Wikipedia Diskussion:Checkuser/Anfragen/Messina (Wikimail)

Ist eine Stellungnahme des Beschuldigten hier überhaupt möglich? Soweit ich weiß ist Messina per MBF nur für bestimmte Bereiche freigeschaltet; kann mich aber auch irren. --Sakra (Diskussion) 02:22, 3. Dez. 2015 (CET)Beantworten

Ich bin sicher, dass eine Stellungnahme Messinas, abgegeben auf der zugänglichen Benutzerseite, in kürzester Zeit hierher übertragen wird.--Gonzo.Lubitsch (Diskussion) 10:13, 3. Dez. 2015 (CET) Ich verstehe dies allerdings so, dass @Messina: sich zu den Mails und dem CU nicht (weiter) äussern möchte.--Gonzo.Lubitsch (Diskussion) 10:29, 3. Dez. 2015 (CET)Beantworten

 Info: Messina kann hier nicht schreiben da sein Aktionsradius im Sinne der letzten Schiedsgerichtsentscheidungen technisch eingeschränkt ist. --codc ^Disk 00:46, 4. Dez. 2015 (CET)Beantworten

Er hat auch auf Ansprachen auf der offenen Disk nicht bzw. nur mit Löschung reagiert.--Gonzo.Lubitsch (Diskussion) 08:55, 4. Dez. 2015 (CET)Beantworten

Auf welchen Grundlagen soll ein Checkuser stattfinden? Der gewöhnliche Grund (Missbrauch von Sockenpuppen) ist doch nicht angefragt? Weder hier noch hier finde ich Adäquates. --Hardenacke (Diskussion) 15:38, 3. Dez. 2015 (CET)Beantworten

Checkuser kann den Versand von Mails einsehen, daher. Es besteht ja der Verdacht, das der Mail-Header gefakt wurde, das kann man damit bestätigen oder wiederlegen. Zudem kann man gleichzeitig auch mittels den IP-Adressen ausschließen, das der Account selber gehakt und zum Versand der Mails benutzt wurde. Viele Grüße, Luke081515 15:40, 3. Dez. 2015 (CET)Beantworten

Der Jurist würde sagen, man braucht ne Rechtsgrundlage für eine CU-Abfrage...ich sehe keine solche. Denn WP:SOP ist nicht einschlägig. Das CU-Verfahren dürfte formell rechtswidrig sein. Mfg, --Brodkey65|Am Ende muss Glück sein. 15:47, 3. Dez. 2015 (CET)Beantworten

Laut Checkuser policy ist ein CU-Verfahren bei Vandalismus, SOP-Missbrauch oder Projektstörung erlaubt. Wenn ein Benutzer fortgesetzt E-Mails wie umseitig beschrieben versendet, kann man das als Projektstörung ansehen. --Sakra (Diskussion) 16:04, 3. Dez. 2015 (CET)Beantworten

Nicht nur das. Es sollte in Messinas Interesse liegen - und ich würde mich an Messinas Stelle an diesem CU als Antragsteller beteiligen - dass man herausfindet, wer da in seinem Namen oder mit seinem Account Mails versendet, wenn denn die Mails tatsächlich nicht von Messina stammen. Da sind wir durchaus im Bereich einer Straftat. --Kurator71 (D) 16:07, 3. Dez. 2015 (CET)Beantworten

Welche Straftat? Dann trag ich demnächst auch mal alle unfreundlichen E-Mails, die ich von WP-Accounts erhalten habe, zur Polizei und zu StA...als Antwort bekomme ich dann dort wahrscheinlich: „Spielen Sie Ihr lächerliches MMORPG weiter!“ WP nimmt doch eh keiner mehr Ernst. MfG, --Brodkey65|Am Ende muss Glück sein. 16:12, 3. Dez. 2015 (CET)Beantworten

//BK// Messina kann (und darf) sich nicht beteiligen, da man eine CU-Anfrage nicht zur eigenen Entlastung stellen darf. -jkb- 16:13, 3. Dez. 2015 (CET)Beantworten

Ah, Danke, das war mir nicht bewusst. trotzdem muss das CUA ja in Messinas Interesse sein. --Kurator71 (D) 16:21, 3. Dez. 2015 (CET)Beantworten

Nicht die E-Mails sind eine Straftat, sondern das Versenden von E-Mails im Namen eines anderen/das Hacken eines WP-/E-Mail-Accounts usw. Da käme einiges in Betracht. --Kurator71 (D) 16:17, 3. Dez. 2015 (CET)Beantworten

@-jkb-: Gemäss CheckUser policy kann ein User einer Freigabe seiner Daten zustimmen: "Release Policy: 2. With permission of the affected user".--Gonzo.Lubitsch (Diskussion) 16:20, 3. Dez. 2015 (CET)Beantworten

Ehm, zustimmen ja, natürlich (wobei das nur eine geringfügige Bedeututng hat), aber unter "beteiligen" verstehe ich eher, als Antragstellen aufzutreten, und das geht nicht. Gruß -jkb- 17:06, 3. Dez. 2015 (CET)Beantworten

*quetsch* @-jkb-: Kannst Du das („da man eine CU-Anfrage nicht zur eigenen Entlastung stellen darf“) mal näher begründen? Beim SOP-Verdacht ist eine Entlastung mittels CUA technisch nicht möglich, in diesem Fall (Fragestellung: Inwiefern sind die E-Mails, die gemäß Mailheader über Messinas Account als Wikimail verschickt wurden, auch tatsächlich über Messinas Account als Wikimails verschickt worden?) aber schon. Sollte sich herausstellen, dass zu den fraglichen Zeitpunkten über Messinas Account keine Wikimails verschickt wurden, wurden die Mails gefälscht. Es besteht dann zwar immer noch die Möglichkeit, dass die Mails von Messina selbst gefälscht worden sind; wie wahrscheinlich das wäre, dürfte dann wohl jeder mit sich selbst ausmachen. :) Grüße, Yellowcard (D.) 18:47, 3. Dez. 2015 (CET)Beantworten

Hm, da müsste eher ein CU-ler etwas sagen. Irgendwo stehts es wohl im Regelwerk, denn bislang wurden mit diesem Hinweis alle Anfragen eben zur eigenen Entlastung abgelehnt. Ob ich mich wegen eines Sockenvorwurfws entlasten möchte oder wegen gefälschter Mails ist wohl nur ein Detail, kein großer Unterschied. Was ich selber von der Rewgel (oder dem Usus) halte steht auf einem anderen Blatt. Gruß -jkb- 19:00, 3. Dez. 2015 (CET)Beantworten

Spielt das denn jetzt noch eine Rolle, wo dieser CUA schon gestellt ist? --Sakra (Diskussion) 19:10, 3. Dez. 2015 (CET)Beantworten

Gemäss CheckUser policy:

Das Beleidigungen und rechtliche Drohungen per Wikimail eine Störung des Projektes darstellen (WP:KPA ist Bestandteil der WP:Grundprinzipien) kann nicht ernsthaft bestritten werden. Ein noch gravierender Verstoss wäre die Vortäuschung einer falschen Identität via Mail-Funktion, um gezielt einen anderen User zu diskreditieren. Der CU kann hier dazu beitragen, zwischen den Verstössen zu differenzieren und die Community bzw. Messina vor weiterem Missbrauch zu schützen. Das sollte klar im Interesse aller Beteiligten sein. Da die Abfrage der entsprechenden Mail-Daten explizit in der CheckUser Policy erwähnt wird, ist eine Prüfung des Mailversandes offensichtlich erlaubt, in Frage stehende Projektstörung und Nutzen der Abfrage sind dargestellt.

