geloescht_JesterDay

Und was ist dein Problem? :confused:

Je nach DB-Systen (wenn wir von einer DB ausgehen für die Datenhaltung) gar nicht. Für einen Zugriff auf die Daten brauchst du eine Anmeldung, ist halt so. Und bei Skripten ist es auch relativ einfach die zugriffsmethode auszulesen, selbst wenn du die Zugangsdaten verschlüsselt irgendwo ablegst. eine Idee ist noch, den Zugang für den DB-Zugriff auf eine Rechner zu beschränken. Bei MySQL (andere DBMS ja wohl auch) kannst du für jeden User noch angeben, von welcher Adresse aus er Zugreifen darf. Es ist nunmal so, dass ein entferntet Zugriff eine authentifizierung braucht. Die musst du irgendwo ablegen. Wenn das nicht interaktiv geschieht musst du auch evtl. ein Passwort irgendwo hinterlegen. dieses Passwort kannst du natürlich auch irgendwo geschützt ablegen, nur auch das muss ja wieder irgendwo hinterlegt sein. Bei vielen Usern mit Zugriff darauf kannst du gar nicht verhindern, dass da niemand rankommt. Du kannst das nur soweit es geht einschränken. Z.B. dass sich an der DB nur ein Rechner anmelden kann, bzw der User nur von einer IP-Adresse. Oder aber du legst diese Applikationen auf einem Server ab, der nur von einer einzigen Person benutzt werden kann. Also dein "App-Server" hat eben keine Erlaubnis für alle möglichen Leute aus der IT-Abteilung. Wenn dennoch viele ein Skript aufrufen müssen kannst du diesen aufruf ja veröffentlichen, aber eben auch restriktiv. Z.b. ein Skript auf einem Server der für alle zugänglich ist, dieses Skript meldet sich, per private key, über ssh am App-Server an mit einem User mit ganz eingeschränkten Rechten und führt dort das eigentliche Skript aus. die ausgabe sieht ja der aufrufende User, kann aber sonst nichts tun. Datenabfragen kannst du so ähnlich machen. Mag sein dass das platt formuliert ist, aber es gibt nunmal keine andere möglichkeit einen Zugriff zu automatisieren, ohne irgendwo etwas zu hinterlegen. Deswegen sollte der Benutzer der mit dem hinterlegten Zugriff benutzt wird eben kein root o.ä. sein. Bei meinem letzten AG hatte erstmal auch die IT Vollzugriff auf alle Server (natürlich auch nicht überall Admin-Zugriff, aber halt auch auf Servern woanders Schreibzugriff auf einige Bereiche), die gesamte IT. Das wurde dann später geändert, dass nur die Netzwerkabteilung Zugriff hatte und der Rest (softwareentwicklung) eben zur Not zu denen musste wenn da was auf nen Server musste o.ä. Am Ende wurde auch das eingeschränkt, mit den neuen Servern, und nur die beiden Abteilungsleiter hatten Vollzugriff, die anderen Mitarbeiter bei den Netzwerkern hatten einen eingeschränkten Zugriff und konnten selbst nicht mehr alles. Die waren natürlich auch nicht immer glücklich darüber, aber so ist das eben wenn du dir um die Sicherheit deines Netzes Gedanken machst.

hm... sudo apt-get purge php5 libapache2_mod_php5 # falls php5 installiert ist sudo apt-get install php4 libapache2_mod_php4 Also so grob gesagt, ohne sonstiges über das System zu wissen. aber schwer ist das doch nicht :confused:

Das kann man, genauso überspitzt wie das urspr. "Argument", auch so ausdrücken. Das Problem ist wohl allgemein, der Gedanke dass man eine 100%ige Sicherheit erreichen kann. Bzw wenn man versucht das zu tun, dann bleibt das was bei uns als selbstverständlich angesehen wird eben auf der Strecke. Da wir das aber gar nicht anders kennen, macht sich darüber auch niemand Gedanken. Klingt doch alles gut, man will ja nur was gegen "das Böse" tun. Wie heißt es doch sp schön: Das Gegenteil von "gut" ist "gut gemeint". Oder anders ausgedrückt: "We think we're in control, then we become the things we hate"

Noch ein Nachtrag (ganz aktuell):

Naja, dann musst du das System eben so aufbauen, dass auf die entscheidenden Server nur die Leute drauf dürfen mit root rechten, die das müssen. Für alle anderen aufgaben die Skripte o.ä. erledigen sollen werden neue Benutzer angelegt auf den Servern, und die dürfen nur das (sehen) was sie unbedingt brauchen. Bei deinem php-DB Beispiel ja genauso. Da legst du für jede Anwendung eine DB an und einen Benutzer. Der Benutzer (der im Skript steht) darf dann nur das was er braucht, und nur für diese DB (Lesen, evtl. Schreiben, aber kein Create, Drop o.ä.) Wenn jeder alles darf, ist das sowieso schonmal ein Problem.

