PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [ERLEDIGT] Habe ich ein Sicherheitsproblem im Forum RN ?



oberallgeier
17.03.2017, 17:18
Seit einiger Zeit sehe ich beim Aufruf des RoboterNETZes im Firefox-Fenster links oben eine Seiteninformation; Win7pro, Firefox 52.0.

Der "leere" Browser - siehe Bildteil A) - zeigt das übliche Fester einer gesicherten Verbindung an mit dem grünen Vorhängeschloss-Symbol. Nach Aufruf des Forums - ohne Anmeldung - kommt das rot durchgestrichene, dunkelgraue Vorhängeschloss - siehe Bildteil B). Schließlich, nach der Anmeldung, verschwindet das dunkelgraue Vorhängeschloss mit der roten Schärpe. Aber nach Klick auf den kleinen (i)-Button erhalte ich dann doch die Warnung "Verbindung ist nicht sicher", siehe Bildteil C).

......https://dl.dropbox.com/s/jt757wbtxmvvp51/forumsicherheit.jpg?dl=0

Was ist schuld daran? Habe ich eine unsichere Mozillaversion, eine nicht-geupdatete Forumssoftware, bekomme ich eine Site ohne Zertifikat oder woran liegts?

Vielen Dank für ne Erklärung und evtl für Hinweise auf Abstellen der Fehlermeldung(en).

shedepe
17.03.2017, 18:30
Nein das ist nur der Hinweis, dass Roboternetz nicht über eine verschlüsselte Verbindung (https) läuft. Eventuell könnte Frank, das ja mal bei Gelegenheit einrichten.

.:Sebastian:.
17.03.2017, 18:33
Moin,

Problem wird vermutlich sein, dass das Zertifikat was https://roboternetz.de liefert nur für *.kasserver.com und kasserver.com gilt.
Wahrscheinlich benutzt der Webserver das falsche Zertifikat oderso.

Grüße,
Sebastian

i_make_it
18.03.2017, 21:33
Ja, Zertifikat für die falsche Domäne und läuft Mitte diesen Jahres ab.

Geht man von einem öffentlichen WLAN aus ins Forum hat man definitiv ein Sicherheitsproblem, da jeder mit ein paar Tools dann den TCP stream capturen kann und so an User und PW kommt, da ja in Klartext übertragen werden.
Hat man ein LAN in dem noch andere (nicht vertrauenswürdige) Clients hängen, hat man auch ein Sicherheitsproblem, Wenn jemand ARP Spoofing betreibt, bekommt der selbst in einem geswitchten Netz alle Pakete mit.
Bei einem ISP der nur Bridging betreibt, hat man auch ein Problem.
Bei den anderen ISPs kommt es darauf an wie die monitoren und ob die merken wenn jemand ARPspoofing betreibt.

Also hier am besten nur ein PW nutzen das man nirgendwo sonst nutzt.
Grade oberallgeier, der ja durch Archie auch mit seinem Realnamen in Verbindung gebracht werden kann, steigt da das Risiko das jemand auch andere Accounts zuordnen kann und so mit einem abgefangenen Passwort gezielt diese Accounts attackiert.

Bei einem No Name User der nicht ohne weiteres zu anderen Accounts und einer realen Person zugeordnet werden kann, ist das Schadenspotential geringer.

oberallgeier
18.03.2017, 22:04
Ja, Zertifikat für die falsche Domäne und .. steigt da das Risiko das jemand auch andere Accounts zuordnen kann ..Danke; ausführlich und verständlich für mich. Im Moment nicht sooo dringlich (Zentralalpen und Wintersport) aber wenn ich zurück bin, dann werd ich mich mal hinsetzen um ein bisschen System reinbringen. Danke nochmals.

oberallgeier
26.03.2017, 19:38
Die Meldung/das fehlende "Grün" kommt viel öfter als mir früher aufgefallen war. Angefangen bei der FRITZ!Box

......32506
......(Das Browserfenster wurde hier möglichst klein gezogen)

auch bei Händlern (z.B. EXPTech u.a.), eben dann, wenn http://.. aufgerufen wird/wurde. Eben wie von i_make_it oben dargestellt.
Sichere Verbindungen sind mikrocontroller.net, Wikipedia, DHL Sendungsverfolgung, youtube uva. - meist über https://.. aufzurufen.
ABER wenn ich die
https://www.roboternetz.de/community/search.php?do=getdaily&days=3
als
https://www.roboternetz.de/community/search.php?do=getdaily&days=3
aufrufe, dann ist die Verbindung ebenfalls unsicher.

