/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Indtastning/gæt af URL'er ulovligt ?
Fra : Povl H. Pedersen


Dato : 29-10-02 20:17

Reuters er i Sverige nu på anklagebænken fordi de
på Intentias hjemmeside har indtastet en URL som gave
dem adgang til årsregnskabet for det forgangne regnskabsår
inden det reelt blev offentliggjort.

Derfor er mit spørgsmål her:
Er det ulovligt, såfremt man ikke kan finde links i menuerne,
at gætte sig frem til URL'er ? F.eks. udskifte et årstal i
en URL med en anden ?

Det skal her nævnes, at Reuters medarbejderen vidste at det
var dagen for regnskabets offentliggørelse, så han har
ikke nødvendigvis haft ond hensigt.

Hvor meget må man rette i sine URL'er ? Må man kun gå til
sine bookmarks og enkelte publicerede URL'er ? Der var
jo Valus URL'er man ikke måtte gå til.

 
 
Larz (29-10-2002)
Kommentar
Fra : Larz


Dato : 29-10-02 20:23

Povl H. Pedersen wrote:

> Derfor er mit spørgsmål her:
> Er det ulovligt, såfremt man ikke kan finde links i menuerne,
> at gætte sig frem til URL'er ? F.eks. udskifte et årstal i
> en URL med en anden ?

IANAL osv men de kunne jo bare beskytte dokumentet og fjerne
beskyttelsen når det var meningen det var offentligt tilgængeligt.

Så er det ulovligt at indtaste adressen til en webserver? Evt.
www.microsoft.com/billgates ?

Jeg aner som sagt intet men jeg tror nu ikke på at den holder - det kan
da kun være Intentias fejl.

--
-
Lars
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
To mail me remove your pants.


Henning Makholm (29-10-2002)
Kommentar
Fra : Henning Makholm


Dato : 29-10-02 20:26

Scripsit "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local>

> Det skal her nævnes, at Reuters medarbejderen vidste at det
> var dagen for regnskabets offentliggørelse, så han har
> ikke nødvendigvis haft ond hensigt.

Hvordan argumenterer du for at der *ikke* er ond hensigt. En
erhvervsmedarbejder ved et nyhedsmedie bør vide at årsregnskaber (jeg
regner med at det er en børsnoteret virksomhed) *ikke* må
offentliggøres før tiden. Derfor er det en fejl fra virksomhedens side
hvis de alligevel er tilgælgelige. Og derfor er det uberettiget hvis
man alligevel får (eller forsøger at få) adgang til dem på en eller
anden måde.

> Hvor meget må man rette i sine URL'er ?

Sådan kan man ikke udtrykke det. (Eller rettere: den måde at udtrykke
det egner sig ikke til at beskrive de juridiske forhold). Det der er
juridisk relevant er hvilken hensigt man har med de handlinger man
foretager. Og når handlingen klart viser at man har haft til hensigt
at omgå et (mere eller mindre effektivt) forsøg på at opfylde den
lovpligtige hemmeligholdelse af regnskabet, så er der en kriminel
hensigt.


FUT fra d.e.sikkerhed + d.v.jura til d.v.jura.
Fy til Povl der har krydspostet uden at gøre opmærksom på det og uden
at sætte FUT selv.

--
Henning Makholm "Need facts -- *first*. Then
the dialysis -- the *analysis*."

Povl H. Pedersen (29-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 29-10-02 20:43

In article <yah7kg1oxm6.fsf@ask.diku.dk>, Henning Makholm wrote:
> Scripsit "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local>
>
>> Det skal her nævnes, at Reuters medarbejderen vidste at det
>> var dagen for regnskabets offentliggørelse, så han har
>> ikke nødvendigvis haft ond hensigt.
>
> Hvordan argumenterer du for at der *ikke* er ond hensigt. En
> erhvervsmedarbejder ved et nyhedsmedie bør vide at årsregnskaber (jeg
> regner med at det er en børsnoteret virksomhed) *ikke* må
> offentliggøres før tiden. Derfor er det en fejl fra virksomhedens side
> hvis de alligevel er tilgælgelige. Og derfor er det uberettiget hvis
> man alligevel får (eller forsøger at få) adgang til dem på en eller
> anden måde.

Jeg er ikke klar over hvornår det skete. Men hvis det er normalt
at de sendes til børsen kl. 10.00 og han kl. 10.01 søger at få
adgang, så er argumentet vel holdbart ?

Og den der er ansvarlig for udsendelsen er vel den
ansvarshavende redaktør ? "hacking"-forsøget er vel
journalistens.

>> Hvor meget må man rette i sine URL'er ?
>
> Sådan kan man ikke udtrykke det. (Eller rettere: den måde at udtrykke
> det egner sig ikke til at beskrive de juridiske forhold). Det der er
> juridisk relevant er hvilken hensigt man har med de handlinger man
> foretager. Og når handlingen klart viser at man har haft til hensigt
> at omgå et (mere eller mindre effektivt) forsøg på at opfylde den
> lovpligtige hemmeligholdelse af regnskabet, så er der en kriminel
> hensigt.

Enig i hensigten. Men hvis vi antager jeg som almindelig borger,
og investor, gjorde det samme, uvidende om offentliggørelsestidspunktet,
men bare søgende efter seneste regnskab, og herefter handlede aktier
på dette grundlag, var jeg så kriminel ? Jeg ville have haft
insiderviden, men ikke viden om at det var insiderviden, og ikke til
hensigt at snyde.

Vi taler her om et offset på få timer.

> FUT fra d.e.sikkerhed + d.v.jura til d.v.jura.
> Fy til Povl der har krydspostet uden at gøre opmærksom på det og uden
> at sætte FUT selv.
>
Ja, slrn brokkede sig endog - men der er jo meget brok på usenet :)

Henning Makholm (29-10-2002)
Kommentar
Fra : Henning Makholm


Dato : 29-10-02 20:56

Scripsit "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local>

> Jeg er ikke klar over hvornår det skete. Men hvis det er normalt
> at de sendes til børsen kl. 10.00 og han kl. 10.01 søger at få
> adgang, så er argumentet vel holdbart ?

Så er jeg mere tilbøjlig til at være enig i at der ikke er noget
kriminelt forsæt-

> Og den der er ansvarlig for udsendelsen er vel den
> ansvarshavende redaktør ?

Redaktøren er ansvarlig for hvad der står i avisen. Ikke for
eventuelle ulovligheder begået under fremskaffelsen af oplysningerne -
dvs i det omfang han ikke ud over at være ansvarsh. redaktør også har
et ledelsesansvar over journalisterne.

> "hacking"-forsøget er vel journalistens.

I givet fald ja.

> Enig i hensigten. Men hvis vi antager jeg som almindelig borger,
> og investor, gjorde det samme, uvidende om offentliggørelsestidspunktet,
> men bare søgende efter seneste regnskab, og herefter handlede aktier
> på dette grundlag, var jeg så kriminel ?

Hvis du kunne se at der ikke var noget link til regnskabet, vil jeg
umiddelbart vurder at du *burde* vide at regnskabet endnu ikke var
offentliggjort. Men i øvrigt er det en skønssag, og jeg kender ikke
noget videre til om der findes retspraksis på området.

--
Henning Makholm "Khanivore is climbing out of its life-support pod."

Peter Brodersen (29-10-2002)
Kommentar
Fra : Peter Brodersen


Dato : 29-10-02 20:55

On Tue, 29 Oct 2002 19:16:50 +0000 (UTC), "Povl H. Pedersen"
<povlhp@povl-h-pedersens-computer.local> wrote:

>Er det ulovligt, såfremt man ikke kan finde links i menuerne,
>at gætte sig frem til URL'er ? F.eks. udskifte et årstal i
>en URL med en anden ?

Povl, der findes ikke en juridisk lovgivning om URLer.

Der findes ingen regler for at du fx godt må rette årstal, men ikke
bogstaver.

Der findes ingen whitelist og der findes ingen blacklist.

Der findes ikke en threshold for at man fx må prøve at gætte på 3
URL's, men 4+ URL-gæt er ulovligt.

Man bliver ikke dømt for "at have rettet en URL", men måske for
overtrædelse af fx straffelovens §263 stk. 2, måske andre love.
Handlingen i den forbindelse har så måske været at rette en URL, måske
at lave en bestemt udformet forespørgsel, måske at gætte et kodeord,
måske at følge referer-logs, måske noget helt femte, men det er ikke
det at man generelt har tilladt sig at rette en URL til, der bliver
dømt for. Overtræder man andre love, fx ved at indtaste URL's i en
browser, er der ikke noget ødiøst over at man fx kan blive dømt for
dette. Et nørd-eksempel kunne være at finde åbne formmails og lave en
URL med submittet formdata. Dette kunne fx resultere i overtrædelse af
markedsføringslovens §6a, for nu at tage et velkendt eksempel.

I den aktuelle sag er der mange andre faktorer, der spiller ind over.
Bl.a. at den relevante data også efterfølgende blev offentliggjort.

Min meget personlige holdning er, at det er frygteligt, at folk
specielt indenfor IT-området har svært ved at forholde sig til
lovgivning og ikke-digitalt-definerede begreber. En del nørd-fora er
konstant oversvømmet med hjemmestrikket jura ud fra tekniske
betragtninger ("Serveren sagde 200 OK, så den har givet mig lov til at
hente den fil...", "Folk henter fra min server, og jeg har lavet en
disclaimer, så det er ikke mit ansvar, hvis folk henter den
ophavsretsbeskyttede musikfil", "De har haft tekniske muligheder til
at forhindre dette, og i og med at de ikke har benyttet sig af den
teknik, har de implicit givet tilladelse", "Jeg gjorde faktisk en
tjeneste ved at...", "Hvis jeg ikke havde lukket deres server ned, var
den blevet brugt til større ulovligheder" etc.).

--
- Peter Brodersen

Henrik Bøgh (30-10-2002)
Kommentar
Fra : Henrik Bøgh


Dato : 30-10-02 12:18

Peter Brodersen wrote in dk.videnskab.jura:

[...]

> Man bliver ikke dømt for "at have rettet en URL", men måske for
> overtrædelse af fx straffelovens §263 stk. 2, måske andre love.
> Handlingen i den forbindelse har så måske været at rette en URL, måske
> at lave en bestemt udformet forespørgsel, måske at gætte et kodeord,
> måske at følge referer-logs, måske noget helt femte, men det er ikke

Jeg har med stor interesse fulgt denne tråd og 'Kan man hacke ved at skrive
en URL ind i en browser?'-tråedene (både her og i d.e.sikkerhed). Og er
derfor blevet lidt nysgerrig:

Jeg har selv en web-server stående. En person laver på en side et link til
en side på min server. En gang imellem kigger jeg mine logfiler for
webserveren igennem for at se om der skulle være noget mystisk eller
simpelthen af ren nysgerrighed for at se hvorfor folk kigger på netop de
sider jeg har på min server.
Når folk surfer på internettet efterlader de fleste browsere en URL som er
den side de kommer fra (kaldet Referer-headeren) hos serveren. Den logger
jeg. I det aktuelle tilfælde ser jeg at der er en del der har hentet en
bestemt side på min server som åbentbart kommer fra nogle mystiske URL'er.
I ren nysgerrighed åbner jeg en af disse URL'er og opdager at den
indeholder data som jeg ikke kommer mig ved - ja som jeg personlig mener at
jeg slet ikke burde have adgang til.
Du skriver at det kan være strafbart at følge Referer-logs - men kræver det
ikke at man skal vide at det Referer-loggen henviser til er noget man ikke
bør have adgang til?
Jeg mener at jeg kun havde gode hensigter da jeg fulgte linket, har gjort
det eneste rigtigt - og nu påstår du så at det jeg har gjort kan være
ulovligt (med mindre jeg har misforstået dig)?

For en god ordens skyld skal det nævnes at jeg har sent dem så har
pågældende side som linkede til min en mail hvori jeg fortæller dem om
deres "hul" og at jeg i øvrigt ikke har fortalt andre om det.

> - Peter Brodersen

--
Med Venlig Hilsen
H e n r i k B ø g h | http://lagengymnastik.dk/~henrik/?usenet
Don't despair; your ideal lover is waiting for you around the corner.



Kasper Dupont (30-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 30-10-02 12:26

Henrik Bøgh wrote:
>
> Når folk surfer på internettet efterlader de fleste browsere en URL som er
> den side de kommer fra (kaldet Referer-headeren) hos serveren. Den logger
> jeg.

Jeg gemmer også alle referer headers til mine sider, men ikke nok
med det, jeg har også en side med links til dem alle som automatisk
opdateres. Det vil sige at i mit tilfælde er en referer header nok
til at en side kan dukke op på en søgemaskine, og det sker faktisk.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Henrik Bøgh (30-10-2002)
Kommentar
Fra : Henrik Bøgh


Dato : 30-10-02 12:54

Peter Brodersen wrote in dk.videnskab.jura:

[...]

> Man bliver ikke dømt for "at have rettet en URL", men måske for
> overtrædelse af fx straffelovens §263 stk. 2, måske andre love.
> Handlingen i den forbindelse har så måske været at rette en URL, måske
> at lave en bestemt udformet forespørgsel, måske at gætte et kodeord,
> måske at følge referer-logs, måske noget helt femte, men det er ikke

Jeg har med stor interesse fulgt denne tråd og 'Kan man hacke ved at skrive
en URL ind i en browser?'-tråedene (både her og i d.e.sikkerhed). Og er
derfor blevet lidt nysgerrig:

Jeg har selv en web-server stående. En person laver på en side et link til
en side på min server. En gang imellem kigger jeg mine logfiler for
webserveren igennem for at se om der skulle være noget mystisk eller
simpelthen af ren nysgerrighed for at se hvorfor folk kigger på netop de
sider jeg har på min server.
Når folk surfer på internettet efterlader de fleste browsere en URL som er
den side de kommer fra (kaldet Referer-headeren) hos serveren. Den logger
jeg. I det aktuelle tilfælde ser jeg at der er en del der har hentet en
bestemt side på min server som åbentbart kommer fra nogle mystiske URL'er.
I ren nysgerrighed åbner jeg en af disse URL'er og opdager at den
indeholder data som jeg ikke kommer mig ved - ja som jeg personlig mener at
jeg slet ikke burde have adgang til.
Du skriver at det kan være strafbart at følge Referer-logs - men kræver det
ikke at man skal vide at det Referer-loggen henviser til er noget man ikke
bør have adgang til?
Jeg mener at jeg kun havde gode hensigter da jeg fulgte linket, har gjort
det eneste rigtigt - og nu påstår du så at det jeg har gjort kan være
ulovligt (med mindre jeg har misforstået dig)?

For en god ordens skyld skal det nævnes at jeg har sent dem så har
pågældende side som linkede til min en mail hvori jeg fortæller dem om
deres "hul" og at jeg i øvrigt ikke har fortalt andre om det.

> - Peter Brodersen


Med Venlig Hilsen
H e n r i k B ø g h | http://lagengymnastik.dk/~henrik/?usenet
Don't despair; your ideal lover is waiting for you around the corner.

--
Med Venlig Hilsen
H e n r i k B ø g h | http://lagengymnastik.dk/~henrik/?usenet
"I got three words i want to pass: Dog, but and firecracker"
-- Beth Littleford as Deirdre in 'Spin City'


Henning Makholm (30-10-2002)
Kommentar
Fra : Henning Makholm


Dato : 30-10-02 14:38

Scripsit Henrik Bøgh <this.email@does.not.work>

> Du skriver at det kan være strafbart at følge Referer-logs

Det kan være strafbart at gøre hvad som helst *hvis man har kriminelt
forsæt*. Det er forsættet der er det afgørende. Ikke den fysiske
handling.

