Wasserzeichen oder ähnliches verwenden?

[Matthias Diehl]

Hallo Forum,
mir geht seit ein paar Tagen ein Gedanke im Kopf rum.
Ich hätte gerne die Möglichkeit eine Art Wasserzeichen in Forenbeiträgen zu hinterlegen das auch bei Ausdrucken erhalten bleibt.
Eine simple Möglichkeit sollte es doch sein, wenn man z.B. die Daten des Browsers und die IP und Uhrzeit in den Beitrag integriert. Dazu gibt es ja Scripts die manche schon in Ihren Signaturen drin haben (Ihre IP ist.....).
Wenn man aus diesen Angaben einen String erstellt und diesen an das Ende des Beitrags hängt (z.B. Beitragsnr.: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx), dann sollte doch nachvollziehbar sein, von welcher IP an welchem Tag der Beitrag gelesen wurde, oder?
Wie könnte man so etwas implementieren?
Gibt es vieleicht einfachere Methoden?

Danke
Matthias

[duergner]

Das geht nicht. Wenn ich das lokal bei mir ausdrucken kann, kann ich es vorher auch beliebig verändern.

[Matthias Diehl]

Klar, wenn man weiss dass sowas vorhanden ist kann man das immer ändern.
Ich denke fälschungssicher kriegt man sowas nicht so einfach hin.
Mir geht es nur um die Machbarkeit, nicht um die Fälschungssicherheit

[duergner]

Und was bitteschön soll das denn eigentlich bringen?

[dodolin]

Und was bitteschön soll das denn eigentlich bringen?

Matthias hat wohl irgendwelche seltsamen Gestalten in seinen Foren (siehe andere Threads). Ich würde das Forum einfach dicht machen, fertig. Nunja...

[duergner]

Und was bitteschön soll das denn eigentlich bringen?

Matthias hat wohl irgendwelche seltsamen Gestalten in seinen Foren (siehe andere Threads). Ich würde das Forum einfach dicht machen, fertig. Nunja...

Aber trotz allem sehe ich den Sinn in dieser Aktion immer noch nicht ganz. Und um zu speichern mit welcher IP-Adresse ein Post gemacht wurde und zu welcher Zeit. Wo und wie genau das zu coden ist, kann man denk ich nur sagen wenn man weiß welche Version er einsetzt und selbst dann wäre das Forum der eingesetzten Software wohl am sinnvolllsten.

[Matthias Diehl]

Es geht darum die IP des Lesers mit in dem Ausdruck zu haben, nicht die des Posters. Man sieht doch öfters diese Signaturen in denen man angezeigt bekommt welche IP man gerade hat etc.
Also, nicht die IP des Schreibers soll ermittelt werden, sondern die des Lesers.
Jetzt klarer?
Es geht übrigens um ein phpBB 2.0.10

[duergner]

Naja grundsätzlich ändert sich daran ja nicht wirklich was. Einfach an der entsprechenden Stelle im Forum-Script einbauen. Die IP bekommst du über die $_SERVER['REMOTE_ADDR'] (wenn mich nicht alles täuscht), die Zeit über mktime() und gut is.

Ich versteh dein Problem nicht so ganz.

[Matthias Diehl]

Ich erklär es Dir per PM, das dürfte die andere nicht so interessieren :)

[dodolin]

Es gilt immer noch, was duergner oben bereits gesagt hat:

Das geht nicht. Wenn ich das lokal bei mir ausdrucken kann, kann ich es vorher auch beliebig verändern.

[Joe User]

Da selbst gpg hier nicht hilft, bleibt einzig die Ausgabe als Grafik und beispielsweise per digimarc (http://www.digimarc.com/) on-the-fly signieren. Das Kosten/Nutzen-Verhältnis lasse ich mal dahingestellt...

[Matthias Diehl]

@dodolin:
Darauf in ich weiter oben schon eingegangen.

@Joe
Danke für den Link, ist ein interessantes Thema.

Ich wollte einfach nur wissen was man tun kann. Ich habe keinen Bock mehr zu begründen warum ich das denke tun zu wollen. Ich weiss es gibt nichts fälschungssicheres. Ich wollte einfach nur die IP und die Zeit des Lesens in den Post reinhaben.
Danke für die bisherigen Antworten!
Matthias

[dodolin]

@dodolin:
Darauf in ich weiter oben schon eingegangen.

Ja dann bringt's doch aber eh nix?! Aber wenn ich dich richtig verstehe, ist es dir egal, dass es nix bringt? Nunja, irgendwie verstehe ich dich wohl echt nicht - jetzt ganz unabhängig davon, warum du das ganze machen willst.

In dcs.* erzählen sie immer, Sicherheit sei binär. Das gilt auch in diesem Fall, nur ist hier die Sicherheit Null und nicht Eins. ;) Ergo könntest du es auch gleich lassen (IMHO)...

[duergner]

In dcs.* erzählen sie immer, Sicherheit sei binär.

Das wäre mir neu. Sicherheit kann per Definition niemals binär sein sondern ist eigentlich immer Fuzzy (OK außer man macht die Rahmenbedingen Fuzzy, dann hast du vollkommen recht damit und eigentlich ist das auch sinnvoller, d.h. zu sagen etwas in in Hinblick auf ein bestimmtes Szenario sicher oder nicht.)

[dodolin]

d.h. zu sagen etwas in in Hinblick auf ein bestimmtes Szenario sicher oder nicht

Doch. Genau so wird das dort definiert. Denn ohne zu wissen, vor welchem Bedrohungsszenario man sich jetzt konkret schützen will, kann man auch nicht sagen, ob die angewandten Methoden jetzt schützen oder nicht. Und hat man erstmal ein konkretes Szenario, kann man auch immer genau sagen, ob "sicher" oder "nicht sicher". :)

[Matthias Diehl]

Es geht nicht um einen Schutz sondern viel mehr um Beweisbarkeit.
Wenn ich z.B. einen Ausdruck vorlege und behaupte, dass dieser mir von jemand anderem per Fax zur Verfügung gestellt wurde, dann kann man ggfs. prüfen ob diese Aussage stimmt. Dazu vergleicht man die Logfiles mit der "ID" des Forenbeitrags.
Stell Dir vor Benutzer A hat eine feste IP und liest den Beitrag. Dann druckt er ihn aus und behauptet. dieser sei ihm von Benutzer B zur Verfügung gestellt worden.
Dann ist nachweisbar, dass dies nicht stimmt. Wenn die "ID" fehlt oder verändert wurde, dann kann man dies erkennen, da es nicht zu den Logfiles passt.
Zugegeben, es ist eine sehr eigene Aufgabenstellung, aber so ist es nun mal.
Und das Forum zu schliessen ist ja genau das was die "Angreifer" erreichen wollen.

Da mir von einem Anwalt geraten wurde Strafantrag zu stellen wollte ich die Möglichkeit haben weitere falsche Behauptungen belegen zu können.

[dodolin]

In diesem Fall solltest du dir überlegen, von welchen Angaben du alles die Unverändertheit nachweisen möchtest. Diese mixt du zusammen, nimmst ein wenig Salz hinzu (Salt), drehst sie durch eine Einmal-Hash-Funktion und machst sie in den jeweiligen Beitrag.

Kannst du z.B. bei den diversen Implementierungen von SRS (RPR, oder wie auch immer das gerade zur Zeit genannt wird...) nachschauen, die machen quasi das gleiche.

Wichtig ist, dass die Hash-Funktion eine sehr geringe Kollisionswahrscheinlichkeit hat.

Der Angreifer wäre dann zwar immer noch in der Lage, den Hash zu ändern, dies wäre dann aber nachweisbar. Gezielt eine fremde IP vorzutäuschen sollte ohne Kenntnis der Zutaten und des Salzes nicht möglich sein. HTH. :)

[Matthias Diehl]

Super!
Vielen Dank, ich werde mich gleich mal einlesen.

[duergner]

Doch. Genau so wird das dort definiert. Denn ohne zu wissen, vor welchem Bedrohungsszenario man sich jetzt konkret schützen will, kann man auch nicht sagen, ob die angewandten Methoden jetzt schützen oder nicht. Und hat man erstmal ein konkretes Szenario, kann man auch immer genau sagen, ob "sicher" oder "nicht sicher". :)

Gut aber selbst dann erreicht man IMHO nicht 100%, sondern immer nur nahezu 100%.

[rootmaster]

Eine simple Möglichkeit sollte es doch sein, wenn man z.B. die Daten des Browsers und die IP und Uhrzeit in den Beitrag integriert. Dazu gibt es ja Scripts die manche schon in Ihren Signaturen drin haben (Ihre IP ist.....).
Wenn man aus diesen Angaben einen String erstellt und diesen an das Ende des Beitrags hängt (z.B. Beitragsnr.: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx), dann sollte doch nachvollziehbar sein, von welcher IP an welchem Tag der Beitrag gelesen wurde, oder?

na, dann "blende" doch in die kopfzeile (oder am ende) jedes post ip und browserinfos des lesers ein und erzeuge mit diesen daten + postinhalt + geheimen schlüssel ein md5-hash, den du ans ende des posts schreibst (könnte aber performanceeinbussen geben ;))
damit solltest du eine manipulation nachvollziehen können; ob es allerdings auch vor gericht beweiskräftig wäre, wage ich mal zu bezweifeln ;)

"back to the roots"

[Matthias Diehl]

@rootmaster
Exakt! Das war ja auch genau das was ich machen wollte, aber ich scheitere noch an der Implementierung in phpBB 2.0.10
Man weiss natürlich nie, was vor Gericht Bestand hat und was nicht. Aber diese Massnahme gegenüber einem ebenso fälschbaren Ausdruck ist besser als nichts.
Ich möchte die Behauptung widerlegen, dies sei von einem anderen User weitergelitiet worden. Es soll nur Unfrieden gestiftet werden und dem möchte ich vorbeugen.

[duergner]

Was ist denn eigentlich genau der Sachverhalt um den es hier geht? Vielleicht kann man dir dann sinnvoller/einfachere Alternativen anbieten oder zumindest genauer nachvollziehen, wie und wo man das genau einbauen könnte.

[dodolin]

Was ist denn eigentlich genau der Sachverhalt um den es hier geht?

Ich glaube, das tut hier wenig zur Sache. Mich interessiert's jedenfalls nicht und wir wollen uns hier ja auch mit der Technik und nicht mit irgendwelchen Streitereien beschäftigen, oder?

IMHO: Wen das interessiert, der kann das ja per PN erfahren...

[Matthias Diehl]

@duergner
Den hab ich Dir auch schon per PN geschildert ;)

[outofbound]

Aus Jahrelanger Erfahrung möchte ich euch doch an einer meiner Weisheiten teilhaben lassen...
(Sorry, bin am Montag alt geworden und lass einfach mal den alten Weisen Mann raushängen. ;) )

Wenn man ein Problem hat und eine Lösung sucht ist es extremst vorteilhaft wenn man
den Leuten die Ursache des Problems zuerst schildert. Denn meist sind die Lösungen auf
Problembasis nicht optimal und es gibt effizientere und bessere Lösungen. (Z.B: Ursache beheben anstatt Symptome bekämpfen).

Wenn es um ein heikles Thema geht, z.B. Rechtsstreitigkeiten o.ä. dann würde ich die Ursache meines Problems einfach Abstrakt ausformulieren, um den Leuten einen Eindruck zu vermitteln.

(Beispiel hier mit Watermarking: Wenn es um Rechtsnachweisbarkeit geht in einem Forum (Einfach mal so gedacht), dann wäre es evtl. Sinnvoll einen postalischen Nachweis bei der
Anmeldung zu fordern, kostet halt was aber man hat die "Identität" eines Users gesichert.)

Aber nur so eine Idee.

Gruss,

Out

[Alter Weiser Mann Modus aus]

[Edit: Das ist kein Angriff auf jemanden aus diesem Posting, sondern ich wollt das generell mal los werden und hier passt das so schön rein, es darf zitiert werden. ;) ]