this post was submitted on 31 Mar 2024
46 points (97.9% liked)

DACH - jetzt auf feddit.org

8872 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
[–] crispy_kilt@feddit.de 76 points 7 months ago (12 children)

Unsinn. Es ist möglich die Information "ist über 18" auszuweisen ohne weitere Informationen preiszugeben.

Beispielsweise könnte der Staat eine Art IdP implementieren welche kurzlebige Tokens mit der gewünschten Information ausstellt. Wohlgemerkt, da steht nicht das Geburtsdatum drin, sondern nur, dass die Person über 18 ist. Das wird signiert und dann der Zielapplikation ausgehändigt. Der staatliche IdP weiß nicht, wofür das Token ist. Die Zielapplikation weiß nichts über den Benutzer, außer dass er erwachsen ist.

Erledigt

[–] Ooops@kbin.social 23 points 7 months ago* (last edited 7 months ago) (2 children)

Da muss man nicht mal großartig was implementieren. Einfach die Angabe dem ePerso (mit "diese Person in nach den Gesetzen des entsprechenden Staates volljährig" erledigt man sogar Grenzfälle unterschiedlicher Altersgrenzen) hinzufügen, wo auslesen einzelner Daten ohne den Rest schon möglich und das Ganze durch den ausstellenden Staat hinreichend verifiziert ist und fertig.

Das ist aber numal der Witz daran. Man will keine Alterverifikation. Man will Überwachung und das Sammeln privater Daten. Die Altersverifikation ist nur der Vorwand.

Und hirnlose Idioten, wie hier in dem Artikel machen fleißig mit.

Die Wirklichkeit ist nämlich: Altersverifikation ohne Verletzung der Privatssphäre ist einfach. Die geisteskranken Ideen, die stattdessen gepushed werden, eben weil das nur ein Vorwand ist, sind dann aber in der Tat in einer Demokratie nicht machbar. Und das ist auch gut und richtig so. Trotzdem werden sie es immer weiter versuchen. Lügen, wie diese hier, dass unsere Vorstellung von Demokratie oder Datenschutz das Problem sind, gehören nur mit zur Kampagne.

[–] cjk@feddit.de 3 points 7 months ago (1 children)

Da muss man nicht mal großartig was implementieren. Einfach die Angabe dem ePerso (mit “diese Person in nach den Gesetzen des entsprechenden Staates volljährig” erledigt man sogar Grenzfälle unterschiedlicher Altersgrenzen) hinzufügen, wo auslesen einzelner Daten ohne den Rest schon möglich und das Ganze durch den ausstellenden Staat hinreichend verifiziert ist und fertig.

Genau die Funktion hat der ePerso bereits…

[–] Ooops@kbin.social 1 points 7 months ago

War mir nicht bewußt, dass ich die Volljährigkeit abfragen kann, ohne mein gesamtes Geburtsdatum zu übermitteln, aber umso besser...

Aber wie gesagt, eine simple Alterverifikation ist halt eigentlich gar nicht gewünscht. Man muss immer Platz fürs Datensammeln, am besten noch durch private Anbieter lassen. Wo kämen wir denn sonst hin.

[–] crispy_kilt@feddit.de 3 points 7 months ago

Das ist mir schon klar. Mein Lösungsansatz der anonymen Verifikation ist dazu da, den Normies zu zeigen, wie einfach es wäre, damit sie weniger auf die Lügen der Lobbyisten reinfallen. Es gibt viele technisch Interessierte aber nicht wirklich darin ausgebildete hier, die ich hoffe damit abzuholen.

[–] BlueKey@fedia.io 18 points 7 months ago (2 children)

Der deutsche E-Perso hat bereits genau diese ">= 18" Abfrage.

[–] Microw@lemm.ee 9 points 7 months ago

Kommt mit EIDAS jetzt auch eu-weit... was der EU-Klub der Grünen wissen müsste

[–] peak_dunning_krueger@feddit.de 1 points 7 months ago (1 children)

Cool, gibt es da Dokumentation zu, weil die Website https://www.personalausweisportal.de/ hat dazu nichts.

[–] BlueKey@fedia.io 7 points 7 months ago (1 children)
[–] peak_dunning_krueger@feddit.de 2 points 7 months ago (1 children)

Nein, ich meine, die Serveradresse(n) wo ich den OAuth ähnlichen Vorgang real hin schicke.

Nicht info wie es im Prinzip funktionieren kann.

Also Microsoft macht das vorbildlich mit Code Beispiel https://github.com/Azure-Samples/ms-identity-python-flask-webapp-authentication

Aber wenigstens einen Auth Server oder so bräuchte ich schon?

[–] BlueKey@fedia.io 4 points 7 months ago (1 children)

Nunja, es gibt keinen wirklichen Auth-Server. Die Identifizierung läuft nur auf dem Perso (+ Lesegerät) ab.

Aber es gibt Testsoftware, mit der man solche Flows selber zur Entwicklung nachstellen kann: WWW.

[–] peak_dunning_krueger@feddit.de 1 points 7 months ago

Nunja, es gibt keinen wirklichen Auth-Server. Die Identifizierung läuft nur auf dem Perso (+ Lesegerät) ab.

Wie es gibt keinen Auth Server?

  • Server:"bist du Peter Müller?"
  • Client:"ja bin ich"
  • Server:"bitte mal nachweisen"
  • Client:"hab ich geprüft, vertrau mir"

Verstehe ich das so richtig?

Wieso sollte ich denn dem Client-seitigen Gerät trauen?

Also ich hab nochmal nachgeguckt. Hier: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Elektronische-Identitaeten/Online-Ausweisfunktion/online-ausweisfunktion_node.html gibt es unten ein PDF, da steht auf Seite 10 etwas in Schritt 3.1 Online Authentifikation etwas bei 2.

The service provider sends an authentication request to the eID-Server and activates the eID Client via the user’s application (e.g. browser).

So. Wo ist jetzt dieser eID-Server, bzw. warum steht das nicht in der Dokumentation? Wo ist denn dann die Dokumentation dafür wenn nicht hier? (Retorische Frage, wenn du es trotzdem weißt danke, aber erwarte ich jetzt nicht.)

[–] philipp_@discuss.tchncs.de 6 points 7 months ago

Wenn man es geschickt anstellt, könnte man das evtl sogar lokal im E-Perso machen, ohne dass man überhaupt eine staatliche API benutzen muss.

[–] smonkeysnilas@feddit.de 3 points 7 months ago (1 children)

Finde ich gut, eine absolut wasserdichte technische Lösung gibt es aber glaube ich nicht. Wenn es anonym ist und keine identifizierbaren Infos enthält findet sich jemand der seine eigenen Tokens verkauft oder einfach so herausgibt. Und es gibt das Thema Identitätsdiebstahl. Wenn Leute es schaffen z.B. auf fremden Namen Bankkonten zu eröffnen wird sich zur Tokenerzeugung bestimmt auch ein Weg eröffnen. Am Ende bleiben immer die Eltern in der Pflicht.

[–] crispy_kilt@feddit.de 3 points 7 months ago (1 children)

Du hast deinen Kommentar etwa 10 mal pfostiert, könntest du bitte die Duplikate löschen

findet sich jemand der seine eigenen Tokens verkauft oder einfach so herausgibt.

Schwierig, denn die sind sehr kurzlebig, sagen wir 10 Sekunden. Ist ungültig bevor der Käufer es nutzen kann

[–] smonkeysnilas@feddit.de 2 points 7 months ago (1 children)

Sorry, Jerboa hat Timeout angezeigt aber die Kommentare sind wohl doch gepostet worden 😕

Der Token kann automatisiert innerhalb von Millisekunden weitergesendet werden. Wenn es eine Vorschrift geben sollte, dann ist deine Variante sicherlich mit die Beste. Aber am Ende bleibt die persönliche Verantwortung die einem technische Lösungen nicht nehmen können.

[–] crispy_kilt@feddit.de 1 points 7 months ago

In der Tat. Aber sas ist zu viel Aufwand und übersteigt das technische Können von 99% der kantigen Oberstufenschüler.

Diejenigen, die das abfangen können, finden auch sonst zu Pornographie, zB über Piraterie.

[–] Quacksalber@sh.itjust.works 2 points 7 months ago (2 children)

Nachdem ich über deinen Vorschlag weiter nachgedacht habe, bin ich zu dem Schluss gekommen, dass dein Vorschlag unbrauchbar ist. Es beginnt mit den Tokens. Wenn die Tokens keine identifizierbaren Informationen enthalten sollen, dann muss die Tokengenerierung für alle Leute gleich sein. Dann kann die Generierung reverse-engineered werden, was nur dazu führt, dass Schüler auf dem Pausenhof jetzt Tokrngeneratoren tauschen.

Es geht weiter mit dem IdP. Wo sitzt der denn? Sitzt der beim Staat? Dann muss der Staat eine Datenbank vorhalten, mit denen er deine Anmeldedaten abgleichen kann. Diese Datenbank wird bestimmt auch überhaupt nicht gehackt oder geleaked.
Wenn der Perso wie ein YubiKey in Token ausstellt, dann brauch jeder Hardware, die mit dem Perso interagieren kann.
Wenn man eine App braucht, um mit einem digitalen Perso ein Token auszustellen, dann hat man sich das trojanische Pferd schon ins System geholt. Andernfalls, viel Glück dabei, den Staat davon zu überzeugen, deinen digitalen Perso in FOSS Apps ablegen zu können.

Die Verifizierung ist der nächste Knackpunkt. Wie will man denn jedwede Website, Software und App dazu bekommen, die deutschen Token vernünftig verarbeiten zu können? Die großen Spieler werden das vielleicht machen können, aber viele kleinere werden das nicht, und wenn die nicht in der EU sitzen, dann wollen die das vielleicht auch einfach nicht.

Und überhaupt, mit deinem Vorschlag nimmt man immer noch 83% der Bevölkerung in Bürgehaft zu beweisen, dass sie volljährig sind, um 17% der Bevölkerung zu schützen.

Wenn man Contentprovider dazu anhält den eigenen content zu taggen, dann geht das schon mit einer simplen Erweiterung des HTML Headers, bzw. einer Flag in der Software. Für Contentprovider wäre die Lösung sehr einfach umzusetzen, universell und ohne Nachteile.

Das Filtern findet dann Client Side statt, wie es viele Jugendschutzprogramme bereits versuchen.

[–] crispy_kilt@feddit.de 14 points 7 months ago (1 children)

Wenn die Tokens keine identifizierbaren Informationen enthalten sollen, dann muss die Tokengenerierung für alle Leute gleich sein. Dann kann die Generierung reverse-engineered werden, was nur dazu führt, dass Schüler auf dem Pausenhof jetzt Tokrngeneratoren tauschen.

Nicht korrekt. Die Tokens sind durch den IdP signiert. Niemand ausser des IdP kann eine solche Signatur erstellen.

https://en.m.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm

Es geht weiter mit dem IdP. Wo sitzt der denn? Sitzt der beim Staat? Dann muss der Staat eine Datenbank vorhalten, mit denen er deine Anmeldedaten abgleichen kann. Diese Datenbank wird bestimmt auch überhaupt nicht gehackt oder geleaked.

Auch nicht. Es reicht, dass dir ein Zertifikat ausgestellt wird, mit welchem du dich beim IdP anmeldest. Das enthält eine Zufallsnummer, die dich mit deinen Daten verbindet. Knackt jemand den IdP, bekommt er nur Nummern in Verbindung mit Geburtstagen.

Die Verifizierung ist der nächste Knackpunkt. Wie will man denn jedwede Website, Software und App dazu bekommen, die deutschen Token vernünftig verarbeiten zu können? Die großen Spieler werden das vielleicht machen können, aber viele kleinere werden das nicht, und wenn die nicht in der EU sitzen, dann wollen die das vielleicht auch einfach nicht.

Gesetze müssen befolgt werden. Auf technischer Ebene könnte man OIDC und JWT oder PASETO nehmen, dafür gibts fix fertige Libraries, das ist trivial und bereits heute weit verbreitet.

Und überhaupt, mit deinem Vorschlag nimmt man immer noch 83% der Bevölkerung in Bürgehaft zu beweisen, dass sie volljährig sind, um 17% der Bevölkerung zu schützen.

Ich mache keine Aussagen darüber ob es eine gute Idee ist, nur dass es leicht zu implementieren ist ohne dass du einem Pornhub Mitarbeiter deinen Ausweis zeigen musst.

[–] Quacksalber@sh.itjust.works -3 points 7 months ago* (last edited 7 months ago) (1 children)

Es reicht, dass dir ein Zertifikat ausgestellt wird, mit welchem du dich beim IdP anmeldest. Das enthält eine Zufallsnummer, die dich mit deinen Daten verbindet. Knackt jemand den IdP, bekommt er nur Nummern in Verbindung mit Geburtstagen.

Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.

Gesetze müssen befolgt werden. Auf technischer Ebene könnte man OIDC und JWT oder PASETO nehmen, dafür gibts fix fertige Libraries, das ist trivial und bereits heute weit verbreitet.

Gesetze befolgen ist bei so manchem Service im Internet optional. Die Großen werden damit kein Problem haben, aber viele kleine Blogs und dergleichen werden das entweder nicht umsetzen können oder wollen. Eine Token-basierte Authentifizierungsinfrastruktur aufzubauen ist außerdem weitaus aufwändiger, als Webseiten dazu zu verdonnern, sich mit tags vernünftig zu flaggen. Und wie gesagt, Jugendschutzprogramme gibt es schon zu Hauf, ob die jetzt eine urlin ihrer Whitelist suchen oder den Header nach tags crawlen wird für die sehr wenig unterschied machen.

[–] crispy_kilt@feddit.de 7 points 7 months ago

Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.

Nein. Die Signatur wird durch private Schlüssel erstellt, nicht durch die Nummer im Zertifikat. Der private Schlüssel wird in einem HSM gespeichert.

Gesetze befolgen ist bei so manchem Service im Internet optional.

Natürlich, aber das ist eine andere Diskussion.

[–] BlueKey@fedia.io 8 points 7 months ago (1 children)

Fälschungsfreie Tokengenerierung ohne online IdP ist möglich. Unsere EID hat das ja schon gezeigt, der Client ist OpenSource und durch offene Standarts ist die Verifikation auch nicht zu schwer.
Das größte Problem ist der komplexe Prozess, sich als ServiceProvider freischalten zu lassen.
Ok, und zugegeben, man braucht passende Hardware (wie ein NFC Handy).

Ein anderes, interessanntes Konzept ist U-Prove. Das hab ich leider noch nie im realen Einsatz gesehen.

Die Frage nach Verhältnismäßigkeit solcher Maßnahmen ist jedenfalls durchaus berechtigt.

[–] Quacksalber@sh.itjust.works 1 points 7 months ago (1 children)

Fälschungsfreie Tokengenerierung ohne online IdP ist möglich. Unsere EID hat das ja schon gezeigt, der Client ist OpenSource und durch offene Standarts ist die Verifikation auch nicht zu schwer.

Aber ist das Ganze dann anonymisiert oder pseudonymisiert?

[–] BlueKey@fedia.io 1 points 7 months ago

Ich bin nicht tief genug in der Spezifikation drin, um das zu bewerten. Müsste man mal nachlesen.

Dass sowas nicht unmöglich ist, hat U-Prove gezeigt.

[–] Mahlzeit@feddit.de 1 points 7 months ago (1 children)

Was passiert eigentlich, wenn eine Webseite das nicht umsetzt?

[–] crispy_kilt@feddit.de 1 points 7 months ago (1 children)

Das ist dem Gesetzgeber überlassen. Ich würde mal annehmen, Bußgeld

[–] Mahlzeit@feddit.de 2 points 7 months ago (1 children)

Und wenn die Seite dann sagt: 第一修正案適用於此 ?

[–] crispy_kilt@feddit.de 1 points 7 months ago

Ist das Mandarin? Falls ja: ich glaube in China ist Pornographie sowieso illegal, also werden sich deren Behörden darum kümmern.

[–] Quacksalber@sh.itjust.works -4 points 7 months ago* (last edited 7 months ago) (1 children)

Warum nicht anders herum? Führ ein Kennzeichen für alle Webseiten ein, dass die Jugendfreundlichkeit klassifiziert. Mach die Kennzeichnung verpflichtend in der EU, um die Adoption zu beschleunigen und lass Jugendschutzsoftware entwickeln, die den Zugang zu ungeeigneten Seiten blockiert. Danach muss man nur noch in einer Informationskampagne die Eltern über die Software informieren.

[–] crispy_kilt@feddit.de 11 points 7 months ago (2 children)

Weil es unrealistisch ist, eine Software zu entwickeln, die auf jedem möglichen Gerät läuft.

[–] Mahlzeit@feddit.de 5 points 7 months ago

Außer natürlich Doom.

Aber sowas würde der Staat nicht zu seinem Problem machen. Man fordert einfach, dass Gerätehersteller so eine Software zur Verfügung stellen, sonst ist der Vertrieb und vielleicht sogar Betrieb in der EU verboten. Normal wird das so gemacht. Also falls daran etwas problematisch erscheint... Tja.

[–] Quacksalber@sh.itjust.works -4 points 7 months ago (1 children)

Ich hab nicht gesagt, dass man eine Software entwickeln soll, sondern, dass man Software entwickeln soll. Es gibt jetzt schon einen Haufen Jugendschutzapps für PC, Mac, Android und iOS. Für Linux bestimmt auch. Die muss man nur erweitern. Und Contentaggregatoren wie Reddit, YouTube, Pornhub, aber auch Spieledistributoren wie Steam wären bestimmt alzu gerne bereit eine solche Schnittstelle zu implementiern, wenn das bedeutet,dass die sich die Alterauthetifizierung sparen können.

