Hi,

Aber Angriffe von Innen kann ich besser analysieren.

Wenn wirklich einer stinkig ist, dann nützt Dir die schönste Analyse nix, dann bist Du "tot". Du weißt dann zwar ganz genau wer Dich umngebracht hat und wie, aber es ist um ein Kleines zu spät. Angriffen von innen kann man durch Software nicht begegnen, da müssen gute Schlösser an die Türen und eine räumlich weit verteilte Backuphaltung.

Angriffe von Aussen eher schlechter,

Bei denen weißt Du aber zumindest vorher was zu erwarten ist. Bei genügend dicker Leitung könntest Du sogar mit einem DDoS mittlerer Güte zurechtkommen. Allerdings ist das natürlich mit nicht unerheblichem finanziellem Aufwand verbunden.

[1] Das sehe ich leider nicht im erstem Moment, wenn ein Proxy dazwischen hängt und das wird sicherlich in den häufigsten Fällen so sein.

Ich wollte nur eine möglichem Einwand vorkommen. Das Dein Webserver nicht direkt an's Netz angeschlossen ist hatte ich angenommen. Allerdings dachte ich da eher an eine vollständige Firewall und nicht an einen einsamen Proxy?
Oder bin ich da einfach schon zu paranoid? ;-)

Um nochmal auf den Usernamen zurückzukommen. Der Angreifer muss diesen erstmal herausbekommen

Deshalb ja auch mein Hinweis darauf, das die Güte der Usernamen eine große Rolle spielt, da es die Hälfte des Logins ist. Das wird meist unterschätzt.

Denn so schwer ist ein Username nicht herauszubekommen, meinen Usernamen bei GMX kennst Du ja auch schon.

und ich https anfordere, ist das auch nicht so einfach.

HTTPS nützt hier nix.

Man merkt wirklich, das Du nicht auf zahlende Kunden angewiesen bist ;-)

Nein wirklich nicht. Ich entwickel - und da mag ich mir einen Pluspunkt geben - ein OpenSource Produkt.

Das kommt hier nicht so ganz raus: Du postest hier anonym (Dein gutes Recht, wie ich finde, auch wenn mancher hier das anders sieht. Aber auch nur dann, wenn der Nickname des anonym postenden auch "Anonymous" ist. Isses nich' lustich? *sigh* ;-) und ohne Link. Falls Du Dich einfach nicht traust: soviel Werbung sollte hier noch erlaubt sein.

Da ich ein OpenSource Produkt entwickel, wird dieser Part recht einfach werden

Das glaubst auch nur Du. Die Anwälte, ich korrigiere, die Spitzenanwälte der FSF versuchen seit nunmehr, na, 3(?) Jahren die GPL in's europäische Recht zu übesetzen.

da die Klausel "Nutzung auf eigene Verantwortung! Der Entwickler übernimmt keine Haftung!" :) schon _fast_ alles abdeckt.

Derartige Klauseln sind in Deutschland nicht möglich. Du kannst hier Deine Haftung nicht völlig abgeben, denn das würde unter anderem bedeuten Deine Urheberschaft abzugeben und das geht nunmal logischerweise nicht.
Aber setz' Dich wieder hin, das gilt alles nur bei Vorsatz. Im Falle Software wäre das also ein Trojaner, Virus, Wurm oder ähnlicher Schädling. Alles andere fällt weg, da Du ja jederzeit eine Wandlung anbieten kannst: Ware gegen Kaufpreis.
Rein theoretisch würde das sogar bedeuten, das Du gefahrlos eine Eigenschaft zusichern kannst. Denn kann die Software das nicht gibt's halt das Geld zurück. Allerdings würde ich mich aufgrund dieser Meinung vor kein deutsches Gericht wagen, ja, noch nicht einmal näher als die 5km jetzt! ;-)

Dankeschön! Die Diskussion hat mir weitergeholfen!

Nu, wer war hier jetzt voreilig? ;-)

Das war mein ernst!

Tempus fugit.

Ich habe schon gesehen, dass du auch dort deinen Senf ;-) abgegeben hast, ich bin mal gespannt!

Naja, was hast Du erwartet, bei dem Hinweis? ;-)

Aber mein Kommentar dort ging auch nicht auf Dich. Mich nervt es halt nur, das sich die Leute kaum mehr die Mühe machen Fehler richtig abzufangen sondern immer gleich die Klappe vollständig zumachen müssen. Würde ja sonst Mühe machen? *grummel*
(obwohl: bei fehlgeschlagener Speicherallocation, malloc() o.e., ist heutzutage wahrscheinlich mehr kaputt, das kann dann ein einfaches Programm eh nicht mehr reparieren, da kann man sich dann höchstens noch höflich verabschieden.)

so short

Christoph Zurnieden