[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Versicherungsdaten



Hi,

Florian Laws (florian@void.s.bawue.de) - Thu, Nov 07, 2002 at 02:37:13PM +0100:
> Interessanter finde ich die Frage:
> Gibt es einen Unterschied darin, systematisch Passwörter durchzuprobieren,
> oder systematisch URLs durchzuprobieren?

Fuer meine Begriffe streng genommen: ja. Insbesondere wenn durch das
Probieren nicht nur bekannte Teile der URL wegfallen, sondern neue
hinzukommen.

> Wenn ja, warum?
> Und wenn nein: zählt dann eine nirgends verlinkte Webseite schon als
> "besonders gesichert"?

Definiere 'verlinkt'.

http://www.meinedomain.de/pfad/

Ist eine URL. Wenn ich die eingebe und Dinge bekomme, auf die ich
draufklicken kann, sind das dann schon 'Links'? (das koennte ja genauso
gut das nackte Directory-Listing sein).

Ich wuerde sagen: Ja, das sind Links.

Wobei das Problem dann an der Quelle der ersten URL haengt.
Wenn ich die aus
http://www.meinedomain.de/pfad/unterpfad/datei 
abgeleitet habe, finde ich das eine zulaessige Ableitung.

Wenn ich die aus
http://www.meinedomain.de/wasvoellig/ande/res
abgeleitet habe, finde ich das nicht zulaessig (besonders wenn die 
Findung auch noch auf systematisches Durchprobieren zurueckzufuehren ist.)
Das ist in meinen Augen dann gleichzusetzen mit Passworten
durchprobieren.

Ich betrachte also eine Datei, die unter
http://meinedomain.de/irgendeinpfad/datei
liegt und nicht durch direktes Verwenden oder Verkuerzen einer 
ofiziell bekannten URL erreichbar ist (ein Link darauf zu bekommen ist),
als geschuetzt.

Dies ist sicher kein hochwirksamer Schutz, aber Schutz. Ein Schutz
sollte soweit reichen, dass es aufwaendiger und teurer ist diesen Schutz
ueber diesen Weg zu umgehen, als die Daten wert sind. 

Hochsensible Kundendaten waeren mir da also nicht geschuetzt 
genug - auch wenn es schwer bestraft werden wuerde, wenn jemand 
versuchen wuerde an diese Daten durch Ausprobieren von URLs zu 
kommen (sie sind sicher wertvoller als vieles an Strafen was die 
deutsche Justiz anzubieten hat. Es lohnt sich somit
im Zweifelsfalle die Strafe in Kauf zu nehmen)

neko
-- 
Simone Demmel					neko@greenie.muc.de

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de