Irritationen eines d.c.s.f.-Lesers

[Manfred Koerkel]

Inhalt
======

0 Präludium

1 Vorwort

2 Einige Probleme (nicht vollständig)
2.1 Überheblichkeit, übersteigertes Selbstbewusstsein und Häme
2.2 Argumentum ad personam (Beschimpfungen)
2.3 Empathie-Defizit
2.4 Fehlende soziale Kontrolle
2.5 FAQ-Tonfall
2.6 Lange Belehrung statt kurzer Antwort
2.7 Tendenzen Ideologischer Verhärtungen
2.9 Miszellaneen (Signaturtrenner, TOFU)
2.10 Krieg der Betriebssystem-Betreiber
2.11 Methaphern und Allegorien

3 Potenzielle Verbesserungsmaßnahmen

3.1 Modifikation der Statuten
3.2 Überarbeitung/Weiterentwicklung der FAQs
3.3 Soziale Kontrolle auch für dcsf-"Helden"
3.4 Fragen auch mal gar nicht beantworten

4 Persönlches Fazit

5 Sarkastischer Abgesang

0 Präludium
===========

Diese Vorrede schätze ich _leider_ für notwendig ein. Alle Leute
mit auch _sozialer_ Intelligenz werden wissen, warum.

Ich halte persönlch nichts von Desktop-Firewalls.
Viren-Wächter sind mir auch suspekt.
Ich beschimpfe Leute, die das einsetzen, nicht.

Der Artikel ist ernst und in den Abschnitten 1-3 konstrutiv gemeint.
Parallel zu diesem Artikel kommt auch eine Satire. Spass muss auch
sein. Und ich habe da viel nachzuholen. Diese NG hat mich doch
ziemlich gefrustet. Allerdings werde ich nirgends einzelne Personen
angreifen. Da mache ich nur, wenn es unvermeidlich ist, und dies
kann ich nicht sehen.

Zu Beleidugungen werde ich auch nicht greifen. Pöbeleien schaden
primär dem Autoren selbst. Es ist ein Zeichen von Intelligenz, dies
möglichst zu vermeiden. Wer Aikido trainiert, wird den Grund kennen.

Auf Antworten zu diesem Artikel, die ich etwa wegen Beleidigungen,
Häme, sinnentstellendem oder aus dem Zusammenhang gerissenem Zitieren,
nicht ernst zu nehmender Argumente, Herumreiten auf Rechtschreibfehlern
etc. als unangemessen einschätzen muss, werden ich nicht reagieren.
Satiren bitte im Satiren-Thread

"Jagdszenen aus de.comp.security.firearms"

unterbringen, den ich auch aufmache. Mir ist völlig klar, dass es in
dcsf viele _auch sozial_ kompetente Mitleser gibt.

1 Vorwort
=========

dcsf leidet zu oft unter einem schlechten Diskussionsstiel, der
die Lesefreude trübt. Die Situation ist natürlich wie immer im Leben
kompliziert und muss differenziert betrachtet werden:

- Es existieren sozial kompetente Artikelschreiber, die die Lesbarkeit
der Gruppe im Blick haben und die nie oder nur sehr selten aus der
Rolle fallen. Passende Ironie als Stilmittel wird von mir ausdrücklich
gebilligt.

- Es gibt technisch qualifizierte Leute, die aber manchmal in einem Stil
schreiben, als ob sie unter gewissen Sozialisationsdefiziten litten.
Aber selbst die schlimmsten unter ihnen scheiben zumindest gelegentlich
auch gute Beiträge. So kann es etwa vorkommen, dass mitten
in einem flame thread ein Unterzweig mit Informationen entsteht.

- Zwschen diesen beiden Charakterextremen lassen sich in dcsf alle
Abstufungen finden.

- Es tauchen immer wieder mal naive Fragesteller auf, die sich über den
Stil einiger der Antworten wundern. Teilweise werden die Fragesteller
dann in der Folge auch aggressiv, was aber fast immer durch ein
gegenseitiges Hochschaukeln passiert. Die Schuld lässt sich definitiv
_nicht_ in simpler Weise auf _einer_ Partei abladen.

- Clevere Fragesteller bauen gleich entsprechende Disclaimer zur
Flame-Vermeidung ein.

S/W-Malerei ist also nicht angesagt. Dennoch sind Kommunikations-
probleme unübersehbar, da ein zu großer Anteil von Artikeln deutlich
wahrnehmbare Defizite nicht technisch inhaltlicher Art aufweist.
Im folgenden beschreibe ich einige dieser Probleme.

2 Einige Probleme (nicht vollständig)
=====================================

2.1 Überheblichkeit, übersteigertes Selbstbewusstsein und Häme
--------------------------------------------------------------

Der Beantworter einer Frage oder vorsichtiger ausgedrückt der
Replikenschreiber (denn die Frage wird manchmal auch nicht
beantwortet) legt eine Schreibhaltung an den Tag, die indirekt
durchblicken lässt, wie minderwertig der Fragesteller doch ist.
Je nach Temperament des Fragers fasst dieser es als "Aufforderung
zum Tanz" auf und es folgt, einer destruktiven Dynamik gehorchend,
Vergeltung auf Gegenschlag etc. "Höflichkeit sei optional"
so die Aussage einiger sehr aktiver Peer-Group-Mitglieder.
Das mag ja noch angehen, eine Verkehrung von "Höflichkeit" ins
Gegenteil kann aber dezidiert verheerende Auswirkungen haben.

Außerdem stünden einigen wenigen Computerexperten etwas mehr
Bescheidenheit gut an, da der dringede Verdacht besteht, dass ihr
Wissen doch sehr einseitig ausgerichtet ist.

2.2 Argumentum ad personam (Beschimpfungen)
-------------------------------------------

Es wird jemand auf üble Weise beschimpft. Ausgiebige Stilproben
hierzu finden sich im satirischen Beitrag

"Jagdszenen aus de.comp.security.firearms".

Die schlimmsten Formulierugen habe ich nur per "Cut'n Paste"
aus _Originalartikeln_ kopiert. Es zeigt, dass sich die Autoren
nicht darüber im Klaren sind, dass Usenet-Artikel wegen Google als
Veröffentlichungen zu betrachten sind. Man verlässt sich vielleicht
manchmal darauf, dass Personalchefs nicht imstande sind, Google
zu befragen. Abgesehen davon, will ich (wohl nicht als einziger)
das nicht lesen. Es demonstriert auch das Unvermögen dieser Leute,
sich damit abfinden zu können, dass da draußen jemand eine andere
als die eigene Meinung hat. Von gereiften Persönlichkeiten wird aber
verlangt, dass sie mit Menschen gut koexistieren könnnen, die
abweichende Meinungen vertreten.

2.3 Empathie-Defizit
--------------------

Bei manchen Antwort-Artikeln habe ich den Eindruck, dass der
Schreiber / die Schreiberin des vorausgehenden Beitrags als Gegner
und nicht als Fragesteller oder Diskussionspartner gesehen wird.
Anders ausgedrückt: Es gelingt dem Antworter nicht, sich in die Lage
des Fragers zu versetzen, und er vergreift sich daher völlig im Ton.
Dass es z.B. auch nachvollziehbare Gründe dafür geben könnte, dass
der Frager ein anderes Betriebssystem benutzt als der Antworter
scheint die Vorstellungskraft des letzeren manchmal zu überfordern.
Es heißt dann "whining Windows luser". Empathie ist eine wesentliche
Fähigkeit für Menschen, die konstruktiv im Sozialleben teilnehmen
möchten. Um ein _übertrieben_ drastisches Beispiel zu bemühen: Der
Massenmörder fühlt mit seinen Opfern nicht mit. Das soll nur zeigen,
dass es ganz ohne Empathie nicht geht.

<ironie>
Neurologenwitz: Hattu wohl 'ne ventro-mediale Stirnhirnläsion gehabt.
Phineas Gage lässt grüßen.
</ironie>

2.4 Fehlende soziale Kontrolle
------------------------------

Leute mit ansonsten tadellosem Verhalten verteidigen manchmal das
Benehmen anderer Personen, das sozial absolut indiskutabel ist. Bei
diesen Leuten mit Narrenfreiheit handelt es sich aber nur um Leute,
die eine als "richtig" anerkannte Ideologie vertreten. Dies erschwert
soziale Regelmechanismen, die zu einer Verbesserung des
Diskussionsklimas führen könnten. D.h. gegen schlechtes soziales
Verhalten wird nicht vorgegangen. Daher verändert sich auch nichts
zum Guten

2.5 FAQ-Tonfall
---------------

Die FAQ-Antworten sehe ich als fachlich richtig an und auch
größtenteils völlig in Ordnung, sie sind aber _teilweise_ (!) ungeeignet
als Erstkontakt, da sie den Fragesteller doch als strohdumm aussehen
lassen. Auch wenn es in Einzelfällen mal so sein sollte, macht es
keinen Sinn einen deratrgen Schreibstil zu pflegen. Es mag beim
Schreiben der FAQ-Antworten erleichtert haben, erfüllt aber nicht
seinen Zweck, da Flamer dies als eine Aufforderung zum Tanz
missverstehen können. Es kam daher immer mal wieder zu vermeidbaren
Irritationen mit lästigen Echos im Diskussionsverlauf, ala
"Was soll der Sch.." oder "Das sind keine FAQ. Das ist Sch.." etc.
Nach meiner ersten Lekture entstand bei mir auch sofort der drängende
Wunsch nach einer Reformulierung der FAQs. Leider erlahmte meine Lust
nach der Entschärfung der ersten Antwort. Außerdem fehlen mir
an einigen Stellen RFC-Angaben. Dass diese fehlen, könnte man
auch so (fehl?)rezipieren, dass die Leser 'eh zu dumm für RFCs sind.

(Ich weiß, dass ein allgemeiner Link auf die RFCs da ist. Das soll
auch _kein_ Generalangriff auf Lutz Donnerhacke sein! Letzerer verhält
sich m.E. zusammen mit anderen in der Diskussion absolut korrekt. Gute
FAQs könnten m.E. aber noch besser werden.)

2.6 Lange Belehrung statt kurzer Antwort
----------------------------------------

Jemand stellt eine Frage, die mit maximal 7 Tastaturanschlägen
perferkt beantwortet werden könnte. Die Frage ist so gestellt, dass
sie _jeder Experte_ aus dem Kopf beantworten können müsste.

Was kommt? 3 Belehrungen über Suchmaschinen und noch eine falsche
Antwort. Das zeigt: Es wird manchmal belehrt aus Lust am Belehren,
denn die vollständige Antort wäre ja drastisch kürzer gewesen. Und
es kann auch vorkommen, dass Belehrung und Halbwissen zusammen
auftreten, eine Kombination, die ich als besonders unpassend
empfinde.

2.7 Tendenzen Ideologischer Verhärtungen
----------------------------------------

Meinungsführer in dcsf vertreten gelegentlich Dinge, die etwas
seltsam erscheinen, die aber vielleicht wegen der großen Aggressivität
mit der sie vertreten werden, nicht immer so differenziert wie
eigentlich nötig hinterfragt werden. Manchmal kommen dann Aussagen
rüber, die sich so auffassen lassen:

- Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.
- Externe Paketfilter zum Abschotten intern abgebotener Dienste seien
nicht sinnvoll.
- Closed-Source sei auf keinen Fall einsetzbar.
- Man brauche niemals ein Programm aus dem Internet.
- M$ könne alles.
- Linux könne alles.
- M$-Anwender seien geistig minder bemittelt.
- Die "Dateifreigabe" hätte keinen Nutzen und ließe sich nicht
abgeschotten.

Derartiges bedarf m.E. jedoch überall der Korrektur, zumindest graduell.

2.9 Miszellaneen (Signaturtrenner, TOFU)
----------------------------------------

Unendlich viel Autorenfleiß wird auf Signaturtrennerabmahnungen
verwendet. Es entstehen dadurch völlig uninteressante Beiträge, die
teilweise auch völlig lächerlich wirken, wenn die Signatur nur eine
Zeile lang ist.

Manchmal scheint es so, dass da draußen im Usenet Autoren nur darauf
warten, dass mal wieder jemand im TOFU-Stil schreibt (Text oben
Fullquote unten, grauenhaftes Denglisch) oder den Signaturtrenner
weggelassen hat.

2.10 Krieg der Betriebssystem-Betreiber
---------------------------------------

Im "Lach-und-Schieß"-Kabarett hieß es mal:

"Der Computer - die Lösung auf der Suche nach Problemen!"

Der Computer muss von den Anwendugen her gedacht werden und nicht
nur von der OS-Basis. Es wird wohl wohl kaum je völlige Einigkeit
über die Benutzbarkeit, Bequemlichkeit, Angemessenheit etc. von
speziellen Anwendungen geben. Da nicht jede Anwendung für jedes
OS existiert, enstehen schon allein deswegen unterschiedliche
Präferenzen. Auch Entwickler brauchen verschiedene Dinge: Ein
Spielerprogrammierer wird etwas anders benutzen als ein Numeriker.
Das muss man aushalten können.

2.11 Methaphern und Allegorien
------------------------------

Das ist ein zweischneidiges Schwert: Manchmal sind diese Dinge
amüsant, manchmal aber eher peinlich (Analfisting, Romatik und M$
Exchange) oder etwas nervend in ihrem zu gehäuften Auftreten, wie
_teilweise_ bei den FAQs. Im letzteren Falls mehr RFC-Zitate zu
bringen würde demonstrieren, dass man die Leser ernst nimmt.

3 Potenzielle Verbesserungsmaßnahmen
====================================

Nachdem nun einige der Probleme in dcsf aufgezählt sind, sollte man
auch über Verbesserungsmöglichkeiten nachdenken. Das folgende sollte
als reines "brain storming" verstanden werden.

3.1 Modifikation der Statuten
-----------------------------

3.11 Ausschluss von Desktop-Firewall-Problemen
..............................................

Fragen über Probleme mit "Desktop-Firewalls" sind ein Quelle ständigen
Ärgers. Naive Frager, die sich auch noch leichtsinnig "im voraus
bedanken" und Antworter, die zu sehr unter Strom stehen, können
jederzeit eine lästige Eskalation in Richtung "flame war" verursachen.

Daher wäre es sinnvoll, Fragen zu Fehlfunktionen von Desktop-Firewalls
explizit und dezidiert als Thematik _auszuschließen_. Mit einem Link auf
diese Passage der Statuten wäre dann die Diskussion jedesmal gegessen.

Es sollten höchstens Konzeptfragen, z.B. über die (Un)Möglichkeit
der prinzipiellen Funktionsweise von "Desktop-Firewalls" diskutiert
werden können.

Praktisch sollte man das so implementieren, dass es eine Frage im
FAQ-Dokument gibt, in der beschrieben wird, was in dcsf diskutiert und
was nicht diskutiert wird.

3.12 Auftrennung in de.comp-security.firewall.professional
de.comp-security.firewall.private
..........................................................

de.comp-security.firewall.professional beschäftigt sich mit
Firmen und Behördennetzen, während de.comp-security.firewall.private
für die kleinen Privat-LANs und -Einzelplatzsysteme da ist. Eine
Gruppe, die sich mit Desktop-Firewalls beschäftigt, halte ich für
nicht sinnvoll. Dies wurde auch schon diskutiert.

3.13 Neubestimmung der Auftrennung de.comp-security.firewall
de.comp-security.misc
............................................................

Inhaltlich genau wie oben, nur mit dem Unterschied, dass man nur
in den Statuten nacharbeitet. Nachteil: Dass Privat-LANs und
-Einzelplatzsysteme _nur_ in de.comp-security.misc besprochen werden
sollen, geht nicht unmittelbar aus dem Namen hervor. Daher ist das
Risiko groß, dass PF-Fragen doch immer mal noch in d.c.s.f landen.

3.2 Überarbeitung/Weiterentwicklung der FAQs
--------------------------------------------

Folgende Punkte fallen mir ein:

- Mehr RFC-Angaben bei einzelnen Fragen.

- Insgesamt, den Leser ernster nehmen. Da betrifft:

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Trojanerports
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Windowsfreigaben

- Lösungsmöglichkeiten für häufige Fragestellungen präsentieren.

- Unterschiedliche Gefährdungs- und Schadensszenarien bei
Privatanwendern und Firmen beschreiben und die Folgerungen daraus.

- Methoden zum sicherer Dateiaustausch im LAN beschreiben.

- Beispiel für den sinnvollen Einsatz eines (externen) Paketfilters

Ideal wäre es, wenn dies von mehreren Leuten gemacht wurde.

