Datei auf Domain abgelegt angeblich frei zugänglich ?

#1 @all

Ich habe im Moment einen Rechtsstreit und mein Anwalt sitzt in ~450 km Entfernung. Ich muss ihm Informationen zugänglich machen. Diese Worddatei hat 28,5 MB. Da sie für den Mailversand natürlich zu groß ist und das ganze schnell gehen muss lade ich sie auf meine Domain auf der eine Site läuft. Wenn man www.domainname.de eingibt bekommt man die Startseite zu sehen. Da der Anwalt PC-blond ist und ein erster Versuch mit einem Passwort geschützten Verzeichnis zu Problemen in der Kanzlei geführt hat lege ich ein anderes Verzeichnis an ohne PW und lege die Datei dort ab. Den Downloadlink bekommt der Anwalt per Mail mit der Bitte um Mitteilung wenn er die Datei hat die danach sofort gelöscht wurde.

In einer Verhandlung hat die Gegenseite diese Datei ebenfalls und behauptet, dass sie frei runter zu laden gewesen wäre. Eigene Versuche mit legalen Mitteln an die Datei zu kommen führt bei mir zu folgendem Ergebnis

Versuch mit Firefox


Versuch mit IE


Versuch mit FlashFXP

Zitat

[R] Connecting to domainname.de -> DNS=domainname.de IP=xx.xxx.xx.xx PORT=21
[R] Connected to domainname.de
[R] 220 FTP Server ready.
[R] USER anonymous
[R] 331 Password required for anonymous
[R] PASS (hidden)
[R] 530 Login incorrect.
[R] Connection failed
[R] Delaying for 120 seconds before reconnect attempt #1

Dazu sollte man noch sagen, das der Dateiname ca. so aussah ganze_Geschichte_xxxx_xxxx_fuer_Herrn_XYZ.doc


Zwar ist mir in der Zwischenzeit klar, wie die andere Seite an die Datei kam doch wird dieses Thema in einer weitern Verhandlung zur Sprache kommen und ich will nun von Leuten die nachweislich davon etwas verstehen wissen ob es ihrer Ansicht nach eine legale Methode gab an die Datei zu kommen.

KDE

#2 1)
Warum versuchst du nicht einfach den absoluten Pfad wie zb.

http://www.deindomainname.de/Anwalt/meinedocdatei.doc

Geht das nicht?

2)
Ist das nun deine Domain?

3)
Warum hast du kein Zugriff auf den Webspace?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3

Zitat

Xeper postete
1)
Warum versuchst du nicht einfach den absoluten Pfad wie zb.

http://www.deindomainname.de/Anwalt/meinedocdatei.doc

Geht das nicht?

2)
Ist das nun deine Domain?

3)
Warum hast du kein Zugriff auf den Webspace?

@Xeper


Am liebsten würde ich Dich bitten deine Antwort zu löschen denn was ich wollte waren Antworten von nachweislichen Sicherheitsexperten. Du hast offensichtlich überhaupt nicht verstanden worum es geht

KDE

#4 @KDE

Am besten du löscht gleich deinen ganzen eigenen Thread und fängst an selber Experte zu werden
Ich brauche dir nichts zu beweisen, jemand anderes auch nicht.
Warum sollten dir die Leute helfen wenn du solch ein Verhalten an den Tag lägst
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 @Xeper

Ich wollte und will auch immer noch die Antworten hier so sie fachlich fundiert sind in dem folgenden Behördlichen Verfahren als Argument / Beweis verwenden. Das ich an meine Datei kam ist wohl klar, denn ich verwende im FlashFXP wohl auch kaum USER anonymous sondern meine Zugangsdaten. Ich habe mit anonymisierten Daten dargestellt was ich für Antworten erhalte wenn ich die Daten wie z.B. Name des Folder und Name der Datei nicht habe, dort einfach aufs "geratewohl" nach etwas suche denn die Gegenseite hat behauptet, dass jeder hätte die Datei frei runter laden können

Zitat

und fängst an selber Experte zu werden

ob ich das werde oder bin ist nicht wichtig denn in einem behördlichen Verfahren bei der ich Partei bin wird meine Meinung meine Aussagen anders gewertet als wenn eine derartige Aussage von einer fachlich kompetenten Person kommt die unbeteiligt ist.

KDE

#6

Zitat

meine Datei kam ist wohl klar, denn ich verwende im FlashFXP wohl auch kaum USER anonymous sondern meine Zugangsdaten. Ich habe mit anonymisierten Daten dargestellt was ich für Antworten erhalte wenn ich die Daten wie z.B. Name des Folder und Name der Datei nicht habe, dort einfach aufs "geratewohl" nach etwas suche denn die Gegenseite hat behauptet, dass jeder hätte die Datei frei runter laden können

HTTP und FTP sind wohl kaum das selbe, weder technisch noch sonst wie.
Wenn du die Datei in deinem Webspace ablegst und die Zugangsrechte (aka permissions) richtig sind dann kann man Sie übers Web (HTTP) ziehen/anschauen.

Solltest du auf ein Verzeichnis .../beliebigesdirectory/ zugreifen wollen und es befindet sich keine index Datei (ist standardmäßig vom webserver voreingestellt, dateien wie index.php index.html default.html etc.) dann wird das Verzeichnis nicht angezeigt es sei denn es ist entweder A) das DirectoryListing standardmäßig an (unwahrscheinlich/insecure) oder B) du spezifizierst das mit der Apache-Kontrolldatei .htaccess.
(Apache ist der meist genutzte Webserver)
Solltest du den exakten Dateinamen kennen dann kannst du auf die Datei natürlich zugreifen (sofern permissions korrekt sind wie oben beschrieben).

Bei FTP brauchst du logischerweise deine exakten Daten (User/Passwort).

Zitat

ob ich das werde oder bin ist nicht wichtig denn in einem behördlichen Verfahren bei der ich Partei bin wird meine Meinung meine Aussagen anders gewertet als wenn eine derartige Aussage von einer fachlich kompetenten Person kommt die unbeteiligt ist.

Jo aber du brauchst die Leute nicht gleich anzufahren wenn Sie dir einige Gegenfragen stellen, dass Leben ist kein Wunschkonzert es kann durchaus sein das du eine Antwort bekommst die nicht unbedingt was mit dem was du willst zu tuen hat.
Das ist kein Grund auszurasten weil dies hier ist ein Forum und Leute unterhalten sich und diskutieren, dass ist kein Abhol-Support Forum, wenn es das wäre möchte ich auch ordentlich von dir bezahlt werden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 @Xeper

Du hast mich immer noch nicht verstanden, denn Aussagen wie

Zitat

Wenn du die Datei in deinem Webspace ablegst und die Zugangsrechte (aka permissions) richtig sind dann kann man Sie übers Web (HTTP) ziehen/anschauen.

helfen keinem Richter bei der Beurteilung ob man an die Datei so einfach rankommen konnte oder nicht weil er davon nichts versteht. Ich hab mich mit meiner Frage in der Zwischenzeit an http://www.bsi.de/ gewand und hoffe von dort die allgemein verständliche Antwort zu bekommen die ich brauche.

Ich versuch es aber nochmal einfach zu verdeutlichen

wenn Du auf deiner Domain in einem Unterverzeichnis in dem es natürlich keine Index.xyz gibt eine Datei ablegst wird sie nach meinem Dafürhalten für niemanden frei zugänglich sein der weder den Namen des Unterverzeichnisses noch den Dateinamen kennt.

KDE

#8

Zitat

helfen keinem Richter bei der Beurteilung ob man an die Datei so einfach rankommen konnte oder nicht weil er davon nichts versteht. Ich hab mich mit meiner Frage in der Zwischenzeit an http://www.bsi.de/ gewand und hoffe von dort die allgemein verständliche Antwort zu bekommen die ich brauche.

Es geht sich nun mal hier um technische Gegebenheiten und sonst sollte man ein Gutachter zu Rate ziehen.

Zitat

wenn Du auf deiner Domain in einem Unterverzeichnis in dem es natürlich keine Index.xyz gibt eine Datei ablegst wird sie nach meinem Dafürhalten für niemanden frei zugänglich sein der weder den Namen des Unterverzeichnisses noch den Dateinamen kennt.

Höchst wahrscheinlich kann jeder darauf zugreifen aber nur mit dem absoluten Pfad also: http://www.deinedomain.de/deinverzeichnis/deinedatei.doc

Ansonsten geht das nicht, es sei denn das DirectoryListing ist an und man beim Zugriff auf das Verzeichnis alle Dateien sehen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9

Zitat

Ansonsten geht das nicht, es sei denn das DirectoryListing ist an und man beim Zugriff auf das Verzeichnis alle Dateien sehen.

dass das nicht an ist, ist oben zu sehen denn die Pics wurden genau dort gemacht mit unveränderten Einstellungen nur für das Posting hier habe ich die Daten in der Adresszeile verändert.

Ich bin mir sehr wohl darüber im klaren, dass im behördlichen Verfahren nötigenfalls ein Gutachter zu rate gezogen werden muss. Wenn mir hier aber jemand gesagt hätte, dass man z.B. im Firefox mit aktivierter XY Option alles Listen kann könnte man sich sowas sparen.


KDE

#10

Zitat

Ich bin mir sehr wohl darüber im klaren, dass im behördlichen Verfahren nötigenfalls ein Gutachter zu rate gezogen werden muss. Wenn mir hier aber jemand gesagt hätte, dass man z.B. im Firefox mit aktivierter XY Option alles Listen kann könnte man sich sowas sparen.

Eher unlogisch, ein Client sich über einen Server hinwegsetzen?
Dann könnte ja jeder hinz und kunz überall jeden Blödsinn machen.
Nene ein Client kann nur in dem Maße agieren in dem es der Server zu läßt,
dass gilt für sämtliche Protokolle.

Bei mozilla-firefox gibt es solch eine Option nicht, keine die mir bekannt ist und ich nutze das Programm seit dem es auf der Welt ist.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode