Facebook (was:Re: Koennt ihr jetzt alle Html und CSS?)

[Lars Gebauer]

* Alexander Schestag:
> Am 26.05.2013 06:13, schrieb Thomas Meyer:
>> Wer f�r das Usenet tolle Filterauen und pflegen kann, der wird
>> doch damit zurecht kommen. Oder sind die Usenet'ler etwa doch
>> nicht technisch so toll drauf wie sie sich gerne darstellen?
>
> Ich glaube, du wei�t nicht, wovon du redest.

Geht vielen Menschen so.

> Facebook *richtig* zu bedienen,

... schaffen vollkommen problemlos zig Millionen Nutzer. Sind das alles
Superhirne?

> also so, dass man beispielsweise nicht in irgendwelche
> Privatsph�refallen tappt, ist etliche Male schwerer, als einen
> Newsclient einzustellen.

Und das kann unm�glich ernst gemeint sein.

"Privatsph�re" gibt es im Usenet bekanntlich gar nicht - prinzipiell
kann Jeder lesen, was Jeder schreibt.

Bei Facebook ist dieser (potentielle) Leserkreis default etwas
eingeschr�nkt. Das hei�t, wenn man mit diesen Einstellungen
herumexperimentiert, dann erreicht man maximal den Zustand "Usenet".

> Der Einstellungswirrwarr ist gigantisch.

Eigentlich nicht.

>> (ich bin auch nicht bei FB,
>
> Merkt man.

Ach?!

>> aber Foren zu bedienen ist doch einfach un effizient und
>> �bersichtlich. Wenn man damit �berfordert ist, ist man selber das
>> Problem, aber nicht aber das Forum.)
>
> Bei Facebook gibt es keine Foren. Es gibt sogenannte Gruppen. Und
> nein, die haben nicht die Forenstruktur, wie man sie von Webforen
> kennt. Und ja, da zu posten, ist nicht schwer. Daf�r haben sie andere
> T�cken,

Die da w�ren?

> Bitte nicht �ber was urteilen, was du nicht kennst, ja?

In der Tat. Das w�re wirklich w�nschenswert.

(XPost&FUp)

[Alexander Schestag]

Am 26.05.2013 12:09, schrieb Lars Gebauer:
> * Alexander Schestag:

>> Facebook *richtig* zu bedienen,
> >
> (XPost&FUp)

>
> ... schaffen vollkommen problemlos zig Millionen Nutzer.

Nicht so wirklich. Die meisten verhalten sich ziemlich fahrl�ssig und
werden auch ein- bis mehrmals Opfer von kriminellen Handlungen auf
Facebook. Sehe ich t�glich.

>> also so, dass man beispielsweise nicht in irgendwelche
>> Privatsph�refallen tappt, ist etliche Male schwerer, als einen
>> Newsclient einzustellen.
>
> Und das kann unm�glich ernst gemeint sein.

Durchaus.

> "Privatsph�re" gibt es im Usenet bekanntlich gar nicht - prinzipiell
> kann Jeder lesen, was Jeder schreibt.

Eben. Das ist bei Facebook-Gruppen schon mal nicht unbedingt der Fall.
Daher hinkt der Vergleich von Facebook-Gruppen mit Newsgroups von hinten
bis vorne.

> Bei Facebook ist dieser (potentielle) Leserkreis default etwas
> eingeschr�nkt. Das hei�t, wenn man mit diesen Einstellungen
> herumexperimentiert, dann erreicht man maximal den Zustand "Usenet".

Darum geht es mir nicht. Scams, Phishing, �rger wegen Postings mit
falscher Privatsph�reeinstellungen usw. usw. usw. sind in Facebook an
der Tagesordnung. Genau die Millionen User, die deiner Meinung nach mit
Facebook ach so gut klarkommen, sind die Opfer. Weil sie sich falsch
verhalten oder Privatsph�reeinstellungen mangelhaft sind.

>> Bei Facebook gibt es keine Foren. Es gibt sogenannte Gruppen. Und
>> nein, die haben nicht die Forenstruktur, wie man sie von Webforen
>> kennt. Und ja, da zu posten, ist nicht schwer. Daf�r haben sie andere
>> T�cken,
>
> Die da w�ren?

Man kann beispielsweise Leute zu Facebook-Gruppen ungefragt hinzuf�gen.
Das kann, wenn das Opfer nicht richtig reagiert, je nach Gruppe zur
Rufsch�digung genutzt werden. Und das wird mittlerweile f�r
Phishing-Attacken ausgenutzt, weil Kriminelle, die die Gruppe gr�nden
sich als "Freunde" der Opfer ausgeben - Identit�tsdiebstahl ist auf
Facebook auch ein Kinderspiel - sie zur Gruppe hinzuf�gen und durch
Gruppenpostings dazu bringen, Links anzuklicken.
Zudem obliegt es dem Gruppenadministrator, die richtige Form f�r die
Gruppe zu finden, ganz offen, geschlossen oder geheim. Auch da ist schon
so manches schiefgelaufen.

>> Bitte nicht �ber was urteilen, was du nicht kennst, ja?
>
> In der Tat. Das w�re wirklich w�nschenswert.

Das sagst du jemandem, der seit Jahren im beruflichen Kontext
Facebook-Beratung macht, mit Schwerpunkt Privatsph�re und Sicherheit.
Der war gut. ;-)

Alex
--
http://www.schestag.de

[Alexander Schestag]

Am 26.05.2013 12:56, schrieb Alexander Schestag:
> Am 26.05.2013 12:09, schrieb Lars Gebauer:

>> Bei Facebook ist dieser (potentielle) Leserkreis default etwas

>> eingeschränkt. Das heißt, wenn man mit diesen Einstellungen

>> herumexperimentiert, dann erreicht man maximal den Zustand "Usenet".

Ergänzend: Auch offene Facebook-Gruppen sind im Gegensatz zu Newsgroups
nicht world-readable, sondern nur Facebook-intern. Noch ein Unterschied,
der den Vergleich sinnfrei macht. Gruppen erreichen also niemals den
Zustad "Usenet".

Alex


--
http://www.schestag.de

[Lars Gebauer]

* Alexander Schestag:

> Am 26.05.2013 12:09, schrieb Lars Gebauer:
>> * Alexander Schestag:
>>> Facebook *richtig* zu bedienen,
>>

>> ... schaffen vollkommen problemlos zig Millionen Nutzer.
>
> Nicht so wirklich.

Och, doch schon. Wenn sie es nicht schaffen würden, dann würden sie es
nicht nutzen.

> Die meisten verhalten sich ziemlich fahrlässig

Nach wessen Definition?

> und werden auch ein- bis mehrmals Opfer von kriminellen Handlungen
> auf Facebook.

Opfer einer Straftat kann man immer werden. Das ist nichts
Facebook-Spezifisches.

Mit Sicherheit gab es auch jede Menge Straftaten in Zusammenhang mit
"Usenet". Nur wurde das medial nie so hochgekocht.

> Sehe ich täglich.

Vermutlich habe ich nettere Freunde als Du. ;)

>> "Privatsphäre" gibt es im Usenet bekanntlich gar nicht -

>> prinzipiell kann Jeder lesen, was Jeder schreibt.
>
> Eben. Das ist bei Facebook-Gruppen schon mal nicht unbedingt der
> Fall.

Und es wäre /in dieser/ Hinsicht eher ein Vorteil für Facebook.

> Daher hinkt der Vergleich von Facebook-Gruppen mit Newsgroups von
> hinten bis vorne.

Warum? Weil Facebook /in dieser/ Hinsicht besser abschneidet?

>> Bei Facebook ist dieser (potentielle) Leserkreis default etwas

>> eingeschränkt. Das heißt, wenn man mit diesen Einstellungen

>> herumexperimentiert, dann erreicht man maximal den Zustand
>> "Usenet".
>

> Darum geht es mir nicht. Scams, Phishing, Ärger wegen Postings mit
> falscher Privatsphäreeinstellungen usw. usw. usw. sind in Facebook
> an der Tagesordnung.

Die wären ohne Privatspäreeinstellungen ganz genauso an der
Tagesordnung. Womöglich um Klassen größer.

> Genau die Millionen User, die deiner Meinung nach mit Facebook ach so
> gut klarkommen, sind die Opfer. Weil sie sich falsch verhalten oder

> Privatsphäreeinstellungen mangelhaft sind.

Es gibt mal ganz grundsätzlich 2 Typen von "Opfern": Die, die sich
selbst als Opfer fühlen und die, die von Anderen zu Opfern deklariert
werden.

Klaro?

>>> Bei Facebook gibt es keine Foren. Es gibt sogenannte Gruppen.
>>> Und nein, die haben nicht die Forenstruktur, wie man sie von

>>> Webforen kennt. Und ja, da zu posten, ist nicht schwer. Dafür
>>> haben sie andere Tücken,
>>
>> Die da wären?

>
> Man kann beispielsweise Leute zu Facebook-Gruppen ungefragt

> hinzufügen.

Das kann ärgerlich sein. Ja, aber nichts weiter.

> Das kann, wenn das Opfer nicht richtig reagiert, je nach Gruppe zur

> Rufschädigung genutzt werden.

Das mag sein. Funktioniert aber ohne Gruppe ganz genau so.

> Und das wird mittlerweile für Phishing-Attacken ausgenutzt, weil
> Kriminelle, die die Gruppe gründen sich als "Freunde" der Opfer
> ausgeben - Identitätsdiebstahl ist auf Facebook auch ein Kinderspiel
> - sie zur Gruppe hinzufügen und durch Gruppenpostings dazu bringen,
> Links anzuklicken.

Auch das ist ein eher schwaches Argument. Es liegt ganz einfach an der
schieren Anzahl der Nutzer. Darunter finden sich eben auch viele
kriminelle Elemente, die eine an sich nützliche Einrichtung für ihre
Zwecke mißbrauchen.

> Zudem obliegt es dem Gruppenadministrator, die richtige Form für die

> Gruppe zu finden, ganz offen, geschlossen oder geheim. Auch da ist
> schon so manches schiefgelaufen.

Menschen machen Fehler. So what! Wären sie ohne Facebook fehlerlos?

>>> Bitte nicht über was urteilen, was du nicht kennst, ja?
>>
>> In der Tat. Das wäre wirklich wünschenswert.

>
> Das sagst du jemandem, der seit Jahren im beruflichen Kontext

> Facebook-Beratung macht, mit Schwerpunkt Privatsphäre und
> Sicherheit.

Au weia!

> Der war gut. ;-)

Der allerdings auch.

[Lars Gebauer]

* Alexander Schestag:
> Am 26.05.2013 12:56, schrieb Alexander Schestag:
>> Am 26.05.2013 12:09, schrieb Lars Gebauer:
>>> Bei Facebook ist dieser (potentielle) Leserkreis default etwas

>>> eingeschr�nkt. Das hei�t, wenn man mit diesen Einstellungen

>>> herumexperimentiert, dann erreicht man maximal den Zustand
>>> "Usenet".
>

> Erg�nzend: Auch offene Facebook-Gruppen sind im Gegensatz zu

> Newsgroups nicht world-readable, sondern nur Facebook-intern.

Was, wennschon, eher als Vorteil f�r Facebook zu werten w�re.

> Noch ein Unterschied, der den Vergleich sinnfrei macht. Gruppen
> erreichen also niemals den Zustad "Usenet".

Eben! Im Gegensatz zu Usenet gibt es so etwas wie Privatsph�re. Wenn
auch mehr schlecht als recht.

Das ist genau der Standpunkt, den ich immer leicht irre finde: Als
Nachteil von Facebook wird h�ufig die mangelhafte Privacy gesehen.
�bersehen wird dabei ganz schlicht, da� es diese Privacy woanders
�berhaupt nicht gibt.

[Alexander Schestag]

Am 26.05.2013 13:37, schrieb Lars Gebauer:

> Eben! Im Gegensatz zu Usenet gibt es so etwas wie Privatsph�re. Wenn
> auch mehr schlecht als recht.
>
> Das ist genau der Standpunkt, den ich immer leicht irre finde: Als
> Nachteil von Facebook wird h�ufig die mangelhafte Privacy gesehen.
> �bersehen wird dabei ganz schlicht, da� es diese Privacy woanders
> �berhaupt nicht gibt.

Du �bersiehst bei der Argumentation den entscheidenden Punkt: Wer das
Usenet nutzt, _wei�_ in der Regel, dass alles, was er schreibt, weltweit
lesbar ist. Auf Facebook oder in anderen sozialen Netzwerken kommt es
extrem h�ufig vor, dass Leute dadurch, dass ihnen die Betreiber das
suggerieren, glauben ihnen k�nne nix passieren, wenn sie abends
�ffentlich posten, dass ihr Chef ein Arschloch ist - und sich dann am
n�chsten Morgen entsetzt wundern, dass sie fristlos gek�ndigt werden.

Alex
--
http://www.schestag.de

[Bjoern Hoehrmann]

* Lars Gebauer wrote in de.alt.comm.webzwonull:

>"Privatsph�re" gibt es im Usenet bekanntlich gar nicht - prinzipiell
>kann Jeder lesen, was Jeder schreibt.

Das ist ein ziemlich eingeschr�nktes Verst�ndnis von "Privatsph�re" oder
du meinst "im Usenet" sehr w�rtlich. Wenn Du zum Beispiel Gruppen lesen
willst, ohne dass Dir das sp�ter zum Vorwurf gemacht werden kann, dann
ist das im Usenet sehr viel einfacher als bei Facebook. Im Usenet werden
viele Daten auch gar nicht erhoben, mein Computer zum Beispiel macht
keine Aufzeichnungen dar�ber, welche Artikel ich aufmerksam durchlese,
und welche ich ungelesen als gelesen markiere, wohingegen solche Daten
zu sammeln und zu verwerten bei Facebook zum Gesch�ftsmodell geh�rt.
--
Bj�rn H�hrmann � mailto:bjo...@hoehrmann.de � http://bjoern.hoehrmann.de
Am Badedeich 7 � Telefon: +49(0)160/4415681 � http://www.bjoernsworld.de
25899 Dageb�ll � PGP Pub. KeyID: 0xA4357E78 � http://www.websitedev.de/

[Alexander Schestag]

Am 26.05.2013 13:30, schrieb Lars Gebauer:
> * Alexander Schestag:
>> Am 26.05.2013 12:09, schrieb Lars Gebauer:
>>> * Alexander Schestag:
>>>> Facebook *richtig* zu bedienen,
>>>
>>> ... schaffen vollkommen problemlos zig Millionen Nutzer.
>>
>> Nicht so wirklich.
>

> Och, doch schon. Wenn sie es nicht schaffen w�rden, dann w�rden sie es
> nicht nutzen.

Das ist eine ziemlich eindimensionale Definition von "richtig nutzen".
Die meisten merken erst, dass sie das Medium nicht richtig genutzt
haben, wenn sie auf die Nase gefallen sind. Unter "richtig" verstehe ich
eben auch, dass sie das Medium so nutzen, dass sie nicht sich und
anderen schaden.

> Opfer einer Straftat kann man immer werden. Das ist nichts
> Facebook-Spezifisches.
>
> Mit Sicherheit gab es auch jede Menge Straftaten in Zusammenhang mit
> "Usenet". Nur wurde das medial nie so hochgekocht.

Nicht in dieser Dimension. Das Problem an der Sache ist u. a., dass
zwischen der Netzkompetenz der Usenet- und der Facebook-User oft Welten
liegen.

>> Sehe ich t�glich.

>
> Vermutlich habe ich nettere Freunde als Du. ;)

Ich sehe es eher daran, dass Freunde mal wieder rumspammen o. �. ;-)

>>> "Privatsph�re" gibt es im Usenet bekanntlich gar nicht -

>>> prinzipiell kann Jeder lesen, was Jeder schreibt.
>>
>> Eben. Das ist bei Facebook-Gruppen schon mal nicht unbedingt der
>> Fall.
>

> Und es w�re /in dieser/ Hinsicht eher ein Vorteil f�r Facebook.

Das bestreite ich nicht, h�ngt aber auch davon ab, wovon man ausgeht,
wenn man ein Medium nutzt. Wie im letzten Posting beschrieben, wissen
Usenet-User in der Regel, dass ihre Postings �ffentlich sind. Wenn man
das klipp und klar wei�, verh�lt man sich anders, als wenn man denkt,
dass man durch Privatsph�reeinstellungen gesch�tzt ist.

>> Daher hinkt der Vergleich von Facebook-Gruppen mit Newsgroups von
>> hinten bis vorne.
>
> Warum? Weil Facebook /in dieser/ Hinsicht besser abschneidet?

Nein, weil dadurch zus�tzliche Einstellungs-Optionen dazu kommen. Es
ging ja letztlich nur um die Frage, was leichter zu bedienen ist,
Facebook oder Usenet.

>> Darum geht es mir nicht. Scams, Phishing, �rger wegen Postings mit

>> falscher Privatsph�reeinstellungen usw. usw. usw. sind in Facebook
>> an der Tagesordnung.
>
> Die w�ren ohne Privatsp�reeinstellungen ganz genauso an der
> Tagesordnung. Wom�glich um Klassen gr��er.

Das ist richtig, aber nicht der Punkt. Der Punkt ist, wovon Menschen
ausgehen, wenn sie ein Medium nutzen. Facebook redet viel von
Privatsph�re, gibt aber sehr offene Privatsph�reeinstellungen vor. Viele
lassen die unver�ndert, meinen aber, besser gesch�tzt zu sein, als sie
tats�chlich sind, weil es ja Privatsph�reeinstellungen gibt und Facebook
das schon richtig machen wird. Das Problem ist also ein psychologischer
Faktor, der beim Usenet wegf�llt, weil man da wei�: Das, was ich
schreibe, ist �ffentlich, also verhalte ich mich entsprechend.

>> Genau die Millionen User, die deiner Meinung nach mit Facebook ach so
>> gut klarkommen, sind die Opfer. Weil sie sich falsch verhalten oder

>> Privatsph�reeinstellungen mangelhaft sind.
>
> Es gibt mal ganz grunds�tzlich 2 Typen von "Opfern": Die, die sich
> selbst als Opfer f�hlen und die, die von Anderen zu Opfern deklariert
> werden.
>
> Klaro?

Ich wei� ja nicht, was du f�r eine Definition von "Opfer" hast. Das ist
kein subjektives Empfinden. Wer Geld an Betr�ger verliert, wessen
Account kompromittiert wurde, wer sich einen Trojaner einf�ngt, ist
Opfer. Ganz objektiv. Oder mal anders gefragt: Zu welcher deiner
Kategorien geh�rt das Opfer eines Stra�enraubs?

>> Und das wird mittlerweile f�r Phishing-Attacken ausgenutzt, weil
>> Kriminelle, die die Gruppe gr�nden sich als "Freunde" der Opfer
>> ausgeben - Identit�tsdiebstahl ist auf Facebook auch ein Kinderspiel
>> - sie zur Gruppe hinzuf�gen und durch Gruppenpostings dazu bringen,

>> Links anzuklicken.
>
> Auch das ist ein eher schwaches Argument. Es liegt ganz einfach an der
> schieren Anzahl der Nutzer. Darunter finden sich eben auch viele

> kriminelle Elemente, die eine an sich n�tzliche Einrichtung f�r ihre
> Zwecke mi�brauchen.

Und darunter befinden sich eben auch viele Menschen ohne jegliche
Netzkompetenz, die mit der Komplexit�t des Systems, das sie eigentlich
ver�ndern m�ssten, um das zu erreichen, was sie eigentlich wollen, nicht
zurechtkommen. Und auch manch einer mit einer hohen Netzkompetenz ist
von Facebook �berfordert. Nochmal: Es ging ja nur um die Frage, was
leichter zu bedienen ist. Und da bleibe ich immer noch dabei: Usenet. Da
wei� man, was man schreibt, ist �ffentlich, man muss nicht an zig
Einstellungen rumschrauben, bei denen am Ende teilweise immer noch nicht
transparent ist, ob sie das tun, was man eigentlich will, weil sie nicht
gescheit dokumentiert sind.

>> Das sagst du jemandem, der seit Jahren im beruflichen Kontext

>> Facebook-Beratung macht, mit Schwerpunkt Privatsph�re und
>> Sicherheit.
>
> Au weia!

Danke f�r die Blumen.

Alex
--
http://www.schestag.de

[Alexander Schestag]

Am 26.05.2013 14:04, schrieb Bjoern Hoehrmann:
> * Lars Gebauer wrote in de.alt.comm.webzwonull:
>> "Privatsph�re" gibt es im Usenet bekanntlich gar nicht - prinzipiell
>> kann Jeder lesen, was Jeder schreibt.
>
> Das ist ein ziemlich eingeschr�nktes Verst�ndnis von "Privatsph�re" oder
> du meinst "im Usenet" sehr w�rtlich. Wenn Du zum Beispiel Gruppen lesen
> willst, ohne dass Dir das sp�ter zum Vorwurf gemacht werden kann, dann
> ist das im Usenet sehr viel einfacher als bei Facebook.

Richtig, der Aspekt kommt noch hinzu. Lars Aussage gilt demnach nur f�rs
Schreiben im Usenet. Und eben deswegen ist Usenet auch viel einfacher zu
bedienen als Facebook. Wenn ich bei Facebook auch nur mitlesen will,
brauche ich mit Ausnahme �ffentlicher Seiten einen Account, ich muss
bestimmte Angaben machen, f�r die es bestimmte Privatsph�reeinstellungen
gibt, die aber meistens ziemlich lausig voreingestellt sind. Kurz: Ich
muss mich k�mmern, und das nicht zu knapp. Deswegen sag ich ja: Die
Bedienung des Usenet bzw. eines Newsreaders ist wesentlich einfacher als
die richtige Bedienung von Facebook.

Alex


--
http://www.schestag.de

[Lars Gebauer]

* Bjoern Hoehrmann:

> * Lars Gebauer wrote in de.alt.comm.webzwonull:
>> "Privatsph�re" gibt es im Usenet bekanntlich gar nicht -
>> prinzipiell kann Jeder lesen, was Jeder schreibt.
>
> Das ist ein ziemlich eingeschr�nktes Verst�ndnis von "Privatsph�re"
> oder du meinst "im Usenet" sehr w�rtlich.

Ja, ich meine das w�rtlich - wie auch sonst? Im Usenet gibt es keinerlei
Privatsph�re.

> Wenn Du zum Beispiel Gruppen lesen willst, ohne dass Dir das sp�ter
> zum Vorwurf gemacht werden kann, dann ist das im Usenet sehr viel
> einfacher als bei Facebook.

Das ist zwar grunds�tzlich richtig, aber welche Bedeutung sollte es
haben? Wenn ich vor h�tte, mir in D illegales Material zu besorgen, dann
sollte ich sowieso entsprechende Ma�nahmen treffen.

> Im Usenet werden viele Daten auch gar nicht erhoben, mein Computer
> zum Beispiel macht keine Aufzeichnungen dar�ber, welche Artikel ich
> aufmerksam durchlese, und welche ich ungelesen als gelesen markiere,
> wohingegen solche Daten zu sammeln und zu verwerten bei Facebook zum
> Gesch�ftsmodell geh�rt.

Ja, auf diesem Weg erf�hrt der Mr. Zuckerberg bspw., da� ich Katzen mag.
Nun, wenn ihm davon einer abgeht, bittesch�n.

Ich will dieses Gesch�ftsmodell keineswegs untersch�tzen aber man sollte
sich doch dar�ber im Klaren sein, da� es nie einzelne Personen sondern
immer mehr oder weniger gro�e Gruppen betrifft in denen der Einzelne
wiederum recht anonym/pseudonym ist.

[Alexander Schestag]

Am 26.05.2013 14:29, schrieb Lars Gebauer:

> Ich will dieses Gesch�ftsmodell keineswegs untersch�tzen aber man sollte
> sich doch dar�ber im Klaren sein, da� es nie einzelne Personen sondern
> immer mehr oder weniger gro�e Gruppen betrifft in denen der Einzelne
> wiederum recht anonym/pseudonym ist.

Das ist faslch. Du verfolgst Diskussionen �ber M�glichkeiten und
Forschungen zur genauen Verhaltensanalyse Einzelner in sozialen
Netzwerken nicht, oder?

Alex

--
http://www.schestag.de

[Lars Gebauer]

* Alexander Schestag:
> Am 26.05.2013 13:30, schrieb Lars Gebauer:
>> * Alexander Schestag:
>>> Am 26.05.2013 12:09, schrieb Lars Gebauer:
>>>> * Alexander Schestag:
>>>>> Facebook *richtig* zu bedienen,
>>>>
>>>> ... schaffen vollkommen problemlos zig Millionen Nutzer.
>>>
>>> Nicht so wirklich.
>>
>> Och, doch schon. Wenn sie es nicht schaffen w�rden, dann w�rden sie
>> es nicht nutzen.
>
> Das ist eine ziemlich eindimensionale Definition von "richtig
> nutzen".

Mag sein. Aber es ist f�r mich die einzig sinnvolle.

Denn ansonsten m��te ich ja erst mal definieren, was denn eigentlich
"richtig" ist. Und ich bin mir ziemlich sicher, da� sich meine
Definition von der Deinigen unterscheidet. Daraus w�rde dann folgen, da�
einer von uns beiden "falsch" liegt. Aber wer wollte/sollte das entscheiden?

Also �berlasse ich die Entscheidung schlicht den Nutzern. Wenn das
geschieht, was diese erwartet haben, dann war's ganz offensichtlich
"richtig". Auch dann, wenn ich's "falsch" finde.

> Die meisten merken erst, dass sie das Medium nicht richtig genutzt
> haben, wenn sie auf die Nase gefallen sind.

Das ist - eigentlich - "immer" so.

>> Opfer einer Straftat kann man immer werden. Das ist nichts
>> Facebook-Spezifisches.
>>
>> Mit Sicherheit gab es auch jede Menge Straftaten in Zusammenhang
>> mit "Usenet". Nur wurde das medial nie so hochgekocht.
>
> Nicht in dieser Dimension.

Ach, das bringt doch nicht. Die absolute Zahl der Internetnutzer d�rfte
damals auch niedriger gewesen sein. Da� es weniger Straftaten gab hat
mit Facebook wenig zu tun.

> Das Problem an der Sache ist u. a., dass zwischen der Netzkompetenz
> der Usenet- und der Facebook-User oft Welten liegen.

Das m�chte ich doch erheblich bezweifeln. Die Netzkompetenz des
durchschnittlichen Usenet-Nutzers war vor 15 Jahren auch nicht besonders
hoch. FAQs wurden nicht ohne Grund geschrieben (und dann doch nicht
gelesen).

>>> Sehe ich t�glich.
>>
>> Vermutlich habe ich nettere Freunde als Du. ;)
>
> Ich sehe es eher daran, dass Freunde mal wieder rumspammen o. �. ;-)

Nun ja. Das ist (maximal) ein �rgernis aber doch weit weg von Straftat
oder gar unmittelbarer Gefahr.

>>> Daher hinkt der Vergleich von Facebook-Gruppen mit Newsgroups
>>> von hinten bis vorne.
>>
>> Warum? Weil Facebook /in dieser/ Hinsicht besser abschneidet?
>
> Nein, weil dadurch zus�tzliche Einstellungs-Optionen dazu kommen. Es
> ging ja letztlich nur um die Frage, was leichter zu bedienen ist,
> Facebook oder Usenet.

Siehe oben. (Nur-)Facebook-Nutzer haben sich offenbar ihre Meinung gebildet.

>>> Darum geht es mir nicht. Scams, Phishing, �rger wegen Postings
>>> mit falscher Privatsph�reeinstellungen usw. usw. usw. sind in
>>> Facebook an der Tagesordnung.
>>
>> Die w�ren ohne Privatsp�reeinstellungen ganz genauso an der
>> Tagesordnung. Wom�glich um Klassen gr��er.
>
> Das ist richtig, aber nicht der Punkt. Der Punkt ist, wovon Menschen
> ausgehen, wenn sie ein Medium nutzen. Facebook redet viel von
> Privatsph�re, gibt aber sehr offene Privatsph�reeinstellungen vor.
> Viele lassen die unver�ndert, meinen aber, besser gesch�tzt zu sein,
> als sie tats�chlich sind, weil es ja Privatsph�reeinstellungen gibt
> und Facebook das schon richtig machen wird.

Ja. Aber Jeder, der Facebook eine Weile nutzt, merkt recht schnell, wer
was sehen kann. Gegen absolute User-Blindheit ist so und so kein Kraut
gewachsen.