<style type="text/css"> @page { margin:5.7cm 2cm 1.4cm 1cm; } </style> SELFHTML: Stylesheets / CSS-Eigenschaften / Layouts für Printmedien Wie das aber mit der Browserunterstützung aussieht kann ich dir nicht sagen.

So gesagt, nein. Flash ist etwas ganz anderes. Was du meinen könntest wäre Flashvideo, welches aber auch nur ein Container für H.263, MPEG-4 oder VP6 ist. Dahin werden die Videos also umgewandelt.

Mag ja sein dass die das machen, und dass man mit so einem Beispiel ja auch wieder sagen kann: Das ist gut so. Aber um nochmal zu Holger Voss zurückzukommen, der hatte nämlich genau dagegen geklagt und auch recht bekommen. Wo kein Kläger da kein Richter, nach den angesprochenen Urteilen ist es nicht erlaubt das zu tun. Es mag hart klingen und natürlich ist ein gerettetes Menschenleben das Totschlagargument schlechthin, aber ich bin mir nicht sicher wie rechtens das ist, denke eher es ist nicht rechtens dass der Provider einfach so eine Adresse rausrückt. Gerade im Internet reden Leute alles mögliche daher und du wirst tausendfach öfter Fälle haben, wo trotz der Aussage "ich bring mich um" derjenige dann gemütlich auf dem Sofa liegen würde oder sonst was tut. Das ist aber auch gar nicht ganz das Thema hier. Es geht darum ob ein Sitebetreiber einfach so eine Adresse von jemand rausgeben darf (IP-Adresse) und da sage ich Nein. Also eigentlich dürfte das eh egal sein, denn die bringt ja keinem wirklich was. Aber wenn es um Beleidigung oder sowas geht dann kann das auch über die Ermittlungsbehörden gehen, genauer den StA. womit wir ja aber wieder beim TMG wären, wo steht dass das nur mittels eines Pseudonyms möglich sein darf, also Speichern und Auswerten ja, aber nicht so dass man das eindeutig einer Person zuordnen kann. Was ja auch für die viel zitierte Meinungsfreiheit sehr wichtig ist, denn keiner wird frei seine Meinung äußern wenn er weiß, dass alles was er sagt und tut genau beobachtet werden kann und er deswegen verfolgt werden kann. Bzw. nicht alle würden dass dann tun. Das ist auch schon immer das Credo des BVG gewesen.

1. Wenn PHP einen Fehler wirft, hat es auf jeden Fall mit PHP zu tun. Denn PHP hat nunmal absolut nichts mit Javascript (nicht Java!) zu tun. PHP wird auf dem Server ausgeführt, Javascript im Client. Die können sich also absolut nicht ins Gehege kommen. Dass es mit der Umstellung des Codes funktioniert mag ja sein, ist aber eher ein Workaround als eine Lösung. 2. Deine Sicherheitslücke ist keine Sicherheitslücke in dem Sinn sondern einfach ein Designfehler (oder sollt ich sagen ein Verständnisfehler?). Wenn du verstehst wie eine Session funktioniert, sollte dir klar sein was da passiert und wieso derjenige nur mit dem Zurück-Button wieder auf den geschützten Inhalt kommt. (Tip: session_close() beendet die Session nicht 100%. Die Daten auf dem Server sind sehr wahrscheinlich immernoch vorhanden. ein erneuter Aufruf mit alten Daten führt also zur Wiederbelebung der Session. -> Sessiondaten löschen bzw leeren bei bzw vor dem session_close.)

Der Europapark is schon toll, aber nur um ihn auch erwähnt zu haben: Der Freizeitpark in der Pfalz: Holiday Park -  Freizeitpark Home Mit der besten Achterbahn der Welt

Da steht nicht, dass die IP-Adressen dennoch gespeichert werden. Solche Einverständniserklärungen findest du bei jedem Gewinnspiel etc. Es geht um deine pers. Daten wenn du dich da anmeldest etc.

Also ich hatte mal so nen sitzball, gab es von der KK damals. Das merkt man anfangs schon, dass das auf die Rückenmuskulatur geht. also ein kleines Training hast du dann schon beim sitzen Und außerdem sitzt du da auch besser (für den Rücken). Da du ja sonst nicht viel tun willst was Rückentraining angeht. Ach ja, was Kieser angeht, das ist auch nichts anderes als ein Fitnessstudio. du machst da auch "nur" Krafttraining. Anders als in anderen Studios wird dort aber HIT (High Intensity Training) praktiziert. die werben immer mit Rückentraining, und ok, wenn man wirklich irgendwie Probleme hat ist es da vielleicht schon besser (auch wegen ärztl. Versorgung), aber ist auch nichts besonderes. (Weil das ja hier auch erwähnt wurde) Das ist was ich mache, 2-3mal die Woche und nebenbei noch Radeln, wenn ich Zeit hab (Ne schöne Strecke den Rhein runter und wieder hoch, 50km) und das Wetter passt.

