[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Versicherungsdaten
Hi,
Florian Laws (florian@void.s.bawue.de) - Thu, Nov 07, 2002 at 02:37:13PM +0100:
> Interessanter finde ich die Frage:
> Gibt es einen Unterschied darin, systematisch Passwörter durchzuprobieren,
> oder systematisch URLs durchzuprobieren?
Fuer meine Begriffe streng genommen: ja. Insbesondere wenn durch das
Probieren nicht nur bekannte Teile der URL wegfallen, sondern neue
hinzukommen.
> Wenn ja, warum?
> Und wenn nein: zählt dann eine nirgends verlinkte Webseite schon als
> "besonders gesichert"?
Definiere 'verlinkt'.
http://www.meinedomain.de/pfad/
Ist eine URL. Wenn ich die eingebe und Dinge bekomme, auf die ich
draufklicken kann, sind das dann schon 'Links'? (das koennte ja genauso
gut das nackte Directory-Listing sein).
Ich wuerde sagen: Ja, das sind Links.
Wobei das Problem dann an der Quelle der ersten URL haengt.
Wenn ich die aus
http://www.meinedomain.de/pfad/unterpfad/datei
abgeleitet habe, finde ich das eine zulaessige Ableitung.
Wenn ich die aus
http://www.meinedomain.de/wasvoellig/ande/res
abgeleitet habe, finde ich das nicht zulaessig (besonders wenn die
Findung auch noch auf systematisches Durchprobieren zurueckzufuehren ist.)
Das ist in meinen Augen dann gleichzusetzen mit Passworten
durchprobieren.
Ich betrachte also eine Datei, die unter
http://meinedomain.de/irgendeinpfad/datei
liegt und nicht durch direktes Verwenden oder Verkuerzen einer
ofiziell bekannten URL erreichbar ist (ein Link darauf zu bekommen ist),
als geschuetzt.
Dies ist sicher kein hochwirksamer Schutz, aber Schutz. Ein Schutz
sollte soweit reichen, dass es aufwaendiger und teurer ist diesen Schutz
ueber diesen Weg zu umgehen, als die Daten wert sind.
Hochsensible Kundendaten waeren mir da also nicht geschuetzt
genug - auch wenn es schwer bestraft werden wuerde, wenn jemand
versuchen wuerde an diese Daten durch Ausprobieren von URLs zu
kommen (sie sind sicher wertvoller als vieles an Strafen was die
deutsche Justiz anzubieten hat. Es lohnt sich somit
im Zweifelsfalle die Strafe in Kauf zu nehmen)
neko
--
Simone Demmel neko@greenie.muc.de
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de