• aksdb@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    13
    arrow-down
    2
    ·
    1 year ago

    Du verstehst den Unterschied zwischen Vorsatz und Fahrlässigkeit anscheinend nicht. Oder du verstehst die Analyse der Daten in dem Blogpost völlig falsch und leitest daraus Vorsatz ab. Dann argumentierst du allerdings seltsam.

    • bmaxv@noc.social
      link
      fedilink
      arrow-up
      8
      arrow-down
      2
      ·
      1 year ago

      @aksdb @yA3xAKQMbq bei großen Prozessen gibt es keine Fahrlässigkeit.

      Die Telekom hat genug Geld und hat Verantwortliche die sich für bestimmte Dinge entscheiden. In diesem Fall haben die sich dagegen entscheiden es ordentlich zu machen. Das ist Vorsatz.

      Fahrlässigkeit ist wenn einer den Gurt für die Ladungssicherung anbringt aber nicht ausreichend festzieht.

      Wenn das nicht Vorsatz wäre, kannst du das Konzept von Gesetzen wegwerfen, weil dann meint keiner nie was und alles ist aus Versehen.

    • yA3xAKQMbq@lemm.ee
      link
      fedilink
      Deutsch
      arrow-up
      8
      arrow-down
      3
      ·
      1 year ago

      Danke, ich verstehe den Unterschied und den Blogpost sehr gut.

      Ein Unternehmen der Größe Telekom macht derartige Dinge nicht „fahrlässig“.

      Wenn ich ein Produkt in Verkehr bringe, bin ich als Unternehmen verpflichtet, das auf Einhaltung aller einschlägigen Normen zu kontrollieren.

      Es ist jetzt kein arkanes Wissen, dass es die DSGVO u.ä. gibt, da wird nicht versehentlich gegen irgendeinen obskuren Paragrafen von 1897 verstoßen. Es geht um den Kernbereich der Rechtsnormen für digitale Produkte.

      Ein Unternehmen, welches ganze Kanzleien beschäftigt, entscheidet sich ganz bewusst dafür diese Sachen nicht zu kontrollieren bevor sie in Verkehr gebracht werden.

      Das ist dann mindestens Eventualvorsatz.

      • aksdb@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        11
        ·
        1 year ago

        Kanzlein und “Winkeladvokaten” (wie du es vorhin nanntest) machen keine Code- und Sicherheitsanalysen. Wenn denen die Entwicklungsabteilung nicht sagt, dass sie irgendwas machen, was geprüft werden muss, prüft auch keiner. Und wenn in der Entwicklungsabteilung keiner weiß, dass ihr Crashreporter PII leaked, gibt’s aus ihrer Sicht auch nichts zu prüfen.

        • yA3xAKQMbq@lemm.ee
          link
          fedilink
          Deutsch
          arrow-up
          3
          arrow-down
          6
          ·
          1 year ago

          Lol, ja danke, weiss ich auch.

          Dafür, dass du nichts rechtfertigen möchtest, gibst du dir aber redlich Mühe, auch noch für den dämlichsten Quatsch eine „Erklärung“ zu finden.

          Wie ich gerade schon in einem anderen Kommentar sagte: es handelt sich hier auch nicht um irgendeinen seltsamen Bug, der nur unter einer bestimmten Bedingung auftritt, und den irgendein l33t h4x0r gefunden hat. Die App sendet direkt nach Start Daten, die sie nicht senden darf.

          Da gibt es nichts dran zu „erklären“.

          • aksdb@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            10
            ·
            1 year ago

            Na was glaubst du denn, wieso ich in meinem initialen Kommentar den Entwicklungsprozess kritisiere?!

    • RQG@lemmy.world
      link
      fedilink
      Deutsch
      arrow-up
      2
      ·
      1 year ago

      Ich denke auch eher das läuft unter billigend in Kauf genommen und fahrlässig als unter Vorsatz.

      • aksdb@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        8
        arrow-down
        1
        ·
        1 year ago

        Bei dem Dependency-Dschungel in modern entwickelten Anwendungen ist das halt auch Sackgang. Selbst mit einem gut gepflegten SBOM fällt sowas ggf. nicht auf.

        Letztlich hätte man halt genau die Analyse machen lassen müssen, die Kuketz gemacht hat. Also die App einem Security Spezialisten geben, der das Ding auf Herz und Nieren prüft, und alle Datenflüsse ermittelt. Die hätte man dann wiederum einem Datenschützer vorlegen müssen, der das bewertet. Dann zurück zum Architekten, der die technische Notwendigkeit eruiert.

        Und da sind wir halt wieder bei dem viel zu schnellen Entwicklungszyklus, der heutzutage erwartet wird. So eine Prüfung passt halt besser in ein Wasserfall-Modell, als zu agiler Softwareentwicklung. Und bei der Zeit (und Geld), die solche Prüfungen kosten, macht man das halt nicht jede Woche.

        • yA3xAKQMbq@lemm.ee
          link
          fedilink
          Deutsch
          arrow-up
          3
          arrow-down
          3
          ·
          1 year ago

          Ich glaube eher, du hast den Blogpost nicht verstanden.

          Um nachzuvollziehen, dass eine Anwendung ohne Einverständnis Dinge anpingt, brauche ich das nicht „auf Herz und Nieren“ zu überprüfen. Da schaltet man einen Proxy zwischen, startet die App, und dann sieht man das. Audit beendet.

          Sowas zählt zur zentralen Sorgfaltspflicht bei der Entwicklung digitaler Produkte.

          • aksdb@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            6
            arrow-down
            1
            ·
            edit-2
            1 year ago

            Genau so läuft es in der Realität aber ja gerade nicht ab! Darum kritisier ich das doch!

            Das ist sogar gleich im ersten Satz meines Kommentars!