Moin moin
Eure persönliche, gefühlte Einschätzung ist gefragt, bitte beteiligt Euch zahlreich, auch so seltene Geistwesen wie @Stefan & @Matthias & @dkarvounaris , bitte!
In der Theorie eine alltägliche Übung
Man will einfach nur ein Bild aus einem Bilderdienst über den dafür vorgesehenen Button teilen, fordert also den BBCode-Link an, den man (zum Beispiel hier im Forum) in seinen Beitrag kopiert, damit das Bild erscheint.
So weit, so gut.
Hat man gleichzeitig im Hintergrund einen Download-Manager am Laufen, dann wird in diesem — je nach Konfiguration automatisiert — der BBCode-Link in die Linkliste eingetragen.
Auch normal.
Jetzt kommt’s
Aus dem Link zu einem einzelnen Bild wird im Downloadmanager automatisch ein Link zum kompletten Bildarchiv generiert! Übergibt man ihn von der Warteschlange an die Downloadschlange lädt man also den kompletten Bildbestand des Bildautors auf seinen eigenen Rechner herunter. Nicht die vom User hochgeladenen Originalbilder, aber immerhin 2.048px breite Versionen, in denen keine EXIF-Daten enthalten sind, aber wenigstens noch — tröstlich, tröstlich! — die urheberrechtlichen Informationen.
Es ist mir natürlich klar, daß man jedes (sic) Bild aus dem Netz „zupfen“ kann, ich weiß auch, wie man das bewerkstelligt. Aber dafür muß das Bild zumindest einmal im Browser geladen werden.
Am 21.Januar hatte ich die Abteilung „Vertrauen und Sicherheit“ (sic! ) des Betreibers der Plattform auf den geschilderten, für mich ungewöhnlichen Umstand aufmerksam gemacht und um Abstellung gebeten, ihr dafür 48 Stunden Zeit eingeräumt; das empfand ich als fair so, man muß nicht gleich aus jedem Pups eine Windstärke 10 erzeugen.
Gleichzeitig dokumentierte ich (leicht nachvollziehbar) die (von mir angenommene) Sicherheitslücke, stellte die Unterlagen genannter Abteilung zur Verfügung.
Mir wurde sinngemäß geantwortet, das wär’ halt mal so, man würde die eigenen User ja schließlich nur „ermutigen“ wollen, die eigenen Bilder gegen Download zu schützen, es gäbe aber immer einen (Um)Weg...
Dann wurde ich nur noch eingeladen, „our HackerOne program“ zu „joinen“ »Ich bin kein Hacker, Ihr HONKs!«
[/ Galgenhumor]
Zwei Ergänzungen
Meine persönliche Einschätzung
Ich sehe durchaus einen Unterschied darin, ob man sich ein einzelnes angezeigtes Bild aus dem Cache fischen kann oder gleich mit geeigneten Programmen herunterlädt, oder ob man gleich den kompletten Bildbestand eines Photographen mit hunderten oder tausenden Photographien in durchaus verwertbarer Größe (2.048px lange Seite sind für Collagen und Artikel-Illustrationen durchaus brauchbar ... und meine 'etwas anderen' Bilder eh ) in einem Rutsch auf seinen Rechner geliefert bekommt, wiewohl der urhebende Photograph genau das unterbunden sehen möchte.
Zwischenzeitlich sind fast 2 Wochen vergangen, getan hat sich nichts, die Downloadmöglichkeit besteht immer noch.
Wäre gar nicht meine Art. Sollte ich vielleicht in den Foren des Betreibers ein paar Zeilen auf deutsch und englisch hinterlegen, damit da mal ein bißchen Luft von Achtern eingeblasen wird?
Eure Vorschläge werde ich aufmerksam lesen!
Lieber Gruß
Rata
PS: ich hatte übrigens mit der Meldung gleich meinen Bezahlt-Account gekündigt. Wurde auch nicht zur Kenntnis genommen, gestern kam die neu Rechnung...
Eure persönliche, gefühlte Einschätzung ist gefragt, bitte beteiligt Euch zahlreich, auch so seltene Geistwesen wie @Stefan & @Matthias & @dkarvounaris , bitte!
In der Theorie eine alltägliche Übung
Man will einfach nur ein Bild aus einem Bilderdienst über den dafür vorgesehenen Button teilen, fordert also den BBCode-Link an, den man (zum Beispiel hier im Forum) in seinen Beitrag kopiert, damit das Bild erscheint.
So weit, so gut.
Hat man gleichzeitig im Hintergrund einen Download-Manager am Laufen, dann wird in diesem — je nach Konfiguration automatisiert — der BBCode-Link in die Linkliste eingetragen.
Auch normal.
Jetzt kommt’s
Aus dem Link zu einem einzelnen Bild wird im Downloadmanager automatisch ein Link zum kompletten Bildarchiv generiert! Übergibt man ihn von der Warteschlange an die Downloadschlange lädt man also den kompletten Bildbestand des Bildautors auf seinen eigenen Rechner herunter. Nicht die vom User hochgeladenen Originalbilder, aber immerhin 2.048px breite Versionen, in denen keine EXIF-Daten enthalten sind, aber wenigstens noch — tröstlich, tröstlich! — die urheberrechtlichen Informationen.
Frage: Darf das sein?
Es ist mir natürlich klar, daß man jedes (sic) Bild aus dem Netz „zupfen“ kann, ich weiß auch, wie man das bewerkstelligt. Aber dafür muß das Bild zumindest einmal im Browser geladen werden.
Am 21.Januar hatte ich die Abteilung „Vertrauen und Sicherheit“ (sic! ) des Betreibers der Plattform auf den geschilderten, für mich ungewöhnlichen Umstand aufmerksam gemacht und um Abstellung gebeten, ihr dafür 48 Stunden Zeit eingeräumt; das empfand ich als fair so, man muß nicht gleich aus jedem Pups eine Windstärke 10 erzeugen.
Gleichzeitig dokumentierte ich (leicht nachvollziehbar) die (von mir angenommene) Sicherheitslücke, stellte die Unterlagen genannter Abteilung zur Verfügung.
Mir wurde sinngemäß geantwortet, das wär’ halt mal so, man würde die eigenen User ja schließlich nur „ermutigen“ wollen, die eigenen Bilder gegen Download zu schützen, es gäbe aber immer einen (Um)Weg...
Dann wurde ich nur noch eingeladen, „our HackerOne program“ zu „joinen“ »Ich bin kein Hacker, Ihr HONKs!«
[/ Galgenhumor]
Zwei Ergänzungen
- in meinem Bilderstream ist die Downloadmöglichkeit von Bildmaterial generell gesperrt: „Der Eigentümer verbietet das Herunterladen der Fotos“. Früher handhabte ich das anders — bin über 12 Jahre dabei —, aber ich habe „meine Kinder“ so häufig „in fremden Gärten spielend“ gesehen, daß ich mich ab und zu zu ärgern begann.
- einige von mir auf „privat“ gesetzte Bilder, die also nur einem stark eingeschränkten Besucherkreis angezeigt werden, sind im durchgeführten Test-Download zum Glück nicht (!) enthalten, alle anderen schon.
Meine persönliche Einschätzung
Ich sehe durchaus einen Unterschied darin, ob man sich ein einzelnes angezeigtes Bild aus dem Cache fischen kann oder gleich mit geeigneten Programmen herunterlädt, oder ob man gleich den kompletten Bildbestand eines Photographen mit hunderten oder tausenden Photographien in durchaus verwertbarer Größe (2.048px lange Seite sind für Collagen und Artikel-Illustrationen durchaus brauchbar ... und meine 'etwas anderen' Bilder eh ) in einem Rutsch auf seinen Rechner geliefert bekommt, wiewohl der urhebende Photograph genau das unterbunden sehen möchte.
Frage: Liege ich da falsch?
Zwischenzeitlich sind fast 2 Wochen vergangen, getan hat sich nichts, die Downloadmöglichkeit besteht immer noch.
Frage: Sollte man ich den Umstand „petzen“, heise, golem, t3n etc. melden?
Wäre gar nicht meine Art. Sollte ich vielleicht in den Foren des Betreibers ein paar Zeilen auf deutsch und englisch hinterlegen, damit da mal ein bißchen Luft von Achtern eingeblasen wird?
Eure Vorschläge werde ich aufmerksam lesen!
Lieber Gruß
Rata
PS: ich hatte übrigens mit der Meldung gleich meinen Bezahlt-Account gekündigt. Wurde auch nicht zur Kenntnis genommen, gestern kam die neu Rechnung...
Zuletzt bearbeitet: