Persönliche Nachrichten gehören verschlüsselt!

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Benutzeravatar
tas2580
Ehemaliges Teammitglied
Beiträge: 3029
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von tas2580 »

Tobias Claren hat geschrieben:Mal sehen ob ich da genau so schnell Antwort erhalte, wie anscheinend denen geholfen wird, die PNs lesen wollen. Und sei es nur die (hoffentlich wahre!) Antwort dass es da immer noch nichts gibt
Wie ich und andere dir ja in dem anderen Thema schon geschrieben haben, gibt es das nicht und wird es auch in Zukunft nicht geben.
Die Gründe dafür wurden hier und im anderen Thema mehrmals genannt.

Glaube mir ich würde auch gerne PNs verschlüsseln. Ich nutze schon HTTPS auf allen meinen Webseiten und PGP für meine E-Mails, selbst Mails die über das Kontaktformular meiner Webseite gesendet werden verschlüssel ich mit PGP. Wer mit mir per Jabber Chatten will kann das gerne über OTR machen. Wie du siehst ich versuche zu verschlüsseln wo es geht. Bei PNs geht es aber halt mal nicht, zumindest nicht ohne Browser Plugins und Key Austausch. Wenn du eine Möglichkeit findest wie es theoretisch möglich ist das 2 Benutzer des Forums die sich nicht kennen sicher verschlüsseln können, lass es mich wissen und ich schreibe sofort eine Extension die das umsetzt.

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi
My1
Mitglied
Beiträge: 2
Registriert: 17.09.2015 14:01

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von My1 »

ich dreh den spaß nochmal auf, da man überall alles mögliche liest und bevor mir jemand mit "benutze die suche" kommt wenn ich ein neues topic öffne mache ich hier einfach weiter.
(ich habe alle seiten Mühsam gelesen, sofern es ging)
ich befasse mich momentan mit dem Thema PNs lesen durch admins etc. dessen legalität, pflicht etc.

man sieht es ja oft dass Betreiber für die Inhalte der User Verantwortlich gemacht werden (prominentest beipiel: youtube vs GEMA) und der Störerhaftung, Prüfungspflicht und so weiter. die Frage ist ob diese auch in den PNs Zutrifft.

Es ist ja leider so dass die guten (oder auch nicht) alten abmahnanwälte immer nach möglichkeiten suchen abzumahnen, die frage ist nur wie macht man es richtig, das Problem Datenschutz vs störerhaftung ist ein kompliziertes Thema.

Übrigens um das mit dem verschlüsseln in der DB mal in einen vergleich zu bringen und vielleicht einen Anblick der MÖGLICHEN (oder auch nicht, keine Ahnung) Legalität uz Bringen, das verschlüsseln rein auf dem Server wo der Key auch in der DB irgendwo liegt (bzw liegen muss) ist in etwa vergleichbar mit du verschließt eine Tür lässt aber den Schlüssel stecken, mit anderen worten, man kann es gleich lassen.
Der Vergleich mit dem CSS der DVDs hinkt ein bisschen, denn selbst wenn das verfahren sehr schwach ist nutzt es immer noch Schlüssel die nur den Playern und den Erstellern bekannt sind (zumindest bis man diese generieren konnte, aber der Punkt ist dass dies nicht komplett das Schlüssel im schloss prinzip ist, sondern quasi der Schlüssel in einem Tresor neben der Tür liegt)

Was wiederum eine KLEINE echte Hürde wäre, wäre wenn der PN key in einer Zugriffgeschützten Datei auf dem Server liegen würde oder wenn ein keyserver die PNs entschlüsselt, weil dann reiner DB Zugriff nicht reicht um die Daten zu entschlüsseln, sondern man halt mehr zugriff benötigt (den man als Besitzer des Forums zwar auch hat aber nicht jeder DB-Verwalter könnte das zeug lesen).

Wäre es nicht ggf rechtlich klüger die PN Funktion durch ein E-Mail Relay zu ersetzen, wo im Prinzip die nachricht direkt per mail an das Ziel gesendet wird? das hat vor Allem den Vorteil, dass überhaupt nichts gespeichert wird, und sachen die nicht gespeichert werden kann man nicht prüfen geschweige denn die Privatsphäre verletzen. (Ich bin kein Anwalt und daher habe ich keine Ahnung es ist nur eine Idee die ich in den Raum geworfen habe)
Benutzeravatar
gn#36
Ehrenadmin
Beiträge: 9313
Registriert: 01.10.2006 16:20
Wohnort: Ganz in der Nähe...
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von gn#36 »