Nun habe ich also wirklich ein Sicherheitsproblem und mir ist nicht klar, wie ich das lösen kann. Denn die Lücke besteht ja trotz eingeschalteter firewall, funktionierendem Virenscanner etc. Mannnoohhhmann. Diese Geschichte klingt mir doch ziemlich weit verbreitet - also eine RICHTIG große Sicherheitslücke (siehe z.B. hier (https://support.google.com/chrome/answer/99020?co=GENIE.Platform%3DDesktop&hl=de) oder hier (http://www.t-online.de/computer/software/id_80177574/firefox-51-warnt-surfer-vor-unsicheren-login-seiten.html)). Bahhhh.

Wie löst ihr dieses Problem?
Danke für Antworten und Hilfen.

i_make_it
27.03.2017, 06:22
Das Problem ist nicht durch uns Nutzer lösbar.
Nur durch den Server Administrator.
Es gibt 3 Möglichkeiten.
1- Damit jeder Browser auf Anhieb das Zertifikat erkennt, eines für die Domäne kaufen. (so ab 10€ im Jahr)
2- Sich ein Zertifikat über cercert.org erstellen und bei Veranstaltungen wie Ce-Bit etc. einen CACert-Assurer besuchen um sich zu Authentifizieren. (Man kann sich auch an den CCC wenden)
4- Self Signed Zertifikat erstellen. Hierbei kennt kein Browser das Zertifikat und es könnte genauso von einem Man in the Middle Angriff eingeschleust sein wie vom Server Admin erstellt. Da hängt es davon ab ob der User dem vertraut (Sicherheitsausnahme im Browser eintragen und ggf. die CA von Hand in die Liste der vertauenswürdigen CA's aufnehmen), aber die Kommunikation ist genauso verschlüsselt wie bei den Methoden 1 und 2.(auch bei CAcert muß man erst dessen Root-Ca in den eigenen Browser aufnehmen, da die als non Profit Org nicht automatisch in jedem Browser vorinstalliert sind - http://wiki.cacert.org/FAQ/BrowserClients/DE)

Momentan werden bei jeder Anmeldung die Usernamen und Passwörter jeden RN Users im Klartext übertragen und sind so potentiell kompromitiert.
Die einzige Schutzmaßnahme die wirkt ist, nicht mehr anmelden bis wieder eine sichere SSL Komunikation gegeben ist.

Ich selbst nutze momentan, Prinzip Hoffnung und eine User/PW Kombination die ich sonst nirgendwo einsetze, als Schadensminimierung.

Frank
28.03.2017, 13:11
Hi,

das Problem ist eigentlich kein Problem. Bis vor kurzem war es üblich das die meisten Webseiten nicht verschlüsselt waren, es wurde von vielen Providern/Hostern sogar abgeraten da die Verschlüsselung Performance kostet - sprich ein Forum wird dadurch langsamer!

Das es jetzt einigen ins Auge gefallen ist liegt nur daran das Google und andere Browserhersteller seit kurzem anzeigen das die Seite nicht verschlüsselt ist, man möchte damit zukünftig die Webseiten Betreiber animieren alles zu verschlüsseln. In vielen Fällen macht es gar keinen Sinn, denn Informationen die sowieso öffentlich sind braucht man nicht verschlüsseln. Es hat lediglich einen Nutzen (zusätzliche Sicherheit) wenn private Daten auf einen Webseite abgelegt werden, also bei Foren Login-Daten. Die Webseiten sind aber ohne Verschlüsselung nicht unsicherer als in den letzten 15 Jahren - also keine unnötige Panik ;-)

Der Roboternetz-Server hat ein eigenes gültiges Zertifikat, es wäre ein leichtes das Forum selbst auch zu verschlüsseln. Allerdings gibt es das Problem das in Foren oft auch externe Scripte, Bilder, Dateien von anderen Webseiten eingebunden sind, diese können dann vom Betreiber (also mir) nicht verschlüsselt werden. Die hätte dann aber zur Folge das die Browser nach wie vor den selben Warnhinweis bringen. Wenn nur eine einzige Datei auf der Seite von extern nicht verschlüsselt ist, bleibt es bei der Warnung. Es wäre also nahezu unmöglich ein Forum dieser Größe komplett verschlüsselt anzuzeigen nur damit die Browser die Leser nicht verunsichern.
Das das stimmt was ich schreibe könnt ihr prüfen wenn ihr zum Beispiel eine Roboternetz Seite in verschlüsselter Form aufruft, dazu müsst ihr nur ein https:// statt http:// voranstellen. Zum Beispiel diese Seite: https://www.roboternetz.de/community/forum.php
Ihr seht das die Seite dann nicht mehr richtig dargestellt wird, da das Forum einige externe Scripte nutzt die auch nicht verschlüsselt sind. In Chrome habt ihr dann zusätzlich rechts oben in der Eingabezeile eine Schaltfläche die Euch erlaubt die externe Scripte freizugeben. Wenn Ihr das macht, wird die Seite wieder korrekt dargestellt, aber der Warnhinweis bleibt wegen der Scripte. Die Scripte könnte man zum Teil sicher durch verschlüsselte ersetzen, aber alle anderen Bilder und Dateien die User verlinkt haben halt nicht.

Von daher wird das Roboternetz.de, wie auch fast alle anderen großen Foren und Webseiten sicherlich die nächste Zeit nicht verschlüsselt werden können. Aber wie gesagt, das Roboternetz ist heute genauso sicher wie die letzten 10 Jahre - der Hinweise der Browser sollte nicht überbewertet werden. In Foren sollte man generell nie das wichtigste Masterpasswort nutzen das man vielleicht auch in Shops nutzt, empfehlenswert ist ein eigenes Passwort - den maxmalen Schaden kann jeder dadurch selbst minimieren.

Ich hoffe ich konnte etwas aufklären und beruhigen.

oberallgeier
28.03.2017, 15:07
Hallo Frank,
danke für Deine Ausführungen. Den "Trick" mit dem "https://.." hatte ich natürlich schon versucht, das Ergebnis war lausig:

......https://dl.dropbox.com/s/ynxlb61rtnv1d4c/https-sc-dump.jpg?dl=0

und die Warnung blieb.


.. das Problem ist eigentlich kein Problem .. also keine unnötige Panik ;-) ..
.. aber der Warnhinweis bleibt wegen der Scripte ..
Der Hinweis auf die Warnungen in >letzter> Zeit war mir selbst eingefallen - solche und ähnliche Lösungen sind ja mittlerweile oft Standard um mögliche Schadenersatzforderungen zu umgehen. Ich werde die Ratschläge beherzigen und ansonsten gemütlich weitermachen (müssen).

i_make_it
28.03.2017, 15:38
Das Problem sind halt die Anmeldedaten, vor allem das Passwort, das so unverschlüsselt übers Netz geht. Eine Möglichkeit ohne SSL wäre ein Client Script in die Anmeldung einzubauen, das den öffentlichen Schlüssel enthält und das PW chiffriert bevor es an die POST Variable übergeben wird. Das kann dann nur der Server mit dem privaten Schlüssel entschlüsseln oder einfacher alle PW's werden verschlüsselt in der Datenbank gespeichert, dann wird das Chiffrat einfach mit dem Chiffrat in der Datenbank verglichen und der private Schlüssel muß auch nicht auf dem Webserver liegen. Auf den Clients muß dann hat Scriptausführung erlaubt sein. Geht ab auch wenn das Script per Zertifikat signiert ist.

Frank
28.03.2017, 20:43
@i_make_it: Ich denke der Aufwand ist für den Nutzen zu hoch, jede Script Änderung macht immer wieder Aufwand bei Updates und Wartung. Vermutlich wird ohnehin irgendwann Forum Software mal erneuert werden, dann wird da sicher eine bessere einheitliche Lösung geschaffen die dann Update fähig ist. Zum Teil gehen die Daten jetzt schon verschlüsselt durch das Netz, ich habe irgendwo gelesen das das manche Internet Knoten ohnehin Daten nur verschlüsselt austauschen, davon bekommt man so gar nichts mit.

Frank
15.05.2018, 09:14
Jetzt verschlüsselt
Das Forum wurde jetzt noch mal komplett aktualisiert, kleine Änderungen können die nächsten Tage und Wochen noch folgen um den neuen DSGVO Richtlinien bestmöglichst zu entsprechen. Zudem sind jetzt alle wichtigen Seiten wie Anmeldung/Registrierung sowie viele andere verschlüsselt. Die persönlichen Daten sind also jetzt noch sicherer, falls da jemand bedenken hatte.
Da jedoch in einigen Beiträgen Bilder per http von vielen Usern eingebunden wurden, ist es noch nicht möglich das alle Beiträge verschlüsselt übertragen werden. Da wo das nicht der Fall ist, werden auch diese Seiten verschlüsselt übertragen. Ein Sicherheitsrisiko sehe ich bei diesen Seiten nicht, da die Beiträge ja ohnehin öffentlich angezeigt werden - eine Verschlüsselung ist demnach hier sowieso wenig hilfreich.
Dennoch solltet Ihr Bilder zukünftig entweder auf das Roboternetz hochladen oder per https:// einbinden, dann wird diese Seite ebenfalls als "SICHER" gekennzeichnet und es ist sichergestellt das diese Bilder zukünftig auch immer dargestellt werden.

Ceos
15.05.2018, 09:55
Daumen hoch für die Arbeit und fürs Informieren

oberallgeier
15.05.2018, 10:50
Jetzt verschlüsselt . . .Wieder mal Klasse, dass/wie Du Dich um solche Fragen/Bitten/Probleme kümmerst. Danke dafür - und all die Arbeit mit dem Forum.

Frank
15.05.2018, 11:35
Danke, ich versuche mein möglichstes, damit das Forum ein weiteres Jahrzehnt stabil erhalten bleibt, auch wenn es einem die vielen neuen Vorschriften wirklich sehr schwer machen. Die zahlreichen Richtlinien (z.B. Datenschutz) sind meiner Meinung inzwischen stark überzogen und nur auf Großfirmen wie Google / Amazon etc. zugeschnitten. Für normale Webseitenbetreiber die das doch vorwiegend aus Spaß machen und etwas Werbung zur Finanzierung einbauen ist der Betreiber Aufwand heute doch immens. Das wird sicher dazu führen das viele andere Betreiber das nicht mehr mitmachen und viele schöne Seiten in diesem Jahr verschwinden. Echt traurig.

Thomas$
16.05.2018, 11:46
Da ich mich wieder einloggen kann, bin ich froh dieses Forum wieder nutzen zu können. Sehr schön :)
Die dsgvo wird für Webseitenbetreiber nicht der Untergang sein

piggituX
23.05.2018, 09:58
@thomas$ das sicherlich nicht, aber ich vermute (reine meine Meinung) das wird wieder ein Berufszweig auf den Plan treten und Geld scheffeln wollen... Stichwort :Abmahnungswellen, und es wird wie immer die kleinen und privaten Webseiten wieder treffen, .....

