Hm…

Man stelle sich mal vor, wir hätten auf .get privacy nach Hinweis von Falk auf ein Sicherheitsloch bei einem Web 2.x-Projekt hingewiesen. Bevor die Lücke geschlossen wurde, hatte wie das Ausnutzen der Lücke an einer entscheidenen Stelle unkenntlich gemacht. Soweit so gut.

Das Leck wurde, nachdem Falk eine Mail geschrieben hatte, sofort gefixt. Daraufhin haben auch wir die Unkenntlichmachung im Artikel nebenan gelöscht, jeder konnte so nachlesen, was da möglich war. Eigentlich die für mich faire Vorgehensweise in so einem Fall.

Heute dann bekomme ich eine Mail vom besagten Projekt indem ich gebeten werden, den Artikel zu löschen. Nach Rückfrage steht fest: Das Ganze soll verschwiegen werden. Die Seite lebt davon, dass Unternehmen ihnen zuarbeiten, und sie haben große Bedenken, dass es massiven Ärger geben wird, wenn nun herauskommt, dass es Sicherheitsprobleme gab.

Ich bin da nun hin– und hergerissen. Auf der einen Seite möchte ich natürlich nicht, dass es da für die Jungs und Mädels Ärger gibt. Jedoch ist klar, dass Sicherheitslücken immer auftregen können, und sie haben unverzüglich das Leck geschlossen, vorbildlich, im Gegensatz zu anderen, über die wir schon berichtet haben. Dann ist da natürlich der Punkt des Veschweigens, mit dem ich gar nicht klarkomme. Offenheit und Ehrlichkeit ist gerade in der Web 2.x-Welt das A und O — und seien wir mal ehrlich, es haben den Artikel nebenan nicht wenige gelesen, es wird rauskommen, und dann ist der Ärger umso größer.

Was würdet Ihr tun? Verschweigen, redigierte Form des Artikels online stellen, oder das Original? Ich tendiere zur Zeit zum Original, aus den schon zwei angesprochenen Gründen: Das Gemauschel gefällt mir nicht und es wird auch nicht helfen — rauskommen wird es sowieso.

In meinen Augen würde da nur eines helfen: Offenheit auf der eigenen Homepage, ein Dank mit Link an Falk und .get privacy und jeder Mensch würde da sagen: Hut ab, vorbildlich reagiert. Oder ist das der typische Traumwelt-Gedanke, wenn Unternehmen mit ihren Rechten mitspielen, steht da wirklich großer Ärger ins Haus?

*grübelt*

, ,

20 Antworten zu “Hm…”

  1. floyd sagt:

    Habe ich mir auch überlegt.

    Habe den Artikel bei mir erstmal mit einem Passwortschutz versehen. Mal sehen wie sich das ganze entwickelt.

    Direkt löschen gefäält mir auch nicht.

  2. Falk sagt:

    Bei mir steht der Artikel auf privat und hier mal noch meine Gedanken dazu, die ich eben schon per PM bzw. Mail geäußert habe:

    «weiss nicht, ob das löschen so eine tolle Idee wäre. Klar — es war/wäre ein Problem, wenn nichts gemacht worden wäre, aber wir haben ja direkt auch dazu geschrieben jetzt, dass es eben jetzt *nicht* mehr geht. Genau das macht Euch ja jetzt stark — weil Fehler können jedem passieren und ich war ja selbst überrascht davon. Vor allem wäre ich als Rechteinhaber ja auch betroffen gewesen (schliesslich verwalten ich hier auch zwei kleine Indies).»

    und eben zu Chris:

    «Der Wunsch ist einerseits nachvollziehbar, auf der anderen
    Seite kennst ja auch unsere Argumente, das Transparenz besser wäre. Weisst allerdings ja auch, wie die Haie im Musikbusiness reagieren.

    Ich glaub ich schreib da mal was allgemein dazu oder?»

    Naja, bei Letzterem kam mir der Chris zuvor 😉

  3. Oli sagt:

    Na klar kann da gigantischer Ärger ins Haus stehen, gigantischer als jeder der einer Miniwebseite ins Haus stehen kann oder einem Möchtegern-Web2-Dinges das mit User-Daten um sich wirft. Scheiß mal einer hier massiv der großen Musik/Filmindustrie ans Bein, die Fantastillionen könnten nicht einmal unsere Urenkel im Traume aufbringe,
    Transparenz ist zudem ein zweischneidiges Schwert, Securityprofies in der Industrie z.B. geben die Daten erst einmal dem möglichen Geschädigten und warten ab ob dieser reagiert, dann wird veröffentlicht.
    Wir sind keine Profis in diesem Bereich, sondern stolpern mit Glück in derlei Bereiche, ergo sollte man auch deren Wunsch respektieren — Transparenz kann in diesem Fall nur den Schaden vergrößern und die Plattform in kurzer Zeit vernichten.
    Ja ich weiß Studivz, die Geprellten waren die User, aber die zeigten zum Gros kein Interesse — insofern selbst Schuld.

  4. Falk sagt:

    Sicher, der Wunsch ist absolut nachvollziehbar. Schlimm finde ich eben, das eine Plattform solcherlei «Fehler» verschleiern *muss*. Denn wie ich oben schrieb, ich wäre imho selbst betroffen gewesen und ehrlich gesagt, bestimmt auch sauer/wütend, wenn *nicht* reagiert worden wäre. So zeigte man aber doch, dass man die Rechte der Urheber 100% ernst nimmt.

    Daraus dann ein Imageproblem zu konstruieren sähe allerdings der Musikindustrie ähnlich und genau *dort* stinkt der Fisch.

  5. Oli sagt:

    Probier den Tango selbst aus mit der großen Musikindustrie und du stehst innerhalb von Tagen vor einem gigantischen persönlichen Scherbenhaufen. Das die Industrie so ist wie sie ist und das sich da *nichts* ändern wird, schrieb ich schon an anderen Stellen und die Problematik zeigte sich schon damals nach umgreifen des mp3-Codecs, des gehackten Videocodecs von MS usw., Napster — all die schönen Dinge, die massiv zur Verbreitung beitrugen. Man stieß die Industrie drauf und diese reagierte mit drakonischen Maßnahmen und Jahr für Jahre wurde die Wahl der Waffen härter, in diesem ungleichen Duell. Der Dumme ist *immer* der Endkunde und dieser kann allenfalls nur noch geschickt den Projektilen ausweichen, nicht aber Kugelfänger spielen, das wäre hochgradig naiv.

  6. […] …und deswegen verlassen wir mal lieber das Becken, in dem diese Schwimmen. Worum gehts? Darum… […]

  7. kobalt sagt:

    Man kann ja auf die Lücke in einer Anwendung hinweisen ohne die Firma zu benennen, die diese Anwendung benutzt. Natürlich sollte die Firma unterrichtet werden.

    Das würde die Sicherheit der Anwendung stärken und dem Wunsch der Firma Rechnung tragen. Denn die Firma sollte entscheiden, wann welche Informationen über sie in die Öffentlichkeit gelangen, weil es die Daten der Firma sind.

  8. Lulu sagt:

    Denn die Firma sollte entscheiden, wann welche Informationen über sie in die Öffentlichkeit gelangen, weil es die Daten der Firma sind.

    Klar, nur was Firmen wollen, wird berichtet. Willkommen in der Welt der Werbung.

    Ich finds verständlich wenn ihr euch nicht mit solchen potentiell gefährlichen Haien einlasst, das sind so ein paar verkrüppelte mp3s ganz bestimmt nicht wert. Aber Schade ist es dennoch. Denn diese Artikel sind belegbar wahr, und sie stellen keine aktuelle Gefahr mehr da. Bis auf den Imageschaden, den die Herren sich da wohl einbilden.

  9. Oli sagt:

    Klar, nur was Firmen wollen, wird berichtet. Willkommen in der Welt der Werbung.

    Nenne es anders, willkommen in der Welt der Erwachsenen oder auch profan … der Vernunft. Man muß es Betonköppen auf der anderen Seite nicht gleich tun, wenn man doch fortwährend behauptet der Intelligentere der beiden zu sein.

  10. denis sagt:

    Naja ich würde es online lassen. Diese Mauscheleien und Verschleierungen gehen doch nur böse nach hinten los. Der Schaden für … ist doch um einiges schlimmer, wenn es nach dieser Aktion nun bei heise auftauchen würde.

    Gruß Denis

  11. denis sagt:

    Man muß es Betonköppen auf der anderen Seite nicht gleich tun, wenn man doch fortwährend behauptet der Intelligentere der beiden zu sein.

    Naja nur mit dieser Vorgehensweise macht sich ein Blog wie get-privacy.info doch unglaubwürdig. Die eigenen Prinzipien, die gegen jegliche Zensur gerichtet sind, werden außen vor gelassen. Stattdessen macht man doch das was die Industrie möchte.

    Naja ansonsten wünsche ich euch noch einen geruhsamen ersten Feiertag.

    Gruß Denis

  12. Oli sagt:

    Naja nur mit dieser Vorgehensweise macht sich ein Blog wie get-privacy.info doch unglaubwürdig.

    Klar kommt nur drauf an ob man das Bild eines verunftbegabten Menschen im Sinn hat oder eines hirnlosen Märtyrers.

    Ich schriebs anderswo, man befindet sich auf einem Schlachtfeld — die dumpfe Masse sitzt auf der einen Seite der Mauer und dreht nur die Musik lauter, wenn die Einschüsse der schweren Geschütze wiederhallen und die Mauer langsam bröckelt. Auf der anderen Seite sitzt die Industrie mit gewaltigen Geschützen und feuert was das Zeug hält.
    Die kleinen Männchen dazwischen, die noch etwas mitdenken, wie wir z.B., strecken ab und an mal die Birne hoch, strecken die Zunge raus und weichen schnell dem Kugelhagel aus. Dazwischen versucht man ein paar in der Masse aufmerksam zu machen.