[–] crispy_kilt@feddit.de 1 points 7 months ago (1 children)
[–] Quacksalber@sh.itjust.works 1 points 7 months ago (1 children)

Was braucht man software entwickler zu sein, um zu wissen, dass Jugendschutzprogramme jetzt schon Internetseiten-Whitelists anbieten?

[–] crispy_kilt@feddit.de 1 points 7 months ago* (last edited 7 months ago) (1 children)

Mit anderen Worten, du kannst vermutlich nicht abschätzen, was der Aufwand für die Entwicklung von Software für jedes internet-fähige Gerät ist. Glaub mir, es sprengt jeden Rahmen. Denke daran, es gibt nicht nur Windows-PCs, Macs, iPhones und Android-Telefone. Es gibt Spielkonsolen, unzählige Varianten von Linux, BSDs, Solaris, AIX. Es gibt internetfähige Toster und Kühlschränke. Fernseher, sogar scheiß Bilderrahmen mit einem rudimentären Webbrowser. Und dann reden wir noch nichtmal über all die verschiedenen CPU Architekturen; die wenigsten davon laufen auf amd64, da gibt's ARM, POWER, MIPS, und unzählige mehr.

[–] Quacksalber@sh.itjust.works 1 points 7 months ago (1 children)

Und was sollen CPU Architekturen und BSDs mit Kindern zu tun haben? Am Ende müssen ja auch die Jugendschutzprogramme erstmal eingerichtet werden, was dann den Eltern obliegt. Gib dem Kind keine BSD Box und du musst dich nicht drum kümmern, ob es dafür einen Jugendschtzfilter gibt oder nicht. Und viele Spielekonsolen bieten jetzt schon die Möglichkeit einen Jugendschutzfilter einzurichten.

[–] crispy_kilt@feddit.de 2 points 7 months ago (1 children)

Meine Lösung funktioniert auf allen Geräten. Deine nicht. Das ist was es miteinander zu tun hat

[–] Quacksalber@sh.itjust.works 0 points 7 months ago (1 children)

Deine Lösung funktioniert nur, wenn die Infrastruktur geschaffen wird und die Services sich den Aufwand machen wollen, die Tokens verarbeiten zu können.

[–] crispy_kilt@feddit.de 2 points 7 months ago (1 children)

Was ein kleiner Bruchteil des Aufwandes deiner Lösung wäre - die ebenfalls auf die Kooperation der Seitenbetreiber angewiesen wäre

[–] Quacksalber@sh.itjust.works 1 points 7 months ago* (last edited 7 months ago) (1 children)

Was für ein Auwand denn bitte? In der Minimalausführung müssen Seitenbetreiber ein neues Feld in ihrem HTML Header hinzufühen.

[–] crispy_kilt@feddit.de 2 points 7 months ago (1 children)

Wir drehen uns im Kreis. Der Aufwand ist in der Implementation der clientseitigen Software.

[–] Quacksalber@sh.itjust.works 1 points 7 months ago (1 children)
[–] crispy_kilt@feddit.de 1 points 7 months ago* (last edited 7 months ago) (1 children)

Leider nicht, nur für einen kleinen Teil der Geräte, und auch da ist sie oft mehr als lückenhaft

Beispiel, um das trivial zu umgehen: proxy der die Tags umschreibt. Kann auch lokal in Software laufen. Schon ists für nichts

Wenn du nicht willst, dass es Alterskontrollen gibt, was eine völlig berechtigte Meinung ist, dann sag das bitte, anstatt auf der Implementation zumzueiern

[–] Quacksalber@sh.itjust.works 1 points 7 months ago* (last edited 7 months ago) (1 children)

Beispiel, um das trivial zu umgehen: proxy der die Tags umschreibt. Kann auch lokal in Software laufen. Schon ists für nichts

Aber genauso kannst du auch proxies aufsetzen, die mithilfe von geklauten Zertifikatsdateien Tokens ausstellt.

Leider nicht, nur für einen kleinen Teil der Geräte, und auch da ist sie oft mehr als lückenhaft

Die allermeisten Geräte, die von Kindern genutzt werden, haben bereits Kindersicherungen implementiert. Die können erweitert werden. Und wenn du deinem Sohn unbedingt eine BSD Box hinsetzen willst, dann kannst du im gleichen Atemzug auch ein PiHole aufsetzen, dass dann garantiert auch Jugendschutzlisten führen wird.

[–] crispy_kilt@feddit.de 1 points 7 months ago

Aber genauso kannst du auch proxies aufsetzen, die mithilfe von geklauten Zertifikatsdateien Tokens ausstellt.

Nein. Die privaten Schlüssel sind in einem HSM.