Bild: Blogger enthauptet Wachswolf im Webfigurenkabinett
"Der Mehrheit, die zum jeweiligen Thema etwas, nicht selten Wertvolles, beitragen möchte, steht eine Minderheit von Diskutanten gegenüber, die nur ein Thema kennen – nämlich sich selbst (und die Welt, die ihm oder ihr nicht das gewünschte Augenmerk schenkt). [...] Wir stehen eindeutig auf der Seite der ernsthaften Meinungsäußerung und jener, die sich um diese bemühen." (Quelle)
Bei allem Verständnis fürs Loswerdenwollen oder wenigstens Filtern von Trollen, illegalen oder einfach auch nur unerwünschten Beiträgen in Foren:
Fünf Tage geht das jetzt schon, dass (durch die schwarz-weiße Polarisationsbrille betrachtet) die eine Seite droht, den GRÖTAZ anzuzeigen, zu outen, an den Pranger zu stellen und was weiß ich noch alles, während die andere sich abstrampelt, um an ihm ein Exempel der Meinungsfreiheit für gefährdete Trollarten zu statuieren.
(Durch die rosarote Brille sehe ich schon auch noch ganz viele Menschen eine bereits etliche Male geführte, aber scheint's immer wieder notwendige Diskussion wiederholen; mehr aber auch nicht.)
Das überbordende Verständnis für einen, der einfach zu viele Nerven kostet und die Geduld allzuvieler strapaziert, verstehe ich zwar weiterhin nicht – im zivilisierten Umgang miteinander sollte es wohl selbstverständlich sein, dass Rücksicht aufeinander das oberste Gebot ist.
Das Web ist groß genug für alle.
Die Entscheidung, ob diese Rücksicht besteht, ob ich als Website-Betreiber mit jemandem diskutieren kann und will, obliegt mir allein.
Will ich das nicht, dann ist eine Trennung völlig gerechtfertigt. Und die führt man auf einer Website eben herbei, indem man dem Gegenüber, mit dem man partout nicht zusammenpasst, um Mäßigung bittet, Enthaltsamkeit nahelegt, Beiträge löscht, filtert, den Zugang versperrt oder Rechtsmittel ergreift – je nach Eskalationsstufe.
Dafür hat jeder mein vollstes Verständnis.
Nicht jedoch für als Diskussion getarnte Kampagnen, die letztlich nur noch beide Seiten dazu verfluchen, bis zum Ermüdungstod ihren jeweiligen Sermon wie in Trance immer wieder von vorne bis hinten durchzubeten, und dabei auf alles zu treten, was sonst noch im Weg liegt (oder was man schon immer mal loswerden wollte).
Befindlichkeitsbloggen rules OK – for a while.
Irgendwann kommt mir aber einfach der Sinn des ganzen abhanden, und ich fürchte, für die Troll-Problematik wird das dann eher kontraproduktiv.
Wahrscheinlich geht's im Hintergrund um was ganz anderes (und das auf beiden Seiten).
kristof
Was wirst du tun?
tobi Verwaltung
Tun? In Bezug worauf?
kristof
Na, sowas wie Ziwo blocken oder nicht. Die Situation bei blogger.de (keine neuen Accounts) ist ja durchaus deeskalierend :)
Die Entscheidung, ob diese Rücksicht besteht, ... obliegt mir allein. Das klang so, als hättest du einen Plan ...
tobi Verwaltung
Mir allein als Website-Betreiber wie jeder und jedem auch, die/der eine Website betreibt.
Einen Plan hab ich tatsächlich. Allerdings leider keine Zeit ihn demnächst umzusetzen.
Für eine Weile keine neuen Accounts rausgeben, ist in diesem Fall für blogger.de eine gute, wenn auch nur kurzfristige Lösung.Edit: siehe meinen nächsten Kommentar
Bei Antville.org besteht wohl derzeit kein Handlungsbedarf.
kristof
Handlungsbedarf: Da bin ich mir halt nicht so sicher. Einige Anville-Blogs sind durchaus ein Refugium für den ZW.
tobi Verwaltung
Für eine Weile keine neuen Accounts rausgeben, ist in diesem Fall für blogger.de eine gute, wenn auch nur kurzfristige Lösung.
Ich revidiere mich. Diese Lösung finde ich doch nicht so gut.
Das ist ja gerade das Dilemma: Ich als Webhoster möchte mich eben nicht mit den Troll-Problemen der einzelnen Websites befassen, bzw. als Konsequenz alle gehosteten Websites zur Problemlösung in Mitleidenschaft ziehen. (Außer ich bin rechtlich dazu gezwungen.)
Es ist jedenfalls kein technisches Problem.
Für die Refugien in einzelnen Websites auf Antville.org wie auch die Websites selbst, fühle ich mich darüberhinaus nicht verantwortlich.
(Das war nicht immer so, ich habe meine Einstellung dazu geändert.)
kristof
Obliegt nun die Entscheidung allein bei dir, oder lässt du das Problem bei den einzelnen Bloggern? Mein Eindruck ist, daß viele für eine Entscheidung von dir dankbar wären.
tobi Verwaltung
An Entscheidungskraft und Entschlossenheit mangelt es mir nicht, wie das Zitat oben sehr schön belegt.
Ich sehe wie gesagt derzeit keinen Anlass, eine triftige Entscheidung zu treffen, was Sie gern auch so auslegen können, dass ich mich entschieden habe, in dieser Sache bis auf weiteres nichts zu unternehmen.
Nun gehet hin und blogget in Frieden.
kristof
Jawohl! :)
etcpp
@ tobi
Es ist jedenfalls kein technisches Problem.
Aber einige nichttechnische Probleme lassen sich vielleicht technisch lösen, basierend auf festzulegenden Regeln. Der angesprochene Fall scheint mir ein sehr gutes Beispiel dafür, dass das Ende des Wilden Onlinewestens eingeläutet werden sollte. Klar, der Zitterwolf verhält sich wie ein Arschloch (was erst einmal nur Vermutungen über die Person dahinter zulässt, nicht aber ein Urteil). Klar ist aber auch, dass die angedrohten Sanktionen von Don Alphonso einer Selbstjustiz gleichkommen. Das Problem ist aus meiner Sicht, dass - verkürzt - zwei Dinge unter einen Hut gebracht werden müssen, die unter aktuellen (technischen) Voraussetzungen nur schwer unter einen Hut zu bringen sind:
Ich glaube, dass es Zeit wird für so etwas wie ein (zentrales) "Einwohnermeldeamt". Grob gesagt könnte hier von unabhängiger Seite eine Verknüpfung zwischen Realidentität und Onlineidentität hergestellt werden, die vor realen Gerichten Geltung hat. So würde beiden Ansprüchen Genüge getan: Ich kann mich in Form einer für Dritte nicht zu entschlüsselnden Identität im Netz bewegen UND bin dennoch zur Rechenschaft zu ziehen.
All das auf freiwilliger Basis, es obläge dann den Diensteanbietern im Bedarfsfall ihr Angebot ausschließlich oder in Teilen nur solchen "fundierten" Onlineidentitäten zu öffnen. Auch die Sorgfaltspflicht für Betreiber würde entfallen, da nun das Verursacherprinzip gelten darf - jeder Mensch hinter einer Onlineidentität wäre im Bedarfsfall auch zur Rechenschaft zu ziehen.
Es müsste dann noch ein Verfahren entwickelt werden, wie eine "Enttarnung" im Bedarfsfall handzuhaben wäre, am liebsten natürlich ausschließlich von Gerichtsbarkeiten unter Ausschluss der Öffentlichkeit, ob nun staatlich oder nicht, lasse ich mal dahingestellt.
Das alles klingt vielleicht arg korinthenkackerisch. Aber die Alternative wäre eben, dass sich weiterhin jeder nahezu alles erlauben darf, in Angriff und Verteidigung, und das ist - zumindest mir - vergleichsweise unsympathischer.
tobi Verwaltung
Statt "(zentralem) Einwohnermeldeamt" - selbst wenn auch "Einwohnermelde" in Klammern stünde – wäre es mir lieber, die Leute würden sich mit den Ideen rund um das Web Of Trust beschäftigen.
"Ask not what the Internet can do for you, ask what you can do for the Internet."
Ich meine, hey!, das Internet ist ein selbst- und liberal organisiertes Geflecht.
"Be liberal in what you accept, and conservative in what you send."
Es ist selbstverständlich ein subjektiver Eindruck, aber wie im Wilden Westen kommt mir das nicht vor.
"There are 5,000 great people for every jerk on Usenet. But that still is a lot of jerks. Proceed with caution and eyes wide open."
Das Leben halt, ewiger September.
etcpp
Mir fallen eine Menge Argumente gegen ein solches Stille-Post-Signatursystem ein: Das gewichtigste vielleicht, dass es auf Subjektivität beruht. Ich traue ja kaum mir selbst.
kinomu Verwaltung
Daß auf blogger.de derzeit keine neuen Usernames angelegt werden können, hat mit ZW nicht im Geringsten etwas zu tun. (Das ist der Grund.)
Manche - sowohl auf antville.org, als auch auf blogger.de - kommen mit ZW zurecht, einige würden ihn vermissen, andere wiederum finden ihn unerträglich.
Es gibt schon seit langem eine technische Möglichkeit, die jedem Blogger erlaubt, ihm unliebsame User am Kommentieren zu hindern.
Wenn jemand mein wiederholtes Angebot, diesen Filter auf seinem Blog umzusetzen nicht annimmt und stattdessen lieber als Staatsanwalt, Richter und Henker in Personalunion auftritt, verstärkt das meinen Eindruck, daß es keiner weiteren "technischen Lösung" bedarf.
tobi Verwaltung
@1. Aha; Danke für die Aufklärung. Ist das eine Sicherheitslücke in Antville oder ist sie nur auf blogger.de beschränkt?
@2. Jo mei.
@3. Das ist eine gute Lösung für einen einzigen Account. Um einen Troll von Antville auszusperren, der in nullkommanix gleich wieder einen neuen User registriert hat, ist das leider zu wenig.
@4. Nachvollziehbar.
(Btw. Haben Sie meine Nachricht vom 24. Juli eigentlich erhalten?)
kristof
Nun ja, diese CSS-Lösung ist eher eine harmlose Hürde ...
don papp
sie wirkt.
kristof
Echt? Woran merken Sie das?
kinomu Verwaltung
@ kristof Bis jetzt habe ich noch von keinem gehört, der diese Hürde übersprungen hätte - für die meisten ist sie nicht harmlos. Und deine Kommentare möchte ja ohnehin niemand missen.
@ tobi Das in "nullkommanix gleich wieder einen neuen User registrieren" ist auf blogger.de fast nur bei Spammern ein Problem. Verbessern ließe sich das, indem
(Daß das nicht alles notwendig ist, ist klar.)
kristof
Die Vorschläge klingen aber sehr vernünftig.
giardino
Ist das eine Sicherheitslücke in Antville oder ist sie nur auf blogger.de beschränkt?
Ein generelles
ProblemFeature von Antville, nämlich Javascript in Kommentaren zuzulassen.tobi Verwaltung
@giardino: Ja, schon klar.
Aber es macht nochmal einen Unterschied, ob ich prinzipiell Script-Tags einbauen, oder ob ich damit auf die Cookies eines x-beliebigen Benutzers zugreifen kann.
Letzteres wäre nochmal eine ganz spezielle Sicherheitslücke.
giardino
Es wurde auf document.cookie zugegriffen und dieses in eine Fremd-URL als Aufrufparameter gepackt, auf die man beim Öffnen der Story umgehend weitergeleitet wurde. Dieses Cookie - soweit ich das gesehen habe - enthält bei angemeldeten Benutzern wohl die Session-Identifizierung für Antville.
(Bitte Kommentar löschen, falls er Leute auf Ideen bringen könnte.)
tobi Verwaltung
OK, Danke. Herr Kinomu hat mir über diesen Exploit ausführlich erzählt.
Ich bin mir immer noch nicht sicher, ob sich mit diesem Cookie viel anstellen lässt. Helma selbst sorgt dafür, dass die Client-IP im Cookie hinterlegt ist, und überprüft jedes Cookie daraufhin. [Quelle]
Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).
Die Cookies für Username und Password sind in Antville 1.2 nicht mehr im Klartext lesbar.
Die Verschlüsselung ist zwar nicht sehr hoch, aber gegen hohe negative Energie anzutreten überlass ich gern dem e-commerce.
Generell steht eine Software wie Antville hier am Scheideweg: Wollen wir Freiheit oder Sicherheit? (Lies: wollen wir wirklich lieber mit Helm Fahrrad fahren? Ich absolut nicht.)
giardino
Ah, das klingt beruhigend, dass Session-Cookie und IP gegengecheckt werden.
@Kinomu: Kennt Dirk Olbertz diese Betrachtung? Dann könnte man ja vielleicht das Anlegen neuer User drüben wieder erlauben.
Was für mich bleibt, ist die Frage: Gibt es einen Nutzen für Javascript in Kommentaren? Denn der potentielle Schaden, den man damit anrichten kann (von allerlei eher harmlosem Vandalismus in der Seitenanzeige bis hin zur automatischen Weiterleitung auf eine Malware-Seite) ist ja schon deutlich. In dieser Detailfrage wäre ich daher bislang eher für einen Helm.
(HTML in Kommentaren finde ich übrigens trotz gelegentlich auftretender kleiner Probleme vertretbar.)
tobi Verwaltung
@Session-Cookie: Ich möchte hier beileibe nichts ausschließen, habe einfach nur selbst noch keinen Exploit dieser Art in Aktion gesehen. (Nicht dass ich scharf drauf bin, aber anders werd ich mir kein endgültiges Urteil bilden können.)
@JavaScript in Postings: Einfaches Einbinden von Youtube-Videos, fällt mir da als erstes ein.
@Vandalismus: HTML reicht schon, um eine Seite (un)absichtlich zu sabotieren.
kinomu Verwaltung
Daß die Passwörter in den Antville 1.1-Cookies verschlüsselt sind (und in den 1.2-Cookies zusätzlich gesalzen), weiß Dirk Olbertz natürlich auch.
Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).
Das Herausfinden der IP ist ganz leicht, schließlich wird der den Kommentar aufrufende User weitergeleitet. Damals habe ich auch gesehen, daß die IPs aufgezeichnet wurden - bleibt die Frage, ob man IP-Spoofing als schwierig betrachtet. Ich halte das für keine große Hürde und glaube daher nicht, daß das Anlegen neuer User bald wieder möglich sein kann.
JavaScript ließe sich zwar aus Kommentaren und Stories filtern (das wurde für blogger.de auch schon erwogen), aber solange die Skins so frei angepasst werden können, löst das nicht dieses Problem. (Ich denke, es gibt bessere Gegenmaßnahmen, als Kommentare und Stories zu filtern sowie das Bearbeiten der Skins zu unterbinden: Token.)
kristof
Hm, die oben genannten Tricks sind natürlich relativ unbedeutend, solange man als Bloginhaber die Login-Seite selbst gestalten und alle Logins abgreifen kann.
ichichich
@kristof: Das ist genau mein Reden seit 1945. Twoday hat das gut gelöst: Login und jede andere Aktion, bei der mit Benutzerdaten hantiert wird, ist nur über eine zentrale Seite möglich, auf deren Layout niemand Einfluß hat.
kristof
Dass beim jetzigen Login auch massenhaft Ajax-Jedöns eingesetzt wird, macht für mich die Sache nicht viel transparenter.
tobi Verwaltung
Die Verschlüsselung des Passworts im Browser und vor dem Absenden der Daten (aka "massenhaft Ajax-Jedöns") macht tatsächlich die Login-Daten (aka "die Sache") insofern nicht transparenter, sondern – au contraire – eben gerade für die bösen Mädchen und Buben etwas weniger leicht durchschaubar.
Nichtsdestotrotz funktioniert der Login auch ohne JavaScript; dann wird das Passwort eben unverschlüsselt als Klartext an die Elise übermittelt, und die sorgt dann für die nötige Verschlüsselung.
kristof
Ah, gut, es gibt kein Problem.
tobi Verwaltung
Muss ich das jetzt verstehen?
kristof
Nun ja, die Frage ist doch, inwieweit man per Loginseite die Userdaten abgreifen kann. Bzw. dass man kann. Die Verschlüsselung ändert daran nix.
tobi Verwaltung
Mein Kommentar bezog sich auch einzig und allein auf den von Ihnen um 14:26.
Dass sich die beliebig veränderbaren Skins in Antville generell als Sicherheitslücke auslegen (und auch ausbeuten) lassen, streitet ja niemand ab.
kristof
Nun gut. Und sollte man da nicht etwas tun? Ich finde schon.
tobi Verwaltung
Ja, das haben Sie bereits betont, und ich habe daraufhin versucht zu erklären, dass Antville.org seit Jahren trotz und in puncto dieses Features schadlos geblieben ist.
Selbstverständlich ist es möglich, dass demnächst doch ein Schmock zuschlägt. Klar, ärgerlich. Und Sie haben's dann schon immer gewusst und gesagt.
Antville ist nun einmal kein e-commerce-Kahn von 10 Cryptoregistertonnen, mit 100-köpfiger Mannschaft an Deck und einem 448-bit schweren Blowfish im Netz.
tobi Verwaltung
Es spricht selbstverständlich nichts dagegen, für diesen (wie auch jeden anderen) Sachverhalt, Feature-Request oder Bug (wie man's halt sehen will) ein entprechendes Ticket in den Issue-Tracker einzupflegen.
kristof
seufz Das meinte ich mit "14:58".