Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Komplizierte Fragen zu privatem Website-Impressum

11 views
Skip to first unread message

Andreas Keppler

unread,
Mar 10, 2012, 3:04:55 AM3/10/12
to
Hallo allerseits,

ich habe eine private Domain angemeldet, auf deren Hauptseite nichts
erscheint, wenn man Domain.de im Browser eingibt.

Muss ich ein Impressum angeben, wenn ich z.B. in Unterverzeichnissen
unter www.meinedomain.de/xy/ Bilder ablege und diese Links nur meinen
Bekannten maile und diese Domain nicht durch die Hauptseite aufrufbar
ist und auch nicht von Suchmaschinen indiziert wird?

Noch eine weitere Frage hinterher:
Wie sieht es aus wenn ich z.B. unter www.meinedomain.de/123/1.zip
Bilder ablege und diesen Link nur an Bekannte maile?
Müsste ich da auch ein Impressum führen?

Vielen Dank!

Gruß
Andreas

Lars Gebauer

unread,
Mar 10, 2012, 6:36:22 AM3/10/12
to
* Andreas Keppler:
> Müsste ich da auch ein Impressum führen?

Stell' Dir doch die Frage einfach mal umgekehrt: Was spricht denn
dagegen, einfach ein Impressum anzugeben und damit diesem gesamten Mumpf
aus dem Weg zu gehen?

Auf wen eine Domain registriert ist bekommt doch schließlich sowieso
jeder heraus, der schonmal was von whois gehört hat. Insofern ...

Juergen

unread,
Mar 10, 2012, 11:46:11 AM3/10/12
to
Am 10.03.2012 09:04, schrieb Andreas Keppler:
> ich habe eine private Domain angemeldet, auf deren Hauptseite nichts
> erscheint, wenn man Domain.de im Browser eingibt.

und was soll das bewirken?

Strick dir ne .htaccess (so das bei deinem Hoster möglich) und setz die
Hauptseite auf "deny"... wenn also jeder dieses deny bekommt, bekommt
niemand was gezeigt und wenn nix gezeigt wird, auch kein Impressum ;-)
Sinn und Zweck deiner Webseite muss ja nicht beschrieben werden.

Solltest du glauben, dann würden keine Suchmaschinen kommen, irrst du
;-) Es gibt viele, die wissen bereits zusammen mit deiner
Domain-Anmeldung, dass es deine Seite gibt. Und (zumindest bei mir)
mehren sich die Bots, die sich auch nicht um robots.txt kümmern, der
Facebook-Bot gehört dazu, siehe unten.

> Muss ich ein Impressum angeben, wenn ich z.B. in Unterverzeichnissen
> unter www.meinedomain.de/xy/ Bilder ablege und diese Links nur meinen
> Bekannten maile und diese Domain nicht durch die Hauptseite aufrufbar
> ist und auch nicht von Suchmaschinen indiziert wird?

Woher weisst du, _was_ von Suchmaschinen indiziert wird? Kriegste nur
raus, wenn du die Logdateien prüfst... das geht aber nur, wenn ein Bot
auf deiner Seite war, also _nach_ einem Zugriff ;-)

Du solltest dich vertraut machen mit

- Passwortschutz für alle deine Seiten, egal ob Haupt- oder Unterseiten

- .htaccess (google danach)

Wenn du glaubst, das "einfache" mailen eines Deeplink (z.B. Unterseite)
nur an Bekannte hilft dir, dass Suchmaschinen diese Unterseiten nicht
finden, dann irrst du.

Habe letzte Woche gerade zufällig selber feststellen müssen, dass die
Angabe eines Links in einer "persönlichen" Nachricht (d.h. keine Email,
aber auch nicht im öffentlichen Teil) bei Facebook an einen anderen
Nutzer dazu geführt hat, dass Facebook _sofort_ (d.h. schon während
meines Eintippens der Nachricht!!!) seinen Bot losgeschickt hat, der
diesen Link sichten wollte. Zufälligerweise hatte ich dem Empfänger den
Link zu _meiner_ eigenen Webseite (Hauptseite, nix "Schlimmes" drauf...)
schicken wollen und beim späteren Log-Prüfen den Zugriff bemerkt.

=> hätte ich nun einen solchen Deeplink _deiner_ Unterseite an einen
_meiner_ Bekannten via Facebook als Nachricht geschickt, würde Facebook
schonmal diesen Deeplink kennen, speichern und... irgendwie "verwenden".

=> hätte ich als "offizieller" Bekannter von dir diesen Deeplink in
meinem Adressbuch als Eintrag bei deiner Email-Adresse und hätte das
Adressbuch zu Facebook (oder anderen Networks...) "hochgeladen", wüsste
Facebook sogar den Zusammenhang deiner Email-Adresse zum Deeplink deiner
Seite ;-) Big Brother Facebook is watching you, mach dir nix draus...
denk nur dran ;-))
Du kannst deine Freunde nicht "kontrollieren".

Der Facebook-Bot ging sogar los, obwohl ich das online-Eintippen der
Nachricht im Facebook-Fenster _abgebrochen_ (!!!) hatte und in einem
Editor Link in verfremdeter Form getippt hatte und danach erst eine neue
Nachricht gestartet und gesendet hatte. Der Bot-Zugriff kam zeitlich vor
dem Absenden der wirklichen Nachricht via Facebook!!!

Die abgebrochene Nachricht wurde mir nicht als "gesendet" angezeigt.

Und denke dran: wenn erstmal ein Bot deine Deeplinks kennt, dauert es
nicht lange, bis andere das auch wissen. Manche arbeiten auch "zusammen".

Der Bot von Facebook nennt sich "facebookexternalhit" und kommt mit
unterschiedlichen IPs daher ;-)

Jürgen

Frank Sertic

unread,
Mar 10, 2012, 2:33:36 PM3/10/12
to
Hi Jürgen,

Am 10.03.2012 17:46, schrieb Juergen:

>
> Der Bot von Facebook nennt sich "facebookexternalhit" und kommt mit
> unterschiedlichen IPs daher ;-)


Nicht zu vergessen, wenn der Empfänger der Email irgendeine Toolbar von
einer Suchmaschine installiert hat.....

Gruss Frank

Wolfgang Jäth

unread,
Mar 11, 2012, 12:29:31 AM3/11/12
to
Am 10.03.2012 09:04, schrieb Andreas Keppler:
>
> ich habe eine private Domain angemeldet, auf deren Hauptseite nichts
> erscheint, wenn man Domain.de im Browser eingibt.
>
> Muss ich ein Impressum angeben, wenn ich z.B. in Unterverzeichnissen
> unter www.meinedomain.de/xy/ Bilder ablege und diese Links nur meinen
> Bekannten maile und diese Domain nicht durch die Hauptseite aufrufbar
> ist und auch nicht von Suchmaschinen indiziert wird?

http://www.linksandlaw.info/Impressumspflicht-Notwendige-Angaben.html

Deine Beschreibung passt IMHO (aber IANAL) genau auf Fallgruppe 1
('private Kommunikation', und 'Inhalte aus dem engsten persönlichen
Lebensbereich, bei denen ein berechtigtes Interesse Dritter an der
Identität des Websitebetreibers nicht existiert' bzw 'der Erfassung der
Webseite durch Suchmaschinen in Metatags oder in einer robots.txt-Datei
widersprochen wird und der Inhalt dem persönlichen Bereich entstammt').

Bestätigt wird meine Meinung außerdem noch durch den 2. Punkt der
Fallgruppe 2.

> Noch eine weitere Frage hinterher:
> Wie sieht es aus wenn ich z.B. unter www.meinedomain.de/123/1.zip
> Bilder ablege und diesen Link nur an Bekannte maile?
> Müsste ich da auch ein Impressum führen?

Es ist grundsätzlich egal, welcher /Art/ die Daten sind, die auf der
Website angeboten werden. Es kommt nur auf die Tatsache des Angebots an
sich an.

Für ein ZIP gilt also das gleiche wie für Bilder, oder PDFs, oder HTML,
oder was auch immer.

Wolfgang
--

Andreas Keppler

unread,
Mar 12, 2012, 5:50:46 PM3/12/12
to
Hallo!

Danke euch allen, erst einmal!

> http://www.linksandlaw.info/Impressumspflicht-Notwendige-Angaben.html
>
> Deine Beschreibung passt IMHO (aber IANAL) genau auf Fallgruppe 1
> ('private Kommunikation', und 'Inhalte aus dem engsten persönlichen
> Lebensbereich, bei denen ein berechtigtes Interesse Dritter an der
> Identität des Websitebetreibers nicht existiert' bzw 'der Erfassung der
> Webseite durch Suchmaschinen in Metatags oder in einer robots.txt-Datei
> widersprochen wird und der Inhalt dem persönlichen Bereich entstammt').
>

Genau darum ging es mir!
Ich habe und will keine "Hauptseite" und versende nur DeepLinks an
Bekannte und führe auf diesen Seiten kein Impressum.

"Warum kein Impressum", wurde berechtigt gefragt:
Weil ich nur HTML-Bilderseiten aus einem Bilderviewer heraus
generieren lasse, bei dem ich keine Möglichkeit habe, ein Impressum
mitgenerieren/einbinden zu lassen.

Meine bisherige Auffassung, daß Deeplinks und der
Indizierungswiderspruch in der Robots.txt ausreichen würde (selbst
wenn manche indizieren), scheint also zu passen!

Hatte nur vor längerem mal irgendwo etwas in der Art gelesen "alles,
was von außen erreichbar ist, brauchht Impressum" und wollte der Sache
nochmals auf den Grund gehen!

Gruß
Andreas

Michael Mendelsohn

unread,
Mar 13, 2012, 3:29:35 AM3/13/12
to
Am 12.03.2012 22:50, schrieb Andreas Keppler:
> "Warum kein Impressum", wurde berechtigt gefragt:
> Weil ich nur HTML-Bilderseiten aus einem Bilderviewer heraus
> generieren lasse, bei dem ich keine Möglichkeit habe, ein Impressum
> mitgenerieren/einbinden zu lassen.

Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.

Viele Grüße
--mendel
--
"Michael" ist kein Name, sondern eine Bevölkerungsgruppe.
http://fiff.de/ Forum InformatikerInnen für Frieden und
gesellschaftliche Verantwortung e.V.

Juergen

unread,
Mar 13, 2012, 8:26:39 AM3/13/12
to
Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.

Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
vorhanden ist.

Jürgen

Michael Mendelsohn

unread,
Mar 13, 2012, 9:58:10 AM3/13/12
to
Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.
Es ist nur nicht gewerblich.
Das hatten wir eigentlich geklärt.

Ich bezog mich nur noch auf den Teil seines Postings, der zusätzlich zu
dem wie oben begründeten "nicht nötig" noch von "nicht möglich" sprach
(und genau den hatte ich ja auch nur zitiert), weil ich das nicht
verstanden habe.

Wolfgang Krietsch

unread,
Mar 13, 2012, 1:08:48 PM3/13/12
to
Michael Mendelsohn wrote:

>Am 13.03.2012 13:26, schrieb Juergen:
>> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
>>> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
>>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
>>
>> Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
>> vorhanden ist.
>
>Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.

Das ist die Frage. Wenn's von nirgendwo verlinkt ist, muss man die genaue
URL kennen, um es ansehen zu können.

Wo ist der Unterschied, ob man eine genaue URL oder ein Passwort kennen
muss? Die URL kann ja durchaus www.woffi.de/js908zhhdq9hwlac lauten ...

Bye

woffi

--
9 von 10 Stimmen in meinem Kopf sagen, ich bin irre.
Eine summt.

Dietz Proepper

unread,
Mar 13, 2012, 1:07:37 PM3/13/12
to
Michael Mendelsohn wrote:

> Am 13.03.2012 13:26, schrieb Juergen:
>> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
>>> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
>>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
>>
>> Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
>> vorhanden ist.
>
> Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.

Etwas, das unverlinkt unter domain/cdkcdsa66455bdjshjfsa/ steht ist
öffentlich? Auch eine Meinung.
--
Wir ziehen in den Krieg, wir brauchen was zum schießen.

Stefan Reuther

unread,
Mar 13, 2012, 1:28:53 PM3/13/12
to
Michael Mendelsohn wrote:
> Am 13.03.2012 13:26, schrieb Juergen:
>> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
>>> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
>>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
>>
>> Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
>> vorhanden ist.
>
> Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.

Nur dann, wenn man es auf eine öffentlich zugängliche Adresse stellt,
die der Öffentlichkeit auch bekannt ist. Also entweder üblicher Port,
Wurzelverzeichnis - oder explizite Bekanntgabe der URL an die Öffent-
lichkeit durch Eintragen in Verzeichnissen, Suchdiensten usw. Und gerade
letztere soll im Beispiel ja entfallen.

Zwischen
http://example.com/user/passwordasiduasdAJKHsdhjkaH/bilder.html
(kryptische URL) und
http://user:passwordasidu...@example.com/bilder.html
(gängige URL + Passwort) ist nicht wirklich ein Unterschied. Höchstens
der, dass die gängige URL Passwortknacker einlädt, wohingegen ich noch
niemanden URLs (abseits von phpMyAdmin-Exploits) bruteforcen gesehen habe.


Stefan

Helmut Richter

unread,
Mar 13, 2012, 5:48:25 PM3/13/12
to
On Tue, 13 Mar 2012, Stefan Reuther wrote:

> Michael Mendelsohn wrote:
> > Am 13.03.2012 13:26, schrieb Juergen:
> >> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
> >>> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
> >>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
> >>
> >> Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
> >> vorhanden ist.
> >
> > Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.
>
> Nur dann, wenn man es auf eine öffentlich zugängliche Adresse stellt,
> die der Öffentlichkeit auch bekannt ist. Also entweder üblicher Port,
> Wurzelverzeichnis - oder explizite Bekanntgabe der URL an die Öffent-
> lichkeit durch Eintragen in Verzeichnissen, Suchdiensten usw. Und gerade
> letztere soll im Beispiel ja entfallen.

Wenn man die Fallen vermeidet, die Jürgen in seinem Beitrag zu diesem
Thread am 10.3. beschrieben hat, stimmt das. Aber die sind naheliegend.

Prinzipiell gilt das auch für Passwörter, wenn sie Bestandteil von URLs
werden (was geht, aber kaum einer macht) oder per E-Mail versandt werden,
wo der Mailprovider Zugriff hat. Aber auch dann ist der Zusammenhang zur
Seite meist nicht für ein automatisches Abgreifen regelmäßig genug.

