Lovråd slår fast: ‘URL-hacking‘ er ikke hacking

Hvis du lægger noget på internettet, er du selv ansvarlig for, at det ikke kan tilgås med den direkte URL-adresse, lyder vurderingen fra Straffelovrådet.

Det er ikke ulovligt at tilgå offentligt indhold på internettet - selv hvis det kræver, at en helt specifik URL-adresse indtastes i browseren.

Sådan konkluderer det såkaldte Straffelovråd, der har til opgave at lave løbende serviceeftersyn af straffeloven - blandt andet med henblik på at holde lovteksten aktuel i forhold til den teknologiske udvikling.

I rådets seneste betænkning, der blev udgivet 1. maj, tages regler for privatlivets fred under kærlig behandling. Herunder reglerne for, hvornår man tiltvinger sig 'uberettiget adgang til et datasystem'.

Konklusionen fra rådet er, at personer, der tilkobler en enhed til internettet, 'som udgangspunkt selv bærer ansvaret for, hvad man ved anvendelse af sædvanlige programmer til internetkommunikation kan læse på den, herunder ved direkte indtastning af URL-adressen«.

Så længe du ikke ændrer noget

Straffelovrådet lægger i vurderingen vægt på, at der er adgang til f.eks. en server fra det åbne internet, og at alle potentielt kan få adgang med en almindelig webbrowser.

Den form for adgang bør 'som et klart udgangspunkt ikke anses for uberettiget adgang til en andens oplysninger', skriver rådet, der består af otte advokater, dommere og offentlige chefer.

Læs også: CPR-numre på elever lå frit tilgængelige fra skole-it på erhvervsskoler

»I forlængelse heraf kan den adgang, man skaffer sig til en sådan enhed med henblik på at tilgå sådanne oplysninger, ikke anses som uberettiget adgang til et datasystem,« fortsætter rådet i den over 300 sider lange betænkning.

Vurderingen baserer sig på den antagelse, at man blot læser information og ikke hverken ændrer eller sletter data. I så fald er der ifølge rådet tale om en mere alvorlig handling.

Som en mail sendt forkert

Straffelovrådet nævner specifikt 'direkte indtastning af en URL-adresse' som en metode til at få adgang til indhold, som måske var tænkt som privat. Det kan f.eks. ske, hvis serverens ejer har et 'utilstrækkeligt kendskab til, hvordan en webserver fungerer'.

Læs også: It-brøler hos Rejsekort: Brugere kunne se hinandens personlige data

Den situation er ifølge Straffelovrådets opfattelse sammenlignelig med andre situationer, hvor oplysninger gøres tilgængelige eller offentlige ved en fejl.

»Eksempelvis hvor en e-mail (eller for den sags skyld et papirbrev) sendes til en forkert adressat eller med en forkert vedhæftet fil, hvor man lægger en forkert version ud på internettet, eller hvor man, før det var tilsigtet, offentliggør noget på internettet.«

I knibe for URL-hacking

Uklare grænser for hvad man må foretage sig i browserens adressebar, har tidligere spiret debat blandt Version2’s læsere - og bragt tech-kyndige i problemer.

Meldingen fra Straffelovrådet kommer kort tid efter, at Version2 har kunne fortælle om Jonas Boserup, der som gymnasieelev i 2015 modtog en advarsel fra sit gymnasium, efter han påviste, at sikkerhedssystemet kunne omgås ved at fjerne ‘_secure’ fra URL-adressen.

Læs også: Fjernede '_secure' fra url i studie-it og fik advarsel: »Sørgeligt, at afgørelsen har trukket så langt ud«

Boserup, der i dag læser til softwareingeneniør på SDU, blev i april ‘renset’ af Datatilsynet, der udtalte en kritik af systemet, som Styrelsen for IT og Læring står bag.

I marts blev den såkaldte børnehavehacker Henrik Høyer frifundet i landsretten for anklager om at have skaffet sig uretmæssig adgang til sin søns børnehaves intranet. Høyer havde blandt andet foretaget stikprøver af systemets sikkerhed ved at redigere i URL-adressen.

Læs også: Derfor blev Henrik Høyer frifundet

Sendt til høring

Betænkningen blev mandag sendt til høring, og herefter vil regeringen tage stilling til forslagene.

Justitsminster Søren Pape Poulsen (K) har ikke kommenteret på de specifikke præciseringer om URL-hacking.

I en meddelelse udtaler ministeren dog, at man som borger skal have sikkerhed for at 'vores kommunikation, vores hjem og i det hele taget vores privatliv kan holdes utilgængeligt for andre'.

»I en moderne digital verden er det vigtigt, at straffelovens regler er tidssvarende og beskytter den enkeltes privatliv,« bemærker ministeren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
René Nielsen

Det man bør bemærke ved artiklen er, at der ikke noget nyt!

Kan indhold tilgås direkte ved blot at ændre i en URL, så er det ikke hacking eller noget andet kriminelt og dermed er Straffelovrådet helt på linie med de få domme som eksisterer på området.

