Diskussion über Zensur und Sicherheit bei abhängigen Webangeboten Dritter

    This site uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More details

      Diskussion über Zensur und Sicherheit bei abhängigen Webangeboten Dritter

      Hey,

      tut mir Leid, aber warum wird das Forum hier so stark zensiert? Darf man keine berechtigte Kritik in Sachen Sicherheit/Datenschutz/Privatsphäre äußern, nur weil der TO sich "zu fein" dafür ist? Wird dann direkt alles gelöscht? Weil man andere User warnen will, vor konkreten, belegten (!) Gefahren?

      Ich würde es verstehen wenn es Dinge wäre wie "das sieht doof aus", "wer braucht den kack" oder ähnliches, sowas sollte man löschen. Aber berechtige Kritik an der Sicherheit? Darf hier jeder alles machen und Datensicherheit und Privatsphäre spielt keine Rolle? Löschen die Mods hier sachliche Beiträge die auf Sicherheitslücken verweisen, einfach weil der TO das will? Ohne sich damit auseinander zusetzten? Darf hier jeder sein noch so unsicheres Projekt promoten und Sicherheitsprobleme werden einfach unter den Tisch gekehrt?

      Es geht um diesen Thread:
      Automatisierte Statistiken und Tools für alle, von der VETEKA in Kooperation mit der Hanse

      Viele Grüße
      Wollbert

      Edit:
      Hab den Titel von "Zensur im Forum" zu dem aktuellen geändert.

      Post was edited 1 time, last by “Wollbert” ().

      Nunja, ich kann deinen Ansatz auf jeden Fall verstehen, aber manche Dinge sollte man vielleicht nicht unbedingt öffentlich austragen. Eine Konversation hätte es sicher auch getan.

      Ich denke bzw. weiß aus recht langer Erfahrung, dass in diesem Forum nicht zensiert wird, nur ist der besagte Thread bereits vor längerer Zeit in der Hinsicht auffällig geworden und auch ich habe dort versucht, die von dir genannten Kritikpunkte anzusprechen, wurde aber (berechtigt) von @baba43 gebremst.

      Ich zitiere dazu:

      baba43 wrote:

      Es hat schließlich niemand etwas davon, wenn ein Spieler einen anderen öffentlich zur Schau stellt :)

      Dem würde ich mich an dieser Stelle auch anschließen. Auch ich habe mit dem TO schon einiges per Konversation klären (oder oft auch nicht klären) können. Fakt ist, dass die Probleme des Projektes bereits bekannt und benannt sind... dass der TO es nicht so mit dem Umgang mit Kritik hat, leider auch.
      Das ist kein Technikforum, die wenigsten können hier mitreden. Daher kann man sowas gerade hier auch in einer Konversation austragen. ;)

      Just my 2 cents.
      Nein, der Entwickler sieht nicht vor, dass das so verwendet wird.
      Ja, ich benutze es trotzdem so. :rolleyes:
      Die Frage ist halt folgendes: Wollt ihr nachgewiesen unsicherer Software eine Plattform bieten, wenn der Betreiber die Sicherheit nicht wiederherstellen will/kann?

      Angenommen ich "promote" eine App/Anwendung die dem Benutzer ein Benefit für euren Server bringt (wie in diesem Falle), aber die aufgrund von öffentlich dokumentierten und belegten Sicherheitslücken die Daten der User gefährdet. Wollt ihr für sowas Werbung machen? Und dann bedenken hinsichtlich der Sicherheit einfach löschen? Es waren ja nicht irgendwelche Mutmaßungen, sondern konkret belegte Sicherheitslücken. Zudem wisst ihr ja scheinbar, dass der Betreiber der Anwendung nicht in der Lage ist, die Sicherheitslücken angemessen zu beheben, wollt ihr wirklich sowas in eurem Forum "promoten", nichts anderes wird hier ja getan.