3.3 Soziale Kontrolle auch für dcsf-"Helden"
--------------------------------------------

Hier liegt es im Argen. Leute, die sich sozial daneben benehmen,
müssten zurechtgewiesen werden. _Soziales_ Fehlverhalten kann auch
dann vorliegen, wenn der Autor _technisch_ hoch kompetent ist.
Ein gutes Diskussionsklima ist kein Luxus, sondern für eine gute
Lesbarkeit unabdingbar. Uninteressant erscheinende Anfragen lassen
sich leicht ignorieren. Ohne Zurechtweisung von Fehlverhalten wird
sich nichts zum Guten verändern. Hier wäre Mut und persönliches
Engagement gefragt. Mit "Zurechtweisung" meine ich nicht mit
gleicher Münze zurückzahlen, sondern den Autor etwa darauf
hinzuweisen, dass man aggressive Artikel nicht lesen möchte.

Am besten wäre m.E. eine Moderation.

3.4 Fragen auch mal gar nicht beantworten
-----------------------------------------

"Off-topic"-Fragen sollte gar nicht beantwortet werden, auch nicht
durch grobe Zurechtweisungen. Lediglich ein Link zur Beschreibubg der
NG-Inhalte und der Kommentar "Wir bedauern, gehört nicht zum
Themenspektrum der Gruppe". Daraus kann dann eigentlich kein "flame
war" entstehen.

Im Zweifelfall sollte auch öfters "gar nicht" geantwortet werden.
In _diesem speziellen Falle_ ist mal ein DENY besser als REJECT.

4 Persönliches Fazit
====================

Ansonsten ist das meine Abschiedsvorstellung. Ich habe keine rechte
Hoffnung auf Besserung, da 15% der Schreiber die Gruppe leicht völlig
aufmischen können. Viele unter den restlichen Lesern haben wohl 'eh
resigniert oder halten sich gleich ganz raus. Um ein iptables-Skript
zu Schreiben braucht es nur Bücher, die Doku noch ein Sniffer zum
Austesten. dcsf ist da für jemand wie mich völlig entbehrlich. Das
Lesen macht auch keinen Spaß, da einige wenige Hardcore-Leute das
Klima zu stark negativ beherrschen.

Man braucht vielleicht eine Kriegermentalität oder vielleicht fehlende
Selbstachtung oder einen unerschütterlichen Glauben an das Gute im
Menschen, um hier zu überleben. Dazu habe ich keine Lust. Ich sage
jetzt mal "Team fall back". Jeder vermiedene Kampf ist ein gewonnener
Kampf. Und ich "weine" nicht, das sage ich in Anspielung auf Leitners
Website. Ich analysierte hier und präsentierte erste Lösungsvorschläge.
Bessere mögen folgen! Man kann immer noch was verbessern.

5 Sarkastischer Abgesang
========================

- Bedanke dich niemals im Voraus. Es könnte dir schlecht bekommen.
- Schreibe nicht "liebe NG", denn da sind vielleicht zu viele gemeint.
- Gib niemals zu, dass du etwas nicht weißt. Es könnte gegen dich
verwendet werden.
- Zieh dich warm an, wenn du soziale Kritik an Software-Helden übst,
denn sie können Fans haben.
- "Flames welcome" kann eine angemessene Grußformel sein.

Ich grüße all diejenigen, die hinter einem Artikelschreiber oder einer
Autorin nicht nur einen zu "fraggenden Bot" sehen sondern einen zu
respektierenden Menschen. Wenn ihr die restlichen Leute seht, schreibt
ihnen, dass ich sie _nicht_ grüße.

So jetzt schalte ich die Musik von Nirvana und Creed erst mal auf Schubert
um, danach spiele ich _politisch unkorrekt_ noch ein bisschen Max Payne. :-)

Manfred

[Urs [Ayahuasca] Traenkner]

Manfred Koerkel wrote:

> 3.12 Auftrennung in de.comp-security.firewall.professional
> de.comp-security.firewall.private

Dann schreib mal den RfD.

> 3.3 Soziale Kontrolle auch für dcsf-"Helden"
> --------------------------------------------

> Am besten wäre m.E. eine Moderation.

Wer soll das bitte uebernehmen?

Ansonsten muss ich zu Deinen zwei Threads (Jagdfieber und der hier) mal
so sagen, viel Laerm um nichts.

Gruss Urs...
--
"Es war der schlimmste Amoklauf der deutschen Geschichte seit
dem 2. Weltkrieg."

Johannes Rau ueber das Erfurter Massaker

[Felix Schlesinger]

begin Manfred Koerkel schrieb
[Inhaltsverzeichniss]

Das ist lächerlich. Spar dir das nächtes Mal bitte. Sowas gibt in
Büchern usw, und vieleicht sogar auf websiten, Sinn, aber nicht im
Usenet.

> Diese Vorrede schätze ich _leider_ für notwendig ein. Alle Leute
> mit auch _sozialer_ Intelligenz werden wissen, warum.

Na dann, ...

> Ich halte persönlch nichts von Desktop-Firewalls.

Das hat wenig mit persönlicher Meinung zu tun, sondern mit
Fakten. Überhaupt ist das Thema Sicherheit sehr unpersönlich, reine
Meinungen daher irrelevant.

> Viren-Wächter sind mir auch suspekt.

dito.

> Ich beschimpfe Leute, die das einsetzen, nicht.

und weiter?

> dcsf leidet zu oft unter einem schlechten Diskussionsstiel, der

nein, das eigentlich Problem ist ein Mangel an interessanten Threads, so
dass kaum etwas anderes übrig bleibt, als längst beendete
Metadiskussionen immer wieder zu führen.

> - Es gibt technisch qualifizierte Leute, die aber manchmal in einem Stil
> schreiben, als ob sie unter gewissen Sozialisationsdefiziten litten.

Wieos glaubst du eigentlich das beurteilen zu können?

> Aber selbst die schlimmsten unter ihnen scheiben zumindest gelegentlich
> auch gute Beiträge. So kann es etwa vorkommen, dass mitten
> in einem flame thread ein Unterzweig mit Informationen entsteht.

Wirkliche relevante Informationen, also nicht nur Zusammenfassungen
schon vorhandener Texte, habe ich hier schon lange nicht mehr gesehen.

> S/W-Malerei ist also nicht angesagt. Dennoch sind Kommunikations-
> probleme unübersehbar, da ein zu großer Anteil von Artikeln deutlich
> wahrnehmbare Defizite nicht technisch inhaltlicher Art aufweist.
> Im folgenden beschreibe ich einige dieser Probleme.

Das Problem hier ist nicht der Ton, sondern der Inhalt. Punkt.

> Außerdem stünden einigen wenigen Computerexperten etwas mehr
> Bescheidenheit gut an, da der dringede Verdacht besteht, dass ihr
> Wissen doch sehr einseitig ausgerichtet ist.

Und wieder: Wieso kannst du das beurteilen?

> zu befragen. Abgesehen davon, will ich (wohl nicht als einziger)
> das nicht lesen. Es demonstriert auch das Unvermögen dieser Leute,

Das lies es nicht.

> sich damit abfinden zu können, dass da draußen jemand eine andere
> als die eigene Meinung hat. Von gereiften Persönlichkeiten wird aber
> verlangt, dass sie mit Menschen gut koexistieren könnnen, die
> abweichende Meinungen vertreten.

Dies ist eine technische Gruppe. Meinungen als solche sind hier
irrelevant. Es sind beründete Positionen die zählen.

> Die FAQ-Antworten sehe ich als fachlich richtig an und auch
> größtenteils völlig in Ordnung, sie sind aber _teilweise_ (!) ungeeignet
> als Erstkontakt, da sie den Fragesteller doch als strohdumm aussehen

Das Thema Sicherheit hat etwas mit (Selbst-)Verteidigung zu tun. Ich
habe meine Zweifel, das Menschen die nicht einmal einen etwas bissigen
Text lesen können mit diesem Thema lange klarkommen.

> Nach meiner ersten Lekture entstand bei mir auch sofort der drängende
> Wunsch nach einer Reformulierung der FAQs. Leider erlahmte meine Lust
> nach der Entschärfung der ersten Antwort. Außerdem fehlen mir
> an einigen Stellen RFC-Angaben. Dass diese fehlen, könnte man
> auch so (fehl?)rezipieren, dass die Leser 'eh zu dumm für RFCs sind.

RFCs sind leicht zu finden. Wer sind nichtmal finden kann, wird sie auch
nicht verstehen können.

> Jemand stellt eine Frage, die mit maximal 7 Tastaturanschlägen
> perferkt beantwortet werden könnte. Die Frage ist so gestellt, dass
> sie _jeder Experte_ aus dem Kopf beantworten können müsste.

Und warum sollte er dies 10^6 mal tun? Wenn ein Fragesteller zu faul ist
5 Minuten auf google zu suchen, warum sollte sich *irgendwer* die Mühe
machen zu antworten?

> - Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
> sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.

korrekt

> - Externe Paketfilter zum Abschotten intern abgebotener Dienste seien
> nicht sinnvoll.

Das wiederum ist Blödsinn.

> - Closed-Source sei auf keinen Fall einsetzbar.

Wenn Sicherheit entscheident ist, nein. Ausser der Hersteller ist
haftbar.

> - Man brauche niemals ein Programm aus dem Internet.

?

> Derartiges bedarf m.E. jedoch überall der Korrektur, zumindest
> graduell.

Dann tu das, und bitte mit passenden Argumenten und nicht nur
Meinungen. YHO ist hier wie schon gesagt irrelevant.

> Fragen über Probleme mit "Desktop-Firewalls" sind ein Quelle ständigen
> Ärgers. Naive Frager, die sich auch noch leichtsinnig "im voraus
> bedanken" und Antworter, die zu sehr unter Strom stehen, können
> jederzeit eine lästige Eskalation in Richtung "flame war" verursachen.
>
> Daher wäre es sinnvoll, Fragen zu Fehlfunktionen von Desktop-Firewalls
> explizit und dezidiert als Thematik _auszuschließen_. Mit einem Link auf
> diese Passage der Statuten wäre dann die Diskussion jedesmal gegessen.

Du hast scheinbar das Usenet nicht verstanden. Wo sind sie den deiner
Meinung nach besser aufgehoben? (Einfach ganz ausschliessen geht nicht).

> Es sollten höchstens Konzeptfragen, z.B. über die (Un)Möglichkeit
> der prinzipiellen Funktionsweise von "Desktop-Firewalls" diskutiert
> werden können.

Das ist schon oft genug getan worden.

> 3.12 Auftrennung in de.comp-security.firewall.professional
> de.comp-security.firewall.private
> ..........................................................
>
> de.comp-security.firewall.professional beschäftigt sich mit
> Firmen und Behördennetzen, während de.comp-security.firewall.private
> für die kleinen Privat-LANs und -Einzelplatzsysteme da ist. Eine
> Gruppe, die sich mit Desktop-Firewalls beschäftigt, halte ich für
> nicht sinnvoll. Dies wurde auch schon diskutiert.

Das ist Blödsinn. Das ganze ist technisch eine Thematik, sie zu trennen
kann also zu nichts führen. Und Einzelplatzsysteme brauchen (genau wie
fast alle Privat-LANs) keine Firewalls (und erst Recht keine Paketfilter)

> - Insgesamt, den Leser ernster nehmen. Da betrifft:

Dann mach.

>
> - Lösungsmöglichkeiten für häufige Fragestellungen präsentieren.

Dann mach.

> - Unterschiedliche Gefährdungs- und Schadensszenarien bei
> Privatanwendern und Firmen beschreiben und die Folgerungen daraus.

Dann mach.

> - Methoden zum sicherer Dateiaustausch im LAN beschreiben.

Dann mach.

> - Beispiel für den sinnvollen Einsatz eines (externen) Paketfilters

Dann mach.

> Ideal wäre es, wenn dies von mehreren Leuten gemacht wurde.

Warum?

> Hier liegt es im Argen. Leute, die sich sozial daneben benehmen,
> müssten zurechtgewiesen werden. _Soziales_ Fehlverhalten kann auch
> dann vorliegen, wenn der Autor _technisch_ hoch kompetent ist.

Das hier ist Usenet. Es gibt keine allgemeine "soziale Kontrolle",
sondern nur eine Persönliche. Die nennt sich killfile.

> Am besten wäre m.E. eine Moderation.

ROTFL. Weisst du wovon du redest? Wieviel Arbeit das ist? Ausserdem
wirst du ausser viel Zeit dafür noch ein paar Argumente brauchen. Es
gibt gerade mal eine Hand voll moderierten Gruppen, und dass ist auch
gut so.

> Im Zweifelfall sollte auch öfters "gar nicht" geantwortet werden.
> In _diesem speziellen Falle_ ist mal ein DENY besser als REJECT.

Nein, wie auch bei TCP posten die Leute dann halt noch drei mal, bis
doch einer antwortet.

Ciao
Felix

[Denis Jedig]

fam_Sch...@t-online.de (Felix Schlesinger) wrote:

>> Ich halte persönlch nichts von Desktop-Firewalls.
>
> Das hat wenig mit persönlicher Meinung zu tun, sondern mit
> Fakten. Überhaupt ist das Thema Sicherheit sehr unpersönlich, reine
> Meinungen daher irrelevant.

Gerade bei Netzwerksicherheit hast du m.E. Unrecht. Denn diese lässt sich
nicht quantitativ erfassen oder bewerten und man kann keine einfache
Aussage treffen, ob Maßnahme A mit Aufwand X sich in einem bestimmten Fall
lohnt oder nicht. Es ist vielmehr eine Mischung aus Gefühl und Erfahrung,
die letztenendes zu einer Entscheidung führt.

Auf der anderen Seite gibt es Maßnahmen, die aufgrund des geringen
Aufwandes und höheren Sicherheitsgewinnes allgemein empfohlen werden.
"Desktop-Firewalls", lies "lokale Paketfilter", sind da nicht generell
auszuschließen.

> nein, das eigentlich Problem ist ein Mangel an interessanten Threads,
> so dass kaum etwas anderes übrig bleibt, als längst beendete
> Metadiskussionen immer wieder zu führen.

Dir fehlt Beschäftigung? Wie sagte schon ein weiser Mensch vor langer Zeit:
"get a life"

> Dies ist eine technische Gruppe. Meinungen als solche sind hier
> irrelevant. Es sind beründete Positionen die zählen.

Begründete Positionen zum Einsatz von Betriebssystemen sind in dieser
technischen Gruppe aber off-topic, wenn sie über das Thema
"Netzwerksicherheit" hinausgehen.

> RFCs sind leicht zu finden. Wer sind nichtmal finden kann, wird sie
> auch nicht verstehen können.

Im www sind alle Dokumente durch eine simple Pfadangabe zu finden. Sind
Hyperlinks nun darum unnötig?

fup2poster

--
Denis Jedig

[Denis Jedig]

"Manfred Koerkel" <manfred....@t-online.de> wrote:

> Neurologenwitz: Hattu wohl 'ne ventro-mediale Stirnhirnläsion gehabt.
> Phineas Gage lässt grüßen.

Das verstehe ich nicht. Viele andere wahrscheinlich auch nicht. Kann es
jemand erklären?

> Fragen über Probleme mit "Desktop-Firewalls" sind ein Quelle ständigen
> Ärgers. Naive Frager, die sich auch noch leichtsinnig "im voraus
> bedanken" und Antworter, die zu sehr unter Strom stehen, können
> jederzeit eine lästige Eskalation in Richtung "flame war" verursachen.

Wie du schon schriebst, sind die Beteiligten selbst Schuld. Die
unbeteiligten geplagten Leser, die nicht an der Eskalation Schuld sind,
sind aber an ihrem eigenen Unglück Schuld, schließlich gibt es
entsprechende Filterfunktionalität in fast jedem Newsreader.

> Daher wäre es sinnvoll, Fragen zu Fehlfunktionen von Desktop-Firewalls
> explizit und dezidiert als Thematik _auszuschließen_. Mit einem Link
> auf diese Passage der Statuten wäre dann die Diskussion jedesmal
> gegessen.

Die Leute, die zu PF Fragen stellen, interessieren sich in der Regel nicht
für die Charta.

> 3.2 Überarbeitung/Weiterentwicklung der FAQs

FAQs sind eigentlich private Texte. Man könnte auch Textbausteine nehmen,
behilft sich aber zur Eindämmung der Textmenge der Hyperlinks. Jedem steht
es frei, was eigenes zu schreiben, wenn er sich dazu berufen fühlt.

> Am besten wäre m.E. eine Moderation.

Das ist bei dem Artikelaufkommen wohl nicht drin. Außerdem wird man sich
bei einem eventuellen Verfahren bei den Fronten hier wohl nicht auf eine
besetzung der Moderation einigen können.

> Ansonsten ist das meine Abschiedsvorstellung. Ich habe keine rechte
> Hoffnung auf Besserung, da 15% der Schreiber die Gruppe leicht völlig
> aufmischen können.

Das ist immer so. Geht sogar mit einer wesentlich geringeren Prozentzahl.
656 Abgeordnete des Bundestages können zum Beispiel die gesamte Bevölkerung
der Republik leicht aufmischen und es stört sich niemand daran.

> Viele unter den restlichen Lesern haben wohl 'eh
> resigniert oder halten sich gleich ganz raus.

