Hi,

SovieleFunktionen da drauf: das ist sicherheitstechnisch sehr problematisch. Allerdings kenne ich ja Deine genaue Netzschaltung nicht.

HTTPD und mySQL(geblockt), also einzig Port 80 ist offen.

Genauso wie eine Samenzelle reicht zur Befruchtung, so reicht auch ein offener Port für Unsinn. Aber das meinte ich ja nicht. Die Frage ist, wie das Teil an Dein eigenes Netz angeschlossen ist. Im Idealfall natürlich überhaupt nicht, klar, aber das würde entweder Änderungen an der Kiste erheblich erschweren oder eine (zumindest theoretische) Sicherheitslücke darstellen, wenn Du Einstellungen über den Webserver machen müßtest. Aber es ist natürlich auch eine erhebliche finanzielle Frage, ob man für die beiden Dienste Webserver und DB die idealerweise 4-5 physischen Kisten betreiben will. Zudem ist auch ein Ausfall wahrscheinlicher.

Mit ein wenig Geschick kann daraus die Üebrschreitung eines Zahlungszieles mit entsprechenden Konsequenzen oder gar Schlimmeres werden.

Imho fängst du jetzt an, auf Teufel komm raus ein Beispiel zu konstruieren.

Leider nicht, das ist tatsächlich vorgekommen.

Wenn du eine Überweisung bei der Bank in der Mittagspause in den Briefkasten wirfst, rufst du dann am Nachmittag an und fragst, ob der Auftrag eingegangen ist, oder wartest du auf die nächsten Kontoauszüge?

Wenn es mir wichtig ist, gehe ich da persönlich hin. Das einzige, was ich dann weiß ist allerdings lediglich die Tatsache, das der Zettel nicht in einer Briefkastenecke hängengeblieben ist.

Nene, sorry aber das ist Quatsch. Bei über HBCI übermittelten Daten bestätigt die Gegenseite den Eingang der Daten und bei zeitkritischen Überweisungen hat man sowieso die Möglichkeit eine Terminüberweisung zu veranlassen, dann kann dich auch kein herabfallender Dachziegel mehr daran hindern, die Überweisung spätestmöglich, aber rechtzeitig auszuführen.

Leider spielt das keine Rolle. Schau mal in's Kleingedruckte der Bank, die halten sich von jeglicher Verantwortung fern. Du hast aber eine Art Eingangsstempel bei digitaler Überweisung mit HBCI. Das kann bei späteren Verhandlungen nützlich sein. Allerdings nicht bei Verhandungen mit der Bank sondern nur mit dem Partner, der aufgrund verspäteter Überweisung unwirsch reagierte.

Meine FW hat zur Zeit zwei NICs, einen 10MBit und einen 100MBit, das lässt sich so einfach mit einem  alten Notebook nicht machen.

Das kann ich nicht nachvollziehen. Aber gut: es erfordert natürlich etwas Geduld, sich bei Ebay oder im Kleinanzeigenteil etwas passendes zusammenzusuchen und dann auch noch -basteln. Insbesondere letzteres ist ziemlich fummelig. Eine Alternative ist das Micro-ITX Format, das komplett für rund 150-200 EUR zu erwerben sind. Bei Nutzung der sparsameren Varianten liegt der Stromverbrauch um die 40-50 Wattstunden. Das ist natürlich teurer in Anschaffung und Verbrauch, jedoch ist die Prozessorleistung erheblich höher und verträgt sogar als L7-FW noch gesättigte 100 MBit Verbindungen. (Bei Standard-Ruleset natürlich nur, ohne irgendwelche Spielereien) Zudem ist da auch Garantie drauf.

Es ist ja außerdem nur ein P200 mit 399,76 Bogomips.

"Nur"? Das ist deutlich mehr als ausreichend.

Macht aber nix, da freut sich der heimische Elektronikhändler.

Der ist schon 10km weit weg und zu teuer.

Ja, teuer ist er. Er verkauft mir aber die Dinger auch einzeln, wälzt Kataloge um einen Hersteller zu finden -- ja, auch für Groschenware! -- hat mich schon des öfteren davon abgehalten, zuviel Geld auszugeben -- "Nehm'se doch datt, is billjer!" -- hat noch einen ganzen Keller voll Röhren aus europäischer Fertigung (diese Lagerhaltung läßt er sich aber auch verdammt teuer bezahlen) und noch dies und das. Und bei wirklich großen Stückzahlen bekomme ich sogar noch einen besseren Preis als bei Conrad.

Der größte Vorteil, fast schon der einzige Vorteil eines Internetshops ist Bequemlichkeit. Wenn es da bequemer ist stattdessen aus dem Katalog zu bestellen halte ich das Ziel jedoch für erheblich verfehlt. (Bei Conrad ist auch der Aufbau der Seite grausam. Such da mal 'was!)

Es ist ein Unterschied. Meine Bankfiliale ist 6km entfernt und diesen Weg will ich einfach nicht mehr machen. Oder willst du mir vorschlagen ein Konto über Kartenleser und HBCI zu verwalten und ein anderes (Guthabenkonto) über das WWW?

Achso, Du machst da einen Unterschied? Ist aber beides über's allgemeine Netz. Allerdings ist die Version mit zusätzlichem Schlüssel natürlich erheblich sicherer, klar. Ich hatte angenommen, das Du Deine Bankgeschäfte einfach gar nicht über's Netz abwickelst, deshalb meine leichte Verwunderung.

Mag sein, aber das Scannen eines IP-Bereichs ergibt vielleicht zu wenige Ergebnisse allein deshalb weil möglicherweise nicht genügend Rechner online sind. Bei einem automatisierten Ablauf in einem Forum, oder auf einer Webseite könnte dies zeitnah geschehen, mit sehr hoher Wahrscheinlichkeit, daß der Rechner noch online ist.

Das dauert eine gewisse Zeit, in der man erwischt werden kann. Das Scannen eines IP-Bereiches dauert nicht sehr lange. Kann auch nach einer gewissen Zeit abgebrochen werden, wenn eine ausreichende Zahl an Zombies gesammelt wurden, die dann den Scanpart übernehmen. Das würde ich allerdings als zu auffällig ansehen und den Angriff eher von verschiedenen ISPs aus führen. Dazu könnte man natürlich die durch Bildchen o.ä. gesammelten IPs nutzen, aber das ist auffällig, dauert lange und hat deswegen keinen großen Nutzen.

Wer weiß, wenn ich zurückdenke, was vor 10 oder 20 Jahren im IT-Bereich aktuell war, dann bin ich sehr vorsichtig mit solchen Aussagen.

Aus den gleichen Erinnerungen schöpfe ich aber meine Gewissheit, das der Unterscheid zwischen dem, was möglich ist und dem, was tatsächlich angenommen wird eklatant ist. Was ist eigentlich aus UMTS geworden? Ich sehe heute noch einen Finanzminister vor mir, grinsend wie ein Honigkuchenpferd und eine stolze Meute frischgebackener Frequenzbereichsbesitzer mit stark abgemagerter Brieftasche.

Ich denke daß die Sicherheitsbestrebungen und die Kriminalitätsbekämpfung der Motor für solche Dinge sein werden.

Eine feste IP nützt weder dem einem noch dem anderem. Läßt sich aber politisch gut verkaufen, zugegeben.

Wenn das unsicherste Betriebsystem nur 1000 mal im Inet existiert, ist es aber auch uninteressant. Ich denke eine Mischung aus Beidem kommt der Wahrheit am nächsten.

Wenn diese Tausend aber eine guten Teil der Bandbreite beherrschen sieht das schon wieder anders aus, oder? Der eigentliche Nutzen eines gekaperten anonymen Rechners ist die dadurch erhältliche Bandbreite und auch noch Rechenleistung. Obwohl für's simple Mailversenden nicht sonderlich viel Rechenkraft von Nöten ist.