      Fakt ist: der Dienst wird immer noch auf einem Server betrieben der einen SSH-Breach hatte und somit jeder Admin als unsicher einstufen würde und sofort herunterfährt, nachdem sich seine Nackenhaare wieder gelegt haben. Zudem sind - so hört ich - einige SQL-Injections noch immer vorhanden und ein paar andere Dinge die in meinem gelöschten Beitrag aufgelistet waren :whistling: Das beworbene Systeme ist einfach eine Sicherheitskatastrophe aus dem Lehrbuch. Serveradministration lernt man halt nun mal nicht über Nacht (besonders nicht wenn man lernresistent ist). Und der Betreiber ist in Urlaub und "kann sich nicht kümmern", wird schon nix passieren...

      Eben weil viele Leute hier nicht die technische Ahnung habe müsste man diese eben vor genau solchen gravierend unsicheren Systemen warnen (schon nur wegen Cross-Site Scripting), der normale Nutzer weiß es nicht besser und verlässt sich auf so Aussagen wie "Wir versuchen euch ein Höchstmaß an Datensicherheit zu garantieren".

      Daher sollte zumindest ganz oben ein fetter roter Schriftzug mit einer Warnung hin, der nicht-technisch-affine Nutzer warnt, dass seine Daten auf einer Sicherheitskatastrophe gespeichert werden. Über DSGVO etc. wollen wir gar nicht erst anfangen, wobei ich ehrlich gesagt keine Ahnung hab wie es mit "virtuellen Käufen" gehandhabt wird, ob da gleiche Standards gelten wie für reale Shops ?(
      Ich sehe schon, warme Temperaturen erhitzen auch das Gemüt.

      Ich kann hier beide Seiten verstehen. Wenn man ein Service anbietet, dann möchte man ungerne Schlammschlachten in seinem Vorstellungsthread führen. Gleichzeitig sollte es auch allerdings möglich sein, Kritik vorzubringen und Schwachpunkte offen zu legen.
      Dabei ist immer das Problem, einen guten Mittelweg zu finden.

      Ich hätte nichts dagegen gehabt, deinen ursprünglichen Beitrag stehen zu lassen, wäre dieser nicht darauf aus, @AnderCrafterYT so blos zu stellen. Wenn wir hier uns an die Gurgel gehen, dann führt das zu nichts.

      Die erwähnten Sicherheitsmängel sind nicht nur dir ein Dorn im Auge, auch ich habe damit meine Probleme.
      Eigentlich könnten wir als Serverteam uns auch zurücklehnen und erklären, dass es doch nicht unser Problem ist, was andere auf ihrem Server machen. Genau das unterstellst du uns gerade, was nicht ganz korrekt ist.
      Wir arbeiten aktuell tatsächlich an einer Lösung, allerdings mit der Idee, dass nicht am Ende überall Scherben rumliegen ;)
      E = mc² <--> Error = more code²

      Post was edited 1 time, last by “Joo2Elf” ().

      Du hast in deiner Faktenlage auch absolut recht, aber wie du bereits gemerkt hast, fehlt die entsprechende Einsicht des TO. Das macht die Diskussion mit ihm nur zu einem unnötigen Schlagabtausch, den man sich auch sparen kann. Das der TO nicht in der Lage ist, das System sicher bereitzustellen, sollte mittlerweile längst bei der Community angekommen sein. Denke ich zumindest.

      Wollbert wrote:

      Wollt ihr

      Nur um das eben klarzustellen - ich != ihr, denn ich != Team ;)

      Wollbert wrote:

      Daher sollte zumindest ganz oben ein fetter roter Schriftzug mit einer Warnung hin, der nicht-technisch-affine Nutzer warnt, dass seine Daten auf einer Sicherheitskatastrophe gespeichert werden.

      Da du weißt, dass der TO uneinsichtig ist, solltest du also in meinen Augen lieber das Team kontaktieren und denen die Faktenlage klar darlegen. Die können das Thema dann nicht abstreiten oder relativieren.