Ceos
23.05.2018, 10:12
Die Regierung muckt ja schon drüber derartiges zu unterbinden, ob die wohl was hinbekommen steht aufn anderem Blatt

Mich stresst es ja schon dass wir bei uns eine Belehrung wegen dem Scheiß antun müssen. Hätte nie gedacht der Mist schlägt bis zum Mitarbeiter einer Firma durch.

i_make_it
23.05.2018, 10:52
Die Regierung muckt ja schon drüber derartiges zu unterbinden

Das "schon" ist das beste.
Die DSGVO ist seit Mai 2016 in Kraft und wird ab übermorgen anwendbar sein. Nach zwei Jahren eine Reaktion von einer Regierung, die zu Themen die in der DSGVO explizit der nationalen Regelung überlassen sind, bis heute noch nicht mal eine Gesetztesvorlage oder auch nur einen Gesetzesvorschlag hat, ist tatsächlich eher ein "erst".
Ich habe in meinem Büro seit eineienhalb Jahren ein Blatt an der Wand wo groß, fett und in rot "25.05.2018 DSGVO" drauf steht. meine Chefs haben trotz diverser Benachrichtigungen durch mich erst angefangen sich Gedanken zu machen, als letztes Jahr der Chef des Baden-Würtembergischen Datenschutzes einen Gastvortrag auf einer Veranstaltung von uns hielt.

Ein Problem ist ja sogar die Abgrenzung der Gültigkeit. Im Erwägungsgrund 18 steht "Gilt nicht für den privaten und familiären Bereich"
Hier im Forum, wäre Privat nur dann wenn man das Forum überhaupt nur sehen kann wenn man angemeldet ist. sonst ist es öffentlich, da jeder die Seiten sehen kann (also Gilt die DSGVO).

Selbst wenn man eine private Seite betreibt, aber Werbebanner anzeigt (Bsp.: Jimdo), um damit die Hostingkosten zu refinanzieren, ist man nicht mehr Privat, denn man hat einen geldwerten Vorteil und ist bei einem findigen gegnerischen Anwalt damit Gewerbetreibender. Da man ja "Gewinne" aus den Werbebannern erziehlt. Das diese ggf. aussließlich dazu dienen die Hostingkosten zu decken ist dabei unerheblich.

Das wird also spannend werden in den nächsten Jahren.
Was viele nicht auf dem Schirm haben, ist auch das es für einen Kläger keine drei Instanzen Regelung gibt.
A klagt und verliert, Zweite Instanz das selbe, dritte Instanz auch. Dann geht er vor den europäischen Gerichtshof und klagt darauf das deutsche Gerichte Europarecht beugen.
Denn eine Europäische Verordnung ist Europarecht und damit ein höheres Rechtsgut als die Gesetze der Mitgliedsstaaten (Ausgenommen die Bereiche die eindeutig den Staaten zur Regelung delegiert wurden).

Wichtig ist als Betreiber sich entsprechende Gründe für die "Datenerhebung(en)" zu definieren.
Aus einem Newsletter wird ein "Personalisierter Newsletter" dann darf neben der Mailadresse auch das Geschlecht und der Vor- und Nachname in der Datenbank bleiben.
Denn den Service der Personalisierung kann man nur so anbieten. Man braucht halt den Papier-/Datenwust, mit den expliziten Zustimmungen aller betroffner und der Belehrung.

Bei einem Forum wie hier ginge das mit einer Seite die bei der Anmeldung angezeigt wird und wo man explizit Checkboxen anklicken muß damit man den Vorgang abschließen kann.
Das in Verbindung mit einer DB-Schemaerweiterung die dafür Felder bereitstellt und man kann mit einer Prozessdokumentation (bunte oder nicht bunte Bildchen im Prozessablaufplan) nachweisen, wann wer zugestimmt hat.
Wer nicht zustimmt, kommt dann nur noch als Gast rein.
Problematisch wird es mit den Posts und dem Recht auf Vergessen.
Nach meiner Auffassung, sind Posts keine Datenerhebung durch den Betreiber, sondern aktive Mitteilungstätigkeit des Posters.
Die erhobenen Daten sind nach meiner Auffassung nach alle Profildaten außer dem Forennamen bzw. ein Ersatzname der als Pseudonym automatisch gesetzt wird.
Damit bliebe das Forum und die Zuordnung von Posts zu einem Pseudonym erhalten.
Will man alles Löschen, müsste man es vor dem Weggehen selbst löschen.