Ja, jeg er også irriteret over at det kan være så svært at forstå.

--
Henning Makholm "*Her* sidder jaj & har *ild* bå cigarren
*imens* Pelle Jönsson i Nordnorge har mavepine."

Jon Bendtsen (30-10-2002)
Kommentar
Fra : Jon Bendtsen


Dato : 30-10-02 14:45

In article <yahhef4yrlw.fsf@pc-043.diku.dk>, Henning Makholm wrote:
> Scripsit Henrik Bøgh <this.email@does.not.work>
>
>> Du skriver at det kan være strafbart at følge Referer-logs
>
> Det kan være strafbart at gøre hvad som helst *hvis man har kriminelt
> forsæt*. Det er forsættet der er det afgørende. Ikke den fysiske
> handling.
>
> Ja, jeg er også irriteret over at det kan være så svært at forstå.

Tilgengæld når man så først har forstået det, så giver det
mening at der skal være (kriminelt) forsæt.



JonB

--

Jeg har nogle meninger, blandt andet: "post i den rigtige gruppe",
"klip unødig text væk", "svar nedenunder", "skriv korrekt subject"
"ingen krydspost". Se http://usenet.dk/netikette/citatteknik.html

F.Larsen (29-10-2002)
Kommentar
Fra : F.Larsen


Dato : 29-10-02 21:41

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnartnl3.r3b.povlhp@povl-h-pedersens-computer.local...
>
> Derfor er mit spørgsmål her:
> Er det ulovligt, såfremt man ikke kan finde links i menuerne,
> at gætte sig frem til URL'er ? F.eks. udskifte et årstal i
> en URL med en anden ?

Artiklen, Ahlerup vs Reuters, kan bla læses her:
http://www.infoworld.com/articles/hn/xml/02/10/29/021029hnreuters.xml?s=IDGN
S

Spørgsmålet er nærmere. Er det hacking at gætte sig til en url ...

Ahlerup mener at årsrapporten befandt sig i et privat område hvor der ikke
var links til. De har principelt ikke taget stilling til om Reuters har
gjort noget ulovligt men overlader dette til politiet.

Lad os håbe sund fornuft sejrer i denne sag ! :=)

--
Flemming



Jakob Paikin (29-10-2002)
Kommentar
Fra : Jakob Paikin


Dato : 29-10-02 22:32

On Tue, 29 Oct 2002 21:41:05 +0100, "F.Larsen" <n0spam@spamfilter.dk>
wrote:

>Spørgsmålet er nærmere. Er det hacking at gætte sig til en url ...

Det kan det sagtens være. Hacking er i straffeloven beskrevet som
uberettiget at skaffe sig adgang til data i et EDB-system.

Hvis man er uberettiget til at få adgang til bestemte data og
alligevel forsøger at få adgang kan det straffes - hvis der i øvrigt
var forsæt.

Groft sagt: Hvis man taster en forkert URL ved en fejl, vil det
sædvanligvis ikke være strafbart. Hvis man derimod bevidst forsøger at
gætte URL'en til "skjulte" oplysninger kan det være strafbart.


--
Jakob Paikin, advokat
Advokatkontoret Fabritius Tengnagel & Heine. www.dklaw.dk

Bemærk at ovenstående ikke er egentlig advokatrådgivning, samt i øvrigt er min personlige opfattelse og ikke nødvendigvis advokatkontorets.

Povl H. Pedersen (29-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 29-10-02 23:03

In article <sevtruss5nqbsr3vbm7k2356kh1j1angop@4ax.com>, Jakob Paikin wrote:
> On Tue, 29 Oct 2002 21:41:05 +0100, "F.Larsen" <n0spam@spamfilter.dk>
> wrote:
>
>>Spørgsmålet er nærmere. Er det hacking at gætte sig til en url ...
>
> Det kan det sagtens være. Hacking er i straffeloven beskrevet som
> uberettiget at skaffe sig adgang til data i et EDB-system.
>
> Hvis man er uberettiget til at få adgang til bestemte data og
> alligevel forsøger at få adgang kan det straffes - hvis der i øvrigt
> var forsæt.
>
> Groft sagt: Hvis man taster en forkert URL ved en fejl, vil det
> sædvanligvis ikke være strafbart. Hvis man derimod bevidst forsøger at
> gætte URL'en til "skjulte" oplysninger kan det være strafbart.

Jeg må så indrømme, at jeg nok har gjort mig ret skyldig i
hacking en del gange. Typisk på websites med årstal i URL'er
har jeg ofte rettet dette for at finde historiske data, også
selvom der ikke længere linkes til disse.

På andre sites hvor jeg kommer hen via en søgemaskine retter
jeg ofte også i URL'en ved at pille directories af,og kommer
også her ind imellem til at få adgang til data som jeg vil
formode ikke er beregnet til offentliggørelse, eller er
skjult fordi de er historiske. Hvis jeg læser videre i
dette, så er hensigten vel der ?
>
>

Carl (30-10-2002)
Kommentar
Fra : Carl


Dato : 30-10-02 06:39


"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> skrev i en
meddelelse news:slrnaru1bt.r61.povlhp@povl-h-pedersens-computer.local...
> In article <sevtruss5nqbsr3vbm7k2356kh1j1angop@4ax.com>, Jakob Paikin
wrote:
> > On Tue, 29 Oct 2002 21:41:05 +0100, "F.Larsen" <n0spam@spamfilter.dk>
> > wrote:
> >
> >>Spørgsmålet er nærmere. Er det hacking at gætte sig til en url ...
> >
> > Det kan det sagtens være. Hacking er i straffeloven beskrevet som
> > uberettiget at skaffe sig adgang til data i et EDB-system.
> >
> > Hvis man er uberettiget til at få adgang til bestemte data og
> > alligevel forsøger at få adgang kan det straffes - hvis der i øvrigt
> > var forsæt.
> >
> > Groft sagt: Hvis man taster en forkert URL ved en fejl, vil det
> > sædvanligvis ikke være strafbart. Hvis man derimod bevidst forsøger at
> > gætte URL'en til "skjulte" oplysninger kan det være strafbart.
>
> Jeg må så indrømme, at jeg nok har gjort mig ret skyldig i
> hacking en del gange. Typisk på websites med årstal i URL'er
> har jeg ofte rettet dette for at finde historiske data, også
> selvom der ikke længere linkes til disse.
>
> På andre sites hvor jeg kommer hen via en søgemaskine retter
> jeg ofte også i URL'en ved at pille directories af,og kommer
> også her ind imellem til at få adgang til data som jeg vil
> formode ikke er beregnet til offentliggørelse, eller er
> skjult fordi de er historiske. Hvis jeg læser videre i
> dette, så er hensigten vel der ?
> >
> >

At blive dømt i forbindelse med at have indtastet URL(s) og intet andet er
da latterligt, forsæt eller ej. Vil man holde noget skjult må man sku gøre
det lidt sværere at få fat på. (A la Dagen reklamerne i S-togene, tag ikke
denne avis. Tyveridom til ham der gør det?)



Bertel Lund Hansen (30-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 30-10-02 07:01

Carl skrev:

>At blive dømt i forbindelse med at have indtastet URL(s) og intet andet er
>da latterligt

Sådan kan man ikke sige det. Det er f.eks. heller ikke latterligt
hvis man bliver dømt for at have brugt en køkkenkniv. Det kommer
faktisk an på hvad formålet med og resultatet af handlingen var.

Men generelt forholder man sig i juragruppen blot til hvad der
kan ske rent juridisk, og ikke så meget til om det er smart,
latterligt eller rimeligt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Knud Thomsen (30-10-2002)
Kommentar
Fra : Knud Thomsen


Dato : 30-10-02 07:17

Bertel Lund Hansen wrote:
||
|| Men generelt forholder man sig i juragruppen blot til hvad der
|| kan ske rent juridisk, og ikke så meget til om det er smart,
|| latterligt eller rimeligt.
||

En typisk kommentar fra Bertel, som har fjernet sit fuldstændig fra den
virkelige verden. Naturligvis er man -udover lidt paragrafhenvisning - nødt
til at sætte hændelsen ind i en virkelighed verden og fortolke reglen i
henhold til det.

Venlig hilsen
Knud


Christian Andersen (30-10-2002)
Kommentar
Fra : Christian Andersen


Dato : 30-10-02 10:34

Knud Thomsen wrote:

> En typisk kommentar fra Bertel, som har fjernet sit fuldstændig fra den
> virkelige verden.

Troll.

FUT: dk.admin.netikette

--
..signature

Povl H. Pedersen (30-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-10-02 07:36

In article <a8turuk07boi72341crl85g6bf35rjqjhi@news.telia.dk>, Bertel Lund Hansen wrote:
> Carl skrev:
>
>>At blive dømt i forbindelse med at have indtastet URL(s) og intet andet er
>>da latterligt
>
> Sådan kan man ikke sige det. Det er f.eks. heller ikke latterligt
> hvis man bliver dømt for at have brugt en køkkenkniv. Det kommer
> faktisk an på hvad formålet med og resultatet af handlingen var.
>
> Men generelt forholder man sig i juragruppen blot til hvad der
> kan ske rent juridisk, og ikke så meget til om det er smart,
> latterligt eller rimeligt.
>
Hvis love bliver tolket "latterligt", så skader det jo den
lovgivende magt, og dermed minimeres lovens forventede restlevetid.

Derfor er en lovs latterlighedsfaktor til en hvis grad relevant.
Dommere tænker vel også på hvad der er ret og rimeligt, da alle
forbrydere ellers ville få samme straf for samme kriminelle
forhold. Domsudmålingen er hvor det latterlige/rimelige kommer ind.

Bertel Lund Hansen (30-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 30-10-02 19:20

Povl H. Pedersen skrev:

>Hvis love bliver tolket "latterligt", så skader det jo den
>lovgivende magt, og dermed minimeres lovens forventede restlevetid.

Måske. Det er en politisk problemstilling.

>Derfor er en lovs latterlighedsfaktor til en hvis grad relevant.

Ikke juridisk.

>Dommere tænker vel også på hvad der er ret og rimeligt, da alle
>forbrydere ellers ville få samme straf for samme kriminelle
>forhold.

Ja, men i en mere stram betydning af "rimeligt". Der er nemlig
udstukket rammer for hvor meget de må vurdere, og de kan ikke
nægte at følge en paragraf som de (privat) måtte finde urimelig.
De kan kun vælge at dømme så mildt efter den som muligt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kasper Dupont (30-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 30-10-02 07:44

"Povl H. Pedersen" wrote:
>
> På andre sites hvor jeg kommer hen via en søgemaskine retter
> jeg ofte også i URL'en ved at pille directories af,

Der findes faktisk browsere, der gør det automatisk, hvis man
klikker på "niveau op" knappen mellem frem og tilbage knaperne.

Jeg kan ikke se noget forkert i den handling, hvis man kommer
ind via en søgemaskine, er det nogen gange den eneste måde at
komme videre til resten af sitets sider.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Digit (30-10-2002)
Kommentar
Fra : Digit


Dato : 30-10-02 08:42

"Kasper Dupont" ræsonnerede, og skrev d. 30 okt 2002:

>> På andre sites hvor jeg kommer hen via en søgemaskine retter
>> jeg ofte også i URL'en ved at pille directories af,

> Der findes faktisk browsere, der gør det automatisk, hvis man
> klikker på "niveau op" knappen mellem frem og tilbage knaperne.
>
> Jeg kan ikke se noget forkert i den handling, hvis man kommer
> ind via en søgemaskine, er det nogen gange den eneste måde at
> komme videre til resten af sitets sider.

Ja, jeg må også indrømme at jeg har gjort mig skyldig i "hacking" *mange*
gange. Typisk med helt friske sites hvor nogle links eventuelt peger et
forkert sted hen, måske en forkert endelse, eller som andre nævner "dir
diving".
Min "sunde fornuft" slår virkelig med alarmklokkerne hvis gældende
lovgivning benævner dette hacking.

Dette cementerer blot vigtigheden i at køre igennem non-transparente
proxies (det ændrer dog ikke på det faktum at lovgivningen stinker, mildest
talt).


--
/Digit

»The enigma lies broken
Searching for those precious moments
Reaching for a higher of existence
Like a newborn migrant in the void«
Dimmu Borgir

Jakob Paikin (30-10-2002)
Kommentar
Fra : Jakob Paikin


Dato : 30-10-02 08:49

On 30 Oct 2002 07:41:46 GMT, Digit <Digit@Gnaveren.invalid> wrote:

>Min "sunde fornuft" slår virkelig med alarmklokkerne hvis gældende
>lovgivning benævner dette hacking.

Det helt afgørende ord i definitionen er "uberettiget".

Hvis en webmaster har lavet en slåfejl i et internt link og du
korrigerer ved direkte indtastning i din browser, er det ikke
uberettiget at du får adgang til oplysningen - den var jo tiltænkt at
være offentlig.

Det overrasker mig gang på gang, at så mange brugere i denne gruppe
tror, at der findes svar af typen "MP3-filer er ulovlige",
"indtastning af en URL er ulovligt" osv.

Der er ingen regler, der forbyder/tillader bestemte teknologier eller
fremgangsmåder - det er hensigten bag, der er afgørende.


--
Jakob Paikin, advokat
Advokatkontoret Fabritius Tengnagel & Heine. www.dklaw.dk

Bemærk at ovenstående ikke er egentlig advokatrådgivning, samt i øvrigt er min personlige opfattelse og ikke nødvendigvis advokatkontorets.

Digit (30-10-2002)
Kommentar
Fra : Digit


Dato : 30-10-02 09:12

"Jakob Paikin" ræsonnerede, og skrev d. 30 okt 2002:

>>Min "sunde fornuft" slår virkelig med alarmklokkerne hvis gældende
>>lovgivning benævner dette hacking.

klip
> Det overrasker mig gang på gang, at så mange brugere i denne gruppe
> tror, at der findes svar af typen "MP3-filer er ulovlige",
> "indtastning af en URL er ulovligt" osv.
>
> Der er ingen regler, der forbyder/tillader bestemte teknologier eller
> fremgangsmåder - det er hensigten bag, der er afgørende.

Ja, ok.
Jeg er dog stadig af den mening at "uberettiget adgang" er for løst
defineret. Eks. har jeg nogle gange været ude for at adgangbegrænsede
(user/password) sites alligevel kan "gennemtrænges" vhja. et enkelt link
(de såkaldte "backdoors") fordi webmaster ikke har konfigureret det hele
godtnok. Det kunne være Site > User/Pass > dir > x.jpg. Man kunne så
eventuelt have held med linket http://domain.country/dir/x.jpg (og ellers
ændre værdien 'x' for at se andre billeder). Nu får jeg sikkert hele
salven med at det svarer til at man "stjæler fra grønthandleren fordi
denne har udstillet hans varer på udsat måde/ikke er tilstede", men det
kan jo ikke sammenlignes; ved grønthandleren vil jeg sandsynligvis løbe
for livet med hele pøbelen efter mig, hvor jeg hjemme ved computeren
sidder i min stue -i sikkerhed- og surfer med et klik fra musen. Skal
dette overføres til grønthandleren og hans eftertragtede æbler, vil det
svare til at jeg kan gå hen, tage et og gå igen uden nogen form for
umiddelbar konsekvens.

Ovenstående er selvfølgelig et udtryk for mine politiske
overbevisninger... og har næppe meget at gøre i d.v.j, men tak for
svaret.

--
/Digit

»The enigma lies broken
Searching for those precious moments
Reaching for a higher of existence
Like a newborn migrant in the void«
Dimmu Borgir

Peter G C (30-10-2002)
Kommentar
Fra : Peter G C


Dato : 30-10-02 09:47

"Digit" <Digit@Gnaveren.invalid> skrev i en meddelelse
news:Xns92B75D0AA33FEDigit0wnYou@Utopia.Dk...

[klip]

> Ja, ok.

Godt.

> Jeg er dog stadig af den mening at "uberettiget adgang" er for løst
> defineret.

Det er ligegyldigt, hvad du mener.

Uberettiget er slet ikke så svært at arbejde med. Reuters var ikke
berettiget til at hente regnskabet, da det endnu ikke var offentliggjort.

[klip]

> Ovenstående er selvfølgelig et udtryk for mine politiske
> overbevisninger... og har næppe meget at gøre i d.v.j, men tak for
> svaret.

Hvorfor skulle vi så læse det?

/Peter



Digit (30-10-2002)
Kommentar
Fra : Digit


Dato : 30-10-02 09:57

"Peter G C" ræsonnerede, og skrev d. 30 okt 2002:

>> Jeg er dog stadig af den mening at "uberettiget adgang" er for løst
>> defineret.
>
> Det er ligegyldigt, hvad du mener.

Når du nu siger det...

>> Ovenstående er selvfølgelig et udtryk for mine politiske
>> overbevisninger... og har næppe meget at gøre i d.v.j, men tak for
>> svaret.

> Hvorfor skulle vi så læse det?

Der er skam heller ingen som tvinger dig mester.

EOD.

--
/Digit

»The enigma lies broken
Searching for those precious moments
Reaching for a higher of existence
Like a newborn migrant in the void«
Dimmu Borgir

Thomas W. (30-10-2002)
Kommentar
Fra : Thomas W.


Dato : 30-10-02 11:43


"Digit" <Digit@Gnaveren.invalid> wrote in message
news:Xns92B764B513701Digit0wnYou@Utopia.Dk...
> "Peter G C" ræsonnerede, og skrev d. 30 okt 2002:

> >> Ovenstående er selvfølgelig et udtryk for mine politiske
> >> overbevisninger... og har næppe meget at gøre i d.v.j, men tak for
> >> svaret.
>
> > Hvorfor skulle vi så læse det?
>
> Der er skam heller ingen som tvinger dig mester.

Men var det tvingende nødvendigt at skrive det, når nu du vidste at det var
OT?

> EOD.

Jo tak.

/Thomas W.



Jesper Nielsen (30-10-2002)
Kommentar
Fra : Jesper Nielsen


Dato : 30-10-02 11:55


"Peter G C" <pgc@FJERNDETTEnospam.dk> skrev i en meddelelse
news:3dbf9c48$0$97608$edfadb0f@dspool01.news.tele.dk...
>
> Uberettiget er slet ikke så svært at arbejde med. Reuters var ikke
> berettiget til at hente regnskabet, da det endnu ikke var offentliggjort.


Jeg tror, at man skal vende sagen om istedet!
At lægge et HTML.dokument op på en offentligt tilgængelig server må være at
betragte som offentliggørelse.

Selvom dokumentet er lagt op uden direkte links til at pege på det, er det
offentligtgjort, da enhver kan få tilgang til det via en søgemaskine som
Google.

Om journalisten har fået adgang ved at gætte på URL's er ligegyldigt.
Han kunne oxo have fundet vej via Google.

Fejlen ligger hos den webansvarlige i det pågældende firma, der har
offentliggjort regnskabet for tidligt.
Men da det sandsynligvis ikke var med forsæt, at handlingen blev gjort men
på grund af uagtsomhed, er det næppe en strafbar handling.

Hacking er at tiltvinge sig adgang til ikke offentliggjorte edbdata.
Data beliggende på en offentligt tilgængelig server uden beskyttelse i form
af Password eller lign. er altså offentligt tilgængeligt, og dermed
offentliggjorte.

--
Mvh

Jesper Nielsen
aka
Frodo Nifinger



Henrik Bøgh (30-10-2002)
Kommentar
Fra : Henrik Bøgh


Dato : 30-10-02 12:23

Jesper Nielsen wrote in dk.videnskab.jura:

[...]

> Selvom dokumentet er lagt op uden direkte links til at pege på det, er det
> offentligtgjort, da enhver kan få tilgang til det via en søgemaskine som
> Google.

Og hvordan skulle Google så finde det hvis der ingen links er til det?
Google er (selv om den er god) ikke i stand til at spå. Når du kan finde
sider på Google som der ikke umiddelbart er links til er det fordi der
linkes til dem fra et andet site eller der har eksisteret links til dem på
sitet.

[...]

> Jesper Nielsen

--
Med Venlig Hilsen
H e n r i k B ø g h | http://lagengymnastik.dk/~henrik/?usenet
"Why don't we listen anymore?"
-- Clyde Prestowitz


Jørgen L Sørensen (03-11-2002)
Kommentar
Fra : Jørgen L Sørensen


Dato : 03-11-02 00:15

Henrik Bøgh skrev:

>
>Og hvordan skulle Google så finde det hvis der ingen links er til det?
>Google er (selv om den er god) ikke i stand til at spå. Når du kan finde
>sider på Google som der ikke umiddelbart er links til er det fordi der
>linkes til dem fra et andet site eller der har eksisteret links til dem på
>sitet.
>

Ved ikke hvordan Google indexerer, men jeg ved at Altavista (en anden
søgemaskine) i hvert fald tidligere gik ud fra roden på et website. Om
den så fulgte links ned i systemet ved jeg ikke - man kunne vel også
forestille sig en søgemaskine der listede alle dokumenter i en mappe
hvor "directory indexing" ikke er blokeret ved f.eks. at tage et link
og så cutte alt efter den sidste skråstreg (slash)...

Blot et par strøtanker til at underbygge at man vel må betragte
dokumenter lagt op på en webserver som værende udgivet (for en større
eller mindre kreds afhængig af om der der kræves brugernavn og
adgangskode).

Jeg tør i hvert fald ikke lægge noget op på en webserver før end det
må være tilgængeligt

Bemærk at jeg ikke tager stilling til lovligheden af brugen af sådant
materiale
- og jeg er heller ikke jura-kyndig

--
mvh
Jørgen Linde Sørensen
(min mailadresse er gyldig som anført
- i hvert fald da dette indlæg blev postet

Bertel Lund Hansen (03-11-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 03-11-02 00:49

Jørgen L Sørensen skrev:

>Ved ikke hvordan Google indexerer, men jeg ved at Altavista (en anden
>søgemaskine) i hvert fald tidligere gik ud fra roden på et website.

Den kan gå ud fra lige hvad det skal være, men da der på 99,9 %
af serverne ikke er adgang til en filliste i et katalog, ville
det tage lang tid at gætte filer i blot ét katalog - hvis man
altså fik lov.

>Jeg tør i hvert fald ikke lægge noget op på en webserver før end det
>må være tilgængeligt

Værsgo at finde min hemmelige fil på min hjemmeside.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kasper Dupont (30-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 30-10-02 12:28

Jesper Nielsen wrote:
>
> "Peter G C" <pgc@FJERNDETTEnospam.dk> skrev i en meddelelse
> news:3dbf9c48$0$97608$edfadb0f@dspool01.news.tele.dk...
> >
> > Uberettiget er slet ikke så svært at arbejde med. Reuters var ikke
> > berettiget til at hente regnskabet, da det endnu ikke var offentliggjort.
>
> Jeg tror, at man skal vende sagen om istedet!
> At lægge et HTML.dokument op på en offentligt tilgængelig server må være at
> betragte som offentliggørelse.
>
> Selvom dokumentet er lagt op uden direkte links til at pege på det, er det
> offentligtgjort, da enhver kan få tilgang til det via en søgemaskine som
> Google.

Søgemaskinen kan jo kun finde dokumentet, hvis der er links til det.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Niels Callesøe (30-10-2002)
Kommentar
Fra : Niels Callesøe


Dato : 30-10-02 12:49

Kasper Dupont wrote:

> Søgemaskinen kan jo kun finde dokumentet, hvis der er links til det.

Som andre har påpeget tidligere, kunne et sådant dokument sagtens blive
indekseret via en "Referer"-header..

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Nu med mere bitter disclaimer.

Bertel Lund Hansen (30-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 30-10-02 19:24

Niels Callesøe skrev:

>Som andre har påpeget tidligere, kunne et sådant dokument sagtens blive
>indekseret via en "Referer"-header..

.... som med rimelighed kan kaldes et link.

Jeg giver hermed (igen) enhver tilladelse til at læse det lille
dokument som jeg for ca. 6 år siden lagde frem på min hjemmeside.
Det ligger implicit i tilladelsen at ethvert forsøg på at gætte
en URL vil være lovligt (nu er det så eksplicit).

Der er ingen links til dokumentet og har aldrig været det.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Karsten Jensen (30-10-2002)
Kommentar
Fra : Karsten Jensen


Dato : 30-10-02 20:22

On Wed, 30 Oct 2002 12:28:01 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>Søgemaskinen kan jo kun finde dokumentet, hvis der er links til det.

Har der ikke netop været en tidl. snak om at eks. Google godt kan
finde dokumenter eks. via databaser - der ikke er links til...

--

Med venlig hilsen fra

Karsten Jensen
k-j@direkte.org

F.Larsen (30-10-2002)
Kommentar
Fra : F.Larsen


Dato : 30-10-02 20:44

"Karsten Jensen" <k-j_no_spamming@direkte.org> wrote in message
news:59c0su8e38lh5majarj1e42lkem6pfucd1@4ax.com...
> On Wed, 30 Oct 2002 12:28:01 +0100, Kasper Dupont
> <kasperd@daimi.au.dk> wrote:
>
> >Søgemaskinen kan jo kun finde dokumentet, hvis der er links til det.
>
> Har der ikke netop været en tidl. snak om at eks. Google godt kan
> finde dokumenter eks. via databaser - der ikke er links til...

Hvordan ?

--
Flemming




rasmus carlsen (30-10-2002)
Kommentar
Fra : rasmus carlsen


Dato : 30-10-02 09:45

Det er ret interessant ... lad os antage, at journlaisten (eller en anden)
på den måde får fat i årsregnskabet og ser, at det går helt ad helvede til
for virksomheden ... en uge senere udkommer så det officielle regnsab, men
det er et helt andet og meget sminket regnskab ... så har man vel nærmest
pligt til at offentliggøre det regnsakb, man har fået fat i ved at indtaste
en URL ...Ikke??


ras



Kasper Dupont (30-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 30-10-02 11:22

rasmus carlsen wrote:
>
> Det er ret interessant ... lad os antage, at journlaisten (eller en anden)
> på den måde får fat i årsregnskabet og ser, at det går helt ad helvede til
> for virksomheden ... en uge senere udkommer så det officielle regnsab, men
> det er et helt andet og meget sminket regnskab ... så har man vel nærmest
> pligt til at offentliggøre det regnsakb, man har fået fat i ved at indtaste
> en URL ...Ikke??

Men allerede inden det officielle regnskab udkommer har journalisten solgt
alle sine aktier i virksomheden.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

rasmus carlsen (30-10-2002)
Kommentar
Fra : rasmus carlsen


Dato : 30-10-02 14:35


> Men allerede inden det officielle regnskab udkommer har journalisten solgt
> alle sine aktier i virksomheden.

hehe ja ... det er der faktisk en journalist på BT, der kom grueligt galt
afsted med for nogle år siden ...

ras



Bertel Lund Hansen (30-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 30-10-02 19:26

rasmus carlsen skrev:

>Det er ret interessant ... lad os antage, at journlaisten (eller en anden)
>på den måde får fat i årsregnskabet og ser, at det går helt ad helvede til
>for virksomheden ... en uge senere udkommer så det officielle regnsab, men
>det er et helt andet og meget sminket regnskab ... så har man vel nærmest
>pligt til at offentliggøre det regnsakb, man har fået fat i ved at indtaste
>en URL ...Ikke?

Nej.

Hvis du (stadig) mener noget andet, må du henvise til den
paragraf der pålægger folk den pligt.

En journalist kan føle sig moralsk forpligtet til at gøre det, og
han kan evt. også vinde respekt derved, men han må tage sin straf
i stiv arm.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Jesper (30-10-2002)
Kommentar
Fra : Jesper


Dato : 30-10-02 22:38

Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:

> Reuters er i Sverige nu på anklagebænken fordi de
> på Intentias hjemmeside har indtastet en URL som gave
> dem adgang til årsregnskabet for det forgangne regnskabsår
> inden det reelt blev offentliggjort.
>
> Derfor er mit spørgsmål her:
> Er det ulovligt, såfremt man ikke kan finde links i menuerne,
> at gætte sig frem til URL'er ? F.eks. udskifte et årstal i
> en URL med en anden ?
>
> Det skal her nævnes, at Reuters medarbejderen vidste at det
> var dagen for regnskabets offentliggørelse, så han har
> ikke nødvendigvis haft ond hensigt.
>
> Hvor meget må man rette i sine URL'er ? Må man kun gå til
> sine bookmarks og enkelte publicerede URL'er ? Der var
> jo Valus URL'er man ikke måtte gå til.

Det kommer an på hvad der står i URL'en, hvis du prøver med en URL der
hedder
http://www.servernavn.dk/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c
+dir+c:\
der har til formål at aktivere kommandopromten på en Windows server og
give dig en liste over hvad der ligger på rodniveau på C drevet er det
klart forbudt og forsøg på at hacke serveren.
--
Jesper myem@il -> lustmagnet {at} sexmagnet [dot] com

It said "Insert disk #3", but only 2 will fit!

Peder Vendelbo Mikke~ (31-10-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 31-10-02 00:30

Jesper skrev:

> Det kommer an på hvad der står i URL'en, hvis du prøver med en URL
> der hedder
> http://www.servernavn.dk/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+dir+c:\
> der har til formål at aktivere kommandopromten på en Windows server
> og give dig en liste over hvad der ligger på rodniveau på C drevet er
> det klart forbudt og forsøg på at hacke serveren.

Hmm, skriver du dermed at serverejere som blev inficeret med Nimda [1]
rent faktisk har gjort noget ulovligt?

Eller skriver du, at det gør en forskel om det er en maskine som af-
vikler en automatisk kommando eller om det er et menneske der af-
vikler samme kommando?

Hvordan ser det så ud, for de personer som har opsat automatik til at
forsøge at gøre Nimda-inficerede serverejere opmærksom på at de var
blevet inficeret? (automatisk søgefunktion ud fra hvad besøgende på
en webserver forsøger at gøre med URLs (ud fra ideen om at Nimda-infi-
cerede maskiner er så dårligt opsatte at de tillader at man kan f.eks.
få en dialogboks til at springe frem på serveren, så administratoren
kan se den næste gang hun logger på og muligvis anspore vedkommende
til at rette fejlen))

[1] Nimda-viraen bruger ikke et domænenavn men en IP-adresse. Nimda
bruger bl.a. en kommande som minder om den du nævner.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >


Jesper (31-10-2002)
Kommentar
Fra : Jesper


Dato : 31-10-02 01:08

Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:

> Jesper skrev:
>
> > Det kommer an på hvad der står i URL'en, hvis du prøver med en URL der
> > hedder
> > http://www.servernavn.dk/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c
> > +dir+c:\ der har til formål at aktivere kommandopromten på en Windows
> > server og give dig en liste over hvad der ligger på rodniveau på C
> > drevet er det klart forbudt og forsøg på at hacke serveren.
>
> Hmm, skriver du dermed at serverejere som blev inficeret med Nimda [1]
> rent faktisk har gjort noget ulovligt?

Kun hvis man er klar over at ens computer er inficeret og så ikke
stopper angrebet.
>
> Eller skriver du, at det gør en forskel om det er en maskine som af-
> vikler en automatisk kommando eller om det er et menneske der af-
> vikler samme kommando?