      Man kann sich halt wie kleine Kinder sinnlos rumprügeln, man kann es aber auch lassen und wirksamere und strategischere Maßnahmen ergreifen.
      Ich selbst habe sehr wohl den TO bereits per Konversation eindringlich auf die Probleme hingewiesen und dann aufgrund fehlender Einsicht entsprechende Hinweise an das Team gegeben. ;)

      In dem spezifischen Fall mit dem TO zu diskutieren macht keinen Sinn, da kannst du auch mit ner Dachziegel reden. Die reagiert wenigstens, indem sie dir irgendwann auf die Birne fällt. Wie gesagt, kontaktiere bei sowas eher das Team. Entweder über die "Melden" Funktion oder halt noch besser per Konversation. Das hilft dir bzw. allen eher, als ein sinnloser Schlagabtausch, glaub mir. :)
      Nein, der Entwickler sieht nicht vor, dass das so verwendet wird.
      Ja, ich benutze es trotzdem so. :rolleyes:

      Joo200 wrote:

      Ich hätte nichts dagegen gehabt, deinen ursprünglichen Beitrag stehen zu lassen, wäre dieser nicht darauf aus, @AnderCrafterYT so blos zu stellen. Wenn wir hier uns an die Gurgel gehen, dann führt das zu nichts.


      Das "Anprangern" von Sicherheitslücken hat ja nichts mit bloßstellen zu tun. Der Ton war zugegebenermaßen etwas rauer, aber auch nur weil man Sie ihm schon das zehnte mal vorträgt ohne das etwas passiert und das ganze daher eine Vorgeschichte hat. Hier mal ein gelöschter Beitrag von mir:

      Gut gemeinter Tipp als erfahrener Admin: das reicht einfach nicht! Wie im anderen Forum schon öfters erwähnt wurde, ist nach so
      einen Einbruch lediglich das sofortige (!) neu aufspielen des Servers, oder das Rückspielen eines Backups von vor (!) dem Einbruch,
      ausreichend. Solange ist der Server als kompromittiert anzusehen und der Dienst schlichtweg nicht sicher. Es gibt unendlich viele
      Angriffsvektoren die man unmöglich alle überprüfen kann, selbst wenn man es versucht kann man immer noch etwas übersehen.
      Daher: neu aufspielen oder abschalten.

      Edit: Vergleiche es grob mit einem Spion der eine Wanze in der Wohnung versteckt hat. Es gibt 1000 Möglichkeiten wo die sein
      könnte (analog: authorized_keys, init-scripte, manipulierte binaires). Selbst wenn du 999 durchsuchst kannst du dir immer noch
      nicht sicher sein, dass wirklich nichts manipuliert wurde. Nur ein paar Dateien abklopfen ist völlig unzureichend.


      Natürlich wird der Betreiber angeprangert falsch gehandelt zu haben, aber das hat er nun mal, ohne geht es nicht :huh:

      Und wie es so aussieht haben hier wohl einige schon versucht auf den Betreiber einzuwirken, ohne Erfolg. Von daher wäre jetzt wohl doch die "Admins" des Forums am Zug das zu unterbinden. Oder vielleicht ist es hier ja erwünscht, nachgewiesen unsichere Software zu promoten, deren Betreiber nicht in der Lage ist die Lücken zu schließen oder aktuell irgendeine Expertise besitzt das Problem dauerhaft zu unterbinden.

      Edit: Ist der Thread jetzt geschlossen? Zumindest hab ich keinen Antworten-Button mehr...

      Und es geht ja nicht darum den Thread vom TE direkt zu löschen. Ein fetter roter Hinweis würde erst mal ausreichend sein und dem TE klar machen das er so nicht davon kommt und mal etwas Druck aufbauen. Aktuell hat er ja die Einstellung "wird schon gut gehen", was totaler Blödsinn ist. Ist wie mit großen IT-Firmen, da muss man auch Sicherheitslücken publik machen damit mal was passiert...

      Edit 2:
      Jetzt sehe ich erst wie tief das ganze verwoben ist. Das Problem was ich sehe (auch datenschutzrechtlicher Natur):

      Ich klicke hier im Forum einfach nur ein Kästchen in meinem Profil an. Keine Datenschutzerklärung oder sonstiges der ich zustimmen muss. Danach werden meine Daten auf einen externen Server weitergeleitet, von dem die Administratoren wissen das er unsicher ist, und erst mal nichts unternehmen um dies effektiv zu unterbinden (der Zustand ist seit Wochen/Monaten schon so wenn ich mir die Github Commits anschaue). Eigentlich müsste man - im Sinne der Nutzer - eine solche Datenausleitung auf einen bekannten unsicheren Dienst sofort unterbinden, ohne wenn und aber, und die Nutzer korrekt informieren. Wenn ich mir den Github Quellcode anschaue wird einem schlecht, da fehlt jegliches Basiswissen, wie man sichere Software baut. Das gibt es nichts zu beschönigen, die SQL-Injections sind da kein Wunder. Die Frage ist will man solche Software hier? Es ist kein Meister vom Himmel gefallen, hier fehlen aber selbst noch die Grundlagen sicherer Programmierung.

