Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.12 veröffentlicht (22.05.17)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Verschlüsselung von privaten Nachrichten
#1
Hallo,

ein Bekannter hat mich darum gebeten, ihn bei der Einrichtung einer geeigneten Forensoftware zu unterstützen. Wie man sich nun denken kann, ist die Wahl auf MyBB gefallen Big Grin

Ich vermisse jedoch eine Funktion, mit der sich private Nachrichten verschlüsseln lassen. Dass die Nachrichten unverschlüsselt in der Datenbank gespeichert, empfinde ich als eine unschöne Angelegenheit, zumal auch ein extra Plugin zum "Durchschnüffeln" dieser Daten existiert.

Gibt es bereits ein Plugin, mit dessen Hilfe sich private Nachrichten verschlüsseln lassen?
Zitieren
#2
Du musst ja nicht das Private Nachrichten Admin Plugin installieren.
Ansonsten - wenn jemand fremdes Zugriff auf die Datenbank hat - hast du größere Probleme, als nur das, dass man die Nachrichten lesen kann.

Für das, was du wünscht, ist mir kein Plugin bekannt.
Zitieren
#3
Das wurde schon einmal besprochen. Wer Zugriff auf den Server hat, hätte auch Zugriff auf die Methoden zur Entschlüsselung... Von daher kann man es gar nicht richtig schützen.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Zitieren
#4
Der Einwand ist natürlich berechtigt. Wenn ich es auch ganz extrem sehen möchte, bringt eine Verschlüsselung auf Datenbankebene ohnehin nichts, wenn die Seitenaufrufe ohne SSL stattfinden.

Den Sinn sehe ich ohnehin vielmehr darin, in diesem Punkt kein potentielles Misstrauen auf Seiten der Nutzer entstehen zu lassen. Wir werden uns die Idee wohl nochmals durch den Kopf gehen lassen müssen und uns dann notfalls selbst ins Plugin-System einarbeiten. Dieses scheint mir ja erfreulicherweise sehr freundlich gestaltet worden zu sein.

Vielen Dank.

Nachtrag:

Danke für den Hinweis, StefanT. Eine entsprechende Diskussion habe ich leider nicht auffinden können, klingt aber natürlich vernünftig.
Zitieren
#5
Das einzige was "sicher" ist, ist das Verschlüsselung auf Seite der Benutzer (mit GPG,...). Alles was das Forum kann, kann der Admin auch...
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Zitieren
#6
Wenn die Nutzer dem Forenadmin misstrauen, dann können sie auch keiner vom Forenadmin angebotenen Verschlüsselung vertrauen. Die Verschlüsselung muss komplett Clientseitig ablaufen, also Browser-Plugin auf beiden Seiten und die notwendligen Schlüssel über einen sicheren Kanal aushandeln. Mit Plugins o.ä. kommt ihr hier nicht weiter bzw. alles was ihr euren Usern damit bietet ist eine Scheinsicherheit weil sich an der Grundproblematik nichts ändert. Der Forenadmin kann sich überall einhaken und mitlesen wenn er dazu nur lustig genug ist.
Zitieren
#7
Ich danke Euch! Da habe ich eindeutig nicht weit genug nachgedacht. Von meiner Seite aus, hat sich damit alles erledigt Wink
Zitieren
#8
Ich teile diesen Wunsch.
Es gibt in Foren (auch bei Woltlab) immer wieder Diskussionen zum Sinn eines Plugin.
Nur weil Einige keinen Sinn darin sehen, evtl. sogar wegen ihrer Weltanschauung und politischen Einstellung, ist der Wunsch nicht "Unsinn", "Nutzlos" illegitim etc..


Da wären zum einen Hacker die sich die Datenbank beschaffen.
Copzone kann ein Lied davon singen, und evtl. findet man deren Datenbank immer noch im Internet.
Interessant, was Polizisten (anzunehmen) sich da gegenseitig schrieben.
Auch mal darüber diskutierten, wie sie auch mal jemand nachts besuchen und zusammen schlagen etc. würden, wenn sie meinen dass das nötig wäre.
Z.B. weil ein Gericht nach ihrer Ansicht falsch urteilt, oder ein Verwandter, Familie etc. betroffen sind.
Das was das Ex-SEK in Brühl in der Polizeischule auf Motorrad und mit Baseballschlägern etc. veranstaltete (aufgelöst wegen Gewaltproblemen 0_o), ist keine Seltenheit beim Charakter von Polizisten und erst Recht SEK. Zwischen Polizisten bzw. SEK und kutten tragenden Motorradfahrern gibt es charakterlich oft Parallelen. Machoproleten...
Und wie bei schlichten Menschen allgemein, haben auch Polizisten scheinbar einen "Tick" was "Kinder" angeht.
Beim Pöbel setzt beim Thema Kinder das Denken und die Moral aus. Siehe die Sprechchöre von Wohnadressen von gerade entlassenen Päderasten.
Auch Motorradrocker versuchen sich gerne mit "Kinderschutz" ein gutes Image zu geben.
BACAA e.V. Biker against Childporn and Abuse. Motorradfahrer gegen Kinderpornografie und Missbrauch.
Auch Knastinsassen.

