Der FAZ-Artikel trifft den Nagel nicht auf den Kopf. Er trifft nicht mal den Nagel.

Dazu kann ich nur den FAZ-Artikel hier empfehlen, der den Nagel auf den Kopf trifft: http://www.faz.net/s/Rub0E9EEF84AC1E4A389A8DC6C23161FE44/Doc~E59B118CA060B47A7A0C5B74ABF8815DE~ATpl~Ecommon~Scontent.html

Carte bleue war im Chip-Modus konzeptionell völliger Schrott (die Karte entschied selbst ob die PIN gültig ist -> Bock zum Gärtner gemacht), mit dem EC-System nicht vergleichbar. Der Magnetstreifen war bei den Karten wohl wie bei den alten EC-Karten aufgebaut -> DES-Lücke.

Zur IP-Speicherung findest du etwas in der Datenschutzerklärung. Da dieses Blog bei WordPress.com gehostet wird, habe ich darauf keinen Einfluss. Ich habe hier nur ein Webinterface wo ich meine Posts reinstelle, kann am Code aber rein gar nix ändern. Dafür kostet es nichts und vor allem muss ich mich nicht mit der elendigen Updaterei rumschlagen, sobald mal wieder ein WordPress-Exploit rauskommt.

Zum Argument, Spammer wären schlau genug TOR zu nutzen: Nein. Siehe die ganzen Marketingagenturen, die von einer statischen IP Wikipedia-Artikel aufgehübscht haben. Mal abgesehen davon dürfte der Akismet-Spamfilter anfangen, TOR-Kommentare allgemein zu killen, sobald das nötig ist. (Fände ich zwar schade, aber den Spamfilter schalte ich aus sobald mich jemand für das manuelle sortieren bezahlt – ich mach das hier alles in meiner Freizeit!)

Der Streisand-Effekt bezieht sich auf Versuche, Informationen zu unterdrücken, z. B. indem man andere Seiten die das veröffentlichen verklagt. Ich hoffe, du möchtest SPAM nicht wirklich als „Meinungsfreiheit“ legitimieren. Die Trennung ist da IMHO auch klar genug, und im Zweifel lasse ich sowas eher stehen.

Die technischen Mittel sind mir durchaus bekannt. Spambots gibt es wie Sand am Meer, sie versuchen es hier auch recht intensiv, aber außerhalb der Spamqueue landen weniger als 2 Stück pro Monat.

Verbunden mit einem entsprechenden Aufruf wäre es vermutlich möglich, ein DoS auf die Kommentarfunktion auszuführen, sodass ich diese schließen müsste. Ein Heise-“DDoS“ wird wordpress.com vermutlich egal sein, die sind auf sowas ausgelegt.

Ich verstehe nicht unter „Freiheit“, dass man jemandem vor die Haustür kacken oder mit einem professionellen Plakatierteam an sämtlichen für private Aushänge gedachten „Schwarzen Brettern“ in Supermärkten Werbeplakate anbringen darf.

Die Kommentarmoderation hier dient ausschließlich dazu, illegale Kommentare für die ich rechtlichen Ärger bekommen könnte (Beleidigungen gegen Dritte, Volksverhetzung, Spam inkl. Werbung für strafrechtlich sehr bedenkliche Seiten) abzufangen. Meinungen werden hier nicht zensiert, im Zweifel schalte ich frei bzw. entferne problematische Passagen und kennzeichne das deutlich. Wenn jemand aber eine Kreditanfrage in das Kommentarfeld zum Citibank-Telefon-Phishing-Artikel postet, ein Kommentar ausschließlich aus dem Wort „arschloch“ besteht, oder jemand offensichtlich und inhaltslos trollt (Außerdem guckt ich grad nur für eine scheiß PoWi arbeit beim Herr (Name entfernt) xD aber egal :D – Grüße, Euer Kanacke :D) wird der Kommentar nicht freigeschaltet (die hier genannten Beispiele sind schon ein Großteil der Fälle wo sowas passiert ist).

ich bin eben erst auf Deine Seite gestoßen (über Google, Suche Banken-AGB), und dachte spontan und neutral: Oh, ein Freiheitsrebell der Piratenpartei – mal sehen welche Mission der Mann hat. Und beim weiteren Lesen einiger Artikel fiel mir dann irgendwie der folgende Satz auf:

„Für die Entfernung und Verfolgung von nicht genehmigter kommerzieller Werbung wird eine Aufwandspauschale von 200 EUR pro Kommentar fällig.“

Nicht dass ich es merwürdig finde, dass ein Mitglied(?) bzw. Fan einer Partei die Informationsfreiheit liebt, Zensur hasst und gegen Überwachung und Datenspeicherung ist, die „Information“ durch kommerzielle Anbieter mit Strafe belegen will – wozu er wohl die gespeicherte IP benötigt, obwohl die Piraten von dieser IP-Speicherung eigentlich nichts halten dürften.

Ich finde es aber noch viel merkwürdiger, dass jemand, der sich der Existenz von TOR & Co. vollständig bewusst ist, annimmt, dass jemand der hier Spam postet, so blöd ist, seine eigene IP hier liegen zu lassen.

So richtig kurios wird es dann, wenn man bemerkt, dass der Streisand-Effekt ebenfalls bekannt ist, gleichzeitig hier aber implizit ein Verbot ausgesprochen wird.

Bitte verstehe mich nicht falsch, das ist keine Drohung sondern nur eine Feststellung, denn ich beherrsche zwar auch die dunkle Seite der Programmierer-Macht, setze sie aber nicht ein. Nur mal rein hypothetisch – ich hätte in 10 Minuten ein Skript fertig, dass hier dank fehlendem Captcha soviele neue Beiträge postet (und zwar dank TOR jedes Post von einer anderen IP), dass Du die nächsten zwei Wochen mit dem Abweisen der neuen Beiträge beschäftigt bist.

Und was meinst Du, passiert wenn ich dieses kleine Verbot in 10 Foren meiner Wahl inkl. Screenshot publik mache? Ob ich damit wohl einen Wettstreit auslösen kann, wer Dir den meisten Spam pro Zeit auf die Seite knallt? Oder gar den allseits beliebten Heise-DDoS? Ich glaube, WordPress würde sich so sehr freuen, dass Dein Blog in einer Woche eine neue URL hat und anschliessend Barbara heisst.

Wie gesagt, rein hypothetisch. Ich würde das niemals machen weil ich zu Den Guten (TM) gehöre, aber ich habe den Eindruck, dass Du noch nicht ganz dort angekommen bist, wo die Piraten eigentlich hinwollen, sowohl hinsichtlich der Freiheit als auch hinsichtlich der technischen Eigenverantwortung für ein Forum.

Nichts für ungut und nimm es vor allem nicht persönlich, aber einen kleinen Denkanstoß halte ich für nötig!
FB

Du schreibst „Irgendwie gelangt der Code ja in den Automaten“. Als gelernter (aber seit 2003 nicht mehr praktizierender Deutsch-) Banker mit Informatikstudium kann ich Dir dazu nur eine Antwort geben: Nein, tut er nicht. Das funktioniert anders, zumindest bei der DB.

Aus der PIN wird unter Zuhilfenahme einiger statischer Kartendaten ein sog. Hash berechnet, und der wird dann an die Bank übertragen. Der gleiche Hash ist im Zentralsystem der Bank gespeichert und dort werden dann die Hashes verglichen. Die Funktionen mit denen so ein Hash berechnet wird, sind so aufgebaut, dass sie nur in eine Richtung berechnet werden können, d.h. man kann aus dem Hash nicht die PIN errechnen, auch dann nicht, wenn man die Kartendaten kennt. Simples Beispiel für so eine Rechnung: 10/8= 1 Rest 2, 18/8 = 2 Rest 2. => Der Rest ist gleich und ich kann aus ihm nicht berechnen, ob die PIN 10 oder 18 ist. Und das ganze ist in der Praxis so komplex gestaltet, dass die Rückwärtsrechnung ungeachtet des technischen Fortschrittes Jahrhunderte dauern würde…

Und die Frage am Anfang, wie ein GA das offline macht ist auch schnell beantwortet: Gar nicht, die Dinger sind immer online bzw. schalten auf Störung, wenn sie offline sind.

Umgekehrt bedeutet das aber auch, dass für dieselbe Karte theoretisch mehrere PINs gültig sind, wobei man aber heute Hashfunktionen nimmt, die nur in Ausnahmefällen den selben Hash für zwei verschiedene PINs liefern. Und ausserdem kann es durchaus sein, dass das bei dem vom CCC erwähnten System Carte bleue anders ist und man dort die PIN tatsächlich berechnen kann. Im EC-System geht das jedenfalls nicht.

Gruß
FB

Wenn du grob fahrlässig handelst, also z. B. die PIN aufschreibst, haftest du weiterhin unbegrenzt!

So oder so sind die Banken natürlich weiterhin bemüht, den Ruf des Kartensystems zu erhalten, weil sie stark davon profitieren. Da lohnt sich Kulanz selbst in Fällen, wo es echte Kulanz ist. Allerdings erinnere ich mich an Medienberichte, wo die Banken dann bei weitem nicht so kulant waren.

Wenn ich jetzt so blöd bin und meine Karte ist mit PIN weg, dann finde ich es schon klasse, wenn alles über 150,- EUR die Bank trägt. Ich frage mich, warum die Bank den Schaden eigentlich tragen sollte??? Diese Logik verstehe ich nicht.