      Ein nicht technisch-affiner Nutzer weiß davon nichts was da im Hintergrund abgeht - woher auch - und denkt das alles halbwegs sauber läuft... 8o

      Post was edited 2 times, last by “Wollbert” ().

      Ich möchte hier auch einmal eine Stellungnahme abgeben, es ist durchaus in meinem Sinne Kritik sowie Vorschläge anzunehmen und umzusetzen, freue mich sogar darüber, vorrausgesetzt sie wird weniger als Kritik an mir und ohne starker/starkem Ironie/Sarkasmus ausgedrückt sondern mehr konstruktiv, dies gibt mir auch mehr die Lust und freude mich daran zu setzen und mich zu kümmern statt das ich dies mit Wut tue (und ich tue es nebenbei so oder so), ein freundlicher Umgangston würde dementsprechend allen nützen.

      Mein Ziel ist/war es nicht dich zu zensieren sondern, wie ich dir auch in unserer Konversation gesagt habe mit dir Privat zu sprechen. Die "Öffentlichkeit" darf zwar durchaus bis zu einem gewissem Umfang erfahren was passiert, dies möchte/n ich/die VETEKA Leiter aber selber regulieren. Solltest du der Meinung sein das wir dies nicht genug tun kannst du mir das gerne sagen. Disskussionen widerum führen zur verwirrung anderer, Vorstellungsthreads möchte ich sogut wie möglich freihalten um dort Informationen statt Disskusionen zu erzählen, sollte es Disskussionen geben die jeder lesen muss/soll lege ich gerne einen Thread an.

      AnderCrafterYT wrote:

      Mein Ziel ist/war es nicht dich zu zensieren sondern, wie ich dir auch in unserer Konversation gesagt habe mit dir Privat zu sprechen. Die "Öffentlichkeit" darf zwar durchaus bis zu einem gewissem Umfang erfahren was passiert, dies möchte/n ich/die VETEKA Leiter aber selber regulieren.
      Tut mir leid, aber genau das ist doch Zensur? Du möchtest die Meinung anderer in deinem Thread soweit regulieren, dass sie dir passen.

      Ich denke, dass in diesem Fall ein professionellerer Umgang von beiden beteiligten Personen deutlich zielführender würde. Fehler sind nicht schlimm, sie müssen aber nicht platt getreten werden.
      E = mc² <--> Error = more code²

      Achso man kann nicht antworten wenn man die letzte Antwort verfasst hat, gut zu wissen.

      Das Problem ist auch das wir dir im anderen Forum schon seit Tagen die Fehler mehrfach auflisten inklusive was dringendes zu tun ist (Server neu aufspielen oder abschalten. JETZT! Weil SSH-Breach!). Nur leider passiert nix oder es kommt Unverständnis von dir oder sowas wie "mach ich... später irgendwann". Nur dies ist, wie mehrfach von erfahrenen Administratoren erwähnt, nicht zielführend. Entweder man macht es richtig oder gar nicht, bei Sicherheit gibt es kein dazwischen wenn einem die Nutzer wichtig sind ;)

      Daher sollte hier von dem Forum Druck aufgebaut werden, immerhin vertrauen die Leute dir hier die Daten ihrer Nutzer an und du kümmerst dich - Pardon - einen Dreck darum. Alles andere fruchtet bei dir ja leider nicht :( Vielleicht muss man dir den Datenhahn Mal abdrehen damit du den Ernst der Lage verstehst.

      Und wenn ich mir den Quellcode anschaue würde ich ehrlich gesagt davon ausgehen das noch etliche Monate, eher Jahre, ins Land gehen bis du soweit bist wirklich sicheren Code schreiben zu können. Vielleicht hast du dich mit dem ganzen Projekt etwas übernommen.

      Joo200 wrote:

      AnderCrafterYT wrote:

      Mein Ziel ist/war es nicht dich zu zensieren sondern, wie ich dir auch in unserer Konversation gesagt habe mit dir Privat zu sprechen. Die "Öffentlichkeit" darf zwar durchaus bis zu einem gewissem Umfang erfahren was passiert, dies möchte/n ich/die VETEKA Leiter aber selber regulieren.
      Tut mir leid, aber genau das ist doch Zensur? Du möchtest die Meinung anderer in deinem Thread soweit regulieren, dass sie dir passen.

      Ich denke, dass in diesem Fall ein professionellerer Umgang von beiden beteiligten Personen deutlich zielführender würde. Fehler sind nicht schlimm, sie müssen aber nicht platt getreten werden.

      Meiner Meinung nicht nur, zensieren tu ich nur für die allgemeinheit nicht zielführende Informationen, meinetwegen können sicherheitslücken ohne einzelheiten wie man sie ausnutzt in den Thread kommen aber nicht in herabwürdigender form

      Wollbert wrote:

      Achso man kann nicht antworten wenn man die letzte Antwort verfasst hat, gut zu wissen.

      Das Problem ist auch das wir dir im anderen Forum schon seit Tagen die Fehler mehrfach auflisten inklusive was dringendes zu tun ist (Server neu aufspielen oder abschalten. JETZT! Weil SSH-Breach!). Nur leider passiert nix oder es kommt Unverständnis von dir oder sowas wie "mach ich... später irgendwann". Nur dies ist, wie mehrfach von erfahrenen Administratoren erwähnt, nicht zielführend. Entweder man macht es richtig oder gar nicht, bei Sicherheit gibt es kein dazwischen wenn einem die Nutzer wichtig sind ;)

      Daher sollte hier von dem Forum Druck aufgebaut werden, immerhin vertrauen die Leute dir hier die Daten ihrer Nutzer an und du kümmerst dich - Pardon - einen Dreck darum. Alles andere fruchtet bei dir ja leider nicht :( Vielleicht muss man dir den Datenhahn Mal abdrehen damit du den Ernst der Lage verstehst.

      Und wenn ich mir den Quellcode anschaue würde ich ehrlich gesagt davon ausgehen das noch etliche Monate, eher Jahre, ins Land gehen bis du soweit bist wirklich sicheren Code schreiben zu können. Vielleicht hast du dich mit dem ganzen Projekt etwas übernommen.

      Wo siehst du ihn den, der neue ist ja garnicht mehr öffentlich. (Oder geht es nur um HTML)

      AnderCrafterYT wrote:


      Meiner Meinung nicht nur, zensieren tu ich nur für die allgemeinheit nicht zielführende Informationen, meinetwegen können sicherheitslücken ohne einzelheiten wie man sie ausnutzt in den Thread kommen aber nicht in herabwürdigender form


      Wie es in den Wald reinschalt, so schalt es raus ;) Und bei vielen Lücken ist die Ausnutzung klar, jeder mit halbwegs Ahnung findet in 5min die SQL-Injections in deinem Code. Stattdessen wäre es schön von dir zu hören: sorry, ich schalte den Server erst Mal ab und fixe alles nächste Woche, den Code lasse ich von xy neu schreiben damit die Lücken erst Mal geschlossen sind.

      Edit: um auf SQL-Injections zu testen braucht man keinen Code ;)

      AnderCrafterYT wrote:

      Meiner Meinung nicht nur, zensieren tu ich nur für die allgemeinheit nicht zielführende Informationen

      Die allwissende Müllhalde wrote:

      Zensur (lateinisch censura) ist der Versuch der Kontrolle der Information.


