Der Urheber – das bin im Falle meines Webservers ich selbst – hat diese versteckten Seiten eben nicht veröffentlicht: Sie sind nicht für die Öffentlichkeit gedacht und daher auch nicht der Öffentlichkeit zugänglich. Du aber versuchst mit deinem Programm, diese versteckten – und daher eben nicht öffentlichen – Seiten öffentlich zu machen. Dagegen habe ich was und würde dich auch sofort privat verklagen, wenn du das bei mir versuchen solltest. Und du darfst mir glauben: Da hättest du ganz ganz schlechte Karten. Ich betreibe ein Gewerbe und biete manchmal einem Kunden Resultate meiner Arbeit zum Download auf versteckten Seiten an, deren Link nur dieser eine Kunde erhält. Wenn du dir jetzt diese Seiten unberechtigt (=illegal) zugänglich machst, erschleichst du dir Kenntnisse aus meiner Arbeit, die dir nicht zustehen. Diese Seiten sind eben nicht "prinzipiell offen im Internet zugänglich", denn sonst gäbe es einen öffentlichen Link, um auf diese Seiten zuzugreifen. Wieso möchtest du dich meinem Wunsch und meiner Absicht, diese Seiten nicht zu veröffentlichen, widersetzen und Einsicht in Daten nehmen, die dich absolut nichts angehen? Und lädst du dir dann auch kostenpflichtige Anwendungen von meinem Webserver herunter, ohne zu bezahlen? Die sind nämlich auch dort gespeichert und nicht öffentlich ausgewiesen. Und wenn ich einen Passwortschutz einbaue, knackst du den dann ebenfalls mit deinen Brute-Force-Methoden? Dann würde ich dich nämlich gleich mal als potentiellen Kriminellen anzeigen. Junge Junge ...

Gemach.
Eine HTTP-Anfrage an einen Server zu senden, ist erstmal nicht illegal und auch noch keine Grundlage für einen kriminelle Karriere.

Du (@Pogoner) musst Dir aber darüber im Klaren sein, dass Du versuchst, Zugriff auf Seiten zu erlangen, zu denen Du - aus welchem Grund auch immer - keine Adresse genannt bekamst. Allein die Tatsache, dass die Inhalte offenbar nicht weiter geschützt sind, befug Dich nicht, Dich da frei zu bedienen: Wenn ich meine Wohnungstür offen lasse, dann kann man mir zurecht vieles vorwerfen, aber Dich berechtigt es noch lange nicht, in meiner Sockenschublade zu wühlen.

Solltest Du dabei Deine Software zu aggressiv vorgehen lassen und den Betrieb des Webservers stören, kann daraus tatsächlich eine unangenehme Situation für Dich erwachsen, weil man Dir dann zurecht und nachweisbar vorwerfen könnte, den Geschäftsbetrieb zu stören. Gleiches gilt, wenn Deine Software einen nennenswerte Menge an Traffic - und damit etwaige Kosten für den Betreiber - verursachen sollte. Sei Dir darüber im Klaren, dass Du auf dünnem Eis wandelst.


Allerdings:
Wenn man sich die Logs von populären Web-Servern mal anschaut, wird man als Admin schnell feststellen, dass hunderte, teils tausende unkontrollierte Anfragen an der Tagesordnung sind. Hier jetzt mit den Worten"kriminell" und Klage" um sich zu werfen, kann man machen, wenn einem langweilig ist - an der Realität geht es jedoch vorbei. Wenn man Inhalte für schützenswert erachtet, soll man sie mit den gängigen Mitteln schützen und nicht nur halbherzig - ist ja wie der Schlüssel unter der Fußmatte.


Du hast verschiedene Lösungsansätze erhalten und das Stichwort "Datenbank" will ich noch in den Raum werfen. Wenn Deine Datenmenge zu groß wird, um sie gleichzeitig im Speicher zu halten, dann lagere sie aus auf einen Datenträger.

Vollkommen richtig. Allerdings geht es hier nicht um eine harmlose und neutrale HTTP-Anfrage.

Sehr schön formuliert, absolut passendes Beispiel: Ob ich jetzt meine Wohnungstüre offen lasse, mein Fahrrad kurz unabgeschlossen stehen lasse oder mein Laptop in der Kneipe während des Ganges zur Toilette nicht sichere – all dies erlaubt noch niemandem, sich legal zu bedienen und in die Wohnung einzudringen, das Fahrrad wegzunehmen und/oder zu benutzen oder sich Einblick in die Daten auf meinem Laptop zu verschaffen oder sich sonst wie daran zu schaffen zu machen, geschweige denn, es wegzunehmen. Genau so verhält es sich auch mit versteckten HTML-Dateien auf meinem Webserver: Die gehen niemanden, dem ich nicht explizit Zugang gewähre, etwas an.

Wenn jemand öffentlich die Absicht äußert, sich Daten anzueignen, die ihm nicht zustehen, ist das im Grunde Ankündigung einer kriminellen Handlung. Und wer sich bereits Methoden wie Brute-Force-Ermittlung von versteckten HTML-Dateien bedient, der schreckt auch nicht davor zurück, dieselbe Methode beim Knacken eines Paßwortschutzes einzusezten, den ich selbstverständlich für alle meine versteckten Server-Verzeichnisse einsetze.

Das versuchte Einbrüche im Rechner automatisiert ablaufen heißt aber nicht das man nicht dagegen vorgehen sollte (Ein ungeschützter Windows-Rechner ist AFAIK in < 10 Minten nach dem direkten Verbinden mit dem Internet übernommen). Und wenn hier jemand eine entsprechende Attacke unternehmen will sollten wir ihn auch nicht helfen. Im schlimmsten Fall (Nachfolger von dem "Berühmten" von Gravenreuth) bekommt man hier (als Forenbetreiber?) auch 'ne Klage/Abmahnung wegen Mittäterschaft aufgebrummt.

Für die meisten diese Attacken wird man ein müdes Lächeln vom (in diesen Dingen erfahrenen) Polizisten bekommen wenn man sowas aufnehmen will. Er weiß das solche Angriffe aus dem Ausland bzw. über Zombierechner erfolgen. Die Erfolgschancen wären nahe 0!

Wer genau versucht hier in Rechner einzubrechen? Ich weiß, es ist einfacher sich in einen Thread einzuklinken, als alle 3 Seiten zu lesen aber um das Einbrechen in Rechner geht es hier nicht.


Da fühlt sich aber jemand ganz gehörig auf den Schlips getreten - und lesen scheint auch nicht dein Fall zu sein, ich habe mehrfach erwähnt, dass ich nicht vorhabe, irgendein Passwort zu knacken.

Halten wir mal den Ball flach und schauen uns die Rechtslage an, Meister: Selbst das Auslesen von Kreditkarten ist nicht illegal - also solltest du deinen Geldbeutel wie in deinen Beispielen unbeaufsichtigt rumliegen lassen und ich würde deine Kreditkarte kopieren, so wäre das legal : http://www.dr-bahr.com/news/kein-str...ungskarte.html
Auch fange ich nicht wie in § 202b private Gespräche ab, will mir keinen Vermögensvorteil wie nach § 263a verschaffen. Und ich ich nichts runterladen.
Auch das einwählen in ungesicherte WLAN-Netze ist im Übrigen legal http://www.rechtslupe.de/strafrecht/...-netzen-323014
Es mag ja sein, dass dir das garnicht passt, weil du das gerne so machst, aber solange ich deine Website nach solchen Seiten abgrasen würde ohne dass ich mit den 12 Anfragen pro Sekunde jetzt wie es im Gesetz verlangt ist ist es soweit ich als juristischer Laie durchblicke nicht illegal und du wirst es dir gefallen lassen müssen bzw eine Zugangssicherung einrichten müssen, sodass sie gegen unberechtigten Zugang besonders gesichert ist, wie es im Gesetztestext verlangt ist




Seh ich genauso.

Da weiß ich leider zu wenig: Beim Aufruf der nicht-existenten Seite kommt folgende Meldung:
Führen 12 Aufrufe einer solchen Seite zu beträchtlichem Traffic für den Betreiber? Gewollt ist das ja wie erwähnt nicht...

Ja die Datenbank hatte ich auch schon in Betracht gezogen, aber bei Millionen Einträgen war mir einerseits die mögliche Größe suspekt, als auch der Zeitverlust beim eintragen/auslesen - die direkte Weitergabe, die mir Uwe Raabe gezeigt hat war genau das, was ich versucht hatte, hinzubekommen.
Wäre die Liste an sich allerdings wichtig gewesen, hätte ich die Datenbank wohl nehmen müssen...

Ohne weiter auf das Thema einzugehen..
Dann tut es einfach nicht mehr.

gruss

Das ist dir gelungen.

Wenn noch jemand etwas zum Thema beitragen möchte: Meine Frage ist immernoch offen, ob die 12 Aufrufe einer "Not Found" - Seite pro Sekunde eine wesentliche Belastung für einen Webserver darstellen (Die Seite existiert ja nicht). Sollte die Frage bejaht werden, so werde ich die Zahl verringern. Es geht hier - ums zum 10. Mal zu sagen - nicht darum, den Server anzugreifen.

Meine zweite Frage ist programmtechnischer Natur: Wenn ich 4 Felder derart berechnen möchte: Zufallsgenerator('abcdefghijklmnopqrstuvwxyz','1234567890','abcdefghijklmnopqrstuvwxyz','1234567890') Dann funktioniert das...so nicht?
Also der Reihenfolge nach a1a1-->a1a2-->a1a3-->...-->c3g6-->c4g7-->c4g8 etc... Das Rekursiv-Denken fällt mir wirklich schwer -.-

Will ich doch hoffen.

gruss

Ich glaube, das Erarbeiten von Grundlagen wäre ein guter Ansatzpunkt für dich. Was ist Rekursion? Wie funktioniert sie? Das Wichtigste ist, dass sich eine rekursive Funktion selbst wieder aufruft, logischerweise mit anderen Werten in ihren Parametern. Ebenso wichtig ist, dass eine rekursive Funktion eine sinnvolle Abbruchbedingung hat, damit man die Funktion verlässt, wenn nichts mehr zu tun ist (und nicht den Stack überlaufen lässt).

Nun sprach ich Grundlagen nicht ohne Grund an, denn mir fiel auf, dass du in deiner Funktion ErstelleString 4 geschachtelte Schleifen mit derselben Laufvariable benutzt. Das kann nicht funktionieren. Jede Schleife braucht ihre eigene Laufvariable. Weiterhin sollte man wissen, dass lokale Prozeduren auf alle Variablen ihrer umgebenden Prozedur/Funktion Zugriff haben, d.h. es ist nicht einmal klar, welches I nun gemeint ist (das aus Zufallsgenerator oder ErstelleString). Ich weiß nicht, ob der Compiler so intelligent ist und die Variable mit dem kleinsten Gültigkeitsraum/Scope bevorzugt.

Unabhängig davon sehe ich nicht, wo Rekursion helfen könnte, einen Zufallsgenerator zu implementieren bzw. in diesem Fall einen zufälligen String zu erstellen.

MfG Dalai

Frag doch nicht so blöde: Du natürlich! Die versteckten Seiten sind nicht zugänglich, was du mit deinem Angriff ändern möchtest: Du versuchst, dir Zugang zu Informationen zu verschaffen, die nicht für dich bestimmt sind. Und du glaubst wirklich, das wäre legal?

Erstens fühle ich mich nicht auf den Schlips getreten, sondern von dir bedroht, und zweitens ist das kein Grund, beleidigend zu werden und mir zu unterstellen, ich könne nicht lesen. Ich bin einer der belesensten Menschen, die ich kenne!

Natürlich schreibst du, du seist ganz harmlos und möchtest auf keinen Fall irgend einen Schaden anrichten. Die Entscheidung, das zu glauben oder nicht, mußt du aber schon denen überlassen, die das lesen. Oder glaubst du einem Angeklagten, daß er nur zum Spaß Kreditkarten-Doubletten herstellt und nicht vorhat, sich damit finanzielle Vorteile zu ergaunern?

Meine versteckten Seiten sind allein schon dadurch, daß sie versteckt sind, gegen unbefugten Zugang gesichert: Befugt sind nur diejenigen, die über den Link zu diesen Dateien verfügen. Das Herausfinden der Dateinamen bzw. URLs dieser versteckten HTML-Seiten via Brute Force erfordert genau so viel Aufwand wie das Herausfinden des Passworts einen passwortgeschützten Ordners. Das eine ist ebenso mit dem Einsatz krimineller Energie verbunden wie das andere.

Worin sollte jetzt der Unteschied bestehen zwischen dem Brute-Force-Hacken der versteckten Dateien und dem Brute-Force-Hacken der Passwörter geschützter Verzeichnisse?

Bitte nenne doch einmal die Absicht, die sich hinter dieser von dir hier erfragten Brute-Force-Methode verbirgt: Zu welchem Zweck möchtest du denn diese versteckten Seiten ermitteln?

Es geht hier aber nicht um das Auslesen von Kreditkarten. Du hast dich nicht an offen herumliegenden Geldbörsen, in denen sich private Dinge befinden, die dir nicht gehören und die dich daher auch nichts angehen, zu vergreifen! Ich empfinde deine Einstellung als kriminell!

