Diskussion über Zensur und Sicherheit bei abhängigen Webangeboten Dritter

    This site uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More details

      Entchen_ wrote:

      Ich persönlich finde eine Diskussion über VETEKA hier, in dem Thread "Diskussion über Zensur und Sicherheit bei abhängigen Webangeboten Dritter" eher unpassend.

      :thumbup:

      Entchen_ wrote:

      Bereits in der Vorstellung von VETEKA habe ich geschrieben, dass bekannte Sicherheitslücken und Probleme in dem Startpost genannt werden sollten.


      Würde ich ebenfalls als sinnvolle und angebrachte Maßnahme sehen, sind ja noch einige mehr der Meinung :thumbup:

      Entchen_ wrote:

      Es wird keiner gezwungen seine Daten weiter zu geben.

      So funktioniert halt leider Datenschutz nicht . Wenn der Warnhinweis da wäre und das Kästchen mit einer Datenschutzerklärung verknüpft wäre, würde ich die Recht geben. Aktuell ist nicht ersichtlich wer (Anschrift, vlt Link auf den Vorstellungsthread/Impressum) Zugriff auf welche Daten (Datenschutzerklärung, Verlinkung auf der Website? Wobei die Anschrift bei AnderCrafter schon mal Fake ist) bekommt, wenn man das Häkchen setzt. Dann noch einen Warnhinweis zu Sicherheitsbedenken im Vorstellungsthread und TerraConia hat - sofern sie die API nicht abschalten wollen - angemessen gehandelt. Jeder nicht technisch-affine Nutzer sollte dann einschätzen können was im Hintergrund passiert.

      Und das als Standard für alle Projekte die die API nutzen und gut ist 8) Wie man dann mit offensichtlichen Fake Angaben umgeht ist wieder eine andere Geschichte.

      Post was edited 2 times, last by “Wollbert” ().

      Als ich geschrieben habe, dass keiner gezwungen wird seine Daten weiter zu geben, war das ernst und ehrlich gemeint.
      Ich möchte nicht, dass meine Daten (auch wenn es in dem Fall nur der Shopverlauf ist) weiter gegeben wird. Also sage ich "ich werde da nicht mitmachen". So kann keiner außerhalb von TC an den Verlauf (i.d. Regel).
      Wenn ich das also nicht will, dann setzte ich das Häkchen nicht und mein Shopverlauf macht nicht die Runde. Es muss ja nicht jeder wissen, was ich täglich/wöchentlich/.... an meinen Shops verdiene, oder auch an Ausgaben habe.
      Darum käme für mich nie in Frage, meinen Verlauf für irgendwas frei zu geben (Kontoauszüge lasse ich auch nicht so auf der Straße liegen).
      Jeder ist seines Glückes Schmied. Aber ich denke, jeder sollte durch die Medien inzwischen soweit mitbekommen haben, dass wir gläserne Menschen in Deutschland werden, wenn jeder so seine Daten offen legt.

      Edit: Auf Grund meines Berufes habe ich mehrere Fort- und Weiterbildungen im Bereich Datenschutz gemacht. Kenne mich also etwas aus ^^

      Keine Lust auf das Tutorial?? Klick mich an


      Post was edited 2 times, last by “Entchen_” ().

      Entchen_ wrote:

      Als ich geschrieben habe, dass keiner gezwungen wird seine Daten weiter zu geben, war das ernst und ehrlich gemeint.


      Die prinzipielle Idee, soweit ich das im Zusammenhang mit dem Server überblicken kann, finde ich gar nicht mal schlecht und eher interessant, so eine Marktanalyse durchzuführen: Eine Art "Preischart" für Items. Ohne diese Daten geht es halt nicht. Und zu sagen "wer das nutzt hat Pech" ist halt unausgeglichen, nicht jeder liest vermutlich hier alles und ist über alles im Bilde. 33 Leute nutzen es und wissen vielleicht nichts von den Problemen (34 laut Website, hab mich mal rausgerechnet). Und wenn man so etwas anbietet, dann halt richtig oder gar nicht (Das entfernen bzw. sperren der API bis zur Behebung der Probleme war ja auch ein Vorschlag der hier öfters genannt wurde).

