We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Neue Rechtslage in Frankreich - Passwortverwaltung


debianfan
20.04.11, 12:31
Zitat Zitat von Isondolos
Demnach gehts nicht darum, dass man sein Rootpasswort unverschlüsselt irgendwo speichern lassen muss, sondern dass z.B. Betreiber von foren o.ä. die Benutzerdaten, die gespeichert werden so speichern müssen, dass sie in Klartext den Behörden übergeben werden können.

also müssen zwar alle gesammelten Daten übergeben werden, aber zum eigentlichen Sammeln wird da niemand verpflichtet.
Da ist schon das Problem - mir wäre heutzutage kein Forum bekannt, welches die Passwörter im Klartext speichert - die werden soweit ich weiss inzwischen alle gehasht.

Isondolos
19.04.11, 14:15
Moin

ich hab das Gesetz nicht gelesen - mein Französisch ist nicht gut genug geschweigedenn mein Rechts-Französisch... manchma verknotet Rechts-Deutsch mir beim AGB-Lesen schon ne Hirnwindung - also kann ich nur nachplappern was ich gelesen und gehört hab.

Der von coffegirl verlinkte Artikel is recht interessant. Die Kommentare dazu, grade von den Franzosen, die das Gesetz gelesen haben fand ich noch interessanter.

Demnach gehts nicht darum, dass man sein Rootpasswort unverschlüsselt irgendwo speichern lassen muss, sondern dass z.B. Betreiber von foren o.ä. die Benutzerdaten, die gespeichert werden so speichern müssen, dass sie in Klartext den Behörden übergeben werden können.
... But no one apparently took time to properly read it before firing the paranoia flares.

The "password" bit is part of a data retention clause for account management. On any account that a service provider created for an on-line service or access, you must retain some data for ONE year after the account is closed. Among the bits is, I cite - translated - "password, means to validate it". And, hidden a few lines below is the clincher "such data must be retained only if it was collected".
also müssen zwar alle gesammelten Daten übergeben werden, aber zum eigentlichen Sammeln wird da niemand verpflichtet.

debianfan
19.04.11, 12:56
Zitat Zitat von ALiEn
OVH muss deine Passwörter nicht speichern. Du darfst sie aber nicht verschlüsseln usw. auf deinem Server.
Und was ist, wenn ich die Server und die Kommunikationsverbindungen doch verschlüssele?

Kommt dann die Légion Étrangère und fordert die Herausgabe?

Die Franzosen sind nicht ganz sauber

coffeegirl
16.04.11, 18:47
So ganz klar scheint das mit dem Verschlüsselungsverbot aber doch nicht zu sein.

Dieser Thread : http://yro.slashdot.org/story/11/04/...shed-Passwords

scheint noch mindestens drei andere Möglichkeiten nahezulegen:

- Vorschlag eines Schreibers: Man könnte anstatt zu hashen mit einem Public Key verschlüsseln, der passende Private Key zum Entschlüsseln kommt in den Tresor und wird erst dann eingesetzt, wenn die französischen Behörden das Passwort haben wollen.

- Eine Interpretation des Gesetztestextes von Muttersprachlern scheint aber auch nahezulegen, dass zwar alles, was für das Anlegen oder Modifizieren der Userdaten gespeichert wird, den Behörden auf Anforderung zu übergeben ist; wenn da aber nur Hashes liegen anstelle von Passwörtern, dann ist das eben so und nur diese werden abgeliefert.

- Ein anderer Kommentator schreibt, dass es zu jedem Gesetz erst noch Anwendungsdekrete von der Regierung geben müsse; exitiert kein solches, wird das Gesetz nicht angewandt. (Er schreibt leider nicht, ob es zu diesem Gesetz nun ein Dekret gibt oder nicht). Eine wohl schon häufiger eingesetzte Form, um auf gesichtswahrende Weise misslungene Gesetze unterm Teppich verschwinden zu lassen.

Lesen des Threads lohnt sich jedenfalls.

ALiEn
16.04.11, 14:17
OVH muss deine Passwörter nicht speichern. Du darfst sie aber nicht verschlüsseln usw. auf deinem Server.

deiszner
16.04.11, 11:59
Wie will OVH mein root-Serverpasswort denn speichern, wenn ich es als französischer Kunde gar nicht mitteile?

Oder hört OVH dann die Leitungen ab - wobei das bei einer SSH-Verbindung vermutlich auch eher schwierig wäre.

mathias
14.04.11, 15:22
Hallo,

für deutsche Kunden gilt das deutsche Gesetz. Die "decret big brother" findet also nur bei französischen Kunden Anwendung.

Mathias

CoYoT
13.04.11, 00:40
Hallo,

ich wollte mal fragen wie die Lage bezüglich der neuen Regelungen ist:

http://www.boingboing.net/2011/04/11...equire-cl.html

Wir haben ja einen Vertrag mit einer Deutschen Firma in Deutschland unterschrieben (geklickt). Ob die Server in Frankreich oder irgendwo anders sind - mir eigentlich egal.

Wenn ich aber die Konsequenzen tragen muss, weil ich hashing bei Passwörtern nutze, dann kann ich so ein Risiko nicht tragen. Und unsichere Passwortverwaltung kann ich den Benutzern auch nicht anbieten.
Ich kann mir gut vorstellen, dass viele Leute ihre Webseiten umziehen müssten.

Was ist die Stellung von OVH zu dieser Situation? Falls wir betroffen sind - wird OVH mit anderen Firmen für eine Änderung lobben oder rechtlich gegen das Gesetz vorgehen?

Mfg,

Wojtek