Antworten auf deine Fragen:
Neues Thema erstellen

Handelt es sich um eine Sicherheitslücke? Muss die Öffentlichkeit informiert werden?

  • nein, keine Sicherheitslücke

  • bin unentschlossen

  • ja, das ist eindeutig eine Sicherheitslücke

  • Informationen darüber weitergeben!

  • Nein, das muss ja niemand erfahren


Die Ergebnisse sind erst nach der Abstimmung sichtbar.

Sicherheitslücke, ja oder nein? (mit Umfrage)

Rata

Moin moin
hat.gif


Eure persönliche, gefühlte Einschätzung ist gefragt, bitte beteiligt Euch zahlreich, auch so seltene Geistwesen wie @Stefan & @Matthias & @dkarvounaris , bitte!


In der Theorie eine alltägliche Übung
Man will einfach nur ein Bild aus einem Bilderdienst über den dafür vorgesehenen Button teilen, fordert also den BBCode-Link an, den man (zum Beispiel hier im Forum) in seinen Beitrag kopiert, damit das Bild erscheint.
So weit, so gut.

Hat man gleichzeitig im Hintergrund einen Download-Manager am Laufen, dann wird in diesem — je nach Konfiguration automatisiert — der BBCode-Link in die Linkliste eingetragen.
Auch normal.

Jetzt kommt’s ;)
Aus dem Link zu einem einzelnen Bild wird im Downloadmanager automatisch ein Link zum kompletten Bildarchiv generiert! Übergibt man ihn von der Warteschlange an die Downloadschlange lädt man also den kompletten Bildbestand des Bildautors auf seinen eigenen Rechner herunter. Nicht die vom User hochgeladenen Originalbilder, aber immerhin 2.048px breite Versionen, in denen keine EXIF-Daten enthalten sind, aber wenigstens noch — tröstlich, tröstlich! :cool: — die urheberrechtlichen Informationen.

Frage: Darf das sein? :confused:


Es ist mir natürlich klar, daß man jedes (sic) Bild aus dem Netz „zupfen“ kann, ich weiß auch, wie man das bewerkstelligt. Aber dafür muß das Bild zumindest einmal im Browser geladen werden.

Am 21.Januar hatte ich die Abteilung „Vertrauen und Sicherheit“ (sic! :D) des Betreibers der Plattform auf den geschilderten, für mich ungewöhnlichen Umstand aufmerksam gemacht und um Abstellung gebeten, ihr dafür 48 Stunden Zeit eingeräumt; das empfand ich als fair so, man muß nicht gleich aus jedem Pups eine Windstärke 10 erzeugen.
Gleichzeitig dokumentierte ich (leicht nachvollziehbar) die (von mir angenommene) Sicherheitslücke, stellte die Unterlagen genannter Abteilung zur Verfügung.

Mir wurde sinngemäß geantwortet, das wär’ halt mal so, man würde die eigenen User ja schließlich nur „ermutigen“ wollen, die eigenen Bilder gegen Download zu schützen, es gäbe aber immer einen (Um)Weg...
Dann wurde ich nur noch eingeladen, „our HackerOne program“ zu „joinen“ :nick: »Ich bin kein Hacker, Ihr HONKs!« :motz:

[/ Galgenhumor]

Zwei Ergänzungen



    • in meinem Bilderstream ist die Downloadmöglichkeit von Bildmaterial generell gesperrt: „Der Eigentümer verbietet das Herunterladen der Fotos“. Früher handhabte ich das anders — bin über 12 Jahre dabei —, aber ich habe „meine Kinder“ so häufig „in fremden Gärten spielend“ gesehen, daß ich mich ab und zu zu ärgern begann.
    • einige von mir auf „privat“ gesetzte Bilder, die also nur einem stark eingeschränkten Besucherkreis angezeigt werden, sind im durchgeführten Test-Download zum Glück nicht (!) enthalten, alle anderen schon.

Meine persönliche Einschätzung
Ich sehe durchaus einen Unterschied darin, ob man sich ein einzelnes angezeigtes Bild aus dem Cache fischen kann oder gleich mit geeigneten Programmen herunterlädt, oder ob man gleich den kompletten Bildbestand eines Photographen mit hunderten oder tausenden Photographien in durchaus verwertbarer Größe (2.048px lange Seite sind für Collagen und Artikel-Illustrationen durchaus brauchbar ... und meine 'etwas anderen' Bilder eh :cool:) in einem Rutsch auf seinen Rechner geliefert bekommt, wiewohl der urhebende Photograph genau das unterbunden sehen möchte.