Man wird wohl kaum davon ausgehen müssen, dass PNs geprüft werden müssen, denn sie kann nicht gleichzeitig dem Fernmeldegeheimnis unterliegen und gleichzeitig Prüfungspflichten. Das schließt sich imho gegenseitig aus. Entweder ich darf sie ansehen, dann muss ich evtl. irgendwas prüfen, oder ich darf nicht (aber dann kann ich logischerweise auch nichts prüfen). Was Abmahnanwälte angeht würde ich auch sagen, dass es vermutlich lukrativere Fehltritte gibt. Denn das ist ja soweit ich weiß vor allem ein strafrechtlich relevanter Verstoß, nicht zivilrechtlich wie z.B. bei Verstößen gegen das Urheberrecht. Und selbst wenn die unrechtmäßig überwachten zivilrechtliche Ansprüche gegenüber dem Admin geltend machen können wäre es ja viel schwieriger einen Verstoß nachzuweisen als bei Urheberrechtsverstößen, bei denen ein unerlaubtes Bild auf der Webseite gefunden wird o.ä., also wäre das viel weniger lukrativ.

Eine echte Hürde wäre auch die Datei mit Schlüssel nicht, denn um an die Datenbank zu kommen brauchst du in der Regel Serverzugriff. Ob du dann auf ne Datei zugreifst um den Schlüssel auszulesen oder den aus der DB liest ist egal. Ja, in manchen Fällen kann man nur auf die DB zugreifen, aber eine richtige Hürde ist das nicht. Wenn für alle PNs der gleiche Schlüssel verwendet wird kann man den evtl. auch aus den PNs bestimmen ohne die Datei zu kennen, wenn es genügend PNs gibt.

Helfen würde da nur asymmetrische Verschlüsselung mit Passwortabfrage, also z.B. ein PGP ähnliches Verfahren. Nach dem Versenden wird die Nachricht mit einem symmetrischen Schlüssel verschlüsselt, dieser Schlüssel wird dann mit dem öffentlichen Schlüssel eines Users verschlüsselt. Braucht aber auch wieder einen Privaten Schlüssel und da ist die Frage was man damit macht. Den kann man natürlich auf den Server legen und mit einem Passwort sichern, besser wäre es aber das nicht zu tun sondern den Schlüssel auf dem Rechner des Users abzulegen. Das ist dann aber für den wiederum umbequem, weil der nicht nur bei jedem Zugriff ein Passwort eingeben muss, sondern auch noch die passende Schlüsseldatei zur Verfügung haben muss.

Was das E-Mail Relay angeht: Ja, wenn man die Nachricht nicht auf dem Server ablegt kann man auch nicht illegal darauf zugreifen. Aber dafür opfert man auch wieder Komfort: E-Mails unterstützen keine vernüftigen Formatierungen, keine eingebetteten Videos oder sonstigen Schnickschnack (ja es gibt HTML in E-Mails, aber das gibt einem trotzdem keine eingebetteten Videos und ist außerdem eh keine gute Idee und imho schlechter Stil). Wenn du bereit bist den Komfort der PN zu Opfern kannst du natürlich PNs auch durch ein Mail Relay ersetzen.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
My1
Mitglied
Beiträge: 2
Registriert: 17.09.2015 14:01

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von My1 »

ja dass beides nicht gleichzeitig geht ist klar aber man liest überall etwas anderes mit anderen Mehr oder weniger sinnvollen Begründungen
das Problem ist nun, was ist richtig prüfen oder datenschutz?

Serverzugriff braucht man in der Regel nicht unbedingt es gibgt ja extra phpmyadmin und so was einem ja ne Weboberfläche gibt.

was die keyfile and geht, ja klar wo ein wille da ein weg, aber es ist auf jeden fall nicht so einfach wie direkt neben die PN, weil wenn man sagt, die datei darf nur root und der webserver anfassen dann haben alle ohne root nicht mehr viel zu reden, beispielsweise, man kommt mit methoden vlt immernoch ran aber das ist eben nicht ganz so wie der Schlüssel im Schloss.

das PGP ähnliche verfahren stimme ich zu zu viel aufwand sowohl auf user wie auch auf adminseite.
Das man nun Probleme als Admin bekommt (in Form von schwindenden Usern) wenn man den usern sagt dass es theoretisch möglich ist, kann ich mir gut vorstellen, da den meisten usern nicht bekannt ist dass es schon "etwas" aufwändiger ist (zumindest ohne mod) an die PNs zu kommen, man muss halt die DB durchforsten uids herausfinden etc. und eben dem Fakt das so ziemlich JEDE Forensoftware das so handhabt und alles andere das Gute alte Snakeoil ist, außer man hat nun wirklich eine userseitige verschlüsselung, wovon ich aber aus usability und kompatibilitätsgründen (Javascript und mobiles Internet, ein grund warum ich die überscripteten seiten hasse) eher ausweiche
Benutzeravatar
Talk19zehn
Ehemaliges Teammitglied
Beiträge: 4909
Registriert: 08.06.2009 12:03
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von Talk19zehn »

Nun, die Frage nach Theorie und Praxis stellt sich im Grunde nicht. Was du hier in diesem Thema wiederkehrend und in den Ausführungen und Argumenten von gn#36 nachlesen kannst.