Kein normaler Mensch mit begrenzter Zeit wird sich andauernd in Flamewars
einmischen oder auch nur Artikel lesen, die ihn nicht im Geringsten
interessieren.

--
Denis Jedig

[Felix von Leitner]

Thus spake Denis Jedig (d...@syneticon.de):

> > Das hat wenig mit persönlicher Meinung zu tun, sondern mit
> > Fakten. Überhaupt ist das Thema Sicherheit sehr unpersönlich, reine
> > Meinungen daher irrelevant.
> Gerade bei Netzwerksicherheit hast du m.E. Unrecht.

Ist dir mal in den Sinn gekommen, daß uns hier deine Meinung nicht
interessieren könnte? Hast du dir mal überlegt, daß es für Meinungen,
insbesondere Meta-Meinungen, ganz prima neurotische Selbsthilfe-
Bullshitnewsgroups gibt?

> Auf der anderen Seite gibt es Maßnahmen, die aufgrund des geringen
> Aufwandes und höheren Sicherheitsgewinnes allgemein empfohlen werden.

Du scheinst offenbar der groben Fehlinformation zu unterliegen, daß
Personal Firewalls irgendeinen Sicherheitsgewinn mit sich bringen. Tun
sie nicht. Im Gegenteil.

> > RFCs sind leicht zu finden. Wer sind nichtmal finden kann, wird sie
> > auch nicht verstehen können.
> Im www sind alle Dokumente durch eine simple Pfadangabe zu finden. Sind
> Hyperlinks nun darum unnötig?

Links _sind_ eine simple Pfadangabe, du Knallkopf!

[Denis Jedig]

Felix von Leitner <usenet-...@fefe.de> wrote:

> Thus spake Denis Jedig (d...@syneticon.de):
>> > Das hat wenig mit persönlicher Meinung zu tun, sondern mit
>> > Fakten. Überhaupt ist das Thema Sicherheit sehr unpersönlich, reine
>> > Meinungen daher irrelevant.
>> Gerade bei Netzwerksicherheit hast du m.E. Unrecht.
>
> Ist dir mal in den Sinn gekommen, daß uns hier deine Meinung nicht
> interessieren könnte?

Ist dir mal in den Sinn gekommen, zu argumentieren anstatt direkt zu
flamen? Ganz offensichtlich nicht. Genauso offensichtlich, wie die
Tatsache, dass du den Sinn der Aussage nicht verstanden hast und grundlos
das fup2poster ignoriert hast.

>> Auf der anderen Seite gibt es Maßnahmen, die aufgrund des geringen
>> Aufwandes und höheren Sicherheitsgewinnes allgemein empfohlen werden.
>
> Du scheinst offenbar der groben Fehlinformation zu unterliegen, daß
> Personal Firewalls irgendeinen Sicherheitsgewinn mit sich bringen. Tun
> sie nicht. Im Gegenteil.

Du kannst nicht lesen. Wahrscheinlich deshalb, weil dir ein roter Schleier
vor die Augen fällt, sobald du die Wortfolge "Personal Firewall" zu lesen
meinst. Dabei stand das noch nicht einmal im Ursprungstext.

>>> RFCs sind leicht zu finden. Wer sind nichtmal finden kann, wird sie
>>> auch nicht verstehen können.
>> Im www sind alle Dokumente durch eine simple Pfadangabe zu finden. Sind
>> Hyperlinks nun darum unnötig?
>
> Links _sind_ eine simple Pfadangabe, du Knallkopf!

http://www.w3.org/MarkUp/html-spec/html-spec_2.html#GLOSS19

Lern lesen.

fup2poster

--
Denis Jedig

[Jonas M Luster]

Quoting: Urs [Ayahuasca] Traenkner (urs.tr...@rz.tu-ilmenau.de):

>> Am besten wäre m.E. eine Moderation.
>
> Wer soll das bitte uebernehmen?

Bot.

[Lutz Donnerhacke]

* Manfred Koerkel wrote:
>- Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
> sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.

Nein, es gibt nur bessere Methoden, damit umzugehen.

>- Externe Paketfilter zum Abschotten intern abgebotener Dienste seien
> nicht sinnvoll.

Was ist daran falsch?

>3.11 Ausschluss von Desktop-Firewall-Problemen

Nein. Dafür wurde die Gruppe abgespalten.

>3.12 Auftrennung in de.comp-security.firewall.professional
> de.comp-security.firewall.private

Nein. Das würde zu schweren Netzstörungen führen, falls die Sachkundigen
wirklich die private Gruppe meiden sollten.

>3.2 Überarbeitung/Weiterentwicklung der FAQs

>
>Folgende Punkte fallen mir ein:
>
>- Mehr RFC-Angaben bei einzelnen Fragen.

Wo konkret?

>- Insgesamt, den Leser ernster nehmen. Da betrifft:
>
>http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
>http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken
>http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Trojanerports
>http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Windowsfreigaben

Nein, eine sachliche Erklärung wie die angebene, ist durch Angaben von
Protokollspezifikationen nicht verständlicher zu bekommen. Die
Protokollspezifikationen erklären eben nicht, welche Folgen Fehlverhalten hat.

>- Lösungsmöglichkeiten für häufige Fragestellungen präsentieren.

Wenn man wüßte, was so häufig gefragt und noch nicht beantwortet wurde.

>- Unterschiedliche Gefährdungs- und Schadensszenarien bei
> Privatanwendern und Firmen beschreiben und die Folgerungen daraus.

Hmm.

>- Methoden zum sicherer Dateiaustausch im LAN beschreiben.

Hmm.

>- Beispiel für den sinnvollen Einsatz eines (externen) Paketfilters

Hmm.

>Ansonsten ist das meine Abschiedsvorstellung.

Gut, vergiß meinem 'hmm's.

[Markus Brischke]

Subject: Re: Irritationen eines d.c.s.f.-Lesers
Date: Mon, Apr 29, 2002 at 09:11:59AM +0000

Quoting Lutz Donnerhacke (lu...@iks-jena.de):
> >3.11 Ausschluss von Desktop-Firewall-Problemen
>
> Nein. Dafür wurde die Gruppe abgespalten.
>

Welche Gruppe ist das denn? de.comp.security.misc? Kann man so etwas,
abgesehen von der Newsgroup selber, irgendwo nachlesen?

mfg. Markus Brischke

[Stefan Heinecke]

Manfred Koerkel <manfred....@t-online.de> wrote:

Ich geh nur mal auf einen kleine Teil ein:

> - Lösungsmöglichkeiten für häufige Fragestellungen präsentieren.

Die Lösungsmöglichkeit in einer grossen Anzahl der Probleme
ist eine Re-Konfiguration des Betriebssystems, fuer Win95/98
hilft: http://www.staff.uiuc.edu/~ehowes/eburger.txt

Sowie das überarbeiten der Defaultinstallation, war schon ewig
so, kein Betriebssystem ist per default sicht. Dazu kommt
noch das konfigurieren bzw. entfernen unbrauchbarer und
ungeeigneter Clientsoftware - gestaltet sich schon weitaus
schwieriger.

> - Unterschiedliche Gefährdungs- und Schadensszenarien bei
> Privatanwendern und Firmen beschreiben und die Folgerungen daraus.

Datenverlust, -manipulation, -veröffentlichung und die daraus
abzuleitenden Probleme und Folgen - YMMV.

> - Methoden zum sicherer Dateiaustausch im LAN beschreiben.

Dies und anderes findest Du unter:
http://directory.google.com/Top/Computers/Security/Internet/

> - Beispiel für den sinnvollen Einsatz eines (externen) Paketfilters

Ist in der gängigen Literatur mehr als umfangreich beschrieben,
ansonsten siehe: http://directory.google.com/Top/Computers/Security/

> Ideal wäre es, wenn dies von mehreren Leuten gemacht wurde.

Siehe http://directory.google.com/Top/Computers/Security/

"Bad Attitude" ist zu glauben niemand haette:
- das Problem vorher gehabt.
- das Problem kann durch Installation von (weiterer) Software gelöst werden.

[Sebastian Bork]

* Markus Brischke <zoke...@zoke.de> schrieb:

> Subject: Re: Irritationen eines d.c.s.f.-Lesers
> Date: Mon, Apr 29, 2002 at 09:11:59AM +0000

Kannst Du das Geraffel bitte weglassen und Deine Einleitung auf *eine*
Zeile kürzen? Zumal das Subject *exakt so* ja sowieso im Header steht.

> Quoting Lutz Donnerhacke (lu...@iks-jena.de):
>> >3.11 Ausschluss von Desktop-Firewall-Problemen
>>
>> Nein. Dafür wurde die Gruppe abgespalten.
>
> Welche Gruppe ist das denn?

Diese.

[Felix Schlesinger]

begin Denis Jedig schrieb

> fam_Sch...@t-online.de (Felix Schlesinger) wrote:
>> Fakten. Überhaupt ist das Thema Sicherheit sehr unpersönlich, reine
>> Meinungen daher irrelevant.
> Gerade bei Netzwerksicherheit hast du m.E. Unrecht. Denn diese lässt sich
> nicht quantitativ erfassen oder bewerten und man kann keine einfache
> Aussage treffen, ob Maßnahme A mit Aufwand X sich in einem bestimmten Fall
> lohnt oder nicht. Es ist vielmehr eine Mischung aus Gefühl und Erfahrung,
> die letztenendes zu einer Entscheidung führt.

Es mag Leute geben, die Fakten und damit die richtigen Maßnahmen "im
Gefühl" haben. Das ist schön für sie, aber in einer technischen
*Diskussionsgruppe* wie schon gesagt irrelevant, bis es mit Argumenten
belegt wird.

> Auf der anderen Seite gibt es Maßnahmen, die aufgrund des geringen
> Aufwandes und höheren Sicherheitsgewinnes allgemein empfohlen werden.

und?

> "Desktop-Firewalls", lies "lokale Paketfilter", sind da nicht generell
> auszuschließen.

doch.

>> nein, das eigentlich Problem ist ein Mangel an interessanten Threads,
>> so dass kaum etwas anderes übrig bleibt, als längst beendete
>> Metadiskussionen immer wieder zu führen.
>
> Dir fehlt Beschäftigung? Wie sagte schon ein weiser Mensch vor langer Zeit:
> "get a life"

Nein, durchaus nicht. Ich habe nur festgestellt, dass es hier in dieser
Gruppe keine interessanten Diskussionen mehr gibt. Dies ist ganz
offensichtlich für einige Leute, die das Thema nicht aufgeben wollen,
also die Gruppe fest verlassen, ein Grund Metadiskussionen zu
führen. Mich wirst du da selten Treffen.

>> Dies ist eine technische Gruppe. Meinungen als solche sind hier
>> irrelevant. Es sind beründete Positionen die zählen.
>
> Begründete Positionen zum Einsatz von Betriebssystemen sind in dieser
> technischen Gruppe aber off-topic, wenn sie über das Thema
> "Netzwerksicherheit" hinausgehen.

Nein, Hostsicherheit ist ein entscheidender Bestandteil von
Netzwerksicherheit.

>> RFCs sind leicht zu finden. Wer sind nichtmal finden kann, wird sie
>> auch nicht verstehen können.
>
> Im www sind alle Dokumente durch eine simple Pfadangabe zu finden. Sind
> Hyperlinks nun darum unnötig?

Was ist ann google.com und nach "rfc" suchen so schwer?

Ciao
Felix
PS: Wobei nichts dagegen spricht eine passende Seite zu verlinken.

[Felix von Leitner]

Thus spake Denis Jedig (d...@syneticon.de):

> > Ist dir mal in den Sinn gekommen, daß uns hier deine Meinung nicht
> > interessieren könnte?
> Ist dir mal in den Sinn gekommen, zu argumentieren anstatt direkt zu
> flamen?

Hallo? Du pupst die Newsgroup hier mit unrelevanten "ich finde"
Postings voll, tust dann ein Followup-To-Poster rein und pupst nochmal
rum, wenn Leute deine Bandbreiten- und Zeitverschwendung richtigstellen
oder hinterfragen?!

Warum gehst du nicht zu einem der vielen Web-Boards, da sind Leute mit
deinen Fähigkeiten gerne gesehen, und da kannst du so richtig wunderbar
herumpupen, weil da eh Bandbreite ohne Ende verschwendet wird.

> Ganz offensichtlich nicht. Genauso offensichtlich, wie die Tatsache,
> dass du den Sinn der Aussage nicht verstanden hast und grundlos das
> fup2poster ignoriert hast.

Heul doch!

> > Du scheinst offenbar der groben Fehlinformation zu unterliegen, daß
> > Personal Firewalls irgendeinen Sicherheitsgewinn mit sich bringen. Tun
> > sie nicht. Im Gegenteil.
> Du kannst nicht lesen. Wahrscheinlich deshalb, weil dir ein roter Schleier
> vor die Augen fällt, sobald du die Wortfolge "Personal Firewall" zu lesen
> meinst. Dabei stand das noch nicht einmal im Ursprungstext.

Bei Leuten, die etwas zu sagen haben, würde ich jetzt fragen, was sie
denn eigentlich sagen wollten, als sie etwas anderes schrieben, aber bei
dir tue ich das nicht. Geh weg.

> fup2poster

Warum gehst du nicht einfach WEG, anstatt diese Newsgroup heimzusuchen?

[Andreas Bertram]

Felix,

Du bist wirklich das ärmlichste Würstchen, das die Welt (oder zumindest
das Usenet) je gesehen hat - und Du stellst es wirklich wiederholt unter
Beweis ...

[Haluk]

Kannst du nicht vernünftig argumentieren? Befindest du dich im Dauerstreit
mit alles und jedem?

Hör endlich auf, jeden anzumachen. Das nervt!

Haluk

[Felix von Leitner]

From: Andreas Bertram <andreas...@imk.fraunhofer.de>
Reply-To: andy.b...@web.de

ROTFL

Das klärt ja wohl endgültig die Frage, für wen die Fusion Fraunhofer-GMD
eine größere Beleidigung wäre. Und es ist _nicht_ einfach, die GMD zu
unterbieten.

[Andreas Bertram]

Du hast schon besser geflamed. Mehr fällt Dir dazu nicht ein?
Abgesehen davon - IMK ist ein (ehemaliges) GMD-Institut (siehe
www.imk.fraunhofer.de).

Und wieder ein sinnfreies Flame-Posting mehr von Dir, welches beweist:
Deinen Fachkenntnissen zum Trotz bist Du der mit Abstand arroganteste
Rotz, der sich im Usenet aufhält.

Und nun löse doch bitte endlich Dein vor Monaten gegebenes Versprechen
ein, mich (oder wie seinerzeit angekündigt die gesamte Domain
gmd.de/fraunhofer.de) in Deinen Filter aufzunehmen.

Oder um es in Deinen Worten zu schreiben
"geh weg"
"geh sterben"
..

[Wolfgang Kueter]

Lutz Donnerhacke wrote:

> * Manfred Koerkel wrote:

>>3.12 Auftrennung in de.comp-security.firewall.professional
>> de.comp-security.firewall.private

> Nein. Das würde zu schweren Netzstörungen führen, falls die
> Sachkundigen wirklich die private Gruppe meiden sollten.

Wenn das richtig wäre, hätten wir diese 'schweren Netzstörungen' schon
seit Jahren. IMHO überschätzt Du die Wirkung von dcsf, es verirren sich
seit Jahren zunehmend weniger Leute überhaupt ins Usenet. In Relation
zur der Gesamtzahl der Leute mit Netzzugang ist die Anzahl Newbies, die
in dcsf bel^kert werden, verschwindend gering.

Wolfgang

[Paul Muster]

"Thorsten Glaser" <ty...@netcologne.de> schrieb:

> Nur so nebenbei, Google != Veröffentlichung, und selbst wenn,
> X-No-Archive: Yes existiert.
> Man kann damit sogar ganze Threads nicht archivieren lassen
> (unwissend herausgefunden, siehe comp.mail.pine, zwei Wochen alt).

Bitte nenne mal ne MID oder keywords für groups.google.de.

thx & mfg Paul

--
Markus Ritter in <a9jj59$3qb8s$1...@ID-85881.news.dfncis.de>:
"Als Fw-Dienstgrad steht Dir am Ende Deiner Bundeswehrzeit AFAIK 2.5 Jahre
zur Weiterbildung zur Verfuegung (da macht man dann das Abi nach etc.)."
--- eMails ans From: werden ungelesen gelöscht. ---

[Denis Jedig]

Felix von Leitner <usenet-...@fefe.de> wrote:

> Thus spake Denis Jedig (d...@syneticon.de):
>> > Ist dir mal in den Sinn gekommen, daß uns hier deine Meinung nicht
>> > interessieren könnte?
>> Ist dir mal in den Sinn gekommen, zu argumentieren anstatt direkt zu
>> flamen?
>
> Hallo? Du pupst die Newsgroup hier mit unrelevanten "ich finde"
> Postings voll, tust dann ein Followup-To-Poster rein und pupst nochmal
> rum, wenn Leute deine Bandbreiten- und Zeitverschwendung richtigstellen
> oder hinterfragen?!

