Ich möchte hier jetzt mal ein bisschen Panik schüren ;-).
Dieses Gesetz gehört dringends gestoppt. Nicht (nur) wegen der Sperre, sondern wegen des loggens der IP-Adressen, der User die auf der Sperrseite landen.
Laut Gesetz ( http://www.bmwi.de/BMWi/Redaktion/PDF/G … b=true.pdf ) werden die IP-Adressen geloggt und ans BKA zur Strafverfolgung weitergeleitet. (Seite 2 Punkt 5). Dies ist erlaubt im Kontext der Punkte 4 und 2.
2 bezieht sich auf DNS Requests
4 auf HTTP Requests
Daraus folgen folgende Probleme für einen normalen User, der nichts mit KiPo zu tun hat und auch seeehr vorsichtig ist, wenn er auf irgendeinen Link klickt. Aber nehmen wir mal an, er hätte ein paar Feinde (also, er wäre z.B. ein nicht besonderst beliebter Mathelehrer)
I. DNS Prefetching
Das Gesetz spezifiziert leider nicht genau, ob bereits ein DNS Request zu einer gesperrten Seite strafbar ist. Geloggt werden dürfen sie auf alle Fälle.
Was ist da jetzt das Problem?
Browser wie Firefox 3.5 und Google Chrome benutzen DNS Prefetching. Das bedeutet, wenn eine Seite geladen wird, sucht der Browser alle Links, die auf dieser Seite enthalten sind und löst die Hostnamen in den Links schon mal auf. Damit wird eine Seite etwas schneller aufgerufen, wenn der User auf einen Link klickt, da der Browser bereits die DNS-Auflösung erledigt hat, während der Benutzer die Seite noch gelesen hat.
PROBLEM: Nehmt ein Forum wie dieses hier. Jemand postet einen Link auf eine gesperrte Seite in einem Beitrag. Ihr lest diesen Beitrag -> Und zack seid ihr geloggt. Viel Spaß dann auch, wenn der Moderator den Link nicht sofort erkennt (weil er in der Signatur versteckt ist, z.B.), ihr mehrere Beiträge mit diesem Link aufruft und damit mehrmals in der Logdatei auftaucht.
Viel Spaß beim Beweisen, dass ihr diese Seite nicht aufgerufen habt.
II. Image Attack
Selbst wenn klargestellt wird, dass der DNS Request nicht geloggt wird, kann man selbst HTTP Requests mit einfachen Methoden, die man in einem Forum anwenden kann, manipulieren.
Image Attacks sind ganz einfach und werden auch gerne bei sogenannten CSRFs eingesetzt.
Dabei verwendet man folgenden Trick: Man erstellt auf einer Seite einfach ein Bild und gibt als Quelle die gesperrte Seite an (geht ja hier ganz einfach mit dem img-Tag). Besucht ein Browser diese Seite, so ruft er alle darauf enthaltenen Bilder ab. Damit startet er eine HTTP-Request auf die gesperrte Seite. -> Ihr seid geloggt.
So, und jetzt stellt euch bitte vor, jemand hier im Forum, der fast in jedem Beitrag seinen Quark dazugegeben hat, ändert seine Signatur und fügt eine solche Image Attack ein. -> Alle Fernsehkritiker sind Kinderf****r
Das ganze funktioniert natürlich auch per Mail, wenn man seine Mails über ein Webinterface abruft.
In Social Networks klappt das auch, z.B. PMs mit Bildern oder Profilseiten, auf denen man Bilder mit freier URL einstellen kann.
III. Andere Attacken
Hat man vollen Zugriff auf den HTML-Code einer Seite, ist natürlich noch viel mehr möglich. JavaScripts, CSS, meta redirection, blablabla. Das dürfte dann kaum mehr ein Problem darstellen.
So, und jetzt versetzt euch bitte in die Lage unseres unbeliebten Mathelehrers. Irgendein Schüler der sich für besonderst cool hält, schickt dem ne Mail mit ner Image Attack. Und zack is er drauf. Der wird sich freuen wenns BKA vor der Tür steht. Vor allem wenn die Mail gut gemacht ist, lässt sich die Attacke gut verstecken, einfach die E-Mail als Werbe-Email von GMX tarnen, Absender kann man sowieso frei wählen, und wenn man das Bild als 1x1 Grafik versteckt, fällt es auch nicht auf.
Und wenn das was unsere Justizministerin verzapft wahr ist (das man seine Unschuld beweisen muss, nicht die Schuld muss bewiesen werden), dann darf er in Zukunft ein Leben in Arbeitslosigkeit fristen.
Vor allem bei DNS Prefetching und versteckten Image-Attacken, ist das natürlich leicht nachweisbar das man die Seite nicht selbst aufgerufen hat.
Und selbst wenn er unschuldig entlassen wird, bei sowas bleibt immer ein bisschen Dreck hängen. Vor allem, wenn man sowieso nicht allzu sehr beliebt ist.
Also, hoffentlich hab ich euch ein bisschen paranoid gemacht.
Wenn ja, dann sucht euch die Adresse eures Bundestagsabgeordneten raus, stattet ihm einen kleinen Besuch ab und weißt ihn darauf hin, wie einfach auch er auf dieser Liste landen könnte.
Wenn nein, seid weiter glücklich, der Strom kommt immer noch aus der Steckdose.