Massive Verletzung des Privatsphäre durch Entwickler des ThWB (ThWboard Support-Forum (Archiv))

Ort: / Boardübersicht / Allgemein / Massive Verletzung des Privatsphäre durch Entwickler des ThWB

Bell schrieb am 17.11.2006 um 23:46 Uhr

Es geht um Privat Messages.

Es wird der Eindruck erweckt diese wären 'privat'. In Wahrheit liegen diese aber für die Admins wie ein offenes Buch in mysql.

Massive Datenschutzverletzung sehe ich deshalb, da auf diese Tatsache durch die Entwickler an keiner Stelle hingewiesen wird, vielmehr durch das Adjektiv 'private' der Eindruck vermittelt wird, nur die unmittelbar Beteiligten könnten die Messages lesen..

Der Admin des JF (http://www.jewish-forum.de), Dmitri Derkatsch, behauptete sogar explizit PM's nicht lesen zu können, da diese angeblich verschlüsselt in der mysql-datenbank ständen.

Narodnaja schrieb am 19.11.2006 um 19:08 Uhr

Was soll man sagen ?
Da hast du recht.

Aber nur mal so als Anmerkung: Das betrifft auch emails. Der Administrator deines Providers kann deine emails technisch auch problemlos lesen. Einzige Alternative wäre eine Verschlüsselung mit PGP o.ä.
Ich wüsste aber nicht, dass irgend ein Board sowas anbietet. Technisch gesehen liegen die Daten nunmal in der Datenbank. Und selbst wenn sie verschlüsselt wären, müsste ja irgendwo der Schlüssel hinterlegt sein, entweder in der Datenbank oder aufm Server. Und wo hat ein Admin nun aber mal Zugriff ?

Exakt deshalb reagiere ich unglaublich allergisch auf Themen wie das hier.

Aber was willst du uns damit eigentlich sagen ? Das ist Standard in imho jeder Forensoftware. Da haben erstens nicht die Entwickler des ThWBoards was damit zu tun, sondern es ist technisch bedingt, zweitens verletzen nur Leute die Privatsphäre, die das Zeug auch lesen, und drittens sollte man als Internetuser so viel Intelligenz besitzen, an sowas zu denken.

Bell schrieb am 19.11.2006 um 22:57 Uhr

Zunächst mal Danke für den Link auf eine alte Diskussion ... und schön zu wissen, dass Du auch was gegen diese PM-Schnüffelei hast.

Narodnaja postete
Aber nur mal so als Anmerkung: Das betrifft auch emails. Der Administrator deines Providers kann deine emails technisch auch problemlos lesen.

Ich habe keinen Zweifel daran, dass es dem Admin möglich ist. Die einzige Frage ist, ob es wirklich 'problemlos' möglich ist.

Einzige Alternative wäre eine Verschlüsselung mit PGP o.ä.
Ich wüsste aber nicht, dass irgend ein Board sowas anbietet. Technisch gesehen liegen die Daten nunmal in der Datenbank. Und selbst wenn sie verschlüsselt wären, müsste ja irgendwo der Schlüssel hinterlegt sein, entweder in der Datenbank oder aufm Server. Und wo hat ein Admin nun aber mal Zugriff ?

Darum geht es mir nicht. Also nicht darum ein etwa absolut sicheres PM-System zu fordern -das gibt es sowieso nicht-, sondern lediglich eines, bei dem man mindestens minmale Hürden überwinden muß, Hürden aber immerhin doch so hoch, dass klar wird, dass man eine Grenzüberschreitung begeht, um an die begehrte Ware, die Inhalte fremder PM's also, heranzukommen.

Man ist schon verpflichtet das eigene Auto beispielsweise abzuschließen. Tut man dies nicht 'verleitet man zum Diebstahl' ... verliert den Versicherungsschutz, haftet sogar für Unfälle die eigentlich aufs Konto des Diebes gehen.

Es geht mir also darum einem Admin mindestens bewußt zu machen, dass er Unrechtes tut, wenn er in fremde PM-Boxen schaut. Dies aber geschieht an keiner Stelle. ThWb verkneift sich jeden Hinweis auf Unrechtes, wiegt aber gleichzeitig den Normalposter in der Sicherheit, dass die PM's wirklich privat sind und fast alle glauben dies auch.

ThWb macht es Admins nicht etwa schwer (beispielsweise über eine zu überwindende Minimalverschlüßelung), sondern über thwbMyAdmin auch noch besonders leicht die PMs anderer Leute zu lesen.

Aber was willst du uns damit eigentlich sagen ? Das ist Standard in imho jeder Forensoftware. Da haben erstens nicht die Entwickler des ThWBoards was damit zu tun, sondern es ist technisch bedingt,

Dass es sehr leicht ist die PM's zu lesen, ist nicht technisch bedingt ... sondern Faulheit der Entwickler ... wenn nicht sogar Kalkül.

zweitens verletzen nur Leute die Privatsphäre, die das Zeug auch lesen,

Richtig zwar, wenn es aber besonders leicht gemacht wird, geht natürlich diesbezüglich auch das Unrechtsbewustsein verloren ... und Deine Argumentation 'Standard jeder Forensoftware' ... mal ganz ehrlich, die dient im Endeffekt doch auch dazu, das Unrechtsbewustsein diesbezüglich weiter herabzusetzen.

und drittens sollte man als Internetuser so viel Intelligenz besitzen, an sowas zu denken.

Nöö ... da irrst Du ganz gewaltig. Die meisten sind vollkommen davon überzeugt, dass Ihre PM's auch wirklich geheim sind, zumindest nicht wie ein offenens Buch vor dem Admin liegen. Und nocheinmal: Auf meine ausdrückliche Frage an den Admin des jewish-forum ob er denn die pm's der Teilnehmer lesen könne, hat der wirklich behauptet, er könne sie nicht lesen, weil die verschlüßelt in der Datenbank ständen. Und natürlich habe ich es ihm geglaubt ... wie natürlich alle anderen User auch.

Gut ... das ThWb-Team kann natürlich nichts dafür, welche Lügen der Admin des jewish-forum so in die Welt setzt ... aber es kann schon etwas dafür, dass es für die User die PM's nutzen keinen Warnhinweis darauf bringt, dass die Admins die PM's lesen können.

(Auch hier: dass ein Admin solch einen Warnhinweis wieder ausbauen kann ... steht auf einem ganz anderen Blatt Papier).

theDon schrieb am 20.11.2006 um 11:47 Uhr

Bell postete
Zunächst mal Danke für den Link auf eine alte Diskussion ... und schön zu wissen, dass Du auch was gegen diese PM-Schnüffelei hast.

Das ist natuerlich _der_ Grund, einen uralten Thread wieder auszugraben und da erstmal pauschale Behauptungen reinzusetzen, obwohl die Diskussion _hier_ stattfindet.

Narodnaja postete
Aber nur mal so als Anmerkung: Das betrifft auch emails. Der Administrator deines Providers kann deine emails technisch auch problemlos lesen.
Ich habe keinen Zweifel daran, dass es dem Admin möglich ist. Die einzige Frage ist, ob es wirklich 'problemlos' möglich ist.

Ich kann dir versichern, dass das absolut problemlos ist.

Darum geht es mir nicht. Also nicht darum ein etwa absolut sicheres PM-System zu fordern -das gibt es sowieso nicht-, sondern lediglich eines, bei dem man mindestens minmale Hürden überwinden muß, Hürden aber immerhin doch so hoch, dass klar wird, dass man eine Grenzüberschreitung begeht, um an die begehrte Ware, die Inhalte fremder PM's also, heranzukommen.

Wenn man erst ein SQL-Query zusammenbasteln muss, um irgendetwas zu lesen, dann ist das schon einmal eine Huerde, an der 90% aller Moechtegern-Schnueffler scheitern.

Man ist schon verpflichtet das eigene Auto beispielsweise abzuschließen. Tut man dies nicht 'verleitet man zum Diebstahl' ... verliert den Versicherungsschutz, haftet sogar für Unfälle die eigentlich aufs Konto des Diebes gehen.

Wenn du paranoid bist, bitte. Es hindert dich niemand daran, da PGP/GPG-verschluesselte Texte drueber zu verschicken. Klartext ist niemals sicher.

Es geht mir also darum einem Admin mindestens bewußt zu machen, dass er Unrechtes tut, wenn er in fremde PM-Boxen schaut. Dies aber geschieht an keiner Stelle. ThWb verkneift sich jeden Hinweis auf Unrechtes, wiegt aber gleichzeitig den Normalposter in der Sicherheit, dass die PM's wirklich privat sind und fast alle glauben dies auch.

Wenn der Admin nicht selber weiss, dass er da Unrecht begeht, dann ist er als Admin ungeeignet.

ThWb macht es Admins nicht etwa schwer (beispielsweise über eine zu überwindende Minimalverschlüßelung), sondern über thwbMyAdmin auch noch besonders leicht die PMs anderer Leute zu lesen.

Die Minimalverschluesselung kickt nicht, weil sie ein truegerisches Sicherheitsgefuehl verbreiten wuerde. Der thwbMyAdmin ist uebrigens in irgendeiner Version > 2.81 rausgefallen, das Argument zieht also auch nicht.

Und nocheinmal: Auf meine ausdrückliche Frage an den Admin des jewish-forum ob er denn die pm's der Teilnehmer lesen könne, hat der wirklich behauptet, er könne sie nicht lesen, weil die verschlüßelt in der Datenbank ständen. Und natürlich habe ich es ihm geglaubt ... wie natürlich alle anderen User auch.

Selbst schuld. das thwb ist Open Source, ihr haettet das also ohne Aufwand ueberpruefen koennen (als Alternative waere dann noch die Moeglichkeit gewesen, hier zu fragen).

Bell schrieb am 20.11.2006 um 14:38 Uhr

theDon postete
Bell postete
Zunächst mal Danke für den Link auf eine alte Diskussion ... und schön zu wissen, dass Du auch was gegen diese PM-Schnüffelei hast.
Das ist natuerlich _der_ Grund, einen uralten Thread wieder auszugraben und da erstmal pauschale Behauptungen reinzusetzen, obwohl die Diskussion _hier_ stattfindet.

Ich habe dort pauschale Behauptungen reingesetzt? Sag mal, was verstehst Du denn überhaupt unter einer 'pauschalen Behauptung'?

Wenn ich es richtig sehe, habe ich dort vielmehr eine 'pauschale Behauptung' richtig gestellt ... aber keineswegs etwa selber eine pauschale Behauptung aufgestellt.

Narodnaja postete
Aber nur mal so als Anmerkung: Das betrifft auch emails. Der Administrator deines Providers kann deine emails technisch auch problemlos lesen.
Ich habe keinen Zweifel daran, dass es dem Admin möglich ist. Die einzige Frage ist, ob es wirklich 'problemlos' möglich ist.
Ich kann dir versichern, dass das absolut problemlos ist.

