Persönliche Nachrichten gehören verschlüsselt!

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re:

Beitragvon nickvergessen » 02.02.2011 09:54

Unimatrix_0 hat geschrieben:Mir ist bei dem LawCast aufgefallen das die Meldefunktion in PNs auch nicht mit dem Recht übereinstimmt, da man ja nur die Einwilligung von einem der Benutzer hat und nicht von Sender und Empfänger.

Dann tut der Admin vllt gut daran wenn er der Meinung ist, dieses Recht einfach nicht zu vergeben. Denn dann können keine PNs gemeldet werden und schon hat man für sich das Problem nicht.
kein Support per PN

Hinnerk
Mitglied
Beiträge: 408
Registriert: 03.05.2005 13:17
Wohnort: Edewecht - Da wo der gute Schinken herkommt

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon Hinnerk » 02.02.2011 14:12

@ Unimatrix

Facebook like und Google… was auch immer du da meinst, stehen hier doch nicht zur Debatte und sind ja auch nicht Bestandteil von phpBB. Zudem ist mir nicht bekannt, dass Facebook like verboten ist. Im Übrigen: Findest du es ok., wenn etwas, was zwar hier in Deutschland verboten ist ins Ausland exportiert wird mit der Begründung, dass es dort legal ist? Finde ich äußerst verwerflich.
Ich glaube, hier wird jetzt mit Spitzfindigkeit versucht etwas gut zu reden, was weder gut noch Recht ist.

Hinnerk
Mitglied
Beiträge: 408
Registriert: 03.05.2005 13:17
Wohnort: Edewecht - Da wo der gute Schinken herkommt

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon Hinnerk » 02.02.2011 14:51

posaunen hat geschrieben:
Hinnerk hat geschrieben:Daher noch einmal meine Forderung an die phpBB-Entwickler: Entweder eine sichere Verschlüsselung der PN´s in zukünftige Versionen einbauen oder diese Funktion ganz herausnehmen.


Verlangst Du das von Deinem EMail-Provider eigentlich auch?

Tja, wer keine vernünftigen Argumente mehr vorbringen kann, weicht aus. Bei meinem E-Mail Provider ist es ganz klar. Liest da irgendein Mitarbeiter meine Mail mit, macht er sich genau so strafbar wie ein Postbote, der meine Briefe vor der Zustellung öffnet und liest. Der dürfte, wenn das herauskommt, seinen Job los sein. Außerdem erwartet ihn ein Gerichtsverfahren.
Ich verstehe nicht, dass hier nicht konkret zum Thema geantwortet werden kann und ständig ausgewichen wird. Bei solchen Antworten komme ich ins Grübeln und mache mir so Gedanken, die ich hier gar nicht auszusprechen wage. Kann mir denn keiner sagen, warum es sinnvoll sein könnte, die PN´s seiner Forenmitglieder verbotenerweise zu lesen? Außer spannen wollen fällt mir da nämlich gar nichts ein.

posaunen
Mitglied
Beiträge: 388
Registriert: 21.04.2004 20:05

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon posaunen » 02.02.2011 15:12

Hinnerk hat geschrieben:
posaunen hat geschrieben:
Hinnerk hat geschrieben:Daher noch einmal meine Forderung an die phpBB-Entwickler: Entweder eine sichere Verschlüsselung der PN´s in zukünftige Versionen einbauen oder diese Funktion ganz herausnehmen.


Verlangst Du das von Deinem EMail-Provider eigentlich auch?

Tja, wer keine vernünftigen Argumente mehr vorbringen kann, weicht aus. Bei meinem E-Mail Provider ist es ganz klar. Liest da irgendein Mitarbeiter meine Mail mit, macht er sich genau so strafbar wie ein Postbote, der meine Briefe vor der Zustellung öffnet und liest. Der dürfte, wenn das herauskommt, seinen Job los sein. Außerdem erwartet ihn ein Gerichtsverfahren.
Ich verstehe nicht, dass hier nicht konkret zum Thema geantwortet werden kann und ständig ausgewichen wird. Bei solchen Antworten komme ich ins Grübeln und mache mir so Gedanken, die ich hier gar nicht auszusprechen wage. Kann mir denn keiner sagen, warum es sinnvoll sein könnte, die PN´s seiner Forenmitglieder verbotenerweise zu lesen? Außer spannen wollen fällt mir da nämlich gar nichts ein.