      Egal wie du es auslegst, es bleibt Zensur.
      Nein, der Entwickler sieht nicht vor, dass das so verwendet wird.
      Ja, ich benutze es trotzdem so. :rolleyes:

      Wollbert wrote:

      AnderCrafterYT wrote:


      Meiner Meinung nicht nur, zensieren tu ich nur für die allgemeinheit nicht zielführende Informationen, meinetwegen können sicherheitslücken ohne einzelheiten wie man sie ausnutzt in den Thread kommen aber nicht in herabwürdigender form


      Wie es in den Wald reinschalt, so schalt es raus ;) Und bei vielen Lücken ist die Ausnutzung klar, jeder mit halbwegs Ahnung findet in 5min die SQL-Injections in deinem Code. Stattdessen wäre es schön von dir zu hören: sorry, ich schalte den Server erst Mal ab und fixe alles nächste Woche, den Code lasse ich von xy neu schreiben damit die Lücken erst Mal geschlossen sind.

      Sind sie, das siehst du nur nicht weil der Sourcecode (auf die Anweisung der Netcup-Forumsmitglieder nebenbei) nicht mehr öffentlich ist. hier mal die einfachste möglichkeit nach möglichkeiten zu suchen. Diese gibt nur eine datei zurück die aber vollständig auskommentiert ist und nur noch zur referenz existiert
      Images
      • Screenshot 2019-07-22 at 20.48.12.png

        103.01 kB, 1,366×688, viewed 14 times

      AnderCrafterYT wrote:


      Sind sie, das siehst du nur nicht weil der Sourcecode (auf die Anweisung der Netcup-Forumsmitglieder nebenbei) nicht mehr öffentlich ist.


      "Security through obscurity" funktioniert nicht ;) Projekte die wirklich sicher sind können ihren Quellcode veröffentlichen. Davon ab verhält sich Code der öffentlich bekannt ist genau wie welcher der nicht öffentlich bekannt ist, dadurch lösen sich keine Sicherheitsprobleme.

      Wollbert wrote:

      AnderCrafterYT wrote:


      Sind sie, das siehst du nur nicht weil der Sourcecode (auf die Anweisung der Netcup-Forumsmitglieder nebenbei) nicht mehr öffentlich ist.


      "Security through obscurity" funktioniert nicht ;) Projekte die wirklich sicher sind können ihren Quellcode veröffentlichen. Davon ab verhält sich Code der öffentlich bekannt ist genau wie welcher der nicht öffentlich bekannt ist, dadurch lösen sich keine Sicherheitsprobleme.


      Natürlich, ich habe mich aber aufgrund der Empfehlungen dazu entschieden das Repo Privat zu machen.

      AnderCrafterYT wrote:

      hier mal die einfachste möglichkeit nach möglichkeiten zu suchen


      Nein, damit findest du normalerweise keine SQL-Injection und dies ist auch nicht im Ansatz eine probate suche dafür. Du hast bei dir damit nur eine gefunden weil dein Code damit übersäht ist ;)

      AnderCrafterYT wrote:

      Natürlich, ich habe mich aber aufgrund der Empfehlungen dazu entschieden das Repo Privat zu machen.


      Aber vermutlich nicht aus Sicherheitsgründen oder sonst was, sondern nur weil es - pardon - einfach peinlich ist wenn solcher Code mit dem eigenen Namen verknüpft ist.

      Aber immer noch keine Einsicht, der Server läuft noch immer, die Sicherhietslücken sind da, nichts passiert, AnderCrafter schreibt nur und handelt nicht... ohne zutun durch das Team (z.B. abschalten der Daten) wird sich daran nix ändern
      Ich kenn mich nicht aus, halte mich aus so sachen normal auch raus, aber wäre es nicht das einfachste, den Server so lang off zu nehmen, bis man ausm Urlaub zurück ist und dann die Probleme von Grund auf löst?
      @AnderCrafterYT

      Und ja ich hab das ganze hier und im anderen Thread gelesen, daher wäre es in meinen Augen, als unbeteiligter 3. die einfachste Lösung...
      @Mr_Bannhammer "Server so lang off zu nehmen, bis man ausm Urlaub zurück ist und dann die Probleme von Grund auf löst?@AnderCrafterYTUnd ja ich hab das ganze hier und im anderen Thread gelesen, daher wäre es in meinen Augen, als unbeteiligter 3. die einfachste Lösung..."

      Die schlimmsten habe ich gefixt, ich sehe weiterhin ein geringes Risiko, das kann meiner meinung nach auch bis nach dem Urlaub warten