Und daraus folgt jetzt, dass so etwas vollkommen in Ordnung ist ... oder was?

Darum geht es mir nicht. Also nicht darum ein etwa absolut sicheres PM-System zu fordern -das gibt es sowieso nicht-, sondern lediglich eines, bei dem man mindestens minmale Hürden überwinden muß, Hürden aber immerhin doch so hoch, dass klar wird, dass man eine Grenzüberschreitung begeht, um an die begehrte Ware, die Inhalte fremder PM's also, heranzukommen.
Wenn man erst ein SQL-Query zusammenbasteln muss, um irgendetwas zu lesen, dann ist das schon einmal eine Huerde, an der 90% aller Moechtegern-Schnueffler scheitern.

Es geht um Leute die immerhin imstande waren sich webspace zu besorgen, das thwboard runterzuladen und zu installieren. Es geht also nicht um 90% der Internetuser. Ich halte es übrigens für eine pauschale Behauptung zu behaupten ein SQL-Query zusammenzubasteln sei eine sonderliche Hürde ... soviel schwerer als googlen ist es ja nun wirklich nicht.

Davon abgesehen: Sollte das wirklich als Argument gemeint sein, fragt man sich natürlich, warum der thwbMyAmin überhaupt eingebaut wurde ... und warum je ein phpMyAdmin entwickelt wurde.

Man ist schon verpflichtet das eigene Auto beispielsweise abzuschließen. Tut man dies nicht 'verleitet man zum Diebstahl' ... verliert den Versicherungsschutz, haftet sogar für Unfälle die eigentlich aufs Konto des Diebes gehen.
Wenn du paranoid bist, bitte. Es hindert dich niemand daran, da PGP/GPG-verschluesselte Texte drueber zu verschicken. Klartext ist niemals sicher.

Verstehe, Du meinst die Möglichkeit, die ich wie jederman dort hat, entbindet Entwickler natürlich von der Pflicht minimale Hürden diesbezüglich aufzubauen ... ja sogar davon, Warnhinweise zu geben.

Es geht mir also darum einem Admin mindestens bewußt zu machen, dass er Unrechtes tut, wenn er in fremde PM-Boxen schaut. Dies aber geschieht an keiner Stelle. ThWb verkneift sich jeden Hinweis auf Unrechtes, wiegt aber gleichzeitig den Normalposter in der Sicherheit, dass die PM's wirklich privat sind und fast alle glauben dies auch.
Wenn der Admin nicht selber weiss, dass er da Unrecht begeht, dann ist er als Admin ungeeignet.

Mag sein. Nur was nutzt die Erkenntnis? Wer soll ihn denn absetzen? Ebensogut könnte man sagen: ein Entwickler, der es den Admins derart leicht macht und die User derart in die Irre führt, ist als Entwickler ungeignet.

ThWb macht es Admins nicht etwa schwer (beispielsweise über eine zu überwindende Minimalverschlüßelung), sondern über thwbMyAdmin auch noch besonders leicht die PMs anderer Leute zu lesen.
Die Minimalverschluesselung kickt nicht, weil sie ein truegerisches Sicherheitsgefuehl verbreiten wuerde.

Wem? Dem normalen User? Der geht eh davon aus, dass Private Mails/Nachrichten nicht lesbar sind ... der hat ein absolut sicheres Gefühl diesbezüglich. Ein Schloß ist ein Schloß ... und wenn es noch so schlecht ist ... es zeigt: hier darfst Du nicht rein ... das ist der wesentliche Unterschied zu gar keinem Schloß!

Der thwbMyAdmin ist uebrigens in irgendeiner Version > 2.81 rausgefallen, das Argument zieht also auch nicht.

Tja, was soll ich dazu sagen. Ich habe mir Version 2.84 runtergeladen ... und das scheint ja immer noch die neuste Version zu sein ... und bei mir ist der thwbMyAdmin aufjedenfall noch mit drin.
Selbst wenn es so wäre: Solche grundlegenden Fehler bekommt halt nicht raus, da ja niemand verpflichtet ist, die jeweils neueste Software zu laden.

Und nocheinmal: Auf meine ausdrückliche Frage an den Admin des jewish-forum ob er denn die pm's der Teilnehmer lesen könne, hat der wirklich behauptet, er könne sie nicht lesen, weil die verschlüßelt in der Datenbank ständen. Und natürlich habe ich es ihm geglaubt ... wie natürlich alle anderen User auch.
Selbst schuld. das thwb ist Open Source, ihr haettet das also ohne Aufwand ueberpruefen koennen (als Alternative waere dann noch die Moeglichkeit gewesen, hier zu fragen).

[/quote] Ja, so schafft man sich sein sanftes Ruhekissen ... Otto Normalverbraucher hat selber schuld! Ist ja auch so easy für Otto die Software zu überprüfen.
Oh Neee ... auf der einen Seite behaupten an einer simplen msql-query scheiterten 90 % aller Admins .... auf der anderen Otto aber sagen, er habe selber Schuld, da er die Software nicht auf Sicherheitsmängel überprüft habe ..*lol*

Warum ist es so schwer für die User den Hinweis zu geben, dass die Private-Messis durch den Admin lesbar sind ... das wäre doch nun das Einfachste und meiner Ansicht nach Allermindeste was man als Entwickler tun müßte um sich diesbezüglich ein sanftes Ruhekissen zu verschaffen.

Aber nein ... Otto hat selber Schuld ... er hätte ja die Software ohne Aufwand überprüfen können.

PS: Die ungültige Sessionid nervt ... Ich kriege die jedesmal zunächst, wenn ich auf 'Antwort-erstellen' klicke.

Narodnaja schrieb am 20.11.2006 um 19:52 Uhr

Einen Hinweis à la "Bitte beachten: Der Inhalt Ihrer PM kann mit technischen Hilfsmitteln aus der Board-Datenbank ausgelesen werden." ?

Oder einen Hinweis an den Root-Admin, beim Installieren des Boards wie "Bitte beachten Sie, dass private Nachrichten vertraulich sind, und ein Auslesen der Nachrichten anderer User eine Verletzung der Privatsphäre ist." ?

Geht es dir denn eigentlich nun um den, der ins Admincenter kommt, oder um den, der Zugriff auf den Server (beispielsweise mit PhpMyAdmin) hat ?

Wer Zugriff auf den Code hat, kann massiv den User hintergehen, egal um was es geht, und zwar ohne dass es jemand merkt. Egal wo man sich registriert, man vertraut dem Anbieter - wobei das beim mündigen User auf einen vernünftigen Maßstab beschränkt sein sollte.

hevtig schrieb am 20.11.2006 um 23:55 Uhr

Naja, wir wollen die Kirche doch mal im Dorf lassen ;)
Sicherlich bietet die Forensoftware, sowie die meiste andere Forensoftware auch, Angriffsfläche für deine Kritik, allerdings sehe ich es ebenso wie theDon, daß alleine der SQL String schon eine nicht zu verachtende Hürde ist, Schließlich muß ich mir ja dazu auch die UserIDs etc. passig zusammenbauen.
Dass das thwbadmin einen Mißbrauch unterstützt sehe ich nicht. Schließlich bietet auch fast jeder Provider einen phpMyadmin Zugang, oder eine andere Datenbankverwaltungsoberfläche mit der sowas meist komfortabler zu erledigen wäre. Um ein Forum vernünftig betreiben zu können benötigt man schon eine Datenbankverwaltungsoberfläche.
Dennoch sollte jedem User doch klar sein, daß ein Admin die Software administriert. Als User kann man nicht kontrollieren, ob ein evtl. eingebautes Verschlüsselungssystem ausgebaut wurde.
Als Admin könnte er sich sogar unter deinem Useraccount einloggen und die PMs lesen/ in deinem Namen posten. (Hin- und Her- Wechseln der hashes).

Meldet man sich an einem Forum an gibt man also eigentlich ein gewisses Vertrauen an den Betreiber.
Deiner scheint es ja mißbraucht zu haben, was natürlich schade ist.
Datenschutzrechtlich ist es sicherlich fragwürdig, wie soviele andere Sachen auch. Die EMails in der Firma kann meist der Admin lesen, oder der Provider, weil meist unverschlüsselt gesendet wird. Der HTTP- Verkehr wird unverschlüsselt übertragen, FTP, Telnet... an allen Ecken und Kanten des Internet findet man noch solche Sachen.
Deswegen finde ich es nicht ok, daß du hier so hart vorgehst.

Der Admin des JF (http://www.jewish-forum.de), Dmitri Derkatsch,behauptete sogar explizit PM's nicht lesen zu können, da diese angeblich verschlüsselt in der mysql-datenbank ständen.

Vielleicht weiß er es nicht besser? Hast DU ihn gefragt, ob du ihn hier mit reellem Namen nennen darfst? (folglich auch irgendwie anklagend, da zwischen den Zeilen zu lesen ist, daß er den Datenschutz nicht beachtet haben könnte).
Nichts desto trotz sind PMs im Allgemeinen privat. Schließlich muß jemand in irgendeiner Form administrative Rechte haben um einen Mißbrauch zu machen.
Folglich ist die Anzahl derer, die das können gering.

Es ist sicherlich kein Problem, so einen Hinweis einzubauen. Dass du dich jetzt allerdings hier bei einem Board, das nicht mehr weiterentwickelt wird "beschwerst", finde ich auch schon ziemlich seltsam.

theDon schrieb am 21.11.2006 um 14:12 Uhr

Ich habe dort pauschale Behauptungen reingesetzt? Sag mal, was verstehst Du denn überhaupt unter einer 'pauschalen Behauptung'?

ThWb machts Ihnen ganz besonders leicht!

So etwas zum Beispiel ist pauschal. Wie viele Forensysteme hast du ueberprueft, bevor du das geschrieben hast? Vermutlich kein einziges, andernfalls waere dir aufgefallen, dass das dort naemlich auch nicht anders geloest wird. Warnhinweise gibt es da uebrigens auch nicht.

Und daraus folgt jetzt, dass so etwas vollkommen in Ordnung ist ... oder was?

Es ist nicht in Ordnung, es ist aber absolut kein Problem, so etwas zu tun.

Wenn man erst ein SQL-Query zusammenbasteln muss, um irgendetwas zu lesen, dann ist das schon einmal eine Huerde, an der 90% aller Moechtegern-Schnueffler scheitern.
Es geht um Leute die immerhin imstande waren sich webspace zu besorgen, das thwboard runterzuladen und zu installieren. Es geht also nicht um 90% der Internetuser.

Schon mal harter Bonus, dass du die Menge der Internetuser mit der Menge der Moechtegernschnueffler gleichsetzt. Dir ist schon klar, dass du dich damit selber disqualifiziert hast, weil du selber Internetnutzer bist?

