[TYPO3-german] Potenzieller Schadcode in /typo3/sysext/core/Classes/Resource/ResourceCompressor.php

[Bernhard Ludwig]

Am 09.07.2017 um 09:15 schrieb Dr. Dieter Porth <web37p2 at web59550.greatnet-hosting.de>:
> 
> Am 08.07.2017 um 09:45 schrieb Bernhard Ludwig:
>> Am 08.07.2017 um 08:58 schrieb Dr. Dieter Porth <web37p2 at web59550.greatnet-hosting.de>:
>>> Hallo Dieter
>>> 
>>> Am 08.07.2017 um 06:50 schrieb Dieter Bunkerd:
>>>> On 08-Jul-17 00:31, Dr. Dieter Porth wrote:
>>>>> Es gilt - zumindest meistens - in Deutschland die Unschuldsvermutung. Es
>>>>> ist also immer die Pflicht des Hosters, seine Serversperrung(!) zu
>>>>> begründen. Ohne nachvollziehbare Begründung ('Gefahr im Verzug, weil
>>>>> .... ') ist eine Sperrung eine Vertragsverletzung bzw. vermutlich sogar
>>>>> Zensur.  Das denke ich zumindest.
>>>> Da denke ich aber komplett anders. Vielmehr ist es ein Service und ein
>>>> Schutz. Zum einen Schutz des Vertragspartner und zum andern vor allen
>>>> Dingen Schutz aller anderen vor einer (möglichen) Virenschleuder.
>>>> 
>>> Ich würde deinen Gedanken vom Service unterstützen, WENN(!) es eine nachvollziehbare(!) Begründung gäbe.
>>> Aber nach dem, was Beate beschrieben hat, hat es genau diese Begründung NICHT gegeben. Die Angabe einer Datei als verseucht ohne weitere Begründung ist keine nachvollziehbare Begründung. Gerade die automatisierten Checkprogramme produzieren sehr häufig Fehler zweiter Art: Also sie kennzeichnen eine Seite auf Grund bestimmter Merkmale als verseucht, obwohl die Seite es in Wahrheit KEINE VIrenschleuder ist.
>>> Ohne nähergehende Begründung bezeichne ich begründugslose Sperrungen aus meiner nicht-juristen-Sicht als Zensur. Die alleinige Angabe einer betroffenen Datei ist keine Begründung.
>>> 
>>> Mit besten Grüßen
>>>   Dieter
>> Hallo,
>> 
>> von Zensur kann gewiss keine Rede sein.
>> Zensur beschreibt das Einsetzen von Informationskontrollen zur Steuerung von Meinungsströmungen. Dies könnte man dem Hoster nur nachweisen, wenn mit der Stilllegung eines Web, hinterlistig und bewusst eine Meinungsmache betrieben werden soll.
>> 
>> Im vorliegenden Fall könnte sich der Hoster aber auch ganz einfach auf sein Hausrecht besinnen und den Hostingvertrag aufkündigen, sollten ihm die Inhalte nicht passen. Da sehe ich den umständlichen Weg über das Vorgeben einer servertechnischen Beeinträchtigung als nun wirklich an den Haaren herbeigezogen an. Also Zensur fällt eindeutig weg. Leider wird heute überall, wo etwas nicht passt, gleich „Zensur“ geschrien, ich hoffe, diese Mode ist bald einmal wieder vorbei...
>> 
>> Ansonsten muss der Hoster nicht zwingend eine nachvollziehbare Begründung abgeben, dies ist meist in den AGB geregelt. „Gefahr in Verzug“ ist im allgemeinen schon dann gegeben, wenn ein Schadcode entdeckt wurde, egal, ob dieser ausgeführt wird oder nur ein Bot vermutet, da wäre etwas schadhaftes. Letztlich ist es doch aber auch im eigenen Interesse, etwaige Schadfunktionen zu beheben.
>> 
>> Die benannten Codezeilen sind sicherlich prüfbar, ob darin ein Schadcode vorliegt. Ich würde also hergehen und einen PHPler checken lassen, ob denn da etwas Relevantes feststellbar ist. Ein Schadcode muss eine wie auch immer geartete Funktion aufrufen oder eine Verbindung nach außen herstellen oder ein Script ausführen oder, oder, oder… Ein Codevergleich mit den Originalzeilen kann hier schon helfen, ebenfalls ein Codevergleich mit den Zeilen aus der aktuellsten Version.
>> 
>> Viele Grüße,
>> Bernhard
>> 
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
> Hallo Bernhard,
> 
> Zensur ist das Anwenden von Informationskontrollen, um die Meinungsäußerungen von Einzelnen einzuschränken. Die Abschaltung eines Servers ist eine Informationskontrolle und eine unberechtigete Einschränkung meiner Meinungsfreiheit und gegebenenfalls meiner Geschäftsfreiheit – insbesondere wenn die Abschaltung wie in diesem Fall ohne Begründung und ohne weiterführenden Hinweise erfolgte.
> 
> Ähnliches ist mir bei einem anderen Hoster auch schon passiert. Dieser hat nur nicht gleich abgeschaltet, sondern erstmal nachgefragt. Der automatisierte Prozess beklagte eine statische Seite ohne Javascript. Die Seite enthielt in einem Protestbericht das Zitat aus einer Phishing-Mail. Genau wie bei Beate gab es in meinem Fall keine Begründung sondern nur den Hinweis auf die Datei. Es hieß nur nachträglich kleinmütig, dass man auf der betroffenen Seite auch keine Gefahr erkennen können und dass man um Verständnis dafür bitte, wenn man auch zukünftig die Seiten kontrollieren würde. Fehler zweiter Art, als die unberechtigte Behauptung einen Gefahr, sind bei automatisierten Verfahren vermutlich wahrscheinlicher/ häufiger als wirkliche Schadensentdeckungen.
> 
> Natürlich kann ein Hoster in seinen ABGs ein Hausrecht definieren, welches der Nutzer ja bei Vertragsabschluss akzeptiert. Über solche AGBs stolpert ein Nutzer meist erst dann, wenn plötzlich seine Seite abgeschaltet ist. Ein Hoster, der bei der automatisierten Kontrolle des Codes Fehler zweiter Art ignoriert, Begründungen verweigert und sofort abschaltet, ist ein Zensor, den ich nicht als kein Geschäftspartner haben möchte. Wenn andere Kunden gerne einen solchen Hoster haben wollen, will ich sie nicht davon abhalten; für mich bleibt der beschriebene Fall ein Fall von Zensur. Ich würde einen solchen Hoster meinen Kunden nicht empfehlen.
> 
> Grundsätzlich finde ich automatisierte Untersuchungen des Codes auf möglich Schadsoftware und Schwachstellen okay. Schließlich sind Meinungsfreiheit und Schutz der Allgemeinheit vor Gefahren gegeneinander abzuwägen. Aber ist auch eine Frage des Verfahrensablaufes, ob und wann Schutz zur Zensur mutiert.
> 
> Mit besten Grüßen
>    Dieter
> 
> P.S. In einem hast du Recht. Zensur in Sinne deiner Definition entwickelt sich gerade zur Mode, wie das Milliarden-schwere Strafgeld der EU gegen Google zeigt. Ich hoffe auch, dass diese Mode möglichst bald wieder abklingt und dass google keinen Einfluss auf die Bundestagswahl nimmt - zum Beispiel durch manipulierte Rankings bei politischen Tagesthemen.
> 
Hallo Dieter,

nein, es ist immer noch keine Zensur. Zensur im Sinne von Zensur ist es nur dann, wie ich oben schon erwähnte, wenn mit dieser Sperrung des Servers ganz bewusst eine Information zur Lenkung von Meinungen vorenthalten werden soll. Dies ist aber vordergründig in benannter Situation gewiss nicht der Fall. 

Alles andere wäre zu beweisen, wobei sich dabei jeder Rechtsanwalt die Zähne ausbeißen würde, da das Abschalten des Servers eindeutig aus Sicherheitsgründen vorgenommen wurde. In wie weit die Abschaltung tatsächlich aus sicherheitsrelevanten Gründen erstens „nötig war“ und zweitens „gerechtfertigt“, das entscheidet die Plausibilitätsprüfung auf Schadcode, in Verbindung mit der vom Hoster garantierten Erreichbarkeit des Servers. Ob man dafür allerdings Gerichte und Anwälte bemühen muss, lasse ich mal offen im Raum stehen.

Zensur ist es jedenfalls nicht automatisch dadurch, dass ein Fakt,  wie z.B. die Abschaltung einer Information, erfüllt ist, sondern zur Eigenschaft der Zensur gehört der Beweisgrund mutwilliger Informationslenkung, den man im vorliegenden Fall gewiss nicht zu Grunde legen kann.

Deswegen mein Hinweis, nicht immer gleich Zensur schreien, erst einmal prüfen. Nicht jede „Verhinderung“ von Information ist gleich Zensur, man sollte und muss hier sehr stark differenzieren und die Bedeutungsdefinition von Zensur exakt anwenden.

Viele Grüße,
Bernhard