Du solltest die Posts anderer Nutzer hier erst einmal verstehen, bevor Du diesen Vernunft absprichst. Ich habe ganz konkret zu Deinem Thema geantwortet. Wenn Du von einem Betreiber eines phpbb-Systems, bzw. dessen Hersteller, verlangst die dort hinterlegten Nachrichten (PNs) zu verschlüsseln, dann sollte das gleiche für jeden EMail-Provider gelten. Das ist in der Sache völlig identisch.

modernist
Ehemaliger
Beiträge: 2202
Registriert: 12.01.2009 10:44

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon modernist » 02.02.2011 15:22

Hinnerk hat geschrieben:Bei solchen Antworten komme ich ins Grübeln und mache mir so Gedanken, die ich hier gar nicht auszusprechen wage.


Bei derlei Verdächtigungen komme ich ins Grübeln. Für dich scheint jeder, der nicht deiner Meinung und Admin eines Forums ist, ein potentieller Straftäter zu sein, der die privaten Nachrichten seiner Mitglieder liest.
Das ist in etwas das Niveau, als ob alle Männer potentielle Vergwaltiger sind, weil sie könnten, wenn sie wollten. :roll:

Benutzeravatar
Unimatrix_0
Mitglied
Beiträge: 392
Registriert: 03.11.2007 10:50
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon Unimatrix_0 » 02.02.2011 15:37

Hinnerk hat geschrieben:@ Unimatrix

Facebook like und Google… was auch immer du da meinst, stehen hier doch nicht zur Debatte und sind ja auch nicht Bestandteil von phpBB. Zudem ist mir nicht bekannt, dass Facebook like verboten ist.

Es ging mir folgende Forderung von dir:
Hinnerk hat geschrieben:...Dessen sollten sich auch die Moderatoren und Supporter dieses Boards bewußt sein. M.E. gehört jede Nachfrage nach einer Mod, die dem Admin eines phpBB-Boards das Mitlesen der PN´s zum Kinderspiel macht unverzüglich gelöscht bzw. der entsprechende Thread gesperrt und der Fragesteller verwarnt. ...
Und zur Rechtssicherheit von GoogleAnalytics, Facebook like: viewtopic.php?f=1&t=210984 bzw viewtopic.php?f=1&t=209306&p=1202387#p1202387
Hinnerk hat geschrieben:Im Übrigen: Findest du es ok., wenn etwas, was zwar hier in Deutschland verboten ist ins Ausland exportiert wird mit der Begründung, dass es dort legal ist? Finde ich äußerst verwerflich.
Ich glaube, hier wird jetzt mit Spitzfindigkeit versucht etwas gut zu reden, was weder gut noch Recht ist.

Und ja, ich bin bewusst spitzfindig, den es geht mir nicht darum das lesen von PNs zu verteidigen, sonder um das Aufzeigen von Szenarien in dem deine Zensursula-Mani *gg* vielleicht über das Ziel hinaus schießt oder wo man dann deiner Meinung nach die Grenze ziehen sollte.

Benutzeravatar
DetlefT
Mitglied
Beiträge: 237
Registriert: 03.02.2009 15:39
Wohnort: Bedburg
Kontaktdaten:

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon DetlefT » 02.02.2011 15:46

Hallo,

für diejenigen Admins, die zwar könnten, aber nicht wollen, ist eine Verschlüsselung überflüssig.
Für diejenigen, die wollen und zur Umsetzung des Wollens nur ein paar Zeilen des Quellcodes auskommentieren oder den Aufruf einer Funktion unterbinden müssen, ist die Verschlüsselung nur ein bisschen lästig, weil sie dafür einen Aufwand wie zum Einbau einer MOD betreiben müssen, letztlich also völlig vernachlässigbar.

Wer solche Probleme für seine User sieht, sollte sie explizit auf seine Möglichkeiten hinweisen und darauf drängen, dass sie Möglichkeiten nutzen, wie sie Pyramide hier: Verschlüsselung bereits auf Clientseite, auf dem Server wird ausschließlich die verschlüsselte PN gespeichert aufzeigt. Alle anderen Methoden sind IMHO Augenwischerei und damit für mich Pillepalle.
Grüße, DetlefT *** Mein Forum: FJR-Tourer Deutschland

http://einfachpur.de

Benutzeravatar
bantu
Server-Team
Beiträge: 7311
Registriert: 25.04.2006 16:12
Wohnort: Karlsruhe