Ansonsten: Wir sind hier nicht in Amiland, wo man so fuer so Selbstverstaendlichkeiten wie ,,Vorsicht, Kaffee koennte heiss sein!'' Warnhinweise auf Kaffeebechern braucht.

Narodnaja schrieb am 21.11.2006 um 16:44 Uhr

Und schließlich: Der Ton macht die Musik. Weil du mit einem Admin Probleme hast, hier die Entwickler anzufahren, finde ich unangebracht.

Ich will niemanden auf dumme Ideen bringen, aber wenn du dich bei einem Forum registrierst, bringst du damit dem Admin 100% Vertrauen entgegen, da sind PMs eher ne Kleinigkeit.

Allgemein: Dons Hinweis mit dem Kaffee trifft den Nagel auf den Kopf ;)

Bell schrieb am 22.11.2006 um 01:50 Uhr

hevtig postete
Naja, wir wollen die Kirche doch mal im Dorf lassen ;)
Sicherlich bietet die Forensoftware, sowie die meiste andere Forensoftware auch, Angriffsfläche für deine Kritik, allerdings sehe ich es ebenso wie theDon, daß alleine der SQL String schon eine nicht zu verachtende Hürde ist, Schließlich muß ich mir ja dazu auch die UserIDs etc. passig zusammenbauen.
Dass das thwbadmin einen Mißbrauch unterstützt sehe ich nicht. Schließlich bietet auch fast jeder Provider einen phpMyadmin Zugang, oder eine andere Datenbankverwaltungsoberfläche mit der sowas meist komfortabler zu erledigen wäre. Um ein Forum vernünftig betreiben zu können benötigt man schon eine Datenbankverwaltungsoberfläche.

Soweit es die angebliche Schwierigkeit angeht mysql Befehle abzusetzen, kann ich weder Dir noch Don folgen. Ich habe auf meinem local-host mysql vor ein paar Tagen ans Laufen gebracht ... und bin begeistert davon wie einfach es ist ... beispielsweise PMs zu lesen. Also mit Google hatte ich mehr Schwierigkeiten. Davon abgesehen ...

Dennoch sollte jedem User doch klar sein, daß ein Admin die Software administriert. Als User kann man nicht kontrollieren, ob ein evtl. eingebautes Verschlüsselungssystem ausgebaut wurde.

... hast Du noch nichteinmal auch nur ansatzweise den Kern meiner Argumentation erfasst.
Es geht -soweit man denn über einen Hinweis an die User hinausgehen will- nicht darum Leute mit krimineller Energie in Ihrem Tun zu hindern, sondern darum eine, wie leicht auch immer zu überwindende, Hürde zu bauen, so dass ein Minimum an krimineller Energie aufgebracht werden muß um PM's lesen zu können und man nicht quasi 'aus Versehen' die pm-tabellen statt der post-tabellen liest.

Als Admin könnte er sich sogar unter deinem Useraccount einloggen und die PMs lesen/ in deinem Namen posten. (Hin- und Her- Wechseln der hashes).

Ich versteh zwar nur Bahnhof -zwischen welchen hashes wechselst Du denn hin und her ... und was hat Hasch damit zu tun, dass der Admin sich unter meinem Useraccount einloggen kann ... also mir ist ein Rätsel, wie er das schaffen soll.

Das haben die ja immerhin hingekriegt, mit ihrem absurden Passwort-Cookie-System, dass der Admin immerhin nicht in der Lage ist die Passworte zu lesen ... wieso darauf nun soviel Wert gelegt wurde ist mir ein Rätsel ... denn all das was geheim ist am User (PM's zu Beispiel) kann der Admin ja nun ohnehin lesen ... aber so wie das System angelegt ist ... und das macht es so absurd ... ist es ja eine Einladung an jeden Passwort-Cracker bei thwboards Passworte zu cracken ... denn dort funzt das Passwort-Cracken ... ohne das irgendwer auch nur die leiseste Chance das mitzubekommen ... aber das ist nicht mein Thema ... es zeigt halt nur dass thwb nicht von Entwicklern sondern von Codern entwickelt wurde.

Die EMails in der Firma kann meist der Admin lesen,

Nur wenn er es tut ... ist das Grund zur fristlosen Kündigung.

Deswegen finde ich es nicht ok, daß du hier so hart vorgehst.

Na, ich schon. Wo soll man denn sonst ansetzen um zu verhindern, dass die Hürden immer weiter herab gesetzt werden ... wenn nicht bei den Entwicklern? Mit deren Fehlkonstruktionen haben doch schließlich alle zu leben. Nun gut, die Leute des thwb wollen erst noch Entwickler werden -bisher sinds reine Coder halt- ... na um so wichtiger, dass man ihnen ihre Denkfehler vor Augen führt.

Der Admin des JF (http://www.jewish-forum.de), Dmitri Derkatsch,behauptete sogar explizit PM's nicht lesen zu können, da diese angeblich verschlüsselt in der mysql-datenbank ständen.
Vielleicht weiß er es nicht besser?

Doch, er weiß es besser. Mysql kennt er wie seine Hosentasche.

Hast DU ihn gefragt, ob du ihn hier mit reellem Namen nennen darfst? (folglich auch irgendwie anklagend, da zwischen den Zeilen zu lesen ist, daß er den Datenschutz nicht beachtet haben könnte).