      Was ich aber auch nicht weiß: Wie sehen die Daten aus? Sind diese anonymisiert? pseudonymisiert? Oder wird da 1:1 durchgeben "Wollbert hat 1 Eimer für 2 Eskone bei XY gekauft". Muss XY auch zugestimmt haben oder wird das immer durchgegeben? Oder einfach nur "es wurde gerade 1 Eimer für 2 Eskonen verkauft"?

      Edit: Ein Nickname zählt schon zu den personenbezogenen Daten:

      Web wrote:


      Also, personenbezogene Daten sind:
      • Name und Geburtsdatum [...]
      • [...]
      • Online-Kennung: IP Adresse (in Zusammenhang mit weiteren Daten wie z.B. einem Onlinekauf), eMail Adressen, aber auch Nicknames, Twitterhandles, Spielernamen, etc. machen eine Person identifizierbar -> personenbezogen
      So Klausur überstanden, ehe ich mich der nächsten Klausurvorbereitung widme, möchte ich hier den Beitrag abschließen.

      Für mich scheint ein großes Problem hier eher die Plattform zu sein. Terraconia ist definitiv nicht die richtige Plattform für rechtliche Diskussionen zu irgendwelchen Serverproblemen externer Serverbesitzer. Ich verstehe die angesprochene Schnittstellenproblematik (dazu gleich mehr), dennoch haben wir keinerlei weiteren Bezug zu dem Server von AnderCrafter. Demnach sehe ich einen Großteil dieser Diskussion tatsächlich als fehlgeleitet an.

      Terraconia ist viel mehr eine Plattform für eine Minecraft-Community. Nicht mehr und auch nicht wenig als das. ;) Die hier diskutierte Schnittstelle wurde von uns nach Anfragen der Community erschaffen, da der Wunsch bestand mithilfe eigener Fähigkeiten eine Auswertemöglichkeit zu erschaffen. Um das hier auch noch einmal deutlich zu erklären: Es handelt sich nicht um Daten von tatsächlichen Verkäufen. Die Daten beinhalten nur Informationen über An- und Verkäufe von Ingameitems.

      Nach unserer persönlichen Abwägung der Situation haben wir uns nun entschieden die Schnittstelle tatsächlich vorerst zu unterbinden. Ich finde es in solchen Fällen stets wichtig die Situation durch eigene Experten beurteilen zu lassen und selbst festzustellen, welche Handlungen vonnöten sind. Dabei geht es dann nicht um einen Aufschub oder gar ein Wegschauen, sondern darum vorschnelles Handeln zu vermeiden. Für mich ist dies ein wichtiger Aspekt, den unsere Projektleitung hier leistet. Dazu kommt, dass von uns aktuell alle Administrationsmitglieder entweder Vollzeitbeschäftigt, Klausuren schreiben (<--) oder im Urlaub sind. Obwohl wir uns auch über den Tag hinweg per Nachrichten austauschen, haben wir in der Regel demnach erst abends Zeit gemeinsam ein Problem zu besprechen oder gar Folgen einzuleiten. Dies sollte man berücksichtigen.

      Auf Terraconia selbst legen wir Wert auf regelmäßige Sicherheitsupdates und führen diese in der Regel zeitnah nach Kenntnisnahme durch. Zusätzlich sind wir mit unserem Backup System, welches täglich ein vollständiges Backup erstellt, auf etwaige Ernstfälle vorbereitet. Dieses System wird durch einen guten Hoster ergänzt, dessen Supportleistungen uns 24/7 zur Verfügung stehen.

      Gerne nehmen wir uns deinen (@'Wollbert') Hinweisen zur DSGVO an. Für ein Hobbyprojekt unserer Art ist es stets schön wichtige Hinweise zu bekommen. Leider werde ich dazu jedoch frühestens im Anschluss an meiner Klausurenphase kommen. Solltest du weitere Bedenken haben, kannst du mir diese gerne direkt per Konversation an mich richten. :)

      Abschließend möchte ich damit diesen Thread hoffentlich beenden. Die Schnittstelle wurde erst einmal geschlossen und weitere Sicherheitsproblematiken von @AnderCrafterYT sollten direkt mir diesem geklärt werden. Dafür ist Terraconia am Ende des Tages die falsche Umgebung.