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon bantu » 02.02.2011 16:31

@Hinnerk

  1. Wenn du eine Nachricht über ein öffentliches Medium überträgst, musst du davon ausgehen, dass sie von Unbefugten gelesen werden kann.
  2. Wenn du eine vertrauliche Nachricht über ein öffentliches Medium überträgst, musst du vom Schlimmsten ausgehen, also annehmen dass sie tatsächlich gelesen wird. Da hilft dann auch kein "Diese Nachricht ist nur für den Empfänger bestimmt und vertraulich zu behandeln" am Ende der Nachricht. ;-)
  3. Um zu verhindern, dass die Nachricht von Unbefugten gelesen werden kann, kannst du die Nachricht verschlüsseln, sodass sie trotz öffentlichem Medium nur vom Empfänger gelesen werden kann.
  4. Du musst entweder die Verschlüsselung bereits am lokalen Rechner vornehmen oder einen sicheren Kanal haben, dessen Betreiber du vertraust.
  5. Es ist unsinnig eine derartige Funktion in phpBB einbauen zu wollen, weil man nicht davon ausgehen kann, dass es einen sicheren Kanal zu phpBB gibt.
  6. Gäbe es eine derartige Funktion in phpBB, dann hätte phpBB (und damit auch Serveradministratoren) auch den Schlüssel zum Entschlüsseln der Nachrichten. Das macht nicht nur keinen Sinn weil die Daten in den meisten Fällen sowieso unverschlüsselt übertragen werden, sondern kostet auch noch CPU-Zeit auf Serverseite. Im Gegenteil, den Benutzern würde damit ein falsches Gefühl von Sicherheit vermittelt; ein weiterer Grund, warum es das so nicht in phpBB geben wird.
    Das hat aber übrigens trotzdem jemand implementiert: http://www.neothermic.com/phpBB/viewtop ... f=18&t=136
    Ich würde das ganze allerdings nicht mehr als "Verschlüsselung" bezeichnen, sondern eher als "Content Scrambling". ;-)
  7. Die clientseitige Verschlüsselung von PNs ist jetzt bereits möglich. Dazu kann man zum Beispiel GnuPGP verwenden. Darauf ist Pyramide ja bereits eingegangen.
  8. Wenn du einem Betreiber nicht vertraust und der Meinung bist, dass er mit deinen Daten nicht so umgeht, wie du es gerne hättest, dann verwende einen alternativen Betreiber dem du vertraust (bzw. mehr vertraust) oder nutzte einen derartigen Service nicht. Das sagt mir schon der gesunde Menschenverstand.
    • Wenn du denkst, SozialesNetzwerkXY geht nicht ausreichend sorgfältig mit deinen persönlichen Bildern um, dann verwende SozialesNetzwerkXY nicht bzw. lade dort keine persönlichen Bilder hoch.
    • Gehe prinzipiell davon aus, dass alles was du ins Internet überträgst von allen anderen Internetteilnehmern gelesen werden kann.
  9. phpBB ist ein internationales Projekt, die Paragrafen aus den deutschen Gesetzbüchern haben also nur bedingt Einfluss auf die Funktionen von phpBB, bisher vermutlich gar keinen Einfluss.
Eine wirkliche Lösung ist eigentlich nur clientseitige Verschlüsselung. Da ist es dann auch egal ob der Angreifer den Postbrief öffnet, die Mail liest, die Instant Message liest oder die private Forennachricht liest. Des Weiteren ist es in diesem Fall für den Inhalt der vertraulichen Nachricht belanglos, ob sich der Angreifer durch sein Handeln strafbar macht oder nicht.

Gruß,
bantu

phpBB Entwickler
Powered by Coffee

Hinnerk
Mitglied
Beiträge: 408
Registriert: 03.05.2005 13:17
Wohnort: Edewecht - Da wo der gute Schinken herkommt

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon Hinnerk » 03.02.2011 13:45

modernist hat geschrieben:Bei derlei Verdächtigungen komme ich ins Grübeln. Für dich scheint jeder, der nicht deiner Meinung und Admin eines Forums ist, ein potentieller Straftäter zu sein, der die privaten Nachrichten seiner Mitglieder liest.
Das ist in etwas das Niveau, als ob alle Männer potentielle Vergwaltiger sind, weil sie könnten, wenn sie wollten. :roll:

Wer hier im Forum nach entsprechenden Mods zum einfachen Lesen von PN´s seiner Boardbenutzer anfragt, ist ein potentieller Straftäter (Duden: potentiell = möglich. Wer eine derartige Mod in sein Board einbaut und nutzt ist ein Straftäter. Hier gibts Nachhilfeunterricht. :wink:

Hinnerk
Mitglied
Beiträge: 408
Registriert: 03.05.2005 13:17
Wohnort: Edewecht - Da wo der gute Schinken herkommt

Re: Persönliche Nachrichten gehören verschlüsselt!

Beitragvon Hinnerk » 03.02.2011 13:56

Ich will mich hier jetzt nicht zu jedem Posting äußern. Das macht keinen Sinn, da immer irgendwie ausgewichen oder auf andere Schauplätze verwiesen wird (Facebook, Google…). Die könnten zwar auch Thema sein, sind sie aber nicht. Im Falle eines denkbaren Ermittlungs/Strafverfahren ständen andere, evtl. auch zweifelhafte Onlinedienste mit möglicher Schnüffelei ja auch nicht zur Debatte.
Ich will jetzt auch nicht weiter auf eine mögliche Verschlüsselung von persönlichen Nachrichten eingehen. Allen, auch mir, ist klar, dass findige Spanner jede Form der Verschlüsselung umgehen werden und andere wiederum entsprechende Mods entwickeln, die dem Forenbetreiber das Mitlesen aller PN´s zum Kinderspiel machen. Aber es wäre zumindest ein gewisses Erschwernis. Derzeit ist die Situation so wie bei einer unabgeschlossenen Haustür, in der jeder Einbrecher freien Zugang zu der Wohnung hat. Mit Verschlüsselung ist diese „Tür“ aber zunächst einmal verschlossen. Ich muss je nach Wissen und können eine bestimmte (kriminelle) Energie aufbringen, um die Verschlüsselung zu umgehen bzw. auszuschalten. Um nichts mehr ging es mir bei der Verschlüsselung. In einem Strafverfolgungsverfahren könnte sich so der Angezeigte nicht damit herausreden, dass die Forensoftware ihm das Mitlesen von PN´s mit wenigen Mausklicken ermöglicht. Das „Knacken“ eines Softwareschutzes würde wie das Knacken oder Umgehen eines Kopierschutzes bei CD´s oder DVD´s eine ganz andere strafrechtliche Relevanz erhalten.
Der im Impressum von phpBB.de genannte Verantwortliche und Domaininhaber dieser Webseite ist für sämtliche Inhalte der Seite verantwortlich. Aus diesem Grund tragen Moderatoren und Supporter des Forum eine große Verantwortung, wenn sie nicht den Betreiber des Boards in Schwierigkeiten bringen wollen. Aus diesem Grund macht es Sinn, Beiträge, die eine mögliche strafrechtliche Relevanz haben gar nicht zuzulassen bzw. bei deren Veröffentlichung unverzüglich zu löschen.

Fakt ist doch nun wohl, dass das Mitlesen von PN´s durch Forenbetreiber oder anderer nicht befugter Personen verboten ist. Fakt ist weiter, dass in ziemlicher Regelmäßigkeit von Usern dieses Boards nach Mods gefragt wird, die ihnen das Mitlesen vereinfachen sollen und nicht in der Datenbank rumwühlen wollen. Fakt ist auch, dass Anfragen dieser Art regelmäßig bedient werden und bei Einbauproblemen auch noch entsprechender Support geboten wird. Warum begeben sich die Verantwortlichen des Boards auf rechtliches Glatteis und unterstützen derartige recht zweifelhafte Aktivitäten einiger Mitglieder? Mir wäre das in Anbetracht der aktuellen Rechtslage und tollwütiger Anwaltskanzleien, die teils mit Hilfe von Studenten, die auf Provisionsbasis das WWW nach allen möglichen Rechtsverstößen abgrasen, damit die Webseitenbetreiber dann abgemahnt werden können, viel zu Risikoreich. Auch macht es Sinn, aufgrund der immer schärfer werdenden Gesetzgebung im Bereich Datenschutz und Wahrung des Persönlichkeitsrechts im Internet und einer zunehmenden Aufdeckung und Strafverfolgung derlei Delikte Sinn, dieses Thema einmal ernsthaft zu diskutieren.
@ bantu: Dies sollte dann aber wohl besser im Kreis der Verantwortlichen dieses Boards geschehen. Hier scheint das Thema zu einem Stammtischpalaver auszuarten, wobei die Befürworter des Status Quo geltendes Recht schlichtweg ignorieren bzw. nicht wahrhaben wollen.

Ich habe jetzt meine Meinung zu diesem Thema abgegeben und werde es dabei belassen. An einer weiteren Diskussion zu diesem Thema werde ich nicht teilnehmen. Betonen möchte ich, dass ich mit meinem Beitrag niemanden zu nahe treten oder gar beleidigen wollte. Wenn sich jemand durch mich beleidigt fühlen sollte, entschuldige ich mich dafür. Seht meinen Beitrag als Anregung und handelt wie ein jeder möchte. Jeder ist seines Glückes Schmied und für sein Tun und handeln selbst verantwortlich.


Zurück zu „Community Talk“