Darf man das?
-
oenone schrieb:
Bashar schrieb:
Kannst du die Stelle zitieren? Ich bin kein Jurist und finde das in dem Gutachten nicht so schnell.
Seite 1, ganz unten:
Ein Verstoß gegen §§ 44, 43 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) scheidet aus, da es sich bei den MAC-Adressen [...] nicht um personenbezogene Daten handelt.
http://www.ferner-alsdorf.de/wp-content/uploads/2012/11/sta-hh-s1_Seite_1.png
http://www.ferner-alsdorf.de/wp-content/uploads/2012/11/sta-hh-s1_Seite_2.png"not allowed" -- sehr interessant. Versuch mal eine Quelle, die nicht nur du aufrufen kannst.
Bashar schrieb:
Davon abgesehen ist das ein Gutachten der Staatsanwalt, also nichtmal ein Urteil.
Deshalb schrub ich auch nicht "Urteil", sondern "Beschluss".
Aber was soll die Relevanz dieses "Beschlusses" sein?
-
Ob ein Hash tatsächlich kollisionsfrei ist dürfte rechtlich erstaunlich irrelevant sein. Der Punkt ist, und da werden mir hier wohl alle zustimmen, wenn man die MACs seiner Kunden mit SHA2-256 hasht geht die Wahrscheinlichkeit dabei auch nur eine einzige Kollision zu bekommen gegen Null. Dafür soll der Hash hier ja überhaupt erst genutzt werden - ansonsten würde man ja ausversehen zwei User bannen.
Und ob ein Hash noch als PBD gilt dürfte wohl davon abhängen wie groß der Aufwand ist vom Hash wieder zurück auf die Ursprungsdaten zu kommen, ohne die Ursprungsdaten noch einmal anzufordern. Ich möchte mal vermuten dass MAC Adressen nicht genug Entropie bieten. Vorausgesetzt natürlich MAC Adressen zählen selbst als PBD, falls nicht ist das alles völlig irrelevant.
Aber als Sicherung für einen Chat-Server bietet sich das eh nicht an, anonyme User kann man einfach nicht permanent bannen, höchstens nerven mit IP-Bans. Egal was ihr da (@TE) auslest aus dem Computer, eure .exe kann man immer hacken und einfach zum Server schicken lassen was man will.
-
Du bist mir ja ein Held, hier geht's nicht um unknackbare Programme!
Und wenn einer das Hacken will, ist er so schlau und geht an die Datenbank, und nimmt nicht die exe auseinander.
Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt
Ich will das gleiche Prinzip wie PunkBuster damals machen, anhand der Hardware Serial Hash Wert bannen!
Und den Hash konnte man immer von Spieler per Console abfragen!
-
b4nan1 schrieb:
Und wenn einer das Hacken will, ist er so schlau und geht an die Datenbank, und nimmt nicht die exe auseinander.
Also wenn man an eure Datenbank ran kommt könnt ihr das Projekt gleich in die Tonne kloppen, lol.
-
b4nan1 schrieb:
Und wenn einer das Hacken will, ist er so schlau und geht an die Datenbank, und nimmt nicht die exe auseinander.
Du scheinst dich ja super auszukennen. Die exe auseinandernehmen kann mit etwas Erfahrung mehr oder weniger trivial sein, auf jeden Fall machbar. Die Datenbank auf eurem Server zu hacken sollte praktisch kaum möglich sein.
-
b4nan1 schrieb:
Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt
Dir ist schon klar, dass jedwede Verschlüsselung, die ihr verwendet, nichtig ist, weil man anhand der exe an den Code kommt und dort drin steht, wie verschlüsselt wird...
Genauso kann man dann euer Protokoll rekonstruieren und die richtigen Befehle herausfinden.
-
Auskenner schrieb:
Shade Of Mine schrieb:
OMG, der Thread hier ist köstlich.
Der OP will gehasht Daten speichern, das ist immer erlaubt, egal worum es geht.
Das sehe ich nicht so, ein Hash ist ein von den Quelldaten abgeleitetes Werk.
Werk, rofl.
Auskenner schrieb:
Und gerade weil ein Hash das Ziel hat, Kollisionen zu vermeiden, also ein Algo gewählt wird, der das gewährleistet, ist das wieder so, als hättest du die personengebundenen Daten direkt.
Oder anders gesagt, auch mit einem Hash, bleibt der Nutzer identifizierbar und deswegen kann auch die Speicherung eines Hash ohne Zustimmung nicht erlaubt sein.Und wer sagt dass das ein Problem ist?
Wenn man vom User verlangt nen Usernamen + Passwort einzugeben, oder die Nummer die auf dem Kärtchen draufsteht was beim Spiel dabei war das man gekauft hat, dann sind die darüber auch identifizierbar. Man kann sogar in die Nutzungsbedingungen reinschreiben dass keiner mehr als einen Account anlegen darf. Wieso sollte man dann - wenn man darauf hinweist - nicht etwas machen dürfen worüber man den Nutzer ohne Anlegen eines Accounts/eingeben einer Nummer identifizieren kann?
BTW: identifizierbar != identifizierbar.
Es ist ein Unterschied ob man rausbekommen kann dass Zugriff A und Zugriff B von der selben "Person" (=hier ja nur vom selben Rechner) kommen, oder ob man rausbekommen kann wer diese Person wirklich ist.
-
Nathan schrieb:
b4nan1 schrieb:
Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt
(...)
Genauso kann man dann euer Protokoll rekonstruieren und die richtigen Befehle herausfinden.Wenn der Server einfach kein Kommando imlementiert, mit dem man etwas auslesen kann, was man nicht auslesen darf, wie willst du dann "die richtigen Befehle herausfinden". Dann gibt es einfach keine "richtigen Befehle".
-
hustbaer schrieb:
Nathan schrieb:
b4nan1 schrieb:
Da A kein Klartext drinne steht, B es verschlüsselt sendet, Und C der Server keine ausgedachten befehle annimmt
(...)
Genauso kann man dann euer Protokoll rekonstruieren und die richtigen Befehle herausfinden.Wenn der Server einfach kein Kommando imlementiert, mit dem man etwas auslesen kann, was man nicht auslesen darf, wie willst du dann "die richtigen Befehle herausfinden". Dann gibt es einfach keine "richtigen Befehle".
Ja, klar.
Das bezog sich auf ausgedachte Befehle, ich dachte er meint damit einfach irgendwas zu schicken, neue Befehle kann man nicht einfügen, klar, aber existierende verwenden.
-
Ah, OK. Hat sich für mich so angehört als wolltest du sagen dass man den Server nicht sicher bekommen kann.
-
Einfach beim Anmelden folgendes reinbasteln.
Problem glöst? AGB's liest doch keine Sau!
-
ScottZhang schrieb:
Einfach beim Anmelden folgendes reinbasteln.
Das wäre unwirksam.
Problem glöst? AGB's liest doch keine Sau!
Schließe nicht von dir auf andere.
Ich habe z.B. die Nutzungsbedingungen von Steam komplett durchgelesen.Und übrigens, wenn die AGB unwirksam wird, dann gilt das BGB und alle weiteren Gesetze.
-
Merkt ihr noch was?
Es geht hier um eine abge**ckte frage, und nicht darum wie sicher bla bla bla!Ich kann mir nicht vorstellen das EINER hier ein Sicheres Programm schreiben kann was man nicht decompilieren kann etc..
und wenn einer ein Chat Programm Cracken will, dann hat er richtige Probleme im Leben, da kann ich auch nichts für den tun
Und da das ganze Serverside läuft mit den Daten, und Verschlüsselungen man mit via BruteForce meisten Knackt, wird er zu 100% die lust verlieren an der verschlüsselung!
Also es geht hier nicht um Hacken Cracken, sondern um meine Frage (Siehe Post #1), und alle anedern Antworten die meinen das Thema zu verfehlen werde ich mal überlesen!PS: An die DB kommt auch keiner ran!!!
Außerdem werde ich dafür sorgen, das man Daten in der exe nicht manipuilieren kann, da eine anderes Versteckte Projekt das alles abscannt und vergleicht mit der DB!
Auf gut Deutsch, sowas wie Cheat Engine ist zwecklos, und sowas reicht mir schon, da auf dem Programm keine Mio Beträge rumgehen bzw keine Konten im Spiel sind!**Wenn meine Frage beantwortet ist, kann man gerne das Thema Sicherheit vorziehen bzw paar Ideen dazu beitragen, aber nicht es ist sowieso Hackbar!
Sowas das Anfänger nicht weiter kommen, da die Profis nicht ernsthaft sich für mein Projekt interessieren!
-
b4nan1 schrieb:
Ich kann mir nicht vorstellen das EINER hier ein Sicheres Programm schreiben kann was man nicht decompilieren kann etc..
Wenn Du mein Programm devompilierst, haste an sicherheitsrelevanten Stellen vielleicht kilobyteweise handgeschriebenen brainfuck-Code.
-
Du bist ein ganz Toller
PS: Das nenne ich Angeber^^
Schade das Moderatoren nicht mal auf die Frage eingehen, sondern sich hier nur beweisen wollen.*Als Nerd Programmierer (So stufe ich dich mal jetzt nach deiner Aussage ein) hast du auch 0% die Chance deine Programme vor Profis sicher zu machen.
-
b4nan1 schrieb:
Ich kann mir nicht vorstellen das EINER hier ein Sicheres Programm schreiben kann was man nicht decompilieren kann etc..
Das geht ja auch nicht, das ist ja der Punkt.
Und da das ganze Serverside läuft mit den Daten, und Verschlüsselungen man mit via BruteForce meisten Knackt, wird er zu 100% die lust verlieren an der verschlüsselung!
Er braucht kein BruteForce anzuwenden, den Algorithmus hat er durch den Code und der Key steht da entweder auch drin/wird irgendwann gesendet. Im letzteren Fall kann man auslesen, wann der gesendet wird und wo er im Paket gespeichert ist und ihn mit einem Packet-Sniffer auslesen.
-
OMMMMMMMMMMMMGGGGGGGGGGGGGGGG!!!!!!!!!!!!!!!!
Ey last es sein ok, PLS Closed das Thema und gut ist!
Nur Kinder hier unterwegs?
Bitte Löscht gleich mein Account mit!PS: Es ist mir klar das es keine 100% Sicherheit gibt, aber wenn das für euch Thema ist, denke ich auch langsam das ihr IT Fuzis ein schaden habt ja!
UND BITTE BITTE LÖSCHT MEIN ACCOUNT HIER!
-
Geh spielen.
-
CLOSE
-
b4nan1 schrieb:
Bitte Löscht gleich mein Account mit!
Damit du bei deinen nächsten Problemchen wieder hier, aber unter einem anderen Nicknamen, angekrochen kommst und uns dann so undankbar, wie du es gerade tust, wieder ausnützt? Bloß nicht!
Löscht seinen Account nicht. Ich möchte wissen, wem ich nächstes mal nicht mehr zu helfen brauche.