Wenn jemand rechtswidrige Beiträge postet, dann macht der Betreiber des Forums sich noch lange nicht deswegen haftbar. Erst wenn er davon weiß und nichts dagegen tut (den Beitrag löscht, ändert was auch immer), dann kann er dafür haftbar gemacht werden. Dabei ist es vollkommen egal ob er eine IP-Adresse geloggt hat oder nicht. Sollte er nichts gegen die rechtswidrigen Beiträge tun, dann macht er sich strafbar, egal ob da eine IP-Adresse geloggt ist oder nicht. Entfernt er sie nach Kenntnissnahme, dann macht er sich nicht strafbar. Und du kannst in den Nutzungsbedingungen stehen haben was du willst, wenn die Bedingungen gegen ein Gesetz verstoßen (§ 15 TMG, nach ansicht des Berliner Amtsgerichts) dann sind sie nichtig. Ich kann ja auch keinen Vertrag mit dir schließen, der dir erlaubt mich umzubringen und du gehst dann straffrei aus. Ja, so ist das eben. Gesetze werden erstmal gemacht und ausgelegt werden sie dann durch die Gerichte. Da es dazu bis jetzt erst eine Entscheidung gab (vor einen dreiviertel Jahr erst), ist das alles eben noch nicht 100% sicher. Wer keine Adressen speichert macht auf jeden Fall nichts falsch und erspart sich im Zweifel auch eine Menge ärger, IMHO. Andere machen es auch so, siehe:

Das ändert sich für dich überhaupt nicht. Die Polizei wird die VDS garantiert nicht für deine DoS-Attacke auswerten dürfen Tip: Nimm die IP-Adresse, schau nach zu welchem ISP die gehört (Welcome to RIPE.NET wenn es sich um eine europ. IP handelt) und melde das da an die abuse Stelle, normalerweise abuse@ISP.tld

Du brauchst das PW des privaten Schlüssels. Ein Schlüssel allein reicht nicht, es sei denn es wurde kein PW dafür gewählt (in der unsinnigen Annahme ein PK allein wäre ja schon soooo sicher). Nachtrag: Natürlich hab ich auch schon private Schlüssel ohne PW erzeugt. Etwa für SSL-Zertifikate auf Testservern. Ansonsten müsste da bei jedem Server(neu)start das PW eingegeben werden. Für wirklich sicherheitsrelevante Dinge (also kein Testserver o.ä.) sollte man das aber nicht tun.

Inwiefern ist der Betreiber geschützt wenn eine IP geloggt wird? :confused: z.B.

Ich weiß sehr wohl was sich getan hat, aber weißt du auch, dass die Daten der VDS nicht für Beleidigungen etc benutzt werden dürfen? In der Beziehung hat sich in den letzten 2 Jahren nämlich nichts geändert. Dein ISP muss einiges speichern, aber garantiert nicht dafür um wegen einem Bildkommentar die Adresse rauszurücken In einer Entscheidung über eine einstweilige Verfügung gegen die VDS hat das BVG entschieden, dass die VDS nicht ausgesetzt wird bis zur endgültigen Entscheidung, aber dass die Daten nur für schwere Straftaten gegen höchste Güter genutzt werden dürfen (*). Dazu muss ich ncihtmal den Artikel lesen, es reicht mir die Mail des Anwalts, der in Karlsruhe auch in meinem Namen geklagt hat. Auch wenn in deinem Zitat Holger Voss auch erwähnt wurde, die Speicherung der Daten findet dann in einem ganz anderen Zusammenhang statt. Somit ist die Entscheidung in einer Weise hinfällig, aber nicht in der dass der ISP die Daten jetzt einfach so 6 Monate vorhält, für sich selbst. Außerhalb der VDS gilt diese Entscheidung immer noch und kann auch von jedem zur Not eingeklagt werden. *: Für das endgültige Urteil wird es dann wohl kaum weniger verlangen, wenn das Gesetzt nicht komplett kassiert wird.

Hm... in meiner Kristallkugel find ich dazu auch nichts... aber vielleicht kannst du mir ja sagen welche Partition das sein soll und was du damit gemacht hast Schau dir mal GParted (einfach in Synaptic suchen) an, das ist wie PM (nur besser )

Du kannst eine Partition einfach wieder drau machen, allerdings muss die dieselben Einstellungen haben wie die letzte. Es gibt aber auch Tools mit denen du nach sowas suchen kannst. Aber danach müsste ich jetzt auch erst suchen