      Um weitere Antworten zu ermöglichen wird dieser Thread vorerst geöffnet bleiben. Wir werden ihn jedoch in den nächsten Wochen entfernen, da in unseren Augen Diskussionen dieser Art hier keine Plattform haben sollten. Sicherheit im Allgemeinen wäre natürlich ein interessantes Thema, welches gerne einmal ein Spieler von uns ausführlich in einem neuen Thread erklären und aufbereiten kann. :)

      Beschwerden/Probleme jeglicher Art können gerne jederzeit an unser Beschwerdeteam weitergeleitet werden. Hier ist im übrigen auch direkt garantiert, dass man mit unserem Team in Kontakt kommt.

      Vielen Dank für eure starke Teilnahme und viele Grüße
      Meeri
      --- No one ever made a difference by being like everyone else. - P.T. Barnum (The Greatest Showman) ---

      Neujahrsgedanken 2016 / Neujahrsgedanken 2017 / Neujahrsgedanken 2018
      MeeriSchatz vielen Dank für die Aufklärung :) Was mir nur einfällt was wichtig für euch ist, ist, wie oben erwähnt, die Unterscheidung zwischen nicht anonymisiert, pseudonymisiert und anonymisiert Daten. Wäre toll wenn noch einer Schreiben könnte, wie genau die Daten aussahen die über die Schnittstelle gingen, ich konnte nirgends was dazu finden, ist aber jetzt nicht dringend da die Schnittstelle erst mal tot ist. Wenn ihr den Text unter dem Häckchen noch mit einer Erklärung verlinkt, sollte das auch rechtlich sauber sein.

      00Moritz, wir stehen ja im Kontakt per PN.
      Ich hatte eben Zeit und habe mir die genauere Implementierung noch einmal angeschaut:
      Seitens Terraconia werden alle Namen anonymisiert, wenn diese im Profil nicht ausgewählt haben, dass diese Daten an Veteka weiter geleitet werden sollen.
      Konkret wird dabei jeder Name im JSON-Format durch ein "-" ersetzt. Dadurch sollte ausgeschlossen sein, dass die Namen unbeteiligter verwendet werden können.
      Es werden dabei Transaktionen übertragen, bei denen der Nutzer, der den API-Zugriff erlaubt hat, sowohl Besitzer als auch Kunde des Shops ist.

      Die Namen von den Spielern wurde im Klartext übertragen. Über die API-Schnittstelle ist nur das Auslesen der letzten 2 Wochen möglich.
      E = mc² <--> Error = more code²

      Joo200 wrote:

      Seitens Terraconia werden alle Namen anonymisiert, wenn diese im Profil nicht ausgewählt haben, dass diese Daten an Veteka weiter geleitet werden sollen.


      Das klingt doch gut :) Ob die Art der Anonymisierung zu Randzeiten sicher funktioniert müsste man prüfen, ich weiß nicht ob ein Zeitstempel mitgesendet wird und falls, wie präzise dieser ist. Vom Gefühl her würde ich sagen das man diese anonymisierten Daten nur als "Bulk" zur Verfügung stellen sollte und ein Bulk mehrere Käufe beinhalten sollte, um sicher sein zu können das die Anonymisierung nicht aufgehoben werden kann. Die "Online-Liste" inkl. Lokalisierung des Spielers ist ja frei abrufbar.

      Ein berühmter Fall in der Wissenschaft dazu ist z.B. ein Datensatz von netflix, dessen Anonymisierung sich leichter aufheben lies wie den meisten Recht war ;)
      courses.csail.mit.edu/6.857/20…Katchoff-Zeng-Netflix.pdf

      Entchen_ wrote:

      Als ich geschrieben habe, dass keiner gezwungen wird seine Daten weiter zu geben, war das ernst und ehrlich gemeint.


      Da alle Daten aller Nutzer gesendet wurden, auch jener die nicht zugestimmt haben (allerdings korrekt in anonymisierter Form), sollte man halt bei jeder Funktion immer genau hinschauen und das ganze lieber doppelt hinterfragen. Lieber einmal zu viel vorsicht walten lassen wie zu wenig.

      Post was edited 1 time, last by “Wollbert” ().

      Ich wende mich mal mit einem paar Worten zu Tage, obwohl ich nicht mehr so aktiv bin jedoch im aktiven Systemadministrator beim Bund (Hier wird Sicherheit etc sehr GROß geschrieben).

      Die rechtlichen Konsequenzen können wirklich verheerend sein, und möchte wirklich daraufhin alle die sich einen "unmanagend Server" holen möchten erstmal lokal zu lernen :) Das erspart einiges an Problemen weil man wirklich in den Ruin kommen kann..hört sich hart an, ist jedoch Realität.. :(

      Finde das Wollbert hier richtig reagiert hat, da sonst nicht die Ernst der Lage erkannt wurde, er hat Nichtmal nur die anderen User aufgeklärt sondern auch dem Serverhoster eventuelle Konsequenzen erspart. Server sind leider keine Spielzeuge und "learn by doing" sollte man nicht gerade am einen produktiven Server im Internet praktizieren.

      Das sollte nur ein kleiner reminder sein, wenn jemand Interesse an einer Informatikausbildung haben oder sonstwas mit Systemadministration zutun hat Fragen haben können sich gerne bei mir melden ich bei Zeiten helfe ich gerne weiter! (IT Sicherheit ist meine Spezialität da ich darauf erzogen wurde von Tag 1 aus ja weil Bundeswehr :D)
      [color=#000000" wfd-id="116]I'm always a mess. | Exhibit 1: My Room | Exhibit 2: My Mind | Exhibit 3: My Emotion -Pick whichever exhibit you want | I know ur the same too ^^
      [/color][color=#008080" wfd-id="115]Man erntet was man sät, aus Liebe wird Hass.
      [/color]
      But that's okay
      'Cause I love me, yeah, I love me
      Hi, ich bins nur.

      AnderCrafterYT.

      Minecraft-Anhänger.

      Enthusiast.

      Ich bin begeistert, was Terraconia hierfür bietet und danke den Gründern und Betreibern.

      Ich war so sehr begeistert, dass ich vor einiger Zeit die VETEKA gegründet habe mit ein paar anderen Leute Ideen für eine weiterführende Dienste ausgedacht und umgesetzt habe.

      Mit wahnsinnig viel privater Zeit und auch ein wenig privatem Geld - Aber mit ganz viel lust und Laune.

      Aber genau diese Aktivitäten haben offenbar hier und an anderer Stelle zu teils sehr unschönen Diskussionen geführt. Aber dazu gleich. Denn:

      Vor allem möchte ich an dieser stelle erst mal ein sorry loswerden für den teil des tumults, für den ich möglicherweise verantwortlich bin.

      Am Ende muss die community entscheiden, aber vielleicht bin ich nicht der einzige der sich wundert:

      Es gibt zumindest den Eindruck, dass die Diskussion und deren stil vor allem von einer Stelle losgetreten wurde, die

      …erst sehr kurz hier ist und/oder...

      …scheinbar gar nicht so sehr vorrangig an Minecraft, Terraconia, der VETAKA oder Terrastats oder so interessiert ist.

      Was das eigentliche Interesse ist, bleibt schleierhaft. Wobei eines wird schon klar, man ist zumindest hinter meinem Klarnamen und meiner meldeadresse her, wie der teufel hinter der armen Seele. Merkwürdig, oder?

      Schade, dass selbst hier in den Foren die Diskussion über meinen Klarnamen etc. weitergeführt wird. Eigentlich doch ein No-Go, oder?

      Oder das ich sogar beim Serveranbieter netcup im Forum von einem terraconia-Mitglied dort öffentlich diskreditiert werde (z.B. Zitat: „...Perlen der Unterhaltungskunst...“) und zum Gespött gleich noch direkte Links auf mein terraconia-Profil angeboten werden. Besonders erschütternd von jemandem, der in seinem Footer stehen hat „Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen!"