Deine erneute Diskussion kann m.E. nur nach Kenntnis einer Störerhaftung relevant sein. Auf welches Urteil beziehst du dich denn?

Grüße
Beste Grüße
phpBB3 Designs: Stylearea Ongray-Designs
Benutzeravatar
gn#36
Ehrenadmin
Beiträge: 9313
Registriert: 01.10.2006 16:20
Wohnort: Ganz in der Nähe...
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von gn#36 »

Ich sage nicht dass die Maßnahme völlig unsinnig ist, aber die Frage ist ob es bessere Dinge gibt die man zur Absicherung tun kann.

Noch als Ergänzung was das lesen dürfen oder nicht angeht: http://www.law-podcasting.de/darf-ein-f ... user-lesen

Das sollte diesen Punkt ziemlich eindeutig klären.

Wenn du phpMyAdmin nutzt hast du aber Vollzugriff auf die Datenbank. Jede Absicherung der Daten dient ja im Grunde dem verhindern unbefugten Zugriffs. Der Admin ist zwar auch nicht befugt zu lesen, aber kann nahezu jede beliebige Hürde umgehen, abgesehen von asymmetrischen Schlüsselpaaren oder vollständiger Ende-zu-Ende Verschlüsselung vielleicht. Ich würde daher bei der Absicherung der Daten den unbefugten äußeren Zugriff betrachten, nicht den Fall dass ein Admin was tut was er nicht soll. Vollzugriff auf ein System bedeutet Macht, und die muss man in verantwortungsvolle Hände legen. Zugriffsprotokollierungen sind gegen eigene Admins würde ich sagen ein ähnlich sicheres Mittel wie das was du vorschlägst.

Wenn ein Unbefugter Zugriff auf die Datenbank hat hast du schon ziemlich verloren. Ja, Aufteilung auf zwei Speicherorte bringt ein bisschen was an Sicherheit, aber ob der minimale Gewinn es wert ist so viel zusätzlichen Aufwand zu treiben? Andersrum bekommst du nämlich praktisch keinerlei zusätzliche Sicherheit: Wer irgendwie Zugriff auf die Dateien bekommt kann sich mit großer Sicherheit auch Zugriff auf die DB verschaffen (im Zweifel indem er entsprechend ein paar Dateien manipuliert oder ergänzt die ihm Zugriff geben, oder indem er auch die config.php ausliest und damit dann Zugriff über phpMyAdmin o.ä. auf die DB bekommt). Vielleicht ist es besser die Zeit für den Umbau auf Verschlüsselung in die grundsätzliche Härtung gegen Zugriffe von außen zu investieren, das schützt die Daten indem sie gar nicht erst geklaut werden statt dem Hacker etwas mehr Denkarbeit abzuverlangen, falls er sie in die Finger bekommt...
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Jobsti
Mitglied
Beiträge: 42
Registriert: 05.02.2010 04:59

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von Jobsti »

Ich habe mir jetzt aus Interesse den Podcast angehört, war alles ziemlich logisch und mehr oder minder vorher klar.


Jetzt aber dennoch Fragen zum Thema:
- Der Admin (oder wer anders) bietet z.B. Unterlagen (PDF etc.) zum Kauf an, in welchen auch steht, dass diese nicht verteilt/kopiert werden dürfen.
Hierbei könnte es sich ebenfalls um andere nicht rechtens verteile Inhalte handeln, z.B. Musiktitel.
Sollten diese per PN verteilt werden, liegt u.a. eine Verletzung des Urheberrechts vor

Gilt dies als Verdacht einer Rechtsverletzung und der Admin darf daraufhin PN vom betroffenen Nutzer durchforsten?
Meine Vermutung sagt: Ja.

• Wie schaut es aber nun aus, falls man z.B. einen Filter hat, welcher bei bestimmten Schlagworten oder Anhängen
den Admin darauf hinweist, dass in geprüfter PN evtl. ein Verstoß vorliegt?
Sprich der erste Punkt als automatisiertes Hinweissystem.
Vorteil: der Admin könnte BEVOR er die PN anschaut den Nutzer um Erlaubnis fragen. (Wobei der Nutzer die PN dann sicherlich sofort löschen würde)
Mein Forum, seit 2009 mit PHPBB
Benutzeravatar
Dr.Death
Moderator
Moderator
Beiträge: 17395
Registriert: 23.04.2003 08:22
Wohnort: Xanten
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von Dr.Death »

Nein, auch wenn die PN nicht verschlüsselt sind darfst du als Admin/Betreiber nicht hineinschauen, außer Du wirst vom Gericht dazu verdonnert. Punkt. (Siehe bei Interesse auch § 88 TKG)
Benutzeravatar
BNa
Valued Contributor
Beiträge: 3169
Registriert: 12.04.2010 23:51
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitrag von BNa »

Es lebe die Paranoia :wink:
Antworten

Zurück zu „Community Talk“