> Das Problem ist also ein psychologischer Faktor, der beim Usenet
> wegf�llt, weil man da wei�: Das, was ich schreibe, ist �ffentlich,
> also verhalte ich mich entsprechend.

Du untersch�tzt die soziale Kontrolle bei Facebook. Ich habe mehr als
100 Freunde, die aus meinem unmittelbaren Umfeld kommen und die mir
jeden Tag �ber den Weg laufen k�nnten - und das auch teilweise tun. Und
nat�rlich m�chte ich vor diesen Leuten nicht allzu mies dastehen. Also
bin ich bem�ht, mich einigerma�en gesittet zu verhalten.

>>> Genau die Millionen User, die deiner Meinung nach mit Facebook
>>> ach so gut klarkommen, sind die Opfer. Weil sie sich falsch
>>> verhalten oder Privatsph�reeinstellungen mangelhaft sind.
>>
>> Es gibt mal ganz grunds�tzlich 2 Typen von "Opfern": Die, die sich
>> selbst als Opfer f�hlen und die, die von Anderen zu Opfern
>> deklariert werden.
>>
>> Klaro?
>
> Ich wei� ja nicht, was du f�r eine Definition von "Opfer" hast.

Ganz einfach: Wer sich nicht selbst als Opfer f�hlt, der ist keins.

>>> Und das wird mittlerweile f�r Phishing-Attacken ausgenutzt, weil
>>> Kriminelle, die die Gruppe gr�nden sich als "Freunde" der Opfer
>>> ausgeben - Identit�tsdiebstahl ist auf Facebook auch ein
>>> Kinderspiel - sie zur Gruppe hinzuf�gen und durch Gruppenpostings
>>> dazu bringen, Links anzuklicken.
>>
>> Auch das ist ein eher schwaches Argument. Es liegt ganz einfach an
>> der schieren Anzahl der Nutzer. Darunter finden sich eben auch
>> viele kriminelle Elemente, die eine an sich n�tzliche Einrichtung
>> f�r ihre Zwecke mi�brauchen.
>
> Und darunter befinden sich eben auch viele Menschen ohne jegliche
> Netzkompetenz, die mit der Komplexit�t des Systems, das sie
> eigentlich ver�ndern m�ssten, um das zu erreichen, was sie eigentlich
> wollen, nicht zurechtkommen.

Dann werden sie es lernen oder die Nutzung einstellen.

> Und auch manch einer mit einer hohen Netzkompetenz ist von Facebook
> �berfordert. Nochmal: Es ging ja nur um die Frage, was leichter zu
> bedienen ist. Und da bleibe ich immer noch dabei: Usenet.

... und Mio. von Nur-Facebook-Nutzern widersprechen Dir.

> Da wei� man, was man schreibt, ist �ffentlich, man muss nicht an zig
> Einstellungen rumschrauben, bei denen am Ende teilweise immer noch
> nicht transparent ist, ob sie das tun, was man eigentlich will, weil
> sie nicht gescheit dokumentiert sind.

Deswegen habe ich auf Facebook den einfachsten Weg gew�hlt: So gut wie
alles was ich dort poste ist �ffentlich. Das, was nicht �ffentlich
werden soll, das poste ich einfach nicht. Nichts war einfacher als das.

[Lars Gebauer]

* Alexander Schestag:

Du irrst.

[Lars Gebauer]

* Alexander Schestag:

> Am 26.05.2013 13:37, schrieb Lars Gebauer:
>> Das ist genau der Standpunkt, den ich immer leicht irre finde: Als
>> Nachteil von Facebook wird h�ufig die mangelhafte Privacy gesehen.
>> �bersehen wird dabei ganz schlicht, da� es diese Privacy woanders
>> �berhaupt nicht gibt.
>
> Du �bersiehst bei der Argumentation den entscheidenden Punkt: Wer das
> Usenet nutzt, _wei�_ in der Regel, dass alles, was er schreibt, weltweit
> lesbar ist.

Nein, den �bersehe ich nicht.

> Auf Facebook oder in anderen sozialen Netzwerken kommt es
> extrem h�ufig vor, dass Leute dadurch, dass ihnen die Betreiber das
> suggerieren, glauben ihnen k�nne nix passieren, wenn sie abends
> �ffentlich posten, dass ihr Chef ein Arschloch ist - und sich dann am
> n�chsten Morgen entsetzt wundern, dass sie fristlos gek�ndigt werden.

Nun, ich w�rde auch keine Angestellten haben wollen, die hinter meinem
R�cken �ber mich hetzen.

[Alexander Schestag]

Ich k�rze das mal stark ab.

Am 26.05.2013 15:06, schrieb Lars Gebauer:
> * Alexander Schestag:

>> Und auch manch einer mit einer hohen Netzkompetenz ist von Facebook
>> �berfordert. Nochmal: Es ging ja nur um die Frage, was leichter zu
>> bedienen ist. Und da bleibe ich immer noch dabei: Usenet.
>
> ... und Mio. von Nur-Facebook-Nutzern widersprechen Dir.

Und hier liegt m. E. der entscheidende Irrtum. Mio von
Nur-Facebook-Nutzern wissen gar nicht, dass es das Usenet gibt. Daher
kann man eine solche Aussage kaum treffen.

Noch ein Wort zur Netzkompetenz: Viele Leute, die sich schon lange im
Usenet tummeln, hatten fr�her im Vergleich zu den Facebook-Usern heute
eine h�here Netzkompetenz.

>> Da wei� man, was man schreibt, ist �ffentlich, man muss nicht an zig
>> Einstellungen rumschrauben, bei denen am Ende teilweise immer noch
>> nicht transparent ist, ob sie das tun, was man eigentlich will, weil
>> sie nicht gescheit dokumentiert sind.
>
> Deswegen habe ich auf Facebook den einfachsten Weg gew�hlt: So gut wie
> alles was ich dort poste ist �ffentlich. Das, was nicht �ffentlich
> werden soll, das poste ich einfach nicht. Nichts war einfacher als das.

ACK! Aber wieviele tun das?

Alex


--
http://www.schestag.de

[Lars Gebauer]

* Alexander Schestag:

> Am 26.05.2013 15:06, schrieb Lars Gebauer:
>> * Alexander Schestag:
>>> Und auch manch einer mit einer hohen Netzkompetenz ist von
>>> Facebook �berfordert. Nochmal: Es ging ja nur um die Frage, was
>>> leichter zu bedienen ist. Und da bleibe ich immer noch dabei:
>>> Usenet.
>>
>> ... und Mio. von Nur-Facebook-Nutzern widersprechen Dir.
>
> Und hier liegt m. E. der entscheidende Irrtum. Mio von
> Nur-Facebook-Nutzern wissen gar nicht, dass es das Usenet gibt.
> Daher kann man eine solche Aussage kaum treffen.

Sie war ja auch eher symbolisch gemeint: F�r Mio. von Nutzern ist
Facebook - ganz offensichtlich - einfach genug.

[Stefan Reuther]

Lars Gebauer wrote:
> * Bjoern Hoehrmann:

>>Im Usenet werden viele Daten auch gar nicht erhoben, mein Computer
>>zum Beispiel macht keine Aufzeichnungen dar�ber, welche Artikel ich
>>aufmerksam durchlese, und welche ich ungelesen als gelesen markiere,
>>wohingegen solche Daten zu sammeln und zu verwerten bei Facebook zum
>>Gesch�ftsmodell geh�rt.
>
> Ja, auf diesem Weg erf�hrt der Mr. Zuckerberg bspw., da� ich Katzen mag.
> Nun, wenn ihm davon einer abgeht, bittesch�n.

Sofern der dir daraufhin nur Werbung f�r Katzenfutter anzeigt ist das ja
ganz nett.

Erkl�rungsbed�rftig gegen�ber �ber-die-Schulter-Schauern wird es dann,
wenn du auf einmal nur noch Werbung f�r Gleitgel und Peitschen bekommst,
weil der Algorithmus das aus den von dir abends heimlich gelesenen
Gruppen rausdestilliert.


Stefan

[Lars Gebauer]

* Stefan Reuther:

> Lars Gebauer wrote:
>> Ja, auf diesem Weg erf�hrt der Mr. Zuckerberg bspw., da� ich Katzen mag.
>> Nun, wenn ihm davon einer abgeht, bittesch�n.
>
> Sofern der dir daraufhin nur Werbung f�r Katzenfutter anzeigt ist das ja
> ganz nett.

Allemal besser als Werbung f�r Hundefutter.

> Erkl�rungsbed�rftig gegen�ber �ber-die-Schulter-Schauern wird es dann,
> wenn du auf einmal nur noch Werbung f�r Gleitgel und Peitschen bekommst,
> weil der Algorithmus das aus den von dir abends heimlich gelesenen
> Gruppen rausdestilliert.

Daf�r m��te das mit der personalisierten Werbung /�berhaupt/ erstmal
funktionieren.

[Stefan Reuther]

Lars Gebauer wrote:
> * Stefan Reuther:

>>Erkl�rungsbed�rftig gegen�ber �ber-die-Schulter-Schauern wird es dann,
>>wenn du auf einmal nur noch Werbung f�r Gleitgel und Peitschen bekommst,
>>weil der Algorithmus das aus den von dir abends heimlich gelesenen
>>Gruppen rausdestilliert.
>
> Daf�r m��te das mit der personalisierten Werbung /�berhaupt/ erstmal
> funktionieren.

Teilweise tut es das. Irgendwie.

Ein Kollege hatte mal festgestellt, dass die Lampen im Chef-Vorzimmer
denen beim B�sewicht in einem James-Bond-Film �hneln, und postete das
mit einem Amazon-Link "wenn ihr so eine Lampe haben wollt, k�nnt ihr sie
hier kaufen" in ein internes Forum.

Ein, zwei Monate lang grinsten mich dann auf allen m�glichen Webseiten
diese Lampen an. Weil alle Kollegen bei Amazon mit der Router-IP
aufschlagen, und Amazon nun gesteigertes Interesse an solchen Lampen
hinter der IP sah.


Stefan

[Lars Gebauer]

* Stefan Reuther:
> Lars Gebauer wrote:

>> Daf�r m��te das mit der personalisierten Werbung /�berhaupt/ erstmal
>> funktionieren.
>
> Teilweise tut es das. Irgendwie.

Wenn ich die Werbung auf Facebook �berhaupt mal anschalte, dann frage
ich mich regelm��ig, welch' merkw�rdige Vorstellung der Mr. Zuckerberg
wohl von mir hat. Da werden mir jedesmal Dinge an's Herz gelegt, zu
denen ich garantiert in keiner Beziehung stehe.

Irgendwas /f�r mich/ Interessantes habe ich da noch nie entdeckt bzw.
wenn, dann war das so selten, da� es nur Zufall sein konnte.

Wenn ich meine Aktivit�ten auf Facebook so �berdenke, dann m��te ich
eigentlich recht gut zu profilen sein. Zu sp�ren ist davon nichts.

> Ein Kollege hatte mal festgestellt, dass die Lampen im Chef-Vorzimmer
> denen beim B�sewicht in einem James-Bond-Film �hneln, und postete das
> mit einem Amazon-Link "wenn ihr so eine Lampe haben wollt, k�nnt ihr sie
> hier kaufen" in ein internes Forum.
>
> Ein, zwei Monate lang grinsten mich dann auf allen m�glichen Webseiten
> diese Lampen an. Weil alle Kollegen bei Amazon mit der Router-IP
> aufschlagen, und Amazon nun gesteigertes Interesse an solchen Lampen
> hinter der IP sah.

Setzt Amazon nicht einfach und simpel Cookies?

[Uwe Premer]

Am Sun, 26 May 2013 12:56:59 +0200 schrieb Alexander Schestag:

> Facebook auch ein Kinderspiel - sie zur Gruppe hinzufügen und durch

> Gruppenpostings dazu bringen, Links anzuklicken.

Das mit den Links, und zwar insbesondere mit den Kurz-Links, aka bit.ly
etc, ist für mich persönlich der allergrößte Aufreger bei Facebook.
Jemand, der sich kein Tool zur Vorschau auf den eigentlichen URL oder
aber irgendein Sicherheitstool im Browser, welches einigermassen gut
vorher anzeigt, ob der Kurz-Link vertrauenswürdig ist oder nicht,
installiert hat, hat absolut keine Chance, wenn er alles an diesen
Krückenlinks durchklickt, sich einen Trojaner einzufangen.

Ich hatte kürzlich Mal einen Anbieter einer Facebook-Seite darauf
hingewiesen, dass seine Kurz-Links laut Web-Reputation auf eine
Malware-Webseite verweisen.
Die Reaktion darauf war derart dreist, da kann man echt nur den Kopf
schütteln: "man sei nicht für den Inhalt jener Webseite ausserhalb
Facebook verantwortlich". - Deppen, kann ich nur sagen, Vollpfosten!
Sie verlinken Malwareseiten und fühlen sich dann nicht dafür
verantwortlich. Und sowas hat dann sogar irrsinnig hohe Followerzahlen.

Genauso ein anderer Anbieter, dessen Account gehackt wurde und plötzlich
darüber Erotikseiten beworben wurden. - Es hatte wirklich lange
gedauert, bis das behoben wurde.

Meiner Meinung nach hat Facebook selbst da überhaupt keine Möglichkeiten
mehr, unbedarfte Nutzer vor sowas zu schützen, zumindest nicht mit
derzeitigen Mitteln.

Für die Zukunft würde ich an FB appellieren: baut endlich mal eine
Funktion ein, wo wenigstens automatisch beim Überfahren eines Kurzlinks
mit der Maus der damit verlinkte Web-URL angezeigt wird.
Ja, das *muss* machbar sein, da sitzen ja doch ziemlich kompetente
Programmierer rum bei FB, so ein Pippi sollten die doch wohl noch
hinkriegen oder?

Uwe

[Alexander Schestag]

Am 06.06.2013 02:15, schrieb Uwe Premer:
> Am Sun, 26 May 2013 12:56:59 +0200 schrieb Alexander Schestag:
>
>> Facebook auch ein Kinderspiel - sie zur Gruppe hinzufügen und
>> durch Gruppenpostings dazu bringen, Links anzuklicken.
>
> Das mit den Links, und zwar insbesondere mit den Kurz-Links, aka
> bit.ly etc, ist für mich persönlich der allergrößte Aufreger bei
> Facebook.

Short URLs sind nicht nur bei Facebook ein Problem. Eigentlich gedacht
für Dienste wie Twitter, bei denen es schlicht Platzprobleme gibt,
werden sie mittlerweile überall verwendet. Das bringt nicht nur
Sicherheitsprobleme mit sich. Wenn einer dieser Dienste mal dichtmacht
oder dauerhaft ausfällt, sind Millionen Verlinkungen im Web tot. Sprich,
es kann zu einem gewaltigen Informationsverlust kommen. Bei bit.ly ist
der sogar automatisch vorprogrammiert, denn bit.ly-URLs gelten nicht
ewig, sondern laufen ab. Das Web steht damit auf tönernen Füßen. Ich
halte das offen gestanden langfristig für das viel größere Problem als
Sicherheitsprobleme.

> Genauso ein anderer Anbieter, dessen Account gehackt wurde

Kompromittiert, nicht gehackt. Hacker machen sowas nicht.

> und plötzlich darüber Erotikseiten beworben wurden. - Es hatte
> wirklich lange gedauert, bis das behoben wurde.

Das ist aber kein Problem mit short URLs.

> Meiner Meinung nach hat Facebook selbst da überhaupt keine
> Möglichkeiten mehr, unbedarfte Nutzer vor sowas zu schützen,
> zumindest nicht mit derzeitigen Mitteln.

Äh, doch. Grade Facebook hat schon seit Längerem Maßnahmen ergriffen, um
User vor schädlichen Links in Facebook zu schützen, unter anderem in
Kooperation mit Web Of Trust (WOT). Wenn du einen als schädlich
identifizierten Link anklickst, kriegst du eine Warnung und wirst vom
Facebook-Proxy nur weitergeleitet, wenn du explizit bestätigst, dass du
das willst.

Allerdings sind solche Reputations-Tools auch zweischneidig. WOT kann
auch dazu missbraucht werden, eine einwandfreie Website bewusst
abzuschießen. Auch das ist schon passiert. Daher würde ich etwa bei
Malware nicht nur auf solche Tools vertrauen.

> Für die Zukunft würde ich an FB appellieren: baut endlich mal eine
> Funktion ein, wo wenigstens automatisch beim Überfahren eines
> Kurzlinks mit der Maus der damit verlinkte Web-URL angezeigt wird.
> Ja, das *muss* machbar sein, da sitzen ja doch ziemlich kompetente
> Programmierer rum bei FB, so ein Pippi sollten die doch wohl noch
> hinkriegen oder?

Ich bin nicht der Meinung, dass hier Facebook die Nanny zu spielen hat.
Da short URLs mittlerweile WWW-weit eingesetzt werden, ist es der völlig
falsche Ansatz, User in einem einzigen Dienst davor zu schützen. User
müssen lernen, wie sie sich eigenverantwortlich vor bösartigen short
URLs schützen können. Wer sich im WWW - und ganz generell im Internet -
bewegt, hat nun mal eine Eigenverantwortung, sich über Gefahren zu
informieren und sich ausreichend davor zu schützen. Diese Verantwortung
kann und darf ihm nicht jeder Anbieter mit Nanny-Funktionalität
abnehmen. Ich erwarte im Netz den mündigen User, der eigenverantwortlich
handelt.

Alex
--
http://www.schestag.de

[Lars Gebauer]

* Alexander Schestag:

> Am 06.06.2013 02:15, schrieb Uwe Premer:
>> Am Sun, 26 May 2013 12:56:59 +0200 schrieb Alexander Schestag:

>>> Facebook auch ein Kinderspiel - sie zur Gruppe hinzuf�gen und

>>> durch Gruppenpostings dazu bringen, Links anzuklicken.
>>
>> Das mit den Links, und zwar insbesondere mit den Kurz-Links, aka

>> bit.ly etc, ist f�r mich pers�nlich der allergr��te Aufreger bei

>> Facebook.
>
> Short URLs sind nicht nur bei Facebook ein Problem.

Meine ersten Begegnungen mit Kurz-URLs hatte ich interessanterweise im
Usenet. Vor mehr als 10 Jahren, als an Facebook, Twitter und Co. noch
nicht im Traum gedacht wurde. :)

[Lars Gebauer]

* Uwe Premer:

> Am Sun, 26 May 2013 12:56:59 +0200 schrieb Alexander Schestag:

>> Facebook auch ein Kinderspiel - sie zur Gruppe hinzuf�gen und durch

>> Gruppenpostings dazu bringen, Links anzuklicken.
>
> Das mit den Links, und zwar insbesondere mit den Kurz-Links, aka bit.ly

> etc, ist f�r mich pers�nlich der allergr��te Aufreger bei Facebook.

Allerdings sind diese Kurz-URLs keineswegs Facebook-typisch.

> F�r die Zukunft w�rde ich an FB appellieren: baut endlich mal eine
> Funktion ein, wo wenigstens automatisch beim �berfahren eines Kurzlinks

> mit der Maus der damit verlinkte Web-URL angezeigt wird.
> Ja, das *muss* machbar sein, da sitzen ja doch ziemlich kompetente
> Programmierer rum bei FB, so ein Pippi sollten die doch wohl noch
> hinkriegen oder?

Na klar. Damit die Datensch�tzer und -besch�tzten erstmal wieder richtig
jaulen k�nnen ...

[Jörg Tewes]

Uwe Premer schrub

> Am Sun, 26 May 2013 12:56:59 +0200 schrieb Alexander Schestag:

>> Facebook auch ein Kinderspiel - sie zur Gruppe hinzufügen und durch
>> Gruppenpostings dazu bringen, Links anzuklicken.

> Das mit den Links, und zwar insbesondere mit den Kurz-Links, aka
> bit.ly etc, ist für mich persönlich der allergrößte Aufreger bei
> Facebook. Jemand, der sich kein Tool zur Vorschau auf den
> eigentlichen URL oder aber irgendein Sicherheitstool im Browser,
> welches einigermassen gut vorher anzeigt, ob der Kurz-Link
> vertrauenswürdig ist oder nicht, installiert hat, hat absolut keine
> Chance, wenn er alles an diesen Krückenlinks durchklickt, sich einen
> Trojaner einzufangen.

Wer auf *alles* klickt was ihm unter den Zeiger kommt hats auch nicht
anders verdient. Klickst du hier auf alle Links die du siehst? Ich denke
nicht, und genauso ists in anderen Medien. Man klickt nur auf Links
denen man ansieht wo sie herkommen, oder bei Kurzlinks nur auf solche
von vertrauenswürdigen Usern.

> Und sowas hat dann sogar irrsinnig hohe Followerzahlen.

Genauso wie im Usenet, gibts auch auf Facebook Vollidioten. Ich würde
den prozentualen Anteil nicht unbedingt deutlich höher einstufen. Auf
Facebook gibts eine Seite die hat 10.000 Follower, aber noch nicht ein
Posting. Von irgendeinem Promi meine ich. ISt natürlich nicht die SEite
des Promis, nur von irgendwem angelegt.


Bye Jörg

--
"There's always hope. At least that's what I tell myself when I awaken in the
middle of the night and the only sound I can hear is the beating of my own
desperate heart."
(G'Sten to G'Kar, "The Long, Twilight Struggle")

[Jörg Tewes]

Alexander Schestag schrub

> Ich bin nicht der Meinung, dass hier Facebook die Nanny zu spielen
> hat. Da short URLs mittlerweile WWW-weit eingesetzt werden, ist es

> der v�llig falsche Ansatz, User in einem einzigen Dienst davor zu
> sch�tzen. User m�ssen lernen, wie sie sich eigenverantwortlich vor
> b�sartigen short URLs sch�tzen k�nnen. Wer sich im WWW - und ganz

> generell im Internet - bewegt, hat nun mal eine Eigenverantwortung,

> sich �ber Gefahren zu informieren und sich ausreichend davor zu
> sch�tzen. Diese Verantwortung kann und darf ihm nicht jeder Anbieter
> mit Nanny-Funktionalit�t abnehmen. Ich erwarte im Netz den m�ndigen
> User, der eigenverantwortlich handelt.

Full Ack. Auf der einen seite beschweren sich die User �ber immer mehr
�berwachung, auf der anderen Seite m�chten sie aber wie Kleinkinder an
die HAnd genommen werden und �ber die Stra�e gef�hrt werden. Wer sich im
NEtz bewegt sollte auch der Gefahren bewu�t sein, wer sich da nicht
schlau macht wird halt Opfer. Darwin ruled.


Bye J�rg

--
"You have always been here."
(Kosh (to Sheridan), "All Alone in the Night")

[Lars Gebauer]

* Jörg Tewes:
> Uwe Premer schrub

>> Das mit den Links, und zwar insbesondere mit den Kurz-Links, aka
>> bit.ly etc, ist für mich persönlich der allergrößte Aufreger bei
>> Facebook. Jemand, der sich kein Tool zur Vorschau auf den
>> eigentlichen URL oder aber irgendein Sicherheitstool im Browser,
>> welches einigermassen gut vorher anzeigt, ob der Kurz-Link
>> vertrauenswürdig ist oder nicht, installiert hat, hat absolut
>> keine Chance, wenn er alles an diesen Krückenlinks durchklickt,
>> sich einen Trojaner einzufangen.
>
> Wer auf *alles* klickt was ihm unter den Zeiger kommt hats auch
> nicht anders verdient.

Na ja. Das ist zwar "irgendwie richtig" aber irgendwie auch ein Ding mit
Pfiff: Selbst "seriöse" Seiten verteilen von Zeit zu Zeit Malware.
Nämlich z. Bsp. dann, wenn wieder mal wer das Ad-Network kompromittiert
hat. Über ausnutzbare Lücken im CMS mag ich gar nicht weiter nachdenken.

> Klickst du hier auf alle Links die du siehst?

Nein. Aber nicht wegen Sicherheitsbedenken sondern aus purem Desinteresse.

> Ich denke nicht, und genauso ists in anderen Medien. Man klickt nur
> auf Links denen man ansieht wo sie herkommen,

Siehe oben. Das ist zwar ein kluger Ratschlag aber er geht vollkommen an
der Realität vorbei.

> oder bei Kurzlinks nur auf solche von vertrauenswürdigen Usern.

Gleiche Dame, neuer Herr. Auch "vertrauenswürdige" User haben schon
Malware verteilt. Zwar nicht absichtlich aber am Ergebnis ändert das gar
nichts.

Das ist in etwa so brauchbar wie der Tip, nur E-Mail-Anhänge von
Bekannten zu öffnen ...

Fakt: Es gibt einfach keine vertrauenswürdigen Fremd-Daten. Auf diesen
simplen Umstand muß man sich eben einstellen. Wenn man damit nicht leben
kann, sollte sich man ein anderes Hobby suchen.

[gUnther nanonüm]

"Lars Gebauer" <lgeb...@arcor.de> schrieb im Newsbeitrag
news:51b33190$0$9522$9b4e...@newsspool1.arcor-online.net...

> Fakt: Es gibt einfach keine vertrauenswürdigen Fremd-Daten. Auf diesen
> simplen Umstand muß man sich eben einstellen. Wenn man damit nicht leben
> kann, sollte sich man ein anderes Hobby suchen.

Hi,
ja, aber es ist schwer zu ertragen, wenn die "noch uneinsichtigen" sich
darüber beömmeln, daß man sie genauso "behandelt" wie den beliebigen
moldavischen Hinterfotz...man will doch niemanden "rückärgern". Und es
stimmt ja auch, es gibt wirklich Leute, die hatten bislang unverschämtes
Glück und konnten trotz grundverseuchter Maschine alles, was ihnen einfiel
damit weiterhin erledigen. So gesehen entstand denen ein Schaden nur durch
diese Sicherheitsfanatiker, die deren tolle E-Postkartengrüße mit
angehängter Multimediaeskorte shreddern und sich dann hinter sogar darüber
beschweren.

--
mfg,
gUnther

[Alexander Schestag]

Am 08.06.2013 15:28, schrieb Lars Gebauer:
> Fakt: Es gibt einfach keine vertrauensw�rdigen Fremd-Daten. Auf diesen
> simplen Umstand mu� man sich eben einstellen. Wenn man damit nicht leben

> kann, sollte sich man ein anderes Hobby suchen.

Und eben dieses Einstellen ist das Problem. Viele kriegen das mit der
Risikominimierung nicht hin. Erst denken, dann klicken, Neugierde z�geln
und �hnliche Dinge w�re schon mal ein Anfang.

Alex
--
http://www.schestag.de

[Lars Gebauer]

* Alexander Schestag:

Aber eben ein v�llig unpraktikabler.

Anhand welcher Kriterien will man beurteilen, ob auf der Zielseite nicht
das CMS, das Ad-Network oder $SONSTWAS geknackt wurde?

Da gibt's einfach nichts, was man durch Nachdenken l�sen k�nnte. Eine
M�nze zu werfen bringt langfristig vermutlich die besseren Werte.

(Ok: Abgesehen von besonders offensichtlichen Phishing-Versuchen.)

Eine Risikominimierung bekommt man _nur_ �ber aktuelle Software,
restriktive Konfiguration *und* eine brauchbare Backup-Strategie hin.
Alles Andere f�llt in den Esoterik-Bereich.

[Lars Gebauer]

* gUnther nanonï¿œm:

> "Lars Gebauer" <lgeb...@arcor.de> schrieb im Newsbeitrag

>> Fakt: Es gibt einfach keine vertrauenswï¿œrdigen Fremd-Daten. Auf
>> diesen simplen Umstand muￜ man sich eben einstellen. Wenn man damit

>> nicht leben kann, sollte sich man ein anderes Hobby suchen.
>

> ja, aber es ist schwer zu ertragen, wenn die "noch uneinsichtigen"

> sich darￜber beￜmmeln, daￜ man sie genauso "behandelt" wie den

> beliebigen moldavischen Hinterfotz...man will doch niemanden

> "rï¿œckï¿œrgern".

"Ich bin kein Rassist. Ich hasse alle Menschen gleichermaï¿œen."

> Und es stimmt ja auch, es gibt wirklich Leute, die hatten bislang

> unverschï¿œmtes Glï¿œck und konnten trotz grundverseuchter Maschine

> alles, was ihnen einfiel damit weiterhin erledigen.

Spￜtestens dann, wenn die mal an den "BKA-Trojaner" (o. ￜ.) geraten,
legt deren Tï¿œtigkeit auch einen full stop hin.

> So gesehen entstand denen ein Schaden nur durch diese

> Sicherheitsfanatiker, die deren tolle E-Postkartengrￜￜe mit
> angehï¿œngter Multimediaeskorte shreddern und sich dann hinter sogar
> darï¿œber beschweren.

Nein, das Problem ist ein anderes: Ganz speziell beim Thema Sicherheit
(nicht nur Computersicherheit) glaubt jeder Halbhonk daￜ er davon auch
Ahnung habe und mitreden kï¿œnne. Deswegen entstehen
"Sicherheitskonzepte", deren esoterischer Wert unï¿œbertroffen ist. Und es
gibt eine Industrie, die dieses Klientel als Markt identifiziert hat,
hï¿œbsch am Kochen hï¿œlt und mit dem Verkauf hanebï¿œchener Produkte
abkassiert. Daraus entseht allerdings kein Schaden sondern ein Anteil
des BSP.

[Alexander Schestag]

Am 08.06.2013 16:51, schrieb Lars Gebauer:
> * Alexander Schestag:
>>

>> Und eben dieses Einstellen ist das Problem. Viele kriegen das mit der

>> Risikominimierung nicht hin. Erst denken, dann klicken, Neugierde zügeln
>> und ähnliche Dinge wäre schon mal ein Anfang.
>
> Aber eben ein völlig unpraktikabler.

Nein.

> Anhand welcher Kriterien will man beurteilen, ob auf der Zielseite nicht
> das CMS, das Ad-Network oder $SONSTWAS geknackt wurde?

Das ist ein Sonderfall, nämlich der, dass eine bekannte Quelle, mit der
man bisher nur gute Erfahrungen gemacht hat, wider Erwarten
kompromittiert ist, ohne dass man es bemerkt. Hier helfen in der Tat nur
technische Schutzmaßnahmen. Das ist aber oftmals gar nicht das Problem.

> Da gibt's einfach nichts, was man durch Nachdenken lösen könnte. Eine
> Münze zu werfen bringt langfristig vermutlich die besseren Werte.

Kompromittierte Websites, die völlig ohne Anzeichen Schadsoftware
einschmuggeln, sind nicht für den Löwenanteil an Kompromittierungen
verantwortlich.

> (Ok: Abgesehen von besonders offensichtlichen Phishing-Versuchen.)

Nein, abgesehen von _allen_ Angriffen, die sich psychologischer Methoden
bedienen. Und das ist die Mehrheit.

> Eine Risikominimierung bekommt man _nur_ über aktuelle Software,

> restriktive Konfiguration *und* eine brauchbare Backup-Strategie hin.

Der weitaus größte Teil der bestehenden Risiken hat eine dominierende
psychologische Komponente. Das Opfer _muss_ zum Mitmachen bewegt werden.
Und genau an diesem Punkt muss man ansetzen. Rein technische Maßnahmen
helfen hier nicht. Das gilt übrigens nicht nur für den Bereich der
Privatanwender. Auch Unternehmen sehen sich Angriffen ausgesetzt, die
auf die Kooperation der Mitarbeiter setzen.

> Alles Andere fällt in den Esoterik-Bereich.

Du diffamierst hier grade einen gesamten Zweig der Psychologie, nämlich
den, der sich mit Social Engineering befasst, als "Esoterik". Keine gute
Idee. Man kann Menschen erfolgreich gegen Social Engineering schulen,
indem man ihnen einige einfache Verhaltensweisen beibringt. Es wäre
beispielsweise schon viel geholfen, wenn die Alarmglocken angingen, wenn
man von einem Bekannten eine Mail bekommt, die seltsam formuliert ist
oder in der der Bekannte (scheinbar) um Dinge bittet, die für ihn
unüblich sind. Ein aktuelles Beispiel sind Mails von
Facebook-"Freunden", in denen der Empfänger gebeten wird, einen größeren
Geldbetrag zu überweisen, weil der Bekannte in Schwierigkeiten sei. Die
Mails kommen u. a. von kompromittierten Facebook-Accounts, sehen also
für den Empfänger so aus, als kämen sie tatsächlich von der Person. Wie
du hier mit "aktueller Software, restriktiver Konfiguration und einer
brauchbaren Backup-Strategie" auf Seiten des Empfängers eine
Risikominimierung erreichen willst, musst du mir erklären. Und
insbesondere in sozialen Netzwerken sind nun mal ein Großteil der
Angriffe so aufgebaut. Da helfen technische Maßnahmen überhaupt nicht.

Alex


--
http://www.schestag.de

[Uwe Premer]

J�rg Tewes schrieb am 07.06.2013 12:06 Uhr:
> Alexander Schestag schrub
>
>> Ich bin nicht der Meinung, dass hier Facebook die Nanny zu spielen
>> hat. Da short URLs mittlerweile WWW-weit eingesetzt werden, ist es
>> der v�llig falsche Ansatz, User in einem einzigen Dienst davor zu
>> sch�tzen. User m�ssen lernen, wie sie sich eigenverantwortlich vor
>> b�sartigen short URLs sch�tzen k�nnen. Wer sich im WWW - und ganz
>> generell im Internet - bewegt, hat nun mal eine Eigenverantwortung,
>> sich �ber Gefahren zu informieren und sich ausreichend davor zu
>> sch�tzen. Diese Verantwortung kann und darf ihm nicht jeder Anbieter
>> mit Nanny-Funktionalit�t abnehmen. Ich erwarte im Netz den m�ndigen
>> User, der eigenverantwortlich handelt.
>
> Full Ack. Auf der einen seite beschweren sich die User �ber immer mehr
> �berwachung, auf der anderen Seite m�chten sie aber wie Kleinkinder an
> die HAnd genommen werden und �ber die Stra�e gef�hrt werden.

Ich bin der Meinung, das sollte man schon ein wenig differenzieren.
Bei Mail z.B. hat nahezu jeder vern�nftige Provider eine funktionsf�hige
Abuse-Abteilung.
Und "Abuse" muss man deutlich von �berwachung oder G�ngelung unterscheiden.
Und ich fordere halt von Facebook eben auch genau das, ein
funktionsf�higes und vor allem schnelles Abuse, weil z.B. ein gehackter
Account oder auch genau das Posten von Links auf Malware-Seite durchaus
ein Fall von Abuse sind. Abuse heisst eben Mi�brauch und sowas sortiere
ich ganz klar unter Mi�brauch ein.

Und du m�chtest doch bestimmt nicht totalem Missbrauch auf solchen
Plattformen uneingeschr�nkt zustimmen oder?

Uwe

[Alexander Schestag]

Am 08.06.2013 18:58, schrieb Uwe Premer:

> Ich bin der Meinung, das sollte man schon ein wenig differenzieren.
> Bei Mail z.B. hat nahezu jeder vern�nftige Provider eine funktionsf�hige
> Abuse-Abteilung.

Ich schreibe aber nicht wegen allem eine Abuse-Mail. F�r das meiste muss
man selbst vorsorgen, etwa dass man keine Daten in Phishing-Seiten
eingibt, die man per Mail bekommt. W�rde ich wegen jeder Phishing-Mail
eine Abuse-Mail schreiben, w�re ich damit den ganzen Tag besch�ftigt.

> Und "Abuse" muss man deutlich von �berwachung oder G�ngelung unterscheiden.
> Und ich fordere halt von Facebook eben auch genau das, ein
> funktionsf�higes und vor allem schnelles Abuse, weil z.B. ein gehackter
> Account oder auch genau das Posten von Links auf Malware-Seite durchaus
> ein Fall von Abuse sind. Abuse heisst eben Mi�brauch und sowas sortiere
> ich ganz klar unter Mi�brauch ein.

Eine menschliche Abuse-Abteilung ist aber was ganz anderes als eine
automatische Funktionalit�t, um die es urspr�nglich ging. Facebook ist
aber auch zu gro� f�r effektives menschliches Abuse-Management.

> Und du m�chtest doch bestimmt nicht totalem Missbrauch auf solchen
> Plattformen uneingeschr�nkt zustimmen oder?

Bl�dsinn. Nur weil ich Abuse-Abteilungen nicht f�r die L�sung halte,
sondern m�ndige und informierte User, rede ich nicht Missbrauch das Wort. m(


--
http://www.schestag.de

[Lars Gebauer]

* Alexander Schestag:

> Am 08.06.2013 16:51, schrieb Lars Gebauer:
>> Anhand welcher Kriterien will man beurteilen, ob auf der Zielseite
>> nicht das CMS, das Ad-Network oder $SONSTWAS geknackt wurde?
>

> Das ist ein Sonderfall, n�mlich der, dass eine bekannte Quelle, mit

> der man bisher nur gute Erfahrungen gemacht hat, wider Erwarten
> kompromittiert ist, ohne dass man es bemerkt. Hier helfen in der Tat

> nur technische Schutzma�nahmen. Das ist aber oftmals gar nicht das
> Problem.

Hier[tm] scheint es fast ausschlie�lich das Problem zu sein. Irgendeine
Welle scheint da im Moment immer noch zu rollen.

>> (Ok: Abgesehen von besonders offensichtlichen Phishing-Versuchen.)
>
> Nein, abgesehen von _allen_ Angriffen, die sich psychologischer
> Methoden bedienen. Und das ist die Mehrheit.

Und das glaube ich nicht. Die Mehrheit aller Angriffe d�rfte immer noch
von irgendwelchen Skriptkiddies kommen. (Mal ganz abgesehen davon, da�
ein Phishing-Angriff sich ebenfalls psychologischer Methoden bedient.)

>> Eine Risikominimierung bekommt man _nur_ �ber aktuelle Software,

>> restriktive Konfiguration *und* eine brauchbare Backup-Strategie
>> hin.
>

> Der weitaus gr��te Teil der bestehenden Risiken hat eine
> dominierende psychologische Komponente.

Meine eigene Erfahrung spricht da absolut dagegen.

>> Alles Andere f�llt in den Esoterik-Bereich.

>
> Du diffamierst hier grade einen gesamten Zweig der Psychologie,

> n�mlich den, der sich mit Social Engineering befasst, als
> "Esoterik".

Ja. Weil ein wirklich �berzeugend vorgetragener
Social-Engineering-Angriff ma�geschneidert, also keineswegs
massentauglich, ist.

> Man kann Menschen erfolgreich gegen Social Engineering schulen, indem
> man ihnen einige einfache Verhaltensweisen beibringt.

Nat�rlich. Gegen die *offensichtlichen* Angriffe. Schrieb ich oben schon.

> Es w�re beispielsweise schon viel geholfen, wenn die Alarmglocken

> angingen, wenn man von einem Bekannten eine Mail bekommt, die seltsam
> formuliert ist

Funktioniert hier in aller Regel auch v�llig ohne Schulung ganz gut.
Ganz so d�mlich sind die Nutzer ja nun auch nicht ... Wahrscheinlicher
ist das Hereinfallen auf eine Abo-Falle oder auf einen betr�gerischen
E-Bay-Verk�ufer.

> oder in der der Bekannte (scheinbar) um Dinge bittet, die f�r ihn
> un�blich sind. Ein aktuelles Beispiel sind Mails von
> Facebook-"Freunden",

Ist hier in der Region ein einziger Fall dokumentiert ...

> in denen der Empf�nger gebeten wird, einen gr��eren Geldbetrag zu
> �berweisen, weil der Bekannte in Schwierigkeiten sei.

... bei dem es allerdings auch nicht /darum/ ging sondern um die
Geschichte mit den SMS-Codes.

Wie gesagt: Ein einziger Fall. Monate her.

> Die Mails kommen u. a. von kompromittierten Facebook-Accounts, sehen

> also f�r den Empf�nger so aus, als k�men sie tats�chlich von der
> Person.

Die, die ich da bisher gesehen habe, sahen eben genau *nicht* so aus.

> Wie du hier mit "aktueller Software, restriktiver Konfiguration und

> einer brauchbaren Backup-Strategie" auf Seiten des Empf�ngers eine
> Risikominimierung erreichen willst, musst du mir erkl�ren.

Ganz einfach: Meine eigenen Beobachtungen im Bereich Endanwender zeigen,
da� Social Engineering Angriffe vergleichsweise selten, Angriffe mittels
Malware dagegen vergleichsweise h�ufig sind. Mein Kontaktmann bei der
hiesigen Polizei best�tigt diese Einsch�tzung.

> Und insbesondere in sozialen Netzwerken sind nun mal ein Gro�teil
> der Angriffe so aufgebaut. Da helfen technische Ma�nahmen �berhaupt
> nicht.

Kann schon sein. Nur erlebt man diese nur sehr selten.

Das ist doch genau das, was ich mit "Esoterik" gemeint habe: Da werden
durch die Medien irgendwelche Einzelf�lle zu Massenhypes hochgepuscht.
Mit dem Ergebnis, da� Jeder Jeden irgendwie verr�ckt macht und dabei
�bersehen wird, da� das eigentliche Problem weit profaner ist.

[Jörg Tewes]

Lars Gebauer schrub

> Fakt: Es gibt einfach keine vertrauenswürdigen Fremd-Daten. Auf
> diesen simplen Umstand muß man sich eben einstellen. Wenn man damit
> nicht leben kann, sollte sich man ein anderes Hobby suchen.

Das ist dann ein Tip ala geh doch nach drüben.

Wenn man nur auf vertrauenswürde Links, oder Links von
vertrauenswürdigen Usern klickt, ist die Chance sich Malware einzufangen
sher gering. Wem dieses Risiko noch zu hoch ist dar sollte sein Internet
abklemmen.


Bye Jörg

--
Niemals fürchtete ich jene, die anderer Meinung waren. Nur vor denen
hatte ich ein Grauen, die zu feige waren ihre andere Meinung
auszusprechen.
(Pablo Picasso)

[Jörg Tewes]

Uwe Premer schrub

> Jörg Tewes schrieb am 07.06.2013 12:06 Uhr:
>> Alexander Schestag schrub

>>> Ich bin nicht der Meinung, dass hier Facebook die Nanny zu spielen
>>> hat. Da short URLs mittlerweile WWW-weit eingesetzt werden, ist es

>>> der völlig falsche Ansatz, User in einem einzigen Dienst davor zu
>>> schützen. User müssen lernen, wie sie sich eigenverantwortlich vor

>>> bösartigen short URLs schützen können. Wer sich im WWW - und ganz

>>> generell im Internet - bewegt, hat nun mal eine Eigenverantwortung,

>>> sich über Gefahren zu informieren und sich ausreichend davor zu
>>> schützen. Diese Verantwortung kann und darf ihm nicht jeder
>>> Anbieter mit Nanny-Funktionalität abnehmen. Ich erwarte im Netz den
>>> mündigen User, der eigenverantwortlich handelt.

>> Full Ack. Auf der einen seite beschweren sich die User über immer
>> mehr Überwachung, auf der anderen Seite möchten sie aber wie
>> Kleinkinder an die HAnd genommen werden und über die Straße geführt

>> werden.

> Ich bin der Meinung, das sollte man schon ein wenig differenzieren.

> Bei Mail z.B. hat nahezu jeder vernünftige Provider eine
> funktionsfähige Abuse-Abteilung.

Huch? HAst du schon mal die großen deutschen angeschrieben und konkrete
Ergebnisse gehabt? Warst du es nicht, der letztens sogar bei der Telekom
Probleme mit dem melden eines verseuchten/spamenden Users hattest, weil
die keine Mails annehmen die in den Headern irgendwas MAlwareartiges
haben? Mir ist da sowas in Erinnerung.

> Und "Abuse" muss man deutlich von Überwachung oder Gängelung

> unterscheiden. Und ich fordere halt von Facebook eben auch genau das,

> ein funktionsfähiges und vor allem schnelles Abuse, weil z.B. ein

> gehackter Account oder auch genau das Posten von Links auf
> Malware-Seite durchaus ein Fall von Abuse sind. Abuse heisst eben

> Mißbrauch und sowas sortiere ich ganz klar unter Mißbrauch ein.

Wie sollte man denn ein funktionierendes Abuse machen, ohne alle Seiten
von allen Usern zu überwachen? Und schnell geht da gar nichts.

> Und du möchtest doch bestimmt nicht totalem Missbrauch auf solchen
> Plattformen uneingeschränkt zustimmen oder?

Mißbrauch ist so eine Sache.


Bye Jörg

--
"Dass die Regierung das Volk vertrete, ist eine Fiktion, eine Lüge."
(Leo Tolstoi, Tagebücher, 1898)

[Jörg Tewes]

Lars Gebauer schrub

> * Alexander Schestag:

>> Wie du hier mit "aktueller Software, restriktiver Konfiguration und

>> einer brauchbaren Backup-Strategie" auf Seiten des Empfängers eine
>> Risikominimierung erreichen willst, musst du mir erklären.

> Ganz einfach: Meine eigenen Beobachtungen im Bereich Endanwender

> zeigen, daß Social Engineering Angriffe vergleichsweise selten,
> Angriffe mittels Malware dagegen vergleichsweise häufig sind. Mein
> Kontaktmann bei der hiesigen Polizei bestätigt diese Einschätzung.

Die häufigsten ANgriffe sind also deiner Meinung nach über
kompromitierte Websites oder E-Mailaccounts? Um Malware auf den Rechner
zu bringen muß das ja irgendoswas sein. Deine Endanwender müssen
seltsame Websites besuchen, meine Endanwender landen nie oder nur in 1
von 100 Fällen auf solchen Seiten. Und meine Bekannten die auch in
größeren Firmennetzen solche Dinge bearbeiten, bestätigen meine
Beobachtungen.


Bye Jörg

--
"Another lesson? What this time?"
"Beauty...in the dark."
"Ah, must be working. You're beginning to talk just like a Vorlon."
(Ivanova and Sheridan, "There All The Honor Lies")

[Uwe Premer]

Jörg Tewes schrieb am 09.06.2013 01:44 Uhr:
> Uwe Premer schrub
>
>> Jörg Tewes schrieb am 07.06.2013 12:06 Uhr:
>>> Alexander Schestag schrub
>
>>>> Ich bin nicht der Meinung, dass hier Facebook die Nanny zu spielen
>>>> hat. Da short URLs mittlerweile WWW-weit eingesetzt werden, ist es
>>>> der völlig falsche Ansatz, User in einem einzigen Dienst davor zu
>>>> schützen. User müssen lernen, wie sie sich eigenverantwortlich vor
>>>> bösartigen short URLs schützen können. Wer sich im WWW - und ganz
>>>> generell im Internet - bewegt, hat nun mal eine Eigenverantwortung,
>>>> sich über Gefahren zu informieren und sich ausreichend davor zu
>>>> schützen. Diese Verantwortung kann und darf ihm nicht jeder
>>>> Anbieter mit Nanny-Funktionalität abnehmen. Ich erwarte im Netz den
>>>> mündigen User, der eigenverantwortlich handelt.
>
>>> Full Ack. Auf der einen seite beschweren sich die User über immer
>>> mehr Überwachung, auf der anderen Seite möchten sie aber wie
>>> Kleinkinder an die HAnd genommen werden und über die Straße geführt
>>> werden.
>
>> Ich bin der Meinung, das sollte man schon ein wenig differenzieren.
>> Bei Mail z.B. hat nahezu jeder vernünftige Provider eine
>> funktionsfähige Abuse-Abteilung.
>
> Huch? HAst du schon mal die großen deutschen angeschrieben und konkrete
> Ergebnisse gehabt?

Ja, hatte ich. Mehrfach.

> Warst du es nicht, der letztens sogar bei der Telekom
> Probleme mit dem melden eines verseuchten/spamenden Users hattest, weil
> die keine Mails annehmen die in den Headern irgendwas MAlwareartiges
> haben? Mir ist da sowas in Erinnerung.

Was hat das damit zu tun? Das war lediglich ein Konfigurationsproblem
der Mailannahme, wo wir uns ja darauf einigten, eben halt nicht den
Anhang dorthin zu schicken, sondern nur die Header. Und die werden sehr
wohl angenommen und bei einer vernünftigen Abusemailmeldung auch
verarbeitet. Menschlich sogar, nicht maschinell.

>> Und "Abuse" muss man deutlich von Überwachung oder Gängelung
>> unterscheiden. Und ich fordere halt von Facebook eben auch genau das,
>> ein funktionsfähiges und vor allem schnelles Abuse, weil z.B. ein
>> gehackter Account oder auch genau das Posten von Links auf
>> Malware-Seite durchaus ein Fall von Abuse sind. Abuse heisst eben
>> Mißbrauch und sowas sortiere ich ganz klar unter Mißbrauch ein.
>
> Wie sollte man denn ein funktionierendes Abuse machen, ohne alle Seiten
> von allen Usern zu überwachen? Und schnell geht da gar nichts.

Abuse reagiert in erster Linie auf entsprechenden Usermeldung.
Abuse muss nicht zwingend selber nur überwachen.

Und was FB angeht: dort kann man alles per Klick als Spam z.B. melden
und sogar ein vorgefertigte Begründung dazu klicken.
So, und genau dann erwarte ich eben auch eine entsprechende menschliche
Bearbeitung dieser Meldung. Denn wie soll eine Software hier wirklich
beurteilen können, warum ich das Dingends dort als Spam gemeldet habe?

>> Und du möchtest doch bestimmt nicht totalem Missbrauch auf solchen
>> Plattformen uneingeschränkt zustimmen oder?
>
> Mißbrauch ist so eine Sache.

Ich sehe es durchaus als Mißbrauch, wenn man wissentlich und absichtlich
Links auf externe Malwareseiten setzt und dann bei einer Beschwerde noch
frech und lustlos behauptet, was auf dieser externen Seite passiert, ist
einem egal, und man könne dafür keine Verantwortung übernommen. Aber
posten kann man dann trotzdem Links auf solche Seiten?
Hallo, gehts noch?ßß

Uwe

[Uwe Premer]

Alexander Schestag schrieb am 08.06.2013 20:30 Uhr:
> Am 08.06.2013 18:58, schrieb Uwe Premer:
>
>> Ich bin der Meinung, das sollte man schon ein wenig differenzieren.

>> Bei Mail z.B. hat nahezu jeder vernünftige Provider eine funktionsfähige

>> Abuse-Abteilung.
>
> Ich schreibe aber nicht wegen allem eine Abuse-Mail.

Verlangt ja auch Niemand. Trotzdem sollte ein jeder Mailprovider eine
solche Abteilung haben, nämlich genau für Diejenigen, die sich die Mühe
der Abusemeldung machen.

> Für das meiste muss

> man selbst vorsorgen, etwa dass man keine Daten in Phishing-Seiten

> eingibt, die man per Mail bekommt. Würde ich wegen jeder Phishing-Mail
> eine Abuse-Mail schreiben, wäre ich damit den ganzen Tag beschäftigt.

Wie man das "verarbeitet", bleibt jedem selbst überlassen.
Trotzdem hat heute jede einigermassen große Firma (ja, z.B. auch eBay)
eine solche Abteilung, die damit beschäftigt ist, sich extensiv mit dem
Thema Phishing auseinander zu setzen. Und solche Firmen dürften durchaus
ein riesiges Interesse daran haben, dagegen vorzugehen.
Um beim Beispiel eBay zu bleiben, die haben es in der Vergangenheit
durchaus so gemacht, Phishing-Webseiten, die genau sie betrafen,
abschalten zu lassen.
Denn genau dafür besteht für jeden Nutzer die grundsätzliche Option,
Phishingmails genau dorthin zu melden.
Es gibt bei denen sogar eine exklusive Mailadresse dafür.

Ja, und genau das habe ich in der Vergangenheit durchaus auch schon in
Anspruch genommen.

Aber richtig, für uns User ist das erstens ein Kampf gegen Windmühlen
und zweitens damit gleichzeitig ein riesiges Zeitproblem.

Und genau das ist das ärgerliche, früher beim einfachen Spam, heute beim
Phishing: diese Spacken sind einfach nur Zeitstehler, sonst nix.

>> Und "Abuse" muss man deutlich von Überwachung oder Gängelung unterscheiden.

>> Und ich fordere halt von Facebook eben auch genau das, ein

>> funktionsfähiges und vor allem schnelles Abuse, weil z.B. ein gehackter

>> Account oder auch genau das Posten von Links auf Malware-Seite durchaus

>> ein Fall von Abuse sind. Abuse heisst eben Mißbrauch und sowas sortiere
>> ich ganz klar unter Mißbrauch ein.

>
> Eine menschliche Abuse-Abteilung ist aber was ganz anderes als eine

> automatische Funktionalität, um die es ursprünglich ging.

Bei Kurzlinks kann man das durchaus softwaremässig lösen.
Das kann mir keiner erzählen, das genau das nicht irgendwie
programmierbar wäre.
z.B. so, dass für den User, meinetwegen mit aktiviertem Javascript beim
Überfahren eines solchen Links mit der Maus oben drüber der native
Weblink angezeigt wird.
Das würde schon riesig helfen.

Und ja, mit JavaScript habe ich selber überhaupt kein Problem.
Wer das nicht nutzen will, nutzt halt eh keine Web 2.0 Seiten.

> Facebook ist
> aber auch zu groß für effektives menschliches Abuse-Management.

Nochmal: es geht bei weitem nicht um irgendeine Überwachung der
irrsinnigen Anzahl Facebookseiten.
Rein technisch ist das Kurzlinlkproblem durchaus automatisch per
Software einigermassen lösbar.
Und was menschliches Abusemanagement angeht, die sind ja auch für
"menschliche Spammeldungen" vorgesehen und eben nicht für Globalüberwachung.

Uwe

[Lars Gebauer]

* Jörg Tewes:

> Lars Gebauer schrub
>> Fakt: Es gibt einfach keine vertrauenswürdigen Fremd-Daten. Auf
>> diesen simplen Umstand muß man sich eben einstellen. Wenn man
>> damit nicht leben kann, sollte sich man ein anderes Hobby suchen.
>
> Das ist dann ein Tip ala geh doch nach drüben.

Willkommen in der Realität.

> Wenn man nur auf vertrauenswürde Links, oder Links von
> vertrauenswürdigen Usern klickt, ist die Chance sich Malware
> einzufangen sher gering.

Das ist dummes und gefährliches Zeug. Auch vertrauenswürdige User bzw.
Webseiten haben schon mehrfach (unbeabsichtigt) Malware verteilt.

[Lars Gebauer]

* Jörg Tewes:

> Lars Gebauer schrub
>> * Alexander Schestag:
>>> Wie du hier mit "aktueller Software, restriktiver Konfiguration
>>> und einer brauchbaren Backup-Strategie" auf Seiten des Empfängers
>>> eine Risikominimierung erreichen willst, musst du mir erklären.
>
>> Ganz einfach: Meine eigenen Beobachtungen im Bereich Endanwender
>> zeigen, daß Social Engineering Angriffe vergleichsweise selten,
>> Angriffe mittels Malware dagegen vergleichsweise häufig sind. Mein
>> Kontaktmann bei der hiesigen Polizei bestätigt diese Einschätzung.
>
> Die häufigsten ANgriffe sind also deiner Meinung nach über
> kompromitierte Websites oder E-Mailaccounts?

Ja. (E-Mail-Accounts schon seltener.)

> Um Malware auf den Rechner zu bringen muß das ja irgendoswas sein.
> Deine Endanwender müssen seltsame Websites besuchen,

Nein. Nicht seltsamer oder unseltsamer als der Durchschnitt.

> meine Endanwender landen nie oder nur in 1 von 100 Fällen auf solchen
> Seiten.

Was sind "solche" Seiten? Nochmal: Wenn Malware via kompromittiertes
Ad-Netwprk verbreitet wird, dann gibt es keine "solchen" Seiten. (Ich
bitte höflichst um Kenntnisnahme der Realität.)

Abgesehen davon: 1 von 100 reicht locker. Ich würde 1 von 100 sogar für
verdammt hoch halten. Wenn es so *wäre*[0], dann würden sich "Deine"
User im Schnitt einmal die Woche infizieren.

[0] Aber es ist nicht so. Das kannst Du aber nicht wissen; Du wolltest
halt nur auch was schreiben.

> Und meine Bekannten die auch in größeren Firmennetzen solche Dinge
> bearbeiten, bestätigen meine Beobachtungen.

Was insofern gar kein Wunder ist da man in größeren Firmennetzen Dinge
administrativ erzwingen kann was gegenüber Privatanwendern /so/ gar
nicht denkbar ist.

[Jörg Tewes]

Uwe Premer schrub

> Jörg Tewes schrieb am 09.06.2013 01:44 Uhr:
>> Uwe Premer schrub

>>> Und "Abuse" muss man deutlich von Überwachung oder Gängelung
>>> unterscheiden. Und ich fordere halt von Facebook eben auch genau
>>> das, ein funktionsfähiges und vor allem schnelles Abuse, weil z.B.
>>> ein gehackter Account oder auch genau das Posten von Links auf
>>> Malware-Seite durchaus ein Fall von Abuse sind. Abuse heisst eben
>>> Mißbrauch und sowas sortiere ich ganz klar unter Mißbrauch ein.

>> Wie sollte man denn ein funktionierendes Abuse machen, ohne alle
>> Seiten von allen Usern zu überwachen? Und schnell geht da gar
>> nichts.

> Abuse reagiert in erster Linie auf entsprechenden Usermeldung.
> Abuse muss nicht zwingend selber nur überwachen.

Mach doch mal nen Vorschlag? Facebook reagiert also auf jeden der 50
Mio. User die der Meinung sind da wäre irgendwas Abuse?

> Und was FB angeht: dort kann man alles per Klick als Spam z.B. melden
> und sogar ein vorgefertigte Begründung dazu klicken.
> So, und genau dann erwarte ich eben auch eine entsprechende
> menschliche Bearbeitung dieser Meldung. Denn wie soll eine Software
> hier wirklich beurteilen können, warum ich das Dingends dort als Spam
> gemeldet habe?

Ich glaube auch nicht das es eine Software macht, nur könnte es sein,
das du etwas als SPam gemeldet hast was FB nicht als Spam ansieht. Und
ging es nicht um Malware versendende Websites wo der Link auf einer FB
Seite stand?

>>> Und du möchtest doch bestimmt nicht totalem Missbrauch auf solchen
>>> Plattformen uneingeschränkt zustimmen oder?

>> Mißbrauch ist so eine Sache.

> Ich sehe es durchaus als Mißbrauch, wenn man wissentlich und
> absichtlich Links auf externe Malwareseiten setzt und dann bei einer
> Beschwerde noch frech und lustlos behauptet, was auf dieser externen
> Seite passiert, ist einem egal, und man könne dafür keine
> Verantwortung übernommen. Aber posten kann man dann trotzdem Links
> auf solche Seiten? Hallo, gehts noch?ßß

Wenn du Post von einem Spammer kriegst, und das bei der Telekom meldest,
wird sie dich auch an den Versender verweisen, sofern es nocht von der
Telekom kommt. Ähnlich sehe ich das bei Facebook auch.


Bye Jörg

--
"They are not ready. They would not understand."
"Am I ready?"
"No. You do not even understand yourself."
(Kosh and Sheridan, "Hunter, Prey")

[Jörg Tewes]

Lars Gebauer schrub

> * Jörg Tewes:
>> Lars Gebauer schrub
>>> Fakt: Es gibt einfach keine vertrauenswürdigen Fremd-Daten. Auf
>>> diesen simplen Umstand muß man sich eben einstellen. Wenn man
>>> damit nicht leben kann, sollte sich man ein anderes Hobby suchen.

>> Das ist dann ein Tip ala geh doch nach drüben.

> Willkommen in der Realität.

In deiner Realität nutzt man des Internet also nur mit einem
verrammelten Rechner?

>> Wenn man nur auf vertrauenswürde Links, oder Links von
>> vertrauenswürdigen Usern klickt, ist die Chance sich Malware
>> einzufangen sher gering.

> Das ist dummes und gefährliches Zeug.

Nein, Erfahrungswerte.

> Auch vertrauenswürdige User bzw. Webseiten haben schon mehrfach
> (unbeabsichtigt) Malware verteilt.

Ja klar, und auch mit einem, vom TÜV zertifizierten/geprüften und und
mit allen möglichen Logos verzierten Elektrogerät, kannst du beim
einstecken in die Steckdose einen Schlag bekommen. Deswegen wird aber
niemand keine Elektrogeräte mehr nutzen.

Das Leben ist voller Gefahren, alle kann man nicht verhindern, es sei
denn man bleibt im Bett liegen.


Bye Jörg

--
Woran erkennen Sie, daß Sie ein Pechvogel sind?
Sie wollten noch mal schnell in den Fahrstuhl furzen und dann bleibt
er stecken!

[Jörg Tewes]

Lars Gebauer schrub

> * Jörg Tewes:

>> meine Endanwender landen nie oder nur in 1 von 100 Fällen auf
>> solchen Seiten.

> Was sind "solche" Seiten?

Malwareverseuchte.

> Abgesehen davon: 1 von 100 reicht locker. Ich würde 1 von 100 sogar
> für verdammt hoch halten. Wenn es so *wäre*[0], dann würden sich
> "Deine" User im Schnitt einmal die Woche infizieren.

Sicher. Du weist wieviel Websites meine User besuchen.

>> Und meine Bekannten die auch in größeren Firmennetzen solche Dinge
>> bearbeiten, bestätigen meine Beobachtungen.

> Was insofern gar kein Wunder ist da man in größeren Firmennetzen
> Dinge administrativ erzwingen kann was gegenüber Privatanwendern /so/
> gar nicht denkbar ist.

SIcher kann man Dinge administrativ erzwingen. Aber das nicht besuchen
von Websites ist eher nicht das was man will.

[Lars Gebauer]

* Jörg Tewes:
> Uwe Premer schrub

>> Abuse reagiert in erster Linie auf entsprechenden Usermeldung.
>> Abuse muss nicht zwingend selber nur überwachen.
>
> Mach doch mal nen Vorschlag? Facebook reagiert also auf jeden der 50
> Mio. User die der Meinung sind da wäre irgendwas Abuse?

Höchst wahrscheinlich nicht auf _jede_.

>> Und was FB angeht: dort kann man alles per Klick als Spam z.B.
>> melden und sogar ein vorgefertigte Begründung dazu klicken. So, und
>> genau dann erwarte ich eben auch eine entsprechende menschliche
>> Bearbeitung dieser Meldung. Denn wie soll eine Software hier
>> wirklich beurteilen können, warum ich das Dingends dort als Spam
>> gemeldet habe?
>
> Ich glaube auch nicht das es eine Software macht,

Doch, ich glaube schon, daß das "Vorsortieren" eine Software macht.

> nur könnte es sein, das du etwas als SPam gemeldet hast was FB nicht
> als Spam ansieht.

Es wird viel banaler sein: Wahrscheinlich wird Facebook erst dann tätig,
wenn eine bestimmte Anzahl von Meldungen innerhalb einer bestimmten
Zeiteinheit eingeht. Oder so ähnlich. Die werden nicht die Kapazitäten
haben, auf jede einzelne Meldung zu reagieren.

[Lars Gebauer]

* Jörg Tewes:

> Lars Gebauer schrub
>> * Jörg Tewes:
>>> meine Endanwender landen nie oder nur in 1 von 100 Fällen auf
>>> solchen Seiten.
>
>> Was sind "solche" Seiten?
>
> Malwareverseuchte.

Das weißt Du vorher *nie*.

>> Abgesehen davon: 1 von 100 reicht locker. Ich würde 1 von 100 sogar
>> für verdammt hoch halten. Wenn es so *wäre*[0], dann würden sich
>> "Deine" User im Schnitt einmal die Woche infizieren.
>
> Sicher. Du weist wieviel Websites meine User besuchen.

Wenn sie durchschnittlich 20 pro Tag besuchen haben sie die 100 in 5
Tagen voll. Das reicht als Abschätzung vollkommen.

>>> Und meine Bekannten die auch in größeren Firmennetzen solche Dinge
>>> bearbeiten, bestätigen meine Beobachtungen.
>
>> Was insofern gar kein Wunder ist da man in größeren Firmennetzen
>> Dinge administrativ erzwingen kann was gegenüber Privatanwendern /so/
>> gar nicht denkbar ist.
>
> SIcher kann man Dinge administrativ erzwingen. Aber das nicht besuchen
> von Websites ist eher nicht das was man will.

Man kann die Benutzung bestimmter Software verbieten/erzwingen. Man kann
die Systeme auf aktuellem Patchlevel halten. Man kann die Datenströme
über Proxys leiten. Man kann die Benutzung getrennter Konten erzwingen.
Man kann ...

Es gibt dutzende Dinge, die die Angriffsfläche verringern, die man in
einer größeren Firma administrativ durchsetzen kann.

[Lars Gebauer]

* Jörg Tewes:
> Lars Gebauer schrub

>> * Jörg Tewes:

>>> Wenn man nur auf vertrauenswürde Links, oder Links von
>>> vertrauenswürdigen Usern klickt, ist die Chance sich Malware
>>> einzufangen sher gering.
>
>> Das ist dummes und gefährliches Zeug.
>
> Nein, Erfahrungswerte.

Auch nicht. Bestenfalls Glück.

>> Auch vertrauenswürdige User bzw. Webseiten haben schon mehrfach
>> (unbeabsichtigt) Malware verteilt.
>
> Ja klar, und auch mit einem, vom TÜV zertifizierten/geprüften und
> und mit allen möglichen Logos verzierten Elektrogerät, kannst du
> beim einstecken in die Steckdose einen Schlag bekommen.

Selbstverständlich.

> Deswegen wird aber niemand keine Elektrogeräte mehr nutzen.

Richtig. Aber nicht "dewegen" sondern im Ergebnis einer
Risikoabschätzung. Diese basiert allerdings keineswegs auf anekdotischer
Erfahrung.

> Das Leben ist voller Gefahren, alle kann man nicht verhindern, es
> sei denn man bleibt im Bett liegen.

Im Bett sterben die meisten Menschen (zumindest in den zivilisierteren
Gegenden).

[Alexander Schestag]

Am 12.06.2013 09:03, schrieb Lars Gebauer:
> * Jörg Tewes:
>> Uwe Premer schrub

>>> Und was FB angeht: dort kann man alles per Klick als Spam z.B.
>>> melden und sogar ein vorgefertigte Begründung dazu klicken. So, und
>>> genau dann erwarte ich eben auch eine entsprechende menschliche
>>> Bearbeitung dieser Meldung. Denn wie soll eine Software hier
>>> wirklich beurteilen können, warum ich das Dingends dort als Spam
>>> gemeldet habe?
>>
>> Ich glaube auch nicht das es eine Software macht,
>
> Doch, ich glaube schon, daß das "Vorsortieren" eine Software macht.

Oftmals macht sogar die eindeutige Einordnung als Spam oder sonstigen
Abuse eine Software - und zwar schlicht anhand der Anzahl der Meldungen.
Das gab schon Riesenärger bei einigen Seiten, bei denen aufgrund
undurchsichtiger Spam- Oder Abusemeldungen harmlose Artikel kommentarlos
gelöscht wurden - automatisiert.

>> nur könnte es sein, das du etwas als SPam gemeldet hast was FB nicht
>> als Spam ansieht.
>
> Es wird viel banaler sein: Wahrscheinlich wird Facebook erst dann tätig,
> wenn eine bestimmte Anzahl von Meldungen innerhalb einer bestimmten
> Zeiteinheit eingeht. Oder so ähnlich. Die werden nicht die Kapazitäten
> haben, auf jede einzelne Meldung zu reagieren.

Sic est. Aber selbst dann kommt es in aller Regel erst mal zu einer
automatischen Sperrung oder Löschung. Erst wenn sich die Betroffenen
beschweren, guckt vielleicht mal ein Mensch drauf.

Alex


--
http://www.schestag.de

[Uwe Premer]

Jörg Tewes schrieb am 12.06.2013 00:59 Uhr:
> Uwe Premer schrub
>
>> Jörg Tewes schrieb am 09.06.2013 01:44 Uhr:
>>> Uwe Premer schrub
>
>>>> Und "Abuse" muss man deutlich von Überwachung oder Gängelung
>>>> unterscheiden. Und ich fordere halt von Facebook eben auch genau
>>>> das, ein funktionsfähiges und vor allem schnelles Abuse, weil z.B.
>>>> ein gehackter Account oder auch genau das Posten von Links auf
>>>> Malware-Seite durchaus ein Fall von Abuse sind. Abuse heisst eben
>>>> Mißbrauch und sowas sortiere ich ganz klar unter Mißbrauch ein.
>
>>> Wie sollte man denn ein funktionierendes Abuse machen, ohne alle
>>> Seiten von allen Usern zu überwachen? Und schnell geht da gar
>>> nichts.
>
>> Abuse reagiert in erster Linie auf entsprechenden Usermeldung.
>> Abuse muss nicht zwingend selber nur überwachen.
>
> Mach doch mal nen Vorschlag? Facebook reagiert also auf jeden der 50
> Mio. User die der Meinung sind da wäre irgendwas Abuse?

Facebook selbst hat wohl auch eine eigene Gruppe. Hab ich mich aber noch
nicht drum gekümmert.

>> Und was FB angeht: dort kann man alles per Klick als Spam z.B. melden
>> und sogar ein vorgefertigte Begründung dazu klicken.
>> So, und genau dann erwarte ich eben auch eine entsprechende
>> menschliche Bearbeitung dieser Meldung. Denn wie soll eine Software
>> hier wirklich beurteilen können, warum ich das Dingends dort als Spam
>> gemeldet habe?
>
> Ich glaube auch nicht das es eine Software macht, nur könnte es sein,
> das du etwas als SPam gemeldet hast was FB nicht als Spam ansieht. Und
> ging es nicht um Malware versendende Websites wo der Link auf einer FB
> Seite stand?

Ja, das ist aber genau das Problem von FB selbst.
Es gibt eben nur die Auswahl "Spam", nicht etwa "Malware" oder sonstwas.
Das ist eben voll der Minimalismus von FB, die wohl anfangs sowas garnicht
in Erwägung gezogen haben.

Insofern muss man halt alles, was "daneben" ist, als Spam melden.

Uwe

[Jörg Tewes]

Lars Gebauer schrub

> * Jörg Tewes:
>> Uwe Premer schrub
>>> Abuse reagiert in erster Linie auf entsprechenden Usermeldung.
>>> Abuse muss nicht zwingend selber nur überwachen.

>> Mach doch mal nen Vorschlag? Facebook reagiert also auf jeden der 50
>> Mio. User die der Meinung sind da wäre irgendwas Abuse?

> Höchst wahrscheinlich nicht auf _jede_.

Und auf welche sollen sie reagieren? Also nachgucken ob es stimmt was
der User (der Spam meldende) da behauptet.

>>> Und was FB angeht: dort kann man alles per Klick als Spam z.B.
>>> melden und sogar ein vorgefertigte Begründung dazu klicken. So, und
>>> genau dann erwarte ich eben auch eine entsprechende menschliche
>>> Bearbeitung dieser Meldung. Denn wie soll eine Software hier
>>> wirklich beurteilen können, warum ich das Dingends dort als Spam
>>> gemeldet habe?

>> Ich glaube auch nicht das es eine Software macht,

> Doch, ich glaube schon, daß das "Vorsortieren" eine Software macht.

>> nur könnte es sein, das du etwas als SPam gemeldet hast was FB nicht
>> als Spam ansieht.

> Es wird viel banaler sein: Wahrscheinlich wird Facebook erst dann
> tätig, wenn eine bestimmte Anzahl von Meldungen innerhalb einer
> bestimmten Zeiteinheit eingeht. Oder so ähnlich. Die werden nicht die
> Kapazitäten haben, auf jede einzelne Meldung zu reagieren.

Das ist was ich meinte. Sowas kann imho niemand leisten. Außer kleine
Provider deren Kunden nur ganz wenige Meldungen produzieren.


Bye Jörg

--
Diskutiere nie mit Idioten, Ignoranten oder Persönlichkeitsgestörten - zuerst
ziehen sie dich auf ihr Niveau herab und dann schlagen sie
dich mit ihrer Erfahrung!

[Jörg Tewes]

Lars Gebauer schrub

> Es gibt dutzende Dinge, die die Angriffsfläche verringern, die man in
> einer größeren Firma administrativ durchsetzen kann.

Ja eben verringern, aber das ist dann ähnlich wie vertrauennsvolle
Websites besuchen, Links von vertrauensvollen Usern klicken. Prinzip
Hoffnung.


Bye Jörg

--
"It's easy to find something worth dying for. Do you have anything worth
living for?"
(Lorien in "Whatever happenend to Mr. Garibaldi"

[Jörg Tewes]

Lars Gebauer schrub

> * Jörg Tewes:
>> Lars Gebauer schrub
>>> * Jörg Tewes:
>>>> Wenn man nur auf vertrauenswürde Links, oder Links von
>>>> vertrauenswürdigen Usern klickt, ist die Chance sich Malware
>>>> einzufangen sher gering.

>>> Das ist dummes und gefährliches Zeug.

>> Nein, Erfahrungswerte.

> Auch nicht. Bestenfalls Glück.

Naja wenn du es so bezeichnen willst.

>>> Auch vertrauenswürdige User bzw. Webseiten haben schon mehrfach
>>> (unbeabsichtigt) Malware verteilt.

>> Ja klar, und auch mit einem, vom TÜV zertifizierten/geprüften und
>> und mit allen möglichen Logos verzierten Elektrogerät, kannst du
>> beim einstecken in die Steckdose einen Schlag bekommen.

> Selbstverständlich.

>> Deswegen wird aber niemand keine Elektrogeräte mehr nutzen.

> Richtig. Aber nicht "dewegen" sondern im Ergebnis einer
> Risikoabschätzung. Diese basiert allerdings keineswegs auf
> anekdotischer Erfahrung.

Sondern?

>> Das Leben ist voller Gefahren, alle kann man nicht verhindern, es
>> sei denn man bleibt im Bett liegen.

> Im Bett sterben die meisten Menschen (zumindest in den
> zivilisierteren Gegenden).

Ja das ist auch so eine Nichtaussage.


Bye Jörg

--
"I'll say a prayer for him tonight."
"He's agnostic."
"Then I'll say half a prayer."
(Ivanova, Dr. Franklin und Garibaldi, "Points of Departure")

[Stefan Froehlich]

On Thu, 13 Jun 2013 00:22:00 Jörg Tewes wrote:
> > Wahrscheinlich wird Facebook erst dann tätig, wenn eine bestimmte
> > Anzahl von Meldungen innerhalb einer bestimmten Zeiteinheit eingeht.
> > Oder so ähnlich. Die werden nicht die Kapazitäten haben, auf jede
> > einzelne Meldung zu reagieren.

> Das ist was ich meinte. Sowas kann imho niemand leisten. Außer kleine
> Provider deren Kunden nur ganz wenige Meldungen produzieren.

Wollen vermutlich nicht - aber koennen? Meinst Du, die Abuse-Meldungen
steigen ueberproportional zur Anzahl der User?

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Für Stunden des Glücks: Stefan, ein starker Partner!
(Sloganizer)

[Lars Gebauer]

* Jörg Tewes:
> Lars Gebauer schrub

>> Es wird viel banaler sein: Wahrscheinlich wird Facebook erst dann
>> tätig, wenn eine bestimmte Anzahl von Meldungen innerhalb einer
>> bestimmten Zeiteinheit eingeht. Oder so ähnlich. Die werden nicht die
>> Kapazitäten haben, auf jede einzelne Meldung zu reagieren.
>
> Das ist was ich meinte. Sowas kann imho niemand leisten.

Das ist weniger eine Frage des Könnens als vielmehr eine Frage des
Wollens. Und manche Dinge will man eben einfach aus wirtschaftlichen
Gründen nicht.

Wäre ich Facebook, so würde ich wahrscheinlich eine Art
"Abuse-Edge-Rank" entwickeln, der dafür sorgt, daß die (vermutlich)
wichtigen Meldungen dem Abuse-Team prominent angezeigt werden während
die weniger wichtigen automatisiert abgearbeitet werden bzw. im Rauschen
untergehen.

Letztlich also eine Frage der Organisation.

[Lars Gebauer]

* Jörg Tewes:

> Lars Gebauer schrub
>> Es gibt dutzende Dinge, die die Angriffsfläche verringern, die man in
>> einer größeren Firma administrativ durchsetzen kann.
>
> Ja eben verringern, aber das ist dann ähnlich wie vertrauennsvolle
> Websites besuchen, Links von vertrauensvollen Usern klicken. Prinzip
> Hoffnung.

Falsch.

Wenn ich bspw. administrativ durchsetze, daß bestimmte anfällige
Software nicht genutzt werden kann, dann fällt der Angriffsvektor über
diese Software einfach und schlicht komplett weg. Punkt. Aus.

Das hat mit Prinzip Hoffnung genau gar nichts zu tun.

Über Fremddaten hingegen kann ich keinerlei Aussage treffen. Weder
positiv noch negativ. Also muß ich _immer_ davon ausgehen, daß da eine
potentielle Gefahr besteht. Hier auf irgendetwas zu vertrauen, _das_ ist
Prinzip Hoffnung und grober Leichtsinn.

[Lars Gebauer]

* Jörg Tewes:
> Lars Gebauer schrub
>> * Jörg Tewes:

>>> Deswegen wird aber niemand keine Elektrogeräte mehr nutzen.
>
>> Richtig. Aber nicht "dewegen" sondern im Ergebnis einer
>> Risikoabschätzung. Diese basiert allerdings keineswegs auf
>> anekdotischer Erfahrung.
>
> Sondern?

Nichtanekdotische Erfahrund sowie Kenntnis physikalisch-technischer
Zusammenhänge.

>>> Das Leben ist voller Gefahren, alle kann man nicht verhindern, es
>>> sei denn man bleibt im Bett liegen.
>
>> Im Bett sterben die meisten Menschen (zumindest in den
>> zivilisierteren Gegenden).
>
> Ja das ist auch so eine Nichtaussage.

Keineswegs. Es ist eine simple Tatsache, die insbesondere manchen
Dampfplauderern nicht bewußt ist.

[Jörg Tewes]

Stefan Froehlich schrub

> On Thu, 13 Jun 2013 00:22:00 Jörg Tewes wrote:
>>> Wahrscheinlich wird Facebook erst dann tätig, wenn eine bestimmte
>>> Anzahl von Meldungen innerhalb einer bestimmten Zeiteinheit
>>> eingeht. Oder so ähnlich. Die werden nicht die Kapazitäten haben,
>>> auf jede einzelne Meldung zu reagieren.

>> Das ist was ich meinte. Sowas kann imho niemand leisten. Außer
>> kleine Provider deren Kunden nur ganz wenige Meldungen produzieren.

> Wollen vermutlich nicht - aber koennen? Meinst Du, die
> Abuse-Meldungen steigen ueberproportional zur Anzahl der User?

Ja ich denke daß bei großen Providern mehr Knallköppe landen als bei
kleinen. Auch weil kleinere meistens teurer sind.


Bye Jörg

--
"There's only one truth about war: people die. Killing is part of a
soldier's job. We can't deny it. We can only live with it and hope
the reasons for doing it are justified."
(Sheridan, "GROPOS")

[Jörg Tewes]

Lars Gebauer schrub

> * Jörg Tewes:
>> Lars Gebauer schrub
>>> Es gibt dutzende Dinge, die die Angriffsfläche verringern, die man
>>> in einer größeren Firma administrativ durchsetzen kann.

>> Ja eben verringern, aber das ist dann ähnlich wie vertrauennsvolle
>> Websites besuchen, Links von vertrauensvollen Usern klicken. Prinzip
>> Hoffnung.

> Falsch.

Ja falsche Annahme deinerseits.

> Wenn ich bspw. administrativ durchsetze, daß bestimmte anfällige
> Software nicht genutzt werden kann, dann fällt der Angriffsvektor
> über diese Software einfach und schlicht komplett weg. Punkt. Aus.

Klar, aber wir reden hier über Internet, und du sagtest du Angriffe
finden hauptsächlich über kompromitierte Websites statt, wie willst du
das unterbinden?

Klar Javascript und Flash verbieten. Aber ohne Javascript sind doch die
meisten Websites kaum benutzbar. Und selbst Websites von Großunternehmen
oder die Bestellsite von Großhändlern hat Javascript und/oder Flash.


Bye Jörg

--
Alle sagten: Das geht nicht. Dann kam einer, er wußte das nicht und
hat's gemacht.

[Jörg Tewes]

Lars Gebauer schrub

> * Jörg Tewes:
>> Lars Gebauer schrub
>>> * Jörg Tewes:

>>>> Das Leben ist voller Gefahren, alle kann man nicht verhindern, es
>>>> sei denn man bleibt im Bett liegen.
>>
>>> Im Bett sterben die meisten Menschen (zumindest in den
>>> zivilisierteren Gegenden).
>>
>> Ja das ist auch so eine Nichtaussage.

> Keineswegs. Es ist eine simple Tatsache, die insbesondere manchen
> Dampfplauderern nicht bewußt ist.

Sicher ist das eine Tatsache. Aber sie sagt eben nicht aus, das im Bett
bleiben besonders gefährlich wäre. Also nichtssagend. So eine Aussage
wäre eher was für Dampfplauderer. Viel reden und nicht sagen.


Bye Jörg

--
Stirbt ein Bediensteter während einer Dienstreise, so ist damit die
Dienstreise beendet.
(Kommentar zum Bundesreisekostengesetz)

[Alexander Schestag]

Am 15.06.2013 02:34, schrieb Jörg Tewes:

> Klar, aber wir reden hier über Internet, und du sagtest du Angriffe
> finden hauptsächlich über kompromitierte Websites statt, wie willst du
> das unterbinden?

Whitelisting. Man lässt nur den Zugriff auf Websites zu, die wirklich
gebraucht werden oder die unter Firmenkontrolle stehen.

> Klar Javascript und Flash verbieten.

Braucht man bei Whitelisting nicht.

Alex


--
http://www.schestag.de

[Lars Gebauer]

* Jörg Tewes:
> Lars Gebauer schrub

>> Wenn ich bspw. administrativ durchsetze, daß bestimmte anfällige
>> Software nicht genutzt werden kann, dann fällt der Angriffsvektor
>> über diese Software einfach und schlicht komplett weg. Punkt. Aus.
>
> Klar, aber wir reden hier über Internet, und du sagtest du Angriffe
> finden hauptsächlich über kompromitierte Websites statt, wie willst du
> das unterbinden?

Gar nicht?

Da ich den _Angriff_ nicht unterbinden _kann_ bleibt mir gar nichts
weiter übrig, als mich darauf vorzubereiten. Vermittels des üblichen
Maßnahmebündels: Restriktive Konfiguration, aktuelle Software,
funktionierendes Backup usw.

Es ist vollkommen sinnlos, darüber nachzudenken, wie man den Angriff
unterbindet. "Da draussen" sitzen mit Sicherheit noch ein paar Ganoven,
die unter Garantie noch ein paar saublöde Ideen haben.

Das einzige was man tun kann ist, die Erfolgswahrscheinlichkeit des
Angriffs zu verringern. Und nein: Nur "vertrauenswürdige" Links
anzuklicken hilft dabeiu kein bisschen.

[Jörg Tewes]

Alexander Schestag schrub

> Am 15.06.2013 02:34, schrieb Jörg Tewes:

>> Klar, aber wir reden hier über Internet, und du sagtest du Angriffe
>> finden hauptsächlich über kompromitierte Websites statt, wie willst
>> du das unterbinden?

> Whitelisting. Man lässt nur den Zugriff auf Websites zu, die wirklich
> gebraucht werden oder die unter Firmenkontrolle stehen.

Und unterbindet damit einen Malwarebefall? Gerade bei denen "die
wirklich gebraucht werden" glaub ich das eher nicht. Und gerade letztere
können durchaus etliche sein, die auch ONU öfter besucht. Firmen
Websites z.B. Websites von Onlineshops. usw.


Bye Jörg

--
Zwei Dinge sind unendlich: Das Universum und die menschliche Dummheit. Aber
beim Universum bin ich nicht ganz sicher.
(Albert Einstein)

[Alexander Schestag]

Am 16.06.2013 12:08, schrieb Ralf Döblitz:
> Alexander Schestag <al...@schestag.info> schrieb:

>> Am 15.06.2013 02:34, schrieb Jörg Tewes:
>>
>>> Klar, aber wir reden hier über Internet, und du sagtest du Angriffe
>>> finden hauptsächlich über kompromitierte Websites statt, wie willst du
>>> das unterbinden?
>>
>> Whitelisting. Man lässt nur den Zugriff auf Websites zu, die wirklich
>> gebraucht werden oder die unter Firmenkontrolle stehen.
>

> Und wie willst du sicherstellen, daß die gewhitelisteten Websites nicht
> kompromittiert werden?

Das kann ich nicht. Kurz: Man kann das Risiko nur minimieren - es sei
denn, man Lässt gar keine Websites zu.

Alex

--
http://www.schestag.de