Alleine die Debatte die jetzt über Visitenkarten ausgebrochen ist, zeigt schon das sich vorher keiner Gedanken gemacht hat.
Ich gebe eine Visitenkarte weiter und der Enpfänger muß von mir dann die bestätigung, das er die Daten die darauf stehen behalten kann und nutzren kann um mich zu kontaktieren.
Da wird dann aus einer Visitnekarte ein kleine Büchlein, wo ich am besten gleich den kompletten Text mit Datums- und Unterschriftsfeld rein mache und bei der Übergabe immer gleich unterschreiben muß, damit mein Gegneüber rechtlich abgesichert ist.
Spinnt man das weiter und man kauft als Firma ein Buch.
Da steht Name und Anschrift des Verlages, ggf. eine Kontakt Mailadresse und eine URL. Dann noch Name des Autors und ggf. des Herausgebers.
Brauche ich dann von allen drei erst ein unterschriebenes Formular, bevor ich das Buch gewerblich kaufen darf?

Frank
23.05.2018, 13:23
Der Aufwand ist schon immens, zumal nahezu keiner wirklich ausgenommen wird. Fast jede Privatseite hat ja einen Google Banner oder ähnliches um wenigstens ein paar Cent für die Finanzierung zu generieren. Somit ist fast alles gewerblich.
Zudem ist auf vielen Seiten, auch in Foren, schwierig alles wirklich umzusetzen. Und man will es ja sogar noch verschärfen (Cookies alle vorher genehmigen). Es werden garantiert Seiten verschwinden. Kleine aber durchaus wertvolle Seiten, sehr schade! (Beispiel: https://www.javacode.sought.de/ , http://lifestyle-concept.de/ich-habe-meinen-blog-wegen-der-dsgvo-eingestellt/ , http://f3.webmart.de/f.cfm?id=2165073&r=threadview&t=4105593&pg=1 u.a.)

Die viel gelobte Freiheit im Internet wird schaden nehmen wenn man nur noch Seiten findet wo sich der finanzielle Aufwand für sowas rechnet! Der Gesetzgeber hätte hier viel mehr an die kleinen Seitenbetreiber denken sollen deren Einnahmen oft nicht mal die Kosten decken. Ich bin hier etwas enttäuscht von den Regierungen. Gerade die kleinen Seiten haben das Internet gegründet und waren eine große Stärke, warum macht man es diesen jetzt so schwer? Na ja, egal, klagen hilft nicht. Wir werden es nach besten Wissen und Gewissen versuchen alles umsetzen was gefordert wird.

Trotzdem ärgert mich die Bürokratie! An manchen Stellen wollen wird alles bis ins kleinste geregelt und an anderen Stellen herrscht ein völliger Wildwuchs. Ein Wildwuchs gibt es zum Beispiel bei den Ladesäulen für Elektroautos, hier ärgert es mich bis heute das die Betreiber nicht mal den Preis für das "tanken" vorher anzeigen müssen. Jeder kassiert was anderes und in der Regel sieht man es erst wenn es vom Konto abgezogen wird. Wie kann sowas heute noch erlaubt sein frag ich mich.

Ceos
23.05.2018, 14:12
Hab gerade meine Schulung darüber bekommen ... das ist ja nicht mehr normal ... Die Tücke steckt tatsächlich im Detail und Solange die Cookie Richtlinie nicht mal Spruchreif sit, steht da sowieso Tür und Tor offen

i_make_it
24.05.2018, 09:47
Die DSGVO ist ein Paradebeispiel für "Gut gemeint ist nicht gleich gut gemacht". In der Praxis wird die DSGVO genau das Gegenteil von dem bewirken, was beabsichtigt ist.
Große Unternehmen, mit den entsprechenden finanziellen Mitteln werden ihre AGBs so anpassen, das sie weiterhin die Daten Ihrer Kunden abgreifen und sammeln können.
Natürlich wird es auch für die kleine Rückschläge geben wenn vereinzelt User Ihr Recht auf Vergessen einfordern, aber die ganzen kleinen Anbieter, Vereine, kleine Non Proffit Organisationen, und Privatpersonen die Ihr Hobby Publik machen. bleiben auf der Strecke und hören auf.
Ich kenn jetzt mehrere Hobbyfotografen, die auf öffentlichen Veranstaltungen Bilder gemacht haben und diese auf ihren Seiten in Galerien als Stimmungsbilder veröffentlicht haben, die mir gesagt haben, das sie Ihr Hobby ab morgen beenden.
Auch mehrere kleine Webshops, die als Kleingewerbe, entstanden aus dem eigenen Hobby, laufen, hören auf, weil sie den Aufwand alleine und neben Beruf und Hobby nicht mehr stemmen können.
Das internet wird zukünftig noch mehr durchmonetarisiert und unter wenigen Global Playern aufgeteilt. Das was es interessant macht wird auf diese Weise ausgemertzt oder in die Illegalität verdrängt.
Manschmal fragt man sich ob Politiker auch denken. Jeder der sich mit Projektarbeit auskennt, weis das man mit einem Pflichtenheft anfängt, in dem nicht nur steht was man will sondern was ma nicht will.
Damit bleibt zum Beurteilen derjenigen die die DSGV ausgearbeitet haben eigentlich nur noch die Wahl zwichen Unfähigkeit oder Vorsatzhandlung.

oberallgeier
24.05.2018, 10:09
Die DSGVO .. "Gut gemeint ist nicht gleich gut gemacht" .. AGBs so anpassen, das sie weiterhin die Daten Ihrer Kunden abgreifen und sammeln können ..Ich habe es noch nicht gründlich nachgesehen. Bei meiner yahoo-mail hatte ich vorgestern, in Eile, eine Mail der Organisation bekommen mit dem Hinweis auf die Änderungen der Geschäftsbedingungen, insbesondere bei der Datensicherheit. Dort gabs nen Link zur ausführlichen Darstellung WAS alles gemacht, gesammelt und weitergegeben wird. Der war beschriftet im Sinne "Hier können sie ihre persönlichen Einstellungen vornehmen". Die Einstellmöglichkeit beschränkte sich offenbar auf EINen Button zum Akzeptieren dieser Vorgehensweise. Mehr nicht. Ich hatte (nochmal: ich war in Eile) gesucht ob ich irgendwo aus der schnöden Akzeptanz der ganzen Sammel- und Weitergabewut ne Möglichkeit hätte, eine oder andere Änderung abzuwählen. War nicht zu finden. Warum auch? Wer würde bei Millionen Teilnehmern sich die Arbeit machen einzelne Wünsche individuell anpassbar zu machen? Wäre zusätzliche Arbeit - die den Gewinn schmälert - und die offenbar nicht zwingend im Gesetz vorgeschrieben ist.

Fazit: Früher wurden Daten gesammelt und weitergegeben (verkauft) ohne dass wir darum wussten. Heute wird genauso gesammelt und verhökert - und es wird uns offen dargelegt. Wir können es akzeptieren oder komplett sein lassen. Wieweit das ein Fortschritt ist . . . ? ? ?

Das erinnert mich irgendwie an die blöde Geschichte mit der Qualitätssicherung. Dort hatte ich (vor Jahren) gelesen, dass QS als grundlegendes Ziel die Nachverfolgbarkeit der Dokumente sichert. Da denk ich mir: aha - es wird also gefordert, das man auf dem Papier feststellen kann, warum/wodurch/wie "Ausschuss" gefertigt wird. Eine Verbesserung oder Konstanz der Güte(Qualität) ist da offensichtlich garnicht angestrebt. Nach dem Motto: es ist nicht unbedingt drin (in den QS-Richtlinien), was man aus dem Aufkleber herausliest :-/

i_make_it
24.05.2018, 12:49
Das erinnert mich irgendwie an die blöde Geschichte mit der Qualitätssicherung. Dort hatte ich (vor Jahren) gelesen, dass QS als grundlegendes Ziel die Nachverfolgbarkeit der Dokumente sichert. Da denk ich mir: aha - es wird also gefordert, das man auf dem Papier feststellen kann, warum/wodurch/wie "Ausschuss" gefertigt wird. Eine Verbesserung oder Konstanz der Güte(Qualität) ist da offensichtlich garnicht angestrebt. Nach dem Motto: es ist nicht unbedingt drin (in den QS-Richtlinien), was man aus dem Aufkleber herausliest :-/

Zuterffend!

Ich habe 1987 die Einführung von TQM (Total Quality Management) in der Automobilbranche mitgemacht.
In einer einzigen Abtielung (mit 10 Mann) wurde damit auch tatsächlich SPC (Statisitcal Process Control) eingeführt, mit dem Ziel die Ausschuss- und Nacharbeitsquote zu verringern.
Der Rest des 2000 Mann Firma produziert nur bedrucktes Paipier.

Die DSGVO wird auch nur mehr Daten produzieren.
Whatsapp hat ja wohl vorgestern mit Berufung auf die DSGVO mit der Weiterleitung von Daten an Facebook für deutsche User begonnen. Bisher war das gerichtlich verboten.
Begründung. mit der DSGVO ist der Gerichtsstand jetzt Irland, also das deutsche Urteil nicht mehr binden.

Frank
24.05.2018, 18:14
Vielleicht hätte man sich beim Datenschutz im Web mehr auf die Browser Hersteller konzentrieren können. Hier hätte man vieles vorschreiben können. Wann welche Cookies standardmäßig erlaubt werden, wann er eine Warnung einblendet, wann er bei welchem Cookie, Script oder IP-Weiterleitung Meldung oder Abfrage einblendet usw. Da hätte man sehr schnell einen deutlicheren und vor allem einheitlichen Schutz erreicht. Zum Beispiel hätte man auch vorschreiben können das der Zweck jedes Cookies erst mal in einem Satz erklärt wird bevor er freigegeben wird u.v.m. Statt dessen müssen jetzt vermutlich Millionen von Webseiten alle die gleichen Änderungen mehr oder weniger gut auf Ihren Seiten einbauen, was für eine unnötige Verschwendung von Zeit und Kosten, wobei der Nutzen äußerst gering ist.

Außerdem hätte man als Nutzer dann vielleicht gewisse Voreinstellungen treffen können. Mich zum Beispiel nerven diese Cookie Abfragen, von mir aus kann jeder seine Cookies bei mir speichern. Ich finde die gezielte Werbung sogar oft sehr informativ. Aber dieser Wunsch der zu schützenden Personen wird ja beim DSGVO völlig ignoriert.

oberallgeier
24.05.2018, 23:59
Ich habe es noch nicht gründlich nachgesehen .. irgendwo .. eine oder andere Änderung abzuwählen ..Es gibt doch ne Wahl.

.. Wenn Sie Ihre Einwilligung zur Nutzung oder Weitergabe Ihrer Daten zu Zwecken, die in dieser Datenschutzerklärung dargelegt sind, widerrufen, haben Sie ggf. keinen Zugriff mehr auf Teile der Dienste oder die gesamten Dienste und wir sind ggf. nicht in der Lage, Ihnen die Dienste oder Teile der Dienste im Rahmen dieser Datenschutzerklärung und unserer AGB zur Verfügung zu stellen. In bestimmten Fällen setzen wir ggf. die Verarbeitung Ihrer Daten fort, nachdem Sie Ihre Einwilligung widerrufen haben, wenn eine rechtliche Grundlage dazu besteht oder wenn Ihr Widerruf auf bestimmte Aspekte der Verarbeitung beschränkt war. Beispielsweise könnten wir Daten aufbewahren, um einer rechtlichen Verpflichtung nachzukommen, zur Beilegung von Streitfällen oder zur Durchsetzung unserer Verträge ..Vorher wars nur ne Ahnung, dass . . . aber manchmal stimmen Ahnungen.