Nein

Es ist sicherlich kein Problem, so einen Hinweis einzubauen. Dass du dich jetzt allerdings hier bei einem Board, das nicht mehr weiterentwickelt wird "beschwerst", finde ich auch schon ziemlich seltsam.

Vielleicht finde ich es ja einfach ärgerlich, wenn Entwickler die Hürden Mißbrauch zu treiben -mit Verweis auf Konkurrenzprojekte, als ginge es um einen niedrige Hürden Wettbewerb- auf NULL setzen ...
An Software die draussen ist ... ist eh nix zu ändern ... unabhängig davon ob das thwb weiterentwickelt wird oder nicht. Bevor ich hier postete bin ich nicht auf die Idee gekommen, dass ein angehender Entwickler wie Don es vollkommen in Ordnung findet Mißbrauchshürden auf Null zu setzen und dieses Recht (Mißbrauchshürden auf Null zu setzen nämlich) auch noch mit Klauen und Zähnen verteidigt.
Und viel ärgerlicher, als dass es solche Software gibt, finde ich die Erkenntnis ... dass die Entwickler von morgen (und ich vermute mal sowie Don denken viele ... nicht umsonst sein Verweis auf Konkurrenzprojekte) soetwas völlig in Ordnung finden. Don wird ja wohl noch nicht in Rente gehen.

Edit: Also die Sache mit der ungültigen Sessionid hier ist ja irgendwie vollkommen absurd, nun erwischts mich schon beim editieren und ich muß einen Beitrag zweimal editieren damit die Korrekturen durchgehen ... was soll dieser Blödsinn bloß?

Bell schrieb am 22.11.2006 um 02:32 Uhr

theDon postete
Ich habe dort pauschale Behauptungen reingesetzt? Sag mal, was verstehst Du denn überhaupt unter einer 'pauschalen Behauptung'?

ThWb machts Ihnen ganz besonders leicht!
So etwas zum Beispiel ist pauschal. Wie viele Forensysteme hast du ueberprueft, bevor du das geschrieben hast? Vermutlich kein einziges, andernfalls waere dir aufgefallen, dass das dort naemlich auch nicht anders geloest wird. Warnhinweise gibt es da uebrigens auch nicht.

Don ... also da habe ich keine Behauptung aufgestellt ... sondern vielmehr für euch einen Werbeslogan kreiert ... und das auch vollkommen umsonst ... hmm ... naja ... Undank ist der Welten Lohn ... da müht man sich für euch mit einem Werbeslogan ab, bis einem das Blut unter den Fingernägeln hervorspritzt ... und dann sowas.

Aber um Deine Frage zu beantworten: ich habe mir noch das phpBB-System angeschaut. Und ja: auch dort stehen die PM's unverschlüßelt in der Datenbank

Aber es gibt im phpBB keine Möglichkeit aus der Forensoftware selber heraus die PM's zu lesen ... Grund für mich in dem Thread überhaupt zu schreiben war schließlich hetvigs falsche Behauptung aus der thwbsoftware heraus können man nicht die PMs lesen.

Wenn man erst ein SQL-Query zusammenbasteln muss, um irgendetwas zu lesen, dann ist das schon einmal eine Huerde, an der 90% aller Moechtegern-Schnueffler scheitern.
Es geht um Leute die immerhin imstande waren sich webspace zu besorgen, das thwboard runterzuladen und zu installieren. Es geht also nicht um 90% der Internetuser.
Schon mal harter Bonus, dass du die Menge der Internetuser mit der Menge der Moechtegernschnueffler gleichsetzt. Dir ist schon klar, dass du dich damit selber disqualifiziert hast, weil du selber Internetnutzer bist?

Hmmm Don, also ich zähle mich ja nun nicht zu den 90%. Ich habe Dich (bzw Deinen Begriff von den 'Möchtegernschnüfflern') offensichtlich falsch interpretiert ... und vollkommen zu Recht haust Du mir meine Falschinterpretation um die Ohren ...*gg*

Aber wer sind denn nun diese Möchtegernschnüffler ... und woher weißt Du so gut über die Bescheid?

PS: Ihre Session-Id ist ungültig ... die 100. Was soll bloß dieser Blödsinn?

Bell schrieb am 22.11.2006 um 03:36 Uhr

Narodnaja postete
Einen Hinweis à la "Bitte beachten: Der Inhalt Ihrer PM kann mit technischen Hilfsmitteln aus der Board-Datenbank ausgelesen werden." ?

Ja, zum Beispiel... allerdings würde ich wesentlich kürzer formulieren als Du. Etwa so:

Inhalte von PMs sind der Administration frei zugänglich

Oder einen Hinweis an den Root-Admin, beim Installieren des Boards wie "Bitte beachten Sie, dass private Nachrichten vertraulich sind, und ein Auslesen der Nachrichten anderer User eine Verletzung der Privatsphäre ist." ?

Geht es dir denn eigentlich nun um den, der ins Admincenter kommt, oder um den, der Zugriff auf den Server (beispielsweise mit PhpMyAdmin) hat ?

Wer Zugriff auf den Code hat, kann massiv den User hintergehen, egal um was es geht, und zwar ohne dass es jemand merkt. Egal wo man sich registriert, man vertraut dem Anbieter - wobei das beim mündigen User auf einen vernünftigen Maßstab beschränkt sein sollte.

Ich habe es hevtig schon geschrieben, worum es mir geht. Ein Hürde aufzubauen nämlich, die es notwendig macht 'kriminelle Energie' aufzubringen um die PM's lesen zu können.

Nur darum geht es. Dass man einen Dietrich benutzen muß nämlich ... weil da ein Schloß vorhängt.

Soetwas einzubauen, kann doch höchstens 10 Codezeilen kosten. Es reicht doch vollkommen vor dem Einstellen in die DB auf jedes Byte (von pmtext und pmtopic) eine eins drauf zuaddieren und beim Lesen der PM's die eins wieder abzuziehen.

Niemand könnte dann mehr 'aus Versehen' PM's lesen ... sowie man vielleicht versehentlich, bei der verzweifelten Suche nach dem WC, im Schlafzimmer der Dame des Hauses landet ... man müßte vielmehr einen Dietrich (also ein Codeschnipsel) anwenden.

Nur darum geht es: Dass ein Admin 'kriminelle Energie' aufbringen muß, wenn er denn PM's lesen will ... nicht darum mit 100% Sicherheit zu verhindern, dass PM's vom Admin gelesen werden können.

Dons Hinweis mit dem Kaffee:
Ansonsten: Wir sind hier nicht in Amiland, wo man so fuer so Selbstverstaendlichkeiten wie ,,Vorsicht, Kaffee koennte heiss sein!'' Warnhinweise auf Kaffeebechern braucht.

Allgemein: Dons Hinweis mit dem Kaffee trifft den Nagel auf den Kopf

Mein Gott .. diese jungen Leute aber auch heutzutage ... denkenlernenmachen!

Der Nagel von Dons Daumen wird vielleicht auf den Kopf getroffen ... aber bestimmt nicht der Nagel, den die Redewendung dafür eigentlich vorgesehen hatte.

Der Witz ist doch: Da sind Kaffetassen mit brühend heißen Inhalt und da steht etwa nicht nichts drauf, sondern es steht drauf:

'coole Kaffeetasse ... ganz ganz kalt ... kannst ruhig anfassen'

Der normale Poster/Internetuser wird durch die Aufschrift 'Private Messages' schlicht und einfach in die Irre geführt.

Bei phpBB beispielsweise verzichtet man immerhin auf den Zusatz 'private'. (ich habe die deutsche Version)

PS:Diese Sessionid ist ungültig die 101.

Scrratch schrieb am 22.11.2006 um 19:24 Uhr

Mein gott Bell, hassu nix zutun oder wie?

Ob einer PM's lesen kann oder nich is doch wohl grundsätzlich mal scheissegal bei Communities und wenn ein Admin meint das tun zu müssen, sollten die User schnellstens dort weg.

Im übrigen kann man die PM's bei JEDEM Forensystem lesen weil sie nunmal in ner Datenbank liegen und der Betreiber des Boardes Zugriff darauf hat, wurde ja auch oben bereits erwähnt.

Aber mir stellt sich ne ganz andere Frage -> wer um himmels willen hat soviel langeweile das er die PM's seiner User liest? Selbst in berechtigten Fällen geht einen das weder was an noch zeugt es von viel IQ....

Und "Private Message" oder nur "Message" das kannst du dir in den PHP Datein des THWB selbst umschreiben, where's the problem????????

Bell schrieb am 22.11.2006 um 23:20 Uhr

Scrratch postete
Mein gott Bell, hassu nix zutun oder wie?

Ob einer PM's lesen kann oder nich is doch wohl grundsätzlich mal scheissegal bei Communities

Ist das nun -in Dons Sinne- eine pauschale Behauptung von Dir ... oder hasse dafür auch ne Begründung ... wieso das Scheissegal ist ob ein Dritter die PMs liest oder nicht. Wie auch immer Deine Begründung nun ausfallen mag ... verstehe ich Dich richtig ... die Gesetzgebung bezüglich des Postgeheimnisses ist ein überflüssiger Kropf ... Postgeheimnis ... wie überhaupt Moral und Anstand ... überflüssige Zöpfe ... in Zeiten des Internets ... is ja eh alles virtuell oder wie?

Im übrigen kann man die PM's bei JEDEM Forensystem lesen weil sie nunmal in ner Datenbank liegen und der Betreiber des Boardes Zugriff darauf hat, wurde ja auch oben bereits erwähnt.

Ja, die Begründung kenn ich inzwischen auswendig ... allerdings ist sie so nicht ganz richtig.

Die PMs sind nicht deshalb lesbar, weil sie in der Datenbank liegen und der Betreiber des Boards Zugriff drauf hat .... wäre es so, wären ja auch die Passworte lesbar, sondern weil die PM's -dies unterscheidet sie nämlich von den Passworten- unverschlüßelt in der Datenbank liegen.

Und "Private Message" oder nur "Message" das kannst du dir in den PHP Datein des THWB selbst umschreiben, where's the problem????????

Na das ist ja endlich mal ein heißer Tipp Sccratch ... dann erkläre mir doch mal an Hand dieses Forums (thwboard.de) wie ich da an die PHP-Dateien komme, so dass ich die dann selbst umschreiben kann.

PS:Diese Sessionid ist ungültig die 102.

Gibt es eigentlich irgendeine halbwegs vernünftige Erklärung für diesen Blödsinn mit den Sessionid's ... oder gibts die hier auch nur wieder deshalb, weils die schließlich in jedem anderen Forensystem auch gibt?

Bell schrieb am 23.11.2006 um 00:06 Uhr

theDon postete
Ansonsten: Wir sind hier nicht in Amiland, wo man so fuer so Selbstverstaendlichkeiten wie ,,Vorsicht, Kaffee koennte heiss sein!'' Warnhinweise auf Kaffeebechern braucht.

Deine Idee, Dein Vorhaben ... Deinen festen Willen Don, nicht jeden Blödsinn von den Amis zu übernehmen ... finde ich ja im Prinzip sehr lobenswert.

Nur ... so frage ich mich dann, warum Du bzw. Ihr (also das Entwicklerteam) nun ausgerechnet in eurem ureigenem Metier ... dem der Softwareentwicklung nämlich ... jeden Blödsinn, den die Amis euch vormachen 1:1 übernehmt.

- Das Neueste auf diesem Gebiet ist ja wohl diese Postingsverhinderungs-id ... die eure Software Sessionid nennt. Warum wird bloß so ein Blödsinn in eine im Prinzip ja gut funktionierende Software eingebaut?

- Verschlüßelung der Passworte? Warum eigentlich ... wenn der Admin alles andere doch lesen kann? Ich meine gibts dafür noch eine andere Begründung als: Alle anderen machen das doch genauso?

Es kann doch irgendwie nicht sein, dass man als Entwickler sich das Ziel setzt, eine Software zu entwickeln, die -und zwar auch in die Absurditäten hinein- genau das gleiche macht, wie die Software der Konkurrenzprojekte.

Ich kapiere es einfach nicht ... aber nur so kann ich mir inzwischen erklären, dass Standards -wie zum Beispiel das Postgeheimnis- amerikanischen Gepflogenheiten weichen.

Ich habe mich noch auf einem anderen Board angemeldet ... antispam.de ... hauptsächlich admins dort ... die haben überhaupt kein Problem damit PNs zu lesen.

Einer schreibt doch tatsächlich mit Stolz geschwellter Brust:

-
http://www.antispam.de/forum/showpost.php?p=76035
(..)
Ich habe 3 Versch. Foren im Einsatz und es gibt für jedes einen "Hack" das man die PN_s direkt lesen kann

Auslöser der kleinen OffTopic-Diskussion dort war eine MissDaisy ... naiver Internetuser wie ich:

Hallo, Fachleute,
ich verstehe zwar mindestens die Hälfte hier nicht, aber ist es so, dass ein Admin die PN lesen [B]kann [/B], wenn ihm gerade mal danach ist?
Wäre ja schrecklich!
Grüsse von
MissDaisy

... nur um mal klarzumachen was Otto Normalverbraucher so glaubt.

Edit: Der korrekten Buchhaltung wegen:
ungültige Sessionid die 103. und 104.

hevtig schrieb am 23.11.2006 um 00:50 Uhr

Tja, was soll man sagen? Du hast ja Recht, aber das ändert erstmal nichts daran, daß sich das hier wahrscheinlich nicht mehr ändern wird.

Mit der Session ID ist ein Bug.

Eine PM zu verschlüsseln ist ungleich schwieriger als ein Passwort, da es entschlüsselt werden muß -> das Passwort nicht, dort werden nur "hashes" verglichen (Einwegverschlüsselung)

Ob das Briefgeheimnis bei PMs greift, da bin ich mir nicht sicher.

Das mit dem Hinweis, dass die PMs in Klartext in der Datenbank liegen ist dennoch nicht schlecht.

Dennoch bin ich auch überzeugt, daß selbst viele Admins von Foren keine Ahnung von mysql haben.
Du kannst dir zwar leicht die Tabelle anschauen, bei einem größerem Forum zusammenhängende PMs zu finden ist aber sicherlich nich ganz ohne. Da braucht man entweder viel Zeit oder einen guten Query.

Dass du uns auf den Mißstand hingewiesen hast ist nett, das solltest du auch in den anderen großen Forensystemen machen. Vielleicht tut sich ja dann was.

Wer Zugriff auf die Datenbank hat, hat dennoch diverse Möglichkeiten. Vielleicht kannst du ja sogar die mysql- Entwickler dazu bewegen, daß sie die Möglichkeit bieten leicht eine datenbankbasierte Verschlüsselung anzubieten. Dann bräuchte man nur bei der Tabellenerzeugung ein flag setzen.

ist es ja eine Einladung an jeden Passwort-Cracker bei thwboards Passworte zu cracken ... denn dort funzt das Passwort-Cracken ... ohne das irgendwer auch nur die leiseste Chance das mitzubekommen ... aber das ist nicht mein Thema ... es zeigt halt nur dass thwb nicht von Entwicklern sondern von Codern entwickelt wurde.

Das ist Quatsch. Das Cracken von Passwörtern ist sicherlich nicht leicht. Da gäbe es zwar auch diverse Möglichkeiten, wenn man Zugriff auf die DB hat, aber als Datenbankadmin muß man sich nicht die Mühe machen...

Und was du gemacht hast ist kein Werbeslogan, sondern ein Unding!

Es ist halt durch die Sache bedingt, daß das Web solche Probleme hat.

Zitat:
Die EMails in der Firma kann meist der Admin lesen,

Nur wenn er es tut ... ist das Grund zur fristlosen Kündigung.

nur bei Firmen, die privaten Emailverkehr erlauben und wenn es rauskommt.

Nochmals gesagt: Du hast in vielen Dingen nicht unrecht, dennoch finde ich die Art nicht ok, wie du hier vorgehst.

Vieles liegt, und wird auch dort liegen bleiben, bei den Admins.
Ansich müßte der Admin eine Datenschutzerklärung beim Downloaden der Software abgeben ;)
Von der Entwicklung her kann man vieles einfach nicht ausschließen.