'Vinden kersttoespraak Beatrix strafbaar feit'
Het vinden van de niet zo goed verborgen kersttoespraak van koningin Beatrix is een strafbaar feit, aldus ICT-jurist Arnoud Engelfriet tegenover de NOS. Online marketeer Anne Jan Roeleveld had door de URL van de kersttoespraak van vorig jaar te wijzigen de toespraak van dit jaar gevonden. De toespraak stond totaal onbeveiligd al op het web.
De link was nog niet openbaar en ook nog niet voor publicatie bestemd, ook al stond die wel online. Door een pagina te openen die nog niet openbaar was, heeft Roeleveld zich strafbaar gemaakt, zegt Engelfriet. Hij denkt niet dat de man bij een eventueel proces veroordeeld wordt.
"De rechter kijkt ook naar de omstandigheden", zegt Engelfriet. "En er is nogal een verschil tussen inbreken in een beveiligde databank en het raden van een vrij voor de hand liggend getal." Vorig jaar lekte op soortgelijke wijze ook al de miljoenennota.
Onderzoek
De Rijksvoorlichtingsdienst (RVD) zegt een diepgaand onderzoek in te stellen naar het uitlekken van de toespraak. Volgens de RVD stond de toespraak ''op stand-by'' op de website rijksoverheid.video.nl. ''Het bestand was voorzien van een numerieke code, niet alleen een jaartal zoals door sommigen is beweerd'', aldus de RVD. ''Die code is door derden ontdekt en wij betreuren dat ten zeerste.''
Waarom er bijvoorbeeld geen htaccess is gebruikt, waarmee content beter is af te schermen dan alleen het geheimhouden van een URL, of de toespraak pas werd geüpload op het moment dat dit mocht laat de RVD niet weten.
Reacties (72)
Ik denk dat Arnoud hier de plank toch misslaat maar de enige manier om daar achter te komen is door een rechter uitspraak te laten doen. Als ik een URL aanpas en er verder niet om username/password of andere manier van autorisatie gevraagd wordt dan zal het bij een rechter echt geen stand houden. Beheerder is in gebreke door de zaak onvoldoende af te schermen, zeker in deze tijd.
26-12-2012, 11:50 door
[Account Verwijderd]
[Verwijderd]
Zou toch wat zijn: je rijdt een straat in, wordt aangehouden en krijgt een bekeuring omdat de straat verboden is om in te rijden: maar het bord ontbreekt. Dit is toch net zoiets?
26-12-2012, 12:32 door
[Account Verwijderd]
[Verwijderd]
26-12-2012, 12:36 door
cjkos
Als de RVD iets onbeschermd online zet dan is dat de fout van de RVD. Het veranderen van een datum is een manier van browsen. En wordt door veel mensen gebruikt om naar een volgend artikel te gaan.
Wanneer iemand anno 2012 nog durft te beweren dat online content dat onbeschermd op het internet staat niet voor iedereen bestemt is, alleen omdat er geen directe link naar toe staat, zou die zich toch eens achter zijn oren moeten krabben.
Wat Arnout eigenlijk zegt is dat Google en elke crawler wel eens strafbaar zouden kunnen zijn. Laat de RVD maar bewijzen dat er geen link naar was.
Wanneer iemand anno 2012 nog durft te beweren dat online content dat onbeschermd op het internet staat niet voor iedereen bestemt is, alleen omdat er geen directe link naar toe staat, zou die zich toch eens achter zijn oren moeten krabben.
Wat Arnout eigenlijk zegt is dat Google en elke crawler wel eens strafbaar zouden kunnen zijn. Laat de RVD maar bewijzen dat er geen link naar was.
26-12-2012, 12:38 door
[Account Verwijderd]
[Verwijderd]
26-12-2012, 12:43 door
Ignitem
''Het bestand was voorzien van een numerieke code, niet alleen een jaartal zoals door sommigen is beweerd'', aldus de RVD. ''Die code is door derden ontdekt en wij betreuren dat ten zeerste.''
Het raden van de numerieke code kan worden gezien als het doorbreken van een "beveiliging". Daarbij is het voor "indringer" duidelijk dat hij zich op "verboden" terrein bevindt. In deze hoedanigheid zou er dus sprake kunnen zijn van computervredebreuk.Echter was de informatie wel publiekelijk beschikbaar. Als de informatie geïndexeerd was door een zoekmachine, zou een ieder deze direct kunnen bekijken.De beveiliging van de informatie is niet conform de gevoelige inhoud. Het is als de deur van het koningshuis op slot doen met een driecijferig nummerslot.
Persoonlijk denk ik dan ook dat de aanklacht geen stand houdt in de rechtbank.
26-12-2012, 12:47 door
Erik Loman
Als het nog niet bekeken mag worden, zet het dan gewoon niet online. Je kan wel allerlei trucjes verzinnen om het raden van de URL moeilijker te maken (cq content beter verstoppen), maar als het online staat bestaat de kans dat iemand het vindt.
Ik vind overigens een zeer groot verschil tussen content verstoppen en content beveiligen. Alleen in het laatste geval kun je naar mijn mening spreken van hacken.
Ik vind overigens een zeer groot verschil tussen content verstoppen en content beveiligen. Alleen in het laatste geval kun je naar mijn mening spreken van hacken.
En wanneer is iets wel openbaar? Is https://www.security.nl een openbare link? Ik heb 'm nergens opgezocht (en ik zou ook niet weten waar).
We leven in een rare wereld, aangenomen dat Eduard gelijk heeft...
We leven in een rare wereld, aangenomen dat Eduard gelijk heeft...
Door Peter V:
Het binnendringen in een computersysteem is sowieso strafbaar volgens art. 138ab lid 1 Wetboek van Strafrecht. En daarbij maakt het niet uit of een beveiliging doorbroken is of niet. Zelfs het overschrijden van je bevoegdheid is een vorm van binnendringen. En dat is hier zeker het geval.
Door Anoniem: Ik denk dat Arnoud hier de plank toch misslaat maar de enige manier om daar achter te komen is door een rechter uitspraak te laten doen. Als ik een URL aanpas en er verder niet om username/password of andere manier van autorisatie gevraagd wordt dan zal het bij een rechter echt geen stand houden. Beheerder is in gebreke door de zaak onvoldoende af te schermen, zeker in deze tijd.
Dan ken je de wet helemaal niet.Het binnendringen in een computersysteem is sowieso strafbaar volgens art. 138ab lid 1 Wetboek van Strafrecht. En daarbij maakt het niet uit of een beveiliging doorbroken is of niet. Zelfs het overschrijden van je bevoegdheid is een vorm van binnendringen. En dat is hier zeker het geval.
Peter, lees jij je eigen dingen eigenlijk wel , of snap je gewoon niet zoveel ?
Het maakt wel degelijk uit of een beveiliging doorbroken wordt of niet. Het overschrijden van je bevoegdheid is niet in de wet genoemd.
Wel het aannemen van een valse hoedanigheid (spoofing, gebruik van andermans account, mogelijk social engineering).
Als publieke bezoeker ben en blijf je in dezelfde hoedanigheid, en is helemaal niet "zeker het geval dat je je bevoegdheid hebt overschreden" zoals jij stelt.
WvS 138ab Lid 1:
"
hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
"
De vraag is dan ook of het (mis)typen van een URL zo makkelijk in één van die gronden valt. Of dat eventueel de rechter een andere reden ziet waarom van "binnendringen" sprake zou zijn buiten deze vier gronden.