Det afhænger jo af om du har slt maskinen til det eller om det sker uden
din viden.
>
> Hvordan ser det så ud, for de personer som har opsat automatik til at
> forsøge at gøre Nimda-inficerede serverejere opmærksom på at de var
> blevet inficeret? (automatisk søgefunktion ud fra hvad besøgende på
> en webserver forsøger at gøre med URLs (ud fra ideen om at Nimda-infi-
> cerede maskiner er så dårligt opsatte at de tillader at man kan f.eks.
> få en dialogboks til at springe frem på serveren, så administratoren
> kan se den næste gang hun logger på og muligvis anspore vedkommende
> til at rette fejlen))

Uautorisert adgang er uatoriseret adgang, du kan finde ud af hvem der
kontrollere IP adressen ved WHOIS protokollen og så kontakte firmaet
eller udbyderen, det er sådan som det skal håndteres efter bogen.
>
> [1] Nimda-viraen bruger ikke et domænenavn men en IP-adresse. Nimda
> bruger bl.a. en kommande som minder om den du nævner.

Ja det er muligt, det er kun stien der står i min Apache access_log fil.
--
Jesper myem@il -> lustmagnet {at} sexmagnet [dot] com

It said "Insert disk #3", but only 2 will fit!

Kasper Dupont (31-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-10-02 07:26

Jesper wrote:
>
> Uautorisert adgang er uatoriseret adgang, du kan finde ud af hvem der
> kontrollere IP adressen ved WHOIS protokollen og så kontakte firmaet
> eller udbyderen, det er sådan som det skal håndteres efter bogen.

Der står ikke altid en email addresse i whois databasen, og selv
hvis der gør kan den ikke altid bruges. Og hvis man så endelig er
så heldig at finde en brugbar email addresse kan man ikke forvente,
at der bliver reageret på den.

> >
> > [1] Nimda-viraen bruger ikke et domænenavn men en IP-adresse. Nimda
> > bruger bl.a. en kommande som minder om den du nævner.
>
> Ja det er muligt, det er kun stien der står i min Apache access_log fil.

Ja, men hvis man har virtuelle domæner vil man se, at de alle går
til default domænets logfil.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Klaus Ellegaard (31-10-2002)
Kommentar
Fra : Klaus Ellegaard


Dato : 31-10-02 08:14

Kasper Dupont <kasperd@daimi.au.dk> writes:

>Der står ikke altid en email addresse i whois databasen, og selv
>hvis der gør kan den ikke altid bruges. Og hvis man så endelig er
>så heldig at finde en brugbar email addresse kan man ikke forvente,
>at der bliver reageret på den.

Indeed. Mange større firmaer og ISPer ignorerer (med rette) mails
sendt til de adresser, hvis de ikke helt specifikt handler om det,
WHOIS-databasen er oprettet for.

RFC2142 siger faktisk, at abuse@ skal virke. Gør den ikke det, er
rfc-ignorant.org ens nye ven.

Mvh.
   Klaus.

Kasper Dupont (31-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-10-02 08:58

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >Der står ikke altid en email addresse i whois databasen, og selv
> >hvis der gør kan den ikke altid bruges. Og hvis man så endelig er
> >så heldig at finde en brugbar email addresse kan man ikke forvente,
> >at der bliver reageret på den.
>
> Indeed. Mange større firmaer og ISPer ignorerer (med rette) mails
> sendt til de adresser, hvis de ikke helt specifikt handler om det,
> WHOIS-databasen er oprettet for.

Og hvad er det så? Og hvor skal man rapportere misbrug,
når man kun kender en IP addresse?

>
> RFC2142 siger faktisk, at abuse@ skal virke.

Men hvilket domæne skal man skrive bagefter? Jeg kender
kun en IP addresse, og jeg prøvede skam med abuse og
det domæne, der stod i whois. Det virkede heller ikke.

> Gør den ikke det, er rfc-ignorant.org ens nye ven.

Den vil jeg kigge lidt mere på ved lejlighed.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Klaus Ellegaard (31-10-2002)
Kommentar
Fra : Klaus Ellegaard


Dato : 31-10-02 09:38

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Indeed. Mange større firmaer og ISPer ignorerer (med rette) mails
>> sendt til de adresser, hvis de ikke helt specifikt handler om det,
>> WHOIS-databasen er oprettet for.

>Og hvad er det så? Og hvor skal man rapportere misbrug,
>når man kun kender en IP addresse?

RIPE siger:

inetnum: 213.237.1.0 - 213.237.43.255
netname: WOLDK
descr: Tiscali Denmark A/S
descr: Customers
country: DK
admin-c: TISC1-RIPE
tech-c: TISC1-RIPE
....

Så vil det jo være naturligt at tage fat i TISC1-RIPE og se hvad
den siger:

role: Tiscali Denmark Ripe Contact
...
e-mail: ripe@dq.tiscali.com
...
remarks: +------------------------------------------------------+
remarks: | |
remarks: | PLEASE USE abuse@tiscali.dq FOR ABUSE COMPLAINTS |
remarks: | |
remarks: | Please notice all complaints regarding abuse which |
remarks: | are sent to other email addresses WILL BE IGNORED! |
remarks: | |
remarks: +------------------------------------------------------+

Her har du jo så en fin instruktion i, hvor du skal henvende dig
(hvilket jo ikke er særligt mystisk iht. RFC2142). Dog kan man
også - igen iht. RFC2142 - skrive til abuse@dq.tiscali.com og en
gigantisk liste af andre domæner.

Men altså: abuse@domæne - både tiscali.dk, dk.tiscali.com og
wol.dk står nævnt i RIPE-objekterne og virker naturligvis.

Det samme detektivarbejde må man lave på andre adresser, man kan
finde i RIR-baserne. Det er næppe helt så nemt altid.

>Men hvilket domæne skal man skrive bagefter? Jeg kender
>kun en IP addresse, og jeg prøvede skam med abuse og
>det domæne, der stod i whois. Det virkede heller ikke.

Så må man have gang i noget snailmail. Der er jo en postadresse
på alle objekterne. Og hvis man ikke mener, det er pengene værd,
har ens klage næppe været særlig alvorligt ment.

Mvh.
   Klaus.

Kasper Dupont (31-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-10-02 14:21

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >> Indeed. Mange større firmaer og ISPer ignorerer (med rette) mails
> >> sendt til de adresser, hvis de ikke helt specifikt handler om det,
> >> WHOIS-databasen er oprettet for.
>
> >Og hvad er det så? Og hvor skal man rapportere misbrug,
> >når man kun kender en IP addresse?
>
> RIPE siger:
>
> inetnum: 213.237.1.0 - 213.237.43.255
> netname: WOLDK
> descr: Tiscali Denmark A/S
> descr: Customers
> country: DK
> admin-c: TISC1-RIPE
> tech-c: TISC1-RIPE
> ...
>
> Så vil det jo være naturligt at tage fat i TISC1-RIPE og se hvad
> den siger:
>
> role: Tiscali Denmark Ripe Contact
> ..
> e-mail: ripe@dq.tiscali.com
> ..
> remarks: +------------------------------------------------------+
> remarks: | |
> remarks: | PLEASE USE abuse@tiscali.dq FOR ABUSE COMPLAINTS |
> remarks: | |
> remarks: | Please notice all complaints regarding abuse which |
> remarks: | are sent to other email addresses WILL BE IGNORED! |
> remarks: | |
> remarks: +------------------------------------------------------+

Hvis alle udbydere havde så let forståelige instruktioner i
deres whois records ville der ikke være noget problem. Men
det er jo ikke tilfældet.

>
> Så må man have gang i noget snailmail. Der er jo en postadresse
> på alle objekterne. Og hvis man ikke mener, det er pengene værd,
> har ens klage næppe været særlig alvorligt ment.

