Monthly Archives: Juni 2009

Simple XSS-Lücke mutiert zum PR-GAU

Es war einmal ein Blogger, der fand auf einer Firmen-Website eine XSS-Lücke. Er schrieb sogleich eine kleine Satire zu einem Produkt der Firma. So frech wie er war, versah er seine Satire noch mit einem Screenshot von der Firmen-Website und einem Link zu der Seite. Nur drei Tage später flatterte eine Abmahnung des Firmenanwalts in seinen virtuellen Postkasten. Der Anwalt forderte den Blogger auf, binnen drei Tagen den Screenshot und den Link aus seinem Blog zu entfernen. Der Blogger wenig eingeschüchtert beließ den Screenshot und den Link in seinem Blog und schrieb nun einen weiteren Blogeintrag. In dem neuen Eintrag schilderte er kurz was geschehen war und zitierte den kompletten Brief des Anwalts. Nur Stunden später solidarisieren sich die ersten Blogger (unabhängig von der Rechtslage) mit dem Abgemahnten. Die Firma wird, wegen der Anwaltskeule, auch von den anderen Bloggern gescholten und ob der noch immer offenen XSS-Lücke ausgelacht.


Ob die Veröffentlichung eines Screenshots das Urheberrecht der Firma an den einzelnen Bildern verletzt weiß ich nicht. Mein Rechtsempfinden sagt nein, da es sich hier um ein Zitat handelt und nicht einzelne Teile in einem neuen Kontext eingebunden wurden. Das Bild selber ist nicht manipuliert worden, es wurden keine Veränderungen, zum Beispiel mit Hilfe eines Bildbearbeitungsprogramms, vorgenommen. Der Screenshot ist authentisch, sofern man dem manipulierten Link folgt.

Und ob nun der manipulierte Link, gegen ein Gesetz verstößt, vermag ich nicht zu beurteilen, da der Link keine Straftat vorbereitet. Der Link, bzw. die dann folgende Firmen-Website, könnte als rufschädigend eingestuft werden, wenn man nicht sofort erkennen würde, das es sich hier um Satire handelt.

Ich bin kein Jurist und Gesetze haben i.d.R. auch nicht so arg viel mit gesundem Menschenverstand zutun, deswegen will ich die juristische Beurteilung anderen überlassen.


Die Firma hat das Dümmste getan was sie tun konnte – die Lücke offen lassen und den Blogger abmahnen. Zum Glück für die Firma ist gerade Wochenende und in einzelnen Bundesländern haben bereits die Sommerferien begonnen, wodurch die Wogen in der Bloggoshäre und in Twitter noch nicht so hoch sind.

Die negative Aufmerksamkeit im Internet hätte die Firma ganz leicht vermeiden können – indem Sie einfach die Lücke geschlossen hätte – aus die Maus – Thema erledigt. Dann hätte sich kaum jemand für den Blogeintrag mit dem Screenshot und einem nicht mehr, wie gewünscht, funktionierenden Link interessiert.

Wenn man den Brief von dem Anwalt liest, so könnte man fast den Eindruck gewinnen, das die Firma nicht verstanden hat, dass sie selber die Lücke schließen muß und dass es herzlich wenig hilft, wenn der Blogger den Link und den Screenshot aus seinem Blog entfernt. Durch die negative PR fühlen sich jetzt natürlich alle Möchtegern-Hacker aufgerufen, weitere Lücken, auch in den anderen Websites der Firma zu finden und zu veröffentlich.

Bisher ist es noch kein GAU, aber wenn die Firma nicht schleunigst gegensteuert (die Lücke schließt, den Anwalt zurückpfeift und mit dem Blogger ohne Anwalt kommuniziert) so kann es doch noch dazu kommen.

Das Netz vergisst nichts!

Jeglicher Zugriff auf KiPo wird unter Strafe gestellt

Im Deutschlandfunk haben sie offenbar gerade erzählt, dass die Innenministerkonferenz beschlossen habe, den Zugriff auf Kinderpornographie unter Strafe zu stellen. Ist noch nirgendwo online, sonst würde ich drauf linken.
(…)
Das heißt: IP auf einem Kinderporno-Server gefunden — Handschellen klicken.

Quelle: blog.fefe.de

25.06.2009 – Justizministerkonferenz in Dresden erfolgreich beendet” (justiz.sachsen.de)

Kinderpornografie im Internet
Die Justizminister der Länder nehmen weitere Schritte im Kampf gegen Kinderpornografie im Internet in Angriff. (…) Die Strafverfolger stoßen oft auf Rechtsprobleme, wenn sich die Täter die Bilddateien »nur« ansehen, ohne sie aktiv auf ihren Rechner herunterzuladen. Die Justizminister bitten das Bundesministerium der Justiz übereinstimmend darum, diese Gesichtspunkte im Rahmen der Erarbeitung einer Gesamtreform des Sexualstrafrechts zu berücksichtigen.

Justizminister: Schon Seitenaufruf bestrafen” (faz.net)

Die Justizminister der Länder wollen den vorsätzlichen Aufruf von Internetseiten mit kinderpornographischem Material unter Strafe stellen.

Was ist ein vorsätzlicher Aufruf? Per unsichtbarem Iframe oder per XSS ist es sehr leicht eine IP-Adresse in die Logfiles eines KiPo-Servers zu schleusen und der “Täter” wird zum Opfer und zwar der Justiz.

Nicht nur im Bundestag ist man beratungsresistent, auch die Justizminister der Länder haben nichts begriffen.

SV Prof. Dr. Dr. h. c. Ulrich Sieber (Max-Planck-Institut): Zunächst allgemein dazu: dieses Erfassen von möglicherweise Tätern gibt eine gewissen Verdacht, der aber nicht sehr hoch ist. Es gibt viele Möglichkeiten, Leute auf diese Seite zum Anklicken zu bringen, die das nicht wollen. Es gibt sogar die Möglichkeit, diese Leute dazuzubringen, dass sie diese Dateien dann dabei auch herunterladen, ohne, dass sie das bemerken. Das bedeutet, wenn der Verdacht abgeklärt wird, bei dem findet man dann im Cash sogar noch die kinderpornographischen Daten.

Quelle: Ausschuss für Wirtschaft und Technologie Protokoll (PDF / ab Seite 10 / bundestag.de)