caches. Und sie stimmten nahezu genau.

Ein Mystery-Cache zu dem Thema

Diese Thematik setzte ich Anfang Oktober 2012 in einen eigenen Mystery-Cache um. Hier galt es das Listing eines unveröffentlichten Caches aufzurufen, um dann über die „Recently viewed caches“ und die Home-Koordinaten-Annährung die finale Dose zu finden.
Der Erstfinder verblüffte mich dann allerdings mit seinem eigenen Lösungsweg. Er nutzte keineswegs meine (umständliche) Methode der Anpassung der Home-Koordinaten, sondern eine viel direkterer: über die „Geocaching Challenges“.
Er ging dabei so vor: Nachdem er den zunächst gesuchten GC-Code ermittelt hatte, fügte er ihn in die Sucheingabe der „Challenges“ ein. Dort konnte man GC-Codes eingeben, um „Challenges“ im Umkreis des zugehörigen Caches zu finden. Nach der Eingabe und einem Klick auf Enter wurde zahlreiche Challenge-Ergebnisse im Umkreis des zugehörigen Caches angezeigt. Aber ebenso wurde dort der zuvor eingegebene GC-Code angezeigt und zwar mit (!) den zugehörigen Koordinaten. Und das funktionierte auch bei GC-Codes unveröffentlichter Cache-Listings.

So war es extrem einfach einen Cache zu suchen, dessen GC-Code man kannte, der aber zum Beispiel noch in der Warteschleife hing. Zumindest theoretisch. In der Praxis habe ich das nie ausprobiert.
So hatten die Challenges wenigstens eine gute Seite. 😉

Das Ende dieser „Vorab-Spionage“

Leider fiel die letzte Methode durch die Abschaffung der „Challenges“ Ende 2012 weg. Aber der Weg über die Koordinaten-Annährung blieb zunächst bestehen.
Die Aussagen von Groundspeak, dass die Anzeige unveröffentlichter Cache-Listings in den „Recently viewed caches“ kein Problem darstelle, weil man ja keine Koordinaten ermitteln könne, war deshalb bis gestern noch falsch.
Mit dem Update der Webseite vom 8. Januar 2013 kann man sich nunmehr keine unveröffentlichten Listing-Details in den „Recently viewed caches“ anzeigen lassen.
Der Groundspeak-Lackey Moun10Bike äußerte sich auf Nachfrage eines Geocaches zu diesem Bugfix:

This bug was being heavily abused in certain circles in order to obtain the coordinates for unpublished caches. What possible value is there to seeing the names of and distances to unpublished caches other than this? (Quelle: Groundspeak Forum)

Ob man nun mit diesem Wissen wirklich etwas Sinnvolles anfangen konnte, wage ich mal zu bezweifeln. Aber ich finde es immer noch sehr interessant, welche kleinen „Lücken“ man immer mal wieder entdecken kann.

P.S.: Natürlich kann es sein, dass diese Tatsache schon hinlänglich bekannt war. Mir und vielen anderen war sie aber neu. 😉

Autor: ehnatnor | Jens

Hier schreibt "ehnatnor", im normalen Leben hin und wieder auch mit "Jens" ansprechbar, rund ums Geocaching in Münster. Das Ganze kann aber auch weitere Kreise ziehen ... Du findest mich auch bei Facebook, Twitter und Google+.

7 Kommentare Schreibe einen Kommentar

  1. Jetzt weiß ich warum Groundspeak die Challenges abgeschafft haben. Sie waren nicht in der Lage diese Sicherheitslücke zu schließen. 😉

    Spaß beiseite.

    Sicherlich wurde diese Lücke von einigen auch ausgenutzt. Das sind meistens die Zeitgenossen die sonst den ganzen Tag nichts anderes zu tun haben. Das würde den ein oder anderen (sehr schnellen) FTF-Log sicher erklären.

    • Um mit dieser Methode die schnellen FTF- Logs machen zu können, hätte man allerdings im voraus bereits die GC-Codes der Caches kennen müssen.
      Woher sollte man die kennen, wenn sie nirgendwo gelistet sind?

      • ehnatnor | Jens 9. Januar 2013 um 22:40

        Hallo alpharenntier,

        an solche GC-Codes ranzukommen ist nicht weiter schwer.
        Entweder man testet einfach alle aktuellen GC-Codes durch, also solche, deren Listings erst frisch angelegt wurden. Theoretisch kann man das auch mit einem Browser-Makro erledigen, welches ständig neue Listings aufruft. Während das Makro durchläuft kann man immer mal wieder die „Recently viewed caches“ kontrollieren, ob dort ein Exemplar in erreichbarer Ferne zu finden ist.

        Oder man bediente sich in den diversen Facebook-Gruppen und Foren, wo hin und wieder mal GC-Codes bzw. Links zu Listing verbreitet werden, um einen eigenen Cache anzupreisen, der gerade noch im Reviewprozess steckt.

        Wer also etwas gegen Langeweile suchte, war dabei wohl genau richtig. Aber damit ist ja spätestens seit gestern Schluss.

        Viele Grüße,
        Jens

    • ehnatnor | Jens 8. Februar 2013 um 02:10

      Hallo radlerandi,

      den Cache kannte ich noch nicht, aber im Rahmen meiner eigenen Cache-Archivierung habe ich von ähnlichen Mystery-Cache in Übersee gelesen.
      Bei dem Cache dürfte dann allerdings inzwischen auch Schluss sein, sofern nicht noch weitere „Hintertürchen“ gefunden wurden.

      Viele Grüße,
      Jens

      P.S.: Von verschiedenen Seiten hört man, dass es noch mind. zwei weitere Wege geben soll, an die Koordinaten unveröffentlichter Caches zu gelangen … 😉

      • Ich habs grad nochmal nachvollzogen so wie wir den vor ziemlich genau 1 Jahr gelöst haben: ist so nun nicht mehr lösbar. Wenn mich nicht täuscht, ist genau an dem Tag, als wir ihn lösten (20.1.12), die Funktion der 5 recent viewed Caches freigeschaltet worden. Und da bekam man plötzlich eine wichtige Info, bei der ich grad nicht weiß, wie man sonst an sie ran kommt. (die wird es aber bestimmt noch woanders geben)
        Aber muss ich ja auch nicht mehr wissen, denn zumindest einen komplett anderen Weg kenne ich. 🙂

      • Nun, bei jedem Update auf GC.com bangen wir, ob unser Cache weiterhin bestehen bleiben kann… Aber es gibt immer noch den einen oder anderen Bug, der noch nicht in allen Foren breitgetreten wurde… Und zur Zeit wissen wir, das er noch lösbar ist…

        Liebe Grüße aus Ratzeburg im Land zwischen den Horizonten

        Katrin und Gerwin