Door Anoniem: Ik denk dat Arnoud hier de plank toch misslaat maar de enige manier om daar achter te komen is door een rechter uitspraak te laten doen. Als ik een URL aanpas en er verder niet om username/password of andere manier van autorisatie gevraagd wordt dan zal het bij een rechter echt geen stand houden. Beheerder is in gebreke door de zaak onvoldoende af te schermen, zeker in deze tijd.
Het wordt de hoogste tijd dat security.nl die Engelfriet ontslaat en jou aanstellen als nieuwe expert! Ben je toevallig ook bekend met het Dunning–Kruger effect?Maar goed, strafbaar of niet, als deze beste man hiervoor vervolgd gaat worden is Nederland echt intellectueel failliet. En of je zo'n figuur een hacker mag noemen, ik denk dat hij precies deed wat hackers doen: slordigheden van anderen uitbuiten.
Door Ignitem:
''Het bestand was voorzien van een numerieke code, niet alleen een jaartal zoals door sommigen is beweerd'', aldus de RVD. ''Die code is door derden ontdekt en wij betreuren dat ten zeerste.''
Het raden van de numerieke code kan worden gezien als het doorbreken van een "beveiliging".De functie van die "code" is enkel technische noodzaak; het is de sleutel die een database gebruikt om de inhoud terug te vinden. Om dat als beveiligingsmaatregel te bestempelen is wel heel erg creatief.
Daarbij is het voor "indringer" duidelijk dat hij zich op "verboden" terrein bevindt. In deze hoedanigheid zou er dus sprake kunnen zijn van computervredebreuk.
Daar valt misschien wat voor te zeggen: door te gaan grasduinen in deze URLs bevind je je buiten datgeen waar de website naar linkt. Om een link te trekken naar een ander artikel is dit vergelijkbaar met gaan rondneuzen in de prullenbak van een bedrijf of overheidsinstantie naar gevoelige documenten. Voor zover ik weet is dat dan niet direct strafbaar. Maar zodra het "digitaal" is wordt het "hacken" genoemd en wordt er een hoop ophef gemaakt...
De Google crawler raadt geen URL's.
Die veegt met een sleepnet alle gepubliceerde URL's mee en neemt die op in de zoekmachine.
De URL van de kersttoespraak was nog niet gepubliceerd.
De URL bevatte een numeriek deel die uitkwam bij niet afgeschermde content.
Die pagina had een embargo ofwel datumrestrictie moeten hebben.
Dat de content pas vrijgegeven moest worden nadat de kersttoespraak al was uitgezonden op TV.
Samengevat is de content nog niet gepubliceerd, nog niet openbaar (weergegeven op een server).
De URL ook niet, dus de google crawler kon de URL niet vinden en opnemen in de zoekresultaten.
Enkel was de content 'openbaar' omdat deze voortijdig oproepbaar was.
Mijns inziens is dat niet openbaar. Enkel niet ge-embergo-deerd.
Het raden van de URL is wel strafbaar omdat het gelijkgesteld wordt als het reden van een wachtwoord.
Dat raden van een wachtwoord is ook: invoeren en op enter drukken om te zien of je binnen komt.
Het raden van de URL is: invoeren (aanpassen) en op enter drukken om te zien of er content weergegeven wordt.
Na het intikken van de (gerade) URL had het CMS een publicatiedatum/vrijgavedatum moeten controleren.
En dan een foutmelding moeten teruggeven als de datum nog niet gepasseerd was.
Die veegt met een sleepnet alle gepubliceerde URL's mee en neemt die op in de zoekmachine.
De URL van de kersttoespraak was nog niet gepubliceerd.
De URL bevatte een numeriek deel die uitkwam bij niet afgeschermde content.
Die pagina had een embargo ofwel datumrestrictie moeten hebben.
Dat de content pas vrijgegeven moest worden nadat de kersttoespraak al was uitgezonden op TV.
Samengevat is de content nog niet gepubliceerd, nog niet openbaar (weergegeven op een server).
De URL ook niet, dus de google crawler kon de URL niet vinden en opnemen in de zoekresultaten.
Enkel was de content 'openbaar' omdat deze voortijdig oproepbaar was.
Mijns inziens is dat niet openbaar. Enkel niet ge-embergo-deerd.
Het raden van de URL is wel strafbaar omdat het gelijkgesteld wordt als het reden van een wachtwoord.
Dat raden van een wachtwoord is ook: invoeren en op enter drukken om te zien of je binnen komt.
Het raden van de URL is: invoeren (aanpassen) en op enter drukken om te zien of er content weergegeven wordt.
Na het intikken van de (gerade) URL had het CMS een publicatiedatum/vrijgavedatum moeten controleren.
En dan een foutmelding moeten teruggeven als de datum nog niet gepasseerd was.
lol miljoenennota 2013 staat ook al online
http://www.miljoenennota2013.nl
http://www.miljoenennota2013.nl
@peter V
Ik dring geen computersysteem binnen, ik maak verbinding met een daarvoor bestemd computersysteem. Een simpele aanpassing van een URL zal door een rechter hoogstwaarschijnlijk niet gezien worden als computervredebreuk, zeker niet als de computer juist voor deze specifieke en -publiekelijke- functie bedoeld is.
Ik dring geen computersysteem binnen, ik maak verbinding met een daarvoor bestemd computersysteem. Een simpele aanpassing van een URL zal door een rechter hoogstwaarschijnlijk niet gezien worden als computervredebreuk, zeker niet als de computer juist voor deze specifieke en -publiekelijke- functie bedoeld is.
Door Peter V:
Het binnendringen in een computersysteem is sowieso strafbaar volgens art. 138ab lid 1 Wetboek van Strafrecht. En daarbij maakt het niet uit of een beveiliging doorbroken is of niet. Zelfs het overschrijden van je bevoegdheid is een vorm van binnendringen. En dat is hier zeker het geval.
Het binnendringen in een computersysteem is sowieso strafbaar volgens art. 138ab lid 1 Wetboek van Strafrecht. En daarbij maakt het niet uit of een beveiliging doorbroken is of niet. Zelfs het overschrijden van je bevoegdheid is een vorm van binnendringen. En dat is hier zeker het geval.
Wat een onzin, er is hier helemaal niet binnen gedrongen op een systeem.
Het was simpel weg een webserver die niet goed ingesteld stond om bepaalde bronnen (de toespraak in dit geval) af te schermen. De schuld ligt hier simpel weg bij de beheerder(s) voor het incorrect instellen van die webserver.
De overzichtspagina van teletekst is http://teletekst.nos.nl/gif/101-01.html
Ik denk dat ik de url van pagina 102 wel kan raden in plaats van op een link te klikken. Strafbaar?
Ik denk dat ik de url van pagina 102 wel kan raden in plaats van op een link te klikken. Strafbaar?
26-12-2012, 14:37 door
yobi
Hoe zit het dan met google-dorks en al die systeembeheerder, die bestanden met gebruikersnamen en wachtwoorden online zetten?
26-12-2012, 14:39 door
yobi
Ik mis overigens de juridische onderbouwing.
