wie schon geschrieben, es gibt immer noch keinen Hinweis, wie man über Google die geschützten Bilder finden könnte ...
Zugriff auf geschützte Bilder?
- Ersteller baggacfreak
- Erstellt am
Selbst wenn Du nicht gezielt nach etwas bestimmten suchen kannst, wie viele Millionen Suchanfragen verarbeitet allein Google täglich?
Wenn auch nur eines der angeblich geschützten Bilder zufällig in einer Bildersuche auftaucht, ist das ein Fehler der nicht passieren darf, das ist einfach indiskutabel.
Wenn auch nur eines der angeblich geschützten Bilder zufällig in einer Bildersuche auftaucht, ist das ein Fehler der nicht passieren darf, das ist einfach indiskutabel.
ja wenn, aber ist es denn schon einmal geschehen?
wenn ich Google die direkte Adresse zu Daten gebe, welche es nicht crawlen sollte, dann ist es doch klar, dass es dann auch in Google zu finden ist
aber es gibt bis jetzt keinen Hinweis, dass Google irgendwelche geschützten Daten von klamm.de in seinem Bestand hat, welche nicht von einem Beteiligten geteilt wurden...
Wenn Google nicht auf die Datei zugreifen kann, dann ist es egal, ob ich nach der Datei suche oder nicht. Google kann dann die Datei gar nicht abrufen.
Ganz einfach: Wenn ich in der Google Bilder-suche ein Bild suche welches in einem zugriffs-geschützten Bereich hier auf Klamm liegt, darf das Bild nicht im Index angezeigt werden, selbst wenn ich mit der kompletten URL suche.
Zuletzt bearbeitet:
Nur mal als hinweis, ein Keyword ist gar nicht nötig, denn du kannst auch ein Bild für die Suche benutzen.
Google spuckt dann ähnliche Bilder aus.
Wer Geschützte Bilder hier hat kann das ja mal trsten, ich habe hier keine Fotos drauf...
Google spuckt dann ähnliche Bilder aus.
Wer Geschützte Bilder hier hat kann das ja mal trsten, ich habe hier keine Fotos drauf...
Spielt das denn eine Rolle?
Was ist das denn bitte für eine Risikoanalyse wenn Du Gefahren niedrig bewertest nur weil sie noch nicht eingetreten sind? Die Tragweite diese Falles würde ich als durchaus hoch bewerten, was auf jeden Fall Handlungsbedarf auslöst.
Wenn Du Passwortschutz für bestimmte Daten anbietest, darf dieser Schutz nicht durch irgendeine Suchmaschine/Linkkonstallation übergangen werden können.
ODER man muß im Voraus klar darauf hinweisen, dass diese Zugriffschutz nur rudimentär ist.
Möglicherweise wurden andere Bilder schon x-fach offengelegt was keinem aufgefallen ist da der Nutzer der Suchmaschine ja nicht weiß, dass die Bilder geschützt sein sollten.
Ich verstehe die Aufregung nicht: Damit Google das Bild in seinen Index aufnehmen kann (und nur dann kann es durch eine Suche gefunden werden, egal ob man nach Stichwörtern, Bildern oder sonstwas sucht), muss der URL zu dem Bild öffentlich gepostet worden sein. Wird er das nicht, kann google nicht dran kommen.
Ergo: Wer ein Bild schützen will, darf das Bild nicht öffentlich posten. Das ist für mich aber auch ganz logisch denn sobald ich es irgendwo poste wo google dran kann, kann auch jeder andere dran und es ist nicht mehr geheim.
Der URL ist quasi das Passwort. Poste ich das Bild öffentlich ist das genauso als hätte ich das Passwort öffentlich gepostet.
Und "per Bruteforce den URL erraten" ist auch kein Argument, da kann ich genauso per Bruteforce das Passwort erraten (und der Pseudozufall im URL hat eine bei weitem höhere Entropie als die meisten Passwörter).
Das einzige Problem was ich bereit bin anzuerkennen ist, dass der Nutzer vielleicht genauer informiert werden muss, welche Art Zugriffsschutz implementiert ist.
*edit* Zu den Alben bei klamm, die nachträglich "geschützt" wurden: naja, die waren halt mal öffentlich. Das Internet vergisst nichts, das im Nachhinein zu schützen ist eh wenig sinnvoll. Selbst wenn man die URL komplett ändert und alles passwortschützt: Wenn sie mal offen waren reicht ein beliebiger Bilder-Cache und man kommt noch dran.
Ergo: Wer ein Bild schützen will, darf das Bild nicht öffentlich posten. Das ist für mich aber auch ganz logisch denn sobald ich es irgendwo poste wo google dran kann, kann auch jeder andere dran und es ist nicht mehr geheim.
Der URL ist quasi das Passwort. Poste ich das Bild öffentlich ist das genauso als hätte ich das Passwort öffentlich gepostet.
Und "per Bruteforce den URL erraten" ist auch kein Argument, da kann ich genauso per Bruteforce das Passwort erraten (und der Pseudozufall im URL hat eine bei weitem höhere Entropie als die meisten Passwörter).
Das einzige Problem was ich bereit bin anzuerkennen ist, dass der Nutzer vielleicht genauer informiert werden muss, welche Art Zugriffsschutz implementiert ist.
*edit* Zu den Alben bei klamm, die nachträglich "geschützt" wurden: naja, die waren halt mal öffentlich. Das Internet vergisst nichts, das im Nachhinein zu schützen ist eh wenig sinnvoll. Selbst wenn man die URL komplett ändert und alles passwortschützt: Wenn sie mal offen waren reicht ein beliebiger Bilder-Cache und man kommt noch dran.
Das darf dann auch keiner, dem man Zugriff auf die Bildger gegeben hat, kann man aber selber nicht kontrollieren.
Sicher, jedes Bild was ich auch sehen kann, kann ich selber abspeichern und ohne Schutz veröffentlichen und insofern stimme ich da Arusiek zu, dass solche Bilder dann auch nirgends hochgeladen werden sollten, wenn man sie nicht veröffentlicht haben will, denn die Gefahr besteht letztendlich doch immer.
Aber auch wenn das "ich speichere mir das Bild und veröffentliche es" relativ simple ist, kenne ich auch ne Menge Leute für die das schon ne größere Herausforderung ist, aber den Link zum Bild z.B. in nem sozialen Netz zu posten dann eben doch einfacher ist und dafür sollte dann eben auch der Zugriffsschutz greifen.
Ok gut, das sehe ich ein. Dann darf man solche Bilder eben auch nur an Personen weitergeben, denen man vertraut und muss diese entsprechend instruieren.
baggacfreak
Well-known member
- 5 März 2007
- 326
- 5
Irgendwie schon lustig, dass sich hier immer alle über Facebook beschweren, dann aber klamm in Schutz nehmen, wenn es um Sicherheit geht. Ich habe das Bild nicht bei Google "hochgeladen" nur die URL reicht aus, um das Bild bei Google zu sehen. Nachdem Google mit Leichtigkeit mit seinen Crawlern Bilder von Seiten indiziert (macht es ja nicht erst seit gestern) ist das nicht schön. Ein Hinweis Passwortschutz ist eigentlich unsinnig würde zwar helfen, aber dann braucht man sich auch nicht mehr wundern, wenn so wenige User bei Klamm sind. Ist ja genauso schlimm wie bei Facebook!
bitte hör mal auf ständig theoretisch zu diskutierenSpielt das denn eine Rolle?
Was ist das denn bitte für eine Risikoanalyse wenn Du Gefahren niedrig bewertest nur weil sie noch nicht eingetreten sind? Die Tragweite diese Falles würde ich als durchaus hoch bewerten, was auf jeden Fall Handlungsbedarf auslöst.
Wenn Du Passwortschutz für bestimmte Daten anbietest, darf dieser Schutz nicht durch irgendeine Suchmaschine/Linkkonstallation übergangen werden können.
ODER man muß im Voraus klar darauf hinweisen, dass diese Zugriffschutz nur rudimentär ist.