--
Helmut Richter

Michael Mendelsohn

unread,
Mar 13, 2012, 7:05:08 PM3/13/12
to
Am 13.03.2012 18:28, schrieb Stefan Reuther:
> Michael Mendelsohn wrote:
>> Am 13.03.2012 13:26, schrieb Juergen:
>>> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
>>>> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
>>>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
>>>
>>> Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
>>> vorhanden ist.
>>
>> Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.
>
> Nur dann, wenn man es auf eine öffentlich zugängliche Adresse stellt,
> die der Öffentlichkeit auch bekannt ist. Also entweder üblicher Port,
> Wurzelverzeichnis - oder explizite Bekanntgabe der URL an die Öffent-
> lichkeit durch Eintragen in Verzeichnissen, Suchdiensten usw. Und gerade
> letztere soll im Beispiel ja entfallen.

Genau auf "öffentlich zugänglich" hebe ich ja ab!
Im Intranet ist es i.d.Regel nicht öffentlich zugänglich,
im Internet schon.


Du kannst die Bekanntgabe der URL nur dann sicher verhindern, wenn du
die URL niemand erzählst, was ja nicht Sinn der Sache ist. Ansonsten
musst du darauf vertrauen, dass niemand, dem du die URL weitererzählst,
sie weiterveröffentlicht, denn sonst hast du verloren.


Wenn dir der gegnerische Anwalt schreibt, "am 30.2.2012 um 25:00 Uhr
warne unter der URL http://langundkompliziert die folgenden
ehrverletzenden Behauptungen über meinen Mandanten abrufbar", fragt dann
noch jemand danach, ob das über eine Suchmaschine auffindbar war oder
nicht? Urheberrechtsmäßig dürfte das genauso aussehen.


Mal ins Gesetz geschaut:
aus Rundfunkstaatsvertrag §2:
"Telemedien sind alle elektronischen Informations- und
Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste
nach § 3 Nr. 24 des Telekommunikationsgesetzes sind, die ganz in der
Übertragung von Signalen über Telekommunikationsnetze bestehen oder
telekommunikationsgestützte Dienste nach § 3 Nr. 25 des
Telekommunikationsgesetzes oder Rundfunk nach Satz 1 und 2 sind."

Bild per Handy verschicken = Telekommunikation = privat,
Bild ins Netz stellen und URL per SMS verschicken = Telemedium =
"öffentlich", und nach dem Satz, der in §2 RStV vor meiner zitierten
Stelle kommt, wäre ich mir inzwischen nicht mal mehr sicher, dass
Verschlüsselung/Passwortschutz da etwas ausmacht.

§1 TMG definiert das genauso: alles elektronische, was nicht
Telekommunition oder Rundfunk ist, ist Telemedium. Wem du die URL
verrätst, ist dabei unerheblich.



Wenn ich mir im Stadtpark hinter einem Busch die Hose runterlasse, ist
es in der Öffentlichkeit, auch wenn es keiner sieht. Ich sehe nicht ein,
wieso das bei "versteckten" URLs anders sein soll.

Harald Maedl

unread,
Mar 14, 2012, 3:35:15 AM3/14/12
to
_Unabhängig_ von der rechtlichen Frage, gäbe es natürlich eine Reihe
anderer Möglichkeiten, deinen Bekannten Photos zum Download anzubieten,
ohne die breite Masse anzuladen.

Soll nun unbedingt ein Zugriff über http erfolgen, gäbe es z.B. die
Möglichkeiten, eine Webseite entweder im "Deep Web" [1] zu basteln, so
dass sie von den üblichen Verdächtigen nicht bzw. kaum gefunden wird
oder eben auf alternative DNS-Adressen zu legen, die weder von ICANN,
DENIC oder ähnlichen offiziellen Gelddruckmaschinen geführt werden [2].

Somit verschwindet die Seite aus dem Gesichtsfeld der üblichen
Abmahnzockersociety.

Leider wird insbesondere das alternative Web zu wenig genutzt, weil es
zu wenig alternative DNS-Server gibt, weil man ein bisschen an seinem
Browser an den Proxy-Einstellungen frickeln muss und bereits dieses zu
einer gewissen Überforderung bei wohl nicht wenigen führt und weil
generell diese Möglichkeit kaum in der breiten Masse bekannt ist.
Aufgrund dessen haben viele alternative Betreiber das Handtuch geworfen.

Fussnoten:
==========
[1]<http://de.wikipedia.org/wiki/Deep_Web>
[2]<http://en.wikipedia.org/wiki/Alternative_DNS_root>

Michael Mendelsohn

unread,
Mar 14, 2012, 7:02:10 AM3/14/12
to
Am 14.03.2012 08:35, schrieb Harald Maedl:
> Leider wird insbesondere das alternative Web zu wenig genutzt, weil es
> zu wenig alternative DNS-Server gibt,

> [2]<http://en.wikipedia.org/wiki/Alternative_DNS_root>

Na, ich nutz' das nicht, nicht weil es "zu wenig" alternative Server
gibt, sondern weil es zu viele verschiedene sind.
Ohne eine guten Grund, mich für einen der vielen zu entscheiden, lass'
ich es lieber bleiben. (Ich glaub', ich hab' mal OpenNIC benutzt, als
der DNS-Server meines Providers eine instabile Phase hatte.)

Juergen

unread,
Mar 14, 2012, 9:56:53 AM3/14/12
to
Am 13.03.2012 18:28, schrieb Stefan Reuther:
> explizite Bekanntgabe der URL an die Öffent-
> lichkeit durch Eintragen in Verzeichnissen, Suchdiensten usw. Und gerade
> letztere soll im Beispiel ja entfallen.

Wie ich am 10.3. schrieb, hatte ich meinen URL nichtmal der
Öffentlichkeit preisgegeben, sondern der URL wurde während des
Eintippens einer "privaten" Nachricht an einen anderen Facebook-Nutzer
bereits von Facebook abgegriffen und verwertet.

Auch bei Facebook und Co. sollten "private" Nachrichten an andere Nutzer
desselben Mediums TABU sein, aber... Facebook ist öffentlicher als alles
andere, daher meine Warnung und Rat zu etwas mehr "Vorsicht", auch wenns
nicht ganz zum Thema "Impressum" passte, dafür mehr zu "was ist
"öffentlich" ;-)

Der Bundes-Datenschutzbeauftragte meint in Email an mich dazu, Zitat:

| Ihre datenschutzrechtlichen Bedenken hierzu teile ich.
| Leider kann ich jedoch nicht direkt hier in Ihrer Angelegenheit
| tätig werden, da ich nicht die datenschutzrechtliche Aufsicht
| über Facebook habe.
| Generell liegt die Datenschutzkontrolle bei Internetanbietern
| im privatwirtschaftlichen Bereich bei den Aufsichtsbehörden
| der Länder, deren Zuständigkeit sich nach dem Sitz der jeweiligen
| Firma des Angebots richtet. Bei konkreten datenschutzrechtlichen
| Anliegen bezüglich Facebook, welche eine Niederlassung in Hamburg
| haben, haben Sie die Möglichkeit, den Hamburgischen Beauftragten für
| Datenschutz und Informationsfreiheit, Klosterwall 6 (Block C),
| 20095 Hamburg, E-Mail: mai...@datenschutz.hamburg.de, zu
| kontaktieren.

Immerhin, mir wurde auch geschrieben, dass meine Infos interessant waren
und er auch weitergehende Hinweise zu diesem Sachverhalt dazu im Netz
gefunden habe.

Jürgen

Stefan Reuther

unread,
Mar 14, 2012, 2:16:24 PM3/14/12
to
Michael Mendelsohn wrote:
> Am 13.03.2012 18:28, schrieb Stefan Reuther:
>> Michael Mendelsohn wrote:
>>> Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.
>>
>> Nur dann, wenn man es auf eine öffentlich zugängliche Adresse stellt,
>> die der Öffentlichkeit auch bekannt ist. Also entweder üblicher Port,
>> Wurzelverzeichnis - oder explizite Bekanntgabe der URL an die Öffent-
>> lichkeit durch Eintragen in Verzeichnissen, Suchdiensten usw. Und gerade
>> letztere soll im Beispiel ja entfallen.
>
> Genau auf "öffentlich zugänglich" hebe ich ja ab!
> Im Intranet ist es i.d.Regel nicht öffentlich zugänglich,
> im Internet schon.
>
> Du kannst die Bekanntgabe der URL nur dann sicher verhindern, wenn du
> die URL niemand erzählst, was ja nicht Sinn der Sache ist. Ansonsten
> musst du darauf vertrauen, dass niemand, dem du die URL weitererzählst,
> sie weiterveröffentlicht, denn sonst hast du verloren.

Das gilt für URLs mit Passworten genauso. Es wird nicht verhindert, dass
jemand böswilliges eine URL wie "http://joe:geh...@example.com/" oder
"http://example.com/login.php?user=joe&pass=geheim" publiziert.

> Wenn dir der gegnerische Anwalt schreibt, "am 30.2.2012 um 25:00 Uhr
> warne unter der URL http://langundkompliziert die folgenden
> ehrverletzenden Behauptungen über meinen Mandanten abrufbar", fragt dann
> noch jemand danach, ob das über eine Suchmaschine auffindbar war oder
> nicht? Urheberrechtsmäßig dürfte das genauso aussehen.

"Am 30.2.2012 um 25:00 lag unter einem Stein in deinem Hinterhof ein
Zettel mit ehrverletztenden Behauptungen über meinen Mandanten".

Ja, ich weiß, kann knifflig sein, das einem Richter beizubringen.

> Mal ins Gesetz geschaut:
> aus Rundfunkstaatsvertrag §2:
> "Telemedien sind alle elektronischen Informations- und
> Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste
> nach § 3 Nr. 24 des Telekommunikationsgesetzes sind, die ganz in der
> Übertragung von Signalen über Telekommunikationsnetze bestehen oder
> telekommunikationsgestützte Dienste nach § 3 Nr. 25 des
> Telekommunikationsgesetzes oder Rundfunk nach Satz 1 und 2 sind."

Es ging ums Impressum?

# § 55 (RStV) Informationspflichten und Informationsrechte
# (1) Anbieter von Telemedien, die nicht ausschließlich persönlichen
# oder familiären Zwecken dienen, haben folgende Informationen leicht
# erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:
# 1. Namen und Anschrift sowie
# 2. bei juristischen Personen auch Namen und Anschrift des
# Vertretungsberechtigten.

(Hier also sogar das unsägliche "geschäftsmäßig" sogar durch "persönlich
und familiär" ersetzt.)

Sollte für den Ordner mit Familienfotos also definitiv gelten, auch wenn
Tante Trude das Foto im grünen Kleid mit rosa Punkten für ehrverletzend
hässlich hält.

Und zum Urheberrecht: wenn $irgendwer dem Major-Label einen MP3-Link auf
meinem Webspace zuspielt, kann ich normalerweise sogar den privaten
Kontext dazu herstellen. Die Tatsachen, dass das Ding eine mordslange
URL hat und auch keine Verzeichnislistings angezeigt werden, stützen
jedenfalls nicht die These, dass das ein öffentliches Download-Angebot sei.


Stefan

Wolfgang Krietsch

unread,
Mar 14, 2012, 3:50:24 PM3/14/12
to
Juergen wrote:

>
>Wie ich am 10.3. schrieb, hatte ich meinen URL nichtmal der
>Öffentlichkeit preisgegeben, sondern der URL wurde während des
>Eintippens einer "privaten" Nachricht an einen anderen Facebook-Nutzer
>bereits von Facebook abgegriffen und verwertet.

Facebook zeigt in der Nachricht eine Vorschau auf die enthaltene URL an.
Daraus zu folgern, dass FB die URL auch sonstwie speichert/verwertet ist
zwar nicht völlig abwegig, aber auch keineswegs zwingend.

Juergen

unread,
Mar 14, 2012, 4:42:17 PM3/14/12
to
Am 14.03.2012 20:50, schrieb Wolfgang Krietsch:
> Facebook zeigt in der Nachricht eine Vorschau auf die enthaltene URL an.
> Daraus zu folgern, dass FB die URL auch sonstwie speichert/verwertet ist
> zwar nicht völlig abwegig, aber auch keineswegs zwingend.

Ich gehe davon aus, dass du (auch) einen FB-Account hast... probier's
einfach selber mal aus (am sinnvollsten mit einem "Deeplink") ;-)

Ob es z.B. bei Google-Plus und anderen SocialNetworks auch so sein
könnte, weiss ich nicht.

Jürgen

Wolfgang Krietsch

unread,
Mar 14, 2012, 6:12:21 PM3/14/12
to
Juergen wrote:

>
>Ich gehe davon aus, dass du (auch) einen FB-Account hast... probier's
>einfach selber mal aus (am sinnvollsten mit einem "Deeplink") ;-)

Was soll ich ausprobieren? Dass FB da eine Vorschau erzeugt/anzeigT? Das
ist so, das weiß ich. Die Frage ist halt, was sonst noch mit der URL
passiert.
>
>Jürgen

Michael Mendelsohn

unread,
Mar 14, 2012, 6:04:15 PM3/14/12
to

Am 14.03.2012 19:16, schrieb Stefan Reuther:
> Michael Mendelsohn wrote:
>> Wenn dir der gegnerische Anwalt schreibt, "am 30.2.2012 um 25:00 Uhr
>> warne unter der URL http://langundkompliziert die folgenden
>> ehrverletzenden Behauptungen über meinen Mandanten abrufbar", fragt dann
>> noch jemand danach, ob das über eine Suchmaschine auffindbar war oder
>> nicht? Urheberrechtsmäßig dürfte das genauso aussehen.
>
> "Am 30.2.2012 um 25:00 lag unter einem Stein in deinem Hinterhof ein
> Zettel mit ehrverletztenden Behauptungen über meinen Mandanten".
>
> Ja, ich weiß, kann knifflig sein, das einem Richter beizubringen.

Nimm mal lieber den Zettel an der Hauswand meines Hauses am Ende der
Sackgasse: öffentlich zugänglich, auch wenn es fast niemand sieht.


> Es ging ums Impressum?

Nein, das war schon lange abgehakt - einvernehmlich.
Ebenso, dass weder Passwort, lange URL oder Verschlüsselung das Angebot
daran hindert, ein Telemedium zu sein.

Ich brachte deswegen die Tatbestände
* üble Nachrede und
* unerlaubte Veröffentlichung nach UrhG (z.B. §19a)
ins Spiel, weil da "öffentlich" gegen "privat" eine relevante
Unterscheidung ist.

> Und zum Urheberrecht: wenn $irgendwer dem Major-Label einen MP3-Link auf
> meinem Webspace zuspielt, kann ich normalerweise sogar den privaten
> Kontext dazu herstellen. Die Tatsachen, dass das Ding eine mordslange
> URL hat und auch keine Verzeichnislistings angezeigt werden, stützen
> jedenfalls nicht die These, dass das ein öffentliches Download-Angebot sei.

Nein, aber die Tatsache, dass du jedermann gegen diese URL den Inhalt
auslieferst.

Arno Welzel

unread,
Mar 15, 2012, 1:35:30 PM3/15/12
to
Dietz Proepper, 2012-03-13 18:07:

> Michael Mendelsohn wrote:
>
>> Am 13.03.2012 13:26, schrieb Juergen:
>>> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
>>>> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
>>>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
>>>
>>> Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
>>> vorhanden ist.
>>
>> Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.
>
> Etwas, das unverlinkt unter domain/cdkcdsa66455bdjshjfsa/ steht ist
> öffentlich? Auch eine Meinung.

Ja, weil es jeder unter dieser URL abrufen kann. Allein die Unkenntnis
einer URL bedeutet nicht, dass die Information nicht zugänglich ist.


--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de

Helmut Richter

unread,
Mar 15, 2012, 1:47:07 PM3/15/12
to
On Thu, 15 Mar 2012, Arno Welzel wrote:

> Ja, weil es jeder unter dieser URL abrufen kann. Allein die Unkenntnis
> einer URL bedeutet nicht, dass die Information nicht zugänglich ist.

Und die Unkenntnis eines Passworts?

--
Helmut Richter

Lars Gebauer

unread,
Mar 15, 2012, 2:21:24 PM3/15/12
to
* Arno Welzel:
> Dietz Proepper, 2012-03-13 18:07:
>> Michael Mendelsohn wrote:
>>> Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.
>>
>> Etwas, das unverlinkt unter domain/cdkcdsa66455bdjshjfsa/ steht ist
>> öffentlich? Auch eine Meinung.
>
> Ja, weil es jeder unter dieser URL abrufen kann.

Genauso, wie wenn man das Passwort kennt.

> Allein die Unkenntnis einer URL bedeutet nicht, dass die Information
> nicht zugänglich ist.

"Allein die Unkenntnis eines Passwortes bedeutet nicht, dass die
Information nicht zugänglich ist."

So etwa?

Dietz Proepper

unread,
Mar 15, 2012, 2:34:43 PM3/15/12
to
Arno Welzel wrote:

> Dietz Proepper, 2012-03-13 18:07:
>
>> Michael Mendelsohn wrote:
>>
>>> Am 13.03.2012 13:26, schrieb Juergen:
>>>> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
>>>>> Ich hätte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
>>>>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
>>>>
>>>> Warum? Impressum ist nur für die "Öffentlichkeit", die hier nicht
>>>> vorhanden ist.
>>>
>>> Wenn man was ohne Passwort ins WWW stellt, ist es _öffentlich_.
>>
>> Etwas, das unverlinkt unter domain/cdkcdsa66455bdjshjfsa/ steht ist
>> öffentlich? Auch eine Meinung.
>
> Ja, weil es jeder unter dieser URL abrufen kann.

Wenn er die URL kennt. Kannst Du kurz den Unterschied zu einem Passwort
beschrieben?

Stefan Reuther

unread,
Mar 15, 2012, 2:05:50 PM3/15/12
to
Michael Mendelsohn wrote:
> Am 14.03.2012 19:16, schrieb Stefan Reuther:
>> Und zum Urheberrecht: wenn $irgendwer dem Major-Label einen MP3-Link auf
>> meinem Webspace zuspielt, kann ich normalerweise sogar den privaten
>> Kontext dazu herstellen. Die Tatsachen, dass das Ding eine mordslange
>> URL hat und auch keine Verzeichnislistings angezeigt werden, stützen
>> jedenfalls nicht die These, dass das ein öffentliches Download-Angebot
>> sei.
>
> Nein, aber die Tatsache, dass du jedermann gegen diese URL den Inhalt
> auslieferst.

Naja, und wo ist der Unterschied, wenn ich jedermann gegen diese
URL+Passwort (einfach kombinierbar in einem String) den Inhalt ausliefere?


Stefan

Jan Völkers

unread,
Mar 15, 2012, 5:01:50 PM3/15/12
to
Juergen schrub:

> Habe letzte Woche gerade zufällig selber feststellen müssen, dass die
> Angabe eines Links in einer "persönlichen" Nachricht (d.h. keine Email,
> aber auch nicht im öffentlichen Teil) bei Facebook an einen anderen
> Nutzer dazu geführt hat, dass Facebook _sofort_ (d.h. schon während
> meines Eintippens der Nachricht!!!) seinen Bot losgeschickt hat, der
> diesen Link sichten wollte.

Bitte? Ist das echt wahr? Das ist ja Gedankenausforschung. *Große Glocke
Bimmel*

Ich habs grad ausprobiert: Da kam nix. Hat der wirklich nach dem Deeplink,
den Du grad tipptest gesucht oder nur auf der Seite rumgewühlt?

Jan

Lars Gebauer

unread,
Mar 16, 2012, 4:01:20 AM3/16/12
to
* Jan Völkers:
> Juergen schrub:
>> Habe letzte Woche gerade zufällig selber feststellen müssen, dass
>> die Angabe eines Links in einer "persönlichen" Nachricht (d.h.
>> keine Email, aber auch nicht im öffentlichen Teil) bei Facebook an
>> einen anderen Nutzer dazu geführt hat, dass Facebook _sofort_ (d.h.
>> schon während meines Eintippens der Nachricht!!!) seinen Bot
>> losgeschickt hat, der diesen Link sichten wollte.
>
> Bitte? Ist das echt wahr?

Ja selbstverständlich. Und: Nichts anderes erwarte ich von Facebook.

> Das ist ja Gedankenausforschung.

Äh. Du vertraust einem fremden Nachrichtenübermittlungssystem
Nachrichten an und erwartest allen Ernstes, daß dieses die technischen
Möglichkeiten nicht nutzt? - Wie naiv ist das?

Arno Welzel

unread,
Mar 17, 2012, 12:50:56 PM3/17/12
to
Helmut Richter, 2012-03-15 18:47:
Ein Passwort ist etwas anderes - so wie ein Schloss an der Tür. Dagegen
ist ein in der Öffentlichkeit abgestellter Gegenstand nicht geheim, nur
weil nicht jeder weiss, wo er genau steht.

Arno Welzel

unread,
Mar 17, 2012, 12:52:49 PM3/17/12
to
Lars Gebauer, 2012-03-15 19:21:
Nein, da man davon ausgehen kann, dass ein Passwort *grundsätzlich*
nicht bekannt ist und eine URL für sich auch technisch keine
Schutzmaßnahme gegen unbefugten Zugriff ist, auch wenn sie "kompliziert"
aussieht.

Arno Welzel

unread,
Mar 17, 2012, 12:54:16 PM3/17/12
to
Dietz Proepper, 2012-03-15 19:34:
Den Zweck.

Lars Gebauer

unread,
Mar 17, 2012, 3:05:31 PM3/17/12
to
* Arno Welzel:
> Lars Gebauer, 2012-03-15 19:21:
>> "Allein die Unkenntnis eines Passwortes bedeutet nicht, dass die
>> Information nicht zugänglich ist."
>>
>> So etwa?
>
> Nein, da man davon ausgehen kann, dass ein Passwort *grundsätzlich*
> nicht bekannt ist und eine URL für sich auch technisch keine
> Schutzmaßnahme gegen unbefugten Zugriff ist, auch wenn sie "kompliziert"
> aussieht.

In beiden Fällen muß dem Benutzer eine mehr oder weniger kryptische
Zeichenfolge bekannt sein. Da gibt es keinen Unterschied.

Lars Gebauer

unread,
Mar 17, 2012, 3:07:06 PM3/17/12
to
* Arno Welzel:
> Dietz Proepper, 2012-03-15 19:34:
>> Arno Welzel wrote:
>>> Dietz Proepper, 2012-03-13 18:07:
>>>> Etwas, das unverlinkt unter domain/cdkcdsa66455bdjshjfsa/ steht ist
>>>> öffentlich? Auch eine Meinung.
>>>
>>> Ja, weil es jeder unter dieser URL abrufen kann.
>>
>> Wenn er die URL kennt. Kannst Du kurz den Unterschied zu einem Passwort
>> beschrieben?
>
> Den Zweck.

Ach, der alte Denkfehler. Dinge haben keinen Zweck. Es ist der Mensch,
der ihnen einen Zweck gibt.

Martin Schoenbeck

unread,
Mar 17, 2012, 3:51:34 PM3/17/12
to
Hallo Arno,

Arno Welzel schrieb:

> Helmut Richter, 2012-03-15 18:47:
>
>> On Thu, 15 Mar 2012, Arno Welzel wrote:
>>
>>> Ja, weil es jeder unter dieser URL abrufen kann. Allein die Unkenntnis
>>> einer URL bedeutet nicht, dass die Information nicht zugänglich ist.
>>
>> Und die Unkenntnis eines Passworts?
>
> Ein Passwort ist etwas anderes - so wie ein Schloss an der Tür. Dagegen
> ist ein in der Öffentlichkeit abgestellter Gegenstand nicht geheim, nur
> weil nicht jeder weiss, wo er genau steht.

Ein Schloß an der Tür ist geheim? Dein Vergleich hinkt ja an allen Ecken
und Kanten. Entscheidend ist doch die Frage, unter welchen Umständen jemand
Zugriff bekommt. Und in beiden Fällen, beim Paßwort ebenso wie bei einem
nicht ohne weiteres erratbaren Link muß er die genaue Kenntnis einer
bestimmten Zeichenfolge haben, um an die Datei zu kommen. Ansonsten kommt
er nicht dran. Solange also diese Zeichenfolge vor ihm geheimgehalten wird,
kommt er schlicht an die Datei nicht dran. Wenn Du also unbedingt einen
Vergleich mit Schlüsseln machen willst, dann nimm einen Gegenstand, der in
einem verschlossenen Raum steht. Im einen Fall weißt Du, wo der Gegenstand
steht, hast aber keinen Schlüssel, um den Raum zu öffnen, im anderen Fall
hast Du ein riesiges Schlüsselbund mit allen Schlüsseln, die es in
Deutschland gibt, Du weißt aber nicht, hinter welcher Tür der Gegenstand
steht.

Gruß Martin
--
Bitte nicht an der E-Mail-Adresse fummeln, die paßt so.

Hans-Peter Diettrich

unread,
Mar 17, 2012, 4:07:01 PM3/17/12
to
Arno Welzel schrieb:
> Dietz Proepper, 2012-03-15 19:34:
>
>> Arno Welzel wrote:
>>
>>> Dietz Proepper, 2012-03-13 18:07:
>>>
>>>> Michael Mendelsohn wrote:
>>>>
>>>>> Am 13.03.2012 13:26, schrieb Juergen:
>>>>>> Am 13.03.2012 08:29, schrieb Michael Mendelsohn:
>>>>>>> Ich h�tte jetzt erwartet, dass du ein Bild von deinem Impressum (z.B.
>>>>>>> Screenshot, oder Text auf ein Foto mit Paint) einbinden kannst.
>>>>>> Warum? Impressum ist nur f�r die "�ffentlichkeit", die hier nicht
>>>>>> vorhanden ist.
>>>>> Wenn man was ohne Passwort ins WWW stellt, ist es _�ffentlich_.
>>>> Etwas, das unverlinkt unter domain/cdkcdsa66455bdjshjfsa/ steht ist
>>>> �ffentlich? Auch eine Meinung.
>>> Ja, weil es jeder unter dieser URL abrufen kann.
>> Wenn er die URL kennt. Kannst Du kurz den Unterschied zu einem Passwort
>> beschrieben?
>
> Den Zweck.

Impliziert der Zweck irgendwelche Restriktionen bez�glich der Weitergabe
einer URL bzw. eines Pa�wortes? Beide k�nnen ja einem Empf�nger unter
Ausschlu� einer Weitergabe bekannt gemacht werden.

DoDi

Hans-Peter Diettrich

unread,
Mar 17, 2012, 10:58:13 PM3/17/12
to
Hans-Peter Diettrich schrieb:

>>> Wenn er die URL kennt. Kannst Du kurz den Unterschied zu einem
>>> Passwort beschrieben?
>>
>> Den Zweck.
>
> Impliziert der Zweck irgendwelche Restriktionen bezüglich der Weitergabe
> einer URL bzw. eines Paßwortes? Beide können ja einem Empfänger unter
> Ausschluß einer Weitergabe bekannt gemacht werden.

Nachtrag: läßt sich die Schloß/Schlüssel Analogie überhaupt vom
materiellen auf immaterielles Recht übertragen?

Im UrhG werden ja *wirksame* Schutzmechanismen besonders geschützt, das
läßt sich aber IMO nicht einfach auf Paßworte übertragen - die sind für
sich alleine kaum *wirksam*. Siehe auch die längliche Diskussion, ob der
low-level Zugang zu den Daten einer logisch gelöschten Datei *rechtlich*
als un/befugte Verwendung zu werten ist. Bzw. den Vorgänger dazu, ob die
Weitergabe von Medien (Video-Bändern) gestattet ist, wenn diese noch
Werke enthalten.

DoDi

Michael Mendelsohn

unread,
Mar 18, 2012, 6:40:17 PM3/18/12
to
§ 202a StGB (Ausspähen von Daten)
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für
ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert
sind, unter Überwindung der Zugangssicherung verschafft, wird mit
Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Die Vergabe eines Passwortes ist wohl allgemein als "besondere
Sicherung" akzeptiert. Aber ob das auch für eine passwortähnliche URLs
gilt? Solange der Gesetzgeber "Zugang" und "Sicherung" begrifflich
trennt, wird es schwierig, zu argumentieren, man habe den "Zugang" zur
langen URL gesichert, wenn der Zugang allein schon durch die Kenntnis
ermöglicht wird, wo die "Tür" ist - es gibt keine Begrifflichen
Unterschied zwischen Tür und Schloß.

http://www.mediendelikte.de/bt202a.htm
"Insbesondere durch die Verschlüsselung seiner Daten bringt der
Berechtigte zum Ausdruck, dass ein unbeschränkter Zugriff unerwünscht
ist. Gleiches gilt für Firewalls, Logins, Passwörter, IP-Checks, usw."

http://www.internet-strafrecht.com/zur-zugangssicherung-im-rahmen-des-§202a-stgb/internet-strafrecht/internetstrafrecht/
"Vielmehr ist bei der Frage nach einer Zugangssicherung auf zwei
Elemente abzustellen: Getroffene Vorkehrungen müssen
* objektiv geeignet und
* subjektiv bestimmt sein
den Zugang zu den betroffenen Daten nicht nur unerheblich zu erschweren.
Sofern es sich, wie hier, alleine um eine Form der Speicherung handelt,
wird man schon die subjektive Bestimmung, also den Willen der besonderen
Sicherung, verneinen müssen. Dabei ist die subjektive Komponente
wiederum geteilt: Einerseits muss die Sicherung gerade dazu genutzt
werden, zum anderen muss dieser Wille auch objektiv erkennbar sein."

Wie soll an der Struktur einer URL der Wille zur Zuganssicherung
erkennbar sein, wenn automatisierte Content-Management-Systeme
vergleichbar komplexe URLs für ungesicherte Dokumente generieren?

Hat schonmal ein Content-Provider die Weitergabe eines Downloadlinks in
Deutschland strafrechtlich verfolgen lassen?

Michael Mendelsohn

unread,
Mar 18, 2012, 6:50:45 PM3/18/12
to
Am 18.03.2012 23:40, schrieb Michael Mendelsohn:
> Die Vergabe eines Passwortes ist wohl allgemein als "besondere
> Sicherung" akzeptiert. Aber ob das auch für eine passwortähnliche URLs
> gilt? Solange der Gesetzgeber "Zugang" und "Sicherung" begrifflich
> trennt, wird es schwierig, zu argumentieren, man habe den "Zugang" zur
> langen URL gesichert, wenn der Zugang allein schon durch die Kenntnis
> ermöglicht wird, wo die "Tür" ist - es gibt keine Begrifflichen
> Unterschied zwischen Tür und Schloß.

Um das noch einmal auf den Punkt zu bringen:
bei jeder anderen Zugangsmethode kann man sagen, "hier sind die Daten,
und das ist der Punkt, wo du als unbefugter Nutzer nicht weiterkommst":
da, wo ein Passwort verlangt wird, ein kryptografischer Schlüssel
erforderlich ist, etc.

Bei der URL-Sicherung gibt es kein "Zugang verboten", keinen Punkt, an
dem die Sicherung greift: immer, wenn man auf die Daten zugreifen
möchte, kann man es.

Lars Gebauer

unread,
Mar 19, 2012, 4:03:19 AM3/19/12
to
* Michael Mendelsohn:
> Bei der URL-Sicherung gibt es kein "Zugang verboten", keinen Punkt, an
> dem die Sicherung greift: immer, wenn man auf die Daten zugreifen
> m�chte, kann man es.

Das setzt voraus, da� Du den URL kennst. Genau das ist aber nicht der Fall.

Michael Mendelsohn

unread,
Mar 19, 2012, 5:23:39 AM3/19/12
to
Am 19.03.2012 09:03, schrieb Lars Gebauer:
> * Michael Mendelsohn:
>> Bei der URL-Sicherung gibt es kein "Zugang verboten", keinen Punkt, an
>> dem die Sicherung greift: immer, wenn man auf die Daten zugreifen
>> möchte, kann man es.
>
> Das setzt voraus, daß Du den URL kennst. Genau das ist aber nicht der Fall.

Kennst du einen Präzedenzfall, wo ein Gericht sowas als Zugangssicherung
anerkannt hat?

Lars Gebauer

unread,
Mar 19, 2012, 6:33:49 AM3/19/12
to
* Michael Mendelsohn:
> Am 19.03.2012 09:03, schrieb Lars Gebauer:
>> * Michael Mendelsohn:
>>> Bei der URL-Sicherung gibt es kein "Zugang verboten", keinen Punkt, an
>>> dem die Sicherung greift: immer, wenn man auf die Daten zugreifen
>>> möchte, kann man es.
>>
>> Das setzt voraus, daß Du den URL kennst. Genau das ist aber nicht der Fall.
>
> Kennst du einen Präzedenzfall, wo ein Gericht sowas als Zugangssicherung
> anerkannt hat?

Nein. Ich kenne auch keinen, wo so etwas nicht als Zugangssicherung
anerkannt wurde.

(Was tut das zur Sache?)
(In D gibt es - in diesem Sinne - keine Präzedenzfälle. Diese finden
sich eher im common law.)

Helmut Richter

unread,
Mar 19, 2012, 6:37:44 AM3/19/12
to
On Sun, 18 Mar 2012, Michael Mendelsohn wrote:

> Wie soll an der Struktur einer URL der Wille zur Zuganssicherung erkennbar
> sein, wenn automatisierte Content-Management-Systeme vergleichbar komplexe
> URLs für ungesicherte Dokumente generieren?

Obwohl ich anfangs dieselbe Frage hatte (Unterschied kryptischer URL vs.
Passwort), erscheint mir das einleuchtend. Die objektive Hürde mag
vergleichbar hoch sein, aber der Wille zur Zugangssicherung ist eindeutig
bei einem Passwort eher erkennbar. Gilt das dann auch für Session-Ids, die
Bestandteil von URLs werden? Hier ist doch die Absicht eindeutig, den
weiteren Zugang nur dem zu ermöglichen, der die Id zurückbekommen hat.
Aber m.E. ist es nicht Aufgabe des Benutzers, sich über den Sinn von
kryptischen Zeichenfolgen Gedanken zu machen.

--
Helmut Richter

Lars Gebauer

unread,
Mar 19, 2012, 7:22:33 AM3/19/12
to
* Michael Mendelsohn:
> Wie soll an der Struktur einer URL der Wille zur Zuganssicherung
> erkennbar sein, wenn automatisierte Content-Management-Systeme
> vergleichbar komplexe URLs für ungesicherte Dokumente generieren?

An der Struktur? - Gar nicht.

Ein Dokument, welches für die allgemeine Öffentlichkeit bestimmt ist,
ist über die Startseite, das Inhaltsverzeichnis, die interne Suche usw.
usf. auffindbar.

Fehlt all das, dann ist das Dokument offensichtlich nicht für die
allgemeine Öffentlichkeit gedacht.

Wolfgang Krietsch

unread,
Mar 19, 2012, 7:45:07 AM3/19/12
to
Michael Mendelsohn wrote:

>
>Kennst du einen Pr�zedenzfall, wo ein Gericht sowas als Zugangssicherung
>anerkannt hat?

Kennst du einen Pr�zedenzfall, wo ein Gericht sowas als Zugangssicherung
*nicht* anerkannt hat?

Michael Mendelsohn

unread,
Mar 19, 2012, 8:04:26 AM3/19/12
to
Am 19.03.2012 12:45, schrieb Wolfgang Krietsch:
> Michael Mendelsohn wrote:
>
>>
>> Kennst du einen Präzedenzfall, wo ein Gericht sowas als Zugangssicherung
>> anerkannt hat?
>
> Kennst du einen Präzedenzfall, wo ein Gericht sowas als Zugangssicherung
> *nicht* anerkannt hat?

Ja, das würde auch schon reichen.

Michael Mendelsohn

unread,
Mar 19, 2012, 8:11:40 AM3/19/12
to
Wenn ich von einem Freund eine URL zugemailt bekomme/im Blog verlinkt
sehe/etc., muss ich also erst per Startseite/Suchmaschine/etc.
überprüfen, ob es eine Weg zu dem verlinkten Dokument gibt, dessen
Inhalt ich nicht einmal kenne, bevor ich entscheiden kann, ob ich befugt
bin, den Link aufzurufen? denn andernfalls könnte ich mich strafbar machen?

Das erscheint mir nicht praxisgerecht.

Beim Passwort sieht die Sache anders aus: bekomme ich zu der URL das
Passwort eines Dritten, würde ich zunächst davon ausgehen, dass mich das
Passwort nicht selbst zum Zugang berechtigt, und über die Startseite
weiter Informationen einzuholen versuchen.

Michael Mendelsohn

unread,
Mar 19, 2012, 8:19:16 AM3/19/12
to
Bei guten Systemen sind Session-IDs dann ja auch nicht dauerhaft gültig,
und evtl. mit der IP-Adresse verknüpft.

Immerhin kann man hier einfach die Session-ID aus der URL löschen, um
festzustellen, ob das Dokument öffentlich ist oder nicht.

Dietz Proepper

unread,
Mar 19, 2012, 8:21:58 AM3/19/12
to
Michael Mendelsohn wrote:

> Am 19.03.2012 09:03, schrieb Lars Gebauer:
>> * Michael Mendelsohn:
>>> Bei der URL-Sicherung gibt es kein "Zugang verboten", keinen Punkt, an
>>> dem die Sicherung greift: immer, wenn man auf die Daten zugreifen
>>> möchte, kann man es.
>>
>> Das setzt voraus, daß Du den URL kennst. Genau das ist aber nicht der Fall.
>
> Kennst du einen Präzedenzfall, wo ein Gericht sowas als Zugangssicherung
> anerkannt hat?

Äh, ja. In eigentlich jedem Fall, in dem ein Passwort im Spiel war z.B.

Glaub's oder lass' es sein - eine URL der genannten Art,
http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa *ist* ein Passwort. Und selbst
Konfigurationsfehler, wie z.B. listbare Verzeichnisse, dürften kein Recht
etablieren, auf offensichtlich vor Zugriff geschützte Daten zuzugreifen.

Mich würde auch interessieren, ob der Fall dass z.B. Facepalm auf eine
entsprechende URL, die zusätzlich noch per robots.txt deny'ed ist zugreift
(natürlich nicht über Disallow: geheime_url, sondern Disallow: / "gesperrt"),
unter StGB 202a, Ausspähen von Daten, fällt.

Der Zugriff erfolgt unzweideutig unbefugt (das könnte Facepalm auch wissen,
robots.txt), die Daten sind nicht für Facepalm bestimmt. Zugriff kann Facepalm
nur nehmen, wenn sie die besondere Sicherung gegen unberechtigte Zugriffe
umgehen, z.B. weil ihnen ein Dritter das Passwort verraten hat.

Lars Gebauer

unread,
Mar 19, 2012, 9:03:32 AM3/19/12
to
* Michael Mendelsohn:
> Am 19.03.2012 12:22, schrieb Lars Gebauer:
>> * Michael Mendelsohn:
>>> Wie soll an der Struktur einer URL der Wille zur Zuganssicherung
>>> erkennbar sein, wenn automatisierte Content-Management-Systeme
>>> vergleichbar komplexe URLs f�r ungesicherte Dokumente generieren?
>>
>> An der Struktur? - Gar nicht.
>>
>> Ein Dokument, welches f�r die allgemeine �ffentlichkeit bestimmt ist,
>> ist �ber die Startseite, das Inhaltsverzeichnis, die interne Suche usw.
>> usf. auffindbar.
>>
>> Fehlt all das, dann ist das Dokument offensichtlich nicht f�r die
>> allgemeine �ffentlichkeit gedacht.
>
> Wenn ich von einem Freund eine URL zugemailt bekomme/im Blog verlinkt
> sehe/etc., muss ich also erst per Startseite/Suchmaschine/etc.
> �berpr�fen, ob es eine Weg zu dem verlinkten Dokument gibt, dessen
> Inhalt ich nicht einmal kenne, bevor ich entscheiden kann, ob ich befugt
> bin, den Link aufzurufen?

Du "mu�t" �berhaupt nichts.

> denn andernfalls k�nnte ich mich strafbar machen?

"K�nnte", na ja. Du k�nntest genauso gut auch in gutem Glauben handeln.
Es k�me im Falle des Falles auf den Kontext an.

> Das erscheint mir nicht praxisgerecht.

Mir schon. Ausgehend von der simplen Tatsache, da� es im Leben eine
Menge rechtlicher Stolperfallen gibt.

> Beim Passwort sieht die Sache anders aus: bekomme ich zu der URL das
> Passwort eines Dritten, w�rde ich zun�chst davon ausgehen, dass mich das
> Passwort nicht selbst zum Zugang berechtigt, und �ber die Startseite
> weiter Informationen einzuholen versuchen.

Ein ver�ffentlichtes Passwort berechtigt Dich nicht zum Zugang? - Du
konstruierst hier einen Unterschied, der keiner ist.

Dietz Proepper

unread,
Mar 19, 2012, 9:01:57 AM3/19/12
to
Michael Mendelsohn wrote:

> Am 19.03.2012 12:22, schrieb Lars Gebauer:
>> Fehlt all das, dann ist das Dokument offensichtlich nicht f�r die
>> allgemeine �ffentlichkeit gedacht.
>
> Wenn ich von einem Freund eine URL zugemailt bekomme/im Blog verlinkt
> sehe/etc., muss ich also erst per Startseite/Suchmaschine/etc.
> �berpr�fen, ob es eine Weg zu dem verlinkten Dokument gibt, dessen
> Inhalt ich nicht einmal kenne, bevor ich entscheiden kann, ob ich befugt
> bin, den Link aufzurufen? denn andernfalls k�nnte ich mich strafbar machen?

Wenn Dir ein Freund eine Benutzername/Passwort-Kombination mailt dann darfst
Du diese ggf. auch nicht verwenden.
Wenn Dir ein Freund ein Bild mailt erwirbst Du damit nicht automatisch Rechte
zur Ver�ffentlichung des Bilds.

> Das erscheint mir nicht praxisgerecht.

Das interessiert erstmal nicht.

> Beim Passwort sieht die Sache anders aus:

Das ist Deine ganz pers�nliche Wahrnehmung.
--
Wir ziehen in den Krieg, wir brauchen was zum schie�en.

Helmut Hullen

unread,
Mar 19, 2012, 9:23:00 AM3/19/12
to
Hallo, Dietz,

Du meintest am 19.03.12:

>> Kennst du einen Pr�zedenzfall, wo ein Gericht sowas als
>> Zugangssicherung anerkannt hat?

> �h, ja. In eigentlich jedem Fall, in dem ein Passwort im Spiel war
> z.B.

> Glaub's oder lass' es sein - eine URL der genannten Art,
> http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa *ist* ein Passwort.

Und wie ist das z.B. mit

http://www.spiegel.de/sport/fussball/0,1518,255420,00.html

Viele Gruesse!
Helmut

Helmut Richter

unread,
Mar 19, 2012, 10:13:16 AM3/19/12
to
On Mon, 19 Mar 2012, Lars Gebauer wrote:

> Ein ver�ffentlichtes Passwort berechtigt Dich nicht zum Zugang? - Du
> konstruierst hier einen Unterschied, der keiner ist.

Jemand, der auf legalen oder illegalen Wege Kenntnis vom Passwort erlangt
hat, kann es nat�rlich ver�ffentlichen und damit beliebigen Dritten den
Zugang *erm�glichen*. Aber hat er sie dadurch zum Zugang *berechtigt*?

Und das k�nnte -- so die Diskussion in diesem Thread -- bei der Kenntnis
eines URLs grunds�tzlich anders sein.

--
Helmut Richter

Lars Gebauer

unread,
Mar 19, 2012, 10:33:16 AM3/19/12
to
* Helmut Richter:
> On Mon, 19 Mar 2012, Lars Gebauer wrote:
>> Ein ver�ffentlichtes Passwort berechtigt Dich nicht zum Zugang? - Du
>> konstruierst hier einen Unterschied, der keiner ist.
>
> Jemand, der auf legalen oder illegalen Wege Kenntnis vom Passwort erlangt
> hat, kann es nat�rlich ver�ffentlichen und damit beliebigen Dritten den
> Zugang *erm�glichen*. Aber hat er sie dadurch zum Zugang *berechtigt*?

Schon klar. Aber bei einem URL - speziell einem "Deep-Link" - ist das
doch grunds�tzlich genau so.

> Und das k�nnte -- so die Diskussion in diesem Thread -- bei der Kenntnis
> eines URLs grunds�tzlich anders sein.

Warum? Was ist mit ftp://user:pa...@ftp.example.org? - Ich bin mir
ziemlich sicher, da� der "gew�hnliche Benutzer" keine 2 Sek. dar�ber
nachdenkt. Wenn er es �berhaupt bemerkt. Abgesehen davon, da� man es
noch mit einem URL-Verk�rzer verschleiern k�nnte.

ftp://user:pa...@ftp.example.org

vs.

ftp://ftp.example.org/userpass

Ich mu� in beiden F�llen "user" und "pass" kennen. Oder ich bekomme eben
keinen Zugriff.

Helmut Richter

unread,
Mar 19, 2012, 11:14:25 AM3/19/12
to
On Mon, 19 Mar 2012, Lars Gebauer wrote:

> * Helmut Richter:

> > Jemand, der auf legalen oder illegalen Wege Kenntnis vom Passwort erlangt
> > hat, kann es natᅵrlich verᅵffentlichen und damit beliebigen Dritten den
> > Zugang *ermᅵglichen*. Aber hat er sie dadurch zum Zugang *berechtigt*?
>
> Schon klar. Aber bei einem URL - speziell einem "Deep-Link" - ist das
> doch grundsᅵtzlich genau so.

Das ist auch eine interessante Frage: hat ein Webseitenbetreiber ein Recht
darauf, dass ein URL nur von ihm weitergegeben wird?

Beispiel: Jemand richtet eine Seite ein und teilt einigen Bekannten den
URL mit (z.B. ich vor einigen Jahren mit Urlaubsfotos in
http://www.lrz.de/~hr/buidln_fr/). Die Dinger sind aber nicht verlinkt.
Wenn nun der Mail-Provider, der zugleich Suchmaschinen-Betreiber ist, die
E-Mail mitliest und verwertet: darf er das?

ᅵbrigens: die zitierte Seite ist seit 2008 online und anscheinend von
Google noch nicht erfasst. Kann sich jetzt natᅵrlich ᅵndern.

--
Helmut Richter

Michael Mendelsohn

unread,
Mar 19, 2012, 11:24:36 AM3/19/12
to
Am 19.03.2012 14:01, schrieb Dietz Proepper:
> Michael Mendelsohn wrote:
>
>> Am 19.03.2012 12:22, schrieb Lars Gebauer:
>>> Fehlt all das, dann ist das Dokument offensichtlich nicht für die
>>> allgemeine Öffentlichkeit gedacht.
>>
>> Wenn ich von einem Freund eine URL zugemailt bekomme/im Blog verlinkt
>> sehe/etc., muss ich also erst per Startseite/Suchmaschine/etc.
>> überprüfen, ob es eine Weg zu dem verlinkten Dokument gibt, dessen
>> Inhalt ich nicht einmal kenne, bevor ich entscheiden kann, ob ich befugt
>> bin, den Link aufzurufen? denn andernfalls könnte ich mich strafbar machen?
>
> Wenn Dir ein Freund eine Benutzername/Passwort-Kombination mailt dann darfst
> Du diese ggf. auch nicht verwenden.
> Wenn Dir ein Freund ein Bild mailt erwirbst Du damit nicht automatisch Rechte
> zur Veröffentlichung des Bilds.

Das ist alles offensichtlich.

Was nicht offensichtlich ist, wäre, dass ich bei deiner Auslegung u.U.,
nicht mal das Recht hätte, auf einen passwortfreien Link zu klicken, der
mir übermittelt wurde.

Michael Mendelsohn

unread,
Mar 19, 2012, 11:33:46 AM3/19/12
to
Am 19.03.2012 15:33, schrieb Lars Gebauer:
> * Helmut Richter:
>> On Mon, 19 Mar 2012, Lars Gebauer wrote:
>>> Ein veröffentlichtes Passwort berechtigt Dich nicht zum Zugang? - Du
>>> konstruierst hier einen Unterschied, der keiner ist.
>>
>> Jemand, der auf legalen oder illegalen Wege Kenntnis vom Passwort erlangt
>> hat, kann es natürlich veröffentlichen und damit beliebigen Dritten den
>> Zugang *ermöglichen*. Aber hat er sie dadurch zum Zugang *berechtigt*?

Es muss ja nicht einmal eine Veröffentlichung sein.
Privat weitergeben langt schon.


> Schon klar. Aber bei einem URL - speziell einem "Deep-Link" - ist das
> doch grundsätzlich genau so.

Schöner Begriff, Deep-Links sind ja nun erlaubt und nicht verboten, auch
wenn der deepverlinkte Website-Betreiber das nicht so wollte.



>> Und das könnte -- so die Diskussion in diesem Thread -- bei der Kenntnis
>> eines URLs grundsätzlich anders sein.
>
> Warum? Was ist mit ftp://user:pa...@ftp.example.org? - Ich bin mir
> ziemlich sicher, daß der "gewöhnliche Benutzer" keine 2 Sek. darüber
> nachdenkt. Wenn er es überhaupt bemerkt. Abgesehen davon, daß man es
> noch mit einem URL-Verkürzer verschleiern könnte.
> Ich muß in beiden Fällen "user" und "pass" kennen. Oder ich bekomme eben
> keinen Zugriff.

Der Unterschied ist, dass ich nach Entfernen von "user:pass@" sehr genau
feststellen kann, ob die Ressource öffentlich ist oder nicht. Bei der
Variante mit dem Passwort im Pfad der URL geht das nicht.

De Pfad ist technisch dazu gedacht, die Ressource aufzufinden, und nicht
dazu, den Zugang zu kontrollieren.

Dietz Proepper

unread,
Mar 19, 2012, 11:57:08 AM3/19/12
to
Michael Mendelsohn wrote:

> Am 19.03.2012 14:01, schrieb Dietz Proepper:
>> Michael Mendelsohn wrote:
>>
>>> Am 19.03.2012 12:22, schrieb Lars Gebauer:
>>>> Fehlt all das, dann ist das Dokument offensichtlich nicht für die
>>>> allgemeine Öffentlichkeit gedacht.
>>>
>>> Wenn ich von einem Freund eine URL zugemailt bekomme/im Blog verlinkt
>>> sehe/etc., muss ich also erst per Startseite/Suchmaschine/etc.
>>> überprüfen, ob es eine Weg zu dem verlinkten Dokument gibt, dessen
>>> Inhalt ich nicht einmal kenne, bevor ich entscheiden kann, ob ich befugt
>>> bin, den Link aufzurufen? denn andernfalls könnte ich mich strafbar
>>> machen?
>>
>> Wenn Dir ein Freund eine Benutzername/Passwort-Kombination mailt dann
>> darfst Du diese ggf. auch nicht verwenden.
>> Wenn Dir ein Freund ein Bild mailt erwirbst Du damit nicht automatisch
>> Rechte zur Veröffentlichung des Bilds.
>
> Das ist alles offensichtlich.

Dein Freund hat in beiden Fällen vorgegeben, die entsprechenden Rechte
besessen und Dir übertragen zu haben. Und schon war's das mit der
Offensichtlichkeit.

> Was nicht offensichtlich ist, wäre, dass ich bei deiner Auslegung u.U.,
> nicht mal das Recht hätte, auf einen passwortfreien Link zu klicken, der
> mir übermittelt wurde.

Du darfst natürlich drauf klicken. Ob Du aber den Link, so Du eine
Suchmaschine bist und ihn von Dritten erhalten hast ebenfalls speichern und
weitergeben darfst ist eine komplett andere Frage.

Zumindest ich war weiter oben von dem Fall, mit passender robots.txt, der
Indizierung durch Google- oder Facepalm ausgegangen.
--
Wir ziehen in den Krieg, wir brauchen was zum schießen.

Dietz Proepper

unread,
Mar 19, 2012, 12:10:19 PM3/19/12
to
Michael Mendelsohn wrote:

["Passwort-URL"]
> De Pfad ist technisch dazu gedacht, die Ressource aufzufinden, und nicht
> dazu, den Zugang zu kontrollieren.

Was Techniker immer denken...

Die Behauptung, dass ein Uniform Ressource Locator natürlich vordergründig
dazu dient, eine Ressource zu benennen ist schon richtig.

Dummerweise ist aber eine URI der Form http://user:pa...@dom.ain/ allerdings
ebenfalls eine URL, womit Deine Ansage, eine URL bezeichne offensichtlich eine
öffentliche Information auf zunehmend tönernen Füßen steht.

Es geht ja auch niemandem darum, das Klicken zu verbieten.

Die Diskussion begann iirc mit der Frage, wann ein Impressum nötig wird. Wenn
wir annehmen, dass dies nur im Fall einer "öffentlichen" Präsenz nötig wird
dann ist eigentlich offensichtlich, dass eine "private" Verbreitung gerade
eben kein Impressum bedingt.

Bei Weiterungen, wie der öffentlichen Nennung der URL und dem nachfolgenden
Auftauchen in Suchmaschinen oder Facepalm hätte ich schon angenommen, dass bei
entsprechenden Umständen (robots.txt z.B.) Google und Facepalm ihre dreckerten
Griffel gefälligst von den Daten zu lassen haben.

Martin Schoenbeck

unread,
Mar 19, 2012, 12:33:09 PM3/19/12
to
Hallo Helmut,

Helmut Richter schrieb:

> Beispiel: Jemand richtet eine Seite ein und teilt einigen Bekannten den
> URL mit (z.B. ich vor einigen Jahren mit Urlaubsfotos in
> http://www.lrz.de/~hr/buidln_fr/). Die Dinger sind aber nicht verlinkt.
> Wenn nun der Mail-Provider, der zugleich Suchmaschinen-Betreiber ist, die
> E-Mail mitliest und verwertet: darf er das?

Klares Nein.

> Übrigens: die zitierte Seite ist seit 2008 online und anscheinend von
> Google noch nicht erfasst. Kann sich jetzt natürlich ändern.

Aber nur, weil Du den Link veröffentlicht hast. Eine E-Mail allein wäre
dafür nicht hinreichend.

Stefan Reuther

unread,
Mar 19, 2012, 1:02:12 PM3/19/12
to
Helmut Hullen wrote:
>>>Kennst du einen Präzedenzfall, wo ein Gericht sowas als
>>>Zugangssicherung anerkannt hat?
>
>>Äh, ja. In eigentlich jedem Fall, in dem ein Passwort im Spiel war
>>z.B.
>
>>Glaub's oder lass' es sein - eine URL der genannten Art,
>>http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa *ist* ein Passwort.
>
> Und wie ist das z.B. mit
>
> http://www.spiegel.de/sport/fussball/0,1518,255420,00.html

Die ist aller Wahrscheinlichkeit nach auf
<http://www.spiegel.de/sport/fussball/> verlinkt, welche wiederum über
<http://www.spiegel.de/sport/> und <http://www.spiegel.de/> erreichbar ist.

<http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa> ist hingegen von
<http://dom.ain/> aus höchstwahrscheinlich nicht verlinkt.


Stefan

Lars Gebauer

unread,
Mar 19, 2012, 1:34:22 PM3/19/12
to
* Michael Mendelsohn:
> De Pfad ist technisch dazu gedacht, die Ressource aufzufinden, und nicht
> dazu, den Zugang zu kontrollieren.

"dazu gedacht" - genau das ist das Problem. "Jemand" hat sich was dabei
gedacht. Aber das ist völlig irrelevant, wenn sich jemand Anderes eben
etwas Anderes dabei denkt.

JFTR: Dinge (auch URLs) haben keinen Zweck. Der Mensch gibt ihnen einen
Zweck. Und das ist nicht zwangsläufig der Zweck, den sich der Erschaffer
"gedacht" hat.

Lars Gebauer

unread,
Mar 19, 2012, 1:49:49 PM3/19/12
to
* Helmut Richter:
> On Mon, 19 Mar 2012, Lars Gebauer wrote:
>> * Helmut Richter:
>>> Jemand, der auf legalen oder illegalen Wege Kenntnis vom Passwort erlangt
>>> hat, kann es natürlich veröffentlichen und damit beliebigen Dritten den
>>> Zugang *ermöglichen*. Aber hat er sie dadurch zum Zugang *berechtigt*?
>>
>> Schon klar. Aber bei einem URL - speziell einem "Deep-Link" - ist das
>> doch grundsätzlich genau so.
>
> Das ist auch eine interessante Frage: hat ein Webseitenbetreiber ein Recht
> darauf, dass ein URL nur von ihm weitergegeben wird?

Natürlich nicht.

> Beispiel: Jemand richtet eine Seite ein und teilt einigen Bekannten den
> URL mit (z.B. ich vor einigen Jahren mit Urlaubsfotos in
> http://www.lrz.de/~hr/buidln_fr/). Die Dinger sind aber nicht verlinkt.
> Wenn nun der Mail-Provider, der zugleich Suchmaschinen-Betreiber ist, die
> E-Mail mitliest und verwertet: darf er das?

Wenn es ein Angebot ist, welches sich nicht an eine allgemeine
Öffentlichkeit gerichtet hat ...

Im konkreten Fall hast Du *jetzt* den URL gegenüber einer allgemeinen
Öffentlichkeit preisgegeben. Aber bis "jetzt" wäre es mir schwer
gefallen, die Bilder zu finden. Einem Dritten vermutlich auch. (Mal den
Fall außen vor gelassen, daß sich Dir jemand gezielt angenommen hätte
und wirklich hartnäckig nach den Bildern gesucht hätte.)

Ich gehe davon aus, daß ein daß ein Angebot, welches sich an die
allgemeine Öffentlichkeit richtet, über die Startseite, das
Inhaltsverzeichnis, die interne Suchfunktion usw. usf. zugänglich ist
oder eben vom Berechtigten gezielt veröffentlicht wird. (So wie Du
jetzt.) Alle anderen Angebote würde ich nicht als "öffentlich" bezeichnen.

Dietz Proepper

unread,
Mar 19, 2012, 1:50:49 PM3/19/12
to
Martin Schoenbeck wrote:

> Hallo Helmut,
>
> Helmut Richter schrieb:
>
>> Beispiel: Jemand richtet eine Seite ein und teilt einigen Bekannten den
>> URL mit (z.B. ich vor einigen Jahren mit Urlaubsfotos in
>> http://www.lrz.de/~hr/buidln_fr/). Die Dinger sind aber nicht verlinkt.
>> Wenn nun der Mail-Provider, der zugleich Suchmaschinen-Betreiber ist, die
>> E-Mail mitliest und verwertet: darf er das?
>
> Klares Nein.

Für .de? Ack. Für .us? Kaum. Facepalm ignoriert angeblich inzwischen sogar
robots.txt...

Helmut Hullen

unread,
Mar 19, 2012, 2:04:00 PM3/19/12
to
Hallo, Stefan,

Du meintest am 19.03.12:

>>> Glaub's oder lass' es sein - eine URL der genannten Art,
>>> http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa *ist* ein Passwort.

>> Und wie ist das z.B. mit
>>
>> http://www.spiegel.de/sport/fussball/0,1518,255420,00.html

> Die ist aller Wahrscheinlichkeit nach auf
> <http://www.spiegel.de/sport/fussball/> verlinkt, welche wiederum
> über <http://www.spiegel.de/sport/> und <http://www.spiegel.de/>
> erreichbar ist.

> <http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa> ist hingegen von
> <http://dom.ain/> aus höchstwahrscheinlich nicht verlinkt.

Wo ist der inhaltliche Unterschied zwischen "0,1518,255420,00.html" und
"cbdsvcs6s6fds76fnbcdkjsa"?

Ok - mit der Dateiendung "*.html" können die allermeisten Browser etwas
anfangen. Aber einige sind da nicht sonderlich pingelig. Der Rest: in
beiden Fällen Salat. Im zweiten Fall mit Buchstaben vermatscht.

Viele Gruesse!
Helmut

Stefan Reuther

unread,
Mar 19, 2012, 2:47:23 PM3/19/12
to
Helmut Hullen wrote:
>>>>Glaub's oder lass' es sein - eine URL der genannten Art,
>>>>http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa *ist* ein Passwort.
>
>>>Und wie ist das z.B. mit
>>>
>>> http://www.spiegel.de/sport/fussball/0,1518,255420,00.html
>
>>Die ist aller Wahrscheinlichkeit nach auf
>><http://www.spiegel.de/sport/fussball/> verlinkt, welche wiederum
>>über <http://www.spiegel.de/sport/> und <http://www.spiegel.de/>
>>erreichbar ist.
>
>><http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa> ist hingegen von
>><http://dom.ain/> aus höchstwahrscheinlich nicht verlinkt.
>
> Wo ist der inhaltliche Unterschied zwischen "0,1518,255420,00.html" und
> "cbdsvcs6s6fds76fnbcdkjsa"?

Dass das eine irgendwo als Link veröffentlicht ist, und das andere
nicht. (Schrieb ich übrigens bereits.)

Dass es in beiden Fällen Buchstabensuppe ist, ist nebensächlich. Auch
"correct horse battery staple" wäre ein tolles Passwort,
"http://example.com/correct_horse_battery_staple/" demzufolge auch, wenn
es nicht schon so weit veröffentlich worden wäre.

> Ok - mit der Dateiendung "*.html" können die allermeisten Browser etwas
> anfangen.

Anständige Browser interessieren sich bei HTTP-Objekten nicht für
Dateiendungen.


Stefan

Michael Mendelsohn

unread,
Mar 19, 2012, 3:25:24 PM3/19/12
to
Am 19.03.2012 18:49, schrieb Lars Gebauer:
> * Helmut Richter:

>> Beispiel: Jemand richtet eine Seite ein und teilt einigen Bekannten den
>> URL mit (z.B. ich vor einigen Jahren mit Urlaubsfotos in
>> http://www.lrz.de/~hr/buidln_fr/). Die Dinger sind aber nicht verlinkt.
>> Wenn nun der Mail-Provider, der zugleich Suchmaschinen-Betreiber ist, die
>> E-Mail mitliest und verwertet: darf er das?
>
> Wenn es ein Angebot ist, welches sich nicht an eine allgemeine
> Öffentlichkeit gerichtet hat ...
>
> Im konkreten Fall hast Du *jetzt* den URL gegenüber einer allgemeinen
> Öffentlichkeit preisgegeben. Aber bis "jetzt" wäre es mir schwer
> gefallen, die Bilder zu finden. Einem Dritten vermutlich auch. (Mal den
> Fall außen vor gelassen, daß sich Dir jemand gezielt angenommen hätte
> und wirklich hartnäckig nach den Bildern gesucht hätte.)

Welche effektive Zugangssicherung gibt es denn, die vorher den Zugang
verhindert hat und jetzt nicht mehr?

Michael Mendelsohn

unread,
Mar 19, 2012, 3:33:40 PM3/19/12
to
Am 19.03.2012 17:10, schrieb Dietz Proepper:
> Michael Mendelsohn wrote:
> ["Passwort-URL"]
>> Der Pfad ist technisch dazu gedacht, die Ressource aufzufinden, und nicht
^^^^
>> dazu, den Zugang zu kontrollieren.
>
> Was Techniker immer denken...
>
> Die Behauptung, dass ein Uniform Ressource Locator natürlich vordergründig
> dazu dient, eine Ressource zu benennen ist schon richtig.
>
> Dummerweise ist aber eine URI der Form http://user:pa...@dom.ain/ allerdings
> ebenfalls eine URL, womit Deine Ansage, eine URL bezeichne offensichtlich eine
> öffentliche Information auf zunehmend tönernen Füßen steht.

Ein URL besteht aus verschiedenen Bestandteilen: u.a. Protokoll
(Schema), Host, Pfad, und auch (optional) Username und Passwort.

Nach Lektüre von RFC 1738, Abschnitt 3.1., ist mir jedenfalls
offensichtlich, welcher Teil eines URL für das Passwort vorgesehen ist.
Tip: es ist nicht der Pfad.

Ich erwarte ein Zugangssicherung mittels Passwort also an einer
bestimmten Stelle des URL, und wenn dort keines ist, gehe ich davon aus,
dass die URL kein Passwort enthält.

Wolfgang Krietsch

unread,
Mar 19, 2012, 5:52:09 PM3/19/12
to
Helmut Hullen wrote:

>Hallo, Stefan,
>
>Du meintest am 19.03.12:
>
>>>> Glaub's oder lass' es sein - eine URL der genannten Art,
>>>> http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa *ist* ein Passwort.
>
>>> Und wie ist das z.B. mit
>>>
>>> http://www.spiegel.de/sport/fussball/0,1518,255420,00.html
>
>> Die ist aller Wahrscheinlichkeit nach auf
>> <http://www.spiegel.de/sport/fussball/> verlinkt, welche wiederum
>> über <http://www.spiegel.de/sport/> und <http://www.spiegel.de/>
>> erreichbar ist.
>
>> <http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa> ist hingegen von
>> <http://dom.ain/> aus höchstwahrscheinlich nicht verlinkt.
>
>Wo ist der inhaltliche Unterschied zwischen "0,1518,255420,00.html" und
>"cbdsvcs6s6fds76fnbcdkjsa"?

Postings, auf die man antwortet, sollte man vorher lesen.

Hans-Peter Diettrich

unread,
Mar 19, 2012, 9:58:49 PM3/19/12
to
Helmut Richter schrieb:

> Das ist auch eine interessante Frage: hat ein Webseitenbetreiber ein Recht
> darauf, dass ein URL nur von ihm weitergegeben wird?

Ein solches Recht hat er nicht, er kann sowas aber mit denjenigen
vereinbaren, denen er die URL mitteilt. Da sich bei unberechtigter
Weitergabe aber kein Verursacher feststellen läßt, bleiben die
Konsequenzen wieder beim Betreiber hängen.

> Beispiel: Jemand richtet eine Seite ein und teilt einigen Bekannten den
> URL mit (z.B. ich vor einigen Jahren mit Urlaubsfotos in
> http://www.lrz.de/~hr/buidln_fr/). Die Dinger sind aber nicht verlinkt.
> Wenn nun der Mail-Provider, der zugleich Suchmaschinen-Betreiber ist, die
> E-Mail mitliest und verwertet: darf er das?

Solches Mitlesen ist IMO eine rechtliche Grauzone. Z.B. dürfen
Virenscanner Mails lesen und auswerten, da sich dabei niemand *Kenntnis*
vom Inhalt der Mails verschafft. Bei URL-Scannern sehe ich das nicht
grundsätzlich anders, auch die spucken nur die Adressen von
(tatsächlich) irgendwo existierenden Resourcen aus, ohne eine Verbindung
zu einer bestimmten Mail, Absender oder Empfänger.

DoDi

Lars Gebauer

unread,
Mar 20, 2012, 3:07:52 AM3/20/12
to
* Michael Mendelsohn:
> Am 19.03.2012 18:49, schrieb Lars Gebauer:
>> Im konkreten Fall hast Du *jetzt* den URL gegenüber einer allgemeinen
>> Öffentlichkeit preisgegeben. Aber bis "jetzt" wäre es mir schwer
>> gefallen, die Bilder zu finden. Einem Dritten vermutlich auch. (Mal den
>> Fall außen vor gelassen, daß sich Dir jemand gezielt angenommen hätte
>> und wirklich hartnäckig nach den Bildern gesucht hätte.)
>
> Welche effektive Zugangssicherung gibt es denn, die vorher den Zugang
> verhindert hat und jetzt nicht mehr?

Der Verzeichnisname und die Nicht-Verlinkung waren immerhin gut genug,
Google am Indizieren zu hindern. Sprich: Sie waren effektiv.

Lars Gebauer

unread,
Mar 20, 2012, 3:09:06 AM3/20/12
to
* Michael Mendelsohn:
> Nach Lektüre von RFC 1738, Abschnitt 3.1., ist mir jedenfalls
> offensichtlich, welcher Teil eines URL für das Passwort vorgesehen ist.

Und?

> Tip: es ist nicht der Pfad.

Es kann nicht sein was nicht sein darf?

Michael Mendelsohn

unread,
Mar 20, 2012, 4:29:40 AM3/20/12
to
Wenn ich Google den Link gegeben hätte, wäre die Seite auch indiziert
worden.

Dein Argument ist analog: durch meine offene Haustür ist noch kein
Einbrecher gekommen, also verhindert sie Einbruch.

Was mich an den alten Witz von der Elefantencreme erinnert: wenn man
sich damit morgens und abends eincremt, hält es Elefanten fern. Hier
gibt es keine Elefanten, sagst du? Na, da siehst du mal, wie gut sie wirkt!

Michael Mendelsohn

unread,
Mar 20, 2012, 4:58:47 AM3/20/12
to
Lars, wir haben über URLs geredet, die Passworte im Pfad enthalten. Du
hats dagegen URLs gesetzt, die Passworte and der Passwort-Stelle
enthalten, und gemeint, das wäre dasselbe.

Das ist es aber nicht.

Die eine Stelle ist für Passworte vorgesehen, die andere nicht.

Man kann also an der regulären Form der URL erkennen, dass der Zugang
der Resource, die durch Schema/Hostname/Pfad bezeichnet ist, durch
Username/Passwort gesichert ist; beim Passwort im Pfad ist das nicht
erkennbar.

Es kommt aber, wie anderswo in diesem Thread ausgeführt wurde, darauf
an, dass der Wille zur Zugriffsbeschränkung objektiv erkennbar ist.

Bei einem Passwort, das im Pfad "versteckt" ist, ist da nichts
erkennbar; bei der User:Passwort-Variante schon.

Wenn der Betreiber freilich die Zugangsdaten auch veröffentlicht, muss
man vermutlich noch betrachten, ob er das versehentlich oder bewusst
tat, und im letzten Fall ist dann wohl die Öffentlichkeit befugt, in die
Daten Einsicht zu nehmen.

Diese Betrachtung muss ich aber für "Passworte" im Pfad gar nicht erst
anstellen.


Allerdings war das dem OLG Hamburg letzte Woche auch egal, jedenfall im
Kontext von Urheberrechtsverletzungen.
http://justiz.hamburg.de/presseerklaerungen/3334434/pressemeldung-2012-03-15-olg.html
Die Interpretation des Gerichts ist ja nicht ohne Schwierigkeiten,
allein schon der Terminus "rechtsverletzende Inhalte" in der
Pressemitteilung verschleiert ja, dass derselbe Inhalt (z.B. Musik) als
Privatkopie rechtskonform sein kann und erst durch die Veröffentlichung
Urheberrechte verletzt werden - es ist also nicht der Inhalt per se, um
den es hier geht.

Lars Gebauer

unread,
Mar 20, 2012, 5:58:43 AM3/20/12
to
* Michael Mendelsohn:
> Am 20.03.2012 08:09, schrieb Lars Gebauer:
>> * Michael Mendelsohn:
>>> Tip: es ist nicht der Pfad.
>>
>> Es kann nicht sein was nicht sein darf?
>
> Lars, wir haben über URLs geredet, die Passworte im Pfad enthalten. Du
> hats dagegen URLs gesetzt, die Passworte and der Passwort-Stelle
> enthalten, und gemeint, das wäre dasselbe.

Es ist, von der Sache her, dasselbe. Ja.

> Das ist es aber nicht.
>
> Die eine Stelle ist für Passworte vorgesehen, die andere nicht.

:)

Das ist das, auf was ich schon ein paar mal angespielt habe: Du siehst
das so. Die Verfasser des RFC sehen das so. Viele andere sehen das auch so.

Aber ich, und möglicherweise noch 'n paar weitere, sehen das eben anders.

Dropbox, Picasa, Youtube, tbc. Bei all diesen Diensten besteht die
Möglichkeit einen Inhalt so zu hinterlegen, daß er nur von Denen
aufgerufen werden kann, die den direkten, kryptischen, URL kennen.

Und nun?

> Man kann also an der regulären Form der URL erkennen, dass der Zugang
> der Resource, die durch Schema/Hostname/Pfad bezeichnet ist, durch
> Username/Passwort gesichert ist; beim Passwort im Pfad ist das nicht
> erkennbar.

Es läuft aber in der Konsequenz auf das Gleiche hinaus.

> Es kommt aber, wie anderswo in diesem Thread ausgeführt wurde, darauf
> an, dass der Wille zur Zugriffsbeschränkung objektiv erkennbar ist.

Solange der URL nicht veröffentlicht wird besteht hierzu gar keine
Veranlassung. Wird er veröffentlicht, so hast Du genau die gleiche
Situation, wie wenn user + pass veröffentlicht worden wären. Da ist
einfach kein Unterschied.

Interessant wird es IMHO dann, wenn der "geheime" URL erratbar ist.

> Wenn der Betreiber freilich die Zugangsdaten auch veröffentlicht, muss
> man vermutlich noch betrachten, ob er das versehentlich oder bewusst
> tat, und im letzten Fall ist dann wohl die Öffentlichkeit befugt, in die
> Daten Einsicht zu nehmen.
>
> Diese Betrachtung muss ich aber für "Passworte" im Pfad gar nicht erst
> anstellen.

Ach. Du meinst, wenn jemand unberechtigt einen solchen "geheimen"
Dropbox-Link veröffentlicht, dann darf sich dort die ganze Welt
bedienen? - Aber nicht doch.

Lars Gebauer

unread,
Mar 20, 2012, 6:03:43 AM3/20/12
to
* Michael Mendelsohn:
> Am 20.03.2012 08:07, schrieb Lars Gebauer:
>> * Michael Mendelsohn:
>>> Am 19.03.2012 18:49, schrieb Lars Gebauer:
>>>> Im konkreten Fall hast Du *jetzt* den URL gegenüber einer allgemeinen
>>>> Öffentlichkeit preisgegeben. Aber bis "jetzt" wäre es mir schwer
>>>> gefallen, die Bilder zu finden. Einem Dritten vermutlich auch. (Mal den
>>>> Fall außen vor gelassen, daß sich Dir jemand gezielt angenommen hätte
>>>> und wirklich hartnäckig nach den Bildern gesucht hätte.)
>>>
>>> Welche effektive Zugangssicherung gibt es denn, die vorher den Zugang
>>> verhindert hat und jetzt nicht mehr?
>>
>> Der Verzeichnisname und die Nicht-Verlinkung waren immerhin gut genug,
>> Google am Indizieren zu hindern. Sprich: Sie waren effektiv.
>
> Wenn ich Google den Link gegeben hätte, wäre die Seite auch indiziert
> worden.

Dafür allerdings hättest Du Kenntnis von dem URL haben müssen. :)

> Dein Argument ist analog: durch meine offene Haustür ist noch kein
> Einbrecher gekommen, also verhindert sie Einbruch.

Nein. Eher: Die offene Haustür ist nicht erkennbar.

Hans-Peter Diettrich

unread,
Mar 20, 2012, 7:08:54 AM3/20/12
to
Michael Mendelsohn schrieb:

> Allerdings war das dem OLG Hamburg letzte Woche auch egal, jedenfall im
> Kontext von Urheberrechtsverletzungen.
> http://justiz.hamburg.de/presseerklaerungen/3334434/pressemeldung-2012-03-15-olg.html

Sehr interessant.

> Die Interpretation des Gerichts ist ja nicht ohne Schwierigkeiten,
> allein schon der Terminus "rechtsverletzende Inhalte" in der
> Pressemitteilung verschleiert ja, dass derselbe Inhalt (z.B. Musik) als
> Privatkopie rechtskonform sein kann und erst durch die Veröffentlichung
> Urheberrechte verletzt werden - es ist also nicht der Inhalt per se, um
> den es hier geht.

Da frage ich mich doch glatt, welche Anforderungen an *rechtmäßige*
Uploads bzw. öffentliche Zugänglichmachung gestellt werden, so daß jeder
Hoster das Vorliegen einer entsprechenden Erlaubnis (Zertifikat?) vorab
verlangen und prüfen kann?

DoDi

Hans-Peter Diettrich

unread,
Mar 20, 2012, 7:16:07 AM3/20/12
to
Lars Gebauer schrieb:

>> Man kann also an der regulären Form der URL erkennen, dass der Zugang
>> der Resource, die durch Schema/Hostname/Pfad bezeichnet ist, durch
>> Username/Passwort gesichert ist; beim Passwort im Pfad ist das nicht
>> erkennbar.
>
> Es läuft aber in der Konsequenz auf das Gleiche hinaus.

Nein. Wenn ein Server-Verzeichnis abgerufen wird, z.B. via FTP, dann
kann der Server ganz einfach nicht-öffentliche Teile ausblenden, und
dazu gehört auch ein als Username/Paßwort erkennbarer Teil einer URL.
Bei im Pfad versteckten "Paßworten" ist das schlicht unmöglich.

DoDi

Lars Gebauer

unread,
Mar 20, 2012, 7:52:00 AM3/20/12
to
* Hans-Peter Diettrich:
Sehr schön. Und jetzt nochmal auf Deutsch, bitte.

Wolfgang Krietsch

unread,
Mar 20, 2012, 7:52:29 AM3/20/12
to
Michael Mendelsohn wrote:

>Wenn ich Google den Link gegeben hätte, wäre die Seite auch indiziert
>worden.

Wenn du Google einen Link mit enthaltenem Password gegeben hättest wäre die
Seite auch indiziert worden

Arno Welzel

unread,
Mar 27, 2012, 1:06:37 PM3/27/12
to
Martin Schoenbeck, 2012-03-17 20:51:

> Hallo Arno,
>
> Arno Welzel schrieb:
>
>> Helmut Richter, 2012-03-15 18:47:
>>
>>> On Thu, 15 Mar 2012, Arno Welzel wrote:
>>>
>>>> Ja, weil es jeder unter dieser URL abrufen kann. Allein die Unkenntnis
>>>> einer URL bedeutet nicht, dass die Information nicht zugänglich ist.
>>>
>>> Und die Unkenntnis eines Passworts?
>>
>> Ein Passwort ist etwas anderes - so wie ein Schloss an der Tür. Dagegen
>> ist ein in der Öffentlichkeit abgestellter Gegenstand nicht geheim, nur
>> weil nicht jeder weiss, wo er genau steht.
>
> Ein Schloß an der Tür ist geheim? Dein Vergleich hinkt ja an allen Ecken

Nein - der Schlüssel... aber dieser Gedankengang war zu wohl zu hoch ;-)

> und Kanten. Entscheidend ist doch die Frage, unter welchen Umständen jemand
> Zugriff bekommt. Und in beiden Fällen, beim Paßwort ebenso wie bei einem
> nicht ohne weiteres erratbaren Link muß er die genaue Kenntnis einer
> bestimmten Zeichenfolge haben, um an die Datei zu kommen. Ansonsten kommt
> er nicht dran. Solange also diese Zeichenfolge vor ihm geheimgehalten wird,
> kommt er schlicht an die Datei nicht dran. Wenn Du also unbedingt einen

Sobald diese Zeichenfolge etwa per unverschlüsselter E-Mail
weitergegeben wird, ist sie faktisch nicht mehr geheim.

> Vergleich mit Schlüsseln machen willst, dann nimm einen Gegenstand, der in
> einem verschlossenen Raum steht. Im einen Fall weißt Du, wo der Gegenstand
> steht, hast aber keinen Schlüssel, um den Raum zu öffnen, im anderen Fall
> hast Du ein riesiges Schlüsselbund mit allen Schlüsseln, die es in
> Deutschland gibt, Du weißt aber nicht, hinter welcher Tür der Gegenstand
> steht.

Meinentwegen. Wenn aber deine Theorie Sinn ergibt, könnte man
Authentifizierung bei Webservern für nicht öffentliche Informationen
auch einfach abschaffen - denn nötig ist sie ja offenbar nicht ;-)


--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de

Arno Welzel

unread,
Mar 27, 2012, 1:15:11 PM3/27/12
to
Dietz Proepper, 2012-03-19 13:21:

> Michael Mendelsohn wrote:
>
>> Am 19.03.2012 09:03, schrieb Lars Gebauer:
>>> * Michael Mendelsohn:
>>>> Bei der URL-Sicherung gibt es kein "Zugang verboten", keinen Punkt, an
>>>> dem die Sicherung greift: immer, wenn man auf die Daten zugreifen
>>>> möchte, kann man es.
>>>
>>> Das setzt voraus, daß Du den URL kennst. Genau das ist aber nicht der Fall.
>>
>> Kennst du einen Präzedenzfall, wo ein Gericht sowas als Zugangssicherung
>> anerkannt hat?
>
> Äh, ja. In eigentlich jedem Fall, in dem ein Passwort im Spiel war z.B.
>
> Glaub's oder lass' es sein - eine URL der genannten Art,
> http://dom.ain/cbdsvcs6s6fds76fnbcdkjsa *ist* ein Passwort. Und selbst
> Konfigurationsfehler, wie z.B. listbare Verzeichnisse, dürften kein Recht
> etablieren, auf offensichtlich vor Zugriff geschützte Daten zuzugreifen.

Wenn man alleine durch Aufruf einer Domain im Browser so eine Liste zu
sehen bekommt und jeder der dort angegezeigten URLs einfach öffnen kann
und den Inhalt zu sehen bekommt, kann man da schwerlich als "vor Zuriff
geschützt" bezeichnen.

Martin Schoenbeck

unread,
Mar 27, 2012, 4:14:42 PM3/27/12
to
Hallo Arno,

Arno Welzel schrieb:

> Sobald diese Zeichenfolge etwa per unverschlüsselter E-Mail
> weitergegeben wird, ist sie faktisch nicht mehr geheim.

Und für ein Passwort gilt das natürlich nicht. Entschuldigung, das hatte
ich übersehen.

> Meinentwegen. Wenn aber deine Theorie Sinn ergibt, könnte man
> Authentifizierung bei Webservern für nicht öffentliche Informationen
> auch einfach abschaffen - denn nötig ist sie ja offenbar nicht ;-)

Sie ist nicht immer nötig. Man muß nicht immer wissen, _wer_ etwas
herunterlädt, manchmal reicht es, zu wissen, daß er berechtigt ist. Aber es
gibt ja durchaus Fälle wo man sie haben will. Und darüberhinaus gibt es
Fälle, wo es für den Benutzer praktischer ist. Denn Benutzerkennung und
Passwort bleiben typischerweise längere Zeit gleich und lassen sich dann
für eine Vielzahl von Zugriffen benutzen. Und man kann leichter Verfahren
entwickeln, sie so zu transportieren, daß sie nicht in einer E-Mail
unverschlüsselt auftauchen.

Deshalb sind die Verfahren eben in der Praxis nicht gleichwertig. Das liegt
aber nicht daran, daß im einen Fall die Daten öffentlich wären.

Hans-Peter Diettrich

unread,
Mar 28, 2012, 3:22:37 AM3/28/12
to
Arno Welzel schrieb:

>> und Kanten. Entscheidend ist doch die Frage, unter welchen Umständen jemand
>> Zugriff bekommt. Und in beiden Fällen, beim Paßwort ebenso wie bei einem
>> nicht ohne weiteres erratbaren Link muß er die genaue Kenntnis einer
>> bestimmten Zeichenfolge haben, um an die Datei zu kommen. Ansonsten kommt
>> er nicht dran. Solange also diese Zeichenfolge vor ihm geheimgehalten wird,
>> kommt er schlicht an die Datei nicht dran. Wenn Du also unbedingt einen
>
> Sobald diese Zeichenfolge etwa per unverschlüsselter E-Mail
> weitergegeben wird, ist sie faktisch nicht mehr geheim.

Verschlüsselung verhindert allenfalls das Mitlesen durch Unbefugte,
nicht aber die (i.d.R. ebenfalls unbefugte) Weitergabe der Information
durch den Empfänger der Mail. Das gilt sowohl für Adressen wie für
Paßworte, die beide einem Befugten mitgeteilt werden müssen.

Der Unterschied liegt allenfalls darin, daß ein mißbrauchtes Paßwort
gesperrt oder geändert werden kann, was bei einer URL nicht so einfach
möglich ist - dann muß allen weiterhin Befugten die neue URL mitgeteilt
werden.

>> Vergleich mit Schlüsseln machen willst, dann nimm einen Gegenstand, der in
>> einem verschlossenen Raum steht. Im einen Fall weißt Du, wo der Gegenstand
>> steht, hast aber keinen Schlüssel, um den Raum zu öffnen, im anderen Fall
>> hast Du ein riesiges Schlüsselbund mit allen Schlüsseln, die es in
>> Deutschland gibt, Du weißt aber nicht, hinter welcher Tür der Gegenstand
>> steht.
>
> Meinentwegen. Wenn aber deine Theorie Sinn ergibt, könnte man
> Authentifizierung bei Webservern für nicht öffentliche Informationen
> auch einfach abschaffen - denn nötig ist sie ja offenbar nicht ;-)

Im Gegensatz zur materiellen Welt schließt eine Authentifizierung
typischerweise auch die Prüfung desjenigen ein, der das Schloß öffnen
möchte - einem Schloß hingegen ist es egal, *wer* den Schlüssel
reinsteckt. Damit läßt sich bei virtuellen Schlössern ein unerwünschter
Benutzer leichter entdecken und gezielt ausschließen, ohne daß das ganze
Schloß ausgewechselt werden muß.

DoDi

Johannes Roehnelt

unread,
Mar 29, 2012, 12:51:27 PM3/29/12
to
On 10 Mrz., 10:04, Andreas Keppler wrote:
> Hallo allerseits,
>
> ich habe eine private Domain angemeldet, auf deren Hauptseite nichts
> erscheint, wenn man Domain.de im Browser eingibt.
>
> Muss ich ein Impressum angeben, wenn ich z.B. in Unterverzeichnissen
> unterwww.meinedomain.de/xy/Bilder ablege und diese Links nur meinen
> Bekannten maile und diese Domain nicht durch die Hauptseite aufrufbar
> ist und auch nicht von Suchmaschinen indiziert wird?
>
> Noch eine weitere Frage hinterher:
> Wie sieht es aus wenn ich z.B. unterwww.meinedomain.de/123/1.zip
> Bilder ablege und diesen Link nur an Bekannte maile?
> Müsste ich da auch ein Impressum führen?
>

Die Adresse der Seite spielt keine Rolle. Professionelle Anbieter
muessen, auch wenn sie nur auf Unterseiten erscheinen, ein Impressum
haben.

Mich wuerde aber interessieren, ob das was Du hier beschreibst
ueberhaupt ein Telemedium im Sinne des Rundfunkstaatsvertrags
(RStV) ist. Das Telemediengesetz (TMG) verlangt naemlich eine
Anbieterkennzeichnung nur fuer in der Regel gegen Entgelt
angebotene Telemedien (siehe insbesondere das Zitat aus
der u. a. Begruendung). Im RStV sind die Regeln dagegen schaerfer.

Zum Vergleich:

TMG Par 5 Allgemeine Informationspflichten

(1) Diensteanbieter haben fuer geschaeftsmaessige, in der Regel
gegen Entgelt angebotene Telemedien folgende Informationen
leicht erkennbar, unmittelbar erreichbar und staendig
verfuegbar zu halten:
1. den Namen und die ladungsfaehige Anschrift, unter der
sie niedergelassen sind, bei juristischen Personen zusaetzlich
den Vertretungsberechtigten ...
...usw ...

In der Begruendung zu Par 5 heisst es: "... enthaelt Par 5 TMG
die Ergaenzung, dass es sich bei den geschaeftsmaessigen Telemedien
um solche handeln muss, die in der Regel gegen Entgelt
angeboten werden. Diese Vorgehensweise entspricht den Vorgaben
der E-Commerce-Richtlinie. Die Richtlinie gilt fuer Dienste der
Informationsgesellschaft, also nach europaeischem Recht fuer
solche Dienste, die in der Regel gegen Entgelt erbracht werden.
Das Merkmal der Entgeltlichkeit setzt eine wirtschaftliche
Gegenleistung voraus. Damit unterliegen Telemedien, die ohne
den Hintergrund einer Wirtschaftstaetigkeit bereitgehalten
werden (z. B. Homepages, die rein privaten Zwecken dienen
und die nicht Dienste bereitstellen, die sonst nur gegen
Entgelt verfuegbar sind, oder entsprechende Informationsangebote
von Idealvereinen), kuenftig nicht mehr den Informationspflichten
des Telemediengesetzes."

(2) Weitergehende Informationspflichten nach anderen
Rechtsvorschriften bleiben unberuehrt.

Auch hierzu ein Zitat aus der Begruendung: "Der neue
Absatz 2 stellt wie der bisherige Par 6 Satz 2 TDG klar,
dass Informationspflichten aus anderen Rechtsvorschriften
unberuehrt bleiben. Darunter fallen beispielsweise
handelsrechtliche oder buergerlich-rechtliche Informationspflichten
ebenso wie die auch zukuenftig noch staatsvertraglich auf
Laenderseite zu regelnden Informationspflichten fuer die
nicht wirtschaftsbezogenen Telemedien."

Damit ist m. E. der Rundfunkstaatsvertrag gemeint:

9. RStV Par 55 Informationspflichten und Informationsrechte

(1) Anbieter von Telemedien, die nicht ausschliesslich
persoenlichen oder familiaeren Zwecken dienen, haben folgende
Informationen leicht erkennbar, unmittelbar erreichbar
und staendig verfuegbar zu halten:

1. Namen und Anschrift sowie
2. bei juristischen Personen auch Namen und Anschrift des
Vertretungsberechtigten.

(2) Anbieter von Telemedien mit journalistisch-redaktionell
... usw ...


Auch der RStV sieht demnach fuer die ausschliesslich persoenlichen
oder familiaeren Internetseiten keine Impressumspflicht
vor.

Private Urlaubsfotos koennen demnach wahrscheinlich auch
nach dem Rundfunkstaatsvertrag ohne Impressum oeffentlich
im Internet praesentiert werden.

Meine Frage ist: Für welche privaten Seiten gilt z. B. der
Rundfunkstaatsvertrag?

MfG
Johannes
Schmunzelkunst

Arno Welzel

unread,
Apr 1, 2012, 8:49:49 AM4/1/12
to
Martin Schoenbeck, 2012-03-27 22:14:

> Hallo Arno,
>
> Arno Welzel schrieb:
>
>> Sobald diese Zeichenfolge etwa per unverschlüsselter E-Mail
>> weitergegeben wird, ist sie faktisch nicht mehr geheim.
>
> Und für ein Passwort gilt das natürlich nicht. Entschuldigung, das hatte
> ich übersehen.

Nö - deswegen gibt man Passwörter normalerweise auch so nicht weiter.
Entweder man sendet sie verschlüsselt oder gar nicht.

Und wer etwa von einem Anbieter ein Passwort per E-Mail für einen Server
oder Online-Dienst bekommt, sollte es tunlichst umgehend ändern.

Arno Welzel

unread,
Apr 1, 2012, 8:51:23 AM4/1/12
to
Hans-Peter Diettrich, 2012-03-28 09:22:

> Arno Welzel schrieb:
>
[...]
>> Meinentwegen. Wenn aber deine Theorie Sinn ergibt, könnte man
>> Authentifizierung bei Webservern für nicht öffentliche Informationen
>> auch einfach abschaffen - denn nötig ist sie ja offenbar nicht ;-)
>
> Im Gegensatz zur materiellen Welt schließt eine Authentifizierung
> typischerweise auch die Prüfung desjenigen ein, der das Schloß öffnen
> möchte - einem Schloß hingegen ist es egal, *wer* den Schlüssel
> reinsteckt. Damit läßt sich bei virtuellen Schlössern ein unerwünschter
> Benutzer leichter entdecken und gezielt ausschließen, ohne daß das ganze
> Schloß ausgewechselt werden muß.

Jein - es gibt auch Schlösser mit elektronischer Schlüsselprüfung und
Schlüsseln in Form von Chipkarten, RFID-Tags etc.... aber das war
vermutlich nicht gemeint ;-)

Lars Gebauer

unread,
Apr 1, 2012, 8:59:49 AM4/1/12
to
* Hans-Peter Diettrich:
> Im Gegensatz zur materiellen Welt schließt eine Authentifizierung
> typischerweise auch die Prüfung desjenigen ein, der das Schloß öffnen
> möchte - einem Schloß hingegen ist es egal, *wer* den Schlüssel
> reinsteckt.

Und einem Webserver ist es nicht egal, /wer/ Benutzernamen und Passwort
eingibt?

Hans-Peter Diettrich

unread,
Apr 1, 2012, 12:33:51 PM4/1/12
to
Lars Gebauer schrieb:
Er muß sich damit nicht zufriedengeben - das unterscheidet eine
Authentifizierung von einer schlichten Prüfung der Eingabe.

DoDi

Lars Gebauer

unread,
Apr 1, 2012, 1:03:32 PM4/1/12
to
* Hans-Peter Diettrich:
Ahem ... (Darüber willst Du bestimmt nochmal nachdenken.)

Hans-Peter Diettrich

unread,
Apr 2, 2012, 6:23:19 AM4/2/12
to
Du zuerst ;-)

DoDi

Lars Gebauer

unread,
Apr 2, 2012, 6:49:42 AM4/2/12
to
Wenn ich user/pass habe habe ich das Analogon zum konventionellen
Schlüssel. Dem "Zugangsverhinderungsmechanismus" ist es völlig egal, ob
user/pass bzw. Schlüssel unberechtigt genutzt werden; er ist schlicht
nicht in der Lage, "berechtigt" von "unberechtigt" zu unterscheiden.

Hans-Peter Diettrich

unread,
Apr 2, 2012, 10:59:51 AM4/2/12
to
Lars Gebauer schrieb:
> * Hans-Peter Diettrich:
>> Lars Gebauer schrieb:
>>> * Hans-Peter Diettrich:
>>>> Lars Gebauer schrieb:
>>>>> * Hans-Peter Diettrich:
>>>>>> Im Gegensatz zur materiellen Welt schließt eine Authentifizierung
>>>>>> typischerweise auch die Prüfung desjenigen ein, der das Schloß öffnen
>>>>>> möchte - einem Schloß hingegen ist es egal, *wer* den Schlüssel
>>>>>> reinsteckt.
>>>>> Und einem Webserver ist es nicht egal, /wer/ Benutzernamen und Passwort
>>>>> eingibt?
>>>> Er muß sich damit nicht zufriedengeben - das unterscheidet eine
>>>> Authentifizierung von einer schlichten Prüfung der Eingabe.
>>> Ahem ... (Darüber willst Du bestimmt nochmal nachdenken.)
>> Du zuerst ;-)
>
> Wenn ich user/pass habe habe ich das Analogon zum konventionellen
> Schlüssel. Dem "Zugangsverhinderungsmechanismus"
Diesem(!) Mechanismus
> ist es völlig egal, ob
> user/pass bzw. Schlüssel unberechtigt genutzt werden; er ist schlicht
> nicht in der Lage, "berechtigt" von "unberechtigt" zu unterscheiden.

Das verhindert aber nicht, daß der Server mehr verlangen kann als nur
die Eingabe eines Passworts. Es wurde ja bereits erwähnt, daß selbst in
der materiellen Welt die Schließmechanismen inzwischen intelligenter
sein können. Siehe auch Mobile TAN...

DoDi

Lars Gebauer

unread,
Apr 2, 2012, 11:43:45 AM4/2/12
to
Du schriebst (oben):

| Im Gegensatz zur materiellen Welt schließt eine Authentifizierung
| typischerweise auch die Prüfung desjenigen ein, der das Schloß öffnen
| möchte - einem Schloß hingegen ist es egal, *wer* den Schlüssel
| reinsteckt.

Und das stimmt einfach nicht. Der Mechanismus kann nur prüfen, ob Du im
Besitz der richtigen Token bist. Wer das richtige Token besitzt kommt rein.

> Es wurde ja bereits erwähnt, daß selbst in
> der materiellen Welt die Schließmechanismen inzwischen intelligenter
> sein können. Siehe auch Mobile TAN...

Damit machst Du nur das Token komplexer/komplizierter. An der
grundlegenden Problematik änderst Du nichts. Du verwendest anstelle
eines einfachen Bartschlüssel eben einen Sicherheitsschlüssel. Egal.
Selbst ein zusätzlicher Irisscan ändert nichts Qualitatives.

Peter King

unread,
Apr 2, 2012, 3:28:40 PM4/2/12
to
"Wolfgang Jäth" schrieb ...

[viele schlaue Sachen]

Der Tipp war gut. Würde auch so argumentieren.

Vor irgendwelchen Vollpfosten, die dann es natürlich trotzdem
versuchen und einem an die Karre fahren wollen, nützt das sicher
nicht.

Allerdings finde ich es als Zumutung für eine Privatperson seine
Adresse publizieren zu müssen - auch noch inklusive Telefonnummer -
besonders wenn nur solche Inhalte angeboten werden, wie
"Das ist mein Hase Charly und hat lange Ohren." + die Fotos von Charly.

Bezüglich der Impressumspflicht für Privatpersonen hat unsere Regierung
mal wieder totalen Scheissmist produziert.

Gruss
Peter

Michael Mendelsohn

unread,
Apr 3, 2012, 2:16:59 PM4/3/12
to
Am 29.03.2012 18:51, schrieb Johannes Roehnelt:
> Meine Frage ist: Für welche privaten Seiten gilt z. B. der
> Rundfunkstaatsvertrag?

Für alle, die im Internet abrufbar sind?
Für deine Website gilt er, für deinen USB-Stick nicht.
(Es sei denn, du stellst deinen USB-Stick ins Internet.)

Michael Mendelsohn

unread,
Apr 3, 2012, 2:09:16 PM4/3/12
to
Am 27.03.2012 22:14, schrieb Martin Schoenbeck:
> Hallo Arno,
>
> Arno Welzel schrieb:
>
>> Sobald diese Zeichenfolge etwa per unverschlüsselter E-Mail
>> weitergegeben wird, ist sie faktisch nicht mehr geheim.
>
> Und für ein Passwort gilt das natürlich nicht. Entschuldigung, das hatte
> ich übersehen.

Wenn ich ein Passwort mitlese, ist es offensichtlich, dass mich das
nicht zum Gebrauch des Passworts befugt. Wenn ich einen Autoschlüssel
auf der Straße finde, darf ich das Auto noch lange nicht fahren.

Bei einer öffentlich zugänglichen URL gibt es keine Sicherung zu
überwinden, und an der URL kann man auch nicht ablesen, dass sie eine
Sicherung gegen Zugang darstellen soll. Wenn ich ein Buch auf der Straße
finde, nehme ich nicht an, dass ich es nicht lesen darf.

Michael Mendelsohn

unread,
Apr 3, 2012, 2:14:22 PM4/3/12
to
Am 02.04.2012 12:49, schrieb Lars Gebauer:
> Wenn ich user/pass habe habe ich das Analogon zum konventionellen
> Schlüssel. Dem "Zugangsverhinderungsmechanismus" ist es völlig egal, ob
> user/pass bzw. Schlüssel unberechtigt genutzt werden; er ist schlicht
> nicht in der Lage, "berechtigt" von "unberechtigt" zu unterscheiden.

Das ist aber juristisch nicht egal.
Wenn ich das System betrüge, indem ich mich als jemand authentifiziere,
der ich nicht bin, dann ist das strafbar.

Sagen wir's mal so:
wenn ich einen falschen Ausweis vorzeige, ist das verboten;
wenn mich ein Spion anspricht "schönes Wetter heute, meine Sie nicht
auch?", und ich sage "heute ist es noch schön, aber bald wird es
regnen", und er hält mich daraufhin für einen anderen Spion, dann ist
das nicht verboten.

Es kommt auf den Zweck an:
Passwort = bezweckt Zugangssicherung = Missbrauch verboten
URL-Pfad = bezweckt Ressourcenlokalisierung = Missbrauch unmöglich
0 new messages