26-12-2012, 14:43 door
[Account Verwijderd]
[Verwijderd]
26-12-2012, 14:54 door
[Account Verwijderd]
[Verwijderd]
26-12-2012, 15:01 door
noordzee
Inderdaad, er is helemaal geen sprake van het binnendringen van een computer systeem. Het online brengen van een publicatie met of zonder verwijzing ernaar is op zich al een actie die het document in het publieke domein brengt. Dat het vervolgens gevonden wordt is niet relevant. Door er geen tijd/datum controle op te zetten door middel van een cms en/of htaccess oid is een domleg nalaten actie.
Het valt een te vergelijken met aankondig morgen hebben we open deur dag (op het op z'n vlaams te zeggen) en dan vandaag de deur al open te zetten en dan mensen die vandaag al komen aanklagen voor inbreken.
Het valt een te vergelijken met aankondig morgen hebben we open deur dag (op het op z'n vlaams te zeggen) en dan vandaag de deur al open te zetten en dan mensen die vandaag al komen aanklagen voor inbreken.
26-12-2012, 15:03 door
Ignitem
Door Hugo: Wat een onzin. Het was gewoon een volgnummer. Daar is weinig aan te raden. Kwestie van huidig nummer + 1, wat zelfs een kind op de basisschool kan. Het 'verboden terrein' blijkt dus niet uit de URL, maar slechts uit de inhoud. Maar als je die ziet, dan heeft de beheerder al gefaald.
Lid 1 Artikel 138ab van het Wetboek van Strafrecht stelt dat:"Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan."
Hoewel je kunt betwisten of er sprake is van het doorbreken van een beveiliging heeft de betreffende persoon zowel opzettelijk als wederrechtelijk zich toegang verschaft tot het document. Daaruit kun je concluderen dat verdachte in beginsel schuldig is.
26-12-2012, 15:14 door
MrAT
Ik vind op het eerste gezicht dat hier geen strafbaar feit is begaan omdat dan in feite in principe iedere ICT-er een
potentïele crimineel zou zijn.
Hoevaak zit je niet een artikel op een website of weblog te lezen om dan het verhaal verder te lezen op de volgende webpagina ? Je zou dan dan in zo'n geval gewoon ook even de url aan kunnen passen, niet echt logisch maar het kan wel.
Zo ook hier omdat er een soort van volgnummer gebruik werd en hij nieuwsgierig was en even iets uitprobeerde.
Of speelt er toch wellicht iets meer mee en wat niet verteld wordt ? Ik lees zo op zijn website dat hij online-marketeer is en ook website ontwikkelaar. Heeft hij b.v. een webspider tool gebruikt en hoe zit dit dan juridisch in elkaar ? Is dit dan strafbaar, als men m.b.v. een dergelijke tool complete website(s) "download" om deze dan offline verder te bestuderen ? Dat vind ik persoonlijk weer wat lastiger omdat je dan ook beschermde content mee download ! Met name webspider tools worden toch gebruikt om email adressen te verzamelen om zo gerichte advertenties en/of email te kunnen versturen ?
potentïele crimineel zou zijn.
Hoevaak zit je niet een artikel op een website of weblog te lezen om dan het verhaal verder te lezen op de volgende webpagina ? Je zou dan dan in zo'n geval gewoon ook even de url aan kunnen passen, niet echt logisch maar het kan wel.
Zo ook hier omdat er een soort van volgnummer gebruik werd en hij nieuwsgierig was en even iets uitprobeerde.
Of speelt er toch wellicht iets meer mee en wat niet verteld wordt ? Ik lees zo op zijn website dat hij online-marketeer is en ook website ontwikkelaar. Heeft hij b.v. een webspider tool gebruikt en hoe zit dit dan juridisch in elkaar ? Is dit dan strafbaar, als men m.b.v. een dergelijke tool complete website(s) "download" om deze dan offline verder te bestuderen ? Dat vind ik persoonlijk weer wat lastiger omdat je dan ook beschermde content mee download ! Met name webspider tools worden toch gebruikt om email adressen te verzamelen om zo gerichte advertenties en/of email te kunnen versturen ?
26-12-2012, 15:30 door
Goeroeboeroe
Ik heb op mijn site een experimenteel deel. Dat is niet bedoeld voor publicatie, maar is ook niet afgeschermd.
Als die map 'abc' zou heten, en iemand typt toevallig 'abc' achter de url van m'n site, dan is dat toch geen binnendringen? Terwijl 'abc' 'n even goede 'code' is als een paar getallen, lijkt me.
Als ik vervolgens geen melding laat verschijnen dat de toegang is verboden of zoiets, van welke 'beveiliging' is er dan sprake?
Als die map 'abc' zou heten, en iemand typt toevallig 'abc' achter de url van m'n site, dan is dat toch geen binnendringen? Terwijl 'abc' 'n even goede 'code' is als een paar getallen, lijkt me.
Als ik vervolgens geen melding laat verschijnen dat de toegang is verboden of zoiets, van welke 'beveiliging' is er dan sprake?
26-12-2012, 15:35 door
Santurechia
Door Ignitem:
Hoewel je kunt betwisten of er sprake is van het doorbreken van een beveiliging heeft de betreffende persoon zowel opzettelijk als wederrechtelijk zich toegang verschaft tot het document. Daaruit kun je concluderen dat verdachte in beginsel schuldig is.
Hoewel je kunt betwisten of er sprake is van het doorbreken van een beveiliging heeft de betreffende persoon zowel opzettelijk als wederrechtelijk zich toegang verschaft tot het document. Daaruit kun je concluderen dat verdachte in beginsel schuldig is.
Wederrechtelijk? Hebben wij allen niet het recht om gepubliceerde informatie tot ons te nemen?
Iets op internet zetten is hetzelfde als naar buiten lopen en een poster opplakken. Is het hetzelfde als publicatie in een artikel? Nee, dat niet. Word het in wat voor mate dan ook gepubliceerd? Ja. Is het daarmee openbare informatie? Ja.
Dit debat word alleen in stand gehouden door het idee dat er publieke informatie zou zijn waar we (als burgers) geen recht op hebben. Dat is dus complete onzin. En ook exact de reden waarom privacy zo belangrijk is, geopenbaarde informatie kan niet "ontweten" worden. We kunnen alleen maar op iemands blauw ogen geloven dat hij niet liegt.
Aangezien er op deze manier ook al meerdere miljoenen nota's vroegtijdig openbaar zijn geworden, mag intussen toch wel HEEL erg duidelijk zijn dat je niet zomaar iets op een server zet en er dan maar vanuit gaat dat het niet gevonden wordt.
Iemand die dat nu nog doet, is gewoon niet zorgvuldig en zelfs onkundig tewerk gegaan.
Als je niet wilt dat iemand bij je gegevens komt, scherm je die af. Zelfs iedere 12-jarige met een facebook account weet dat al.
Iemand die dat nu nog doet, is gewoon niet zorgvuldig en zelfs onkundig tewerk gegaan.
Als je niet wilt dat iemand bij je gegevens komt, scherm je die af. Zelfs iedere 12-jarige met een facebook account weet dat al.
26-12-2012, 16:22 door
Ignitem
Er is een verschil tussen het voor de letter van de wet schuldig te zijn en het daadwerkelijk schuldig worden bevonden. Gelukkig neemt de rechter ook de geest van het wetsartikel mee alsmede de omstandigheden. Puur naar de wet kijkende heeft hij zich zowel opzettelijk als wederrechtelijk toegang verschaft tot de informatie.