Dann habe Ich aber auch das moralische Recht die Daten vor dem Zugriff der Polizei, auch mit Gerichtsbeschluss und vermeintlicher "Gefahr im Verzug" zu schützen.
Wenn Ich die Daten hätte, und es um Fremdgefährdung ginge, das ist eine Sache. Z.B. bei Amokankündigung.
Aber nicht, wenn sich jemand z.B. öffentlich verbrennen oder enthaupten will, und damit extra Menschen psychisch schaden will.
Aber wenn da z.B. Suizidwillige in PNs ihren Gruppensuizid mit Ort und Zeit planen, dann darf die Polizei da auf keinen Fall Zugriff erhalten.
Evtl. ist ja auch der Hoster bereit denen auf Zuruf von "Gefahr im Verzug" (bei Suizid IMMER unzulässig) ohne Beschluss zu helfen.
Die Telekom bzw. zwei Mitarbeiter weigerten sich bei einem angekündigten Suizid aus einer IP einen Namen und Adresse zu machen. Die Polizei fand erst am nächsten Tag durch andere Daten seinen Namen und Adresse und ihn tot.
Die Mitarbeiter der Telekom haben absolut korrekt gehandelt. Auch, oder gerade weil die Polizei ihn noch hätten retten können.
Es ist sein Recht zu sterben.
So wie auch jeder Strafgefangene das Recht hat sich umzubringen, und der Staat auch Anträgen auf Sterbehilfe stattgeben sollte.
Gab es tatsächlch schon, und wurde abgelehnt.
Solchen Richtern wünsche Ich zig Jahre Locked-In-Syndrom. Völlig abgeschieden, blind und taub im eigenen Körper, sollen sie verrückt werden...


Wenn Ich bei einer Webseite wie Terminal-Decision schon vorher sicher weiß Anfragen der Polizei wegen Suizidankündigungen, Gruppensuizidverabredungen und sogar Verabrdeungen zwischen Kanibalen und "Fleisch" (Kanbibalismus ist in Deutschland übrigens legal) erhalten werden, werde Ich auch nicht IPs loggen. Da gibt es wenigstens "Quick and Dirty"-Anleitungen auf Wir-Speichern-Nicht.de.
So dass jede IP der Localhost ist... Und die Emailverifizierung wird deaktiviert, und darauf hingewiesen dass man auch eine Falsche nutzen kann (fall MyBB eine Email verlangt, Ich kann es nicht raushacken). Und ein Hinweis auf den TOR-Browser.
Eine Sicherheitslücke sind aber eben die PNs. Irgendwann müssen sie Daten austauschen. Entweder weil ein Suizdaler will dass man seinen Tod zwecks die Misstände anprangernder Veröffentlihung filmt, oder wegen Verabredung zum Gruppensuizid, oder die Kanibalen erfahren wann sie wo sein müssen. Wenn sie nach dem Tod kommen, z.B. "Schlüssel unter Fußmatte", dann gibt es keinerlei Straftat, auch nicht das "zerlegen" und Essen. "die Totenruhe ist erst ab dem Zeitpunkt strafrechtlich geschützt, ab dem der Leichnahm in die Obhut einer offiziellen Person geht. Notarzt, Leichenbestatter etc..


Mit Gerichtsbeschluss muss Ich die Daten nur rausgeben, wenn Ich sie habe.
Was Ich nicht habe, da kann ich nicht für Nichtrausgeben bestraft werden. Und eine Pflicht zum IP-Logging gibt es nicht.
Und wenn PNs verschlüsselt sind, muss Ich evtl. die Daten rausgeben, aber mit dem Datenmüll können die nichts anfangen.


Die Alternative zu Verschlüsselung auf dem Server und Ende-zu-Ende wäre noch ein Service im sicheren Ausland, evtl. sogar die USA.
Die bei Anfragen von Deutschen Behörden keine Entschlüsselung vornehmen.
Z.B. ein Plugin dass die PN-Funktion ersetzt. Brauchen sie zwar ein Konto bei dem Dienst, aber dann müsste die Dt. Polizei sich dort Zugriff verschaffen.
Sogar ohne Verschlüsselung dort, wäre das sicherer.


Wenn es keine Verschlüsselung gibt, wäre eine Art von "zivilem Ungehorsam", "Stören", ein paar Sockenpuppen zu registrieren, und "Kasperletheater" zu spielen.
Falsche Suizidankündigungen, falsche Gruppensuizidverabredungen etc..
So dass die Polizei ständig damit beschäftigt ist. Wenn die das für wichtig halten, ist das ja deren "Spaß".
Da es Suizide nie Straftaten sind, gibt es auch keine Vortäuschung von Straftaten.
Da könnte ein Gruppensuizid auch mal abseits von Straßen in irgendeiner Stelle in den Bergen stattfinden.
Also wäre evtl. noch ein Hubschraubereinsatz "nötig".
Die können noch so sauer sein, keine Vortäuschung einer Straftat, kein Missbrauch von Notrufeinrichtungen (wenn ein Suizidgegner das meldet, ist es nicht mal Missbrauch durch den, er tut es legal), keine "Vortäuschung einer Notsituation".
Ja, es wäre sogar legal, nicht illegal den Einsatz heimlich zu filmen und zwecks Verhöhnung online zu stellen.
Polizisten im Einsatz dürfen laut Urteil gefilmt und Fotografiert werden, und haben kein Recht die Veröffentlichung zu untersagen oder auf Verfremdung zu bestehen. So wie Politiker die während ihrer Arbeit gefilmt werden.
Eine Suizidankündigung etc. in einem Forum dass explizit dafür da ist, kann nicht als "Hilferuf" verstanden werden.
Und wenn die Person doch hofft aufgehalten zu werden, "PP". Dann soll sie es in den Foren machen, wo so etwas verboten ist, da kann sie sicher gehen dass die das melden, und die IP gleich selbst rausgeben...
Aber nicht auf einer Webseite die angeibt nicht zu loggen und den Tipp gibt TOR zu nutzen.


Auch interessant ein Plugin dass keine Uhrzeit mehr nennt, sondern nur noch den Tag, oder maximal die Stunde.
Keine Ahnung was die Server selbst loggen, aber evtl. kann man ja einen Zugriff auf den Server (Nutzung der Seite im shared space) mit Eintragszeiten im Forum abgleichen, und schauen welche IP in der Minute Zugriff hatte, als ein Eintrag erstellt wurde.
Evtl. flexibel, so dass wenn die Seite noch sehr wenige Besucher hat, die Postzeit immer so ungenau gehalten wird, dass es x Besucher sein könnten. Es dem Hoster schwer machen die Polizei zu unterstützen.
Zitieren
#9
Frostschutz hat es doch gut genug beschrieben.
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#10
Es geht nicht um Misstrauen gegenüber dem Admin.
Im Gegenteil. Es wäre ein Bonus für die Nutzer.
Irgendeine Möglichkeit, dass Nutzer miteinander Daten wie Adressen und Zeiten austauschen können, ohne dass z.B. die Polizei, auch mit richterlichem Beschluss, darauf zugreifen kann.
Oder eben ein Hoster der ohne Beschluss "unkompliziert" hilft.

Ein Plugin für einen Onlinedienst böte faktisch eine Sicherheit, wenn es einen solchen Dienst gäbe.
Denn die Sicherheit würde über dessen Standort und Gesetzgebung hergestellt.
Z.B. dass so eine Art "PN-Dienst" in das Forum integriert wird.
In dem Fall ist nicht mal eine Verschlüsselung auf deren Server zwingend, Hacker müssten es erst mal schaffen den Service zu hacken. Und die Deutsche Polizei darf erstens nicht hacken, es nicht mal versuchen, und freiwillig helfen wird denen die Firma möglichst auch nicht.


"absolute" Sicherheit mag es nie geben, aber das ist kein Grund etwas nicht in bestmöglicher Form zu machen.
Und wenn es wirklich um den Schutz vor dem Admin geht, mit einem eingebundenen externen Dienst weiß jeder Nutzer, dass der Admin da keinen Zugriff haben kann.
Ich vermute hinter solchen Antworten eher ideologische Beweggründe, die aber gerne verschwiegen werden.
Zitieren