Der einzige, der hier herumpupst, das bist du. Aber das verstehst du
natürlich nicht, das kann ich nachvollziehen. Merkbefreite sind natürlich
per Definition nicht zur Einsicht fähig. Genausowenig wie zum Lernen oder
Lesen.

Ein fup2poster könntest du ignorieren, wenn du tatsächlich was on-topic-
content beizutragen hättest, aber alles, was bei dir rumkam, ist
widerliches Geflame. Nun sogar schon zum zweiten Mal.

Weißt du was? Hör nicht auf die Stimmen, lass dir professionell helfen.

> Warum gehst du nicht zu einem der vielen Web-Boards, da sind Leute mit
> deinen Fähigkeiten gerne gesehen, und da kannst du so richtig wunderbar
> herumpupen, weil da eh Bandbreite ohne Ende verschwendet wird.
>
>> Ganz offensichtlich nicht. Genauso offensichtlich, wie die Tatsache,
>> dass du den Sinn der Aussage nicht verstanden hast und grundlos das
>> fup2poster ignoriert hast.
>
> Heul doch!

Hälst du mich für Rotkäppchen, oder warum denkst du, ich würde angesichts
deines riesengrossen Mauls huschen? (achtung, das ist eine _rhetorische_
Frage)

>> > Du scheinst offenbar der groben Fehlinformation zu unterliegen, daß
>> > Personal Firewalls irgendeinen Sicherheitsgewinn mit sich bringen.
>> > Tun sie nicht. Im Gegenteil.
>> Du kannst nicht lesen. Wahrscheinlich deshalb, weil dir ein roter
>> Schleier vor die Augen fällt, sobald du die Wortfolge "Personal
>> Firewall" zu lesen meinst. Dabei stand das noch nicht einmal im
>> Ursprungstext.
>
> Bei Leuten, die etwas zu sagen haben, würde ich jetzt fragen, was sie
> denn eigentlich sagen wollten, als sie etwas anderes schrieben, aber
> bei dir tue ich das nicht. Geh weg.
>
>> fup2poster
>
> Warum gehst du nicht einfach WEG, anstatt diese Newsgroup heimzusuchen?

Anstatt einfach alle anderen Leute wegzuschicken, solltest du den Weg des
geringeren Widerstandes gehen und selbst verschwinden -> fup2 dag° (nicht
dass ich ernsthaft erwarten würde, dass du es befolgst)

Für die Audienz: Zugehörige Message-IDs in den References

-------------------------------------------------------------
MERKBEFREIUNG - MERKBEFREIUNG - MERKBEFREIUNG - MERKBEFREIUNG

Die nachstehend eindeutig identifizierte Lebensform

Name : Fe
[_] egal

Vorname : Fe
[_] egal

Geburtsdatum : leider
Geburtsort : uninterressant
Usenet-Kennzeichen : usenet-*@fefe.de

ist hiermit

( ) für den Zeitraum von
( ) 2 Sekunden
( ) 6 Monaten
( ) 12 Monaten
(X) 24 Monaten
( ) 13 Jahren
( ) unbefristet

davon befreit, etwas zu merken, d.h. wesentliche
Verhaltensänderungen bei der Interaktion mit denkenden Wesen zu
zeigen. Die Einstufung der o.a. Person nach dem amtlichen Index
für Merkbefreiungen liegt bei dem Äquivalent von

( ) einem Mensaessen vom Vortag
( ) drei Hartkeksen (Werksverkauf Bahlsen) in löslichem
Kaffee Hag
( ) einem Quadratmeterstück Torfmoos während einer
sechswöchigen Sommerdürre
( ) einem Container erodiertem Sandstein [Streusandqualität]
( ) einem Mitglied der Bundesregierung
( ) einer Drucksache der Senatsplanungskommission der
Universität Oldenburg (Präsidiumsvorlage)
( ) einem Kilo Watt (Schlickwatt, Jadebusen)
(X) 5 AOL-CDs
(_) ______1____________________________

Die ausgesprochene Merkbefreiung erlischt mit

(X) dem Ablauf der o.g. Frist, beginnend mit dem
Zeitpunkt der Ausstellung
( ) dem Ablauf des __.__.____
( ) der vollständigen Erosion der körperlichen
Bestandteile der o.a. Lebensform

und gilt, egal ob die o.a. Lebensform durch das nachstehende
Kennzeichen als merkbefreit zu identifizieren ist:

( ) schwarze Hose, schwarze Schuhe, weiße Socken
( ) eine umgedrehte Baseballkappe
( ) olives Stoffstück mit weißem Rand, auf der Schulter
zu tragen
( ) eindeutig unbefristet merkbefreiter Gesichtsausdruck
(X) Schaum vor dem Mund

Befund nach Prüfung durch das Bundesamt:

[_] kurzzeitiger Aussetzer durch Übermüdung des Merkerit-
deflektionsstudenten. Einstellung eines zweiten solchen
wird empfohlen.
( ) Hohe Konzentrationen an Trollium und Merkerit
(X) Extrem hohe Konzentrationen an Trollium und Merkerit
[X] Alle bekannten Therapien sind wirkungslos
[_] Einstufung in die Gefahrenklasse
[_] ELCH - A I
[_] DAU - B II
[X] TROLL - DO NOT FEED
[_] KASPER - DANCE FASTER!
[_] Paranoia naciformis, Analphabetia semantica
[_] Microsoftititis

Die o.a. Lebensform ist durch den Erwerb dieses
Merkbefreiungsscheins automatisch für die folgenden Tätigkeiten
qualifiziert:

[_] Markierungshütchen bei Abmarkierungsarbeiten auf
Bundesautobahnen
[_] Pegellatte in Prielen und Sielen
[_] Garderobenständer und Regenschirmständer in
Restaurants bis zu, aber nicht eingeschlossen, 3
Sterne
[_] Regelstab in Schwerwasserreaktoren (Brennelemente
britischer Herkunft eingeschlossen)
[_] Markierungsstab für das Fahrwasser im Nationalpark
Niedersächsisches Wattenmeer
[X] Landschaftsmerkmal/Orientierungshilfe in der Wüste
Gobi
[_] Füllmaterial eines Salzstocks nach dortiger Endlagerung
von gebrauchten Brennelementen
[_] Müllschlucker für hausmüllähnliche Gewerbeabfälle
in Betrieben des Deichbaus

Die Merkbefreiung für die o.a. Lebensform wurde in einem
öffentlichen Merkbefreiungsverfahren ausgesprochen und ist nach
Ablauf der Einspruchsfrist von 17 Sekunden rechtskräftig.

Weitere Auflagen und Entscheidungen:

[_] *PLONK* [_] GEH WEG!
[_] *PLATSCH* [_] Get a life!
[_] *PATSCH* [_] Sie sind raus!
[X] *limmib* [_] Geh sterben.
[X] 42 [_] _______________
[_] Erlöse den menschlichen
Genpool von dir

Weitere Betreuung durch:

[_] /dev/null - QUARANTÄNE
[X] Schwester Johanna
[X] Die Hilfspfleger

Es wird die/der

( ) vorläufige Aufbewahrung
(X) Zwischenlagerung
( ) Endlagerung
( ) Heilungsversuch

angeordnet.

Weitere Anordnungen:

[_] Froschpillenkur
( ) grüne Froschpillen
( ) rosa Froschpillen
( ) gestreifte Froschpillen
( ) ___________ Froschpillen
[X] Einlauf
[_] mit Kamillentee°
[X] mit Froschpillen
[x] Tackern (aber bitte richtig feste)
[_] sonstige Behandlung nach Ermessen der Pfleger

[X] Die sofortige Vollziehbarkeit dieses Bescheids wird
hiermit angeordnet.

Begründung:

(X) Notstandsmaßnahme
(X) andere
[X] unmittelbare Gefahr für die geistige Gesundheit von
Lesern
[_] ROTFL
[_] _____________________________________

Hochachtungsvoll!

Das Bundesamt für die Verwaltung des Nutz-Netzes
Dezernat III - Abteilung für Troll-, DAU-, und FAQ-Sachbearbeitung

Datum Unterschrift Dienstsiegel

[Poststempel] [unleserlich] [Dienstsiegel]

Stirnabdruck des Merkbefreiten

*flatsch*

MERKBEFREIUNG - MERKBEFREIUNG - MERKBEFREIUNG - MERKBEFREIUNG
-------------------------------------------------------------

[Felix von Leitner]

Thus spake Denis Jedig (d...@syneticon.de):

> -------------------------------------------------------------
> MERKBEFREIUNG - MERKBEFREIUNG - MERKBEFREIUNG - MERKBEFREIUNG

> Die nachstehend eindeutig identifizierte Lebensform

> Name : Fe
> [_] egal

> Vorname : Fe
> [_] egal

ROTFL, hat die Welt jemals solche Dämlichkeit gesehen?
Der Mann ist sogar zu dämlich zum Ausstellen einer Merkbefreiung!

Hey, Denis, damit gehst du in die Annalen des Usenet ein. So krasse
Inkompetenz habe ich schon lange nicht mehr gesehen. Hoffen wir, daß es
sich um das absolute Minimum handelt und nicht morgen eine Kreuzung aus
dir und Haluk kommt und es noch tiefer schafft.

[Denis Jedig]

fam_Sch...@t-online.de (Felix Schlesinger) wrote:

> begin Denis Jedig schrieb

>> Gerade bei Netzwerksicherheit hast du m.E. Unrecht. Denn diese lässt
>> sich nicht quantitativ erfassen oder bewerten und man kann keine
>> einfache Aussage treffen, ob Maßnahme A mit Aufwand X sich in einem
>> bestimmten Fall lohnt oder nicht. Es ist vielmehr eine Mischung aus
>> Gefühl und Erfahrung, die letztenendes zu einer Entscheidung führt.
>
> Es mag Leute geben, die Fakten und damit die richtigen Maßnahmen "im
> Gefühl" haben. Das ist schön für sie, aber in einer technischen
> *Diskussionsgruppe* wie schon gesagt irrelevant, bis es mit Argumenten
> belegt wird.

Es gibt keine Maße für Netzwerksicherheit außer des sehr grob abschätzenden
"sicherer" oder "weniger sicher". Die einzigen quantitativen Maßstäbe, die
mir geläufig sind, sind die von GE CompuNet. Da dort allerdings grob gesagt
willkürlich Werte für die verschiedenen Sicherheitsmaßnahmen angenommen
wurden und diese auch nicht offengelegt werden, ist das genauso
Kaffeesatzleserei wie alles Andere auch.

Das ist zwar wieder "nur" meine Aussage, hier aber keineswegs irrelevant.

>> "Desktop-Firewalls", lies "lokale Paketfilter", sind da nicht generell
>> auszuschließen.
>
> doch.

Nein. Zum Einen kannst du nicht alles mit tcp-wrappern (die im Übrigen
dasselbe Konzept in Grün sind) lösen. Zum Anderen kannst du auch nicht
alles mit Anwendungskonfiguration lösen. Lokale Paketfilter sind da eine
gute und ernstzunehmende Ergänzungsmaßnahme.

>> Dir fehlt Beschäftigung? Wie sagte schon ein weiser Mensch vor langer
>> Zeit: "get a life"
>
> Nein, durchaus nicht. Ich habe nur festgestellt, dass es hier in dieser
> Gruppe keine interessanten Diskussionen mehr gibt.

Es gibt viel Rauschen, da gebe ich dir Recht.

> Dies ist ganz
> offensichtlich für einige Leute, die das Thema nicht aufgeben wollen,
> also die Gruppe fest verlassen, ein Grund Metadiskussionen zu
> führen. Mich wirst du da selten Treffen.

Wer verbrennt schon gerne seine Zeit, von einigen wenigen Ausnahmen und den
"Neulingen" mal abgesehen?

> Nein, Hostsicherheit ist ein entscheidender Bestandteil von
> Netzwerksicherheit.

Generell Windows NT zu verteufeln ist aber kein Beitrag zur Hostsicherheit.

> Was ist ann google.com und nach "rfc" suchen so schwer?

Nichts.

> PS: Wobei nichts dagegen spricht eine passende Seite zu verlinken.

Eben, das war die Aussage.

[Jens Hoffmann]

Moin Wolfgang,

Wolfgang Kueter <wolf...@shconnect.de> wrote:
>Wenn das richtig wäre, hätten wir diese 'schweren Netzstörungen' schon
>seit Jahren.

Haben wir doch, im Endeffekt.

Gruss,
Jens

--
"The Internet is full. Go elsewhere!"

[Wolfgang Kueter]

Jens Hoffmann wrote:

> Moin Wolfgang,
>
> Wolfgang Kueter <wolf...@shconnect.de> wrote:
>>Wenn das richtig wäre, hätten wir diese 'schweren Netzstörungen' schon
>>seit Jahren.
>
> Haben wir doch, im Endeffekt.

OK, Jens, man mag das so sehen. Das bestätigt aber eher meine Aussage,
dass Lutz die Wirkung von dscf überschätzt, als es ihr widerspricht.

Wolfgang
--
A foreign body and a foreign mind,
never welcome in the land of the blind.
Peter Gabriel, Not one of us, 1980

[Felix Schlesinger]

begin Denis Jedig schrieb
> fam_Sch...@t-online.de (Felix Schlesinger) wrote:

> Es gibt keine Maße für Netzwerksicherheit außer des sehr grob abschätzenden
> "sicherer" oder "weniger sicher". Die einzigen quantitativen Maßstäbe, die

Doch ist gibt das völlig eindeutige "nicht sicher"; beweisbar z.B. durch
Demonstration. Darüber hinaus gibt es einige Sachen, über die kein
völliger Konsens herrscht, aber das ist für Einsteiger erstmal recht
egal. Und auch für solche Fragen sind reine Meinungen nicht wichtig,
sondern nur Argumente.

>>> "Desktop-Firewalls", lies "lokale Paketfilter", sind da nicht generell
>>> auszuschließen.
>> doch.
> Nein. Zum Einen kannst du nicht alles mit tcp-wrappern (die im Übrigen
> dasselbe Konzept in Grün sind) lösen. Zum Anderen kannst du auch nicht

Nein, sie setzten an der zu schützenden Anwendung an, nicht am
Netz.

> alles mit Anwendungskonfiguration lösen. Lokale Paketfilter sind da eine
> gute und ernstzunehmende Ergänzungsmaßnahme.

Das wird oft behauptet, aber wirkliche Arguemente dafür habe ich noch
nie gesehen.

>> Nein, durchaus nicht. Ich habe nur festgestellt, dass es hier in dieser
>> Gruppe keine interessanten Diskussionen mehr gibt.
>
> Es gibt viel Rauschen, da gebe ich dir Recht.

Das wäre kein Problem, wenn es noch interessante Beiträge geben würde.

>> Nein, Hostsicherheit ist ein entscheidender Bestandteil von
>> Netzwerksicherheit.
> Generell Windows NT zu verteufeln ist aber kein Beitrag zur Hostsicherheit.

Stimmt, verteufeln alleine bringt nichts, dafür muss man es ganz
abschaffen. ;-)

Ciao
Felix

[Felix von Leitner]

Thus spake Denis Jedig (d...@syneticon.de):

> Es gibt keine Maße für Netzwerksicherheit außer des sehr grob abschätzenden
> "sicherer" oder "weniger sicher".

Herr Jedig faselt mal wieder. Wer es noch nicht getan hat, und wessen
Lachmuskeln noch Spielraum haben, der kann sich ja mal www.syneticon.de
anschauen. Ich zitiere:

Bildung ist die Schlüsselressource des 21. Jahrhundert

Beste Ansicht: Internet Explorer 5.5 bei 800x600 oder höher...

ROTFL

Wem das noch nicht reicht, der kann auch noch weiterklicken und die
"FAQ" für "microsoft.public.de.german.windowsnt.server" finden. Keine
weiteren Fragen, Kienzle.

> Die einzigen quantitativen Maßstäbe, die mir geläufig sind, sind die
> von GE CompuNet.

ROTFL

> > doch.
> Nein. Zum Einen kannst du nicht alles mit tcp-wrappern (die im Übrigen
> dasselbe Konzept in Grün sind) lösen. Zum Anderen kannst du auch nicht
> alles mit Anwendungskonfiguration lösen. Lokale Paketfilter sind da eine
> gute und ernstzunehmende Ergänzungsmaßnahme.

Ich kenne keinen Netzwerkdienst, den man nicht nur an ein Interface
binden kann o.ä. Wenn das nicht reicht, ist die Netzkonfiguration im
Arsch. Aber das jetzt vielleicht ein bißchen viel auf einmal für
jemanden, der hier ernsthaft GE Compunet zitiert.

> > Nein, Hostsicherheit ist ein entscheidender Bestandteil von
> > Netzwerksicherheit.
> Generell Windows NT zu verteufeln ist aber kein Beitrag zur Hostsicherheit.

In der Tat. Verteufeln reicht nicht. Löschen, brandschatzen,
formatieren, partitionieren, nochmal formatieren, newfs, mit Nullen
füllen, nochmal newfs, eine Jungfrau opfern und hoffen, daß die Hardware
einem die Verseuchung mit NT nicht übel nimmt. Ich habe im Keller einen
Rechner, der immer noch periodisch abstürzt, obwohl das Test-NT schon
seit über 1999 gelöscht ist.

--
|:Wenn ein Anfaenger hier eine Frage stellt, dann hat er die auch
|:immer noch beantwortet bekommen.
|Der Ton macht die Musik.
Moechtest Du eine Antwort oder moechtest Du liebgehabt werden?

[Christian Dietl]

* Denis Jedig wrote:
> fam_Sch...@t-online.de (Felix Schlesinger) wrote:
>> begin Denis Jedig schrieb
>>> Gerade bei Netzwerksicherheit hast du m.E. Unrecht. Denn diese lässt
>>> sich nicht quantitativ erfassen oder bewerten und man kann keine
>>> einfache Aussage treffen, ob Maßnahme A mit Aufwand X sich in einem
>>> bestimmten Fall lohnt oder nicht. Es ist vielmehr eine Mischung aus
>>> Gefühl und Erfahrung, die letztenendes zu einer Entscheidung führt.
>>
>> Es mag Leute geben, die Fakten und damit die richtigen Maßnahmen "im
>> Gefühl" haben. Das ist schön für sie, aber in einer technischen
>> *Diskussionsgruppe* wie schon gesagt irrelevant, bis es mit Argumenten
>> belegt wird.
>
> Es gibt keine Maße für Netzwerksicherheit

Ich greife mal deinen obigen Satz raus und formuliere ihn neu:
Man kann eine Aussage darüber treffen, ob Maßnahme A in einem
konkreten Szenario ein definiertes Ziel erfüllt oder nicht.

Es gibt in der Netzwerksicherheit also 'sicher' und 'unsicher'.

> außer des sehr grob abschätzenden
> "sicherer" oder "weniger sicher".

Nein, wie willst du denn feststellen ob etwas sicherer oder weniger
sicher (gegenüber was denn eigentlich?) ist? Das ist unsinnig.

[Jens Hoffmann]

Hi,

Wolfgang Kueter <wolf...@shconnect.de> wrote:
>OK, Jens, man mag das so sehen. Das bestätigt aber eher meine Aussage,
>dass Lutz die Wirkung von dscf überschätzt, als es ihr widerspricht.

Ja. Usenet ist ueberschaetzt ;)

Aber trotz vielem Lesen in dscf hab ich immer noch kein Arguemnt gefunden,
dass unsere Produktmanager vom Gedanken abbringen koennte, PFW als managed service
verkaufen zu wollen.

Also sollten wir (um meinen Anspruechen gerecht zu werden ;)) noch mehr
DAUs hier rein spuelen.

Ernsthafte Themen sind zunehmend schwerer zu identifizieren.

Gruss,
Jens

[Immo 'FaUl' Wehrenberg]

begin followup to the posting of Felix von Leitner:

> Thus spake Denis Jedig (d...@syneticon.de):
>> Es gibt keine Maße für Netzwerksicherheit außer des sehr grob abschätzenden
>> "sicherer" oder "weniger sicher".
>
> Herr Jedig faselt mal wieder. Wer es noch nicht getan hat, und wessen
> Lachmuskeln noch Spielraum haben, der kann sich ja mal www.syneticon.de
> anschauen. Ich zitiere:
>
> Bildung ist die Schlüsselressource des 21. Jahrhundert
>
> Beste Ansicht: Internet Explorer 5.5 bei 800x600 oder höher...
>
> ROTFL
>
> Wem das noch nicht reicht, der kann auch noch weiterklicken und die
> "FAQ" für "microsoft.public.de.german.windowsnt.server" finden. Keine
> weiteren Fragen, Kienzle.

ROTFL, ich habe noch einen gefunden...

Die falschen Abschnittszahlen sind Ergebnis einer unglücklichen
Konvertierung. Wird wohl erst behoben, wenn das Word-CSS-Makro fertig
ist. Alle Beschwerden darüber an denis...@web.de

FaUl
end
This article does not support incompatible and broken newsreaders.
--
> Ein Router ist sowas ähnliches wie ein Hub. Er ermöglicht
> mehreren PCs den Internetzugang
Ein Roller ist so was wie ein Ufo, man kann sich damit fortbewegen.
"Sebastian" und "Andreas Hoffmann" in de.comm.technik.dsl

[Wolfgang Kueter]

Jens Hoffmann wrote:

> Aber trotz vielem Lesen in dscf hab ich immer noch kein Arguemnt
> gefunden, dass unsere Produktmanager vom Gedanken abbringen koennte,

^^^^^^^^^^^^^^

klingt schon recht gut, Besseres gibt es gratis von Martin Joergensen
aus Kopenhagen unter

http://www.vertikal.dk/titler/index.php3

> PFW als managed service verkaufen zu wollen.

und, verkaufen sie diese auch? :->

> Also sollten wir (um meinen Anspruechen gerecht zu werden ;)) noch
> mehr DAUs hier rein spuelen.

Vorsicht Jens, am Ende sägst Du Dir mit sowas den Ast ab, auf den Du
(auch) sitzt. :->

Gruss Wolfgang

[Denis Jedig]

Christian Dietl <chrd...@expires.de> wrote:

> * Denis Jedig wrote:
>> Es gibt keine Maße für Netzwerksicherheit
>
> Ich greife mal deinen obigen Satz raus und formuliere ihn neu:
> Man kann eine Aussage darüber treffen, ob Maßnahme A in einem
> konkreten Szenario ein definiertes Ziel erfüllt oder nicht.

Hier eine Frage der Definition von "konkretem Szenario". Du kannst nicht
immer sagen, dass Maßnahme A das definierte Ziel erfüllt. Ist die Maßnahme
so komplex, dass du sie nicht selbst vollständig und fehlerfrei erfassen
kannst/wollen wirst (was bei fremdem Code die Regel sein wird), musst du
dich auf Aussagen und Zusicherungen Dritter verlassen.

> Nein, wie willst du denn feststellen ob etwas sicherer oder weniger
> sicher (gegenüber was denn eigentlich?) ist? Das ist unsinnig.

Gegenüber dem Ausgangszustand. Wie schon erwähnt, ist es auch dann keine
feststellung, sondern eine grobe Abschätzung, die durchaus auch falsch
liegen kann.

--
Denis Jedig

[Martin Wysada]

Haluk wrote:

> Kannst du nicht vernünftig argumentieren? Befindest du dich im Dauerstreit
> mit alles und jedem?

Huhu,
wer im Steinhaus sitzt sollte nicht mit Glas spielen.:)

Martin

--
Tactical Ops: Visit us at www.aeon-clan.org
IRC: irc.de.quakenet.eu.org, channel #æON
http://how.to/dchn Faq aus de.comp.hardware.netzwerke
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

[Denis Jedig]

fam_Sch...@t-online.de (Felix Schlesinger) wrote:

> Doch ist gibt das völlig eindeutige "nicht sicher"; beweisbar z.B.
> durch Demonstration.

Okay.

> Darüber hinaus gibt es einige Sachen, über die
> kein völliger Konsens herrscht, aber das ist für Einsteiger erstmal
> recht egal.

Das sind eher generelle Fragestellungen und vielleicht sogar auch
Glaubensfragen a la "pix oder eine Maschine mit Linux/netfilter" oder eben
die nach dem lokalen Paketfilter.

> Und auch für solche Fragen sind reine Meinungen nicht
> wichtig, sondern nur Argumente.

Wie sehen deine Argumente für solche Fragen aus?

>> alles mit Anwendungskonfiguration lösen. Lokale Paketfilter sind da
>> eine gute und ernstzunehmende Ergänzungsmaßnahme.
>
> Das wird oft behauptet, aber wirkliche Arguemente dafür habe ich noch
> nie gesehen.

Das klassische Problem eines Dienstes auf Linux-Plattform mit mehreren
Interfaces, der nur auf Pakete, die von Interface X empfangen werden,
reagieren soll.

--
Denis Jedig

[Stephan Krause]

Denis Jedig <d...@syneticon.de> wrote:

>>> alles mit Anwendungskonfiguration lösen. Lokale Paketfilter sind da
>>> eine gute und ernstzunehmende Ergänzungsmaßnahme.
>>
>> Das wird oft behauptet, aber wirkliche Arguemente dafür habe ich noch
>> nie gesehen.
>
> Das klassische Problem eines Dienstes auf Linux-Plattform mit mehreren
> Interfaces, der nur auf Pakete, die von Interface X empfangen werden,
> reagieren soll.

Komisch, bei mir geht das auch ganz gut ohne.

man 2 bind

Stephan

[Felix von Leitner]

Thus spake Denis Jedig (d...@syneticon.de):

> Hier eine Frage der Definition von "konkretem Szenario". Du kannst nicht
> immer sagen, dass Maßnahme A das definierte Ziel erfüllt. Ist die Maßnahme
> so komplex, dass du sie nicht selbst vollständig und fehlerfrei erfassen
> kannst/wollen wirst (was bei fremdem Code die Regel sein wird),

..dann bleibt dir wohl nur noch der Weg als inkompetenter Windows-Krauter.

Glücklicherweise ist dieser Markt enorm groß. So groß, daß sogar jemand
wir Herr Jedig dort bequem Platz findet, und zwar so bequem, daß er noch
Webseiten mit kaputt konvertierten Würg-Dokumenten anbieten kann.

Und du wirst lachen, da hat hier auch niemand ein Problem mit, wenn die
ganzen inkompetenten Deppen Windows machen. Nur hat das mit Firewalls
nichts zu tun, und die Leute sollen hier weg bleiben.

Nimm die Leute doch einfach alle mit zu dir und deinem MCSE in deine
microsoft Newsgroup und es ist für alle glimpflich zu Ende gegangen.

[Denis Jedig]

Felix von Leitner <usenet-...@fefe.de> wrote:

> ..dann bleibt dir wohl nur noch der Weg als inkompetenter
> Windows-Krauter.

Felix, wird das Trollen nicht irgendwann langweilig?

--
Denis Jedig

[Sebastian Posner]

Jens Hoffmann wrote:

>> Wenn das richtig wäre, hätten wir diese 'schweren Netzstörungen' schon
>> seit Jahren.
> Haben wir doch, im Endeffekt.

Nein, im^Wseit September.

Sebastian

[Jens Hoffmann]

Hi,

Wolfgang Kueter <wolf...@shconnect.de> wrote:
>> PFW als managed service verkaufen zu wollen.
>
>und, verkaufen sie diese auch? :->

Bis jetzt nicht. Kann aber nicht mehr lange dauern.

Der Mittwettbewerb verkauft ja schon Virenscanner im Abo mit
der Subskription.

>Vorsicht Jens, am Ende sägst Du Dir mit sowas den Ast ab, auf den Du
>(auch) sitzt. :->

Valides Argument.

Gruss,
Jens

[Jens Hoffmann]

Hi,

Guido Hennecke <news-0...@debian.dyndns.org> wrote:
>> Ich kenne keinen Netzwerkdienst, den man nicht nur an ein Interface
>> binden kann o.ä.
>

>Unter Linux gilt das aber leider fuer AFAIK jeden Netzwerkdienst.

Dann solltest Du Dein K auffrischen. Ich wuesste keinen NEtzwerkdienst (mehr)
der sich nur an alle Adressen/Interfaces binden laesst.

Gruss,
Jens

[Andreas Stahl]

"Andreas Bertram" wrote

> Felix, Du bist wirklich das ärmlichste Würstchen......

Komm reg Dich nicht auf, siehs mit Humor:

http://www.muppets.com/profiles/animal.htm

Ersetze special talents einfach durch: "keifen wie ein Mädchen"

Andreas :-)

[Urs [Ayahuasca] Traenkner]

Denis Jedig wrote:

> Es gibt keine Maße für Netzwerksicherheit außer des sehr grob abschätzenden
> "sicherer" oder "weniger sicher".

Da spricht der Profi.

Ich kann bezueglich einzelnder Szenarien sehr wohl sagen, ob etwas
sicher ist oder nicht. Auch auf die Gefahr hin, hier wieder einen
sinnlosen Thread zu produzieren:

Sicherheit ist binaer. Und alles, was nicht sicher ist, ist unsicher. So
einfach ist das.

http://www.fefe.de/pffaq/halbesicherheit.txt gibt diesbezueglich
schonmal Einsicht.

Z.B.: wenn ich dem Angriffsvektor "Virus" vorbeugen will, dann muss ich
dafuer sorgen, dass der $Client keine Software ausfuehren kann. Alles
andere aendert nichts daran.

> Nein. Zum Einen kannst du nicht alles mit tcp-wrappern (die im Übrigen
> dasselbe Konzept in Grün sind) lösen. Zum Anderen kannst du auch nicht
> alles mit Anwendungskonfiguration lösen. Lokale Paketfilter sind da eine
> gute und ernstzunehmende Ergänzungsmaßnahme.

Lokale Paketfilter bringen aber nur dann was, wenn ich mich richtig gut
mit der Materie auskenne. Ansonsten "geht irgendwas nicht mehr" und
keiner weiss, warum. Siehe die staendigen Postings von irgendwelchen
"lokalen Paketfiltern"-Nutzern, wo $Applikation eben nicht mehr tut.

Ich habe bis heute noch nicht einen gesehen, der den Problemen mit einem
tcpdump o.ae. von selbst auf den Grund gegangen ist. Ist ja eigentlich
auch logisch, dann muesste man ja keine dummen Fragen mehr stellen.

Ferner fehlt mir der zwingende Grund, wieso ich einen lokalen PF haben
sollte? Die ganzen aktiven Protokolle funktionieren nicht mehr, es sei
denn, das Ding ist stateful, und stateful ist eigentlich ... naja, ganz
andere Geschichte.

In den Fuss schiessen kann ich mir auch anders.

Sicher, es mag Anwendungsfaelle geben, wo der lokale Paketfilter richtig
sinnvolle Sachen macht. Auch, wenn mir jetzt spontan mal keiner
einfaellt :)

> > Nein, Hostsicherheit ist ein entscheidender Bestandteil von
> > Netzwerksicherheit.

> Generell Windows NT zu verteufeln ist aber kein Beitrag zur Hostsicherheit.

Wenn Du schonmal in einem NT Netzwerk was "ganz unten" hast machen
wollen, dann bist Du irgendwann an dem Punkt, dass einfach nur die alles
erschlagende Aussage "Windows ist Scheisse" uebrigbleibt.

"ganz runter" kommt man uebrigens nicht mit der Maus.

Gruss Urs...
--
"Es war der schlimmste Amoklauf der deutschen Geschichte seit
dem 2. Weltkrieg."

Johannes Rau ueber das Erfurter Massaker

[Urs [Ayahuasca] Traenkner]

Sebastian Posner wrote:

Du meinst den ersten heftigen IIS-Wurm?

Die verschissene Berichterstattung hat dafuer gesorgt, ddass mir
zuallererst ein anderes Ereignis vom September ins Gedaechtnis gerufen
wird. Obwohl ich genaugenommen die Wuermer schlimmer fand.

fup2p, Gruss Urs...

[Felix Schlesinger]

begin Urs [Ayahuasca] Traenkner schrieb

> Sebastian Posner wrote:
>
>> Jens Hoffmann wrote:
>>>> Wenn das richtig wäre, hätten wir diese 'schweren Netzstörungen' schon
>>>> seit Jahren.
>>> Haben wir doch, im Endeffekt.
>> Nein, im^Wseit September.
> Du meinst den ersten heftigen IIS-Wurm?
> Die verschissene Berichterstattung hat dafuer gesorgt, ddass mir
> zuallererst ein anderes Ereignis vom September ins Gedaechtnis gerufen

Weder noch

Ciao
Felix

[Felix Schlesinger]

begin Jens Hoffmann schrieb

Jeder *Dienst* ja, aber kann Linux das inzwischen? (Und ich meine sicher)

Ciao
Felix

[Jens Hoffmann]

Hi,

Felix Schlesinger <fam_Sch...@t-online.de> wrote:
>Jeder *Dienst* ja, aber kann Linux das inzwischen? (Und ich meine sicher)

Interessante Frage. Ehrlich gesagt, keine Ahnung.

Gruss,
Jens

[Andreas Impekoven]

Denis Jedig schrieb:

[Merkwürdige Merkbefreiung für FvL]

> Für die Audienz: Zugehörige Message-IDs in den References
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Nö. Da war nichts.

Grüße Andreas, und postwendend zurück
--
Audiui Latinitatem humi iacere (confer conquisitionem, quae uulgo
'Pisa-Studie' appellatur). -- Quis miratur? Equidem minime.

