Bronies.de
Wir sind wieder da! - Druckversion

+- Bronies.de (https://www.bronies.de)
+-- Forum: Forentalk (https://www.bronies.de/forumdisplay.php?fid=1)
+--- Forum: Foren-News (https://www.bronies.de/forumdisplay.php?fid=2)
+--- Thema: Wir sind wieder da! (/showthread.php?tid=14672)

Seiten: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34


RE: Wir sind wieder da! - Simaris - 26.09.2013, 16:56

Cuddly Pie schrieb:Fakt ist jedoch das dieses Verhalten Rechtlich betrachtet eine Beihilfe zu einer Straftat darstellt.
Der Satz impliziert, dass es erwiesen und bewiesen ist und somit keine Behauptung mehr darstellt.

Cuddly Pie schrieb:Wo hast du die Beweise das er sie den Angreifern nicht direkt zugespielt hat?
Durch die Unschuldsvermutung muss man in diesem Staat nicht beweisen wer unschuldig ist sondern wer schuldig ist.

Ich finde es btw auch daneben, dass er es so gemacht hat und heiße es nicht gut, da es eben die Möglichkeit geöffnet hat dass Angreifer dieses Wissen zu einem erneuten Angriff ausnutzen könnten.

Und ja, die Vermutung liegt nahe, durch die Umstände sehr nahe, aber ich lasse mich trotzdem nicht dazu hinreißen ihm das in die Schuhe zu schieben ohne es zu Wissen. Ich mache auch schon genug Fehler in meinem Leben, noch einer mehr muss nicht sein.


RE: Wir sind wieder da! - Cuddly Pie - 26.09.2013, 17:17

Ich lasse mich dazu hinreißen. Das beruht sicherlich auf der einen oder anderen schlechten Erfahrung mit ihm, das gebe ich zu.


RE: Wir sind wieder da! - Yavos (†) - 26.09.2013, 19:43

(26.09.2013)Simaris schrieb:  
Zitat:da es sich beim einem DDOS Vorgang immer noch um eine Straftat handelt hat er mit seiner Handlung eindeutig Beihilfe dazu gleißtet.
Wie kommst du bitte da drauf?
Er hat sie den Angreifern nicht direkt zugespielt, die Ip war mit wenig Fachkenntnis durch die Fehlkonfiguration des Servers einfach herauszufinden gewesen.
Wir wissen nichtmal ob die Angreifer seine Info benutzt haben oder ob sie selber draufgekommen sind.
Die Beihilfe kann genauso gut unbeabsichtigt gewesen sein. Schließlich ist der Angreifer ja auch ein Besucher dieses Forums und kann alle öffentlichen Beiträge lesen.
Ablauf (Öffnen)


Saij hat aber genau genommen durch den Akt des Herausfindens der IP eine Straftat begangen.
Siehe hier (Öffnen)


Und jetzt bitte wieder zurück zum Thema: Freut euch, dass das Forum wieder funktioniert und diesmal anscheinend alles richtig gemacht wurde. Twilight happy


RE: Wir sind wieder da! - Cuddly Pie - 26.09.2013, 20:16

Ob er nun absichtlich oder nicht Beihilfe geleistet hat (wenn überhaupt), hat nur Auswirkungen auf das Strafmaß. Und wie du schon schreibst: "Saij hat aber genau genommen durch den Akt des Herausfindens der IP eine Straftat begangen." AUCH DAS ist eine Straftat. Nichts anderes. Dafür kann man ihn nicht in Schutz nehmen. Tut mir leid.

Ich mache mir eher Sorgen das es als "schwäche" interpretiert wird, wenn der Forenbesitzer nichts gegen Strafrechtliche Verstöße Unternimmt. Das könnte andere Personen dazu verleiten weitere Straftaten gegen das Forum zu begehen, oder gar Strafrechtlich relevante Inhalte zu Posten, die zwar dank des sehr fleißigen Moderationsteams schnell gelöscht würden, aber für die der Forenbetreiber im Zweifelsfall gerade stehen muss.

BTW: Ich sehe nicht grundsätzlich alles schwarz. Aber die Sorge, das mit dieser Situation falsch umgegangen wird sitzt mir im Nacken. Dies ist kein kleines Hinterhofforum, sondern eine starke und ausgewachsene Community. Die jedoch stets zu überblicken und in solchen Situationen die Richtigen Entscheidungen zu Treffen ist mit Sicherheit sehr Schwierig. Da bin ich nicht neidisch auf den Forenbetreiber.

Aber du hast recht: Back to topik.

Ich freue mich natürlich ebenfalls sehr das das Forum wieder läuft und ich danke dem fleißigen Mods dafür. Hoffendlich erleben wir nicht schon bald wieder solch unschöne downtimes.


RE: Wir sind wieder da! - 404compliant - 26.09.2013, 21:19

Fakt ist, das öffentliche Breittreten der Sicherheitslücke und das posten von Informationen, die für weitere Attacken genutzt werden können, ist eine ganz schlechte Idee, und damit ist Saij's Verhalten entweder dumm, grob Fahrlässig, oder tatsächlich feindselig. Keins davon passt zu dem Saij, den ich kenne und schätze, deswegen bin ich schon etwas besorgt. Hoffen wir, dass ihm die kurze Denkpause gut tut.


RE: Wir sind wieder da! - bisty - 27.09.2013, 00:54

Meiner Meinung nach, hat Saij aller richtig gemacht: hätte er diese Sicherheitslücke nicht veröffentlicht, dann hätten die Admins auch nie über diese Sicherheitslücke erfahren(seien wir mal realistisch, Evenprime ist eben nicht der beste Admin aller Zeiten), was dem Angreifer gewisse Handlungsfreiheit geben würde. Security through Obscurity war immer eine ganz schlimme Idee - wirkungsvolle Maßnahmen sollen auch dann wirkungsvoll bleiben, wenn jede Schwein kennt, wie genau das ganze funktioniert. Schließlich, bezahlen Google/Facebook/Paypal auch Geld diejenigen, die Sicherheitslücken in ihren Software entdecken, und Securityteam darüber benachrichtigen. Würde ich diese Webseite leiten, würde ich Saij gerne in meinem Team haben. Und die Tatsache, dass Admins neue Konfiguration wohl nicht getestet haben, zeigt uns, dass die Community ihnen wohl egal ist.


RE: Wir sind wieder da! - Dandelo - 27.09.2013, 00:59

Zitat:Meiner Meinung nach, hat Saij aller richtig gemacht: hätte er diese Sicherheitslücke nicht veröffentlicht, dann hätten die Admins auch nie über diese Sicherheitslücke erfahren

Und es dem Team einfach direkt mitzuteilen, war wohl keine Option?


RE: Wir sind wieder da! - ShrineMaiden - 27.09.2013, 01:06

Was bringt es den hatern, unser lieblingsforum zu DDossen ._.


RE: Wir sind wieder da! - Unknown - 27.09.2013, 01:24

(27.09.2013)bisty schrieb:  Und die Tatsache, dass Admins neue Konfiguration wohl nicht getestet haben, zeigt uns, dass die Community ihnen wohl egal ist.

Sie haben versucht, das Forum schnellstmöglich wieder für alle erreichbar zu machen, und du schlussfolgerst, ihnen sei die Community egal?

(27.09.2013)Lightning Flash schrieb:  Was bringt es den hatern, unser lieblingsforum zu DDossen ._.

Überhaupt nichts. Vielleicht einfach Schadenfreude, oder sie machen sich darüber lustig, wie Bronies ausrasten, wenn ihr Favoritenforum mal für einige Stunden nicht erreichbar ist.


RE: Wir sind wieder da! - 404compliant - 27.09.2013, 01:52

(27.09.2013)bisty schrieb:  Security through Obscurity war immer eine ganz schlimme Idee

Nichts desto trotz gilt responsible disclosure als einzig verantwortungsvolle Veröffentlichungsstrategie. Sofortige Veröffentlichung erhöht das Missbrauchsrisiko massiv, eine angemessene Vorwarnzeit zur Behebung der Schwachstelle ist die bessere Lösung.

Die Veröffentlichung der IP diente jedenfalls keinerlei Aufdeckung von Sicherheitslöchern, es ist schließlich kein Geheimnis, dass es eine IP gibt. Außer Dummheit, Fahrlässigkeit, Ego oder Feindseligkeit gab es keinen plausiblen Grund dafür.

(27.09.2013)bisty schrieb:  Schließlich, bezahlen Google/Facebook/Paypal auch Geld diejenigen, die Sicherheitslücken in ihren Software entdecken, und Securityteam darüber benachrichtigen.

Da verwechselst du was, das ist non disclosure, wenn nur der betroffene exklusiv die Informationen erhält.


RE: Wir sind wieder da! - Evenprime - 27.09.2013, 08:43

bisty, das find ich gerade echt witzig und du liegst vollkommen falsch:

1. Bei entdecken von Sicherheitslücken ist immer zuerst der Administrator und/oder Softwarehersteller direkt zu informieren.
2. Eine Ausnahme wäre, wenn diese verweigern, das Problem zeitnah zu beheben, denn dann wäre es allgemein vorteilhafter alle Nutzer des selben Systems zu warnen, so dass diese selbst Gegenmaßnahmen ergreifen können.
3. Eine andere Ausnahme wäre, wenn bekannt ist, dass die Lücke bereits aktiv ausgenützt wird und somit bereits Schaden entsteht.

1. Ist nicht passiert. Es wurden Daten im vollen wissen, dass dies zu sofortigen Angriffen führen würe, veröffentlicht. Nicht nur die Methodik, sondern auch Ergebnis. Hätte er kurz uns angeschrieben hätten wir das schnell eingetragen und fertig.
2. Ist nicht der Fall. Wir sind die einzigen davon betroffenen und somit gab es sonst niemanden, der von einer Veröffentlichung mehr provitieren würde als wir von einer discrete disclosure. Unsere Nutzer, welche ebenfalls betroffen wären, können auch keine Maßnahmen ergreifen, denen brachte die Info also auch nichts.
3. War nicht der Fall. Angriffe starteten erst direkt nach der Veröffentlichung. Wären sie schon zuvor gewesen, wäre das etwas anderes.

Also das Verhalten war absolut atypisch für jemanden, der Sicherheit fördern will.

PS:

(27.09.2013)404compliant schrieb:  
(27.09.2013)bisty schrieb:  Schließlich, bezahlen Google/Facebook/Paypal auch Geld diejenigen, die Sicherheitslücken in ihren Software entdecken, und Securityteam darüber benachrichtigen.

Da verwechselst du was, das ist non disclosure, wenn nur der betroffene exklusiv die Informationen erhält.

Dem stimme ich zu. Zudem wurde ja nicht probiert zu fragen, ob es denn eine Belohnung gäbe. Wir wurden überhaupt nicht kontaktiert. Nur so als Idee für andere die etwas finden, man könnte ja einfach fragen RD wink


RE: Wir sind wieder da! - mrx1983 - 27.09.2013, 14:40

(27.09.2013)bisty schrieb:  Meiner Meinung nach, hat Saij aller richtig gemacht: hätte er diese Sicherheitslücke nicht veröffentlicht, dann hätten die Admins auch nie über diese Sicherheitslücke erfahren
Warst du mal auf der mybb Seite?
Da steht auch, wenn man eine Sicherheitslücke findet, erstmal dem Team mitteilen.
Das Team muss doch die Gelegenheit haben das rechtzeitig zu fixen.
Wo hat Saij diesem Team hier die Zeit gegeben das zu fixen? Facehoof
Solche Lücken müssen immer direkt dem Team mitgeteilt werden, und wenn das Team das gefixt hat, dann kann das Team nach eigenem Ermessen und Zeitplan die Lücke veröffentlichen.


RE: Wir sind wieder da! - Cuddly Pie - 27.09.2013, 18:21

Und da genau das, allem Anschein nach, nicht passiert ist, liegt die Vermutung sehr nahe das dies ganz absichtlich auf diese weise veröffentlicht wurde. Das wirkt schon fast so als habe er dem Forum damit schaden wollen. Sollte das tatsächlich so sein dann ist das sehr schade.


RE: Wir sind wieder da! - FlaK - 27.09.2013, 19:09

(27.09.2013)bisty schrieb:  (...) seien wir mal realistisch, Evenprime ist eben nicht der beste Admin aller Zeiten (...) Würde ich diese Webseite leiten, würde ich Saij gerne in meinem Team haben. (...)
Du kannst Recht mit der Aussage haben, dass Saij ein "besserer" Admin wäre - was die technischen Fähigkeiten angeht.
Es geht hier aber nicht nur um die technischen Fähigkeiten, sondern auch um die Persönlichkeit an sich. Evenprime ist uns bisher immer treu geblieben, er hat sich nicht nur als reiner Tech-Admin bewährt. Ich will nicht behaupten, dass Saij Selbiges nicht könnte, allerdings hat er jetzt genau das Gegenteil bewiesen, ob aus Eifersucht (Wollte er Tech-Admin sein und dem Team zeigen, dass er es draufhat und sich gleichzeitig dafür rächen, dass er nicht angenommen wurde?) oder wegen anderer Gründe ...

