Gesperrte User / Mitglieder / forumsteilnehmer

  • Moin,


    werden eigentlich persoenliche Nachrichten

    an gesperrte Teilnehmer weitergeleitet

    oder landen die im Nirwana ?


    Koennen evtl. nicht weiter geleitete Nachrichten

    von irgendjemanden eingesehen koennen ?


    Beste Gruesse

    Alles geht - Nichts muß

  • also ne PN "kann" eigentlich nur von den Leuten eingesehen werden, an die sie adressiert ist

    es gäääääbe ganz rein theoretisch die Möglichkeit, diese Einzusehen von z.B. Yalsi, ..ist aber a) sehr aufwändig, weil man die aus der Forensoftware erstmal "rauspoolen" muss und b) wird praktisch nie gemacht, da dass ja persönlich ist und somit mehr oder weniger dem ....Briefgeheimnis? unterliegt

    ..ich glaub, da müssten schon Absprachen terroristischer Natur getroffen werden, damit der Vorstand entscheiden würde, eine PN zu "hacken" ;)

    ich bin signifikant genug:razz:

  • Hi


    Das mit der Weiterleitung muss ich testen, wahrscheinlich funktioniert die trotz Sperre. PMs liegen unverschlüsselt in der Datenbank in irgendeiner Tabelle und wären prinzipiell auf DB Ebene einsehbar. Verschlüsselung wurde bei Woltlab öfter diskutiert aber nicht implementiert.


    Rechtlich ist die Sache eindeutig, Zugriffe durch Admins wären ein Datenschutzverstoß und würde böse Folgen haben.


    Gruß- Georg B.

    Denn Feindschaft wird durch Feindschaft nimmermehr gestillt; Versöhnlichkeit schafft Ruh’ – ein Satz, der immer gilt. Man denkt oft nicht daran, sich selbst zurückzuhalten; Wer aber daran denkt, der lässt den Zorn erkalten. Sprüche von Buddha, aus dem ‹Dhammapada›.


    Mein Netz: Acorn | Atari | Milan | Amiga | Apple //e und IIGS | Macintosh | SUN Sparc | NeXT |SGI | IBM RS/6000 | DEC Vaxstation und Decstation| Raspberry Pi | PCs mit OS/2, BeOS, Linux, AROS, Windows, BSD | Stand-alone: Apple //c und III | Commodore 128D | Sinclair QL | Amstrad | PDAs

  • Unverschlüsselte PM's und von jedem Admin einsehbar? Oha, das ist eine interessante Info!

    Nicht,dass ich was zu verbergen hätte, aber ich dachte eigentlich, dass sowas nicht ohne weiteres geht.

    Verstöße würde man ja überhaupt nicht bemerken.

  • Naja, die Nachreichen stehen in irgendeiner Tabelle in der DB, wo genau und wie, weiß ich nicht. Das Problem ist: Wie wird bei mehr als zwei Teilnehmern verschlüsselt, ohne einen Key in der DB ablegen zu müssen? Da hat Woltlab bisher keine Lösung.

    Denn Feindschaft wird durch Feindschaft nimmermehr gestillt; Versöhnlichkeit schafft Ruh’ – ein Satz, der immer gilt. Man denkt oft nicht daran, sich selbst zurückzuhalten; Wer aber daran denkt, der lässt den Zorn erkalten. Sprüche von Buddha, aus dem ‹Dhammapada›.


    Mein Netz: Acorn | Atari | Milan | Amiga | Apple //e und IIGS | Macintosh | SUN Sparc | NeXT |SGI | IBM RS/6000 | DEC Vaxstation und Decstation| Raspberry Pi | PCs mit OS/2, BeOS, Linux, AROS, Windows, BSD | Stand-alone: Apple //c und III | Commodore 128D | Sinclair QL | Amstrad | PDAs

  • Ach, ja: Woltlab selbst bietet keinen Zugang zu PMs, auch nicht für Admins. Man müsste auf Linuxebene mit MySQL auf die DB gehen und die Tabellen durchgehen. Das wäre aber ein mutwilliger Verstoß gegen geltendes Recht und in meinem Falle auch beruflicher Selbstmord.


    Serverseitige Verschlüsselung würde das Problem auch nicht wirklich lösen. Wer sagt denn, dass niemand einen Bypass zwischen der Übertragung und der Verschlüsselungsfunktion einbaut?


    Vertrauliche Infos müssen immer clientseitig verschlüsselt werden und das mit quelloffener Software. Selbst dann kann es Lücken geben, siehe die jüngsten Ereignisse.


    BTW: wir haben hier ein Retrocomputer-Forum und keine Mailplattform.

    Denn Feindschaft wird durch Feindschaft nimmermehr gestillt; Versöhnlichkeit schafft Ruh’ – ein Satz, der immer gilt. Man denkt oft nicht daran, sich selbst zurückzuhalten; Wer aber daran denkt, der lässt den Zorn erkalten. Sprüche von Buddha, aus dem ‹Dhammapada›.


    Mein Netz: Acorn | Atari | Milan | Amiga | Apple //e und IIGS | Macintosh | SUN Sparc | NeXT |SGI | IBM RS/6000 | DEC Vaxstation und Decstation| Raspberry Pi | PCs mit OS/2, BeOS, Linux, AROS, Windows, BSD | Stand-alone: Apple //c und III | Commodore 128D | Sinclair QL | Amstrad | PDAs

  • Das Problem, das bei einer Sperre entsteht ist ja, dass man offene PN die man mit dem jetzt Gesperrten geführt hat, nicht mehr "abschließen" kann.

    Es bleiben dadurch manchmal wichtige Fragen oder andere Kommunikationen offen, falls man keine E-Mail von Ihm hat.

    Wäre es nicht möglich, falls jemand gesperrt werden soll, die PN Funktion noch einige Tage aufrecht zu erhalten, damit diese abgeschlossen werden können?

    Also, der zukünftig Gesperrte kann nur noch die offenen PN abschließen.

    Nichts neues mehr posten und keine neuen PN´s starten.

    Nach einer Woche oder so, würde Er dann komplett gesperrt!

  • Public+Private-Key, muss nur für jeden User angelegt werden, und der Private-Key ist mit dem Benutzerpasswort verschlüsselt abgelegt

    Spontan fallen mir dazu drei Punkte ein:

    • Das bedeutet, dass Du das Benutzerpasswort im Klartext irgendwo im Backend haben oder im Client die ganze Zeit (auch Session-übergreifend, wenn sich der Anwender entscheidet, sich nicht immer wieder anzumelden) mitführen musst.
    • Wenn der Benutzer sein Passwort vergisst und sich ein neues geben lässt, kommt er auch nicht mehr an seine Nachrichten — oder?
    • Solange Du serverseitig entschlüsselst, kannst Du da (wie yalsi schon sagte) ohnehin eine Backdoor ansetzen; und wenn Du clientseitig entschlüsselst und dem client dafür den Passwort-verschlüsselten Private Key gibst, hast Du letztlich keinen Schutz vor Brute Force angriffen mehr.

    Klingt für mich nach relativ viel Aufwand für relativ wenig nutzen. Wie yalsi ebenfalls schon schrieb:


    wir haben hier ein Retrocomputer-Forum und keine Mailplattform.

    Wenn Eure PMs wirklich so viel Schutz brauchen: tauscht e-Mail-Adressen und ggf. Public Keys aus, und nehmt verschlüsselte e-Mail.

  • Da hat Woltlab bisher keine Lösung.

    Die Lösung ist doch im Prinzip ganz einfach, Public+Private-Key, muss nur für jeden User angelegt werden, und der Private-Key ist mit dem Benutzerpasswort verschlüsselt abgelegt.

    Wie bekommt WhatsApp das denn hin? Da sind die Gruppenchats auch verschlüsselt. Irgendeine Lösung muss es darfür wohl geben.

    • i-Telex 7822222 dege d

    • technikum29 in Kelkheim bei Frankfurt

    • Marburger Stammtisch

    Douglas Adams: "Everything, that is invented and exists at the time of your birth, is natural. Everything that is invented until you´re 35 is interesting, exciting and you can possibly make a career in it. Everything that is invented after you´re 35 is against the law of nature. Apply this list to movies, rock music, word processors and mobile phones to work out how old you are."

  • Da hat Woltlab bisher keine Lösung.

    Die Lösung ist doch im Prinzip ganz einfach, Public+Private-Key, muss nur für jeden User angelegt werden, und der Private-Key ist mit dem Benutzerpasswort verschlüsselt abgelegt.

    Und das kann Wortlab?

    Es ging ja nicht darum, was Wortlab kann, sondern dass Wortlab dafür anscheinend keine Lösung findet. So hatte ich yalsi sinngemäß verstanden.

    • i-Telex 7822222 dege d

    • technikum29 in Kelkheim bei Frankfurt

    • Marburger Stammtisch

    Douglas Adams: "Everything, that is invented and exists at the time of your birth, is natural. Everything that is invented until you´re 35 is interesting, exciting and you can possibly make a career in it. Everything that is invented after you´re 35 is against the law of nature. Apply this list to movies, rock music, word processors and mobile phones to work out how old you are."

  • Wie bekommt WhatsApp das denn hin? Da sind die Gruppenchats auch verschlüsselt. Irgendeine Lösung muss es darfür wohl geben.

    Bei Whatsapp liegt der private Schlüssel auf Deinem Telefon, nicht auf dem Server. Dienste wie WhatsAppWeb gehen über das Telefon, um dort zu entschlüsseln. Bei einem reinen Webforum geht das nicht, solange die Anforderung besteht, dass sich der Anwender von jedem Gerät nur mit seinem Passwort einloggen können soll.