[TYPO3-german] Potenzieller Schadcode in /typo3/sysext/core/Classes/Resource/ResourceCompressor.php

[Dr. Dieter Porth]

Am 08.07.2017 um 09:45 schrieb Bernhard Ludwig:
> Am 08.07.2017 um 08:58 schrieb Dr. Dieter Porth <web37p2 at web59550.greatnet-hosting.de>:
>> Hallo Dieter
>>
>> Am 08.07.2017 um 06:50 schrieb Dieter Bunkerd:
>>> On 08-Jul-17 00:31, Dr. Dieter Porth wrote:
>>>> Es gilt - zumindest meistens - in Deutschland die Unschuldsvermutung. Es
>>>> ist also immer die Pflicht des Hosters, seine Serversperrung(!) zu
>>>> begründen. Ohne nachvollziehbare Begründung ('Gefahr im Verzug, weil
>>>> .... ') ist eine Sperrung eine Vertragsverletzung bzw. vermutlich sogar
>>>> Zensur.  Das denke ich zumindest.
>>> Da denke ich aber komplett anders. Vielmehr ist es ein Service und ein
>>> Schutz. Zum einen Schutz des Vertragspartner und zum andern vor allen
>>> Dingen Schutz aller anderen vor einer (möglichen) Virenschleuder.
>>>
>> Ich würde deinen Gedanken vom Service unterstützen, WENN(!) es eine nachvollziehbare(!) Begründung gäbe.
>> Aber nach dem, was Beate beschrieben hat, hat es genau diese Begründung NICHT gegeben. Die Angabe einer Datei als verseucht ohne weitere Begründung ist keine nachvollziehbare Begründung. Gerade die automatisierten Checkprogramme produzieren sehr häufig Fehler zweiter Art: Also sie kennzeichnen eine Seite auf Grund bestimmter Merkmale als verseucht, obwohl die Seite es in Wahrheit KEINE VIrenschleuder ist.
>> Ohne nähergehende Begründung bezeichne ich begründugslose Sperrungen aus meiner nicht-juristen-Sicht als Zensur. Die alleinige Angabe einer betroffenen Datei ist keine Begründung.
>>
>> Mit besten Grüßen
>>    Dieter
> Hallo,
>
> von Zensur kann gewiss keine Rede sein.
> Zensur beschreibt das Einsetzen von Informationskontrollen zur Steuerung von Meinungsströmungen. Dies könnte man dem Hoster nur nachweisen, wenn mit der Stilllegung eines Web, hinterlistig und bewusst eine Meinungsmache betrieben werden soll.
>
> Im vorliegenden Fall könnte sich der Hoster aber auch ganz einfach auf sein Hausrecht besinnen und den Hostingvertrag aufkündigen, sollten ihm die Inhalte nicht passen. Da sehe ich den umständlichen Weg über das Vorgeben einer servertechnischen Beeinträchtigung als nun wirklich an den Haaren herbeigezogen an. Also Zensur fällt eindeutig weg. Leider wird heute überall, wo etwas nicht passt, gleich „Zensur“ geschrien, ich hoffe, diese Mode ist bald einmal wieder vorbei...
>
> Ansonsten muss der Hoster nicht zwingend eine nachvollziehbare Begründung abgeben, dies ist meist in den AGB geregelt. „Gefahr in Verzug“ ist im allgemeinen schon dann gegeben, wenn ein Schadcode entdeckt wurde, egal, ob dieser ausgeführt wird oder nur ein Bot vermutet, da wäre etwas schadhaftes. Letztlich ist es doch aber auch im eigenen Interesse, etwaige Schadfunktionen zu beheben.
>
> Die benannten Codezeilen sind sicherlich prüfbar, ob darin ein Schadcode vorliegt. Ich würde also hergehen und einen PHPler checken lassen, ob denn da etwas Relevantes feststellbar ist. Ein Schadcode muss eine wie auch immer geartete Funktion aufrufen oder eine Verbindung nach außen herstellen oder ein Script ausführen oder, oder, oder… Ein Codevergleich mit den Originalzeilen kann hier schon helfen, ebenfalls ein Codevergleich mit den Zeilen aus der aktuellsten Version.
>
> Viele Grüße,
> Bernhard
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Hallo Bernhard,

Zensur ist das Anwenden von Informationskontrollen, um die 
Meinungsäußerungen von Einzelnen einzuschränken. Die Abschaltung eines 
Servers ist eine Informationskontrolle und eine unberechtigete 
Einschränkung meiner Meinungsfreiheit und gegebenenfalls meiner 
Geschäftsfreiheit – insbesondere wenn die Abschaltung wie in diesem Fall 
ohne Begründung und ohne weiterführenden Hinweise erfolgte.

Ähnliches ist mir bei einem anderen Hoster auch schon passiert. Dieser 
hat nur nicht gleich abgeschaltet, sondern erstmal nachgefragt. Der 
automatisierte Prozess beklagte eine statische Seite ohne Javascript. 
Die Seite enthielt in einem Protestbericht das Zitat aus einer 
Phishing-Mail. Genau wie bei Beate gab es in meinem Fall keine 
Begründung sondern nur den Hinweis auf die Datei. Es hieß nur 
nachträglich kleinmütig, dass man auf der betroffenen Seite auch keine 
Gefahr erkennen können und dass man um Verständnis dafür bitte, wenn man 
auch zukünftig die Seiten kontrollieren würde. Fehler zweiter Art, als 
die unberechtigte Behauptung einen Gefahr, sind bei automatisierten 
Verfahren vermutlich wahrscheinlicher/ häufiger als wirkliche 
Schadensentdeckungen.

Natürlich kann ein Hoster in seinen ABGs ein Hausrecht definieren, 
welches der Nutzer ja bei Vertragsabschluss akzeptiert. Über solche AGBs 
stolpert ein Nutzer meist erst dann, wenn plötzlich seine Seite 
abgeschaltet ist. Ein Hoster, der bei der automatisierten Kontrolle des 
Codes Fehler zweiter Art ignoriert, Begründungen verweigert und sofort 
abschaltet, ist ein Zensor, den ich nicht als kein Geschäftspartner 
haben möchte. Wenn andere Kunden gerne einen solchen Hoster haben 
wollen, will ich sie nicht davon abhalten; für mich bleibt der 
beschriebene Fall ein Fall von Zensur. Ich würde einen solchen Hoster 
meinen Kunden nicht empfehlen.

Grundsätzlich finde ich automatisierte Untersuchungen des Codes auf 
möglich Schadsoftware und Schwachstellen okay. Schließlich sind 
Meinungsfreiheit und Schutz der Allgemeinheit vor Gefahren gegeneinander 
abzuwägen. Aber ist auch eine Frage des Verfahrensablaufes, ob und wann 
Schutz zur Zensur mutiert.

Mit besten Grüßen
     Dieter

P.S. In einem hast du Recht. Zensur in Sinne deiner Definition 
entwickelt sich gerade zur Mode, wie das Milliarden-schwere Strafgeld 
der EU gegen Google zeigt. Ich hoffe auch, dass diese Mode möglichst 
bald wieder abklingt und dass google keinen Einfluss auf die 
Bundestagswahl nimmt - zum Beispiel durch manipulierte Rankings bei 
politischen Tagesthemen.

----
Dr. Dieter Porth - Web-Entwickler