wirspeichernnicht.de - Allgemeine Diskussion

	Forum	Home Letzte Einträge ansehen Hilfe

Forum

Wir speichern nicht

Allgemeine Diskussion (1 Leser) (1) Gäste

Neue Nachricht hier schreiben: "Allgemeine Diskussion"

Name:

Thema:

Icon für das Thema:

nein

Forencode:

Farbe: Größe: Alle Tags schließen

Nachricht:

Smilies





Mehr Smilies

Bitte Code eingeben

371

Themen-Historie ist ausgeschaltet: Wie dahinterkommen?
Maximale Anzeige der letzten Beiträge - (letzten Eintrag zuerst)

Autor	Nachricht
test	test
RW	Es wäre ja durchaus denkbar, zwei Kategorien des Siegels einzuführen. Die bessere, kostenpflichtige, ist dann eben nur für Server mit root-Zugang erreichbar, und damit besonders für Firmen interessant. Letztere würden so ein Siegel sicherlich zu Werbezwecken einsetzen wollen. Ohne ein entsprechendes Verifikationsverfahren ist dessen Wert für die kommerzielle Werbung jedoch äußerst fraglich, und der Anreiz gering, es zu erwerben.
Matthias Mansfeld	"einfaches Verifikationsverfahren". Also Webseiten, die bei Hostern laufen, scheiden da aus tausend Gründen aus - Rootzugriff für Dritte.. der Hoster hustet Euch was.. OK, und damit sind solche Webseiten automatisch immer die "Bösen" ohne kjede Chance aufs Siegel, selbts bei besten Absichjten. Bitte hängt die Meßlatte nicht so hoch, daß sie unerreichbar ist und vermutet bei Bewerbern um das Siegel nicht andauernde Täuschungsabsichten bitte. mfG Matthias Mansfeld
RW	Also ich denke, man bräuchte zumindest ein einfaches Verifikationsverfahren, um die Einhaltung der Versprechen zu überprüfen. Ansonsten macht ein solches Siegel keinen Sinn. Vorschlag: 1) Der Webseitenbetreiber muss bei der Erstprüfung und danach auf Verlangen der Prüfer (Stichprobentests) einen per GNU-Screen-Sitzung überwachten SSH-Login auf dem Server gewähren. Dabei sollte der jeweilige Prüfer root-Zugriff auf den Server erhalten, indem der Seitenbetreiber sich während der Screen-Sitzung als root einloggt. 2) Der Prüfer kann dann die üblichen verdächtigen Dateien (Server-Logfiles, CMS-Logfiles, Datenbankeinträge) nach IP-Adressen abscannen. Dies sollte nach keinem streng festgelegtes Verfahren ablaufen, da der Webseitenbetreiber sonst leicht entsprechende fake-Dateien aufsetzen kann. 3) Der Prüfer kann außerdem Modifikationen an der Webseite vornehmen, um live zu testen, ob er wirklich auf dem richtigen Server arbeitet. 4) Der updatedb/locate-Befehl sollte jeweils zur Verfügung stehen, um Dateien auf dem Server leichter finden zu können. Zum Einen erschwert diese Vorgehensweise Täuschungsmaneuver enorm (man müsste schon einen virtuellen Server laufen lassen, und dann auch noch dafür sorgen, dass Änderungen am virtuellen Server sich auf den echten auswirken). Zum anderen entdeckt der Prüfer so eventuell Logeinträge, die der Webseitenbetreiber vergessen hat zu berücksichtigen. Leider ist diese Methode nur bei virtuellen Servern bzw. root-Servern anwendbar. Da der Webseitenbetreiber aber nur bei diesen wirklichen Einfluss auf das Logging hat, sollten meiner Meinung nach auch nur diese das Siegel - nach erfolgreicher Prüfung - tragen dürfen. Übrigens bleibt noch eine Unsicherheit - der Webseitenbetreiber könnte sich die Logs auf einen fremden Server schreiben lassen. Sofern Standardsoftware verwendet wird, kann man das wohl in den Konfigurationsoptionen überprüfen. Klar ist aber, dass man diese auch umkompilieren kann. Auch die Netstat-Ausgabe sollte also genauestens überprüft werden. Zumindest bleibt bei der beschriebenen Prüfung aber immer der Nutzen, dass ein externer Prüfer auf vergessene Logdaten hinweisen kann. Voraussetzung für das Verfahren sind mehrere technisch versierte Prüfer. Ich denke auch, dass der jeweilige Prüfer durchaus eine einmalige Gebühr vom Webseitenbetreiber verlangen kann. Vertretbar wären etwa 30 Euro. Sollten bei späteren Überprüfungen Logdaten gefunden werden, so wäre diese Gebühr nochmals fällig.
Matthias Mansfeld	Ääääh was ist h.M. h.R. h.L. Bitte gib mir mal einen _link_ dazu zum konkreten Nachlesen. Irgendwie hab ich das Gefühl, daß alle, die mit dem Urteil nicht zu 100% glücklich sind und hier oder anderswo noch wesentlich fundierter ihre Bedenken darlegen, in Augen der Initiatoren hier Spitzel oder Deppen sind, die gefälligst ihre Webseiten runterzufahren haben. Ich mit meiner Homepage bin konkret bei catch-22. Die griffbereiten Musterklagen lassen mir dann wohl nur die Wahl, den Hoster zuwechseln (wohin denn jetzt!?) oder die Seite runterzufahren. Auf wessen Rücken wird das ausgetragen? Danke vielmals... Matthias Mansfeld
Jens	"immer noch üblicher Rechtsauffassung" Das ist falsch, es ist h.M., h.R. und h.L. dass die IP personenbezogen ist. So eine Diskussion gab es mal vor Jahren, die ist aber längst überholt.