    Ich begrüße immer die Ratschläge aller Helden da draußen, die es selbst noch nicht einmal fertig bringen würden Zivilcourage zu zeigen (ich rede allgemein, aus Erfahrung weiß ich das im Inet *jeder* alles auf seine Person bezieht und auch derartig denkt), vor Ort in der Realität nicht am Computer. Bei letzterem ist der Held ohne Geld nur ein Märtyrer im Sperrfeuer.
    Aber danke für die Tipps.

  13. denis sagt:

    Gut ich kann eure Seite verstehen.
    In welcher Weise hätte man dem Blog an den Karren fahren können? Nur weil die Lücke gepostet wurde oder aus welchem Grund? Den Tatsachen entspricht das ganze ja.

    Gruß Denis

  14. Oli sagt:

    Wenn du eine Anleitung gibst, egal wie einfach oder nicht, kann man dir im Prinzip nach deutschem Recht (nicht gesundem Menschenverstand wie einige gerne argumentieren) so ziemlich «alles» unterjubeln.
    Und wenn diejenigen von den Rechteinhabern kräftig eine ins Genick getreten bekommt, nun den Rest kann man sich mit ein wenig Fantasie ausmalen. Da draußen das ist die Realität, da gibts wirtschaftliche Interessen und da läßt sich keiner eine ans Bein treten.
    Falk schrieb drüben was von einem Haifischbecken das man schleunigst verläßt. Geredet wird darüber auch hier, wie man ja zweifelsohne bemerkt, oder? Nur eben auf andere Art und Weise.

    P.S. wäre es so offensichtlich, würde es wohl jeder machen, also bedurfte es immer noch einem kleinen Hinweis.

  15. denis sagt:

    Warum ist dann ein Artikel, der die Vorgehensweise nicht beinhaltet strafbar? So nach dem Motto «Es gab ein Sicherheitsleckt bei XYZ… dieses wurde innerhalb kürzester Zeit geschlossen». Eigentlich hatte ich, nachdem ich gelesen hatte das die Lücke geschlossen wurde, ein ziemlich positives Bild von __ . Die Forderung nach Löschung macht das ganze doch viel schlimmer als es eigentlich war. Hmmm…

  16. Chris sagt:

    Liebster denis — Du scheinst ein Mensch zu sein, der so richtig Eier in der Hose hat, so ein richtiger Held.

    Das ist fein, und ich bewundere sowas in heutiger Zeit, ehrlich.

    Aber bitte nicht mehr hier. Ziehe einfach weiter, und nerve nicht weiter. Das Gesamtbild hier, auf .get privacy und nebenan bei Falk gibt ein ganz klares Bild.

    Bist Du nicht willens, es zu verstehen, dann kann ich es auch nicht ändern.

    Verstehe dies als kleinen Hinweis, weil heute Weihnachten ist — andere, die (mich) genervt habe, sind schon viel früher in der Modschleife gelandet. Das ist und bleibt und wird es immer sein, unser Hausrecht. 😉

  17. Lulu sagt:

    Nenne es anders, willkommen in der Welt der Erwachsenen oder auch profan ? der Vernunft. Man muß es Betonköppen auf der anderen Seite nicht gleich tun, wenn man doch fortwährend behauptet der Intelligentere der beiden zu sein.

    Nun, ich meinte das jetzt etwas allgemeiner… wenn Medien im allgemeinen nur noch berichten was Unternehmen genehm ist…

    Das Ihr abwägt und so entscheidet ist nachvollziehbar, wie schon gesagt.

    Aber nur zum Schluß: Was ist mit einem Bericht wie denis sagt? Es war das und das (ungenau — ohne die Anleitungen) und es ist jetzt nicht mehr. Ist das Ruf/Geschäftsschädigung? Es wäre traurig wenn es so ist. Aber ihr habt scho recht, man muss nicht alles machen, nur weil es (vielleicht) geht.

  18. PeterShaw sagt:

    Ich bin dagegen sich derart zensieren zu lassen. Das Loch hat bestanden, es ist gefixt und es gibt keinen Grund eine derartige Information einfach totzuschweigen.

    Man kann unliebsame Nachrichten nicht einfach aus dem Internet entfernen, man muss zu den Dingen stehen. Und wenn der Firma daraus ein wirtschaftlicher Schaden entsteht? Nun, dann liegt es nicht an denen die es aufgedeckt haben, sondern eher an jenen die das Leck möglich gemacht haben.

    Ich bin darum FÜR eine Veröffentlichung der Tatsachen!

  19. Chris sagt:

    Frohe Weihnachten Euch allen — und wer es immer noch nicht kapiert hat, es geht nicht um das Web 2.x-Projekt, es geht um die Label, die Contentindustrie. Die könnten richtig Ärger machen, die würden sich nicht nur mit ein paar Gliedmaßen zufrieden geben.

  20. Chris sagt:

    Ich verweise letztmalig zu diesem Thema nochmal nach nebenan. Danke für die Blumen.

    Ich habs gerade in einer Mail geschrieben: Man kann es echt übertreiben. Ich hätte einfach den Artikel löschen
    sollen und gut. Scheiß auf Transparenz, wenn sowas wie hier und diese unsägliche Diskussion dabei rauskommt.

    Wieder was gelernt.

RSS-Feed abonnieren