Klaus Sonnleitner in de.etc.sprache.klassisch

[Felix von Leitner]

Thus spake Denis Jedig (d...@syneticon.de):

> > ..dann bleibt dir wohl nur noch der Weg als inkompetenter
> > Windows-Krauter.
> Felix, wird das Trollen nicht irgendwann langweilig?

Kinder, da sieht man mal wieder, was Drogen beim Usenet-Zugang bewirken
können! Der Mann ist so verwirrt, daß er mich fragt, was er sich selbst
fragen sollte. Tja, so kann das kommen. Daher: Finger weg von den
Drogen! Sonst endet ihr am Ende auch noch bei syneticon.de oder
ähnlichen unseriösen Microsoft-Klitschen und müßt die ganze Zeit im
Usenet herumtrollen, weil euch kein Mensch Aufträge gibt und ihr die
Zeit irgendwie rumkriegen müßt.

[Felix von Leitner]

Thus spake Guido Hennecke (news-0...@debian.dyndns.org):

> > Ich kenne keinen Netzwerkdienst, den man nicht nur an ein Interface
> > binden kann o.ä.

> Unter Linux gilt das aber leider fuer AFAIK jeden Netzwerkdienst.

? man 2 bind

> Du hast das, unter DOS Usern beliebte_ Low Level Format vergessen.

Das gibt es seit über einer Dekade nicht mehr AFAIK.

> > |Der Ton macht die Musik.
> > Moechtest Du eine Antwort oder moechtest Du liebgehabt werden?

> Natuerlich will man hier lieb gehabt werden. Das ist die _ultimative_
> Firewall. Wenn dir keiner mehr boeses will, bist Du sicher!

Ich brauch hier bald mal ne Zwerchfell-Firewall glaube ich.

[Christian Dietl]

* Denis Jedig wrote:

> Christian Dietl <chrd...@expires.de> wrote:
>> Ich greife mal deinen obigen Satz raus und formuliere ihn neu:
>> Man kann eine Aussage darüber treffen, ob Maßnahme A in einem
>> konkreten Szenario ein definiertes Ziel erfüllt oder nicht.
>
> Hier eine Frage der Definition von "konkretem Szenario".

Bedrohungsszenarien definiert derjenige, der das Sicherheitskonzept
erstellt.

> Du kannst nicht
> immer sagen, dass Maßnahme A das definierte Ziel erfüllt.

Doch.

> Ist die Maßnahme
> so komplex, dass du sie nicht selbst vollständig und fehlerfrei erfassen
> kannst/wollen wirst (was bei fremdem Code die Regel sein wird), musst du
> dich auf Aussagen und Zusicherungen Dritter verlassen.

Hindert mich das eine Aussage bezüglich sicher/unsicher zu treffen?
Nein.

>> Nein, wie willst du denn feststellen ob etwas sicherer oder weniger
>> sicher (gegenüber was denn eigentlich?) ist? Das ist unsinnig.
>
> Gegenüber dem Ausgangszustand. Wie schon erwähnt, ist es auch dann keine
> feststellung, sondern eine grobe Abschätzung, die durchaus auch falsch
> liegen kann.

Man will keine groben Abschätzungen, man will nachweisbare Sicherheit
(oder zumindest eine möglichst große Risikominimierung von potentiellen
Bedrohungen).

[Felix von Leitner]

Thus spake Guido Hennecke (news-0...@debian.dyndns.org):

> Portmapper zum Beispiel.

Es gibt die Sourcen. Ich habe das auf dem einen Test-Rechner, der
portmap brauchte, mal eben gefixt. Ein Dreizeiler mit Übergabe auf der
Kommandozeile und Fehlerbehandlung.

> Aber eigentlich geht es mir darum, dass man unter Linux (wie bereits
> oefters erwaehnt), nur an eine IP binden kann, nicht aber auf ein
> Interface.

Du scheinst verwirrt zu sein. Die Zuordnung Interface <-> IP ist bei
allen sauber konfigurierten Kisten eineindeutig. Oder willst du gerade
alle virtuellen IPs als ein Interface zählen?

Felix

[Felix von Leitner]

Thus spake Andreas Stahl (andrea...@hamburg.de):

> > Felix, Du bist wirklich das ärmlichste Würstchen......
> Komm reg Dich nicht auf, siehs mit Humor:

Ich sollte wohl mal langsam Eintritt für mein Killfile und meinen
Fanclub nehmen.

[Felix von Leitner]

Thus spake Christian Dietl (chrd...@expires.de):

> > Hier eine Frage der Definition von "konkretem Szenario".
> Bedrohungsszenarien definiert derjenige, der das Sicherheitskonzept
> erstellt.

Das ist nicht gesagt.

[Felix von Leitner]

Thus spake Guido Hennecke (news-0...@debian.dyndns.org):

> > Ich brauch hier bald mal ne Zwerchfell-Firewall glaube ich.

> Kann die effektiven Schutz bieten?

"Na ein bißchen Schutz ist doch besser als gar keiner!1!!" ;)

[Felix von Leitner]

Thus spake Guido Hennecke (news-0...@debian.dyndns.org):

> Wenn Du eine Linux Kiste hinstellst, die zwei Ethernet Interfaces hat
> und mit jedem Interface in einem anderen Netz stehen und natuerlich auch
> unterschiedliche Adressen (Beispiel: 172.30.10.1 und 192.168.0.1) hat,
> dann kannst Du einen Dienst (nehmen wir mal Apache/http) auf die IP
> Adresse 192.168.0.1 binden.

> Diese Dienst ist aber auch ueber das andere Interface, mit der IP
> Adresse 172.30.10.1 erreichbar. Unter Linux "horcht" jedes Interface auf
> _allen_ lokal vergebenen IP Adressen. Ich meine das sogar mal von dir
> gelsen zu haben. Jedenfalls habe ich das mal selbst getestet und es
> funktioniert.

Nein. Ich weiß nicht, was du da getestet hast, aber dieses Verhalten
haben meine Linuxe jedenfalls nicht.

[Philipp Schulte]

Guido Hennecke wrote:

> Diese Dienst ist aber auch ueber das andere Interface, mit der IP
> Adresse 172.30.10.1 erreichbar. Unter Linux "horcht" jedes Interface auf
> _allen_ lokal vergebenen IP Adressen.

Fällt unter die Definition von "jedes Interface" auch lo? Ein Dienst,
der hier an lo gebunden ist, ist jedenfalls nicht über eth0
erreichbar.
Phil

[Jens Hoffmann]

Hi,

Guido Hennecke <news-0...@debian.dyndns.org> wrote:
>Wenn Du eine Linux Kiste hinstellst, die zwei Ethernet Interfaces hat
>und mit jedem Interface in einem anderen Netz stehen und natuerlich auch
>unterschiedliche Adressen (Beispiel: 172.30.10.1 und 192.168.0.1) hat,
>dann kannst Du einen Dienst (nehmen wir mal Apache/http) auf die IP
>Adresse 192.168.0.1 binden.
>

>Diese Dienst ist aber auch ueber das andere Interface, mit der IP
>Adresse 172.30.10.1 erreichbar. Unter Linux "horcht" jedes Interface auf

>_allen_ lokal vergebenen IP Adressen. Ich meine das sogar mal von dir
>gelsen zu haben. Jedenfalls habe ich das mal selbst getestet und es
>funktioniert.

Jetzt hab ich verstanden, was Du sagen willst.
Und nein, Du hast keine Ahnung von dem, was Du da sagst.

Gruss,
Jens

[Immo 'FaUl' Wehrenberg]

begin followup to the posting of Guido Hennecke:

> Diese Dienst ist aber auch ueber das andere Interface, mit der IP
> Adresse 172.30.10.1 erreichbar. Unter Linux "horcht" jedes Interface auf
> _allen_ lokal vergebenen IP Adressen.

Bullshit

Guido, wuerdest du sowas in Zukunft mal bitte verifizieren bevor du solchen
Bloedsinn postest! Es koennte jemand glauben...

FaUl
end
This article does not support incompatible and broken newsreaders.
--
.... der Geschäftskundenvertrieb trägt den Namen
weil er aktiv Geschäftskunden vertreibt .....

[Tilman Schmidt]

fam_Sch...@t-online.de (Felix Schlesinger) wrote:

>begin Manfred Koerkel schrieb
>
>> Ich halte persönlch nichts von Desktop-Firewalls.
>
>Das hat wenig mit persönlicher Meinung zu tun, sondern mit
>Fakten.

Nein.

> Überhaupt ist das Thema Sicherheit sehr unpersönlich, reine
>Meinungen daher irrelevant.

Völlig falsch. Sicherheit ist ein sehr persönliches Thema.

>> dcsf leidet zu oft unter einem schlechten Diskussionsstiel, der
>
>nein, das eigentlich Problem ist ein Mangel an interessanten Threads, so
>dass kaum etwas anderes übrig bleibt, als längst beendete
>Metadiskussionen immer wieder zu führen.

Das eine ist Folge des anderen.

>Das Problem hier ist nicht der Ton, sondern der Inhalt. Punkt.

Ganz im Gegenteil.

>Dies ist eine technische Gruppe. Meinungen als solche sind hier
>irrelevant. Es sind beründete Positionen die zählen.

Was dem einen "begründete Positionen", sind dem anderen "Meinungen".

>Das Thema Sicherheit hat etwas mit (Selbst-)Verteidigung zu tun. Ich
>habe meine Zweifel, das Menschen die nicht einmal einen etwas bissigen
>Text lesen können mit diesem Thema lange klarkommen.

Das ist Unsinn. Das eine hat mit dem anderen nicht das geringste zu
tun.

>RFCs sind leicht zu finden. Wer sind nichtmal finden kann, wird sie auch
>nicht verstehen können.

Das gilt für alle anderen potentiellen Inhalte einer FAQ genauso viel
oder wenig. Soll also die ganze FAQ abgeschafft werden?

>> Jemand stellt eine Frage, die mit maximal 7 Tastaturanschlägen
>> perferkt beantwortet werden könnte. Die Frage ist so gestellt, dass
>> sie _jeder Experte_ aus dem Kopf beantworten können müsste.
>
>Und warum sollte er dies 10^6 mal tun? Wenn ein Fragesteller zu faul ist
>5 Minuten auf google zu suchen, warum sollte sich *irgendwer* die Mühe
>machen zu antworten?

Wer nicht antworten will, soll es lassen, das ist doch genau der
Punkt. Warum macht sich *irgendwer* die noch viel größere und
sinnlosere Mühe, einen umfänglichen Flame zu posten?

>> Im Zweifelfall sollte auch öfters "gar nicht" geantwortet werden.
>> In _diesem speziellen Falle_ ist mal ein DENY besser als REJECT.
>
>Nein, wie auch bei TCP posten die Leute dann halt noch drei mal, bis
>doch einer antwortet.

Doch, denn wenn nur einer antwortet, ist gegenüber dem jetzigen
Zustand ja schon viel gewonnen.

--
Tilman Schmidt E-Mail: Tilman....@ePost.de
Bonn, Germany
- In theory, there is no difference between theory and practice.
In practice, there is.

[Bernd Eckenfels]

Immo 'FaUl' Wehrenberg <im...@faul.dyndns.org> wrote:
>> Diese Dienst ist aber auch ueber das andere Interface, mit der IP
>> Adresse 172.30.10.1 erreichbar. Unter Linux "horcht" jedes Interface auf
>> _allen_ lokal vergebenen IP Adressen.

> Bullshit

Richtig ist, Anendungen die auf eine IP gebunden sind nehmen die Pakete von
allen Interfaces an, wenn sie nur an die richtige IP gesendet wurden. Aber
dafuer gibt es ja IP Filter (bei anderen Systemen reicht es, wenn man
forwarding ausschaltet).

Gruss
Bernd

[Immo 'FaUl' Wehrenberg]

begin followup to the posting of Bernd Eckenfels:

> Richtig ist, Anendungen die auf eine IP gebunden sind nehmen die Pakete von
> allen Interfaces an, wenn sie nur an die richtige IP gesendet wurden. Aber
> dafuer gibt es ja IP Filter (bei anderen Systemen reicht es, wenn man
> forwarding ausschaltet).

THX

FaUl
end
This article does not support incompatible and broken newsreaders.
--

Ich kenn mehr die 90/10-Regeln...
Für 90% der Arbeit braucht man 90 % der Zeit.
Für die restlichen 10% Arbeit braucht man die anderen 90% der Zeit.
[Sebastian Posner in dasr]

[Andreas Franz]

Felix Schlesinger <fam_Sch...@t-online.de> wrote:

> Weder noch

-v
--
"Andreas Franz" <Andreas...@epost.de>
PGP Fingerprint: 83A1 7AE9 A9C6 B4DE C20F 3946 9D03 F17F, ID:0xC0F0D5FD

[Kurt Stangl]

Felix von Leitner wrote:

> ROTFL, hat die Welt jemals solche Dämlichkeit gesehen?
> Der Mann ist sogar zu dämlich zum Ausstellen einer Merkbefreiung!
> Hey, Denis, damit gehst du in die Annalen des Usenet ein.

Flasch. In die *Analen* muss es heissen. Dort gehört er wirklich hin.

Kurt

[Felix von Leitner]

Thus spake Tilman Schmidt (Tilman....@ePost.de):

> > Überhaupt ist das Thema Sicherheit sehr unpersönlich, reine
> >Meinungen daher irrelevant.
> Völlig falsch. Sicherheit ist ein sehr persönliches Thema.

Genau.
Ich persönlich bin mir z.B. sehr sicher, daß du hier falsch bist.

-> da0

> Was dem einen "begründete Positionen", sind dem anderen "Meinungen".

Daß du die Begründung nicht verstehst, macht es zu einer unbegründeten
Meinung.

> >RFCs sind leicht zu finden. Wer sind nichtmal finden kann, wird sie auch
> >nicht verstehen können.
> Das gilt für alle anderen potentiellen Inhalte einer FAQ genauso viel
> oder wenig. Soll also die ganze FAQ abgeschafft werden?

Nein, die Deppen sollen gehen.

> Wer nicht antworten will, soll es lassen, das ist doch genau der
> Punkt. Warum macht sich *irgendwer* die noch viel größere und
> sinnlosere Mühe, einen umfänglichen Flame zu posten?

Wenn ich mich hier schon über die Deppen rumärgern muß, dann kann ich
das wenigstens so machen, daß ich dabei wieder ein bißchen Spaß habe.

Wenn du willst, daß das Gepflaume aufhört, schmeiß die Pflaumen raus.

> Doch, denn wenn nur einer antwortet, ist gegenüber dem jetzigen
> Zustand ja schon viel gewonnen.

Warum postest du, wenn du das erkannt hast?

-> da0

[Felix von Leitner]

Thus spake Bernd Eckenfels (ecki-new...@lina.inka.de):

> Richtig ist, Anendungen die auf eine IP gebunden sind nehmen die Pakete von
> allen Interfaces an, wenn sie nur an die richtige IP gesendet wurden. Aber
> dafuer gibt es ja IP Filter (bei anderen Systemen reicht es, wenn man
> forwarding ausschaltet).

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

HTH. HAND.

Fe "Wer Lesen kann, ist klar im Vorteil" lix

[Immo 'FaUl' Wehrenberg]

begin followup to the posting of Guido Hennecke:

> Du Immo, ich habe das mehrfach auf unterschiedlichen Systemen
> ausprobiert.

Aussage falsch verstanden, aber das habe ich dir ja auch schon in der
E-Mail geschrieben.

Fefe hat uebrigens mit rp_filter recht...

FaUl
end
This article does not support incompatible and broken newsreaders.
--

CETERVM CENSEO MICROSOFT ESSE DELENDAM

[Denis Jedig]

"Urs [Ayahuasca] Traenkner" <urs.tr...@rz.tu-ilmenau.de> wrote:

> Denis Jedig wrote:
>
>> Es gibt keine Maße für Netzwerksicherheit außer des sehr grob
>> abschätzenden "sicherer" oder "weniger sicher".
>
> Da spricht der Profi.

Du kannst das beurteilen?

>> alles mit Anwendungskonfiguration lösen. Lokale Paketfilter sind da
>> eine gute und ernstzunehmende Ergänzungsmaßnahme.
>
> Lokale Paketfilter bringen aber nur dann was, wenn ich mich richtig gut
> mit der Materie auskenne.

Läuft das jetzt meiner Aussage etwa zuwider?

> Ansonsten "geht irgendwas nicht mehr" und
> keiner weiss, warum. Siehe die staendigen Postings von irgendwelchen
> "lokalen Paketfiltern"-Nutzern, wo $Applikation eben nicht mehr tut.

Ich habe nichts von Spielzeugen geschrieben - in keinem meiner Postings in
diesem Thread.

> Ich habe bis heute noch nicht einen gesehen, der den Problemen mit
> einem tcpdump o.ae. von selbst auf den Grund gegangen ist.

Mit den Logs des Filters kriegst du so etwas in der Regel schneller gelöst.

> Sicher, es mag Anwendungsfaelle geben, wo der lokale Paketfilter
> richtig sinnvolle Sachen macht.

Ja. Und nun?

--
Denis Jedig

[Jonas M Luster]

Quoting: Felix von Leitner (usenet-...@fefe.de):

> Thus spake Bernd Eckenfels (ecki-new...@lina.inka.de):
>> Richtig ist, Anendungen die auf eine IP gebunden sind nehmen die Pakete von
>> allen Interfaces an, wenn sie nur an die richtige IP gesendet wurden. Aber
>> dafuer gibt es ja IP Filter (bei anderen Systemen reicht es, wenn man
>> forwarding ausschaltet).
>
> echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Bernd geht von Linux aus. Linux ist SuSE. SuSE hat keine
Kommandozeile, SuSE hat KDE und knetfilter.

[Felix von Leitner]

Thus spake Jonas M Luster (jlu...@baysec.org):

> > echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
> Bernd geht von Linux aus. Linux ist SuSE. SuSE hat keine
> Kommandozeile, SuSE hat KDE und knetfilter.

Ich suche gerade vergeblich etwas, das ich dem entgegenhalten könnte.
Mist.

[Bernd Eckenfels]

Felix von Leitner <usenet-...@fefe.de> wrote:
> echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Zumindest fuer 2.2 Kernels hilft das nicht. rp_filter ist nur ein Back Route
verify fuer die Quelladdresse von eingehenden Paketen. Pakete die auf einem
Interface empfangen werden mit einer IP Addresse eiens anderen Interfaces
werden trotzdem als lokal erkannt.

Gruss
Bernd

[Bernd Eckenfels]

Immo 'FaUl' Wehrenberg <im...@faul.dyndns.org> wrote:

> Fefe hat uebrigens mit rp_filter recht...

Was hat er recht? rp_filter prüft keine destination.

Gruss
Bernd

[Jens Hektor]

Guido Hennecke wrote:
> Mach den rp_filter doch mal aus, richte alles so ein wie beschrieben und
> teste mal, ob das geht. Du wirst feststellen, es geht.
>
> Dann schaltest Du mal rp_filter ein und testest nochmal.
>
> Du stelst fest, es hat sich nicht geaender, da rp_filter die _source_ IP
> eines Paketes mit den Routen fuer ein Interface vergleicht, nicht aber
> die Ziel IP. Die Ziel IP ist es aber, die gegenueber dem "normalen" IP
> Verkehr in diesem Netz veraendert wurde.

So langsam würde mal interessieren,

a) welche Kernelversion Du einsetzt,
b) mit welcher Software Du das testest.

Ich glaube auch nicht, dass reverse path filtering (aka antispoofing)
am beschriebenen Verhalten was ändert, was ich mir vorstellen könnte ist,
dass eventuell aktivierter bridging code da eine Rolle spielt. Man
müsste also noch wissen

c) wie der Kernel konfiguriert ist.

In den 2.0 er Versionen war bridging ein Bypass zum Paketfiltercode,
sollte aber in 2.2 (und evtl in späten 2.0ern) gefixed worden sein.

Gruss, Jens

[Bernd Eckenfels]

Jonas M Luster <jlu...@baysec.org> wrote:
> Bernd geht von Linux aus. Linux ist SuSE. SuSE hat keine
> Kommandozeile, SuSE hat KDE und knetfilter.

Hmm.. dann reden wir von unterschiedlichen postings. Ich gehe nicht von
Linux aus, ich habe auf eine Linux Frage geantwortet. Deswegen habe ich
beschrieben dass es unter Linux so ist (antwortet auf allen interfaces wenn
addresse lokal ist). Ich habe aber auch dazu geschrieben dass es auf anderen
systemen nicht so ist (BSD und BSDoide machen das meistens vom Forwarding
abhaengig).

Es gibt auch fuer Linux Patches die das abschalten, finde sie aber grade
nicht. Es war eine diskussion schon vor Jahren, dass Linux Pakete immer auf
allen Interfaces annimmt. Besonders stoerend ist Linux' ARP verhalten hier
empfunden worden. Aber speziell dafuer gibts ja loesungen.

Unter Linux gibt es uebrigens noch neben dem bind() auf addressen auch eine
setsockopt() um auf interfaces (mit namen) zu binden. Da man das aber nicht mit
den normalen net tools sieht, ist das verwirrend. (SO_BINDTODEVICE). Laut
Doku[1] sollte das dann zwar immer noch fuer alle lokale Addressen Pakete
annehmen (wenn man an wildcard addresse gebunden ist), aber dies nur auf
einem (named) interface. Das ganze kommt von 2.0 und wurde in 2.2
beibehalten. Ist auch noch in 2.4, auch wenn andi kleen das mal als hack
bezeichnete. sieht aber praktisch aus.

Gruss
Bernd

[1] http://www.linuxhq.com/kernel/v2.0/doc/networking/so_bindtodevice.txt.html

[Jonas M Luster]

Quoting: Christian Dietl (chrd...@expires.de):

>>> Ich greife mal deinen obigen Satz raus und formuliere ihn neu:
>>> Man kann eine Aussage darüber treffen, ob Maßnahme A in einem
>>> konkreten Szenario ein definiertes Ziel erfüllt oder nicht.
>>
>> Hier eine Frage der Definition von "konkretem Szenario".
>
> Bedrohungsszenarien definiert derjenige, der das Sicherheitskonzept
> erstellt.

Nein. Mach' mal nicht den ueblichen Pressefehler, "Experten" zu sehen,
wo es keine geben kann. Gerade Netzwerk- und Informationssicherheit
kennt keine Experten. Bedrohungsszenarien erstellt Jemand, der Ahnung
von Bedrohungen und der Szenarienanalyse hat, das Sicherheitskonzept
erstellt Jemand, der davon eine Ahung hat, und Beide muessen sich auf
eine ganze Menge an weiteren Funktionen orientieren, die dann wieder
von Leuten mit Ahnung erstellt werden.

>> Du kannst nicht
>> immer sagen, dass Maßnahme A das definierte Ziel erfüllt.
>
> Doch.

Immer? Nein, nicht _immer_. Nicht mal in einem Grossteil der Faelle.
"Ethernetkabel ziehen schuetzt vor Angriffen durch das Netz" ist so
ziemlich das einzige Szenario, das in 99% aller Faelle definiert immer
das Ziel erfuellt.

>> kannst/wollen wirst (was bei fremdem Code die Regel sein wird), musst du
>> dich auf Aussagen und Zusicherungen Dritter verlassen.
>
> Hindert mich das eine Aussage bezüglich sicher/unsicher zu treffen?
> Nein.

Ja, das tut es. man unbreakable.

> Man will keine groben Abschätzungen, man will nachweisbare Sicherheit
> (oder zumindest eine möglichst große Risikominimierung von potentiellen
> Bedrohungen).

Es gibt keine nachweisbare Sicherheit. Risikominimierung ist davon
abhaengig, dass man versteht, dass es keine nachweisbare Sicherheit
geben kann.

[Felix Schlesinger]

begin Andreas Franz schrieb

> Felix Schlesinger <fam_Sch...@t-online.de> wrote:
>
>> begin Urs [Ayahuasca] Traenkner schrieb
>> > Sebastian Posner wrote:
>> >> Nein, im^Wseit September.
>> > Du meinst den ersten heftigen IIS-Wurm?
>> > Die verschissene Berichterstattung hat dafuer gesorgt, ddass mir
>> > zuallererst ein anderes Ereignis vom September ins Gedaechtnis gerufen
>
>> Weder noch
>
> -v

man AOL
http://www.tuxedo.org/~esr/jargon/html/entry/September-that-never-ended.html

Ciao
Felix

[Paul Muster]

"Henning Rohde" <Rohde....@gmx.net> schrieb:

> Urs [Ayahuasca] Traenkner wrote:
> > Denis Jedig wrote:

> >> Es gibt keine Maße für Netzwerksicherheit außer des sehr grob
> >> abschätzenden "sicherer" oder "weniger sicher".

> > Sicherheit ist binaer. Und alles, was nicht sicher ist, ist
> > unsicher. So einfach ist das.

> ..., wobei der Zustand "sicher" in der Praxis genauso unerreichbar
> ist, wie die Lichtgeschwindigkeit für einen Körper mit einer Masse >
> 0???

Wenn man unendlich viel Energie zuführt, geht das beides.
Theoretisch.

mfG Paul

--

--- eMails ans From: werden ungelesen gelöscht. ---

[Urs [Ayahuasca] Traenkner]

Tilman Schmidt wrote:

> Wer nicht antworten will, soll es lassen, das ist doch genau der
> Punkt. Warum macht sich *irgendwer* die noch viel größere und
> sinnlosere Mühe, einen umfänglichen Flame zu posten?

Entspannender als ignorieren.

HTH. HAND. Gruss Urs...
--
"Es war der schlimmste Amoklauf der deutschen Geschichte seit
dem 2. Weltkrieg."

Johannes Rau ueber das Erfurter Massaker

[Florian Weimer]

psch...@uni-duisburg.de (Philipp Schulte) writes:

Das ist Konfigurationssache (weak ES model vs. strong ES model, müßte
in RFC 1122 erläutert sein).

Beide Ansätzen ergeben für bestimmte Anwendungen Sinn.

[Immo 'FaUl' Wehrenberg]

begin followup to the posting of Bernd Eckenfels:

> Immo 'FaUl' Wehrenberg <im...@faul.dyndns.org> wrote:
>> Fefe hat uebrigens mit rp_filter recht...
> Was hat er recht? rp_filter prüft keine destination.

Argh, habe ich es wieder geschafft mich erfolgreich zum Deppen zu machen?

FaUl
end
This article does not support incompatible and broken newsreaders.
--

Open source is un-american
(Microsoft vice-president Craig Mundle)

[Rainer Weikusat]

Florian Weimer <f...@deneb.enyo.de> writes:
> Das ist Konfigurationssache (weak ES model vs. strong ES model, müßte
> in RFC 1122 erläutert sein).
>
> Beide Ansätzen ergeben für bestimmte Anwendungen Sinn.

Ich stelle die Gegenvermutung auf, das 'weak ES' ein 'feature' der
originalen (Berkeley)-IP-Implementierung war und sich seitdem 'ein
Nutzen dafür gefunden hat'. Für konzeptuellen Unsinn halte ich es
trotzdem, denn der Rechner 'routet' effektiv (aus Sicht von IP), bloß
nicht pyhsikalisch (?).

[Jens Hektor]

Guido Hennecke wrote:
> Hier gerade 2.2.20. Ich habe das aber mit diversen anderen 2.2.xern
> probiert. Nur noch nicht mi 2.4.x.
[...]
> Soll ich dir mal 3 Beispielkonfigurationen per Mail schicken?

Nö, ich habe keine 2.2 er mehr zur Hand. Alles 2.4.
Aber bestimmt gibt hier noch ein Echo.

[Ralph Mothes]

On Mon, 29 Apr 2002 00:55:33 +0200, Denis Jedig <d...@syneticon.de>
wrote:

>"Manfred Koerkel" <manfred....@t-online.de> wrote:
>
>> Neurologenwitz: Hattu wohl 'ne ventro-mediale Stirnhirnläsion gehabt.
>> Phineas Gage lässt grüßen.
>
>Das verstehe ich nicht. Viele andere wahrscheinlich auch nicht. Kann es
>jemand erklären?

Google ist Dein Freund. Suchbegriff: Phineas Gage.

Ralph

[Andreas Franz]

Ralph Mothes <Ralph....@t-online.de> wrote:

> >> Neurologenwitz: Hattu wohl 'ne ventro-mediale Stirnhirnläsion gehabt.
> >> Phineas Gage lässt grüßen.
> >
> >Das verstehe ich nicht. Viele andere wahrscheinlich auch nicht. Kann es
> >jemand erklären?
>
> Google ist Dein Freund. Suchbegriff: Phineas Gage.

Recht interessante Story. Kannte ich aus einem uralten "Guinness Book of
World records". Ich hoffe aber nicht, dass die RIAA solche Methoden
gegenüber FvL angewendet hat ;-)

[Manfred Koerkel]

Urs [Ayahuasca] Traenkner schrieb:

> Ich habe bis heute noch nicht einen gesehen, der den Problemen mit einem

> tcpdump o.ae. von selbst auf den Grund gegangen ist. Ist ja eigentlich
> auch logisch, dann muesste man ja keine dummen Fragen mehr stellen.

Woher weisst du etwas über Leute, die keine Fragen stellen?

[Manfred Koerkel]

Urs [Ayahuasca] Traenkner schrieb:

> Entspannender als ignorieren.

Diese Bemerkung ist wichtiger, als es zuerst scheint.

[Juergen P. Meier]

Guido Hennecke <news-0...@debian.dyndns.org> wrote:
> * Felix von Leitner <usenet-...@fefe.de> wrote:
>> Thus spake Guido Hennecke (news-0...@debian.dyndns.org):
> [...]

>>> Diese Dienst ist aber auch ueber das andere Interface, mit der IP
>>> Adresse 172.30.10.1 erreichbar. Unter Linux "horcht" jedes Interface auf

>>> _allen_ lokal vergebenen IP Adressen. Ich meine das sogar mal von dir
>>> gelsen zu haben. Jedenfalls habe ich das mal selbst getestet und es
>>> funktioniert.
>> Nein. Ich weiß nicht, was du da getestet hast, aber dieses Verhalten
>> haben meine Linuxe jedenfalls nicht.
>
> Das ist aber mal interessant. Willst Du mich nun hinters Licht fuehren
> (denn diese Diskussion habe mich mehrfach erlebt und wurde von
> unterschiedlichster Seite auch bestaetigt) oder mich auf etwas
> aufmerksam machen, was ich uebersehen haben koennte?

*pppst*
Dieses "Feature" nennt sich Forwarding, und laesst sich auch bei Linux
ein- und ausschalten bzw. feiner tunen. Bei einem Router
beispielsweise, auf dem verhindert werden soll, das man per direktem
Routing auf einem direkt angeschlossenen Netz (geht idR. nicht wenn
weitere Hops dazwischen stehen) der host ueber eine IP eines anderen
Interfaces angesprochen werden, so setze man rp_filter auf den
betroffenen Interfaces.

Relevante sysctl-variablen bei linux:
sys.net.ipv4.ip_forward
sys.net.ipv4.conf.all.forwarding
sys.net.ipv4.conf.all.rp_filter

BTW, Dieses Verhalten ist uebrigens Gewollt, denn es macht Sinn.

Auf einem Router sollen ja schliesslich auch keine Dienste laufen.

Juergen
--
_ _ | Juergen P. Meier
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | J...@lrz.fh-muenchen.de

[Juergen P. Meier]

Dann wurde rp_filter aber entweder falsch Dokumentiert oder falsch
Implementiert. Laut Doku werden nur die Routen *DIESES* Interfaces
geprueft, wenn das anders gemacht wird sollten die Kernelmaintainer
entweder die Doku fixen oder den Kernelcode.
Wobei ein blick in den Source bestaetigt, das hier die Routen
*aller* interfaces geprueft werden.

Damit wird die Eignung dieser Option auf einen einfachen singlehomed
Host eingeschraenkt. Schade.

Das man offensichtlich doch einen Paketfilter benoetigt, um mit Linux
mehr als nur reines Routing auf einem Router-mit-Services zu machen,
ist schlicht Scheisse.

Ich schau mir als naechstes mal die Patches an, von denen du in einem
anderen Posting gesprochen hast.

[Manfred Koerkel]

Lutz Donnerhacke schrieb:
> * Manfred Koerkel wrote:
> >- Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
> > sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.
>
> Nein, es gibt nur bessere Methoden, damit umzugehen.

Du meinst die Bearbeitung verweigern (auch beruflich), wie es mal
geraten wurde?

> >- Externe Paketfilter zum Abschotten intern abgebotener Dienste seien
> > nicht sinnvoll.
>
> Was ist daran falsch?

Wer soll das durch die Lekture der FAQs verstehen? Soll wohl niemand.
Na ja - ich versuche besser zu formulieren:

- Externe Paketfilter zum Realisieren der Policy "Es wird im Internet
nicht gezockt" seien nicht sinnvoll.

Oder auch noch der neue Punkt:

- PAT sei kein Sicherheitsfeature.

(=> hat überhaupt keinen Einfluss auf die Exposition der LAN-Clients.)
Wer soll das durch Lekture von den FAQs verstehen?
(Abgesehen davon, dass es nach meiner obigen Interpretation so nicht
zutrifft. Aber man kann natürlich den Begriff 'Sicherheit' passend
definieren.)

> >3.11 Ausschluss von Desktop-Firewall-Problemen
>
> Nein. Dafür wurde die Gruppe abgespalten.

Du meinst misc. Das diskutierte ich in 3.13.

> >3.12 Auftrennung in de.comp-security.firewall.professional
> > de.comp-security.firewall.private
>
> Nein. Das würde zu schweren Netzstörungen führen, falls die Sachkundigen
> wirklich die private Gruppe meiden sollten.

Muss das so sein? Viele Sachkundige haben wohl auch ein kleines privates
Netz.

> >3.2 Überarbeitung/Weiterentwicklung der FAQs
> >
> >Folgende Punkte fallen mir ein:
> >
> >- Mehr RFC-Angaben bei einzelnen Fragen.
>
> Wo konkret?

Z.B.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
Aus dem Kopf fällt mir da RFC1122 ein.

> >- Insgesamt, den Leser ernster nehmen. Da betrifft:
> >
> >http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
> >http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken
> >http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Trojanerports
> >http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Windowsfreigaben
>
> Nein, eine sachliche Erklärung wie die angebene, ist durch Angaben von
> Protokollspezifikationen nicht verständlicher zu bekommen. Die
> Protokollspezifikationen erklären eben nicht, welche Folgen Fehlverhalten hat.

Das Argument mit den Folgen ist ok. Dennoch wäre das Ganze m.E. noch
lesenswerter, wenn hier und da noch etwas Information stünde. (Klar
ist das alles nur freiwillig und man muss es nicht machen.)

[meine Fragestellungen]
>
> Hmm.
>
> >Ansonsten ist das meine Abschiedsvorstellung.
>
> Gut, vergiß meinem 'hmm's.

Nachdem du mir doch gerade so schön abgewöhnt hast, Fragen zu beantworten. ;-)
Ein bisschen bereue ich diesen Artikel. Warum, überlasse ich der individuellen
Intelligenz der Leser.

[Marc Neumann]

Felix von Leitner wrote:
> Ich brauch hier bald mal ne Zwerchfell-Firewall glaube ich.

PF? ;-)

[Denis Jedig]

"Manfred Koerkel" <manfred....@t-online.de> wrote:

> Lutz Donnerhacke schrieb:
>> * Manfred Koerkel wrote:
>>> - Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
>>> sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.
>>
>> Nein, es gibt nur bessere Methoden, damit umzugehen.
>
> Du meinst die Bearbeitung verweigern (auch beruflich), wie es mal
> geraten wurde?

Nein, er wird woohl gemeint haben, Makros für solche Fälle zu deaktivieren
oder das Dokument mit einem Programm zu bearbeiten, dass keine Makros
ausführt.

--
Denis Jedig
syneticon GbR

[Jens Hoffmann]

Guido Hennecke <news-0...@debian.dyndns.org> wrote:
>* Jens Hoffmann <j...@bofh.de> wrote:
>[...]
>> Jetzt hab ich verstanden, was Du sagen willst.
>> Und nein, Du hast keine Ahnung von dem, was Du da sagst.
>
>Alles klar Jens, wenn _DU_ das sagst...

[Rainer Weikusat]

"Manfred Koerkel" <manfred....@t-online.de> writes:
> > * Manfred Koerkel wrote:
> > >- Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
> > > sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.
> >
> > Nein, es gibt nur bessere Methoden, damit umzugehen.
>
> Du meinst die Bearbeitung verweigern (auch beruflich), wie es mal
> geraten wurde?

Entgegen einer landläufigen Annahme sind die meisten Leute weder
besonders dumm noch per se unkooperativ (es mag Dir schwerfallen, Dir
das persönlich vorzustellen :->), dh eine Mail an den Absender mit
'Bitte anderes Format' dürfte genügen (hat es für mich auch bis jetzt
immer getan).

[Lutz Donnerhacke]

* Manfred Koerkel wrote:
>Lutz Donnerhacke schrieb:
>> * Manfred Koerkel wrote:
>> >- Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
>> > sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.
>>
>> Nein, es gibt nur bessere Methoden, damit umzugehen.
>
>Du meinst die Bearbeitung verweigern (auch beruflich), wie es mal
>geraten wurde?

Ja. Ist meine typische Reaktion.

>> >- Externe Paketfilter zum Abschotten intern abgebotener Dienste seien
>> > nicht sinnvoll.
>>
>> Was ist daran falsch?
>
>Wer soll das durch die Lekture der FAQs verstehen? Soll wohl niemand.

Ich verstehe nicht, was Du meinst.

>Na ja - ich versuche besser zu formulieren:
>
>- Externe Paketfilter zum Realisieren der Policy "Es wird im Internet
> nicht gezockt" seien nicht sinnvoll.

Das ist ja was völlig anderes. Definiere "zocken".

>Oder auch noch der neue Punkt:
>- PAT sei kein Sicherheitsfeature.

Auch das ist was völlig anderes.

>Wer soll das durch Lekture von den FAQs verstehen?

Die FAQ soll nicht alle Fragen beantworten.

>> >3.11 Ausschluss von Desktop-Firewall-Problemen
>>
>> Nein. Dafür wurde die Gruppe abgespalten.
>
>Du meinst misc.

Nein.

>> >3.12 Auftrennung in de.comp-security.firewall.professional
>> > de.comp-security.firewall.private
>>
>> Nein. Das würde zu schweren Netzstörungen führen, falls die Sachkundigen
>> wirklich die private Gruppe meiden sollten.
>
>Muss das so sein? Viele Sachkundige haben wohl auch ein kleines privates
>Netz.

Wenn Sachkunde in der neuen Gruppe auftaucht, ändert sich nichts an den
Postings. Wozu dann teilen?

>> >- Mehr RFC-Angaben bei einzelnen Fragen.
>>
>> Wo konkret?
>
>Z.B.
>http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
>Aus dem Kopf fällt mir da RFC1122 ein.

Was soll das bringen?

>> Nein, eine sachliche Erklärung wie die angebene, ist durch Angaben von
>> Protokollspezifikationen nicht verständlicher zu bekommen. Die
>> Protokollspezifikationen erklären eben nicht, welche Folgen
>> Fehlverhalten hat.
>
>Das Argument mit den Folgen ist ok. Dennoch wäre das Ganze m.E. noch
>lesenswerter, wenn hier und da noch etwas Information stünde. (Klar
>ist das alles nur freiwillig und man muss es nicht machen.)

Ich sehe den Nutzeffekt nicht.

[Urs [Ayahuasca] Traenkner]

Manfred Koerkel wrote:

Zumindest weiss ich, dass sie keine Fragen stellen, und das ist dann
auch schon hinreichend ;)

fup2p, Gruss Urs...

[Ralph Mothes]

On Wed, 1 May 2002 23:13:20 +0200, Andreas...@epost.de (Andreas
Franz) wrote:

>Ralph Mothes <Ralph....@t-online.de> wrote:
>
>> >> Neurologenwitz: Hattu wohl 'ne ventro-mediale Stirnhirnläsion gehabt.
>> >> Phineas Gage lässt grüßen.
>> >
>> >Das verstehe ich nicht. Viele andere wahrscheinlich auch nicht. Kann es
>> >jemand erklären?
>>
>> Google ist Dein Freund. Suchbegriff: Phineas Gage.
>
>Recht interessante Story. Kannte ich aus einem uralten "Guinness Book of

Ich hatte von dem Fall bisher noch nie gehört.

Gage hatte einerseits grosses Glück es überlebt zu haben, aber
andererseits war er nicht mehr "er selbst".

Da kann einem durchaus der Gedanke kommen, ob es für Ihn nicht besser
gewesen wäre, wenn er ihn gleich richtig erwischt hätte...

Ralph

[Manfred Koerkel]

Andreas Franz schrieb:

> Ralph Mothes <Ralph....@t-online.de> wrote:
>
> > >> Neurologenwitz: Hattu wohl 'ne ventro-mediale Stirnhirnläsion gehabt.
> > >> Phineas Gage lässt grüßen.
> > >
> > >Das verstehe ich nicht. Viele andere wahrscheinlich auch nicht. Kann es
> > >jemand erklären?
> >
> > Google ist Dein Freund. Suchbegriff: Phineas Gage.
>
> Recht interessante Story. Kannte ich aus einem uralten "Guinness Book of
> World records". Ich hoffe aber nicht, dass die RIAA solche Methoden
> gegenüber FvL angewendet hat ;-)

Na dann löse ich mal das Rätsel auf. Bei dem Witz ging mir um die Art, wie
sich die Kopfwunde auf Gages Psyche auswirkte: Ich zitiere den Arzt Harlow,
der Gage behandelte:

Er sei "launisch, respektlos, flucht manchmal auf abscheuliche Weise, was
früher nicht zu seinen Gewohnheiten gehörte, erweist seinen Mitmenschen wenig
Achtung, reagiert ungeduldig auf Einschränkungen und Ratschäge, wenn sie
seinen Wünschen zuwiderlaufen, ist gelegentlich entsetzlich halsstarrig, und
doch launenhaft und wankelmütig..."

Literaturtipp:
Damasio, "Descartes' Irrtum - Fühlen, Denken und das menschliche Gehirn",
dtv 1997

[Alexander Schreiber]

Auch wenn das bisweilen interessante Ergebnisse zeitigt:
- bei einer Firma, die Workstations verkauft/vermietet Angebot fuer
eine SUN Workstation angefragt (fuer Arbeitgeber),
- das Angebot kam, _natuerlich_ als Word-Dokument,
- ok, was soll der Schrott, sowas kann (bzw. will - diverse Tools
existieren ja) ich nicht lesen,
- zurueckgemailt, "kann nicht lesen", um plain text, HTML oder PDF
gebeten,
- ein paar Stunden spaeter kam es in einem wirklich
plattformunabhaengigen Format:

- als Fax, die Nase am anderen Ende rief mich dann auch an und meinte,
das sei der einfachste und schnellste Weg gewesen ...

Naja, aber immerhin, ich konnte es lesen ...

Man liest sich,
Alex.
--
Those who desire to give up Freedom in order to gain Security, will not
have, nor do they deserve, either one. -- Thomas Jefferson

[Manfred Koerkel]

Lutz Donnerhacke schrieb:
>* Manfred Koerkel wrote:
>>Lutz Donnerhacke schrieb:
>>> * Manfred Koerkel wrote:
>>> >- Erhaltene Worddokumente vor dem Bearbeiten nach Viren zu scannen,
>>> > sei nutzlos, da ja Virenscanner prinzipiell sinnlos sind.
>>>
>>> Nein, es gibt nur bessere Methoden, damit umzugehen.
>>
>>Du meinst die Bearbeitung verweigern (auch beruflich), wie es mal
>>geraten wurde?
>
> Ja. Ist meine typische Reaktion.

Ob man damit als Angestellter in einer Großfirma immer durchkommt?
Wenn die Excel-Dokumente mit Makros im Geschäftsprozess haben?
Gibt es dazu eine wissenschaftliche Untersuchung?
OK OK OK - ich glaub's ja schon. ;-)

[Mein Punkt mit den internen sendenden Schrottdiensten entsorgt.]

> >Na ja - ich versuche besser zu formulieren:
> >
> >- Externe Paketfilter zum Realisieren der Policy "Es wird im Internet
> > nicht gezockt" seien nicht sinnvoll.
>
> Das ist ja was völlig anderes. Definiere "zocken".

<nixneues>
Client-Server, Client im LAN, Server im WAN. UDP ist immer dabei.
Alles zurückweisen, die paar Ports nach draußen öffnen, die für Web,
E-Mail und co. gebraucht werden, dann geht kein Spiel mehr, das ich
kenne. Natürlich könnte man WAN-Spieleserver auf UDP 53 einrichten.
Habe ich in der Praxis noch nicht gesehen. Dazu haben auch nicht alle
Jugendlichen die Möglichkeit. (Es ging um private kleine LANs.)
</nixneues>

Wenn das apriori sinnlos ist, bedürfte es m.E. auf alle Fälle der
Erläuterung.

> >Oder auch noch der neue Punkt:
> >- PAT sei kein Sicherheitsfeature.
>
> Auch das ist was völlig anderes.

Jupp. Wurde aber in dieser Form gesagt von jemandem, der
selbstbewusst wie ein "Experte" auftrat. Das nervte mich.

> >Wer soll das durch Lekture von den FAQs verstehen?
>
> Die FAQ soll nicht alle Fragen beantworten.

Ok.

> >> >3.11 Ausschluss von Desktop-Firewall-Problemen
> >>
> >> Nein. Dafür wurde die Gruppe abgespalten.
> >
> >Du meinst misc.
>
> Nein.

?

> >> >3.12 Auftrennung in de.comp-security.firewall.professional
> >> > de.comp-security.firewall.private
> >>
> >> Nein. Das würde zu schweren Netzstörungen führen, falls die Sachkundigen
> >> wirklich die private Gruppe meiden sollten.
> >
> >Muss das so sein? Viele Sachkundige haben wohl auch ein kleines privates
> >Netz.
>
> Wenn Sachkunde in der neuen Gruppe auftaucht, ändert sich nichts an den
> Postings. Wozu dann teilen?

Um das Thema besser einzugrenzen. Viele Sachen in Firmennetzen sind in
Privat-LANs nicht relevant. Das nach misc zu verschieben, scheint
mir jetzt keine so gute Idee mehr zu sein, da dort gerade relative Ruhe
ist. Also dann lassen wir es mal lieber hier.

> >> >- Mehr RFC-Angaben bei einzelnen Fragen.
> >>
> >> Wo konkret?
> >
> >Z.B.
> >http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
> >Aus dem Kopf fällt mir da RFC1122 ein.
>
> Was soll das bringen?

Den Leser erfreuen. Mich hätte es erfreut. Kann man lassen, denn es ist
ja alles freiwillig. Man muss den Text lesen, darf sich aber nicht
angesprochen fühlen, denn im letzteren Falle sähe man dumm aus, da
sich der Schreibstil offenkundig an Dumme richtet. Das heißt _nicht_, dass
der Inhalt dumm ist, sondern dass es an einen dummen Leser gerichtet ist,
der RFCs ohnehin nicht lesen kann. Es ist wohl ein Problem des sich in
den Leser hineinversetzen Könnens.

> >> Nein, eine sachliche Erklärung wie die angebene, ist durch Angaben von
> >> Protokollspezifikationen nicht verständlicher zu bekommen. Die
> >> Protokollspezifikationen erklären eben nicht, welche Folgen
> >> Fehlverhalten hat.
> >
> >Das Argument mit den Folgen ist ok. Dennoch wäre das Ganze m.E. noch
> >lesenswerter, wenn hier und da noch etwas Information stünde. (Klar
> >ist das alles nur freiwillig und man muss es nicht machen.)
>
> Ich sehe den Nutzeffekt nicht.

Gut. Ist wohl Geschmacksache - der eine Leser will den Dingen auf den
Grund gehen, der andere ist mit allgemeinen Infos zufrieden, den
Dritten interessiert gar nichts.

[Felix von Leitner]

Thus spake Guido Hennecke (news-0...@debian.dyndns.org):

> Dann schaltest Du mal rp_filter ein und testest nochmal.

Guido hat Recht. rp_filter ändert daran nichts.

Felix

[Felix von Leitner]

Thus spake Felix von Leitner (usenet-...@fefe.de):

> > Dann schaltest Du mal rp_filter ein und testest nochmal.
> Guido hat Recht. rp_filter ändert daran nichts.

Hier ist ein Patch. Scheint auf den ersten Blick das Problem zu beheben
und ich poste gerade mit einem gepatchten Kernel. ;)

(Achtung, lauter Tabulatoren).

Felix

--- linux/net/ipv4/old-fib_frontend.c Fri Dec 21 18:42:05 2001
+++ linux/net/ipv4/fib_frontend.c Fri May 3 01:15:31 2002
@@ -209,7 +209,7 @@
struct in_device *in_dev;
struct rt_key key;
struct fib_result res;
- int no_addr, rpf;
+ int no_addr, rpf, fwd;
int ret;

key.dst = src;
@@ -219,12 +219,13 @@
key.iif = oif;
key.scope = RT_SCOPE_UNIVERSE;

- no_addr = rpf = 0;
+ no_addr = rpf = fwd = 0;
read_lock(&inetdev_lock);
in_dev = __in_dev_get(dev);
if (in_dev) {
no_addr = in_dev->ifa_list == NULL;
rpf = IN_DEV_RPFILTER(in_dev);
+ fwd = IN_DEV_FORWARD(in_dev);
}
read_unlock(&inetdev_lock);

@@ -235,6 +236,16 @@
goto last_resort;
if (res.type != RTN_UNICAST)
goto e_inval_res;
+ if (!fwd) {
+ int mine=0;
+ for_ifa(in_dev) {
+ if (inet_ifa_match(dst,ifa))
+ mine=1;
+ }
+ endfor_ifa(in_dev)
+ if (!mine)
+ goto e_inval;
+ }
*spec_dst = FIB_RES_PREFSRC(res);
fib_combine_itag(itag, &res);
#ifdef CONFIG_IP_ROUTE_MULTIPATH