Het spreekt vóór hem dat het natuurlijk wel een heel knullige "beveiliging" is, waarop een organisatie als Rijksvoorlichtingsdienst niet zou mogen vertrouwen. Daarbij zouden de gegevens een dag later toch gepubliceerd worden en is de inhoud geheel geheel niet bedreigend. Daarbij zou je kunnen stellen dat de voortijdige publicatie een maatschappelijk belang dient.
Tegen hem spreekt natuurlijk het feit dat hij het gehele document openbaar heeft gemaakt; niet slechts passages. Daarbij zou hij natuurlijk ook het RVD hebben kunnen inlichten.
Moreel acht ik hem niet schuldig, maar je weet nooit waar de rechtspraak toe leidt.
Het spreekt vóór hem dat het natuurlijk wel een heel knullige "beveiliging" is, waarop een organisatie als Rijksvoorlichtingsdienst niet zou mogen vertrouwen. Daarbij zouden de gegevens een dag later toch gepubliceerd worden en is de inhoud geheel geheel niet bedreigend. Daarbij zou je kunnen stellen dat de voortijdige publicatie een maatschappelijk belang dient.
Tegen hem spreekt natuurlijk het feit dat hij het gehele document openbaar heeft gemaakt; niet slechts passages. Daarbij zou hij natuurlijk ook het RVD hebben kunnen inlichten.
Moreel acht ik hem niet schuldig, maar je weet nooit waar de rechtspraak toe leidt.
26-12-2012, 16:40 door
Santurechia
Wat is er wederrechtelijk aan dan? De beveiliging is slechts dat er van uit gegaan word dat er niemand kijkt. Dat is hetzelfde idee als iets gevoeligs op straat laten liggen en daarna degene die er een foto van maakt beschuldigen dat hij het op straat heeft laten liggen. Door het online toegankelijk te maken hebben zij het aangeboden, onzin om iemand anders daar voor te bestraffen.
De code bestaat uit een datum en een volgnummer. Dat is eenvoudig te raden. Plaatsen staat gelijk aan publiceren.
Soms zijn bestanden op een site zo moeilijk te vinden dat het handiger is ze gewoon na te lopen op basis van volgnummer. Ze staan op de website voor publicatie er is dus geen sprake van computervredebreuk.
De schuldige aan het lekken is degene die opdracht tot deze vorm van publiceren heeft gegeven of heeft nagelaten een veiligheidscontrole te doen.
Soms zijn bestanden op een site zo moeilijk te vinden dat het handiger is ze gewoon na te lopen op basis van volgnummer. Ze staan op de website voor publicatie er is dus geen sprake van computervredebreuk.
De schuldige aan het lekken is degene die opdracht tot deze vorm van publiceren heeft gegeven of heeft nagelaten een veiligheidscontrole te doen.
Door Ignitem: Er is een verschil tussen het voor de letter van de wet schuldig te zijn en het daadwerkelijk schuldig worden bevonden. Gelukkig neemt de rechter ook de geest van het wetsartikel mee alsmede de omstandigheden. Puur naar de wet kijkende heeft hij zich zowel opzettelijk als wederrechtelijk toegang verschaft tot de informatie.
Wat is het verschil tussen "opzettelijk" en "bewust" in deze? Hij was "bewust" geïnteresseerd in de te publiceren toespraak van een dag later. Maar wat is dan het "opzettelijke" daarvan? De her-publicatie (linken) daarvan?Het spreekt vóór hem dat het natuurlijk wel een heel knullige "beveiliging" is
Is er nog wel sprake van "beveiliging" als de code die morgen openbaar gemaakt wordt, een nummer hoger is dan de publieke code van vandaag en dit fenomeen zich dus iedere dag exact herhaald?
26-12-2012, 21:31 door
Ignitem
Door Santurechia: Wat is er wederrechtelijk aan dan?
Het document is gekopieerd zonder toestemming van de rechthebbende.
26-12-2012, 21:52 door
[Account Verwijderd]
[Verwijderd]
26-12-2012, 22:20 door
[Account Verwijderd]
[Verwijderd]
Deze persoon liep niet over straat en zag 'bij toeval' iets op de grond liggen. Hij was volgens mij wel degelijk 'op zoek' naar deze informatie.
Net als eerder aangegeven; mensen die de volgende pagina van een artikel willen bekijken en niet op de next knop drukken, maar direct de url aanpassen. Dat doe je niet 'zomaar'; enkel met een 'doel'...
Wil nog steeds niet zeggen dat hij het op deze manier had mogen vinden; dat is en blijft geklungel van de bovenste plank.
Net als eerder aangegeven; mensen die de volgende pagina van een artikel willen bekijken en niet op de next knop drukken, maar direct de url aanpassen. Dat doe je niet 'zomaar'; enkel met een 'doel'...
Wil nog steeds niet zeggen dat hij het op deze manier had mogen vinden; dat is en blijft geklungel van de bovenste plank.
inbraak is pas strafbaar. en dus al men het niet beveiligt. ligt het niet aan die persoon die het ff opzoekt door iets aan te pase in de weburl. kune ict juriste zege wat ze willen hoor. als hun er geen beveiliging op zete zijn ze zelf fout. en niet de persoon die ff iets uit zoekt of het mogelijk is he. en de rechter kan hier ook niks anders van maken hoor. zou mij Pas echt verbazen als ie de persoon toch strafbaar steld;
en site niet beveilige die onder de Staat valt is Lomp bezig, de zoveelse overheid site die niet veilig is he. ze lere het ook niet;
en site niet beveilige die onder de Staat valt is Lomp bezig, de zoveelse overheid site die niet veilig is he. ze lere het ook niet;
Door Ignitem:
De webserver heeft een 200-response afgegeven, en geen 401-response. Dat is toestemming, dat is letterlijk het verschil tussen "Ok, hier heb je het" en "Sorry, daar mag je niet bij" als iemand iets opvraagt. Het is niet alleen zo dat de 401-forbidden-response expliciet toegang verbiedt, maar de 200-Ok-response is net zo expliciet in het geven van toegang. Ik zou zeggen dat de rechthebbende daarmee wel degelijk toestemming heeft gegeven.Door Santurechia: Wat is er wederrechtelijk aan dan?
Het document is gekopieerd zonder toestemming van de rechthebbende.Bizar dat de aanwezigheid van zo'n duidelijk, eenduidig, keurig op de behoeftes van de websitehouder en de wetgeving toegesneden mechanisme kennelijk geen rol speelt in wat als wederrechtelijk wordt beschouwd.
26-12-2012, 23:17 door
Ignitem
Door Hugo: Maar er stond ook geen 'verboden te kijken' bij. Daarbij is er niks gekopieerd. Het is gewoon het opvragen van publiekelijk toegankelijke informatie. Dat het niet de bedoeling was dat de informatie publiekelijk beschikbaar werd gesteld is niet de schuld van de degene die deze informatie opvroeg.
Als iemand informatie voortijdig letterlijk op straat legt, betekent dat niet dat iemand die deze informatie oppakt en inkijkt zich schuldig maakt aan het zich wederrechtelijke toegang verschaffen tot informatie.
Als iemand informatie voortijdig letterlijk op straat legt, betekent dat niet dat iemand die deze informatie oppakt en inkijkt zich schuldig maakt aan het zich wederrechtelijke toegang verschaffen tot informatie.
Het enige dat ik kan doen is weer verwijzen naar Wetboek van Strafrecht, Artikel 138ab lid 1 : "Schuldig aan computervredebreuk, hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan."