(27.09.2013)bisty schrieb:  Und die Tatsache, dass Admins neue Konfiguration wohl nicht getestet haben, zeigt uns, dass die Community ihnen wohl egal ist.

Klar.
Die Community ist ihnen völlig egal. xD
Deswegen setzen sie sich auch hin und stecken immer wieder Stunden, wenn nicht Tage, in die Behebung von Fehlern, die Weiterentwicklung des Forums oder die Beantwortung von Fragen zu diesem Thema.
Wenn die Admins für ihre Arbeit in irgendeiner materiellen Weise bezahlt werden würden, könnte man über deine Aussage sogar diskutieren.


RE: Wir sind wieder da! - Nex Displosio - 27.09.2013, 19:30

Ist doch egal ob Saij gebannt ist oder nicht.

1. hat er nur Mondurlaub was 7 Tage bedeutet(Hört mal auf Weichpflaumen zu sein im Team)
2. Wäre er laut seinem Profil eh gegangen.(Er ist grad aber online ist wohl ein Fall von PlexHolm-Syndrom if you know what i mean)
3. Interessieren sich vermutlich 99% der aktiven User nicht wirklich für ihn.

Macht euch mal hier nicht alle ins Hemd.


RE: Wir sind wieder da! - 404compliant - 28.09.2013, 00:05

(27.09.2013)Evenprime schrieb:  Dem stimme ich zu. Zudem wurde ja nicht probiert zu fragen, ob es denn eine Belohnung gäbe. Wir wurden überhaupt nicht kontaktiert. Nur so als Idee für andere die etwas finden, man könnte ja einfach fragen RD wink

Wie, ihr gebt Belohnungen raus für gemeldete Sicherheitslücken? [Bild: pc-swponder.png]
*scnr*


(27.09.2013)FlaK schrieb:  Ich will nicht behaupten, dass Saij Selbiges nicht könnte, allerdings hat er jetzt genau das Gegenteil bewiesen, ob aus Eifersucht (Wollte er Tech-Admin sein und dem Team zeigen, dass er es draufhat und sich gleichzeitig dafür rächen, dass er nicht angenommen wurde?) oder wegen anderer Gründe ...

Als kleiner Hinweis an die jüngeren Semester hier: Saij hat bis Sommer 2012 dem Team angehört und ist auf eigenen Wunsch ausgeschieden.
Ich würde vorschlagen, wir lassen einfach mal das Spekulieren sein, und geben ihm eine Chance, nach der Mondmission seinen Standpunkt darzulegen.


RE: Wir sind wieder da! - Evenprime - 28.09.2013, 12:39

Sorry für den kleinen Ausfall eben. Offenbar probiert es gerade mal wieder jemand, und ich habe nun dementsprechend die Sicherheitsregeln bei Cloudflare angepasst.


RE: Wir sind wieder da! - InsaneBronie - 28.09.2013, 12:40

was warn grad los,..... kurz bevor es abbrach stand bei benutzer sowas:
Spoiler (Öffnen)



RE: Wir sind wieder da! - DaaVid - 28.09.2013, 12:41

(28.09.2013)Evenprime schrieb:  Sorry für den kleinen Ausfall eben. Offenbar probiert es gerade mal wieder jemand, und ich habe nun dementsprechend die Sicherheitsregeln bei Cloudflare angepasst.

Hauptsache der bleibt nicht eine Woche offline [Bild: FP-tongue.png]

(28.09.2013)InsaneBronie schrieb:  was warn grad los,..... kurz bevor es abbrach stand bei benutzer sowas:
Spoiler (Öffnen)

Haha, dieser Rekord [Bild: FP-happy-right.png]!


RE: Wir sind wieder da! - Unknown - 28.09.2013, 13:56

(28.09.2013)InsaneBronie schrieb:  was warn grad los,..... kurz bevor es abbrach stand bei benutzer sowas:
Spoiler (Öffnen)

Es ist ja das Prinzip eines DDoS, mit vielen Anfragen gleichzeitig den Server zu überlasten. Kurz bevor er überlastet wurde, scheint er immerhin noch den Besucherrekord aktualisiert zu haben.