[linux-l] Ungeschützte Mailadressen freier Entwickler (was: GPLv3 erschienen)

[Volker Grabsch]

On Sun, Jul 01, 2007 at 04:45:37PM +0200, Steffen Dettmer wrote:
> > Ich verstehe auch nicht, warum man sich nicht auf eine Lösung gegen Spam
> > einigen kann. 
> 
> Ich glaube, dass hängt sehr viel mit Freiheit zusammen. Das Problem ist
> doch, dass man nur schlecht eine Grenze ziehen kann. Logisch geht es
> schlicht um Massenmails, klar, aber wie will man das wem nachweisen und
> so weiter?

Nein, das geht IMHO an der Sache vorbei.

Es geht nicht um die Freiheit, Mails mit beliebigem Inhalt zu versenden,
sondern um die Freiheit, Mails an beliebige Adressen zu senden. Auch
an die, die nicht um diese Mail gebeten haben. Auch an die, die sie
(höchstwahrscheinlich) nicht haben wollen.

Im kleinen Rahmen ist diese Freiheit eine sinnvolle Sache. Man will ja
in der Lage sein, wildfremde Leute anzuschreiben, weil man z.B. einen
Artikel von ihnen gut fand, zu einer Software von ihnen ne Frage hat,
etc.

Würde man diese Freiheit nicht haben wollen, wäre die technische Spam-
Lösung ganz einfach: Jeder besitzt eine Whitelist von PGP-Keys. Nur von
diesen Leuten signierte Mails werden angenommen, der Rest verworfen.

Ein damit stark verwandter Mechanismus ist der Auth-Mechanimus bei
den Instant-Messangern, d.h. dass man nur Leute anschreiben kann, die
einem vorherigen "Kontaktgesuch" zugestimmt haben. Gibt es da eine
sinnvolle Übertragung auf das Mail-System? Oder würde das gegen Spam
auch nichts helfen, und die IMs haben einfach Glück, nicht ganz so
weit verbreitet wie E-Mail zu sein?

> und zweitens funktioniert Spam. Würden einfach /alle/ die Spammer
> und verwandten "boykottieren",

Jaja, der Mythos vom mündigen Konsumenten. Genauso müsste man alle
Einkaufläden meiden, deren Gewinne an rechtsextreme Gruppe, Scientology
u.ä. gehen, genauso wie man keine Software von Quasi-Monopolisten nutzen
sollte, ausschließlich energiesparsame Waschmaschinen kaufen, u.s.w.
Das reiht sich da wunderbar mit ein.

> Das gilt fast genauso für Briefkastenwerbung.

Was Spam in dieser Hinsicht besonders macht, ist dass es auch mit extrem
geringen Rücklaufraten noch funktioniert. Daher konnte dieses Phänomen
im Gegensatz zur Briefpost besonders stark eskalieren.

> > > sie den Spidern zum Fraß vorgeworfen hat: Es war RPM-Seek. "Dank" dieses
> >  
> > > Ich weiß nicht, ob die sich inzwischen gebessert haben, aber das hat
> > > mich sehr geärgert.
> > 
> > Kann ich gut verstehen.
> 
> Ich nicht! rpmseek kann doch nichts dafür! Ein Spammer kann die
> Addressen nutzen (kann er so auch, wenn er die RPMs zieht, denkbar, oder
> DENIC abfragt oder oder oder. Nichtmal wegschmeiss-Adressen helfen
> wirklich). 

Die Argumentation zieht im normalen Datenschutz nicht. Das Zurverfügung-
stellen von persönlichen Daten ist ebenfalls ne kritische Sache.

Jeder sollte die Kontrolle darüber haben, in welchem Rahmen seine
persönlichen Daten veröffentlich werden. Ein Beispiel: Nur, weil mein
Name, Geburtsdatum, Postadresse und Mailadresse in der Abizeitung
stehen, will ich die nicht auf der Schul-Homepage sehen!

Sicher, dieser Anspruch ist im Internet nicht durchsetzbar, weil man
sich ab einem gewissen Grad an Veröffentlichung nicht mehr effektiv
dagegen wehren kann. Aber das ist kein Grund, das gutzuheißen, sowas
muss man nicht unnötig unterstützen.

Und es ist nunmal ein Unterschied, ob meine Mailadresse unter ein paar
hundert Kilobytes komprimierter Daten liegt, oder ob sie für gut
erreichbar in 20 Bytes Plaintext erreichbar ist, von allen Suchmaschinen
sauber indexiert. Es ist ein Unterschied, ob die Spamer alle Sourcecode-
Pakete erstmal runterladen und entpacken müssen, oder ob ihnen die Info
schon vorgekaut werden, durch das Zusammenspiel RPMseek+Suchmaschinen.

> rpmseek zu "verbieten" wäre genauso, wie Tools zu verbieten, weil sie
> von Hackern benutzt werden könnten, beispielsweise wie bei nmap + diesem
> komischen neue Gesetz.

Nein, darum geht es mir nicht. Nicht verbieten, nur nicht unnötig leicht
machen. RPMseek hätte z.B. die Mailadressen einfach nur ein bisschen
unkenntlich machen sollen, und wenigstens noch einen "NoIndex"-Vermerk
für die Suchmaschinen. Aber sie hatten damals nichts davon gemacht,
nicht das geringste, als ob sie sich nie darum Gedanken gemacht hätten.
Konkret bei RPM-Seek hätte es sogar gereicht, einfach gar keine E-Mail-
Adressen anzuzeigen, die braucht man für diesen Dienst eh nicht, die
Autorennamen allein hätten vollkommen gereicht.

Um auf dein Beispiel zurückzukommen: Es ist eine Sache, Portscanner
zu programmieren, aber eine andere, regelmäßig das Netz nach frisch
veröffentlichten Sicherheitslücken abzusuchen und große Listen
entsprechender IP-Adressen jedermann zur Verfügung zu stellen. Ab
besten noch mit einem Butten daneben, dass man automatisch diesen
oder jenen Standard-Schadcode in hunderte Rechner gleichzeitig
einschleust.

Natürlich kann das ein Bösewicht auch alles selbst tun, also IPs/Ports
scannen, SSH/PHP/...-Versionen überprüfen, Exploits programmieren, etc.
Aber genau darum geht es: Er muss sich erstmal diese Arbeit machen.
Das sollte man ihm auf keinen Fall abnehmen! Nur so viel tun, wie für
Security-Analysen nötig, aber keinesfalls mehr.


Gruß,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR