---

Denne URL

http://www.valus.dk/publisering/default.asp?Cid=3%01SHUTDOWN

sendes til "Valus Webserver" jf skitse på

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=17176

Hvad gør "Valus Webserver" så?

Den udskiller hvad der står efter ? og sender det videre til
"Valus Publish Webserver", som er en fysisk separat maskine
og server?

"Valus Webserver" som er maskinen ud mod internettet kører
videre, men viser nu følgende tekst pga at den bagvedliggende
"Valus Publish Webserver" er lukket ned og ikke længere
leverer indhold til "Valus Webserver"?

"Microsoft OLE DB Provider for ODBC Drivers error '80004005'

[Microsoft][ODBC SQL Server Driver][TCP/IP Sockets]General network error. Check your network documentation.

/publisering/Include/dbtop.asp, line 8"

jf debatindlæg 14124 på

http://debat.computerworld.dk/thread.asp?Mode=View&threadID=3700

--
Cubus
http://cubus-adsl.dk/

---

Cubus skrev:

>Denne URL
>http://www.valusXXXX.dk/publisering/default.asp?Cid=3%01SHUTxxxxDOWN

(Har indsat X'er)

Det er ret uansvarligt at poste sådan en url. Selv med en grundig
forklaring som indledning synes jeg ikke det ville være i orden.

Der skal ikke meget til før én eller anden rent rutinemæssigt
klikker på linket for at se hvad det er der står på den linkede
'side'.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>>http://www.valusXXXX.dk/publisering/default.asp?Cid=3%01SHUTxxxxDOWN
> Det er ret uansvarligt at poste sådan en url. Selv med en grundig
> forklaring som indledning synes jeg ikke det ville være i orden.
> Der skal ikke meget til før én eller anden rent rutinemæssigt
> klikker på linket for at se hvad det er der står på den linkede
> 'side'.

Kan det ikke være ligemeget ? de har jo rettet fejlen.

// Hans
--
http://www.dkfritidmotorcykel.dk/?id=43

---

Hans Joergensen wrote:
>
> Bertel Lund Hansen wrote:
> >>http://www.valusXXXX.dk/publisering/default.asp?Cid=3%01SHUTxxxxDOWN
> > Det er ret uansvarligt at poste sådan en url.

> Kan det ikke være ligemeget ? de har jo rettet fejlen.

Det er stadig uansvarligt. Det kunne opfattes som et forsøg på at lægge
serveren ned. Flere af dem, der er anklaget, kom heller ikke længere end
til forsøget.

Man kan spekulere på, hvor Cubus poster linket.

--
Mvh. Kim Ludvigsen
Gør browseren bedre med aktive bogmærker (bookmarklets).
http://kimludvigsen.dk

---

Bertel Lund Hansen wrote:
>
> Det er ret uansvarligt at poste sådan en url.

Det gør næppe nogen forskel. Den findes alligevel
allerede så mange andre steder. Der kommer sikkert
jævnligt søgemaskiner forbi og spørger efter den.

Og hullet er alligevel lukket. Jeg synes det er
langt mere betænkeligt, at der sikkert findes et
hav af servere, med nøjagtigt samme hul.

Hvad jeg synes er langt mere uansvarligt er, at
virksomheder bevidst lader den slags huller stå
åbne, fordi man ikke vil afsætte tid til at rette
fejl.

Når hullet så bliver opdaget, forsøger man at
true opdageren til tavshed. Og før eller siden vil
sådan et hul blive opdaget, jeg har selv opdaget
tre af dem ved tilfældigheder. Jeg kunne uden
tvivl finde mange flere, hvis jeg ledte.

Ikke at det er hvad der er sket i den her sag, men
jeg synes da det er mere uansvarligt at efterkomme
en virksomheds ønske om en hemmeligholdelse.

Da jeg selv blev udsat for den slags trusler
valgte jeg at anmelde dem til datatilsynet. (Det
kommer jeg sjovt nok til at tænke på, hver gang
jeg hører om Valus.)

--
Kasper Dupont

---

Kasper Dupont skrev:

>Det gør næppe nogen forskel.

For den nybegynder der klikker på den og måske får en anmeldelse
på halsen, gør det nok en forskel.

Vi er naturligvis enige om at Valus' oprindelige hul er en
væsentligt større fejl end et mere eller mindre ubevidst forsøg
på at benytte det, men Cubus kunne nemt have stillet sit
spørgsmål uden at angive en klikbar URL.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamius@lundhansen.dk> skrev

> Vi er naturligvis enige om at Valus' oprindelige hul er en
> væsentligt større fejl end et mere eller mindre ubevidst forsøg
> på at benytte det, men Cubus kunne nemt have stillet sit
> spørgsmål uden at angive en klikbar URL.

Det kunne jeg da godt, hvis jeg havde anerkendt selvbedrageriafdelingens
synspunkter. Det har jeg imidlertid ikke.

Her er i øvrigt et alternativt anklageskrift:

Redningsmanden VH indstilles herved til Elefantordenen for fornem
udførsel af førstehjælp
ved den 23. maj 2002 klokken 17:06:04 fra en computer med IP-nummer
212.242.53.189, opstillet på adressen xx, ved hjælp af en browser via
Internettet at have sendt en anmodning til serveren i computer, tilhørende
Netaxept A/S, Tjuvholmen 1, Skur 1-0250 Oslo, Norge, hvor redningsmanden
ved hjælp af hjemmeside­adressen "http://www.valus.dk/publisering/default.asp?Cid=3%01SHUTDOWN"
påvirkede serveren således, at en tilknyttet databaseserver blev lukket,
hvorved et truende misbrug af den internettjeneste, der fandtes på
serveren, blev forhindret, ligesom redningsmanden efterfølgende frem til
den 24. maj 2002 klokken 07:11:17 ad 5 gange ved hjælp af samme
URL på ny forsikrede sig om at serveren ikke kunne misbruges, hvilket
imidlertid viste sig at være overflødigt, da Netaxept havde iværksat tiltag,
der forhindrede dette.

--
Cubus
http://cubus-adsl.dk/

---

Cubus wrote:
>
> Her er i øvrigt et alternativt anklageskrift:
>
[snip]

Jeg synes det er meget tankevækkende, at det alternative
"anklageskrift" ser ud til at ligge tættere på sanheden
end originalen.

--
Kasper Dupont

---

Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >Det gør næppe nogen forskel.
>
> For den nybegynder der klikker på den og måske får en anmeldelse
> på halsen, gør det nok en forskel.

Det siger lidt om det grundlag, der bliver anklaget på.

>
> Vi er naturligvis enige om at Valus' oprindelige hul er en
> væsentligt større fejl end et mere eller mindre ubevidst forsøg
> på at benytte det, men Cubus kunne nemt have stillet sit
> spørgsmål uden at angive en klikbar URL.

Øh, klikbar URL? Det her er usenet, det er ren tekst.
Hvis der sker noget hvis du klikker på teksten er det
en feature i din NNTP klient. Hvis du finder to
klienter, der begge leder efter URLer i indlæg kan der
i øvrigt nemt være forskel på, hvad de mener er en URL.

--
Kasper Dupont

---

Kasper Dupont wrote:
>
> Bertel Lund Hansen wrote:
>
> > For den nybegynder der klikker på den og måske får en anmeldelse
> > på halsen, gør det nok en forskel.

> Det siger lidt om det grundlag, der bliver anklaget på.

Nej, Cubus' sag er noget anderledes, for der blev linket ledsaget af en
advarsel.

Det er klart, man risikerer en anmeldelse, fordi det ser ud som et
angreb. Og det er aldrig sjovt at skulle slæbes gennem en undersøgelse,
blot fordi man intetanende har klikket på et link. Jeg tvivler dog på,
at en undersøgelse ville munde ud i en anklage mod klikkeren.

Cubus var derimod ikke i tvivl om, at linket kunne lægge serveren ned,
og han brugte endda linket flittigt.

Jævnfør de tidligere debatter om emnet, er det lidt tvivlsomt, om han
kan dømmes ud fra de valgte paragraffer. Personligt tror jeg, han bliver
dømt, og jeg vil da ønske, at hans indlæg her vil blive inddraget i
sagen. Jeg kan ikke se andet formål med at bringe linket end håbet om,
at nogen vil klikke på det.

> Øh, klikbar URL? Det her er usenet, det er ren tekst.
> Hvis der sker noget hvis du klikker på teksten er det
> en feature i din NNTP klient.

Skal vi ikke gætte på, at 99,9% eller flere af alle de brugte
NNTP-klienter kan finde ud af at lave den pågældende URL om til et
klikbart link?

--
Mvh. Kim Ludvigsen
Har du fortalt din far og mor om Ludvigs Hjørne?
http://kimludvigsen.dk

---

Kim Ludvigsen uttered:
>> Øh, klikbar URL? Det her er usenet, det er ren tekst.
>> Hvis der sker noget hvis du klikker på teksten er det
>> en feature i din NNTP klient.
>
> Skal vi ikke gætte på, at 99,9% eller flere af alle de brugte
> NNTP-klienter kan finde ud af at lave den pågældende URL om til et
> klikbart link?

Kaspers klient (mozilla) gør åbenbart ikke. Min klient (slrn) gør ikke.
Du skal være velkommen til at finde mindst 1998 andre nyhedsklienter der
laver det til en klikbar url.

Som Kasper siger, usenet er ren tekst. Hvis jeg skal stilles ansvarlig
for hvad dit arbitrære software kan finde på at gøre ved mine
plaintext-indlæg, så er der et eller andet galt. Hvis jeg skriver 'rm
-rf /*', dit program gør det klikbart, og du trykker, er det så mit
ansvar?

\\kristian
--
<URL:http://lpf.ai.mit.edu/Patents/knuth-to-pto.txt>
<URL:http://home.att.net/~jbcole/humor/Microsoft_patents.htm>

---

Kristian Thy skrev:

>plaintext-indlæg, så er der et eller andet galt. Hvis jeg skriver 'rm
>-rf /*', dit program gør det klikbart, og du trykker, er det så mit
>ansvar?

Ja en del af det, hvis du er klar over at det bliver lavet om til
et klikbart link i mange læseprogrammer, og hvis du ved at det er
sædvane i indlæg at man sender klikbare links for at illustrere
eller henvise til et eller andet.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Kristian Thy wrote:
>
> Kim Ludvigsen uttered:
>
> > Skal vi ikke gætte på, at 99,9% eller flere af alle de brugte
> > NNTP-klienter kan finde ud af at lave den pågældende URL om til et
> > klikbart link?
>
> Kaspers klient (mozilla) gør åbenbart ikke.

Det skrev Kasper nu ikke. Og sikkert med god grund, URL'en fremstår
nemlig som et klikbart link i Mozilla. Selv min gamle Netscape 2.02 fra
1997 viser URL'en som et link.

> Min klient (slrn) gør ikke.

Er der flere end 0,1%, der bruger den?

> Hvis jeg skal stilles ansvarlig

What Bertel says...

Ved mange lovovertrædelser er det hensigten, der tæller. Jeg har, som
tidligere nævnt, ikke kunnet finde nogen fornuftig forklaring på,
hvorfor Cubus bringer linket, udover at han vil have nogle til at klikke
på det. Cubus er ikke dum, han er udmærket klar over, at der vil være en
pæn stor sandsynlighed for, at flere vil klikke på linket.

--
Mvh. Kim Ludvigsen
Beskyt Internet Explorer mod spyware.
http://kimludvigsen.dk

---

Kim Ludvigsen wrote:
>
> Ved mange lovovertrædelser er det hensigten, der tæller. Jeg har, som
> tidligere nævnt, ikke kunnet finde nogen fornuftig forklaring på,
> hvorfor Cubus bringer linket, udover at han vil have nogle til at klikke
> på det. Cubus er ikke dum, han er udmærket klar over, at der vil være en
> pæn stor sandsynlighed for, at flere vil klikke på linket.

Og hvad så? Mig bekendt er hullet blevet lukket
for flere år siden.

--
Kasper Dupont

---

Kasper Dupont skrev:

>Og hvad så? Mig bekendt er hullet blevet lukket
>for flere år siden.

Det er ikke lovligt at forsøge at bryde ind i et låst hus -
heller ikke selv om forsøget er ineffektivt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >Og hvad så? Mig bekendt er hullet blevet lukket
> >for flere år siden.
>
> Det er ikke lovligt at forsøge at bryde ind i et låst hus -
> heller ikke selv om forsøget er ineffektivt.

Det har jo intet med sagen at gøre.

--
Kasper Dupont

---

Kasper Dupont skrev:

>Det har jo intet med sagen at gøre.

Nej, men jeg troede at en kort hentydning var nok. Tror du da at
det er lovligt at forsøge at lukke et firmas server ned?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >Det har jo intet med sagen at gøre.
>
> Nej, men jeg troede at en kort hentydning var nok. Tror du da at
> det er lovligt at forsøge at lukke et firmas server ned?

Hvem har forsøgt på det?

--
Kasper Dupont

---

Kasper Dupont wrote:

> > Nej, men jeg troede at en kort hentydning var nok. Tror du da at
> > det er lovligt at forsøge at lukke et firmas server ned?
>
> Hvem har forsøgt på det?

Nu kører vi vist i ring. Hvis du går tilbage i tråden, vil du kunne
læse, at et klik på linket hos Valus vil fremstå som et forsøg. Om Valus
gider at gøre noget ved det er en anden sag, men klikkeren kan risikere
at blive målet for en politiundersøgelse for forsøg på at lukke serveren
ned.

--
Mvh. Kim Ludvigsen
Gratis kabaler og bridge
http://kimludvigsen.dk

---

Den Wed, 13 Oct 2004 08:52:18 +0200 skrev Bertel Lund Hansen:
> Kasper Dupont skrev:
>
>>Og hvad så? Mig bekendt er hullet blevet lukket
>>for flere år siden.
>
> Det er ikke lovligt at forsøge at bryde ind i et låst hus -
> heller ikke selv om forsøget er ineffektivt.

Men når man ved på forhånd at forsøget er ineffektivt, er det så
muligt at have til hensigt at bryde ind?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

>Men når man ved på forhånd at forsøget er ineffektivt, er det så
>muligt at have til hensigt at bryde ind?

Er det muligt ikke at have til hensigt at bryde ind når man laver
et indbrudsforsøg?

Og hvem kender Valus' system så detaljeret at de ved at det
*faktisk* er lukket effektivt?

Og selv om man slipper til sidst når man får overbevist Valus og
ordensmagten om at man ikke havde en eller anden hensigt - er det
så særlig sjovt at få ørerne i maskinen og ens computere
beslaglagt i temmelig lang tid?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Den Wed, 13 Oct 2004 17:53:10 +0200 skrev Bertel Lund Hansen:
> Kent Friis skrev:
>
>>Men når man ved på forhånd at forsøget er ineffektivt, er det så
>>muligt at have til hensigt at bryde ind?
>
> Er det muligt ikke at have til hensigt at bryde ind når man laver
> et indbrudsforsøg?

Lad os tage et andet eksempel:

Jeg "forsøger at myrde dig" ved at skyde dig med en vandpistol. Jeg
ved med 100% sikkerhed (ok, så 99,999999%) at forsøget er indeffektivt.

Er det muligt at jeg havde til hensigt at du skulle dø af det?

> Og selv om man slipper til sidst når man får overbevist Valus og
> ordensmagten om at man ikke havde en eller anden hensigt - er det
> så særlig sjovt at få ørerne i maskinen og ens computere
> beslaglagt i temmelig lang tid?

Hvis man bliver sigtet for at have det til hensigt, når det er
umuligt at have det til hensigt, så er det håbløst at begynde at
undgå at overtræde noget. Så bliver det næste vel at man skal lade
være med at køre på cykel, for ikke at få en bøde for at køre 130
hvor man må køre 80, selvom man er i så dårlig form at man umuligt
kan køre over 30.

Lad mig fortælle en lille historie...

Dengang jeg gik i anden klasse, snakkede nogen af drengene i klassen
om hvem der "turde give politiet fingeren" når de kørte forbi. Der var
et par stykker der sagde de godt turde, men ingen turde række tunge.
Dertil var politiet simpelthen for farlige. (Ignorer blot det totalt
meningsløse i at gøre det, vi snakker om elever i anden klasse). Da
jeg blev ældre gik det op for mig at politiet rent faktisk er her for
at hjælpe os, ikke for at være nogen farlige sataner man skal være
bange for hele tiden. Det sidste er kun noget der sker i USA og en
sjælden gang ovre på den svenske side af storebælt. Men visse personer,
- især folk der skriver i d.v.jura, men dit indlæg giver lidt samme
fornemmelse - forsøger at give os den overbevisning at lige så snart
der er computere indblandet, er politiet igen de farlige sataner som
vi troede i anden klasse, og kun til for at hjælpe inkompetente
norske wannabe-programmører med ikke at blive afsløret i deres
inkompetence. Jeg ved ikke om det er jeres mening at skræmme folk,
men hvis ikke det er, synes jeg I skal tænke lidt mere over de
skræmmebilleder I maler, og helst os stakkels PC-ejere med mere
kendskab end minestryger begynder at overveje hvad vi skal gøre når
ser en betjent - spørge om hvor vinkelvej ligger, eller gemme os bag
nærmeste hæk.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> writes:
>Lad os tage et andet eksempel:
>
>Jeg "forsøger at myrde dig" ved at skyde dig med en vandpistol. Jeg
>ved med 100% sikkerhed (ok, så 99,999999%) at forsøget er indeffektivt.
>
>Er det muligt at jeg havde til hensigt at du skulle dø af det?

Hvis din vandpistol til forveksling ligner en rigtig pistol, så
vil politiet nok frygteligt gerne undersøge den nærmere. Det er
præcis det samme med "hackersager": man er nødt til at undersøge
omstændighederne.

Men hvor en betjent sagtens kan se forskel på en vandpistol og
en rigtig én, når han står med den i hånden, er det ikke lige så
simpelt med en pc.

Det kan godt være, at forsøget er harmløst, og at der ikke lå
nogen onde tanker bag. Men hvordan kan man konstatere det uden
at kigge brugeren(s pc) efter i sømmene?

Det er jo også det eneste, man "risikerer" ved at prøve: at det
er nødvendigt at indlede en efterforskning. Man bliver jo ikke
dømt alene fordi man har tastet en URL ind. Det er hensigten,
der tæller.

Mvh.
   Klaus.

---

Kent Friis skrev:

>Jeg "forsøger at myrde dig" ved at skyde dig med en vandpistol. Jeg
>ved med 100% sikkerhed (ok, så 99,999999%) at forsøget er indeffektivt.

Hvis du stiller dig op i en bank med din vandpistol, og den
ligner en rigtig pistol bare nogenlunde, så vil du få en alvorlig
sigtelse på halsen og blive dømt.

EOD.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Den Wed, 13 Oct 2004 19:14:21 +0200 skrev Bertel Lund Hansen:
> Kent Friis skrev:
>
>>Jeg "forsøger at myrde dig" ved at skyde dig med en vandpistol. Jeg
>>ved med 100% sikkerhed (ok, så 99,999999%) at forsøget er indeffektivt.
>
> Hvis du stiller dig op i en bank med din vandpistol, og den
> ligner en rigtig pistol bare nogenlunde, så vil du få en alvorlig
> sigtelse på halsen og blive dømt.

Bemærk "ved at skyde".

Hvis mig bare EN vandpistol der ligner en rigtig pistol når man skyder
med den.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:

> Lad os tage et andet eksempel:

Uanset, hvilke eksempler du bruger, så ændrer det ikke på, at her i
Danmark spiller hensigten en vigtig rolle i mange lovovertrædelser. Hvis
du har fået at vide, at der er syre i en vandpistol, og du skyder en
person med den, så kan du blive dømt for drabsforsøg, også selvom der
kun var vand i pistolen. Omvendt, så vil du ikke blive dømt for at skyde
med en vandpistol med syre i, hvis du troede, at der kun var vand i.
Begge tilfælde selvfølgelig afhængig af, om din forsvarer/anklageren kan
overbevise dommeren om, hvad din hensigt var.

I stedet for diverse sammenligninger, så lad os koncentrere os, om det
som det reelt handler om i dette tilfælde:

Hvis en person klikker på Cubus' link, risikerer vedkommende at blive
udsat for en efterforskning af politiet. Vedkommende risikerer at få
beslaglagt computeren i en kortere eller længere periode, mens
efterforskningen står på.

Det har ikke noget med skræmmekampagne at gøre. Flere personer blev
efterforsket af politiet efter at have klikket på det samme link, da det
blev bragt i Computerworld Onlines debatforum. Der er altså en reel
risiko.

Efterforskningen er nødvendig, for den skal dels fastslå, om det er den
rigtige person, man har fat i, og dels om han havde til hensigt at lukke
serveren. Beslaglæggelse af udstyr vil ofte være nødvendig, fordi der
ellers er risiko for at den mistænkte skaffer sig af med belastende
materiale.

Politiet undersøger ikke først, om der har været indlæg i diverse
nyhedsgrupper. De kan derfor ikke på forhånd vide, at dem der har
klikket på Cubus' link måske ikke har kendt konsekvensen. De vil i
stedet typisk få en retskendelse, så de kan få udleveret navn og adresse
ud fra IP-adressen, og derefter få en dommerkendelse til at ransage
og/eller beslaglægge udstyr på adressen.

Dem, der klikkede på linket i Computerworld Onlines debatforum, er
blevet tiltalt. Også selvom det kun var Cubus, der fik lukket serveren.
Linket var ledsaget af en advarsel, så det måtte stå klart for
klikkerne, hvad konsekvensen ville være. De har altså efter politiets
(og min) mening haft til hensigt at lukke serveren, og det kan de dømmes
for. Derfor blev de tiltalt, da efterforskningen var overstået.

En person, der har klikket på Cubus' link er ikke blevet advaret. Det
kan derfor være noget sværere for politiet at bevise, at han havde til
hensigt til at lukke serveren. Mit gæt er, at han ikke vil blive
tiltalt, men efterforskningen slipper han ikke for - hvis ellers Valus
gider at melde det.

> Jeg ved ikke om det er jeres mening at skræmme folk,
> men hvis ikke det er, synes jeg I skal tænke lidt mere over de
> skræmmebilleder I maler

Jeg ved ikke med andre (Bertel, først og fremmest), men jeg vil gerne
skræmme folk fra at klikke på det bragte link.

--
Mvh. Kim Ludvigsen
Har du fortalt din far og mor om Ludvigs Hjørne?
http://kimludvigsen.dk

---

Den Wed, 13 Oct 2004 19:39:03 +0200 skrev Kim Ludvigsen:
> Kent Friis wrote:
>
>> Lad os tage et andet eksempel:
>
> Uanset, hvilke eksempler du bruger, så ændrer det ikke på, at her i
> Danmark spiller hensigten en vigtig rolle i mange lovovertrædelser.

Og så spørger jeg lige igen: Når man (den der udfører handlingen) ved
på forhånd at handlingen ikke har mulighed for at forsage X, er det
så muligt at have X til hensigt?

> Hvis en person klikker på Cubus' link, risikerer vedkommende at blive
> udsat for en efterforskning af politiet. Vedkommende risikerer at få
> beslaglagt computeren i en kortere eller længere periode, mens
> efterforskningen står på.
>
> Det har ikke noget med skræmmekampagne at gøre. Flere personer blev
> efterforsket af politiet efter at have klikket på det samme link, da det
> blev bragt i Computerworld Onlines debatforum. Der er altså en reel
> risiko.

Uanset, kan det ikke være din opgave at få det danske politi til at se
ud som førnævnte farlige sataner. Det skal de nok selv klare, hvis de
ønsker det, og jeg forsøger stadig at bibeholde min tro på at
politiet er her for at hjælpe, på trods af visse personers ihærdige
forsøg på at overbevise mig om at hvis jeg ser en betjent så er det
bedre at skyde først og spørge bagefter (det kræver bare at man lige
skal have fat i noget at skyde med), så man ikke risikerer at blive
dømt for noget man aldrig har haft til hensigt at gøre.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Den Wed, 13 Oct 2004 19:39:03 +0200 skrev Kim Ludvigsen:
>
> > Uanset, hvilke eksempler du bruger, så ændrer det ikke på, at her i
> > Danmark spiller hensigten en vigtig rolle i mange lovovertrædelser.
>
> Og så spørger jeg lige igen: Når man (den der udfører handlingen) ved
> på forhånd at handlingen ikke har mulighed for at forsage X, er det
> så muligt at have X til hensigt?

Du svarer jo sådan set selv. Hvis man ved, handlingen ikke kan skade, så
har man ikke til hensigt at skade. Hvis handlingen så alligevel skader
eller fremstår som et forsøg på at skade, så risikerer man at skulle
gennem en efterforskning og derefter at skulle overbevise en dommer om,
at man ikke havde hensigt.

> > Det har ikke noget med skræmmekampagne at gøre. Flere personer blev
> > efterforsket af politiet efter at have klikket på det samme link, da det
> > blev bragt i Computerworld Onlines debatforum. Der er altså en reel
> > risiko.
>
> Uanset, kan det ikke være din opgave at få det danske politi til at se
> ud som førnævnte farlige sataner.

Jeg har intet sted fremstillet politiet som farlige sataner. Jeg har
beskrevet en meget reel risiko og den almindelige fremgangsmåde i den
slags sager. Risikoen eksisterer ikke, fordi politiet er nogle farlige
sataner, men fordi det er deres job at finde frem til eventuelle
lovovertrædere. Jeg bifalder skam politiets arbejde.

--
Mvh. Kim Ludvigsen
Gør browseren bedre med aktive bogmærker (bookmarklets).
http://kimludvigsen.dk

---

Den Wed, 13 Oct 2004 20:18:30 +0200 skrev Kim Ludvigsen:
> Kent Friis wrote:
>>
>> Den Wed, 13 Oct 2004 19:39:03 +0200 skrev Kim Ludvigsen:
>>
>> > Uanset, hvilke eksempler du bruger, så ændrer det ikke på, at her i
>> > Danmark spiller hensigten en vigtig rolle i mange lovovertrædelser.
>>
>> Og så spørger jeg lige igen: Når man (den der udfører handlingen) ved
>> på forhånd at handlingen ikke har mulighed for at forsage X, er det
>> så muligt at have X til hensigt?
>
> Du svarer jo sådan set selv. Hvis man ved, handlingen ikke kan skade, så
> har man ikke til hensigt at skade.

Tak, det var også det jeg mente, men det havde folk ret travlt med at
argumentere imod.

> Hvis handlingen så alligevel skader

Så er opfattelsen af at det ikke kan skade opstået på et falsk
grundlag, i dette tilfælde ved at Valus har fortalt at de HAR lukket
hullet, og dermed må de selv bære ansvaret.

Hvis vi skal tilbage til vandpistolen, så har offeret fortalt at det
*ER* vand der er i den, så må det også være hans ansvar hvis det
alligevel er syre.

> eller fremstår som et forsøg på at skade,

Det kommer jo så an på om Valus har mere tillid til de programmører der
lukkede hullet, end til dem der lavede det.

>> > Det har ikke noget med skræmmekampagne at gøre. Flere personer blev
>> > efterforsket af politiet efter at have klikket på det samme link, da det
>> > blev bragt i Computerworld Onlines debatforum. Der er altså en reel
>> > risiko.
>>
>> Uanset, kan det ikke være din opgave at få det danske politi til at se
>> ud som førnævnte farlige sataner.
>
> Jeg har intet sted fremstillet politiet som farlige sataner. Jeg har
> beskrevet en meget reel risiko og den almindelige fremgangsmåde i den
> slags sager. Risikoen eksisterer ikke, fordi politiet er nogle farlige
> sataner, men fordi det er deres job at finde frem til eventuelle
> lovovertrædere. Jeg bifalder skam politiets arbejde.

Når først os uskyldige programmører der læser indlægget opfatter det
som at det er bedre at sælge computeren, erklære hele uddannelsen for
spild af tid, og åbne en pizzaforretning i stedet, så er det på tide
at overveje om formuleringen er optimal, hvis det ikke var det der
var hensigten.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:

>Jeg ved ikke med andre (Bertel, først og fremmest), men jeg vil gerne
>skræmme folk fra at klikke på det bragte link.

Det synes jeg lyder fornuftigt.

Jeg havde indtil for nylig en hel del sympati for Cubus, som har været
udsat for en urimelig behandling. Men den sympati er forsvundet efter
at han postede et link som vist ikke kan have andre formål end at
lokke andre til at få det samme problem han selv har - og dermed få
hans egen handling til at virke "normal".

Hvis Cubus kan give en bedre forklaring på hvorfor han skulle poste
det link, så læser jeg den gerne.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Bertel Lund Hansen wrote:
>
> Og hvem kender Valus' system så detaljeret at de ved at det
> *faktisk* er lukket effektivt?

Det skriver de da selv i deres anklage/sigtelse.
Formuleringen er godt nok lige så mudret som alt andet
i det dokument, så det kan muligvis være op til en
fortolkning. Og man kan da også stille spørgsmålstegn
ved, om de faktisk har evnerne til at lukke hullet
rigtigt.

Men hvis vi tager udgangspunkt i deres egen påstand om
at hullet er lukket, så vil jeg da mene man er i god
tro, når man følger linket.

Og uanset om hullet er lukket eller ej, så kan vi nok
være rimeligt sikre på, at lige netop den URL ikke gør
nogen skade, da de nok alligevel tit bliver udsat for
den.

--
Kasper Dupont

---

In article <416C5F9B.1A16@kimludvigsen.dk>, Kim Ludvigsen wrote:
> Det skrev Kasper nu ikke. Og sikkert med god grund, URL'en fremstår
> nemlig som et klikbart link i Mozilla. Selv min gamle Netscape 2.02 fra
> 1997 viser URL'en som et link.
>
>> Min klient (slrn) gør ikke.
>
> Er der flere end 0,1%, der bruger den?

Jeg er også en af dem, og jeg tror den er brugt af mange af dem
der brugte Internet inden 0,1% af danskerne havde hørt om det.
>
> Ved mange lovovertrædelser er det hensigten, der tæller. Jeg har, som
> tidligere nævnt, ikke kunnet finde nogen fornuftig forklaring på,
> hvorfor Cubus bringer linket, udover at han vil have nogle til at klikke
> på det. Cubus er ikke dum, han er udmærket klar over, at der vil være en
> pæn stor sandsynlighed for, at flere vil klikke på linket.

Så hensigten er at få andre til at hjælpe med at beskytte
de persondata der er på serveren. Det er da en ædel tanke, og
langt fra strafbart :)

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk

---

Povl H. Pedersen wrote:

>
> Så hensigten er at få andre til at hjælpe med at beskytte
> de persondata der er på serveren.

Ah, mon dog.

> Det er da en ædel tanke, og langt fra strafbart :)

Jeg ville ikke være så sikker. Hvis jeg ikke husker meget galt, så blev
ham, der postede linket på Computerworld Online, faktisk også tiltalt (i
hvert fald sigtet). Og han bragte endda en advarsel. Og så er vi
egentlig tilbage til det med hensigten. Jeg tror (og håber), at
advarslen er nok til, at han ikke dømmes.

Anderledes forholder det sig med Cubus, hvis hans indlæg her medtages i
sagen.

--
Mvh. Kim Ludvigsen
Lær at vælge sikre adgangskoder.
http://kimludvigsen.dk

---

Kim Ludvigsen uttered:
>> Min klient (slrn) gør ikke.
>
> Er der flere end 0,1%, der bruger den?

Det handlede ikke om brugstal, men om forskellige newsclients. Så vi
skal bare finde 999 klienter for hver der ikke laver det til et klikbart
link.

\\kristian
--
<URL:http://lpf.ai.mit.edu/Patents/knuth-to-pto.txt>
<URL:http://home.att.net/~jbcole/humor/Microsoft_patents.htm>

---

Kristian Thy wrote:
>
> Kim Ludvigsen uttered:
> >> Min klient (slrn) gør ikke.
> >
> > Er der flere end 0,1%, der bruger den?
>
> Det handlede ikke om brugstal, men om forskellige newsclients. Så vi
> skal bare finde 999 klienter for hver der ikke laver det til et klikbart
> link.

Jeg skrev "brugte NNTP-klienter", netop for at det ikke skulle være et
spørgsmål om forskellige programmer, men i stedet det antal der bruges.
Men det kunne måske have været skrevet tydeligere.

--
Mvh. Kim Ludvigsen
Har du fortalt din far og mor om Ludvigs Hjørne?
http://kimludvigsen.dk

---

Kim Ludvigsen wrote:
>
> Jeg skrev "brugte NNTP-klienter",

En NNTP klient er da "en brugt NNTP-klient" uanset
om den har en eller en million brugere.

--
Kasper Dupont

---

Kasper Dupont wrote:
>
> Kim Ludvigsen wrote:
> >
> > Jeg skrev "brugte NNTP-klienter",
>
> En NNTP klient er da "en brugt NNTP-klient" uanset
> om den har en eller en million brugere.

Ja, eller: Jens bruger en NNTP-klient, og Peter bruger en NNTP-klient.
Det er to NNTP-klienter, også selvom de måske begge hedder Outlook
Express. Som sagt, det kunne måske have været skrevet mere tydeligt, så
det ikke kunne læses forkert. Hvis man tænker sig lidt om, ville man dog
ikke være i tvivl om meningen. Det er nok ikke så nemt at finde 1.000
forskellige NNTP-klienter i henhold til den forkerte tolkning.

--
Mvh. Kim Ludvigsen
Artikler om nyhedsgrupperne.
http://kimludvigsen.dk

---

Den Thu, 14 Oct 2004 00:11:48 +0200 skrev Kim Ludvigsen:
> Kasper Dupont wrote:
>>
>> Kim Ludvigsen wrote:
>> >
>> > Jeg skrev "brugte NNTP-klienter",
>>
>> En NNTP klient er da "en brugt NNTP-klient" uanset
>> om den har en eller en million brugere.
>
> Ja, eller: Jens bruger en NNTP-klient, og Peter bruger en NNTP-klient.
> Det er to NNTP-klienter, også selvom de måske begge hedder Outlook
> Express.

Frederik har en mor og Joakim har en mor, det er to mødre, også selvom
de måske begge hedder Dronning Magrethe. :-þ

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <416C0553.95CC604D@daimi.au.dk>, Kasper Dupont wrote:
> Hvad jeg synes er langt mere uansvarligt er, at
> virksomheder bevidst lader den slags huller stå
> åbne, fordi man ikke vil afsætte tid til at rette
> fejl.
>
> Når hullet så bliver opdaget, forsøger man at
> true opdageren til tavshed. Og før eller siden vil
> sådan et hul blive opdaget, jeg har selv opdaget
> tre af dem ved tilfældigheder. Jeg kunne uden
> tvivl finde mange flere, hvis jeg ledte.

Ja, mit favorit password er også
"; select 0;"
inklusive gåseøjne. Og hvis det giver problemer,
så sitet lavet efter valusmetoden, nemlig med billige
programmører der ikke har lært at lave kode til
behandling af data der leveres af andre. Dvs
programmører fundet på gadehjørnet, eller andet sted
uden uddannelse.

> Ikke at det er hvad der er sket i den her sag, men
> jeg synes da det er mere uansvarligt at efterkomme
> en virksomheds ønske om en hemmeligholdelse.

Enig. Problemet bør eksponeres så hullet lukkes.
Men virksomheden bør have en rimelig frist (en uge).

> Da jeg selv blev udsat for den slags trusler
> valgte jeg at anmelde dem til datatilsynet. (Det
> kommer jeg sjovt nok til at tænke på, hver gang
> jeg hører om Valus.)

Det er vel også det korrekte at gøre.

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk

---

Den Tue, 12 Oct 2004 20:37:07 +0000 (UTC) skrev Povl H. Pedersen:
> In article <416C0553.95CC604D@daimi.au.dk>, Kasper Dupont wrote:
>> Hvad jeg synes er langt mere uansvarligt er, at
>> virksomheder bevidst lader den slags huller stå
>> åbne, fordi man ikke vil afsætte tid til at rette
>> fejl.
>>
>> Når hullet så bliver opdaget, forsøger man at
>> true opdageren til tavshed. Og før eller siden vil
>> sådan et hul blive opdaget, jeg har selv opdaget
>> tre af dem ved tilfældigheder. Jeg kunne uden
>> tvivl finde mange flere, hvis jeg ledte.
>
> Ja, mit favorit password er også
> "; select 0;"

Skal det ikke være '; select 0;' ?

SQL bruger ' til at angive strenge, hvorimod hvad " bruges til afhænger
af hvilken server det er - på MySQL gør " SVJH det samme som ', hvorimod
det på MSSQL gør det samme som [].

>> Ikke at det er hvad der er sket i den her sag, men
>> jeg synes da det er mere uansvarligt at efterkomme
>> en virksomheds ønske om en hemmeligholdelse.
>
> Enig. Problemet bør eksponeres så hullet lukkes.
> Men virksomheden bør have en rimelig frist (en uge).

En uge til at sylte sagen er lang tid, hvis $BADGUY allerede har fundet
hullet, og er igang med at tømme bankkontoer.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Povl H. Pedersen" wrote:
>
> In article <416C0553.95CC604D@daimi.au.dk>, Kasper Dupont wrote:
> > sådan et hul blive opdaget, jeg har selv opdaget
> > tre af dem ved tilfældigheder. Jeg kunne uden
> > tvivl finde mange flere, hvis jeg ledte.
>
> Ja, mit favorit password er også
> "; select 0;"
> inklusive gåseøjne.

I mit tilfælde serverede de faktisk næsten selv den
URL, der afslørede hullet. De udsendte nogle HTML
mails med URLer i. Jeg brugte ikke en klient med HTML
support, så jeg måtte selv klippe URLen ud og kopiere
den til min browser. En gang i mellem kom jeg til at
tage " efter URLen med, hvilket resulterede i en
fejlmelding fra deres databaseserver. Jeg kan ikke
huske, hvor mange gange det skette, før det gik op
for mig, at det var et sikkerhedshul.

>
> Enig. Problemet bør eksponeres så hullet lukkes.
> Men virksomheden bør have en rimelig frist (en uge).

Enig, men skal man både give dem en uge efter de har
ignoreret den første henvendelse til man skriver igen
og endnu en uge efter de til den anden henvendelse
har svaret, at de vil kigge på problemet?

>
> > Da jeg selv blev udsat for den slags trusler
> > valgte jeg at anmelde dem til datatilsynet. (Det
> > kommer jeg sjovt nok til at tænke på, hver gang
> > jeg hører om Valus.)
>
> Det er vel også det korrekte at gøre.

Datatilsynet tager sig mig bekendt kun af sager, hvor
der opbevares persondata. Det har der været tilfældet
i de omdiskuterede sager, men der er nok også huller
i mange servere, som aldrig har set skyggen af
persondata.

Det var bare mit held, at jeg kunne melde omtalte site
til datatilsynet. De ville rigtig gerne registrere
mange oplysninger om deres brugere, sikkert for at det
skulle være nemmere at sagsøge brugerne. Det kom så
mig til gavn.

--
Kasper Dupont

---

Cubus wrote:
>
> Denne URL
>
> http://www.valus.dk/publisering/default.asp?Cid=3%01SHUTDOWN
>
> sendes til "Valus Webserver" jf skitse på
>
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=17176
>
> Hvad gør "Valus Webserver" så?
>
> Den udskiller hvad der står efter ? og sender det videre til
> "Valus Publish Webserver", som er en fysisk separat maskine
> og server?

Det lyder ikke helt rigtigt. Det der står efter ? er i hvert
fald ikke i sig selv en gyldig request at sende til en
webserver. Der kan godt være flere webservere involveret,
men det ville være et lidt underligt setup, og ville være en
anelse mere compliceret. Under alle omstændigheder opstår
problemet først i det øjeblik parametrene bliver sendt til
databaseserveren (øjensynligt af scriptet default.asp).

--
Kasper Dupont