Sicherheit private PN

Hallo,

primär kommt das natürlich auf die eingesetzte Forensoftware an, wie diese die Mailverwaltung integriert hat und ob diese einen Zugriff gewährt.

Sofern ein Admin allerdings auch Zugang zum Server hat, können Emails jederzeit eingesehen werden.
Linux-Systeme (meistens als Basis für Foren genommen) können zwar unterschiedliche Mailsysteme im Einsatz haben, jedoch ist der "Quelltext" einer Email in nahezu allen Konfigurationen am Server im Klartext vorhanden.

Meistens ist es nicht so ganz einfach, den Inhalt einer Mail zu lesen, da der Quelltext einer Email schon sehr abweicht vom Endformat, dass man in einem Mailclient sieht. Aber mit ein bisschen Linuxwissen kann man hier sehr einfach zumindest die entsprechenden Informationen auslesen.

Ich kenne keine Forensoftware (wobei ich mich hier nicht als Profi bezeichnen würde), die einem Sys-Admin (oder root als höchste Instanz) den Zugriff auf Mailpostfächer gestatten würde (mit Ausnahme: Kennwortreset falls Funktion implementiert und Emails löschen, falls Quota überschritten ist).

Fazit:
kein 100%iges NEIN, aber im erweiterten Zugriff auf den Server jederzeit ein klares JA.

PS: wobei dies nicht nur jeder Anbieter eines Mailaccounts, sondern auch jeder Sysadmin eines Servers, der als Zwischenstation für die Mailauslieferung dient, lesen kann (sofern die Emails nicht verschlüsselt übertragen werden).

liracon Wieso sollten die PNs ein eMail System nutzen?

JSanny Natürlich geht dass, völlig unabhängig von der eingesetzten Forensoftware.

Die Software speichert irgendwo die Daten, da wird man sinnvollerweise auch die Datenbank benutzen und darauf hat der Admin selbstverständlich Zugriff. Selbst wenn die Forensoftware selbst kein Interface dafür bereitstellt könnte man direkt die Datenbank ansprechen.

warum Emailsystem:
weil nicht jede Forensoftware in SQL-Datenbanken abspeichert, kommt sicher auch auf das Frontend an.

Wobei Datenbankspeicherung immer einen Adminzugriff ermöglicht.

Das die Rechte von Moderatoren so weit gehen, glaub ich nicht.

Ich spreche mal aus eigener Erfahrung, bezogen auf vBulletin, wo anders kann ich weniger mitreden.

Die vBulletin Software gestattet es weder Admins noch Moderatoren, von Haus aus so ohne weiteres auf die PMs der User zuzugreifen.
Solch eine Funktion ist nicht implementiert.
Ausnahme: PM-Fach der User löschen, wenn es überquillt. Da aber auch kein Lesezugriff.

Aber wie hier schon festgestellt wurde:
Aus der SQL-Datenbank könnte man die Texte der PMs heraussuchen.
Ist aber etwas umständlich, da Server-Zugriff und SQL-Tool nötig.
Wäre den Aufwand auch irgendwie nicht wert.
Wozu auch?

Wie gesagt, meine Aussagen sind alle auf vBulletin bezogen.
Ich denke aber, daß das in anderen Forensoftwares ähnlich ist.

Der Verantwortliche für die Technik hat Zugriff auf die Daten. Die Daten liegen alle in einer Datenbank und können demnach aus ausgelesen werden. Wenn die Forensoftware für so etwas keine eigenen Funktionen bietet, so lässt sich eine Datenbank auch einfach so mit einem entsprechenden SQL-Browser durchwühlen (wenn auch umständlicher).

Moderatoren oder Forenadminstatoren haben meist keinen Zugriff auf solche daten, ausser die betreffenden Personen haben halt auch direkten Zugriff auf die Datenbank.

Natürlich kann ein Admin das. Genauso wie die GMX, web.de oder wie-auch-immer-Admins Deine im dortigen Postfach liegenden Mails lesen können, Dein Provider Deine aufgerufenen Webadressen sieht und die ICQ-Admins um Deine Chatinhalte wissen. Mich wundert nur, daß Dich das wundert.

Inwieweit das Einsehen rechtlich zulässig ist, mußt Du einen Juristen fragen, da gibt es sicher Einschränkungen, aber technisch dürfte das i.d.R. möglich sein.

deswegen sollte man die pn-funktion nicht für vertrauliche gespräche nutzen. schon normale (unverschlüsselte) e-mails wären imho sicherer.

Ich kann nur für dieses Forum reden, da ich in keinem anderen Moderator bin.

Und in diesem Forum haben zumindest die Moderatoren keinen Zugang zu den PNs der User.

Ob A. Topal als Admin diesen Zugang hat, weiss ich nicht.

Zitat von Road-Runner

Ob A. Topal als Admin diesen Zugang hat, weiss ich nicht.

Wie bereits gesagt: Als Admin des Servers könnte er sich diesen Zugang jederzeit verschaffen. Es gibt zwar einen phpBB-Mod zum Lesen von PNs im Admin-Panel, aber den müsste er nichtmal installieren. Wer Vollzugriff auf den Server hat, hat auch Vollzugriff auf die Datenbank des Forums. Man braucht die Datenbank nur in ein Frontend zu laden (für MySQL gibt es z. B. das sehr komfortable und ausgereifte phpMyAdmin, das auch viele Shared-Hosting-Provider vorinstallieren) und kann dann einfach die Tabelle mit den privaten Nachrichten öffnen.

Zitat von cubefox

schon normale (unverschlüsselte) e-mails wären imho sicherer.

Das kann man so nicht sagen, es ist lediglich eine Frage dessen, wem man mehr vertraut. A.Topal hat Vollzugriff auf den Forumserver, die Admins (d)eines Mailservers haben Vollzugriff auf ebendiesen. In beiden Fällen liegen Daten unverschlüsselt vor, können also eingesehen werden, sobald man an die auf dem Server liegenden und nicht durch ein Frontend verarbeiteten bzw. verborgenen "Rohdaten" herankommt.

Ich habe keine Veranlassung, A.Topal weniger zu trauen als dem Admin eines Mailproviders (wobei ich meinen Mailserver selbst betreibe und mir selbst natürlich mehr vertraue als allen anderen, aber das sei jetzt mal dahingestellt). Beide könnten auf meine persönlichen Nachrichten zugreifen und ich muss beiden vertrauen, dass sie es nicht tun.

Hi,

die technischen Ausführungen von PIGSgrame entsprechen auch meinem Kenntnisstand.

Und das es geht und auch eingesetzt wird habe ich und viele andere bereits am eigenen Postfach eines Forums gespürt:
Dort wurde der Inhalt von PN automatisch zensiert um die Existenz eines entstehenden, themengleichen Forums zu verschleiern,
die User meist kurz darauf ohne irgeneinen Hinweis gesperrt und teilweise wurden sogar ganze ip-bereiche dicht gemacht um den kompletten zugang zum forum zu sperren.
Dazu reichte es auch schon aus von neuen Forum aus einem link zum alten zu folgen, dann konnte man zunächst die homepage gar nicht aufrufen solange dieses cookie gesetzt war und meist war kurz darauf der entsprechende account gleich ganz weg.

In meinem fall war es sogar so, dass ich im alten forum schon ewig nicht mehr aktiv war und eigentlich dachte ein gutes verhältnis zum admin gehabt zu haben.
Irgenwann postete ich dann jemanden im neuen forum lediglich wie man im firefox seine cookies löscht und plötzlich war mein jahre alter account für mich nicht mehr erreichbar.

Also die komplette Kiste paranoia - genützt hat es dem admin übrigens nichts

mfg
aces