Warum kommt sowas nicht in den offiziellen Nachrichten?

Das ist eine gute Frage. Weil es niemand interessiert?

Den normalen User würde es mit Sicherheit interessieren, wenn es in den Nachrichten käme. Ich befürchte jedoch, das das politisch nicht gewollt ist.

Wieviele Leute würden regelmäßig die Bremsen an ihren Autos überprüfen lassen, wenn es keinen TÜV gäbe? In wievielen KFZs sind defekte Stoßdämpfer eingebaut, weil der TÜV das bisher nicht (genau) überprüft?

Das übliche Problem bei solchen Vergleichen: beim Auto ist es sehr unbequem und kostet nicht gerade unerheblich.

Wenn mein Trick dermaßen simpel zu durchschauen ist, dann brauche ich eine große Zahl an Versuchen für meinen Erfolg. Setze ich auf einen schwer zu durchschauenden Trick, wird der Prozentsatz an Opfern vermutlich steigen und es ist nicht so eine hohe Anzahl an Betrugsversuchen nötig, oder der Erfolg ist eben größer.

Im Computerbereich ist ein schwerer zu durchschauender Trick aber auch komplizierter und deshalb teurer. Phishingmails sind dagegen spottbillig, die schickt man einmal los und lehnt sich zurück. Komplexe Betrügereien mit hohem Einzelschaden machen jedoch schnell die Runde und es werden teilweise noch schneller Gegenmaßnahmen eingeleitet. Dagegen müßtest Du aktiv arbeiten anstatt Dich gemütlich zurücklehnen zu können. Was würdest Du also machen?

Was macht das, das automatische Tool muß ja nicht sooo blöd sein, den Unterschied bspw. beim gelogenen Betriebssystem nicht zu merken. Das Tool kann es nicht merken. Vid. Church/Turing et al.

Vielleicht bei dir nicht, aber es dürfte ja wohl klar sein, daß wir darüber nicht sprechen, sondern um die virtuelle Allgemeinheit, die wir statistisch und wahrscheinlichkeitstheoretisch betrachten.

Nein, hier geht es um informationstechnische Grundlagen. Ein Tool kann es einfach nicht merken, wenn es in diesem Fall belogen wird. Es kann nicht zwischen dem gefaktem Fingerprint und dem echtem unterscheiden. Wie denn auch? Der Hinweis auf Church/Turing bezieht sich auf deren Thesen und deren Implikation, das sich jegliche Hardware mit Software emulieren läßt. Einmal Google: http://www.alanturing.net/turing_archive/pages/Reference%20Articles/The%20Turing-Church%20Thesis.html Na, nicht so ganz, aber sollte als Hinweis und erster Ansatz reichen.

Btw., was ist der Geschäftsinhalt deiner Firma?

Netzwerksicherheit. Wird aber nicht eng gesehen, es reicht schon, wenn einen die deutsche Bürokratie regelmäßig stranguliert. Nur Fenster putze ich nicht.

Weißt du eigentlich was Stonie mit den Cockies gemeint hat?

Ich habe keine Ahnung, da mußt Du sie schon selber fragen.

Du würdest z.B. keinen InterShop aufsetzen können, ohne ein funktionierendes DNS. Klar kannst Du, warum solltest Du denn nicht?

Ja? Hast du es schon einmal gemacht?

Nein. Warum? Wenn Du allerdings InterShop als Software bezeichnest und es funktioniert bei denen nicht ohne funktionierendes DNS, dann ist die Software nicht vollständig funktionsfähig, sprich: kaputt. Noch Garantie drauf?

Das wird beim Motorradführerschein in wenn auch ziemlich primitiver Form geprüft. (Notbremsung und Ausweichübung). Warum nicht bei anderen?

Da hätte ich sicher nichts dagegen. Tatsächlich müßte dann aber der ÖNV erheblich besser funktionieren und auch erheblich größere Kapazitäten haben.

