Der folgende Beitrag wurde am 27. 03. 2004, 10:35 Uhr von Kalle veröffentlicht.
Hallöle,
in einem von mir betreuten PHP-/MySQL-Projekt pflegt ein Kunde seine Adressen im WEB. Grund: Freiberufler arbeiten mit und die können dann bequem vom Büro, von zuhause und sonstwo agieren.
Dieser Kunde hat bisher mit geschlossenen Systemen (LAN) gearbeitet und ist unerfahren in den Sicherheitsproblemen des WEB. Ich würde gerne auf Sicherheitsprobleme hinweisen, ebenso auf Möglichkeiten zur Datensicherung usw. und mir diesen Hinweis auch unterschreiben lassen.
1. Bin ich mit so einem Vorgehen frei von Ersatzansprüchen, wenn z.B. Daten geklaut, gelöscht oder verändert werden ?
2. Gibt es so einen Hinweis auf Sicherheitslücken schon irgendwo fertig, oder hat jemand Interesse, daran mitzuwirken (dann bitte gleich her mit der Mail-Adresse) ?
Danke schon mal für eure Antworten.
Liebe Grüße aus Worms, Kalle
Der folgende Beitrag wurde am 27. 03. 2004, 10:43 Uhr von Kalle veröffentlicht.
ach ja, wer seine Mail nicht öffentlich publiziren will, kann sie mir direkt schicken: info-at-osmer.de
Kalle
Der folgende Beitrag wurde am 27. 03. 2004, 11:17 Uhr von Sven Rautenberg veröffentlicht.
Moin!
> Dieser Kunde hat bisher mit geschlossenen Systemen (LAN) gearbeitet und ist unerfahren in den Sicherheitsproblemen des WEB. Ich würde gerne auf Sicherheitsprobleme hinweisen, ebenso auf Möglichkeiten zur Datensicherung usw. und mir diesen Hinweis auch unterschreiben lassen.
Mir ist nicht ganz klar, welchen Sachverhalt du deinem Kunden erklären willst.
Wenn du für die Programmierung der Site verantwortlich oder mitverantwortlich bist und Sicherheitlücken erkannt _hast_, ist es grob fahrlässig, diese nicht weiterzumelden oder zu beseitigen.
Wenn du allein verantwortlich für die Programmierung bist, und noch keine Sicherheitslücken bekannt sind, kannst du deine Haftung für grobe Fahrlässigkeit und Mutwilligkeit trotzdem nicht ausschließen, lediglich für leichte Fahrlässigkeit.
Aber natürlich hilft es, wenn du als verantwortungsbewußter Mensch deinem Kunden Empfehlungen machst hinsichtlich der Sicherheit, und die von deinem Kunden auch abzeichnen läßt als Bestätigung, dass du gewisse Vorgehensweisen tatsächlich angeraten hast. Wenn der Kunde das dann nicht macht und einen Schaden erleidet, hat er die Verantwortung.
> 2. Gibt es so einen Hinweis auf Sicherheitslücken schon irgendwo fertig, oder hat jemand Interesse, daran mitzuwirken (dann bitte gleich her mit der Mail-Adresse) ?
Es kann keinen allgemein formulierten Hinweis auf Sicherheitslücken geben, weil jede Sicherheitslücke individuell existiert - oder auch nicht.
Mit der Verbreitung der Information "so und so _kann_ eine Lücke sein" machst du dir keine Freunde. Entweder _ist_ es eine Lücke - dann beweist du dies durch eine entsprechende Darlegung, was schlecht ist, oder es ist _keine_ Lücke.
- Sven Rautenberg
Der folgende Beitrag wurde am 27. 03. 2004, 11:49 Uhr von Kalle veröffentlicht.
Moin Sven!
> Mir ist nicht ganz klar, welchen Sachverhalt du deinem Kunden erklären willst.
Er soll sensibilisiert werden, welche Risiken er eingeht, wenn er die Bequemlichkeit des WEB nutzt. Vergleichbar mit den Hinweisen zur Banking-Card:
Schreibe deine PIN nicht drauf / decke die Tastatur ab, wenn du es eingibst / achte auf vorgebaute Leser / ...
> Wenn du für die Programmierung der Site verantwortlich oder mitverantwortlich bist und Sicherheitlücken erkannt _hast_, ist es grob fahrlässig, diese nicht weiterzumelden oder zu beseitigen.
Genau, deshalb dieses Posting. Aber ich bin keine Sicherheitsabteilung, ich krieg's aus Kapazitäts- und Wissenslücken (Hacker-Wissen) nie wasserdicht.
> Es kann keinen allgemein formulierten Hinweis auf Sicherheitslücken geben, weil jede Sicherheitslücke individuell existiert - oder auch nicht.
Sehe ich nicht so. Dann dürftest du auch die Sicherheitslücken im Outlook nicht erwähnen oder die Möglichkeit, Mail- Absender zu fälschen.
> Mit der Verbreitung der Information "so und so _kann_ eine Lücke sein" machst du dir keine Freunde. Entweder _ist_ es eine Lücke - dann beweist du dies durch eine entsprechende Darlegung, was schlecht ist, oder es ist _keine_ Lücke.
Falsch - digitales Denken (ALLES oder NICHTS) ist hier nicht angebracht, ich denke in Sicherheitsstufen. Da gibt es vielleicht 10 - 20. Die Stufen 1 - 5 lassen sich mit vertretbarem Aufwand erreichen, die Stufen 6 - 15 kosten immer mehr Zeit und Geld, die Stufe 20 schafft nicht mal die NASA.
Gruß, Kalle.
Der folgende Beitrag wurde am 27. 03. 2004, 12:38 Uhr von Sven Rautenberg veröffentlicht.
Moin!
> > Mir ist nicht ganz klar, welchen Sachverhalt du deinem Kunden erklären willst.
>
> Er soll sensibilisiert werden, welche Risiken er eingeht, wenn er die Bequemlichkeit des WEB nutzt. Vergleichbar mit den Hinweisen zur Banking-Card:
>
> Schreibe deine PIN nicht drauf / decke die Tastatur ab, wenn du es eingibst / achte auf vorgebaute Leser / ...
Du willst ihm Sicherheitsrichtlinien erstellen?
> > Wenn du für die Programmierung der Site verantwortlich oder mitverantwortlich bist und Sicherheitlücken erkannt _hast_, ist es grob fahrlässig, diese nicht weiterzumelden oder zu beseitigen.
>
> Genau, deshalb dieses Posting. Aber ich bin keine Sicherheitsabteilung, ich krieg's aus Kapazitäts- und Wissenslücken (Hacker-Wissen) nie wasserdicht.
Oder ihm Sicherheitslücken stopfen?
Was die Wasserdichtheit angeht:
Sicherheits_lücken_ sind die Fälle, in denen man ein Programm entgehen der Spezifikation ausnutzt, um unberechtigten Zugriff zu erlangen.
Wenn jemand ein Programm _gemäß_ der Spezifikation benutzt, um Zugriff zu erlangen, dann ist das keine Sicherheits_lücke_, sondern ein ganz normales Sicherheits_risiko_.
> > Es kann keinen allgemein formulierten Hinweis auf Sicherheitslücken geben, weil jede Sicherheitslücke individuell existiert - oder auch nicht.
>
> Sehe ich nicht so. Dann dürftest du auch die Sicherheitslücken im Outlook nicht erwähnen oder die Möglichkeit, Mail- Absender zu fälschen.
Es gibt so dermaßen viele Sicherheitslücken bei allen möglichen Programmen - die kannst du unmöglich alle auflisten. Und nur zusammenfassend zu sagen "Das Web ist unsicher" wird auch nicht ausreichen - sowas erfährt man in jeder Tageszeitung und den Fernsehnachrichten auch.
> > Mit der Verbreitung der Information "so und so _kann_ eine Lücke sein" machst du dir keine Freunde. Entweder _ist_ es eine Lücke - dann beweist du dies durch eine entsprechende Darlegung, was schlecht ist, oder es ist _keine_ Lücke.
>
> Falsch - digitales Denken (ALLES oder NICHTS) ist hier nicht angebracht, ich denke in Sicherheitsstufen. Da gibt es vielleicht 10 - 20. Die Stufen 1 - 5 lassen sich mit vertretbarem Aufwand erreichen, die Stufen 6 - 15 kosten immer mehr Zeit und Geld, die Stufe 20 schafft nicht mal die NASA.
Doch, digitales Denken ist bei Sicherheits_lücken_ sehr wohl angebracht. Und das Ziel ist klar: Es darf keine geben. Und dieses Ziel kann man sehr wohl erreichen.
Das, was du in Stufen deklarieren willst, ist der allgemeine Sicherheitslevel, den man hoch und unbequem, oder niedrig und bequem haben kann.
Für eine Webanwendung, auf die nur ein eingegrenzter Personenkreis Zugriff haben darf, bedeutet das: SSL-Verschlüsselung ist obligatorisch, und die Passworte sind ausreichend lang und sicher.
Mehr Sicherheit gegen spezifikationsgemäße Angriffe würde es geben, wenn man Fehlversuche des Logins zählen und den Account dann sperren würde.
Noch sicherer wäre, wenn man ein Challenge-Response-Verfahren einsetzt, und die berechtigte Person einen kleinen Coderechner mit sich rumträgt.
Unsicherer ist es, wenn man auf gute, lange Passworte verzichtet, oder auf SSL.
Innerhalb dieser Möglichkeiten kann der Kunde seinen Sicherheitslevel wählen, sofern er über die damit verbundenen Risiken aufgeklärt wurde.
Aber es ist in jedem Fall selbstverständlich, dass man keine Sicherheitslücken einbaut, und erkannte Lücken sofort ausbaut. In diesem Punkt darf es nur digitales Denken geben. Wer eine erkannte Sicherheitslücke akzeptiert, gefährdet sein (Kunden-) System grob fahrlässig.
- Sven Rautenberg
Der folgende Beitrag wurde am 27. 03. 2004, 15:25 Uhr von Andreas Korthaus veröffentlicht.
Hallo!
> Dieser Kunde hat bisher mit geschlossenen Systemen (LAN) gearbeitet und ist unerfahren in den Sicherheitsproblemen des WEB.
Welcher Kunde ist da schon besonders erfahren? Nur wenn der in dem Bereich arbeitet oder eine IT-Abteilung hat, sonst hat der "Normalsterbliche" sicher Besseres zu tun ;-)
> Ich würde gerne auf Sicherheitsprobleme hinweisen, ebenso auf Möglichkeiten zur Datensicherung usw. und mir diesen Hinweis auch unterschreiben lassen.
Wozu? Wogegen glaubst Du Dich damit abzusichern? Worauf willst Du überhaupt hinweisen? Sicherheit des Servers? Sicherheit des LANs?
Sicherheit Deiner Programmierarbeit? Sicherheits-Richtinien für die Benutzer der Software...?
Es ist selbstverständlich dass man seine Software bestmöglich absichert. Wenn Dir keine Sicherheitslücken in Deine Software bekannt sind (oder bekannt sein müssten!!!!) kann man Dir eh keine Absicht oder grobe Fahrlässigkeit unterstellen. Somit solltest Du auf der sicheren Seite sein, wenn Dein Vertrag jegliche darüber hinausgehende Haftung ausschließt. Ich habe leider keine Ahnung wie das im Detail gesetzlich verankert ist wenn man keinen Haftungsauschluss in den Vertrag aufnimmt, kann man dann auch bei "normaler" Fahrlässigkeit auf Schadensersatz verklagt werden? Ich denke schon, sonst ständ das nicht in so ziemlich allen Verträgen drin ;-)
Wenn Dir allerdings Sicherheitslücken bekannt sind oder bekannt sein müssten, dann solltest Du sehr vorsichtig sein. Möglicherweise schützt Dich dann so ein Wisch wenn Dir der Kunde bestätigt dass Du ihn auf die Lücken hingewiesen hast... aber der Kunde wäre ja schön blöd wenn er sowas unterschreibt ;-)
> 1. Bin ich mit so einem Vorgehen frei von Ersatzansprüchen, wenn z.B. Daten geklaut, gelöscht oder verändert werden ?
Wie gesagt kannst Du die Haftung im Vertrag/AGBs ausschließen (außer für grobe Fahrlässigkeit und Absicht).