Möglicherweise wurden andere Bilder schon x-fach offengelegt was keinem aufgefallen ist da der Nutzer der Suchmaschine ja nicht weiß, dass die Bilder geschützt sein sollten.
zeig mir bitte mal wie man geschützte Bilder bei Google findet!das was der Threadersteller tat, war dass er selbst sein geschütztes Bild bei Google "hochlud", sein Bild ist durch die Adresse selbst nicht bei Google auffindbar, genauso wie jedes andere geschützte Bild nicht auffindbar ist
es besteht keine Gefahr, dass geschützte Bilder von irgendeinem User bei Google landen, wenn diese nicht von jemandem auf irgendeine Art veröffentlicht wurden
dieser Thread wurde nur eröffnet, weil der User nicht verstand wie Google funktioniert und dass die Weitergabe von geschützten Materialien eben keinen Schutz mehr bietet
Wenn es ein Sicherheitsproblem gäbe würde ich klamm sicher nicht in Schutz nehmen aber ich sehe das Problem einfach nicht. Der URL ist das Passwort, wer den URL postet hat sein Passwort verraten. Ist für mich ganz logisch?
Googles Crawler indizieren das was sie finden können. Nur wenn Du den URL öffentlich postest kann Google ihn finden. "Von selbst" passiert das jedenfalls nicht, also leicht zu vermeiden.
Den Satz verstehe ich nicht.
k... Ich habe eben drei Bilder in einen geschützten Ordner geladen... Dank des "skandalösen Bugs" sollte es jetzt doch ein Leichtes für dich sein, "durch das Loch an der Rückseite zu greifen" und mir zumindest eines der Bilder hier zu posten... oder?
Immerhin sind sie ja quasi öffentlich.Gruß Aru
skandalös kommt von Dir. Leg mir bitte keine Worte in den Mund, die ich nicht gesagt habe.k... Ich habe eben drei Bilder in einen geschützten Ordner geladen... Dank des "skandalösen Bugs" sollte es jetzt doch ein Leichtes für dich sein, "durch das Loch an der Rückseite zu greifen" und mir zumindest eines der Bilder hier zu posten... oder?Immerhin sind sie ja quasi öffentlich.
Gruß Aru
Und du drehst dich im Kreis, wenn ich einen Passwort geschützten Bereich habe hier auf Klamm, dann erwarte ich das dieser Bereich und die enthaltenen Daten durch niemand außerhalb erreichbar und aufrufbar ist. (... der das Passwort nicht kennt)
Ganz. Einfach.
Und ob Google nun diesen Bereich automatisch scannen oder erst durch Aufruf einer Datei aus diesem Bereich, geht auch am Thema vorbei.
Wieso darf Google einen geschützten Bereich ohne vorherige Authentifizierung (Passwort) überhaupt zugreifen?
Das scheinst Du, trotz Administrator-Rechte, anscheinend nicht zu verstehen.
Da frag ich mich doch ehrlich, ob diese Rechte
nicht zu viel sind.
Es ist egal was in einem Passwort geschützten Bereich liegt. Ohne Authentifizierung darf es nicht aufgerufen werden.
Wird der Token als Get mit an dieUrl gehängt,
freut sich jeder Proxy-Betreiber zwischen User und Klamm.de Sicherheit? Null.
Zu deinen Bildern, kopiere die URL, melde dich von Klamm ab, lösche die Cookies und Ruf dann die URLs über Google u. direkt auf.
Kommt eine PW Abfrage ist alles gut und wir können sicher sein, das der Schutz funktioniert.
Ist bei einem von beiden das enthaltene Bild zu sehen, hast Du ein Problem.
Muss ich dir wirklich erklären, wie man einen Schutz überprüft? ?
Zuletzt bearbeitet:
Eine URL die in einen PW-Geschützen Bereich führt, ist das Passwort? Das ist keine Sicherheit, das ist krank
EDITH: ...und leider falsch. Die Bild-URL enthält keinerlei Authentifizierungsmerkmale sondern ist nach dem Muster:
https://img4.klamm.de/gallery/picz/30000/<Klamm-UserID>/<10stellige-Hex-Zahl>_big.<Datei-typ> aufgebaut.
zumindest bei dem von mir getesteten Bild.
Der Schutz bezieht sich tatsächlich nur auf den Zugriff über die Bilder-Alben des Users, nicht auf den direkten Zugriff per gewusster oder erratener URL.
Der GoogleBot scannt mehrfach pro Tag / Stunde klamm.de ab, automatisch. Und nur, weil man per Browser eine Abfrage präsentiert bekommt, heißt es nicht automatisch, das der GoogleBot diese Abfrage überhaupt sieht.
Da hilft nur informieren zum Thema .htaccess / robots.txt, GoogleBot
Desweiteren bietet Google für Mobiles eine Datenkomprimierung an, wird ein Proxy-Server zwischen geschaltet, der die Daten komprimiert.
Ruft ein User seine Daten aus geschützten Bereich ab und Google wertet das Proxy-Log aus, weiß die Google Suche wo die Datei zu finden ist, OHNE je die Url öffentlich gepostet zu haben.
Zuletzt bearbeitet:
<10stellige-Hex-Zahl> ist unbekannt und spielt somit hier die Rolle des Passworts. Dürfte sicherer sein als die Passwörter die manche Nutzer sich so ausdenken. Steht natürlich beim Aufruf im Klartext im HTTP-Get-Request. Ja und? Das würde für ein per Formular übertragenes Passwort nicht anders sein.
Sicher tut er das. Er sieht dabei aber nur die Seiten die öffentlich zugängig sind. Solange $user nicht den Link (also die 10-stellige Hex-Zahl) im Forum oder sonstwo postet wird GoogleBot diesen Link nicht sehen und damit auch nicht indizieren.
Und ob. Vorausgesetzt die Abfrage ist richtig implementiert. Ihr Zweck ist Authentifizierung, ein Bot ist ganz klar nicht authentifiziert - wenn er die Abfrage nicht sehen würde hätte sie ihren Zweck verfehlt.
Mein Unverständnis bezog sich auf "eigentlich unsinnig würde zwar helfen, aber...". Wenn es helfen würde warum ist es dann unsinnig? Und wieso braucht man sich dann nicht wundern?
Ich halte übrigens eine robots.txt für das so ziemlich unsicherste Mittel, da sie nur eine Empfehlung darstellt.
Seit wann wertet Google denn Proxy-Logs aus
das wäre mir neu... Ich glaube auch, dass das schon aufgefallen wäre - denn viele Seiten nutzen die Technik (z.B. auch Facebook), dann müssten sich ja längst alle geschützten Bilder im Google Index befinden? Wenn da was dran wäre, müsste es dazu einen Artikel bei heise geben. Ich schaue mal ob ich was finde. 
Natürlich muss klar sein, dass im Grunde jeder Proxy die URLs abfangen kann. Das gilt aber auch für über HTTP gesendete Passwörter. Für richtige Sicherheit hilft nur Ende-zu-Ende-Verschlüsselung, alles andere ist am Ende nicht mehr und nicht weniger sicher als das System was wir hier haben...
baggacfreak
Well-known member
- 5 März 2007
- 326
- 5
Also diese Aussage zeigt wie wenig Ahnung der Verfasser hat! 10 stellige Hex Zahlen (Hash?) sind ja wohl nicht sicher und ein leichtes für findige Script Kiddies herauszufinden. Da sich der Seitenbesitzer auch nicht zum Thema äußert, habe ich meine Bedenken was die Sicherheit auf Klamm angeht. Da sind wohl einige Admins mit dem Denken in den vor 2000 Jahren hängen geblieben.
Ich habe nicht gesagt, dass sie sicher sind, nur sicherer als das typische User-Passwort àla test1234. Bei einer 10-stelligen Hex sprechen wir von 1.1bio Möglichkeiten. Zugegeben, das ist nicht viel, die könnte man durchprobieren. Ich frage mich da nur ob man nicht das Passwort schneller gebruteforced hat.
Generell würde ich hier unterscheiden zwischen der konkreten Umsetzung (10 Zeichen sind vielleicht wirklich ein bisschen wenig) und der allgemeinen Technik (die für mich immer noch genauso (un)sicher ist wie eine Passwort-Abfrage).
Da ich vielleicht missverstanden werde nochmal anders formuliert: wenn wir auf Webseiten Passwort-Abfragen sehen werden wir gerne dazu verleitet, dass das sicher wäre. Was ich sagen will ist, dass das häufig Augenwischerei ist und am Ende in vielen Fällen genauso unsicher wie so eine einfache Technik wie sie hier Verwendung findet. Wer sichere Übertragung will muss sich um Ende-zu-Ende-Verschlüsselung kümmern. Und wer ganz sicher gehen will sollte vertrauliche Informationen einfach nirgends ins Netz hochladen.
DaPhreak, das ist Schwachsinn einen automatisch generierten Dateinamen auf die Stufe eines Passworts zu erheben.
Bleibst du weiter bei diesem Argument, spreche ich Dir jegliche Kompetenz zu diesem Thema ab.
Jedes Passwort ist sicherer, als keines für eine Datei die ansonsten keinen Zugriffshutz hat und deren Namen sich durch Bruteforce erraten läßt. (Welche Latenzen / Bandbreiten / und Systeme werden heutzutage eingesetzt? klingels?)
Klar... spätestens bei einer HTTPS-verschlüsselten Übertragung ist hier aber Schluss.
Setzen 6.
schon wieder eine Halb-Wahrheit.
Der GoogleBot fragt höfflich ab, welche URLs er denn scannen darf, dafür nimmt er die Angaben aus der robots.txt.
Er kann sich daran halten, muss es (und andere Bots) aber nicht.
Hausaufgaben nicht gemacht.
Setzen. 6
wieder Halb-Wahrheit.
Ein Beispiel: Google Mail indiziert alle Mails, die über seinen Dienst laufen, gelangt eine Mail in die Reichweite von Google Mail, direkt durch $user oder indirekt durch Weiterleitung, dann hat Google die Möglichkeit die URL zu indizieren, ohne das Sie öffentlich gemacht wurde.
Nur ein Szenario... ich sehe Du beschäftigst Dich intensiv mit dem Thema, aber ...
...hast Du denn mal ausprobiert, worum es hier geht? Nein? Dann hättest Du herausgefunden das eine Abfrage bei Kenntnis der URL nicht auftaucht. Gilt auch für Bots.
Natürlich kann ich für Bots eine Abfrage generieren. Ich kann sie aber auch zulassen trotz Abfrage auf PW, wenn $Browser zugreift. Nur muss ich das aktiv einrichten.
Da hat du dir ja doch noch die Einleitung zur robots.txt durchgelesen.
Ja die robots.txt ist nur eine Empfehlung, in Zusammenhang mit einer oder mehreren .htacces -Dateien / -Regeln
kann man daraus aber schon einen guten Zugriffsschutz aufbauen.
Wo steht es, das sie es nicht tun? Nutze ich solche Dienste, hab ich bei Klartext-Übertragung bzw. -Aushandlung immer das Problem, das jemand mitlesen kann. Im Beschreibungstext zur Daten-Reduzierung in meiner JB-Android-Version wird auf das Risiko nicht hingewiesen.Seit wann wertet Google denn Proxy-Logs ausdas wäre mir neu...
Muss es nicht, allerdings haben beide den Passus drin, das sie Daten auswerten durfen zu Verbesserung ihrer Dienste, gerade FB zeigt seit diesem Monat ja was das bedeutet und wie sie es bewerkstelligen wollen.Ich glaube auch, dass das schon aufgefallen wäre - denn viele Seiten nutzen die Technik (z.B. auch Facebook), dann müssten sich ja längst alle geschützten Bilder im Google Index befinden? Wenn da was dran wäre, müsste es dazu einen Artikel bei heise geben. Ich schaue mal ob ich was finde.
Wenn Du gerade auf Heise bist, lese Dir doch den Artikel bei Heise Security durch zum Thema "Wie sichere ich meine Dateien auf meinem Webserver richtig" duch, ja?