Was, um Gottes Willen, hat die Qualität des ÖPNVs mit persönlichem Sicherheitstraining zu tun?

Ich weiß. Der Brummi stellt ja auch eine erheblich größere Gefahr als Andere Fahrzeuge im Straßenverkehr dar.

Also pro gefahrenem Kilometer sind das eher die Autos mit Führerscheinanfängern am Steuer.

Ja. Und wußtest du, daß du mit dem Benutzen eines KFZs billigend in Kauf nimmst, das Leben und die Gesundheit von Anderen zu gefährden?

No risk, no fun.

Wirklich gefährlich sind (Home-)Computer aber nicht, vor allem können sie (noch) niemand töten. Direkt nicht, indirekt aber durchaus. Das kann bei Stromausfällen anfangen.

Haarspalterei, oder hast du keine vorschriftsmäßige Elektroinstallation in deinem Haushalt?

Da würde ich gerne von meinem Recht gebrauch machen, die Ausage zu verweigern. Aber Scherz beiseite: Ist nicht vor gar nicht mal so langer Zeit auf dem nordamerikanischem Kontinent der Strom großflächig ausgefallen? Gab das nicht den einen oder anderen Toten? Oder mal im kleinem: Der Notstrom einer Klinik wird per Rechner gesteuert, der zwecks Bequemlichkeit der Wartung am Netz hängt. Warum auch immer, aber es gibt genügend Beklopfte. Oder mal ab vom Strom, bleiben aber klinisch: Die Medikation der Patienten wird auch auf Rechnern verwaltet, diese Rechner hängen an einem vorzugsweise rein internem Netz. Wenn aber wie oben aus Gründen der Bequemlichkeit ... Im Zuge von VoIP gab es auch schon den ersten Ärger mit nichterreichbarer Notrufnummer: http://abclocal.go.com/ktrk/technology/031505_aptech_voip.html (Vorsicht, Popups und sonst auch viel Werbung)

Nein, das Computer weder Leib noch Leben gefährden können ist leider schon seit längerem nicht mehr gültig.

Der kleine Unterschied liegt wohl in der Art, wie du es formuliert hast, bzw, wie ich es aufgefasst habe. Klang halt eher etwas harsch und überheblich.

Harsch? Naja, eher etwas bitter, aber der Eindruck der Überheblichkeit täuscht. Ich meine das wirklich ohne Wertung. Die Wertung kommt leider von den Leuten die den AOLern weißmachen, das sie nix wert sind und vielleicht sogar prinzipiell und alle Mails von AOL blocken.

Ich fahre schon 'ewig' Motorrad, ich könnte da so einiges erzählen.

Ich bin mit dem Prinzip "Ich fahre so, als ob ich unsichtbar wäre" die letzten 21 Jahre unfallfrei mit dem Motorrad durch die Gegend gejuckelt. Gut, "unfallfrei" natürlich nur in Bezug auf Kollisionen mit anderen Verkehrteilnehmern, aus eigener Schuld habe ich mich schon recht oft auf den Pinsel gelegt.

Aber das ist es eben nicht allein, die Hersteller müssen auch vorsorgen, ein Bepper reicht da nicht, aber eine vollständig abgeschottete FW, das wär doch schon mal was. Und Garantien, daß eine Sicherheitslücke im verkauften Produkt mehr oder weniger sofort behoben wird, andernfalls Schadenersatz z.B. für Nutzungsausfall.

Und wovon träumst Du nachts? Der normale PC-Benutzer ist es mittlerweile gewohnt, das er alles selber machen muß, ja, an allem selber Schuld ist. Was für jeden anderen Bereich des Lebens gilt, gilt hier nicht: es gibt keine Garantie auf Funktion bei OTS-Software.

Mit festen IPs alleine ändert sich rein gar nix, da gehört noch viel mehr dazu. Feste IPs lassen den normalen User besser überwachen aber dem kriminellem Subjekt ist das vollkommen Wurscht. Der crackt sich irgendwo ein, nutzt die IP des Nachts (irgendwo ist ja immer Nacht) und/oder er genügend Kohle zusammen hat und zieht ein Häuschen weiter.

Möglicherweise, aber es wird doch schwerer.

Es wird andererseits leichter sich zu verbergen. Denn die IP gilt für den Anschluß, nicht für das Gerät und schon mal gar nicht für den Nutzer. Es müßte also jedes einzelne Gerät eine fest eingebaute IP haben. In so einem Fall kann man auch getrost von Identifikationsnummer sprechen. Zudem muß die Kommunikation verschlüsselt erfolgen, jedes Gerät mit seinem eigenem Schlüssel (TCPA). Außerdem muß der Benutzer sich eindeutig vor dem Gerät ausweisen (Chipkarte o.ä.). Ist das alles nicht vollständig und sicher implementiert wird eher der gegenteilige Effekt erreicht. Und selbst wenn das alles vollständig und sicher eingebaut ist, folgt noch ein ganzer Rattenschwanz an kleineren Problemen.

Nehme einfach mal religiöse Gruppierungen und die Rechte der Frau.

Und warum soll da intern ein anderes Gemisch sein, als extern?

Ich könnte auch einfach die Weltanschauung meines Freundes- und Bekanntenkreises mit der der Stammgäste in unserer Dorfkneipe vergleichen.

Wie ich schon am Anfang einschränkte: die Gruppe muß eine gewisse Größe erreicht haben, es sollte schon in ganzen Prozenten der Bevölkerung ausdrückbar sein.

Imho ist Attac nicht miltaristisch und neigt auch nicht generell zur Gewalt. Man sollte auch versuchen, jegliche [...]

gewaltbereit ist. Wenn meinem Sohn, meiner Lebensgefährtin oder mir jemand ans Leder wollte, ... es wäre keine Frage.

Das hat rein gar nichts miteinander zu tun. Aber Du bist doch in einem Alter, da Du ebenfalls mit dem Problem der Kriegsdienstverweigerung und vor allem der Annerkennung der Gründe zu tun gehabt haben solltest; falls Du nicht zu den Spätbekehrten gehörst oder Dich andere Gründe dazu zwangen. Dazu gehörte es auch diesen Unterschied zu kennen und vor allem klar machen zu können: zwischen allgemeiner pazifistischer Haltung und persönlicher Notwehr.

Man kann Tempo-30-Zonen auch mit ordentlichen Bodenwellen kombinieren, das kostet nicht besonders viel, gegebenenfalls erst dann, wenn sich die Anwohner beständig über Raser beschweren.

Die Erstellung kostet nicht viel, klar, aber es sind schon einige Schadenersatzklagen durchgekommen.

Wo ist denn das erwiesen? Kontrollen kosten mehr, asl die Strafzahlungen einbringen. Das ist so, da beißt die Maus keinen Faden ab, diese Argument darfst Du einfach nicht bringen.

Quellen? Beweise?

Statistisches Bundesamt.

Ich sage dazu nur so viel: Die Strafgebühren richtig hoch, Tagessätze als Basis, damit es auch die Besserverdiener richtig trifft.

Das ist meistens nicht verfassungsgemäß. Es ist sogar auf keinen Fall verfassungsgemäß, an Strafen verdienen zu wollen. Zudem ist das dann eine Strafsache, keine Ordnungswidrigkeit mehr, der Instanzenweg kann anders beschritten werden, das kostet dann auf jeden Fall mehr als es einbringt.

Einzige Ausnahme ist, wie schon erwähnt, der ruhende Verkehr bzw wenn der Begünstigte nicht der gleiche ist, wie derjenige, der den Aufwand bezahlt.

Tu du mir bitte den Gefallen, und ziehe meine Argumentation nicht auseinander.

Doch, das tue ich, wie das jeder andere auch machen würde, wie Du das selber auch schon an anderer Stelle getan hast. Das ist ein völlig legitimes rethorisches Mittel. Zudem stehen wir in diesem speziellem Fall sogar noch auf der gleichen Seite, ich spielte hier nur den Advocatus Diaboli.

Gesundheitsreparaturen sind auch Kosten, und zwar volkswirtschaftlich relevante. Wenn die durch sinnvolle Kontrollen reduziert werden können, dann ist das das, was ich mir vorstelle.

So wie die Tabaksteuer mehr Einnahmen bringt, als es das Gesundheitswesen kostet? Unter die Gürtellinie? Nein, das ist ein aktuelles Problem. Immer mehr Leute hören auf, die Einnahmen durch die Tabaksteuer sinken. Aufgrund der zeitlichen Verzögerung der gesundheitlichen Schäden bleiben aber im Augenblick die Kosten auf gleichem Niveau. Der Anbau von Tabak ist übrigens in einigen Teilen Europas subventioniert, aber das dürfte ja wohl bekannt sein. BTW: Sport ist gesund? Nein, keineswegs: die Kosten der Sportunfälle und deren Spätfolgen überschreiten die Kosten von Tabakkonsumschäden erheblich.

Und wo habe ich etwas von Arbeitsplätzen geschrieben?

Hast Du am Rande erwähnt, ja.

Ack. Ich muß mal suchen wie ich das meinem Apachen abgewöhne.

Wenn Du das erst suchen mußt, lohnt es den Aufwand eigentlich schon nicht mehr.

[...] dann könnte man ja vielleicht diesen Teil des Internet für eine Benutzergruppe, die_es_aus Sicherheitsgründen_wünscht, sperren. Das kann man einfach selber tun. Wenn man darüber weiß. Problem auch hier wieder: Aufklärung.

Meinst du z.B. durch Squid und ACLs?

Wie sollen Squid und ACLs aufklären? Oh, 'tschuldigung. Nein, das braucht es nicht, IPs sperren gehört normalerweise zum Funktionsumfang eines netzwerkfähigen Betriebsystems und sollte keine zusätzliche Software oder gar Workarounds benötigen.

Nun, E. A. Poe finde ich gut, auch die LP

Deine Altersangabe scheint mir korrekt zu sein, da hiermit ein gutes Indiz vorliegt.

Als ich das später erzählt habe, wurde mir erklärt, daß es sich wohl um einen Ziegenmelker gehandelt haben muß. Also, der Ziegenmelker ist ein wirklich außergewöhnlicher Vogel.

Und deshalb benutzt Du ihn als Nickname? So so ...

[Kroppzeug auf die Finger hauen]

Das sind doch alles nur Besucher.

Bei der Nachbarin meiner Mutter hängt ein Schild über der Tür:"Der Herr bewahre uns vor Hagel und Besuch".

Nien, das ist Wunschdenken und Zwangsquoten sind zudem meist kontraproduktiv. Ach, was heißt da "meist", sie sind es.

Mag alles sein, es muß aber ein Weg gefunden werden, wie wieder Alle (in Würde) arbeiten können und durchaus auch bis 70 oder länger, wenn man will.

Sind wir denn nicht so langsam in einer Situation, wo es nicht mehr nötig sein sollte für seine Lebensunterhalt arbeiten zu müssen?

So, das soll reichen, der Rest ist für Dich für einen ruhigen Abend.

Also irgendwie hast du ja wirklich einen enorm gönnerhaften Tonfall, könnteste gelegendlich mal so ganz in deinem eigenen Interesse dran feilen.

Ich habe mich da ziemlich aufgeregt und das ist auch von meinem Stil her zu erkennen; dieses Frage-Antwort Spiel im 2/4tel Takt. Da ich das aber nicht endlos ziehen kann, sollte die Menge eben reichen. Wenn Du dann mal eine ruhigen Abend und Lust hast, kannst Du ja den Rest hinzufügen. Was ist daran "gönnerhaft"?

so short

Christoph Zurnieden