Frage: Liege ich da falsch?


Zwischenzeitlich sind fast 2 Wochen vergangen, getan hat sich nichts, die Downloadmöglichkeit besteht immer noch.

Frage: Sollte man ich :cool: den Umstand „petzen“, heise, golem, t3n etc. melden?

Wäre gar nicht meine Art. Sollte ich vielleicht in den Foren des Betreibers ein paar Zeilen auf deutsch und englisch hinterlegen, damit da mal ein bißchen Luft von Achtern eingeblasen wird?
zahnlos.gif




Eure Vorschläge werde ich aufmerksam lesen!




Lieber Gruß
Rata

PS: ich hatte übrigens mit der Meldung gleich meinen Bezahlt-Account gekündigt. Wurde auch nicht zur Kenntnis genommen, gestern kam die neu Rechnung... :mad:
 
Zuletzt bearbeitet:

Fotografie

ph_o_e_n_ix

acromyniker

Nachdem dieser Umstand ja offenbar vom Betreiber gewollt ist, würde ich auch kein Problem darin sehen, wenn du auf Plattformen wie heise, golem, etc. dafür die "Werbetrommel" rührst, wie man das einst bei Photoshop CS2 getan hat...

Also nicht negativ als Sicherheitslücke "verkaufen", sondern positiv als vom Betreiber gewünschte kostenlose Quelle für große Bildarchive für den Hausgebrauch...

Entweder gehen dann die Urheber auf die Barrikaden und beschweren sich beim Betreiber der Plattform und es ändert sich etwas innerhalb kürzester Zeit oder aber du und die anderen Urheber müssen sich nach einer anderen Plattform umsehen...

Mit "petzen" hätte das jedenfalls nichts zu tun - schließlich ist das ja vom Betreiber offenbar so vorgesehen.
 

ph_o_e_n_ix

acromyniker

Laß es doch auf einen Versuch ankommen - denn wer wärst du denn, den Wahrheitsgehalt einer Mitarbeiteraussage aus der Abteilung "Vertrauen und Sicherheit" des Betreibers anzuzweifeln?
 

Pauline

Aktives Mitglied

Ist mir technisch zu hoch, was ist ein Downloadmanager bzw. was machst Du? Wenn ich was im Browser herunterladen will, dann rechte Maustaste und 'Speichern unter'. Entweder es funktioniert oder auch nicht...
 

Rata

Ist mir technisch zu hoch, was ist ein Downloadmanager bzw. was machst Du?

Ein Downloadmanager ist ein Programm, an das man zum Beispiel eine Video-URL (laienhaft: Adresse des Videos) übergibt. Er lädt dieses Video dann auf den Rechner herunter und man kann es archivieren oder offfline anschauen und dann wieder löschen.


Wenn ich was im Browser herunterladen will, dann rechte Maustaste und 'Speichern unter'.

Damit würdest Du bei meinen Bildern scheitern ;) und...


Entweder es funktioniert oder auch nicht...

... (mehr oder weniger) enttäuscht aufgeben. Brave @Pauline! :)



Lieber Gruß
Rata
 

Pauline

Aktives Mitglied

... (mehr oder weniger) enttäuscht aufgeben.
eher weniger enttäuscht. Ist mehr meine Art Verständnis vom Urheberrecht, wenn ich es ohne Tricks runterladen kann, dann hat der Eigentümer sicher nichts dagegen und wenn's nicht funktioniert, weis ich das der Eigentümer es nicht möchte und respektiere das.

VG
 

Rata

eher weniger enttäuscht. Ist mehr meine Art Verständnis vom Urheberrecht, wenn ich es ohne Tricks runterladen kann, dann hat der Eigentümer sicher nichts dagegen und wenn's nicht funktioniert, weis ich das der Eigentümer es nicht möchte und respektiere das.


Gesunde Einstellung.
Hier hat der „Eigentümer“ etwas dagegen, hat das bei der Web-Site auch so eingestellt, bei der man ohnehin generell erst gar nicht mit Rechtsklick und abspeichern an Bilder kommt.
Will man aber eines seiner Bilder z. B. in ein Forum verlinken, dann bekommt man seinen gesamten Datenbestand unfreiwillig „angeboten“, wenn im Hintergrund ganz friedlich ein Downloadmanager läuft.

Sicherheitslücke, ja oder nein?