Jeg vil ikke ofre penge på et frimærke hver gang jeg ser en
maskine, der er inficeret med en orm eller bliver brugt til
udsendelse af spam. Men jeg mener da stadigvæk det er
alvorligt, når nogen f.eks. prøver på at bruge min computer
til relay for 50 000 000 spammails.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Lasse Reichstein Nie~ (31-10-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 31-10-02 03:11

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> writes:

> Jesper skrev:
>
> > Det kommer an på hvad der står i URL'en, hvis du prøver med en URL
> > der hedder
> > http://www.servernavn.dk/scripts/.%252e/.%252e/winnt/system32/cmd.exe?/c+dir+c:\
> > der har til formål at aktivere kommandopromten på en Windows server
> > og give dig en liste over hvad der ligger på rodniveau på C drevet er
> > det klart forbudt og forsøg på at hacke serveren.
>
> Hmm, skriver du dermed at serverejere som blev inficeret med Nimda [1]
> rent faktisk har gjort noget ulovligt?

Nej.

> Eller skriver du, at det gør en forskel om det er en maskine som af-
> vikler en automatisk kommando eller om det er et menneske der af-
> vikler samme kommando?

Afgjort! Det er hensigten der bestemmer om det er ulovligt. Computeren
har ikke en hensigt.
Hvad en persons maskine gør uden hans vidende er han ikke ansvarlige
over for (med mindre han selvfølgelig handler groft uagtsomt).
Hvad han selv gør, er han ansvarlig for.

> Hvordan ser det så ud, for de personer som har opsat automatik til at
> forsøge at gøre Nimda-inficerede serverejere opmærksom på at de var
> blevet inficeret? (automatisk søgefunktion ud fra hvad besøgende på
> en webserver forsøger at gøre med URLs (ud fra ideen om at Nimda-infi-
> cerede maskiner er så dårligt opsatte at de tillader at man kan f.eks.
> få en dialogboks til at springe frem på serveren, så administratoren
> kan se den næste gang hun logger på og muligvis anspore vedkommende
> til at rette fejlen))

De er i en gråzone. Hvis de bruger en bagdør efterladt af Nimda til at
gøre noget på den angribende computer, så har de teknisk set nok gjort
noget ulovligt (de har ikke lov til at køre programmer på andres
computere). Det er nok en formildende omstændighed at de gør det for
at hjælpe, og ikke udnytter hullet.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Larz (31-10-2002)
Kommentar
Fra : Larz


Dato : 31-10-02 03:38

Lasse Reichstein Nielsen wrote:

> Det er hensigten der bestemmer om det er ulovligt.

Det vil sige at jeg begår en ulovlighed når jeg:

a) Går ind på www.scientology.com med den hensigt at mit besøg på siden
sletter al deres data og crasher webserveren. (Det sker ikke men det
VAR altså min hensigt).

b) Tror at det er umuligt at min netbank kan være så dumme at man kan
udføre ting på deres sql server så jeg aktiverer:
www.bank.dk/konto?transaktionsid=1;delete from transactions
Hov! Det var tilfældet! De VAR virkelig så dumme. Ooops.

c) Coca-Cola har ved en fejl lagt deres opskrift på deres vidunderlige
drik ud på en ubeskyttet side, og jeg får fat på den ved
tilfældigvis at skrive: www.coca-cola.com/recipe - De sagsøger mig.

Måske man også skulle gå i seng... ;P

--
-
Lars
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ
To mail me remove your pants.


Lasse Reichstein Nie~ (31-10-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 31-10-02 03:53

Larz <lp@your-pants.coder.dk> writes:

> Lasse Reichstein Nielsen wrote:
>
> > Det er hensigten der bestemmer om det er ulovligt.

> Det vil sige at jeg begår en ulovlighed når jeg:
>
> a) Går ind på www.scientology.com med den hensigt at mit besøg på siden
> sletter al deres data og crasher webserveren. (Det sker ikke men det
> VAR altså min hensigt).

Hvis du havde grund til at tro at det kunne være konsekvensen, så vil
jeg mene ja. At du blot ønsker det skal ske og så går ind på siden, er
ikke forskelligt fra at ønske det og brygge kaffe, hvis du ikke regner
med at det er farligere for siden at skrive URL'en end at brygge
kaffen.

> b) Tror at det er umuligt at min netbank kan være så dumme at man kan
> udføre ting på deres sql server så jeg aktiverer:
> www.bank.dk/konto?transaktionsid=1;delete from transactions
> Hov! Det var tilfældet! De VAR virkelig så dumme. Ooops.

Hvis du skrver det, vel vidende at det potentielt kan skade, det vil
jeg mene mindst er groft uagtsomt. Der var trods alt intet formål med
at skrive det ud over at se om du kunne slette en transaktion.

Det er måske formildende at du ikke tror på det, men hvorfor gjorde du
det så? Det er ikke dit job at lave forsøg med andres maskine.

> c) Coca-Cola har ved en fejl lagt deres opskrift på deres vidunderlige
> drik ud på en ubeskyttet side, og jeg får fat på den ved
> tilfældigvis at skrive: www.coca-cola.com/recipe - De sagsøger mig.

Hvis du skrev det med den hensigt at få fat i en information, som du
vidste de ikke ville have offentliggjort, så er det nok ulovligt. Hvis
du ville have skrevet www.coca-cola.com/recipe/kyllingicola.html, men
trykkede return for tidligt, så er det ikke ulovligt ... med mindre du
ved at du er et sted du ikke må være (HEMMELIGT, MÅ IKKE
OFFENTLIGGØRES med store, uvenlige røde bogstaver kan være et hint) og
alligevel blive ved med at læse.

> Måske man også skulle gå i seng... ;P

Hvad? Søvn er overvurderet! Men jeg tror jeg stjæler idéen (det må jeg
godt, den er ikke patenteret :))

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Kasper Dupont (01-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 01-11-02 09:32

Lasse Reichstein Nielsen wrote:
>
> (HEMMELIGT, MÅ IKKE
> OFFENTLIGGØRES med store, uvenlige røde bogstaver kan være et hint) og
> alligevel blive ved med at læse.

Hvis jeg så den tekst i overskriften på en webside ville jeg ikke tro på
det. Jeg tror også det er løgn hver gang jeg modtager en email med ordet
confidential i emnelinien.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Kasper Dupont (31-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-10-02 07:40

Lasse Reichstein Nielsen wrote:
>
> Afgjort! Det er hensigten der bestemmer om det er ulovligt. Computeren
> har ikke en hensigt.

Det bliver en interesant problemstiling den dag, det lykkes at
lave et intelligent program med sin egen vilje.

>
> De er i en gråzone. Hvis de bruger en bagdør efterladt af Nimda til at
> gøre noget på den angribende computer, så har de teknisk set nok gjort
> noget ulovligt (de har ikke lov til at køre programmer på andres
> computere).

Man behøves vist ikke køre et program på computeren for at åbne en
dialogboks. Der er vist noget med, at Windows har en eller anden
protokol hvis eneste formål er, at åbne dialogbokse på andre
computere. Vil det være forbudt at sende en besked ved hjælp af den?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Jakob Paikin (31-10-2002)
Kommentar
Fra : Jakob Paikin


Dato : 31-10-02 07:54

On Wed, 30 Oct 2002 22:38:27 +0100, spam@spam.spam.invalid (Jesper)
wrote:

>Det kommer an på hvad der står i URL'en, hvis du prøver med en URL der
>hedder

En gang til: Det tekniske er ikke afgørende.

Det afgørende er, om vedkommende er berettiget eller ikke berettiget
til at få adgang til det fremmede system på den pågældende måde.

Hvis en person fra en PC indtaster din "cmd.exe"-URL for at aktivere
et prompt på sin egen server, er det klart ikke ulovligt.


--
Jakob Paikin, advokat
Advokatkontoret Fabritius Tengnagel & Heine. www.dklaw.dk

Bemærk at ovenstående ikke er egentlig advokatrådgivning, samt i øvrigt er min personlige opfattelse og ikke nødvendigvis advokatkontorets.

Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408820
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste