Am Montag 06 September 2004 00:31 schrieb Ulf Volmer:
> On Sun, Sep 05, 2004 at 08:53:19PM +0200, Matthias Houdek wrote:
>
> W�rdest du es bitte unterlassen, mir Kopien per email zukommen
> zulassen?
>
> Ich lese diese Liste.
Na das hab ich gerne. Erst ein Mail-Follow-Up auf die eigene Mailadresse
setzen und dann sich �ber PMs beschweren.
Da ich bestimmt nicht jedes Mal dran denken werde, deine Mailadresse
manuell wieder zu l�schen, stell das bitte selbst ab. Solltest du nicht
wissen, wie das geht, sprich vertrauensvoll mit deinem Admin. ;-)
> > > > a) Wo steht, dass nur root Zugriff auf /var/mail haben darf?
> > >
> > > [EMAIL PROTECTED]:~$ ls -l /var/spool/mail/ulf
> > > -rw-rw---- 1 ulf mail 3202706 5. Sep 18:21
> > > /var/spool/mail/ulf
> >
> > Ah, ja. Also d�rfen auch Mitglieder der Gruppe Mail hier lesen (wie
> > auch immer er da hinein gekommen ist).
>
> Member of mail isi ganz genau der mailer- Daemon.
> Und somit administrativ.
... was nicht hei�t, dass wer auch immer dort trotzdem drinstehen _k�nnte_
(ich schrieb immer nur von der M�glichkeit, und du kannst nicht einfach
davon ausgehen, dass alle beteiligten Systeme standardkonform und sicher
eingerichtet sind.
> > Au�erdem ist das eine willk�rliche Festlegung auf deinem System.
>
> LOL!
> Das ist _Standard_ auf Solaris, HP-UX, SuSE und auch Debian, um mal
> etwas OT zu werden.
Ja, auf meinem System auch. Aber nichts hindert mich daran das zu �ndern
(au�er vielleicht mein Verstand, weshalb ich es auch so belassen werden)
Aber die Standard hat keinen Gesetzescharakter.
> > Wer sagt, dass es auf allen anderen
> > Systemen auch so eingerichtet ist - und du hast keinerlei Kontrolle
> > �ber die Sicherheitsrestriktionen auf fremden Systemen.
>
> Nein.
> Aber ich habe Kontrolle �ber jedes von mir administriertes System.
>
> Und da weder $ADMIN noch $Entscheider bei privat genutzten Mails am
> geltenden Recht vorbei kommen, sollten sie es tunlichst bei obriger
> Standard- Konfiguration belassen.
... damit dich du dich darauf berufen kannst, dass die Mail ja _besonders_
gesichert war gegen unbefugten Zugriff?
Wenn der einfache Passwortschutz eines Benutzerkontos schon eine
_besondere_ Sicherung darstellt, was ist denn dann in deinen Augen (oder
auch in den Augen eines fachkundigen Richters) eine einfache Sicherung?
> > Auf allen, auf denen es erlaubt wird. Z.B. kann ich auf einem
> > Novell-Server einen Mail-Ordner anlegen und allen Usern dort
> > Leserechte geben. Es wird zwar jeder User nur auf sein pers�nliches
> > Mail-Unterverzeichnis gemapped, aber es bedarf keiner kriminellen
> > Energie, direkt in der Netzwerkeumgebung nach freigegebenen Ordnern
> > und Volumes zu schauen.
>
> Herzlichen Gl�ckwunsch!
Man _kann_ es machen.
Was glaubst du, wie manche Systeme administriert sind? Eingeschr�nkte
Zugriffsrechte behindern doch nur ;-), und M$ macht es doch vor: "Als
normaler Benutzer kann es vorkommen, dass manche Programme nicht
ordnungsgem�� funktionieren. Geben Sie dann dem Benutzerkonto den Status
eines Administrators." (Sinngem��er Hinweis, wenn man bei XP einem
Userkonto nur Benutzerstatus zuweisen will).
> > > Es geht _nicht_ um versehenliches Lesen, es geht darum da� ein
> > > Unbefugter bewu�t private emails/Dateien liest.
> >
> > Wenn ich einen nicht an mich adressierten Brief �ffne, ist das
> > zun�chst erst mal kein Versehen mehr, wenn ich ihn dann lese. Bei
> > einer Mail ist das anders, da sehe ich den Inhalt sofort (wie bei
> > einer Postkarte).
>
> Mir ist noch _nie_ eine fremde email ohne technische Notwendigkeit
> auf den Screen geflogen.
>
> Du solltest mal mir euren Admins reden...
Mich erreichen gelegentlich Mails, die an die falsche Domain geschickt
werden (es gibt auch noch zwei HOUDEK-GmbHs in Deutschland). Da sie oft
an [EMAIL PROTECTED] oder [mail|[EMAIL PROTECTED] gerichtet sind, kann ich sogar
erst beim Lesen feststellen, dass die Mails eigentlich nicht f�r mich
sind.
> > Es m�ssen aber 2 (zwei!) Bedingungen erf�llt sein, um � 202(+a) StGB
> > zu erf�llen: Man muss ein Unbefugter sein _und_ es muss sich um ein
> > verschlossenes Schriftst�ck bzw. _besonders_ [1] gesicherte Daten
> > handeln., zu deren Inhalt man sich Zugang verschafft.
>
> Und als besonders gesichert gilt ein Passwort.
Ah, ja. Und was ist dann einfach gesichert?
Ein dezenter Hinweis am Anfang: "Bitte nicht wieterlesen, wenn sie sich
nicht ganz sicher sind, dass Sie der berechtigte Empf�nger sind." oder
was? (s.o.)
> Willst du mir allen Ernstes erz�hlen, nur weil ich als root das
> Userpasswort nicht brauche, um auf fremde emails zuzugreifen, w�rde
> keine besondere Sicherung mehr vorhanden sein?
N�, aber es ist ja nicht die Mail mit einem Passwort gesch�tzt, sondern
lediglich auf (fast) allen Systemen der Bereich, in dem diese Mails
w�hrend des Versands auftauchen. W�hrend der eigentlichen �bertragung
sind die Daten in keinster Weise gesichert (auch Sniffen ist an sich
_keine_ strafbare Handlung, da ich ja nur unverschl�sselte Daten direkt
inhaltlich erfassen kann - es fehlt wieder der _besondere_
Zugriffsschutz).
> > > Fangfrage: Darf der Brieftr�ger deine Briefe lesen, wenn du
> > > vergessen hast, sie zuzukleben?
> >
> > Wenn er nachweisen k�nnte, dass ich es vergessen h�tte, w�rde er nach
> > �202 straffrei ausgehen. Allerdings gibt es da noch weitere
> > Rechtsnormen, die es ihm verbieten (als Mitarbeiter eines
> > entsprechenden Dienstleisters).
>
> In userem Falle eben das erw�hnte TDDSG.
Jepp. Wobei dort noch nicht einmal das Wahrnehmen offen darliegender
Informationen verboten ist. Diese Daten d�rfen nur nicht f�r andere
Zwecke als die vorgesehene Dienstleistung und deren Abrechnung
herangezogen werden. Insofern k�nntest du den Brieftr�ger auch nicht
daf�r bestrafen, wenn er alle Postkarten liest (mal abgesehen von der
Schwierigkeit der Beweisf�hrung ;-).
--
Gru�
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