Wow.. Am Ende die Erkenntnis und ein Griff in die Phrasenkiste...
Fassen wir zusammen:
- Der Passwort-"Schutz" bezieht sich nur auf den Zugriff über klamm.de der Foto-Alben eines Users
- Enthaltene Dateien sind ungeschützt.
- Der Aufbau des Pfades ist bekannt durch den Blick auf die URL freigegebener Bilder.
- Der Dateiname ist automatisch generiert, kann aber durch Bruteforce herrausgeunden werden.
- Eine Blockade von Scripten / Bots / unauthorisiertem Zugriff findet nicht statt.
Fazit: Sicherheit? Nur vorgetäuscht.
jiw, scheinbar willst Du mich bewusst falsch verstehen. Ich habe nie behauptet, dass das System sicher ist. In dem Punkt sind wir uns im Grunde längst einig. Ich behaupte nur es wird nicht sicherer dadurch, dass ich da noch irgendwo eine Passwort-Abfrage einbaue. Das ist vorgegaukelte Sicherheit.
Insbesondere wenn Du den Nutzern die Wahl des Passworts selbst überlässt. Du wärst erschrocken darüber wie viele entweder test oder 1234 wählen. Da kannst Du hundert mal dagegen wettern, das ändert nichts daran, dass die Entropie eines zufällig generierten Hashs höher ist. 10 Zeichen mag nicht genug sein, 30 wären es sicher. Deshalb mahnte ich an, die konkrete Implementierung hier von dem grundsätzlichen System zu unterscheiden, was Du geflissentlich überlesen hast.
Wenn ich bruteforcen will, wieso bruteforce ich dann nicht das Passwort? Wieviel einfacher ist es, ein user-erdachtes Passwort zu erraten als einen 30stelligen zufällig generierten Hash? Hast Du Dir mal die Entropie ausgerechnet und dabei bedacht, dass bei Hashs alle Ziffern gleichverteilt sind? Man braucht also im Schnitt 2e23 Anfragen. Nutze ich die Bandbreite um das Passwort zu bruteforcen bin ich doch viel schneller fertig. Auf das Argument bist Du nicht eingegangen, das willst Du scheinbar nicht hören.
Natürlich kann ich da einen Zugriffsschutz implementieren (nach x Anfragen wird geblockt) aber das ist wieder das gleiche mit dem Dateizugriff, da kann ich doch genau das selbe tun.
Deshalb schrieb ich http und nicht https.
Hm, scheinbar hast Du nicht verstanden wie Crawling funktioniert. Der Googlebot crawlt die Index-Seite und verfolgt dort alle vorhanden Links. Er kann also nur URLs in den Index aufnehmen die auf irgendeiner Seite direkt, explizit auftauchen. Er kann nicht einfach ein Listing auf einem Verzeichnis machen und alle dort liegenden URLs abfragen. Aus mehreren Gründen: (1) das Verzeichnis könnte gar nicht existent sein sondern virtuell umgemappt werden z.B. in GET-Parameter (mod_rewrite); (2) selbst wenn sollte der Apache so konfiguriert sein, dass er ein Listing verbietet (also mit einem 403 antwortet).
Fazit: wenn ich den URL nirgends poste wird Google auch nicht dran kommen. Dass google angeblich auch Links aus Proxy-Logs und Googlemails extrahiert und in den Index aufnimmt glaube ich sofort wenn Du mir Dein Insiderwissen irgendwie glaubhaft belegst. Bis dahin bleibt es eine Behauptung.
Darum geht es aber gar nicht: Wenn mir die Information wichtig ist, dann sollte ich sie genauso wenig in eine unverschlüsselte Mail schreiben (die über alle möglichen Knoten geleitet wird wo sie jeder mitlesen könnte) wie sie irgendwo öffentlich posten. Da muss ich mir schon einen sicheren Kommunikationskanal suchen (und sicher heißt nun mal Ende-zu-Ende).
Noch anders gesagt: will ich das Bild jemandem zeigen muss ich ihm den URL und das Passwort sagen. Wähle ich dafür einen unverschlüsselten Kanal bringt das alles gar nichts, dann kann ich das Passwort auch gleich weglassen. Wenn muss die geheime Information über einen sicheren Kanal. Wobei es dann wieder egal ist ob der geheime Teil die URL oder das Passwort ist.
Habe ich behauptet, dass auf klamm eine solche Abfrage existiert? Nein. Warum unterstellst Du mir das dann? Keine Ahnung. Eigenartige Diskussionsmethodik. Ich habe lediglich gesagt, welche Funktion eine solche Abfrage in meinen Augen erfüllen sollte wenn man sie einrichten würde und dass es dann selbstverständlich wäre, dass sie auch auf Bots zutrifft (da Du behauptetest, dass Bots eine solche Abfrage nicht sehen würden).
Aha, na wenn Du meinst.
Lass Dir von jemand mit Erfahrung sagen: robots.txt hat nichts aber auch gar nichts mit Zugriffsschutz zu tun. Die hat einen ganz anderen Sinn. Am besten Du liest die RFC noch mal komplett.
Bei htaccess bist Du schon näher dran.
Genau, mitlesen ist das richtige Stichwort. Mitlesen gilt für die URLs genauso wie für den Content. Steht da das Passwort hast Du genau gar nichts erreicht.
Hoch leben die Äpfel-mit-Birnen-Vergleiche. Was die Auswertung der Nutzerdaten für Werbezwecke jetzt mit der vorliegenden Fragestellung zu tun haben soll erschließt sich mir jedenfalls nicht.
Letztlich ist es wie oben: geheime Information bei Facebook zu verschicken ist ein genauso unsicherer Kommunikationskanal wie es in eine unverschlüsselte E-Mail zu schreiben. Wer das tut riskiert, dass die Information publik wird.
Ich werte das mal als Diskreditierungsversuch mit dem Du mir zu unterstellen versuchst, dass ich die Hashs für sicher halte - obgleich ich das nie behauptet habe sondern von Anfang an von Ende-zu-Ende-Verschlüsselung sprach. Siehe erster Absatz in diesem Post.
Alle weiteren persönlichen Angriffe lasse ich unkommentiert, ich denke die sprechen für sich.
Nur fürs Protokoll: In keinem dieser Punkte habe ich je widersprochen.
Insbesondere wenn Du den Nutzern die Wahl des Passworts selbst überlässt. Du wärst erschrocken darüber wie viele entweder test oder 1234 wählen. Da kannst Du hundert mal dagegen wettern, das ändert nichts daran, dass die Entropie eines zufällig generierten Hashs höher ist. 10 Zeichen mag nicht genug sein, 30 wären es sicher. Deshalb mahnte ich an, die konkrete Implementierung hier von dem grundsätzlichen System zu unterscheiden, was Du geflissentlich überlesen hast.
Wenn ich bruteforcen will, wieso bruteforce ich dann nicht das Passwort? Wieviel einfacher ist es, ein user-erdachtes Passwort zu erraten als einen 30stelligen zufällig generierten Hash? Hast Du Dir mal die Entropie ausgerechnet und dabei bedacht, dass bei Hashs alle Ziffern gleichverteilt sind? Man braucht also im Schnitt 2e23 Anfragen. Nutze ich die Bandbreite um das Passwort zu bruteforcen bin ich doch viel schneller fertig. Auf das Argument bist Du nicht eingegangen, das willst Du scheinbar nicht hören.
Natürlich kann ich da einen Zugriffsschutz implementieren (nach x Anfragen wird geblockt) aber das ist wieder das gleiche mit dem Dateizugriff, da kann ich doch genau das selbe tun.
Deshalb schrieb ich http und nicht https.
Hm, scheinbar hast Du nicht verstanden wie Crawling funktioniert. Der Googlebot crawlt die Index-Seite und verfolgt dort alle vorhanden Links. Er kann also nur URLs in den Index aufnehmen die auf irgendeiner Seite direkt, explizit auftauchen. Er kann nicht einfach ein Listing auf einem Verzeichnis machen und alle dort liegenden URLs abfragen. Aus mehreren Gründen: (1) das Verzeichnis könnte gar nicht existent sein sondern virtuell umgemappt werden z.B. in GET-Parameter (mod_rewrite); (2) selbst wenn sollte der Apache so konfiguriert sein, dass er ein Listing verbietet (also mit einem 403 antwortet).
Fazit: wenn ich den URL nirgends poste wird Google auch nicht dran kommen. Dass google angeblich auch Links aus Proxy-Logs und Googlemails extrahiert und in den Index aufnimmt glaube ich sofort wenn Du mir Dein Insiderwissen irgendwie glaubhaft belegst. Bis dahin bleibt es eine Behauptung.
Darum geht es aber gar nicht: Wenn mir die Information wichtig ist, dann sollte ich sie genauso wenig in eine unverschlüsselte Mail schreiben (die über alle möglichen Knoten geleitet wird wo sie jeder mitlesen könnte) wie sie irgendwo öffentlich posten. Da muss ich mir schon einen sicheren Kommunikationskanal suchen (und sicher heißt nun mal Ende-zu-Ende).
Noch anders gesagt: will ich das Bild jemandem zeigen muss ich ihm den URL und das Passwort sagen. Wähle ich dafür einen unverschlüsselten Kanal bringt das alles gar nichts, dann kann ich das Passwort auch gleich weglassen. Wenn muss die geheime Information über einen sicheren Kanal. Wobei es dann wieder egal ist ob der geheime Teil die URL oder das Passwort ist.
Habe ich behauptet, dass auf klamm eine solche Abfrage existiert? Nein. Warum unterstellst Du mir das dann? Keine Ahnung. Eigenartige Diskussionsmethodik. Ich habe lediglich gesagt, welche Funktion eine solche Abfrage in meinen Augen erfüllen sollte wenn man sie einrichten würde und dass es dann selbstverständlich wäre, dass sie auch auf Bots zutrifft (da Du behauptetest, dass Bots eine solche Abfrage nicht sehen würden).
Da hat du dir ja doch noch die Einleitung zur robots.txt durchgelesen.
Ja die robots.txt ist nur eine Empfehlung, in Zusammenhang mit einer oder mehreren .htacces -Dateien / -Regeln
kann man daraus aber schon einen guten Zugriffsschutz aufbauen.
Aha, na wenn Du meinst.
Lass Dir von jemand mit Erfahrung sagen: robots.txt hat nichts aber auch gar nichts mit Zugriffsschutz zu tun. Die hat einen ganz anderen Sinn. Am besten Du liest die RFC noch mal komplett.
Bei htaccess bist Du schon näher dran.
Genau, mitlesen ist das richtige Stichwort. Mitlesen gilt für die URLs genauso wie für den Content. Steht da das Passwort hast Du genau gar nichts erreicht.
Muss es nicht, allerdings haben beide den Passus drin, das sie Daten auswerten durfen zu Verbesserung ihrer Dienste, gerade FB zeigt seit diesem Monat ja was das bedeutet und wie sie es bewerkstelligen wollen.
Hoch leben die Äpfel-mit-Birnen-Vergleiche. Was die Auswertung der Nutzerdaten für Werbezwecke jetzt mit der vorliegenden Fragestellung zu tun haben soll erschließt sich mir jedenfalls nicht.
Letztlich ist es wie oben: geheime Information bei Facebook zu verschicken ist ein genauso unsicherer Kommunikationskanal wie es in eine unverschlüsselte E-Mail zu schreiben. Wer das tut riskiert, dass die Information publik wird.
Ich werte das mal als Diskreditierungsversuch mit dem Du mir zu unterstellen versuchst, dass ich die Hashs für sicher halte - obgleich ich das nie behauptet habe sondern von Anfang an von Ende-zu-Ende-Verschlüsselung sprach. Siehe erster Absatz in diesem Post.
Alle weiteren persönlichen Angriffe lasse ich unkommentiert, ich denke die sprechen für sich.
Nur fürs Protokoll: In keinem dieser Punkte habe ich je widersprochen.