Lieber Gruß
Rata
 

Chris_EDI

PixelNik

Sicherheitslücke würde ich nur dann dazu sagen, wenn dir (dem Inhaber der Bilder) damit ein Schaden entsteht. So wie ich deine Schilderung des Sachlage verstehe, übernimmt der Downloadmanager eigentlich ja nur die Arbeit des Users, die Bilder einzeln runter zu laden. Geschützte Bilder sind ja nicht betroffen.
Ich würde sagen, es ist eine unsaubere, nicht sehr durchdachte, schlechte Programmierung seitens des Anbieters.
Ich kann aber deinen Unmut gegenüber dem Betreiber verstehen. Dessen Reaktion zu deiner Anfrage ist nicht(um es höflich auszudrücken) sehr professionell.
 

Visconto

Nicht mehr ganz neu hier

Sofern auch der Downloadmanager nur herunterladen kann besteht keine Sicherheitslücke. Der Downloadmanager liest nur die vorhandene Datenstruktur und bedient sich derselben.
Kläre gegebenenfalls über den Anwalt deines Vertrauens was dir vertraglich zusteht.
In einem öffentlichen Forum kannst du Umfragen erstellen, die Schreibweise Photograph zum Kulturgut hochstilisieren, aber damit hat es sich auch.
 

Andre_S

unverblümt

Der Anbieter überlässt es ja seinen Usern Bilder gegen download zu schützen oder nicht. Damit wird dem User der Schuh angezogen.
Das selbe gilt für den Downloadmanager, solange der nur nicht geschützte Bilder downloadet und er die Option bereitstellt nicht gleich den ganzen Bilderbestand runter zu laden liegt es auch dort in der Verantwortung des Users ihn entsprechend einzustellen.
 

Rata

Sicherheitslücke würde ich nur dann dazu sagen, wenn dir (dem Inhaber der Bilder) damit ein Schaden entsteht. So wie ich deine Schilderung des Sachlage verstehe, übernimmt der Downloadmanager eigentlich ja nur die Arbeit des Users, die Bilder einzeln runter zu laden. Geschützte Bilder sind ja nicht betroffen.

Aber klar doch.
Nur als „privat“ eingestufte Bilder werden nicht geladen, alle anderen schon.

@Chris_EDI Danke für's Gedankenmachen :)


Sofern auch der Downloadmanager nur herunterladen kann besteht keine Sicherheitslücke.

Ich verstehe nicht, was Du meinst. Was soll der Downloadmanager denn anderes noch machen ;), woanders wieder hochladen? :ironie:


Der Downloadmanager liest nur die vorhandene Datenstruktur und bedient sich derselben.

Eben!
Die vorhandene und erlaubte Struktur soll er ja lesen. Die (vermeintliche) Sicherheitslücke manifestiert sich ja gerade darin, daß statt dem Link zu einem Bild der Link zu einem gesamten Datenbestand vom Betreiber der Plattform zur Verfügung gestellt wird :teufel:


In einem öffentlichen Forum kannst du Umfragen erstellen, die Schreibweise Photograph zum Kulturgut hochstilisieren, aber damit hat es sich auch.

Aus diesem Absatz kann ich nur eine kritische Einstellung meiner 'Geisteshaltung' gegenüber entnehmen, die steht Dir zu und frei, aber was soll der letzte Teilsatz eigentlich ausdrücken? :(


Der Anbieter überlässt es ja seinen Usern Bilder gegen download zu schützen oder nicht.

Ja.


Damit wird dem User der Schuh angezogen.

Er hat beide Füße gegen olfaktorische Auskäsung geschützt :D


Das selbe gilt für den Downloadmanager, solange der nur nicht geschützte Bilder downloadet ...

Er lädt auch die geschützten!


und er die Option bereitstellt nicht gleich den ganzen Bilderbestand runter zu laden liegt es auch dort in der Verantwortung des Users ihn entsprechend einzustellen.

Wie?
Was?
Wie soll ich denn als User den Link, der vom Plattformbetreiber zur Veröffentlichung zur Verfügung gestellt wird, beeinflussen?



Ich versuche es mal zu „versteinmetzen“, die Ausführlichkeit, mit der ich es beschrieben hatte — der „Aspie“ in mir —, scheint Euch nur zu verwirren:

1) Aus einem ganz normalen Link zu einem (!) Bild eines Users wird ein Link zum kompletten Datenbestand dieses Users.
2) Im gesamten, riesengroßen Internet-Auftritt des Portals ist das Abspeichern von Bildern via Rechtsklick unmöglich.
3) selbst wenn der User der Plattform seine Bilder generell gegen Download geschützt hatte, lässt sich so der komplette Datenbestand in recht hoher Auflösung herunterladen
4) es handelt sich hier nicht um eine popanzige Feld-, Wald- & Wiesen-Plattform! Der „IT“ sollte ein solcher Fauxpax nicht unterlaufen; darauf hingewiesen reagiert man mit Unverständnis und Nichtstun.



Lieber Gruß
Rata
 

Visconto

Nicht mehr ganz neu hier

Sollte es sich bei dem Dienst um Flickr handeln kann ich mich nur wundern.
Auf Win 10 Firefox dauerte es eine halbe Ewigkeit bis die Policies und Guidelines Stand 17.12.2018 überhaupt geladen waren.
Mit so einem Bilderdienst kann sich Benutzer arrangieren oder auch mal die Finger davon lassen. Daß Downloadmanager in erweiterter Funktion auch Grabber sind ist nichts Neues.
Als Sicherheitslücke gilt mit Sicherheit nicht das Herunterladen von Inhalten durch einen Downloadmanager. Eine Sicherheitslücke wäre Möglichkeit von Manipulation auf dem Server.

Petze ruhig bei Heise. Die Foris dort greifen solche Themen mit Begeisterung auf.

@Rata
kauf dich bei einem Webhoster / Clouddienst ein der dir den von dir gewunschten Komfort bietet.
Auch ich verstehe, daß dir etwas gegen den Strich geht. Daß so Plattformen wie Flickr nicht deinem Verständnis entsprechen kannst du akzeptieren oder pragmatisch ändern.

Deine Umfrage hier hilft dir konkret nicht weiter. Jede Antwort stellt nur die persönliche Meinung dar. Ob der Support-MA sich im Ton vergriffen hat oder dir nicht beipflichten wollte bzw. Änderung zusagen konnte kann kein Außenstehender beurteilen.
 
Zuletzt bearbeitet:

Rata

@Visconto

Herzlichen Dank!
Jetzt verstehe ich Dich besser.

Im Heise-Forum zu petzen kommt gar nicht in die Tüte, ich hab meine Standards, weshalb ich Euch ja fragte :cool:
Muss da gleich mal was ausprobieren, melde mich später wieder.


Lieber Gruß
Rata
 

Andre_S

unverblümt

Er lädt auch die geschützten!
Ach so. Dann sind sie ja nicht wirklich geschützt. Unter echtem Schutz verstehe ich ein geschütztes Verzeichnis das nur per Passwort erreichbar ist. Das währe natürlich für Portale wie bspw. Flickr, bei denen es ja darum geht Bilder Hürdenfrei zu veröffentlichen, ein NoGo.
 

Clausthaler

Nicht mehr ganz neu hier

Ist mir technisch zu hoch, was ist ein Downloadmanager bzw. was machst Du? Wenn ich was im Browser herunterladen will, dann rechte Maustaste und 'Speichern unter'. Entweder es funktioniert oder auch nicht...
Da schließe ich mich an, ich versteh den Sinn des Downloadmanager nicht. :confused:

Link zum kompletten Bildarchiv generiert! Übergibt man ihn von der Warteschlange an die Downloadschlange lädt man also den kompletten Bildbestand des Bildautors auf seinen eigenen Rechner herunter
Nicht von (meiner) Festplatte sondern von Fliker und ähnlichen, dann ist das in meinen Augen keine Sicherheitslücke. Eher ein Verstoß gegen das Urheberrecht?
 

Pauline

Aktives Mitglied

Hmm nur mal so als Laie, ist ein Downloadmanager rechtskonform wenn er bestehende Einstellungen (also kein Download über rechte Maustaste 'Speichern unter...') umgeht oder ist das illegal?
Daraus leitet sich nämlich für mich ab, ob es sich um ein Versäumnis/Sicherheitslücke des Seitenbetreibers handelt oder um illegale Funktionen des Downloadmanagers.
 

Visconto

Nicht mehr ganz neu hier

@Pauline
welchen echten Schutz bietet das Nichtvorhandensein von "speichern unter"?
Was man öffentlich im Netz zeigt birgt das Risiko der ungewollten Weiterverbreitung.
Flickr ist ein Bilderdienst und kein Online-Datenspeicherdienst.
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Statistik des Forums

Themen
118.636
Beiträge
1.538.496
Mitglieder
67.559
Neuestes Mitglied
hanuta
Oben