Portscan meines Rechner per Javascript ohne meine Zustimmung, was sagt das Gesetz dazu ?

[ren22]

Hallo,

wie sieht es eigentlich vom gesetzlichen, bzw. rechtlicher Seite her aus, wenn ich im Browser eintippe: https://IrgendEineWebseite.foo, Enter drücke und damit die Webseite aufrufe und dann aber auch nichts weiter auf der Webseite anklicke, bestätige, etc.. und diese Seite bzw. auch ein Drittanbieter der im Code eingebunden ist, mittels Javascript meinen eigenen Rechner nach offenen Ports scannt ohne meine Zustimmung ?

Vielen Dank

[TomL]

Wie hast Du das festgestellt? Offene Ports auf dem eigenen Rechner müssen eigentlich nicht gescannt werden, die kann man einfach listen lassen, ganz ohne danach zu suchen. Dabei ist zu bedenken, dass mit offene Ports die Ports gemeint sind, auf denen aktuell irgendein Dienst lauscht.

[DeletedUserReAsG]

Ein Portscan ist ’n vollkommen normaler Vorgang. Und wenn du überlegst, ebay zu verklagen (ich behaupte nun einfach mal, dass es um deren Portscans geht, von denen vor einigen Tagen zu lesen war): die machen’s nur bei Windowsrechnern, und irgendwo tief in deren AGB hast du sicher auch die Zustimmung dafür gegeben. Gleich unter dem Absatz, in dem du die Rechte an deiner Seele überträgst.

[ren22]

Ein Portscan ist ’n vollkommen normaler Vorgang.

Nein, ist es nicht! Wo kommen wir den da hin.. siehe Text unten

Und wenn du überlegst, ebay zu verklagen (ich behaupte nun einfach mal, dass es um deren Portscans geht, von denen vor einigen Tagen zu lesen war): die machen’s nur bei Windowsrechnern,
und irgendwo tief in deren AGB hast du sicher auch die Zustimmung dafür gegeben. Gleich unter dem Absatz, in dem du die Rechte an deiner Seele überträgst.

Stimme ich schon den AGB's zu wenn ich nur auf die Webseite gehe, ohne angemeldet/registriert/ zu sein ?
Ich denke das OS spielt keine Rolle Restrict access to localhost, habe ungoogled Chromium drauf und bin auf deren Webseite gegangen und habe mir mit den Entwickler Werkzeugen den Code angeschaut, da kannst du dann in der test.js dir den Code zu "scanports" selber anschauen.

@niemand
Aber mal ganz ehrlich, wenn ich mir ein Staubsauger Berater nach Hause bestelle und ich in einem Mehrfamilienhaus wohne und dieser Berater schaut vor oder nach der Beratung welche Türen offen sind, dann hat das nicht mehr mit Berater zu tun. (Der Staubsauger Berater dient in dem example nur als Vergleich zu Produkten die auf einer Webseite angezeigt werden). Sämtliche Webseiten, wenn es stimmt, dann um die 30000, die mit ThreatMetrix zu tun haben machen diesen "Shice"!

Aber was sagt eigentlich das Gesetz zu solche Aktionen ?



gerade aktuell, hier auf meinem Rechner

@TomL
weitere Informationen

[wanne]

Wenn du nicht willst, dass Webseiten irgend welches wildes Zeug machen, dem du nicht zugestimmt hast dann führe kein JS aus.
Wenn man Dinge aus dem Internet runter lädt und dann ausführt machen die Dinge. Und der Portscan (also das verbinden auf irgend welche Ports ohne anschließend irgend was darüber zu übertragen) ist mit Sicherheit das mit Abstand harmloseste, was E-Bay dir da verpasst. E-Bay sogar Verbindungen auf irgend welche Ports auf und überträgt dann hässliche Bilder. Das müsste also mindestens zehn mal so schlimm sein.
Das Ebay jetzt so blöd war ihre Funktion port-scan statt "Sicherheitsoptimierung" oder "librtc" genannt hat und irgend welche Volltrottel das dann deswegen für ganz besonders Böse halten tut gesetzlich wenig zur Sache. Jede Videokonferenzseite hat ähnliche Funktionen nur halt ohne den bösen Namen.
Trieal and Error ist halt ein beliebtes Pattern, das verdammt oft zum Einsatz kommt. Btw. auch im real life: Ich wette, dass so mancher Staubsaugerberater genau das macht: Mal an allen Klingeln klingeln und gucken, wo jemand antwortet. Unseren Postboten erwische ich dabei auch dauernd. Einfach mal beim Nachbarn klingeln und hoffen dass da jemand da ist, der zustellen kann.

Stallman hat sich ja schon ausführlich zum Thema JS und die fehlende Zustimmung geäußert. Natürlich kann man das als Problematisch ansehen, dass Programme ohne Zustimmung ausgeführt werden. Aber dann eben auch hier im Debianforum, wo die Bildschirmgröße ausgekundschaftet wird und danach der Curser versetzt wird oder bei youtube, wo der Internetanschluss ausgekundschaftet wird und entsprechend die Videoqualität angepasst wird.
Und ganz sicher bei recaptcha, dass durch Überwachung der Mausbewegung versucht herauszufinden ob wirklich eine Person vor dem Bildschirm sitzt. Das ist so zu 100% das selbe wie E-Bay, dass das selbe herauszufinden versucht, indem es überprüft ob Fernwartungssoftware läuft. – Mit dem Unterschied, dass die E-Bay Methode vermutlich zuverlässiger und weniger nervig ist.

[DeletedUserReAsG]

wenn ich mir ein Staubsauger Berater nach Hause bestelle und ich in einem Mehrfamilienhaus wohne und dieser Berater schaut vor oder nach der Beratung welche Türen offen sind, dann hat das nicht mehr mit Berater zu tun.

Oft gelesener Vergleich, ist aber grundfalsch: Dein Rechner ist nunmal kein Mehrfamilienhaus, und das Scannen der Ports wäre in so einem Vergleich, wenn man ihn denn trotzdem anstellen möchte, auch eher mit dem Betätigen der Klingeln vergleichbar: technisch gesehen wird gefragt, ob hinter diesem Port ein Programm hängt, das antwortet. Ob da ein Programm ist, und ob und wie das antwortet, liegt in deiner Verantwortung.

Aber was sagt eigentlich das Gesetz zu solche Aktionen?

Nix. Ein Portscan ist kein Angriff oder unauthorisierter Zugriff. Nicht mal ein Versuch.
Edit:

Nach Einschätzung der Heise-Rechtsabteilung sind die Voraussetzungen zur Strafbarkeit nach § 202a StGB ("Ausspähen von Daten") oder auch § 303b StGB ("Computersabotage") im vorliegenden Fall – zumindest im Hinblick auf den bloßen Portscan – nicht gegeben. Auch datenschutzrechtlich sei das Portscanning, anders als etwa die Erhebung und Verarbeitung von IP-Adressen, nicht problematisch.

Anders sähe es aus, wenn da verschiedene Exploits auf gefundene offene Ports losgelassen würden – aber wegen ’nem popeligen Portscan ’n Drama inszenieren? Vielleicht solltest du deinen Rechner vom Stromnetz trennen, und lieber was anderes machen …

gerade aktuell, hier auf meinem Rechner

Ein weiterer Irrtum: dass eine Funktion im Code vorhanden ist, heißt nicht automatisch, dass sie auch ausgeführt wird. Es gibt in Programmen Kontrollstrukturen, weißt du?

Wie auch schon vom Sicherheitsforscher beobachtet, fand der Scan unter Linux nicht statt.

[debianuser4782]

Es ist in der Allgemeinheit leider viel zu wenig bekannt, dass sehr häufig Schadcode über auf (nicht bösartigen) Internetseiten von Drittanbietern geschaltete Werbung in Wechselwirkung mit der komplexen Browsersoftware tritt. Für mich ist dies eines der Hauptgründe, warum insbesondere Javascript weitgehend augeschaltet bleiben sollte und der Internetbrowser in einer virtualisierten - am besten nicht-persistenten (zB virtualisierte Live-Distribution) - Umgebung laufen sollte.
Der Code der Internetbrowser ist viel zu komplex und das Internet samt IT viel zu unreguliert ("gesetzeslos"/"wild-west"), als dass mir eine andere Gangart vernünftig erschiene.