Grüße
Andreas
Der folgende Beitrag wurde am 27. 03. 2004, 15:56 Uhr von Axel Richter veröffentlicht.
Hallo,
>
> Wie gesagt kannst Du die Haftung im Vertrag/AGBs ausschließen (außer für grobe Fahrlässigkeit und Absicht).
Naja, einige versuchen das trotzdem. Original AGB im Web gefunden:
Im größtmöglichen durch das anwendbare Recht gestatteten Umfang stellt [Name] und seine Lieferanten die SOFTWARE und gegebenenfalls Supportleistungen in Verbindung mit dem Softwareprodukt ("Supportleistungen") WIE BESEHEN UND OHNE GARANTIE AUF FEHLERFREIHEIT zur Verfügung. Sie schließen alle anderen Gewährleistungen und Bedingungen, gleich ob ausdrücklich, konkludent oder gesetzlich, einschließlich, aber nicht beschränkt auf (falls zutreffend) jede konkludente Gewährleistung oder Bedingung der Handelsüblichkeit, Eignung für einen bestimmten Zweck, Virenfreiheit, Genauigkeit oder Vollständigkeit von Antworten, Ergebnisse, Fahrlässigkeit oder mangelnde fachmännische Bemühungen - alles bezüglich der SOFTWARE sowie zur Verfügung oder nicht zur Verfügung gestellter Supportleistungen - aus. ES WIRD AUCH JEDE GEWÄHRLEISTUNG ODER BEDINGUNG FÜR EIGENTUM, UNGETRÜBTES VERGNÜGEN, STILLEN BESITZ, ÜBEREINSTIMMUNG MIT DER BESCHREIBUNG ODER NICHTVERLETZUNG DER RECHTE DRITTER IN BEZUG AUF DAS PRODUKT AUSGESCHLOSSEN. DAS GESAMTE RISIKO BEZÜGLICH DER QUALITÄT ODER DAS DURCH DIE VERWENDUNG ODER LEISTUNG DES PRODUKTS UND GGF. SUPPORTLEISTUNGEN ENTSTEHT, VERBLEIBT BEI IHNEN.[1]
Toll nicht? Mit anderen Worten: Wir liefern Ihnen Software, die weder funktionieren, noch vollständig sein muss. Nicht mal virenfrei muss sie sein. Eignen muss sie sich auch nicht für den bestimmten Zweck. Aber, solange Sie das nicht gleich bei der Übergabe bemerken, haften wir für nichts. Ihr Geld haben wir dann ja. ;-))
Natürlich ist das unwirksam. Ich möchte nicht wissen, wieviel Geld die für diese Formulierung an einen "Rechtsanwalt" bezahlen mussten. Der hatte offensichtlich ähnliche Geschäftsbedingungen.
viele Grüße
Axel
[1] Nein, ich verrate nicht, woher ich das habe.
Der folgende Beitrag wurde am 29. 03. 2004, 01:16 Uhr von Johannes Zeller veröffentlicht.
Hallo Axel,
> [1] Nein, ich verrate nicht, woher ich das habe.
Lass mich raten...aus der EULA von Microsoft?
Grüße,
Johannes
--
Der folgende Satz ist wahr. | http://www.zeller-johannes.de/
Der vorhergehende Satz ist gelogen. |
ss:| zu:} ls:[ fo:} de:] va:} ch:) sh:( n4:| rl:( br:< js:| ie:{ fl:( mo:}
Der folgende Beitrag wurde am 30. 03. 2004, 00:30 Uhr von at veröffentlicht.
Hallo.
> Natürlich ist das unwirksam.
Das glaube ich zumindest bei einem Vertrag unter Kaufleuten nicht. Nur wird selbst der größmögliche "durch das anwendbare Recht gestatteten Umfang" vermutlich vermutlich sehr eng umrissen sein, so dass die rechtliche Wirksamkeit einer solchen Klausel in der Praxis keine Relevanz haben sollte.
Einer Wirksamkeit im Geschäftsverkehr mit Privatkunden sollte jedoch schon die Formulierung im Wege stehen.
MfG, at
© 1998-2013 SELFHTMLImpressumSoftware: Classic Forum 3.4