Opzettelijk daar hij zelf de URL is gaan manipuleren. Wellicht niet met de gedachte dat het zou lukken. Wederrechtelijk omdat dit zonder toestemming van de rechthebbende heeft plaatsgevonden.
Al het andere is de wens is de vader van de gedachte.
Dergelijke acties heb ik, en waarschijnlijk veel meer personen op dit forum, het afgelopen decennium meer dan genoeg gedaan. Creatief surfen noemen wij het hier en daar is volgens mij niets strafbaars aan. Voldoende cms werken met een oplopende nummering. Ik heb wel eens een aangepast krantenartikel teruggevonden door het id een paar nummers te verlagen. Of groot formaat foto's op een profielensite bekijken door de 123_small.jpg te veranderen in 123_full.jpg terwijl je niet bent ingelogd of te weinig credits (lees betaald) hebt. Bij teletekst (teletekst.nos.nl/tekst/101-01.html) zou je van 101 tot 899 kunnen doorgaan. Ben je dan ook strafbaar?
En wat nu als je een tikfout maakt? Ben je dan ook strafbaar als je iets ziet wat verboden is danwel onder embargo staat?
En wat nu als je een tikfout maakt? Ben je dan ook strafbaar als je iets ziet wat verboden is danwel onder embargo staat?
Ik denk dat er hier sprakeis van een tweetal domme mensen.
Allereerst de ambtenaar die de content geplaatst heeft kon weten gelet op de commotie rond de miljoenen nota dat hij/zij fout bezig was. Nu zijn dit vaak communicatie medewerkers die net zoals het peerd van de schilleboer met oogkleppen op met hun werk bezig zijn en niet doordenken wat de gevolgen van hun handelen is.
Daarnaast de sukkel die denkt dat hij een geweldige prestatie heeft geleverd om deze content te vinden. 90% van de content die je op het web wilt vinden is ook al is dit niet echt openbaar gepuvbliceerd is kinderlijk eenvoudig te vinden. Denk aan de robot crawlers die webservers afzoeken op content. Daar is overigens geen computervredebreuk bij, simpel door de content lopen die op het openbare deel van een website staan scannen en je hebt meer info.
Meneer Roeleveld die kennelijk de laatste tijd geen prestaties heeft geleverd, wilde misschien de blits maken bij zijn vrouw of vriend door over dit wapenfeit, dat feitelijk helemaal niets voorsteld. Die prestatiedrang hebben mannetjes wel vaker: hoog opgeven over minderwaardige prestaties.
Eigenlijk dus helemaal niets om je druk over te maken, simpel een ambtenaar en een pochertje...
Allereerst de ambtenaar die de content geplaatst heeft kon weten gelet op de commotie rond de miljoenen nota dat hij/zij fout bezig was. Nu zijn dit vaak communicatie medewerkers die net zoals het peerd van de schilleboer met oogkleppen op met hun werk bezig zijn en niet doordenken wat de gevolgen van hun handelen is.
Daarnaast de sukkel die denkt dat hij een geweldige prestatie heeft geleverd om deze content te vinden. 90% van de content die je op het web wilt vinden is ook al is dit niet echt openbaar gepuvbliceerd is kinderlijk eenvoudig te vinden. Denk aan de robot crawlers die webservers afzoeken op content. Daar is overigens geen computervredebreuk bij, simpel door de content lopen die op het openbare deel van een website staan scannen en je hebt meer info.
Meneer Roeleveld die kennelijk de laatste tijd geen prestaties heeft geleverd, wilde misschien de blits maken bij zijn vrouw of vriend door over dit wapenfeit, dat feitelijk helemaal niets voorsteld. Die prestatiedrang hebben mannetjes wel vaker: hoog opgeven over minderwaardige prestaties.
Eigenlijk dus helemaal niets om je druk over te maken, simpel een ambtenaar en een pochertje...
27-12-2012, 00:21 door
Goeroeboeroe
Door Ignitem:
Het enige dat ik kan doen is weer verwijzen naar Wetboek van Strafrecht, Artikel 138ab lid 1 : "Schuldig aan computervredebreuk, hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan."
Opzettelijk daar hij zelf de URL is gaan manipuleren. Wellicht niet met de gedachte dat het zou lukken. Wederrechtelijk omdat dit zonder toestemming van de rechthebbende heeft plaatsgevonden.
Al het andere is de wens is de vader van de gedachte.
Jawel, ik heb dat wel gelezen, maar om een url te 'manipuleren' heb je toch geen toestemming nodig? Als ik 'n site benader en willekeurige verlengsels achter de url plak, dan is dat toch geen manipuleren? Zoekmachines doen dat soort dingen ook, om de 404 te testen en zo. Wat is er niet openbaar aan een url? Wat is er wederrechtelijk aan het toevoegen van enkele tekens aan een url?Door Hugo: Maar er stond ook geen 'verboden te kijken' bij. Daarbij is er niks gekopieerd. Het is gewoon het opvragen van publiekelijk toegankelijke informatie. Dat het niet de bedoeling was dat de informatie publiekelijk beschikbaar werd gesteld is niet de schuld van de degene die deze informatie opvroeg.
Als iemand informatie voortijdig letterlijk op straat legt, betekent dat niet dat iemand die deze informatie oppakt en inkijkt zich schuldig maakt aan het zich wederrechtelijke toegang verschaffen tot informatie.
Als iemand informatie voortijdig letterlijk op straat legt, betekent dat niet dat iemand die deze informatie oppakt en inkijkt zich schuldig maakt aan het zich wederrechtelijke toegang verschaffen tot informatie.
Het enige dat ik kan doen is weer verwijzen naar Wetboek van Strafrecht, Artikel 138ab lid 1 : "Schuldig aan computervredebreuk, hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan."
Opzettelijk daar hij zelf de URL is gaan manipuleren. Wellicht niet met de gedachte dat het zou lukken. Wederrechtelijk omdat dit zonder toestemming van de rechthebbende heeft plaatsgevonden.
Al het andere is de wens is de vader van de gedachte.
Als ik op die manier iets zou vinden, zou ik het zonder meer als openbare informatie zien. Als iemand niet wil dat iets gelezen wordt, dan zijn er toch tig mogelijkheden om dat af te schermen? Ik zie het wederrechtelijke niet van het toevoegen van wat tekens aan een url.
Als iemand die test-directory van mij vindt, dan is het toch ook niet wederrechtelijk als hij daarin gaat rondneuzen of er links naar maakt?
Je zou inderdaad misschien iets met auteursrecht kunnen doen, maar daar houdt het volgens mij mee op. En daar had Arnoud het volgens mij niet over.
Je kan lang of kort erover discussieren, je zet iets online, en dus op het internet, dus je wil dat het publiekelijk benaderbaar is, en dus dat iedereen erbij kan. Klaar punt uit, Als het niet online had gestaan had het niet gebeurd. Dat de timing slecht was, en dat het getal cq url raadbaar was maakt ook niet uit. Als je niet wil dat je content voor 21 december 2012 op internet verschijnt, dan moet je het niet op 16 december al plaatsen en hopen dat niemand het vind. Dat zet je een scriptje neer, of desnoods een dude die om 0:00 op de upload knop drukt ( is weer een overuurtje :)) .
Anyway, het is het world wide web, dus als je niet wilt dat je shizzle wordt bekeken, dan moet je het niet plaatsen, of maatregelen nemen om dit te voorkomen, verbergen, ip blocks, etc etc etc.
Is dit nou zo moelijk ? Je doet toch ook geen persconferentie aan volledige NL pers en verteld ze vervolgens dat ze dit pas een dag later mogen uitzenden ?
Anyway, het is het world wide web, dus als je niet wilt dat je shizzle wordt bekeken, dan moet je het niet plaatsen, of maatregelen nemen om dit te voorkomen, verbergen, ip blocks, etc etc etc.
Is dit nou zo moelijk ? Je doet toch ook geen persconferentie aan volledige NL pers en verteld ze vervolgens dat ze dit pas een dag later mogen uitzenden ?
'Vinden kersttoespraak Beatrix strafbaar feit'
precies ben er helemaal mee eens
het is gewoon prive beveiligt of niet
eigen schuld dikke bult moet zover zo niks van hackers hebben
die altijd denken dat alles zo mag
nu heeft die wat !
precies ben er helemaal mee eens
het is gewoon prive beveiligt of niet
eigen schuld dikke bult moet zover zo niks van hackers hebben
die altijd denken dat alles zo mag
nu heeft die wat !
27-12-2012, 06:14 door
wallum
Door Ignitem:
...Wederrechtelijk omdat dit zonder toestemming van de rechthebbende heeft plaatsgevonden....
De rechthebbende heeft de informatie zelf (weliswaar onbedoeld) gepubliceerd op een openbaar medium en daarmee per definitie toestemming gegeven aan iedereen om het te lezen. Dus niet wederrechterlijk lijkt me....Wederrechtelijk omdat dit zonder toestemming van de rechthebbende heeft plaatsgevonden....
27-12-2012, 07:11 door
SPlid
@ iqnitem, hoe moet ik weten dat ik dat wederrechtelijk doe ? Oftewel hoe moet ik weten dat de RVD dit document niet openbaar heeft gepubliceerd. Zoals de vinder al opmerkte, "ik dacht dat het de troonrede van vorig jaar was". Was er ergens een Business use notificatie die aangaf dat het strafbaar was om een openbare pagina te lezen ? Het zou toch van de zotte zijn als ik strafbaar ben omdat ik een willekeurige URL intype.
De RVD doet iets "onhandigs" en probeert nu de klokkenluider te pakken. Wat ik helemaal niet begrijp dat diverse personen in deze thread dat ook nog porberen te verdedigen door aan te geven dat de vinder strafrechtelijk aan te pakken is, als iemand voor zo iets aan te pakken is, deugt de wet niet en is onze rechtsstaat een lachertje.
De RVD doet iets "onhandigs" en probeert nu de klokkenluider te pakken. Wat ik helemaal niet begrijp dat diverse personen in deze thread dat ook nog porberen te verdedigen door aan te geven dat de vinder strafrechtelijk aan te pakken is, als iemand voor zo iets aan te pakken is, deugt de wet niet en is onze rechtsstaat een lachertje.
27-12-2012, 09:38 door
Ignitem
Je kunt niet stellen dat alles dat op een website staat per definitie openbaar is. Door de juiste URL in te typen kun je bijvoorbeeld in de sessie van een andere gebruiker terechtkomen. Er zijn voorbeelden bekend waarbij zo foto's en documenten bemachtigd zijn.
Daarbij is de gebruiker moedwillig op zoek gegaan naar de kerstrede. Mocht er een rechtszaak komen ben ik erg benieuwd naar de uitspraak. Vrijspraak is zeker wenselijk, maar liever zie ik dat onze wetten minder strikt worden.
Daarbij is de gebruiker moedwillig op zoek gegaan naar de kerstrede. Mocht er een rechtszaak komen ben ik erg benieuwd naar de uitspraak. Vrijspraak is zeker wenselijk, maar liever zie ik dat onze wetten minder strikt worden.
@anoniem 13:29
Oh, sorry. Ik wist niet dat het onwenselijk om weerwoord te geven op een expert.
Oh, sorry. Ik wist niet dat het onwenselijk om weerwoord te geven op een expert.
27-12-2012, 10:45 door
yobi
Waarom is alleen de hacker strafbaar en niet alle anderen, die de link via security.nl hebben geopend?
de mensen die de website zo gemaakt hebben moeten vervolgd worden!!!
een half jaar celstraf en een levenslang beroepsverbod; wedden dat het nooit weer gebeurd?
Het is tijd dat we de schuldigen is aan gaan pakken!!!
een half jaar celstraf en een levenslang beroepsverbod; wedden dat het nooit weer gebeurd?
Het is tijd dat we de schuldigen is aan gaan pakken!!!
27-12-2012, 11:18 door
[Account Verwijderd]
[Verwijderd]
27-12-2012, 11:19 door
[Account Verwijderd]
[Verwijderd]
27-12-2012, 11:22 door
[Account Verwijderd]
[Verwijderd]
Typische gevalletje van security by obscurity.. Houd echt geen stand in de rechtbank!
zover ik het begrijp, stond het des betreffende filmpje in de publieke directory van de webserver.
De access controls van de webserver geven aan welke directories publiek zijn, en welke beschermd zijn.
Op het moment dat je iets in de publieke directory zet, dan geef je al toestemming aan de hele wereld om het te bekijken of je er nou naar linkt of niet, of je het bestand een moeilijk te raden naam geeft of niet.
Wanneer je dit niet wilt sla je het filmpje op in een directory buiten de publieke directory.
In dit opzicht is het raden van bronnen dmv een url geheel legitiem. De eigenaar van het bestand heeft immers al toestemming gegeven door het in de publieke directory te zetten.
De access controls van de webserver geven aan welke directories publiek zijn, en welke beschermd zijn.
Op het moment dat je iets in de publieke directory zet, dan geef je al toestemming aan de hele wereld om het te bekijken of je er nou naar linkt of niet, of je het bestand een moeilijk te raden naam geeft of niet.
Wanneer je dit niet wilt sla je het filmpje op in een directory buiten de publieke directory.
In dit opzicht is het raden van bronnen dmv een url geheel legitiem. De eigenaar van het bestand heeft immers al toestemming gegeven door het in de publieke directory te zetten.
27-12-2012, 11:55 door
Erik Loman
Vanmorgen verschenen:
http://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het intypen van een nog onbekende URL is dus strafbaar :S
http://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het intypen van een nog onbekende URL is dus strafbaar :S
27-12-2012, 11:57 door
[Account Verwijderd]
[Verwijderd]
Door Erik Loman: Vanmorgen verschenen:
http://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het intypen van een nog onbekende URL is dus strafbaar :S
http://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het intypen van een nog onbekende URL is dus strafbaar :S
Die "dus" is wel wat veel eer voor iets wat de opinie is van weliswaar een jurist, (hoewel ik meen dat A.E. primair intellectueel eigendom specialist is ) .maar zonder verwijzing naar jurisprudentie waarin deze erg opgerekte definitie door de rechter gevolgd werd.
Naar mijn mening zou Arnoud om in een juridisch vakblad publicabel te zijn een stuk meer moeten uitwerken waarom een andere URL eigenlijk hetzelfde is als SQL injectie .
(SQL injectie kan ik heel wat makkelijker vatten als deel c ('valse signalen' , zie anoniem 26 Dec 13:20, dat was ik ook), dan een reguliere URL met iets wat feitelijk niet meer dan een spelfout/cut&paste error is) .
"De link was nog niet openbaar en ook nog niet voor publicatie bestemd, ook al stond die wel online. Door een pagina te openen die nog niet openbaar was, heeft Roeleveld zich strafbaar gemaakt, zegt Engelfriet. "
Yeah right. Je mag een website dus pas bezoeken wanneer dus geindexeerd is door Google ofzo ? Ik ben benieuwd op welk wetsartikel deze uitleg is gebaseerd.
"Het intypen van een nog onbekende URL is dus strafbaar :S"
Indien ik dus zou willen weten of een bepaald bedrijf een website heeft, dan mag ik niet de waarschijnlijke URL intikken, maar dan moet ik een zoekmachine gebruiken, omdat ik anders strafbaar bezig ben ? Hetzelfde geldt indien ik wil kijken of een domein nog vrij is, omdat ik deze wellicht zou willen registreren ?
"Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is."
Er is -geen- sprake van binnendringen. Met dit soort kromme redenaties kan je van alles strafbaar gaan stellen.
"precies ben er helemaal mee eens het is gewoon prive beveiligt of niet "
Tuurlijk, vandaar dat je het ook op een publieke website zet, met rechten voor de hele wereld om het te mogen bekijken.
"eigen schuld dikke bult moet zover zo niks van hackers hebben "
Dit heeft met hacken helemaal niets van doen. Als jij een website hebt, en ik bezoek die website, ben ik dan een hacker ?!
Yeah right. Je mag een website dus pas bezoeken wanneer dus geindexeerd is door Google ofzo ? Ik ben benieuwd op welk wetsartikel deze uitleg is gebaseerd.
"Het intypen van een nog onbekende URL is dus strafbaar :S"
Indien ik dus zou willen weten of een bepaald bedrijf een website heeft, dan mag ik niet de waarschijnlijke URL intikken, maar dan moet ik een zoekmachine gebruiken, omdat ik anders strafbaar bezig ben ? Hetzelfde geldt indien ik wil kijken of een domein nog vrij is, omdat ik deze wellicht zou willen registreren ?
"Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is."
Er is -geen- sprake van binnendringen. Met dit soort kromme redenaties kan je van alles strafbaar gaan stellen.
"precies ben er helemaal mee eens het is gewoon prive beveiligt of niet "
Tuurlijk, vandaar dat je het ook op een publieke website zet, met rechten voor de hele wereld om het te mogen bekijken.
"eigen schuld dikke bult moet zover zo niks van hackers hebben "
Dit heeft met hacken helemaal niets van doen. Als jij een website hebt, en ik bezoek die website, ben ik dan een hacker ?!
27-12-2012, 13:47 door
[Account Verwijderd]
[Verwijderd]
27-12-2012, 13:56 door
Erik Loman
Door Hugo: De vergelijking SQL-injectie met het opvragen van een willekeurige pagina is totaal scheef. Bij SQL-injectie laat je een systeem (de echterliggende database) handelingen uitvoeren die niet wenselijk en niet de bedoeling zijn. Bij het opvragen van een willekeurige pagina van een webserver doe je niks anders dan een systeem bevragen volgens een internationaal afgesproken standaard.
Ik denk dat de crux is dat 'de wet' geen onderscheid maakt tussen statische en dynamische content, dus Arnoud ook niet.De betreffende website, en de URL voldoen aan de eisen van de webrichtlijnen voor Overheid (zie ook de pagina over toegankelijkheid).
In het bijzonder voldoet de URL aan eise R-pd.4.6 ten aanzien van "vriendelijke" URL's: "Vriendelijke URL's dragen bij aan de gebruiksvriendelijkheid van websites. Ze zijn gemakkelijk te onthouden en in te typen, en de bezoeker kan op basis van de URL beredeneren hoe de informatiestructuur van de website is opgebouwd."
De Engelstalige referentie (requirement) onderstreept dit nog eens extra: "URLs that are ‘hackable’ to allow users to move to higher levels of information architecture by hacking off the end of the URL”.
Daarmee is in dit geval per definitie uitgesloten dat deze vorm van URL aanpassen valt onder het begrip binnendringen.
Los van dit voorval lijkt me dat er voor binnendringen sprake moet zijn van het toegang verschaffen tot iets wat niet publiek is. Een webpagina op Internet lijkt me publiek. Er is voorts geen sprake van het verwerven van een dienst, op de toespraak zitten geen rechten. Merk verder op dat Google, Googlebot zich hieraan dagelijks 'schuldig' maakt.
In het bijzonder voldoet de URL aan eise R-pd.4.6 ten aanzien van "vriendelijke" URL's: "Vriendelijke URL's dragen bij aan de gebruiksvriendelijkheid van websites. Ze zijn gemakkelijk te onthouden en in te typen, en de bezoeker kan op basis van de URL beredeneren hoe de informatiestructuur van de website is opgebouwd."
De Engelstalige referentie (requirement) onderstreept dit nog eens extra: "URLs that are ‘hackable’ to allow users to move to higher levels of information architecture by hacking off the end of the URL”.
Daarmee is in dit geval per definitie uitgesloten dat deze vorm van URL aanpassen valt onder het begrip binnendringen.
Los van dit voorval lijkt me dat er voor binnendringen sprake moet zijn van het toegang verschaffen tot iets wat niet publiek is. Een webpagina op Internet lijkt me publiek. Er is voorts geen sprake van het verwerven van een dienst, op de toespraak zitten geen rechten. Merk verder op dat Google, Googlebot zich hieraan dagelijks 'schuldig' maakt.
Ik typ in mijn browser: http://www.willekeurige-random-site.nl/index.html ..... ben ik nu strafbaar?
Als ik een aantal 'definities' volg die hier gepost worden wel.
Als ik een aantal 'definities' volg die hier gepost worden wel.
27-12-2012, 17:59 door
Goeroeboeroe
Door Hugo:
Ik nam aan dat dat zo was, omdat het vrij algemeen wordt aangenomen (en ik geen tijd heb om álles diepgaand uit te zoeken, zeker geen onbelangrijke dingen). Maar ik werd nu toch nieuwsgierig en ben even gaan zoeken, en het zou kunen dat je gelijk hebt. Een hele hoop mensen dénken dat dat gebeurt, maar ik kon geen info van Google zelf vinden. Maar ook niet dat het niet gebeurt.Door Goeroeboeroe:
Zoekmachines doen dat soort dingen ook, om de 404 te testen en zo.
Dat is niet juist.Zoekmachines doen dat soort dingen ook, om de 404 te testen en zo.
Vaststaat in ieder geval dat Google regelmatig niet bestaande url's opvraagt. Ik begin nu echter te twijfelen of dat opzettelijk is of gewoon foute links en zo die worden gevolgd.
Heb jij misschien 'n bron voor wat jij zegt?
27-12-2012, 18:04 door
Goeroeboeroe
Door Erik Loman: Vanmorgen verschenen:
http://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het intypen van een nog onbekende URL is dus strafbaar :S
http://blog.iusmentis.com/2012/12/27/wanneer-url-manipulatie-strafbaar-is-als-computervredebreuk/
Het intypen van een nog onbekende URL is dus strafbaar :S
Die conclusie is wat kort door de bocht. Ik heb trouwens nog nooit zoveel reacties op dat blog gezien. Onder de mensen die reageren zitten ook heel veel juristen, en de overwegende mening van de reageerders is dat het níét strafbaar is. Enkelen zijn het met Arnoud eens. Kortom: de meningen onder juristen zijn verdeeld, maar op dat blog is de meerderheid van mening dat het niet strafbaar is.