Der Datenschutzeingriff ist zudem als gering zu betrachten. Da Messinas Mail-Adresse ohnehin "projektbekannt" ist (Brodkeys Einschätzung, die breit geteilt wird) ist, werden keine bislang geschützten persönlichen Daten erhoben. Die Informationen, dass zu den Zeitpunkten A, B, C Wikimails versendet wurden, lässt (im Gegensatz etwa zu IP-Adressen) keine weiteren Rückschlüsse auf die hinter dem Account stehende reale Person zu.--Gonzo.Lubitsch (Diskussion) 16:15, 3. Dez. 2015 (CET)Beantworten

Ähm, die IPs, das Betriebssystem und der Webbrowser werden immer mitabgefragt. Dafür wird die Absender-Mail, sowie der Empfänger nicht angegeben, das müsst ihr schon beachten. Aber gabs nicht schon mal ne CUA mit Messina (zu einem anderen Thema)? Gabs dann nicht eh schon ne Abfrage? Viele Grüße, Luke081515 16:19, 3. Dez. 2015 (CET)Beantworten

Ja, im August 2013, aber was hat das hiermit zu tun? --Sakra (Diskussion) 16:30, 3. Dez. 2015 (CET)Beantworten

Es gab schonmal nen Eingriff, daher ist der Datenschutzeingriff wohl nicht mehr so schlimm wie beim ersten Mal, würde ich sagen. Ein CUA-Nachfolgeantrag ist ja auch nicht so stark zu begründen, wie der erste. Luke081515 16:34, 3. Dez. 2015 (CET)Beantworten

Ohne mich zum vorliegenden Antrag zu äußern: Deine Interpretation ist nicht zutreffend. Die datenschutzrechtliche Problematik besteht nicht so sehr darin, dass die IP-Adressen usw. des angefragten Benutzers bekanntwerden, sondern dass unbeteiligte Dritte mit ins Netz gehen. Insgesamt besteht die Problematik auch bei jeder Anfrage neu. (Vergleich CU zum Beispiel mal mit Hausdurchsuchungen, da ist der Eingriff natürlich weitaus größer, aber das Problem sehr ähnlich.)--Cirdan ± 16:39, 3. Dez. 2015 (CET)Beantworten

Hallo Cirdan, wenn ein User abgefragt wird, werden doch die von ihm verwendeten IPs genannt, oder? Dabei kann eigentlich kein unbeteiligter Nutzer erfasst werden. Das passiert doch höchstens bei der Abfrage aller Nutzer zu einer IP (was separat geschieht), oder? Ist diese zweite Abfrage technisch überhaupt notwendig, um die Maildaten bei bekanntem Account zu erfassen?--Gonzo.Lubitsch (Diskussion) 16:43, 3. Dez. 2015 (CET)Beantworten

"Abfrage aller Nutzer zu einer IP" - ja, das muss man zusätzlich (also separat) anklicken. Wird allerdings außer in dewiki so gut wie überall gemacht, weil alleine dadurch, wenn man dynamische IPs voraussetzt, keine "Hausdurchsuchung" (hm, der Vergleich war nicht ganz gut) geschieht. -jkb- 17:10, 3. Dez. 2015 (CET)Beantworten

@Gonzo.Lubitsch: Ich schrieb ja eingangs, dass ich unabhängig von der konkreten Anfrage Luke0815 darauf hinweise, dass seine Darstellung so nicht richtig ist. Im vorliegenden Fall müsste man natürlich nicht IPs abfragen.

@-jkb-: Der Hausdurchsuchungs-Vergleich hinkt natürlich ein wenig, bezieht sich aber vor allem auf das „wir haben schonmal abgefragt, also können wir ja ruhig nochmal“ und ist dort ganz treffend.--Cirdan ± 22:27, 3. Dez. 2015 (CET)Beantworten

(BK)Ein Abgleich der aus dem E-Mail-Headern extrahierten Daten mit den damals erhobenen Daten könnte ergeben, dass diese identisch sind. Damit könnte der neue Datenschutzeingriff entbehrlich sein. Ebenso, wenn eine Analyse der E-Mail-Header ergeben würde, dass diese klar gefälscht sind - in diesem Fall wäre die Abfrage unzulässig: Keine Wikimail, keine zulässige Abfrage. Ich gehe allerdings aus, dass die CUs auf diesen Gedanken auch von selbst gekommen wären. Ob die E-mails (wenn sie Wikimails sind) ausreichend sind, um eine Projektstörung darzustellen, müsste man auch ausführlich würdigen: Mails sind eine Kommunikation von Absender und Empfänger: Wenn User A User B eine Wikimail schickt, ist davon das Projekt nicht betroffen. Auch nicht, wenn User A auch mehreren anderen Usern Mails schickt. Die Störung kann daher nur vom Inhalt ausgehen, der (Briefgeheimnis!) normalerweise nur Absender und Empfänger angeht. Hier ist der Inhalt durch Empfänger bekannt geworden - die dadurch entstandene Unruhe im Projekt kann man dem Absender aber nur indirekt zurechnen. Dennoch reicht das meiner Auffassung nach aus, da der Absender der Mails unter Nutzung der wikipedia-Mailfunktion massiv gegen ein WP-Grundprinzip (Keine persönlichen Angriffe) verstößt. Kritisch zu sehen ist auch, ob die Abfrage geeignet ist, Schaden vom Projekt abzuwenden: Soweit der Nutzerkreis bekannt ist, sind die Empfänger alle "Hardcore-Wikipedianer", die wegen solcher Mails sicher nicht das Handtuch schmeißen. Andereseits können solche Mails auch bei Hardcore-Useren das Fass zum Überlaufen bringen, so dass ich die Geeignetheit im Zweifelsfall bejahen würde. -- 93.199.194.74 17:14, 3. Dez. 2015 (CET)Beantworten

(BK) Ob E-Mails eine Projektstörung sein können, sehe ich als fragwürdig an, denn sie sind nicht öffentlich (ist ja wohl der Hauptgrund für Mails, sonst könnte man das ja öffentlich posten) und erreichen nur einen sehr begrenzten Personenkreis (den Adressaten). Es ist für den CU unerheblich, ob eine Abfrage im Sinne des Beschuldigten ist oder nicht. Die Abfrage des Mailverkehrs ist im Rahmen des CU erlaubt, jedoch muss, wie Brodkey65 erklärt hat, eine Rechtsgrundlage, die den erheblichen Eingriff in den Datenschutz rechtfertigt, da sein. Die sehe ich nicht. Die Problematik der möglichen Beeinträchtigung Unbeteiligter hat Cirdan genannt. --Hardenacke (Diskussion) 17:25, 3. Dez. 2015 (CET)Beantworten

Genau andersherum. Hätte Messina die Texte mit den Drohungen mit rechtlichen Schritten, Anwälten und den Vorwürfen öffentlich auf die Diskussionsseite der betroffenen User gepinnt, wäre das ohne jeden Zweifel ein Grund für die sofortige infinite Sperre gewesen. Und das zu vermeiden, eben per Wikimail, was Messina exakt damit beabsichtigte. Wenn die Texte so zutreffen, wie man es erahnen kann, ist es eine schwere Projektstörung und absoluter Missbrauch der Wikimail-Funktion. Im Angesicht der Vorgeschichte untragbar. PS: ich habe Messina lange unterstützt, aber langsam habe ich so meine Zweifel, ob das richtig war. --Thomas Glintzer Ede nasturtium. 17:36, 3. Dez. 2015 (CET)Beantworten

Bei der CU-Abfrage werden sensible Daten erhoben; es erfolgen massive Eingriffe in den Datenschutz. Vermutlich soll ja ein Datenabgleich vorgenommen werden. Wenn Messina im gleichen Zeitraum bspw. auch Mails an Amberg/Matthiasb/Markoz oder mich verschickt hätte, würden automatisch auch unsere Daten alle mitabgefragt werden. Dies bedeutet, es werden nicht nur wie beim normalen CU die Daten der verdächtigten SOPs abgefragt, sondern die Daten unbeteiligter Dritter. Ehrlich gesagt, ist es mir völlig egal, ob Hr. Bahmann oder Frau Henriette von Messina Mails mit welchem Inhalt auch immer erhalten haben. Es interessiert mich auch nicht, mit wem Messina sonst mailt. Ich bekomme jede Woche beleidigende E-Mails von Accounts, die mich hier im Projekt offen verfolgen. Soll ich das zukünftig auch öffentlich machen? Letztendlich kann sowas nur mittels eines Anwalts außerhalb der WP geregelt werden. Ich halte es daher nicht für gerechtfertigt, sensible Daten Unbeteiligter Dritter zu erheben, zumal Messina auch mit einem CU ja nicht einmal seine Unschuld beweisen kann. mfg, --Brodkey65|Am Ende muss Glück sein. 17:46, 3. Dez. 2015 (CET)Beantworten

Wer lesen kann … Bereits gestern Abend hat doch Sakra schon alles dazu zitiert, was man wissen muß: „Die Checkuser-Berechtigten dieses Wikis und in Ausnahmefällen auch die Stewards können aber in Fällen, die durch die Checkuserrichtlinie im Meta-Wiki bestimmt werden, eine Abfrage von Benutzerkonten tätigen. Dadurch können sie Daten und Uhrzeiten einsehen, wann Wikimails von den Konten aus versendet wurden, nicht jedoch, von welchen eingetragenen E-Mail-Adressen aus oder an welche Empfänger diese Mails gingen.” Wo steht da was davon, daß „ … die Daten unbeteiligter Dritter” abgefragt werden?? --Henriette (Diskussion) 17:58, 3. Dez. 2015 (CET) Beantworten

Völlig richtig. Empfänger noch Inhalt der Mails sind erkennbar. Es geht allein um die Sendezeiten. Da es 5-6 Mails gibt, ist die Wahrscheinlichkeit, dass, wenn in einem Account genau zu den bekannten Zeitpunkten dieser Mails einen Mailversand gibt, es sich auch um den versendenden Account handelt, praktisch zweifelsfrei belegbar. Die Zufallswahrscheinlichkeit ist hier praktisch Null. Umgekehrt knn sicher ausgeschlossen werden, dass die Mails von dem Account stammen, wenn dort keine Mailabgänge registriert wurden. Darum geht es. --Gonzo.Lubitsch (Diskussion) 18:08, 3. Dez. 2015 (CET)Beantworten

Völlig unrichtig; natürlich fließen Daten Dritter in die Abfrage mit ein. Gott, wie naiv manche hier sind. Es tut schon weh. MfG, --Brodkey65|Am Ende muss Glück sein. 18:16, 3. Dez. 2015 (CET)Beantworten

Woher nimmst du dieses Wissen? -- ɦeph 18:25, 3. Dez. 2015 (CET)Beantworten

Brodkey ist aktuell an Tatsachen nicht interessiert. Er fürchtet, dass sich Messina auch ihm gegenüber als illoyal erweist und ihn schlicht dreist angelogen hat. Sollte der CU dies zweifelsfrei bestätigen, wäre das, verständlicherweise, ein harter Schlag.--Gonzo.Lubitsch (Diskussion) 18:35, 3. Dez. 2015 (CET)Beantworten

Wer beruflich mit Datenschutz zu tun hatte, glaubt nicht mehr an die naiven Märchen, die WP uns vorlügt. Keine Daten Dritter einsehbar; lol. MfG, --Brodkey65|Am Ende muss Glück sein. 18:39, 3. Dez. 2015 (CET)Beantworten

Berufliche Erfahrung mit Datenschutz vermittelt also eingehendes Wissen über technische Eigenschaften der CU-Funktion, soso. Ich kann dir versichern, dass für die hier aufgeworfene Fragestellung (Mail versendet ja/nein) ausschließlich Messina abgefragt würde, ich kann dir das sogar anhand einer Beispielabfrage beweisen, wenn du möchtest. Ich nehme aber eher an, du möchtest hier diffuse Andeutungen machen und somit Unfrieden stiften; Problem nur, dass das alle Beteiligten durchschauen und du nur an deiner eigenen Reputation kratzt. -- ɦeph 18:44, 3. Dez. 2015 (CET)Beantworten

@ɦeph: ich will keinerlei Unfrieden stiften, und verbitte mir solche Unterstellungen. Was oder ob hier etwas an meiner Reputation krazt, das ist mir, Halten zu Gnaden, hoher Sarastro, völlig egal. Und ich möchte von Ihnen auch keine gefakte Beispielabfrage sehen. Aber Danke für's Angebot. MfG, --Brodkey65|Am Ende muss Glück sein. 19:05, 3. Dez. 2015 (CET)Beantworten

=D Alles klar, is’ in Ordnung. Dein örtlicher Discounter muss ja einen sagenhaften Umsatz mit Alufolie machen. -- ɦeph 19:11, 3. Dez. 2015 (CET)Beantworten

(BK)Diverse User lügen, die Admins sowieso, Checkuser faken Abfragen, das SG ist schwerst befangen und unbekannte Mächte hacken jahrelang Messina Accounts (die dieser dann anschliessend weiter nutzt) - du brauchst inzwischen ne ganz schön massive, stetig wachsende Verschwörungstheorie, um deine Weltsicht irgendwie aufrecht zu halten. Merkste das?--Gonzo.Lubitsch (Diskussion) 19:12, 3. Dez. 2015 (CET)Beantworten

Nennt man Selbstimmunisierung; ganz normale Begleiterscheinung. Verkompliziert allerdings die Kommunikation über die Realität ein wenig. --Henriette (Diskussion) 19:29, 3. Dez. 2015 (CET)Beantworten

Natürlich sind die E-Mails eine massive Projektstörung, denn sie versuchen Druck auf Admins auszuüben. Stammen die E-Mails nicht von Messina, kommt zusätzlich die Diskreditierung von Messina hinzu, die den Projektfrieden massiv gefährdet, wie man ja gerade unschwer erkennen kann. --Kurator71 (D) 18:22, 3. Dez. 2015 (CET)Beantworten

Die Verteufelung von und hysterische Angst vor dem CU-Instrumentarium sind in dewiki schlicht phänomenal. Was nicht nur auf Unkenntnis der Sache basiert. -jkb- 18:19, 3. Dez. 2015 (CET)Beantworten

Die Verteuflung ist besonders gross, wenn stark befürchtet wird, dass das Ergebnis nicht dem gewünschten entspricht. @Brodkey: Auch beim [letzten CU-Verfahren gegen Messina] wurde von dir übrigens schon behauptet, Messinas Email-Account sei wohl gehackt worden. Was Messina nicht daran hinderte, den Account jahrelang weiter zu bennutzen, damit zig Emails zu verschicken und nun genau von den dreien, die ihn in Schwierigkeiten bringen können, zu behaupten, die seien nicht von ihm. Fragt sich, wer hier naiv ist.--Gonzo.Lubitsch (Diskussion) 18:31, 3. Dez. 2015 (CET)Beantworten

Oh Leute, euch muss fad sein, um so einen Zinnober zu veranstalten! Emails sind privat und ihr müsst diese nicht einmal lesen. Normalerweise gibt es einen Löschknopf. Also ihr könnt ohne das Email „zu öffnen“ es löschen. Ergo, liegt maximal eine ganz kleine private Belästigung vor (ähnlich einem Spam-Mail) und nullkommajosef ist dadurch das Projekt gestört. - Bwag 22:14, 3. Dez. 2015 (CET)Beantworten

Na ja, diese E-Mails sind halt ganz praktisch, um das Problem Messina auf elegante Weise zu lösen. Viel besser als beispielsweise das derzeit in Arbeit befindliche BSV von GL. Die Interessierten wären doch dumm, diese einmalige Chance nicht zu nutzen. --Schlesinger ^schreib! 19:48, 4. Dez. 2015 (CET)Beantworten

Völlig unabhängig der obigen Diskussion: es geht ausschließlich, s. Policy und Richtlinien, ausschließlich um die Frage, ob Wikimails vom Konto Messina (mit der entsprechenden IP) mit den protokollierten Timestamps bei den entsprechenden Usern eingegangen sind. Nicht anderes, technisch gesehen. Können wir mal runterkommen und das den CU-Beauftragten überlassen? --Thomas Glintzer Ede nasturtium. 22:52, 3. Dez. 2015 (CET)Beantworten

+1, danke. -jkb- 23:09, 3. Dez. 2015 (CET)Beantworten

Ist das hier nicht sowieso ein aufgebauschter Zirkus? Täusche ich mich oder ist der Absender einer Wikimail mit seinem Wikiaccount-Namen nicht eindeutig in der From: -Zeile angegeben? -- itu (Disk) 21:22, 5. Dez. 2015 (CET)Beantworten

Welche From-Zeile meinst Du? Im normalen Header hast Du natürlich eine Absender-Mailadresse als „From:", ja. Im erweiterten Header findest Du z. B. „Received: from wiki-mail.wikimedia.org ([208.80.152.133]) …”. Nur steht im erweiterten Header nicht von welchem Wikiaccount und mit welcher Mailadresse die Mail abgesendet wurde. --Henriette (Diskussion) 21:32, 5. Dez. 2015 (CET) Beantworten

Die ganz normale From: -Zeile einer Email, wo eben der Absender verzeichnet ist, mindestens mit seiner Emailadresse, aber typischerweise auch mit einem Namensstring, hier eben der Wikiaccount-Name.

Wie ist denn der erweiterte Header definiert?

Ach ja, und unten in der Wikimail steht ja noch „This email was sent by $Wikiaccountname to Itu by the "Email this user" function at $Wikiprojektname.“

Also wozu brauchts hier überhaupt CU? -- itu (Disk) 21:50, 5. Dez. 2015 (CET)Beantworten

Eine Mail mit beliebigem Aufbau kriegst Du auch mit einem kleinen PHP-Skript hin, Itu. Das kann dann problemlos genau so aussehen wie eine echte Wiki-Mail. Hier geht es darum, festzustellen, ob es sich um eine solche, von einem Irgendjemand gefälschte Mail handelt oder ob es sich um Mails handelt, die tatsächlich über die Wikimail gelaufen sind. Dafür soll das Logbuch abgefragt werden, ob zu den fraglichen, in der Mail hinterlegten Zeitpunkten tatsächlich Mails von hier aus abgesandt wurden. Und das kann nur der CU-Bevollmächtigte abfragen. Gruß, --Unscheinbar (Diskussion) 21:57, 5. Dez. 2015 (CET)Beantworten

Um einigermaßen unbewanderte Menschen zu täuschen bedarf es nicht mal eines Scriptes: Text und Design einer Wikimail kann man easy nachmachen (die sind so derart simpel, daß das jeder kann!) und gefakte Absender-Mailadresse ist auch kein Problem. Das wirkliche Problem ist den Versand über wikimedia.org zu faken – was nur geht, wenn man den WMF-Mailserver hackt (wer dazu im Stande ist, der würde ganz sicher andere Dinge tun, als bekloppte Texte in Messinas Namen zu verschicken – noch dazu an projektbekannte langjährige respektierte Nutzer!). Und @itu: Zu deiner Frage: „Wie ist denn der erweiterte Header definiert?” – dein Mailclient sollte Dir die Möglichkeit geben nicht nur den normalen Mail-Header anzusehen (also das, was Du siehst wenn Du eine Mail öffnest), sondern auch eine Einstellung, einen Button o. ä. haben, um alles zu sehen was eine Mail noch an Informationen mitliefert. --Henriette (Diskussion) 22:24, 5. Dez. 2015 (CET) Beantworten

Ja, ich bin nicht so unbedarft dass ich nicht wüsste wie eine Email "roh" aussieht und was ein Header ist(nur die genaue Definition eines erweiterten Headers kenne ich nicht).

Und dass es sich um eine tatsächliche Wikimail handelt sieht man ja eben im Header an einer Zeile wie:

Received: from wiki-mail-eqiad.wikimedia.org (wiki-mail-eqiad.wikimedia.org. [208.80.154.91])

Dazu braucht man nicht wirklich Serverlogs abfragen.

Und ja, selbst dass der Account gehackt wurde ist doch recht unwahrscheinlich, geschweige denn die Wikiserver. -- itu (Disk) 22:37, 5. Dez. 2015 (CET)Beantworten

Sehe ich genauso wie Du! Und für den nicht-technischen Rest brauche ich nur Ockham. Die Genese dieser Anfrage kommt aber aus einem ganz anders gelagerten Kontext und hat mit dem Offensichtlichen und Wahrscheinlichen (leider!) eher wenig zu tun. --Henriette (Diskussion) 22:48, 5. Dez. 2015 (CET) Beantworten

Den anders gelagerten Kontext verstehe ich jetzt nicht, aber ich hab auch nicht jeden Buchstaben gelesen in der Sache... -- itu (Disk) 23:07, 5. Dez. 2015 (CET)Beantworten

@Henriette Fiebig, Itu: Auch received-Zeilen sind mit Leichtigkeit zu fälschen, siehe z.B. [1]. Grüße, Yellowcard (D.) 11:41, 6. Dez. 2015 (CET)Beantworten

Ja, sicher kann man auch received-zeilen fälschen, d.h. man kann mit beliebig selbstgeschriebenen received-Zeilen an einen Mailserver übergeben, logisch. Aber man kann sicher keine received-Zeile entfernen, die von einem Mailserver eingetragen wird, sondern nur einen Pfad _vor_ der Übergabe zu einem bekannten Mailserver vortäuschen. Der Header als ganzes ist nicht manipulierbar. Der wikimedia-mailserver gibt die mail einem Server vom Provider und der trägt dafür immer eine receivedzeile ein. Das from wiki-mail-eqiad.wikimedia.orgkann man bei der übergabe wohl nicht manipulieren. D.h. von oben gelesen muss alles stimmen was bekannte Mailserver sind, bzw. vom eigenen Provider, die domains von diesen kann man ganz sicher nicht faken. Wenn also von oben her gelesen nur Server vom eigenen Mailprovider bezeichnet sind bis zurück zum wikimedia-mailserver, dann ist es eindeutig eine wikimail. -- itu (Disk) 15:52, 6. Dez. 2015 (CET)Beantworten

Das stimmt, ist aber gerade dann nicht mehr so einfach, wenn der Empfänger einen Freemailer o.ä. nutzt und man die betreffenden Server nicht kennt. Aber falls wirklich nur identifizierbare Server inkl. dem Wikimedia-Mailserver als Received-Zeilen auftreten, gebe ich Dir Recht. Grüße, Yellowcard (D.) 20:00, 6. Dez. 2015 (CET)Beantworten

WP:Blocking Policy

Common rationales for blocks:

1. Protection

A user may be blocked when necessary to protect the rights, property, or safety of the Wikimedia Foundation, its users, or the public. A block for protection may be necessary in response to:

• persistent personal attacks;
• personal, professional, or legal threats (including outside the Wikipedia site);

...

• an account appearing to have been compromised (as an emergency measure), i.e. there is some reason to believe the account is being used by someone other than the person who registered the account.

1. Disruption

A user may be blocked when his or her conduct severely disrupts the project; that is, when his or her conduct is inconsistent with a civil, collegial atmosphere and interferes with the process of editors working together harmoniously to create an encyclopedia. A block for disruption may be necessary in response to:

...

• attempts to coerce actions of editors through threats of actions outside the Wikipedia processes, whether onsite or offsite.

Das nur als Information, dass auch in Emails und gänzlich "Off-Wiki" getätigte Beleidigungen und Drohungen um "In-Wiki"-Verhalten zu erzwingen, geahndet werden können/sollen.--Gonzo.Lubitsch (Diskussion) 09:59, 4. Dez. 2015 (CET)Beantworten

Hmm, die Seite beginnt mit „This page documents an English Wikipedia policy“. Für uns genausowenig bindend wie die Namenskonventionen der portugiesischen oder die Relevanzkriterien der französischen Wikipedia. Gruß --Schniggendiller Diskussion 15:38, 4. Dez. 2015 (CET)Beantworten

Möglich. Jedoch wenn man weiß, dass gute 90 bis 95 Prozent der Regeln auf dewiki aus en übernommen wurden und das die englische Seite seit Mai 2003 besteht, kann man das 1) als interessante Anregung betrachten und 2) als Indiz dafür, dass die de-Geminschaft u.U. versäumt hat, hier entsprechende Regeln zu formulieren. Gruß -jkb- 16:01, 4. Dez. 2015 (CET)Beantworten

90 bis 95% der Regeln? Hört sich ja sehr gut an. Nur sind dummerweise von diesen Regeln der originale Wortlaut und seinen Bedeutungen kaum mehr etwas bei uns vorhanden, denn das wurde ja an unsere Bedürfnisse angepasst, siehe Relevanzkriterien, SG-Regeln, und natürlich auch die CU-Regeln. Der Vergleich ist also unsinnig. --Schlesinger ^schreib! 21:04, 4. Dez. 2015 (CET)Beantworten

Unsinnig sind vor allem die Versuche, mit allen Mitteln höheren Wikilawyerings zu verhindern, dass eine Frsge geklärt wird, die die Community aktuell belastet.--Gonzo.Lubitsch (Diskussion) 09:37, 5. Dez. 2015 (CET)Beantworten

Immerhin höheres Wikilawyering, danke, ich bin beeindruckt, falls du mich meinen solltest. Aber soll etwas verhindert werden? Nein, soll es natürlich nicht. Es soll euch nur nicht allzu leicht gemacht werden, denn eurem Gegner habt ihr es ja auch, gelinde gesagt, nicht übermäßig leicht gemacht, nicht wahr? Ich beispielsweise misstraue dir und denke, dass man euch doch hinreichend genau auf die Finger schauen sollte. Damit wirst du und deine Kollegen wohl leben müssen. Eine besinnliche Adventszeit wünscht dir und deinen Mitinteressenten, --Schlesinger ^schreib! 10:44, 5. Dez. 2015 (CET)Beantworten

Man wird den CUs zutrauen dürfen, daß die ihre Regeln kennen und eine Abfrage ablehnen wenn sie nicht zulässig ist. Mehr muß man zu diesem Zeitpunkt nicht wissen und braucht man auch nicht besprechen. --Henriette (Diskussion) 11:07, 5. Dez. 2015 (CET)Beantworten

Du bist ja sehr vertrauensselig! Ich traue es ihnen nicht zu, immerhin haben sie ja schon mal innerhalb von 4 Tagen eine regelwidrige Abfrage gemacht: [2]. Du ging es nur darum, meine Person zu „durchleuchten“ (Sockenfischen, etc.). - Bwag 12:32, 5. Dez. 2015 (CET)Beantworten

Interessanterweise sind es immer die notorischen Sockenpuppenspieler, die grosse Probleme mit dem CU haben und laut "Foul! Foul!" schreien, wenn sie ertappt werden.--Gonzo.Lubitsch (Diskussion) 12:39, 5. Dez. 2015 (CET)Beantworten

Inwiefern ertappt? Lag doch auf der Hand. Bwag lädt auf Commons Fotos hoch und jeweils paar Minuten später bindet Fröhlicher Wiener die Fotos in DE-WP-Arikeln ein. Gell, ein richtiger anonymer Sockenpuppenspieler, oder? - Bwag 13:10, 5. Dez. 2015 (CET)Beantworten

Alles gleicht sich aus … Meine „Vertrauensseeligkeit" kann ich mir leisten, weil es hier als Gegengewicht genug Aluhüte gibt. Immer locker bleiben, Bwag! --Henriette (Diskussion) 12:35, 5. Dez. 2015 (CET)Beantworten

Keine Sorge, Henriette, ich bin locker, daher betrachte ich seit Jahren dies hier nur mehr als „Saftladen“ (und so manch andere als Plauderstube). - Bwag 13:10, 5. Dez. 2015 (CET)Beantworten

Nun, mein Vertrauen in die Weisheit unserer CU-Beauftragten ist auch nicht sehr groß (vor allem was die Schlussfolgerungen aus dem Halbwissen sind, das sie aus dem CU ziehen). Im vorliegenden Fall denke ich aber, dass die Unzulässigkeit eines CU kaum zu übersehen ist und denke schon deshalb, dass sie die richtige Entscheidung treffen werden. --Hardenacke (Diskussion) 13:14, 5. Dez. 2015 (CET)Beantworten

Nur weil du nicht verstehst, was passiert... Aber lassen wir das.--Gonzo.Lubitsch (Diskussion) 13:44, 5. Dez. 2015 (CET)Beantworten

In der Tat verstehe ich nicht recht, was hier eigentlich passiert und passiert ist, deshalb schreibe ich nur das, was ich weiß: So geht es nicht. --Hardenacke (Diskussion) 13:56, 5. Dez. 2015 (CET)Beantworten

Ich weiderhole nur: Es sind immer die notorischen Sockenpuppenspieler, die mit dem CU Probleme haben.--Gonzo.Lubitsch (Diskussion) 14:25, 5. Dez. 2015 (CET)Beantworten

Ja. Meine „Sockenpuppen“ treffe ich immer noch mehrmals die Woche. Genau deswegen meine Skepsis. --Hardenacke (Diskussion) 14:27, 5. Dez. 2015 (CET)Beantworten

Ja, im Büro Winterreise herrscht auch immer noch reger Betrieb. Und in Alkims Nürnberger Studenten-WG. Und im Hause Nazareth. Alles grosse Enzyklopädisten-AGs.--Gonzo.Lubitsch (Diskussion) 14:38, 5. Dez. 2015 (CET)Beantworten

Lass diesen Blödsinn. Damit habe ich nichts zu tun. --Hardenacke (Diskussion) 15:06, 5. Dez. 2015 (CET)Beantworten

(nach BK): Das ist natürlich Unfug, Gonzo.Lubitsch, und das weißt Du; ich bin kein Sockenspieler und habe trotzdem Bauchgrimmen wg des damit verbundenen Eingriffs in den Datenschutz. Insbesondere, was hilft es, wenn festgestellt wird, daß die Mails über Messinas Account versendet wurden? Interessant wäre das nur dann, wenn man prüfen könnte, mit welchem Agent/Client oder wie die DInger heißen versendet worden ist. Nehmen wir an A/B haben einen Gemeinschaftsaccount. A wohnt in Berlin/B in Augsburg. Beide haben Zugriff auf die Wiki-Mail-Funktion, denn sie nutzen dasselbe Wiki-Passwort/Mail-Passwort...B schickt mehrmals am Tag von Augsburg aus mit Windows XP/Firefox...fachliche E-Mails über die gemeinsame Arbeit an X/Y/Z...Dazwischen schickt A aus Berlin mit Ubuntu/Google Chrome beleidigende E-Mails an Brodkey65: „Du bist ein schwuler Judenfreund. Verpiss Dich!“ (ich nehm einfach einmal ein Bsp aus der Praxis; sowas bekomme ich etwa 1-2 x im Monat). Das Ergebnis der CU-Abfrage wäre, alle Mails wurden über die Wiki-Funktion von demselben Wiki-Account (A/B) versendet. Und was beweist das? Gar nx. Daher rechtfertigt eine CU-Abfrage nicht den Eingriff in den Datenschutz, weil das Ergebnis ein unbrauchbares Nullum ist. Schönen Tag noch. MfG, --Brodkey65|Am Ende muss Glück sein. 14:45, 5. Dez. 2015 (CET)Beantworten

Account sharing ist eh nicht erlaubt und so haftet der Account, bzw. beide Betreiber, für alles was man selbst und der andere macht. MfG Seader (Diskussion) 15:30, 5. Dez. 2015 (CET)Beantworten

Ihre Theorie, daß Gemeinschaftsaccounts unzulässig sind, steht nirgendwo. Ihre Privatmeinung ist also irrelevant. MfG, --Brodkey65|Am Ende muss Glück sein. 15:33, 5. Dez. 2015 (CET)Beantworten

Wenn Du meinst. [3]: "Die Weitergabe von Benutzerkonten ohne triftigen Grund und ohne Offenlegung gegenüber der Gemeinschaft ist nicht gestattet. Sollten solche triftigen Gründe vorliegen, sind sie vor der Weitergabe des Kontos zu offenbaren." MfG Seader (Diskussion) 15:57, 5. Dez. 2015 (CET)Beantworten

Die Weitergabe von Benutzerkonten steht da; es steht dort nicht, daß ich nicht gemeinsam mit einer weiteren Person ein Konto eröffnen kann. Ich darf jetzt z.B. nicht meinen Account Brodkey65, weil ich keinen Bock mehr habe, an Jmd anders weitergeben. Mit Jmd anders nutzen, darf ich ihn sehr wohl. MfG, --Brodkey65|Am Ende muss Glück sein. 16:37, 5. Dez. 2015 (CET)Beantworten

Das lässt sich auch auf Account Sharing übertragen, da es eigentlich gleich ist. Man gibt das Benutzerkonto an eine andere Person weiter, auch wenn man das Konto selbst weiternutzt. Davon abgesehen ändert es jedoch auch nichts an der Tatsache das jeder Betreiber eines Kontos für alles was mit diesem Konto passiert, bzw. dieses tut, haftet. MfG Seader (Diskussion) 16:41, 5. Dez. 2015 (CET)Beantworten

<BK> „Interessant wäre das nur dann, wenn man prüfen könnte, mit welchem Agent/Client oder wie die DInger heißen versendet worden ist.“ Eine Analyse des Clients ist zunächst gar nicht erforderlich. Wenn ich richtig informiert bin, sind die Anmeldevorgänge (also das Login in den Account) nachvollziehbar. Wenn also A einige Edits macht, dann B sich mit einem anderen Gerät (genauer: mit einem anderen individuellen Client) in den Account A einwählt und eine Mail verschickt und dann A sich wieder einwählt (gezwungenermaßen, weil er durch die Anmeldung von B „rausgeflogen“ ist) und weitere Edits tätigt, ist dies in den Logs nachvollziehbar. Wenn umgekehrt von einem Account Edits getätigt wurden, dann eine Mail verschickt wurde und dann weitere Edits getätigt wurden, ohne dass es zwischendurch zu erneuten Login-Vorgängen gekommen ist, dann ist damit erwiesen, dass die Edits vor und nach dem Mailversand und dieser Mailversand vom gleichen Client getätigt wurden.
Troubled @sset  ^{Work  •  Talk  •  Mail}   16:06, 5. Dez. 2015 (CET)Beantworten

Fliegt A denn wirklich raus, wenn B sich einwählt? --Xocolatl (Diskussion) 21:25, 5. Dez. 2015 (CET)Beantworten

Ich hatte vorgestern Abend aus Neugier ein paar Experimente mit meinem Account angestellt … ich würde sagen: Nein. Möglicherweise habe ich aber auch nur zu wenige Versuchsreihen durchgeführt; bzw. machts natürlich einen gewaltigen Unterschied, ob ich nur das sehe was mir auf meinem Gerät angezeigt wird oder das, was ein CU sehen kann (User-Agent etc. pp.). --Henriette (Diskussion) 21:37, 5. Dez. 2015 (CET) Beantworten

Soweit ich weiß, es können zwei PCs in einem Account eingeloggt sein. Wie (s. die Verlinkung zu den Experimenten eben per Henriette) Henriette aber sagt, der Leidtragende wäre der Wirt, also Messina, der aber auch Verantwortlich für die Passwortweitergabe usw. ist. Falls er das nicht weiß, also gehackt wurde, so müsste er das sofort hier melden und Account sperren lassen. Das geschah bis heute nicht. Also: entweder hat sich niemand außer Messina eigeloggt oder Messina erlaubte dies mit Absicht, und dann trägt er eben auch die Verantwortung in Form einer indef-Sperre. -jkb- 21:48, 5. Dez. 2015 (CET)Beantworten

(linksrück) Ich bin ständig mit mehreren Geräten eingeloggt. Mein Handy ist immer angemeldet, dann wenn ich am Rechner arbeite, der auch noch, und manchmal zum ausprobieren noch auf nem Tablet. Das geht problemlos. Nur wenn ich mich auf einem Gerät aktiv abmelde, dann fliege ich an allen anderen auch raus. Gruß --Emergency doc (D) 22:59, 5. Dez. 2015 (CET)Beantworten

Mein Informationsstand ist folgender: Wenn man die Funktion „Auf diesem Gerät angemeldet bleiben“ beim Login aktiviert, wird ein entsprechendes Cookie gesetzt. Dies dient dazu, dass man sich auf diesem Gerät nicht jedes Mal neu einwählen muss, wenn man den Browser startet. Man kann sich auch auf mehreren Geräten einwählen und diese Funktion auf allen diesen Geräten aktivieren; dann kann man beliebig zwischen diesen Geräten „switchen“ und sie quasi parallel benutzen. „Technisch“ passiert dabei aber bei jedem „Gerätewechsel“ jedes Mal ein Logout mit dem einen und ein Neu-Login mit dem anderen Gerät. Man merkt das als Benutzer nicht (wenn man die „Angemeldet bleiben“-Funktion aktiviert hat), weil die Wiedereinwahl im Hintergrund automatisch erfolgt. in den Anmelde-Logs ist der Gerätewechsel für die CUB aber zu sehen.
Bitte um einen Hinweis, wenn ich hier nicht auf dem aktuellen Stand sein sollte. Troubled @sset  ^{Work  •  Talk  •  Mail}   14:38, 6. Dez. 2015 (CET)Beantworten

Ich glaube so ist es. Man könnte das natürlich mit zwei PC bestätigen, indem man die Option "angemldet bleiben..." eben deaktiviert. Wenn man nach so einem Edit per PC 2 dann wieder mit PC 1 editiert, müsste dieser ausgeloggt sein und die IP zeigen. -jkb- 14:45, 6. Dez. 2015 (CET)Beantworten

Weiter oben wurde angedeutet, dass die Checkuser-Berechtigten auch sehen können, ob, wann und wie oft jemand die Wikipedia-Mailfunktion verwendet hat. Ist davon auszugehen, dass dieser Personenkreis auch den Inhalt der Mails sehen kann? --Schlesinger ^schreib! 20:23, 6. Dez. 2015 (CET)Beantworten

Diese Frage wurde mehrfach beantwortet. Verstehend oben und in der verlinkten Policy lesen.--Gonzo.Lubitsch (Diskussion) 20:26, 6. Dez. 2015 (CET)Beantworten

Andeutungen machen einfach mehr Spaß und erzeugt man bloß ein Grundrauschen, das ablenkend genug ist, kriegt man ja vielleicht Buddy messina auch durch diesen Verstoß durchmanövriert ... --Julius1990 Disk. Werbung 20:29, 6. Dez. 2015 (CET)Beantworten

Was bin ich froh, dass du kein Admin mehr bist. --Schlesinger ^schreib! 22:37, 6. Dez. 2015 (CET)Beantworten

Mir reicht der Gedanke, dass ein Außenstehender sehen kann, mit wem und wann ich Mailkontakt habe, schon aus, die Wikimailfunktion soweit wie möglich zu meiden. --Hardenacke (Diskussion) 20:47, 6. Dez. 2015 (CET)Beantworten

Auch das wird durch die Abfrage nicht bekannt. Das wird ja aber auch lediglich bereits ein paar mal oben und in der verlinkten Policy erwähnt. MfG Seader (Diskussion) 20:49, 6. Dez. 2015 (CET)Beantworten

Ja, was denn nun? Was soll eigentlich festgestellt werden? --Hardenacke (Diskussion) 20:52, 6. Dez. 2015 (CET)Beantworten

Einfach die Anfrage lesen. MfG Seader (Diskussion) 20:55, 6. Dez. 2015 (CET)Beantworten

Mir geht es nicht darum, was festgestellt werden soll, sondern was eingesehen werden kann. --Hardenacke (Diskussion) 21:02, 6. Dez. 2015 (CET)Beantworten

Welcher Account wann die Wikimail Funktion genutzt hat. Ganz einfach. Das wurde doch oben bereits erklärt. MfG Seader (Diskussion) 21:05, 6. Dez. 2015 (CET)Beantworten

Mehr nicht? Kaum zu glauben. --Hardenacke (Diskussion) 21:06, 6. Dez. 2015 (CET)Beantworten

Natürlich können die CU-Beauftragten auch den Inhalt lesen/sehen. Alles Andere ist nur Sand-ins-Auge-Streuen, um das Fußvolk ruhig zu stellen. MfG, --Brodkey65|Am Ende muss Glück sein. 21:11, 6. Dez. 2015 (CET)Beantworten

Und woher willst Du das wissen? In der WP, bzw. den Hilfeseiten, steht klar das dies nicht möglich ist. MfG Seader (Diskussion) 21:14, 6. Dez. 2015 (CET)Beantworten

Lol; also für so naiv hätte ich Sie nicht gehalten, daß Sie glauben, was man uns offiziell glauben läßt. Schönen Advent. MfG, --Brodkey65|Am Ende muss Glück sein. 21:18, 6. Dez. 2015 (CET)Beantworten

Achso, also wieder nur eine Deiner Verschwörungstheorien. MfG Seader (Diskussion) 21:19, 6. Dez. 2015 (CET)Beantworten

Nein, vielmehr nur ein gesundes Mißtrauen. Bei dieser Führungsclique hier äußerst angebracht. MfG, --Brodkey65|Am Ende muss Glück sein. 21:23, 6. Dez. 2015 (CET)Beantworten

Ich glaube nicht, dass du verstanden hast, wie Wikipdia technisch wie organisatorisch aufgebaut ist. MediaWiki ist open source code, die Idee, da lasse sich ins Mail-Plugin mal eben eine "Mitlesefunktion" als Backdoor einfach so in den Code einbauen, ohne, dass das jemand merkt, ist reichlich absurd.--Gonzo.Lubitsch (Diskussion) 21:43, 6. Dez. 2015 (CET)Beantworten

Da hier immer noch Unklarheit herrscht, mal ein soeben aufgenommener Screenshot (der laut Brodkey natürlich gefälscht ist, aber damit kann ich leben). Einsehbar ist der abgefragte Benutzer (habe mich selbst abgefragt), dessen IP, User Agent und die Zeit, mehr eigentlich nicht. Der Empfänger wird durch einen Hash verschlüsselt und ist somit für niemanden einsehbar, der Inhalt der Mail schon gar nicht. Ich habe hier noch etwas mehr ausgeschnitten, damit es nicht heißt, darüber oder darunter stünde der Inhalt oder sonstwas. Grüße -- ɦeph 22:09, 6. Dez. 2015 (CET)Beantworten

Wen das noch nicht überzeugt, ich könnte auch ein Wiki die nächsten Tage aufsetzen, dann dürft ihr selbst abfragen.... Intresse? Viele Grüße, Luke081515 22:16, 6. Dez. 2015 (CET)Beantworten

Dass der Empfänger für niemanden einsehbar wäre, ist m.E. nicht ganz richtig. Da der Hash spezifisch für einen Benutzer ist, könnte man als CU bei Verdacht den folgenden Trick anwenden wenn er wissen will, ob Benutzer A an Benutzer B ein Mail geschrieben hat:

1.) Benutzer A Checkusern (Man bekommt Hash 1)

2.) Selbst Benutzer B eine Mail schreiben.

3.) Sich selbst Checkusern (Man bekommt Hash 2 für die Mail, die man Benutzer B geschrieben hat).

Wenn Hash1 = Hash2, hat Benutzer A die Mail an Benutzer B geschrieben (mit an Sicherheit grenzender Wahrscheinlichkeit). --Tinz (Diskussion) 22:28, 6. Dez. 2015 (CET)Beantworten

Ich habe das gerade überprüft, du hast recht, der Hash ist in der Tat identisch; an diese Möglichkeit hatte ich nicht gedacht. Dazu muss man natürlich sagen, dass man dazu a) wirklich einen konkreten Verdacht haben müsste und b) der CUB mit einer gewissen, nennen wir es mal "Durchtriebenheit" gesegnet sein müsste... -- ɦeph 23:09, 6. Dez. 2015 (CET)Beantworten

Immerhin wissen wir jetzt, wie das geht. --Schlesinger ^schreib! 23:23, 6. Dez. 2015 (CET)Beantworten

Bei konkretem Anhaltspunkt an wen die Mail gegangen ist, ja. Der Inhalt der Mail bleibt aber technisch völlig unzugänglich.--Gonzo.Lubitsch (Diskussion) 23:29, 6. Dez. 2015 (CET)Beantworten

Ja, das stimmt, und ebenso die Emailadressen von Sender und Empfänger. --Tinz (Diskussion) 23:32, 6. Dez. 2015 (CET)Beantworten

Dank an Hephaion und Tinz für die Antworten. --Schlesinger ^schreib! 23:37, 6. Dez. 2015 (CET)Beantworten

Ebenfalls Danke. Jetzt sehe ich etwas klarer, wie meine (nicht vorhandenen) SP „entlarvt“ wurden: gleiche IP, gleiche Programme etc. Aber das nur nebenbei. --Hardenacke (Diskussion) 12:03, 7. Dez. 2015 (CET)Beantworten

Das ist dann richtig, wenn der Hash nur von der Empfängeradresse abhängt. Ist das der Fall? Fließt der Sender also nicht in den Hash ein? Ist der Hash identisch, wenn zwei verschiedene Accounts eine Wiki-Mail an den gleichen Empfänger schreiben?
Troubled @sset  ^{Work  •  Talk  •  Mail}   13:50, 7. Dez. 2015 (CET)Beantworten

Der Hash hängt nur vom Empfänger ab, die Idee hatte ich nämlich auch und hab das gestern gleich noch mit gecheckt. -- ɦeph 13:54, 7. Dez. 2015 (CET)Beantworten

Danke für die Info. Im konkreten Fall würde das die Zuordnung einer bestimmten Mail zu einem Account noch eindeutiger machen. Wenn ich das richtig verstanden habe, stehen den CUB ja mehrere fragliche Mails inkl. der Header zur Verfügung. Der bearbeitende CUB könnte dann von seinem Account aus an die Empfänger dieser Mails selbst ein Wiki-Mail senden und durch eine Eigenabfrage den Hash des Empfängers ermitteln. Dann könnte nicht nur der Timestamp der fraglichen Mails mit den Versand-Logs abgeglichen werden, es wäre dann auch klar, ob die zum jeweiligen Zeitpunkt versendeten Mails auch an die jeweilige Adresse gegangen sind, was die (ohnehin schon extrem minimale) Möglichkeit, dass die vom zu prüfenden Account zufällig zu den gleichen Zeitpunkten versendeten Mails an andere Empfänger gegangen waren, mit Sicherheit ausschließen könnte.
Ich habe noch eine andere Frage. Die für die CUB einsehbaren Logs lassen ja keine Rückschlüsse auf das Passwort der Konten zu. Können die CUB feststellen, wann ein Passwort gesetzt bzw. geändert wurde oder ob von einem Account eine Mail zur Passwort-Rücksetzung angefordert wurde?
Vielen Dank, Troubled @sset  ^{Work  •  Talk  •  Mail}   20:42, 7. Dez. 2015 (CET)Beantworten

Die CUB können nicht feststellen, wann Passwörter gesetzt oder geändert wurden, das ist höchstens aus der Datenbank zu erfahren (wo die Passwörter aber nicht im Klartext stehen, sondern als (mutmaßlich gesalteter) Hash gespeichert sind) und das auch nur, wenn dieser Zeitstempel überhaupt erfasst wird. Ich gehe zudem davon aus, dass auch keine Rücksetzungs-Mails per CUA sichtbar sind (das ließe sich aber leicht testen).--Cirdan ± 21:38, 7. Dez. 2015 (CET)Beantworten

Die Passwort-Rücksetzung wird in jedem Fall geloggt, das habe ich schon gesehen. -- ɦeph 21:43, 7. Dez. 2015 (CET)Beantworten

ɦeph, aber nur der E-Mail-Versand, oder? Ich kann mir nicht vorstellen (und konnte auch nichts dazu dokumentiert finden), dass die CU-Extension Einblicke in die Veränderung von Benutzereinstellungen gewährt.--Cirdan ± 22:02, 7. Dez. 2015 (CET)Beantworten

Hier hatte ich mehrfach die geloggte Aktion "Passwort-Rücksetzung". Wie sich das mit Spezial:Einstellungen verhält, weiß ich nicht, das ist aber auch eine andere Seite als die der Passwort-Rücksetzung. Gehe aber wie du davon aus, dass es nicht geloggt wird. -- ɦeph 22:11, 7. Dez. 2015 (CET)Beantworten

Die Frage ist nur, ob die durch Hephaion empirisch gewonnene Erkenntnis, daß der Hash dem Empfänger zugeordnet ist, immer so stimmt, oder ob es nicht bloß ein temporär vergebener Hash ist, der sich nach einer Weile (Tage, Wochen...) ändern kann. Das müsste jemand aus dem Mediawiki-Entwickler-Team doch wissen. Meine Zweifel kommen bloß daher, daß ich nicht verstehe, warum der Empfänger nicht per Checkuser ermittelt werden kann, wenn die Software dies offenbar zulässt. Datenschutzbedenken können es ja nicht sein, CU ist ja gerade dafür da, Daten zu erhalten. Solange das also nicht als offizielles Media-Wiki-Feature bestätigt ist, würde ich so eine "Hintenrum-Konstruktion" des Mailempfängers höchstens als Indiz werten.--Emergency doc (D) 21:52, 7. Dez. 2015 (CET)Beantworten

Ich darf aber daran erinnern, daß in dieser CU-Abfrage nach all' diesen Dingen überhaupt nicht gefragt wird? (Nebenbei bemerkt find' ichs durchaus spannend ein bissen mehr Einblick in die Chancen und Möglichkeiten von CU-Abfragen zu bekommen – mögt ihr das mal in eine Art FAQ verwandeln? Solche Fragen stellen sich doch immer wieder und regelmäßig haben Leute Angst vor Abfragen; bisschen Aufklärung und Realitätsabgleich kann da nicht schaden, würd' ich meinen!). --Henriette (Diskussion) 21:56, 7. Dez. 2015 (CET)Beantworten

(BK) Der Empfänger der Email soll vermutlich nicht erkennbar sein, da nur die Daten des "Zielaccounts" Gegenstand der CU-Abfrage sind und potentielle Dritte (hier ggf. ungefragte Empfänger von Mails) nicht erfasst werden sollen.--Gonzo.Lubitsch (Diskussion) 21:59, 7. Dez. 2015 (CET)Beantworten

(BK) @Emergency doc: Dies würde bedeuten, dass verschiedene Hashs kein Gegenbeweis sind, identische Hashs allerdings vollen Beweis erbringen (dass diese Mails an diese bestimme Mailadresse geschickt wurden). Dass ein zu einem späteren Zeitpunkt neu errechneter Hash (für eine Mail an Empfänger B) zufällig identisch ist mit dem früheren Hash (für die Mail an Empfänger A), ist bei der Länge des Hashs wohl als unmöglich einzustufen.
Troubled @sset  ^{Work  •  Talk  •  Mail}   22:04, 7. Dez. 2015 (CET)Beantworten

BK: Wenn man eine Mailadresse hinterlegt, bekommt man zur Bestätigung dieser eine Mail mit einem Link, dieser enthält einen Hash (hab das gerade mal versucht und erhielt Spezial:E-Mail_bestätigen/15fafebf59962bc6d5720c1c5f9c3317. Ohne davon allzuviel Ahnung zu haben, würde ich behaupten, dass es dieser Hash ist, den man im CU-Log angezeigt bekommt (könnte ich bei Bedarf auch noch herausfinden); dieser wird sich dann aber nicht mehr verändern (es sei denn, man ändert die hinterlegte Mailadresse). Davon abgesehen lehne ich persönlich diese "Methode" sowieso ab, da die Software solche Spielereien offensichtlich verhindern soll, sonst würde keine Hashfunktion genutzt; von der Aussagekraft des Ganzen mal abgesehen. -- ɦeph 22:11, 7. Dez. 2015 (CET)Beantworten

Die relevante Zeile in Mediawiki ([4] Z 116) lautet offenbar

$hash = md5( $userTo->getEmail() . $userTo->getId() . $wgSecretKey );

Der Hash wird also mit dem bekannten Hash-Algorithmus MD5 aus einer Kombination von User-Email, UserId und einem geheimen Schlüssel gebildet. Letzteres vermutlich, damit man nicht einfach den Adressaten "raten" kann, indem man für verschiedene mögliche Benutzer austestet, was für ein Hash herauskommen würde, und dann mit dem wirklichen Hash vergleicht. Solange der Benutzer also nicht seine Email-Adresse ändert oder Wikimedia den Secret Key tauscht, bleibt der Hash gleich.

Ich finde ansonsten ebenfalls, dass man das als CU nicht ausnutzen sollte. Und mal ganz abgesehen davon: Für wirklich private Inhalte sollte man die unverschlüsselte Wikimail-Funktion ohnehin nicht nutzen. --Tinz (Diskussion) 22:43, 7. Dez. 2015 (CET)Beantworten

ansonsten würde es evtl. Sinn machen, diesen Abschnitt nach WD:CU oder ähnlich auszulagern, Henriette hat Recht darin, dass das mit Messinas Fall nichts mehr zu tun hat. --Tinz (Diskussion) 22:47, 7. Dez. 2015 (CET)Beantworten

Es ist gut, dass es jetzt nach Jahren auf einmal offenbar möglich ist, auf transparente Weise zu erfahren, was es für technische Möglichkeiten bezüglich eines Userchecks in diesem Projekt gibt. Vor gar nicht allzu langer Zeit wäre das wohl nicht so ohne weiteres möglich gewesen. Aber man ist schon erstaunt, wie weit der Dateneingriff gehen kann, natürlich nicht muss, das hängt immer vom jeweils gewählten Personal ab. Auf jeden Fall ist Vorsicht und ein gesundes, nicht bösartiges, Misstrauen weiterhin erforderlich, falls man hier nicht ganz dem gewünschten Mainstream entspricht und doch einigermaßen unbeschadet bleiben will. Noch einmal vielen Dank für die Offenheit. --Schlesinger ^schreib! 22:50, 7. Dez. 2015 (CET)Beantworten

Es war schon immer hier genau dokumentiert, was eine Checkuser-Abfrage umfasst und was nicht. Zudem liegt der Quellcode der Extension offen, die WMF baut da keine Hintertüren ein.--Cirdan ± 23:06, 7. Dez. 2015 (CET)Beantworten

Ja natürlich. Nur ist das alles sowas von voll verständlich in einem wunderschönen Technokratenenglisch auf einer Seite geschrieben, die kaum ein Arsch liest. --Schlesinger ^schreib! 23:12, 7. Dez. 2015 (CET)Beantworten

Sorry, aber wenn du dem Link gefolgt wärst, wüsstest du, dass das eine komplett deutsche Seite ist, die sehr verständlich erklärt, was die Checkuser-Rechte umfassen und wie sie eingesetzt werden, übrigens auch verlinkt von WP:CU. So zu tun, als gäbe es hier eine heimliche Verschwörung entbehrt jeder Grundlage, selbst bei Superprotect konnte jede Code-Änderung minutiös nachvollzogen werden. Und es findet sich in jedem „Lager“, falls du die unbedingt aufbauen möchtest, jemand, der in der Lage ist, sich den Code einer Extension anzuschauen und ihn dir laientauglich zu erklären, falls du Zweifel an der Dokumentation hast (um die es bei MediaWiki nicht immer gut bestellt ist).--Cirdan ± 23:23, 7. Dez. 2015 (CET)Beantworten

Stimmt du hast Recht, ich kannte nur die englische Seite. Mea culpa, aber was das mit Verschwörungstheorien zu tun hat bleibt dein Geheimnis. Schauen wir uns doch einmal an, was da so alles über Mails steht und vor allem was da nicht steht, aber in diesem Gespräch doch recht genau ausgeführt wurde. Na? Das ist der Knackpunkt. Habe die Ehre. --Schlesinger ^schreib! 23:39, 7. Dez. 2015 (CET)Beantworten

Wo wir schon beim Anfängerkurs Englisch-Deutsch sind: Kennt jemand eine griffige Übersetzung für "quibbling"? Also für das was Schlesinger hier veranstaltet? Spontan fällt mir nur "rumlabern" ein, aber das trifft es nicht ganz. --Sakra (Diskussion) 23:46, 7. Dez. 2015 (CET)Beantworten

(sry, BK) Laut urban dictionary würde ich es als „um den heißen Brei herumreden" übertragen. Ich glaube, Du meinst aber sowas wie Rabulistern, Insinuieren oder mit vagen Andeutungen herumspielen (was aber am Ende mit „rumlabern" auch nicht so übel zusammengefasst ist ;) --Henriette (Diskussion) 00:04, 8. Dez. 2015 (CET)Beantworten

Ja aber wundert das wen hier tatsächlich noch? Ist im Endeffekt bereits seit längerem ein Zeitvertreib gewisser Accounts. MfG Seader (Diskussion) 00:12, 8. Dez. 2015 (CET)Beantworten

Kann ja nicht jeder so gut labern wie ihr beide. Apropos, wollt ihr nicht (bzw. wieder) Admin werden? Habt bestimmt gute Chancen. --Schlesinger ^schreib! 23:59, 7. Dez. 2015 (CET)Beantworten

Schlesinger-Mann, geh' Du voran! --Henriette (Diskussion) 00:16, 8. Dez. 2015 (CET) Beantworten

Henriette-Fiebig-Frau, Ladies first. Oh Sorry, ich vergaß: Braucht Kollege Sakra womöglich 'ne Übersetzung? --Schlesinger ^schreib! 00:21, 8. Dez. 2015 (CET) :-)Beantworten