Seltsam: Ich kann mich an Threads erinnern, da wurde rigoros auf die Illegalität des automatisierten Auslesens von öffentlich zugäglichen Internetseiten hingewiesen. Versuche, nicht öffentliche Seiten auszulesen, scheinen der Foren-Führung jedoch keineswegs gegen den Strich zu gehen.

Selbstverständlich fängst du private Kommunikation ab, wenn du dir versteckte Seiten herunterlädst, deren Inhalt nicht für dich bestimmt ist und die du mit Brute-Force-Methoden ermittelt hast. "Och, ich wollte doch gar nichts stehlen, Herr Kommissar, ich schaute mich dort nur ein wenig um ..." stotterte der Einbrecher beim Verhör. "Nein, ich wollte doch gar nicht private Kommunikation abhören, nein meine Datenbank hab ich nur zum Spaß, ich würde nie jemanden erpressen oder mir einen unerlaubten Vorteil verschaffen, das müssen Sie mir glauben, Herr Kommissar!"

Zumindest ich gestatte dir nicht, meine versteckten HTML-Seiten ausfindig zu machen. Im Übrigen wird mein Server-Provider es sich ganz gewiß nicht gefallen lassen, wenn du, weil dir das Brute-Forcing bei langen Dateinamen zu lange dauert, dann doch Methoden anwendest, die einer DOS-Attacke gleichkommen. Deine zahlreichen Beteuerungen in allen Ehren – allein ich neige nicht dazu, solchen Beteuerungen leichtfertig Glauben zu schenken.

"Würdest du mir mal kurz deine Brieftasche leihen?" – "Wozu denn das?" – "Ach, ich finde die so toll, ich möchte die mal kurz meinem Kumpel zeigen." – "Ah, klar, aber nicht aufmachen, hörst du?" – "Keine Bange, ich bin ehrlich, mir kannst du vertrauen." ... und ward nie mehr gesehen ...

Nicht ablenken: Es geht hier nicht um das Einwählen in ungesicherte WLAN-Netze!

Bitte? Weil ich was gerne wie mache?

Noch einmal die Frage: Wieso möchtest du dich über meine deutlich geäußerte Absicht, bestimmte HTML- und andere Dateien vor der Öffentlichkeit zu verbergen und diese nur einem ausgewählten Kreis von Kunden zugänglich zu machen, hinwegsetzen? Kannst du dir auch nur einen Moment vorstellen, daß eine derartige Ignoranz der Bedürfnisse und Wünsche eines anderen einer Herabwürdigung gleichkommt? So nach dem Motto: "Ist mir egal, was du willst, ich hol mir von dir, was ich will, da kannst du Handstand machen und bitten und betteln, ist mir alles egal!"

Deine Haltung erinnert mich an jenen Kurierfahrer vor meiner Wohnung, der sich nach Feierabend dort auf den Parkplatz stellte, die Tür seines Van aufstieß und seine Anlage voll aufdrehte. Ich konnte nicht mehr weiterarbeiten, dieses heftige Bumm-Bumm, das sogar durch das geschlossene Fenster in mein Arbeitszimmer drang, brachte schon fast die Leseköpfe meiner Festplatten zum Vibrieren. Also ging ich runter und teilte diesem Menschen mit, daß hier im Haus niemand seine Vorführung hören wolle. Der wurde sofort aggressiv: "Ist doch mir egal, ich mach, was ich will. Verpiß dich oder ich hol die Polizei." Worauf ich erwiderte: "Au ja, das finde ich eine gute Idee!" Daraufhin stieg er aus und kam drohend auf mich zu in der Hoffnung, daß ich ängstlich zurückweichen möge. Tat ich aber nicht. "Sie belästigen mich hier! Ich kann Musik hören, wo und wann ich will!" Worauf er sich umdrehte und zurück zu seinem Auto ging, die Musik abstellte und zu telefonieren begann. Ich rief ihm zu: "Vielen Dank für Ihr Verständnis!" und ging wieder rauf in meine Wohnung.

Was bezweckst du mit diesem Vorgehen, dir URLs von versteckten Dateien auf Webservern abzuspeichern? Wozu benötigst du Informationen darüber, welche Dateien außer den öffentlich zugänglichen sonst noch auf meinem Webserver zu finden sind, wenn du dir diese Dateien angeblich nicht herunterladen willst? Ich kann mir keinen anderen Zweck als einen illegalen vorstellen.