Overigens heeft ook Arnoud het feitelijk over een theoretische strafbaarheid, want hij schrijft ook in 'n reactie: "Het blijft natuurlijk van de zotte dat de RVD een “onderzoek” gaat instellen, en ik kan me níet voorstellen dat het OM meer dan vijf minuten besteedt aan een eventuele aangifte."
Maar goed, voor juristen is dit soort vragen natuurlijk smullen.
Door Hugo:
Door Anoniem: zover ik het begrijp, stond het des betreffende filmpje in de publieke directory van de webserver.
Nee, wat hij gedaan heet is een URL naar een filmpje aangepast. Stel, de link was http://www.website.nl/101212-1234.avi (10 december 2012, met volgnummer 1234). Wat Anne Jan ervan gemaakt heeft is http://www.website.nl/111212-1235.avi (11 december 2012, met volgnummer 1234 + 1). Dit was puur uit nieuwsgierigheid, hij was niet eens expliciet naar iets opzoek.Waar stond het filmpje dus? Ik heb naast mijn aangebroken brood een heel andere plastic zak liggen,maar ze zitten allebei wel keurig in de broodtrommel!
De toespraak stond op een webserver. Tot zover klopte het.
Maar daarop draaide ook een CMS met een homepage en een zoekfunctie.
De toespraak zal niet via het CMS op de homepage of onderliggende pagina's aangeboden zijn.
Ook is de toespraak niet met de legitieme zoekfunctie van het CMS gevonden maar door de url handmatig te manipuleren.
Dus niets 'publiek gemaakt' door op een webserver te plaatsen.
Niet alles wat op een webserver staat is publiek. Punt.
Logfiles en usernames/passwords van het CMS staan vast ook in de database van het CMS en zijn ook niet 'publiek'.
De oude url (van vorig jaar) is gemanipuleerd.
En dat is opzettelijk gedaan om te zoeken naar wat uiteindelijk gevonden werd: de toespraak van dit jaar.
Dus opzettelijk.
En boevendien heeft de 'dader' daarna de media ingelicht en dus heeft HIJ het ook nog eens publiek gemaakt.
Nu blijkt dat hij geen journalist is dus heeft zowiezo minder rechtsbescherming om dit soort dingen te 'onderzoeken'.
Daarmee valt hij onder de reikwijdte van 138 SR
Vind ik daarom dat hij straf verdient? Nee.
Dit manco zat vorig jaar al in de website. Bovendien is het een hiaat in het CMS.
Los van het feit dat een onbekende url niet de enige 'beveiliging' dient te zijn tegen nieuwsgierige aagjes vind ik dat het CMS zelf een datumcheck moet uitvoeren of een andere check of het item al getoond mag worden nadat de url opgevraagd werd. Een (dag)boek beveilig je ook niet door de inhoudsopgave weg te laten of te verwijderen.
Tenslotte
Maar daarop draaide ook een CMS met een homepage en een zoekfunctie.
De toespraak zal niet via het CMS op de homepage of onderliggende pagina's aangeboden zijn.
Ook is de toespraak niet met de legitieme zoekfunctie van het CMS gevonden maar door de url handmatig te manipuleren.
Dus niets 'publiek gemaakt' door op een webserver te plaatsen.
Niet alles wat op een webserver staat is publiek. Punt.
Logfiles en usernames/passwords van het CMS staan vast ook in de database van het CMS en zijn ook niet 'publiek'.
De oude url (van vorig jaar) is gemanipuleerd.
En dat is opzettelijk gedaan om te zoeken naar wat uiteindelijk gevonden werd: de toespraak van dit jaar.
Dus opzettelijk.
En boevendien heeft de 'dader' daarna de media ingelicht en dus heeft HIJ het ook nog eens publiek gemaakt.
Nu blijkt dat hij geen journalist is dus heeft zowiezo minder rechtsbescherming om dit soort dingen te 'onderzoeken'.
Daarmee valt hij onder de reikwijdte van 138 SR
Vind ik daarom dat hij straf verdient? Nee.
Dit manco zat vorig jaar al in de website. Bovendien is het een hiaat in het CMS.
Los van het feit dat een onbekende url niet de enige 'beveiliging' dient te zijn tegen nieuwsgierige aagjes vind ik dat het CMS zelf een datumcheck moet uitvoeren of een andere check of het item al getoond mag worden nadat de url opgevraagd werd. Een (dag)boek beveilig je ook niet door de inhoudsopgave weg te laten of te verwijderen.
Tenslotte
Door Anoniem: De toespraak stond op een webserver. Tot zover klopte het.
Maar daarop draaide ook een CMS met een homepage en een zoekfunctie.
De toespraak zal niet via het CMS op de homepage of onderliggende pagina's aangeboden zijn.
Ook is de toespraak niet met de legitieme zoekfunctie van het CMS gevonden maar door de url handmatig te manipuleren. Dus niets 'publiek gemaakt' door op een webserver te plaatsen.
Maar daarop draaide ook een CMS met een homepage en een zoekfunctie.
De toespraak zal niet via het CMS op de homepage of onderliggende pagina's aangeboden zijn.
Ook is de toespraak niet met de legitieme zoekfunctie van het CMS gevonden maar door de url handmatig te manipuleren. Dus niets 'publiek gemaakt' door op een webserver te plaatsen.
Elk goed CMS slaat bestanden die niet publiekelijk bedoelt zijn op buiten de publieke directory. Het CMS kan dan via zijn eigen access controls kijken of het betreffende bestand benaderd mag worden. De webserver heeft immers de publieke directory al zichtbaar voor iedereen gemaakt.
Of een CMS iets al dan niet toont of linkt, zegt niets over of het is toegestaan. Een pagina met een link naar een document kan verwijderd zijn, terwijl het document nog gebruikt wordt door mensen die hem gebookmarkt hebben.
Logfiles en usernames/passwords van het CMS staan vast ook in de database van het CMS en zijn ook niet 'publiek'."
De database staat niet in de publieke directory van de webserver. Het CMS maakt een connectie via een socket of port met de webserver, De vergelijking gaat niet op. Log files worden net zoals de code ook buiten de publieke directory opgeslagen.
En boevendien heeft de 'dader' daarna de media ingelicht en dus heeft HIJ het ook nog eens publiek gemaakt.
Hij had idd beter de RVD of een journalist kunnen inlichten.
Samenvattend met access controls geef je op webserver of CMS niveau aan wat bekeken mag worden, alles wat niet bekeken mag worden moet een http code 403 Forbidden geven. Dat is voor iedereen helder en ook technisch al jaren de standaard.
Door Anoniem: De toespraak stond op een webserver. Tot zover klopte het.
[..]
En boevendien heeft de 'dader' daarna de media ingelicht en dus heeft HIJ het ook nog eens publiek gemaakt.
Nu blijkt dat hij geen journalist is dus heeft zowiezo minder rechtsbescherming om dit soort dingen te 'onderzoeken'.
Daarmee valt hij onder de reikwijdte van 138 SR
[..]
En boevendien heeft de 'dader' daarna de media ingelicht en dus heeft HIJ het ook nog eens publiek gemaakt.
Nu blijkt dat hij geen journalist is dus heeft zowiezo minder rechtsbescherming om dit soort dingen te 'onderzoeken'.
Daarmee valt hij onder de reikwijdte van 138 SR
Ondanks hun pretenties zijn journalisten niks bijzonders en hebben ze geen speciale rechtsbescherming.
Punt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
