Wer ist Anbieter, bitt’ schön? oder der untergeschobene Inhalt
Nicht ohne eine gute Portion Ironie und Satire hat Stephan Janosch der Site valess.de unter Rezepte ein Burger-Rezept per Url untergeschoben. Stephan Janosch machte damit auf eine Sicherheitslücke der Site aufmerksam. Der gesamte Inhalt kommt via Url und damit ist die Adresse grausam lang, glücklicher Weise gibt es Dienste, die diese Adresse für einen verkürzen und da ich zwar Berichten darf, aber nicht verlinken hier im Rahmen der Berichterstattung die Kurzfassung der inkriminierendenUrl: XXXXXXX.notlong.com. (Die Katze ist zwar aus dem Sack und im Netz über zahlreiche Quellen noch erreichbar, doch an dieser Stelle habe ich den Link zensiert, nachdem im Originalbeitrag der Link herausgenommen wurde)
Die Große Frage: Wer ist nun Anbieter des Inhaltes. Sicher der Inhalt ist nutzergeneriert, doch wie zahlreiche Urteile der Gerichte in Bezug auf Kommentare in Blogs und Foren gezeigt haben, ist der Anbieter der Site noch immer verantwortlich für seine Inhalte. Anbieter des Inhaltes bleibt damit das Unternehmen, das die Adresse für nutzergenerierten Inhalt unter valess.de ermöglicht und nicht nur der Autor.
Wenn der Parkrocker in seinem Beitrag Campina mahnt Blogger ab von einem gefakten Screenshot berichtet, dann ist diese Aussage schlicht falsch. Der Screenshot ist authentisch und der Inhalt wird auf der Site angeboten. Zum Leidwesen des Unternehmens war die Publikation nicht geplant, noch vor der Publikation autorisiert. Über die Autorisation lässt sich damit streiten. Nachdem das Unternehmen nach Kenntnis der Lücke nutzergenerierte Url noch immer zulässt, könnte man von einer Duldung ausgehen und jeden nutzergenerierten Inhalt — vom "Solvent Green Burger"-Rezept einmal abgesehen (Abmahnung lässt auf eine Ablehnung schließen) — als akzeptiert betrachten. Müsste das Unternehmen nicht nun alles fressen, was man ihnen auf der Seite vorsetzt?
Die nutzergenerierten Urls sind technisch machbar und öffentlich zugänglich. Das Unternehmen sah keine Notwendigkeit die Lücke zu schließen. Campina sollte vielleicht noch ein wenig üben in Bezug auf Kommunikation im Internet. Ein Anwalt ist nicht immer die beste und erste Wahl. Ich hoffe Campina überdenkt seine Haltung und nimmt die scharfen Kanonen zurück. Gemeinsam schmunzeln ist für alle die bessere Strategie, nicht wahr? Wer will schon gern bei engstirnigen Bedenkenträgern einkaufen?
layelu
Update: Blogger und Unternehmen haben sich via Anwalt auf einer menschlichen Ebene getroffen.
-Stichworte: Abmahnung, Anbieter, Autor, Campina, nutzergenerierte Inhalte, Sicherheitsluecke, Umgebungsgedanken, Url, valess.de
-Stichworte: Abmahnung, Anbieter, Autor, Campina, nutzergenerierte Inhalte, Sicherheitsluecke, Umgebungsgedanken, Url, valess.de
Konterpropaganda 
June 28th, 2009 12:54
Das Fleisch-Ersatzprodukt von Campina heisst Valess, die Site dazu http://valess.de/ und nicht valdess.de. Im Beitrag sind darum etliche “D” zuviel
June 28th, 2009 20:01
Danke für den Hinweis. Ich hatte wohl meine Probleme mit Valdez, das mir bei Valess unweigerlich auf der Zunge liegt und scheinbar wohl auch in den Fingern juckt.
June 29th, 2009 02:14
Du verwechselt da etwas. Nutzer generierter Content wird über ein Eingabefeld auf die Webserver des Anbieters übertragen und dort dauerhaft gespeichert. Erst so ist es ihm möglich diesen vom Nutzer generierten Content ggf. zu löschen oder zu blockieren (sprich zu kontrollieren).
Hier haben wir es mit einer CSRF-Attacke zu tun. Diese ist nach §303a StGB und §303b StGB strafbar. Dabei ist es unerheblich ob der Anbieter bzw. Betreiber der Webseite von der Sicherheitslücke weis, sie zulässt oder etwas dagegen unternimmt. Wir haben es hier also nicht mit einem dummen Jungenstreich zu tun, sondern mit einer Straftat. Und da würde ich auch auf alle Fälle einen Anwalt einschalten. Wenn der meint eine Abmahnung sei sinnvoller als eine Strafanzeige, muss er wissen. Ich hätte die Strafanzeige genommen.
June 29th, 2009 03:59
Ich habe nichts anderes geschrieben. Eine Autorisation fehlt über die sich streiten lässt. Ob ich das nun CSRF-Attacke nenne oder einen nutzergenerierten, _nicht_ autorisierten Inhalt ist nachrangig.
Nutzergenerierter Inhalt wird bei weitem nicht in allen Fällen abgespeichert oder erfordert ein Eingabefeld. Das Adressfeld in meinem Browser gehört mir und ich kann dort eingeben, was ich will. Erst wenn ich andere dazu verleite es zu tun und nicht darüber aufkläre, dass der Inhalt via Adresszeile die Site verändert und damit nicht vom Anbieter stammt, ich Material verwende, das ich nicht verwenden darf, wie Logos anderer Unternehmen, Bild- und Textmaterial, das in Deutschland verboten ist UND nochmal: es versäume auf die Manipulation der Site hinzuweisen, wird es in meinen Augen illegal.
Kann sein, dass meine persönliche Rechtsauffassung von der offiziellen/juristischen abweicht.
Wenn ich mein Fahrzeug unverschlossen abstelle und den Schlüssel stecken lasse, wird es damit nicht legal, wenn jugendliche Unvernunft das Fahrzeug zum Joyride nutzen und es zu einem Schaden kommt. Allerdings trage ich als Fahrzeughalter eine Verantwortung. Schäden die während des Joyrides entstehen werden vom Fahrzeughalter mitgetragen.
Campina hat noch immer den Schlüssel im Fahrzeug und jugendliche Unvernunft fährt mit der Site Schlitten.
Was den Schmähkritk-Vorwurf in Deinem Beitrag auf Neun 12 anbelangt, so haben Komödianten oder das Satire-Magazin Titanik schon häufig einen vergleichbaren Ton hingelegt und es wurde als Satire betrachtet.
BTW: Im Artikel zu CSRF wird deutlich unterschieden zwischen einer Eingabe mit Kenntnis der Manipulation und ohne. Eine Attacke wird primär gesehen, wenn mit dem untergeschobenen Inhalt auch eine Täuschung vorliegt.
June 29th, 2009 22:52
Du sagst es: Komödianten oder das Satire-Magazin. Der Name ist Programm.
Sicherlich würdest du dich auch vor Lachen ausschütten wenn hier plötzlich unbekannte Kommentatoren auftauchen und dich mit “Hallo du doofe Dumpfbacke” begrüßen. Du würdest doch, oder nicht? Ist doch alles nur Spaß…
Das man Blödsinn im Nachhinein als Satire deklariert ist mittlerweile genauso ausgelutscht wie jeden möglichen Mist als “freie Meinungsäußerung” zu tarnen.
Bei Titanic oder Volker Pisper weis ich das sie Satire machen. Bei einem unbekannten Blogger weis ich nicht ob er es ernst meint oder nicht. Da sein Blog überwiegend satirefrei ist, kann man wohl davon ausgehen das es keine Satire ist. Ansonsten sollte man es zur Sicherheit besser dran schreiben. Frag mal den Pantoffelpunk.