      Zuletzt werde ich auch noch in persönlichen Nachrichten bedroht mit „ob die [Adresse] ladungsfähig ist, werden wir die Tage herausfinden. Wünsche Dir noch eine schöne Zeit bis dahin. Keine Sorge, natürlich habe ich sämtliche relevanten Teile Deiner Webseite gesichert“.

      Sorry, aber, wo sind wir denn da jetzt angekommen? Ist das noch Terraconia?
      Schade auch das meine Bemühungen als engagiertem Terraconia-Mitglied hier als „grottig“ bezeichnet oder sonstwie durch den Kakao gezogen werden.

      Meine Engagement mag teils amateurhaft sein. Aber amateur kommt bekanntlich von Liebhaberei. Und genau das trifft es.

      Die allermeisten hier sind begeisterte Liebhaber von Minecraft und Terraconia. Und ich hab als Liebhaber viel lernen können. Sehr, sehr cool. Danke.

      Daher traf mich auch die Beschimpfung „lernresistent“ oder ähnlich am allermeisten. Entspricht überhaupt nicht meiner Natur.

      Lernen wollen wir hier alle gern. Es kommt aber schon meist drauf an, was, wie und mit wem und auf welche art und weise. Daher:

      Aus meiner Sicht habe ich einen ganz anderen Fehler gemacht.

      Ich habe scheinbar falsche Prioritäten gesetzt:

      Statt DGSVO, TMG und Serversicherheit habe ich mich offenbar mehr für Minecraft, Terraconia, der VETAKA oder Terrastats und so weiter interessiert.

      Und, ja, möglicherweise ist sogar mein Server, den ich der VETAKA und den Terrastats zur Verfügung gestellt habe, temporär durch einen Fehler an anderer Stelle kompromittiert worden.

      Nie aber wollte ich jemanden hier leichtfertig gefährden, natürlich auch mich nicht. Ob ich das vor lauter Begeisterung und zugleich Unwissenheit vielleicht doch getan habe, könnt Ihr entscheiden. Nach allen (auch professionellen Erkenntnissen) ist das zumindest was Euch angeht zu keinem Zeitpunkt der Fall gewesen. Und ich selbst bin eigentlich erst recht ein so gesetzestreues Wesen, dass man sich fast dafür schämen kann. Daher...

      Ich hab das jetzt alles abgeschaltet.

      Schade, dass dieses Engagement so enden muss.

      Liebe Grüße,

      Edit DerDoctorWho: Vorrangig zum Schutz der Betroffenen Personen den Namen entfernt.

      Post was edited 1 time, last by “DerDoctorWho” ().

      Ich finde dein Engagement bemerkenswert, nicht jeder hat die lust sich mit der Materie auseinandersetzen, mach dir einfach keine Gedanken sobald das Ding vom Netz ist kann dir erstmal nichts mehr passieren, wenn du Interesse hast ihn neu aufzusetzen bin ich dir gerne behilflich mit Dockers oder LXC, dann erkläre ich dir gerne was zu IT Sicherheit dazugehört und was man jeden Tag machen muss :)

      Und für das Problem mit dem Meldedaten die vom Gesetz her angegeben werden muss, es gibt bestimmte Seiten (weiß nicht ob ich sie nennen darf wegen Werbung?)
      Dort mietet man sich ein Briefkasten und die Mitarbeiter Scannen für die, die Dokumente ein bzw leiten sie auf Wunsch direkt an deine Adresse weiter!
      Sogar eine eigene Klingel bekommt man da <:

      Kostet aber jenachdem Tarif (Monatstarif) das man wenn man sein kontingent an scannen vom Briefen mal so ein Scan von der ersten Seite 30 Cent kostet und jede weitere wieder 15 Cent etc, diese ist auch Ladungsfähig <:

      Mfg Hotz der Klotz
      [color=#000000" wfd-id="116]I'm always a mess. | Exhibit 1: My Room | Exhibit 2: My Mind | Exhibit 3: My Emotion -Pick whichever exhibit you want | I know ur the same too ^^
      [/color][color=#008080" wfd-id="115]Man erntet was man sät, aus Liebe wird Hass.
      [/color]
      But that's okay
      'Cause I love me, yeah, I love me
      Ich kann deinen Unmut über den Ausgang der gesammten Geschichte durchaus nachvollziehen. Das alles ist tatsächlich nicht optimal verlaufen und es wäre sicherlich möglich gewesen, das von allen Seiten her angenehmer zu regeln.

      Sowohl im Netcup-Forum als auch hier habe ich allerdings stets eine Einsicht vermisst. Viele Administratoren haben dir empfohlen, deinen Server abzuschalten.

      AnderCrafterYT wrote:

      Es gibt zumindest den Eindruck, dass die Diskussion und deren stil vor allem von einer Stelle losgetreten wurde, die

      …erst sehr kurz hier ist und/oder...

      …scheinbar gar nicht so sehr vorrangig an Minecraft, Terraconia, der VETAKA oder Terrastats oder so interessiert ist.

      Ja, denn das Interesse an diesen Personen war tatsächlich die Sicherheit. Die Sicherheit der Nutzer deiner Angebote, die Sicherheit anderer Server, die Sicherheit des kompletten Internets. Das geht weit über irgendwelche Dienste auf deinem Server hinaus, es geht dabei um den Server an sich.

      AnderCrafterYT wrote:

      Sorry, aber, wo sind wir denn da jetzt angekommen? Ist das noch Terraconia?
      Schade auch das meine Bemühungen als engagiertem Terraconia-Mitglied hier als „grottig“ bezeichnet oder sonstwie durch den Kakao gezogen werden.

      Nein, das ist definitiv nicht Terraconia. Bei all deinen Bemühungen solltest du nicht vergessen, dass du einen öffentlich erreichbaren Server im Internet administriert hast. Dieser ist den Gefahren im Internet ausgesetzt. Neben der Aktivität als Administrator ist dabei vor allem wichtig, dass man vorsichtig und überlegt vorgeht. Das ist dann allerdings auch vollkommen unabhängig von deinem Status auf Terraconia.

      Dass deine Bemühungen von einigen als "grottig" bezeichnet werden, ist vielleicht etwas unschön. Aber dir haben genug Administratoren Tipps gegeben, dass es besser ist, den Server temporär zu stoppen und alles noch einmal in Ruhe neu aufzusetzen.

      AnderCrafterYT wrote:

      Was das eigentliche Interesse ist, bleibt schleierhaft. Wobei eines wird schon klar, man ist zumindest hinter meinem Klarnamen und meiner meldeadresse her, wie der teufel hinter der armen Seele. Merkwürdig, oder?

      Ich kann verstehen, dass die Anonymität im Internet durchaus ihre Reize hat. Dabei ist es oft etwas befremdlich, seine eigenen Daten im Internet anzugeben. Allerdings gibt es beim Betrieb von Webseiten und Diensten im Internet gewisse Pflichten, denen du nachkommen musst. Die Angabe von Daten, wie du erreichbar bist, gehört nach dem Telemediengesetz in ein Impressum. Und so wie du deine Seite aufgebaut hast, ist nunmal das Impressum Pflicht.

      Ich möchte hier nicht weiter etwas breit treten, was man nicht breit treten sollte. Für mich ist dieses Thema vorerst erledigt. Allerdings muss man eben auch klar sagen, dass das Anbieten von Diensten - und sei es noch so nett gemeint - immer mit rechtlichen und technischen Hürden verbunden ist, die man davor klar ermitteln muss und einhalten muss. Auch wenn eine "Spielwiese" im Internet ganz nett sein mag, so kann diese Spielwiese für andere Personen zu einer realen Gefährdung werden.
      E = mc² <--> Error = more code²

      Post was edited 1 time, last by “Joo200” ().

      Ich muss sagen die letzten Beiträge hier sind so schön geschrieben, aufwendig recherchiert und fundiert vom Wissen das es fast Schade ist das Thema komplett zu löschen. Könnte man nicht den Thread sperren und stark ausmisten/Personen anonymisieren, immerhin steht hier auch viel wertvolles wo einige Schreiber sicherlich viel Zeit in ihre Beiträge investiert haben?

      Serversicherheit, Pflichten und Konsequenzen sind für TerraConia nicht gerade völlig fremde Themen ;)