Juridisk har man hele tiden skelnet imellem om ting "er pakket ind" a la et brev (som f.eks. kryptering og/eller en f.eks. en betalingsmur med brugernavn og password som f.eks. netaviser anvender).

Mange administratorer af skod-systemer vil sikkert påstå at brugere som ham skoleeleven sidste år, netop ændrede i data (for det er ulovligt) - for på den måde at dække over egen inkompetence.

Så derfor havde jeg håbet at Straffelovrådet havde forslået en minimumstraf for administratorer som forsøger at intimiderer folk til tavshed, som ham skoleleven blev det da han sidste påpegede sikkerhedsbrister i skolens system.

Var det min søn som var udsat for den slags, var den pågældende skoleleder forlængst blevet sigtet i en privat straffesag (æreskrænkende udtalelser, hvor mere end 80 % af alle indboforsikringers retshjælpsdækning vil dække advokatomkostningen).

Skulle det ske, at i bliver udsat for noget tilsvarende, så følg samme proces som for hævnporno (http://njordlaw.com/da/de-5-trin-njord-udsender-guide-til-ofre-haevnporno/).

Heino Svendsen

At kalde det at ændre en URL for "Hacking".... :-(

Lidt at pisse på de, som rent faktisk KAN hacke... I min verden er det lige som at kalde én, som vælger farve, interiør og ekstraudstyr til en bil for bildesigner.

Jari Wiklund

Jeg tolker det jeg kan læse ud af artiklen, som at lovrådet har affejet "security by obscurity" som en lovligt sikkerhedregime og at du som systemejer ikke kan kaste skylden for manglende sikkerhed over på "uberettiget adgang" fra tredjepart.
Det lyder jo sådan set meget fornuftigt :-)

Jørn Wildt

"Hvad nu hvis ..." URL'en indeholder et signeret token, som det nogen gange gøres i redirect logon mekanismer. Er det så lovligt at gætte på alle kombinationerne?

Eller hvad hvis der anvendes et link med et token som bare er svært at gætte? Det bruges ofte til "dele-links".

Bente Hansen

Mange administratorer af skod-systemer vil sikkert påstå at brugere som ham skoleeleven sidste år, netop ændrede i data (for det er ulovligt) - for på den måde at dække over egen inkompetence.


Du kan da lige så god få firmanavn og program med på STIL’s system EASY-P, som er dårligt programmering, med mange sikkerhedshuller og fejl, og som derfor ikke virker efter hensigten. Så snavset, inkompetencen og det at sagsøge deres kunder klienter, når det første viser sig. Lige så god kan fremstå af så mange google søgninger som muligt.

Peter Hansen

Her er det relevante citat fra den 356 sider lange betænkning:

Efter Straffelovrådets opfattelse gælder det nævnte udgangspunkt også i tilfælde, hvor en person ved direkte indtastning af en url-adresse opnår adgang til dele af enheden, selvom ejeren af oplysningerne på enheden ikke ønsker, at der skal være offentlig adgang hertil. Der vil i praksis kunne være en glidende overgang, både for den, der læser på enheden, og
for den, der ejer oplysningerne på den. Den, der læser, kan benytte direkte indtastning af url-adressen blot for at komme hurtigere til det ønskede og kan også have fået url-adressen af tredjemand (herunder læst den på internettet) uden kendskab til, at ejeren af oplysningerne har et ønske om ikke at give adgang til den pågældende del af enheden. Men den, der
læser, kan også helt bevidst gå efter oplysninger, som den pågældende positivt formoder ønskes hemmeligholdt af ejeren af oplysningerne. Den, der ejer oplysningerne, kan blot have undladt at forholde sig specifikt til, hvad den pågældende ønsker at give adgang til, men kan også have et positivt ønske om ikke at give adgang til bestemte oplysninger, men
uden at have sikret oplysningerne tilstrækkeligt mod direkte indtastning af url-adressen, eksempelvis på grund af utilstrækkeligt kendskab til, hvordan en webserver fungerer.

Sådanne tilfælde er efter Straffelovrådets opfattelse sammenlignelige med andre situationer, hvor oplysninger fejlagtigt gøres tilgængelige for andre, eksempelvis hvor en e-mail (eller for den sags skyld et papirbrev) sendes til en forkert adressat eller med en forkert vedhæftet fil, hvor man lægger en forkert version ud på internettet, eller hvor man, før det var tilsigtet, offentliggør noget på internettet. **Man kan også sige det på den måde, at personer, der tilkobler en enhed til internettet, som udgangspunkt selv bærer ansvaret for, hvad man ved anvendelse af sædvanlige programmer til internetkommunikation kan læse på den, herunder ved direkte indtastning af url-adressen. **

Det skal understreges, at der hermed alene sigtes til adgangen til oplysningerne. I forhold til videregivelse og anden brug vil andre strafbestemmelser (eksempelvis om erhvervshemmeligheder, tavshedspligt, insiderhandel eller videregivelse af oplysninger om en andens private forhold) kunne anvendes, hvis gerningsmanden har forsæt med hensyn til, at oplysningerne utilsigtet er blevet gjort tilgængelige.

Side 63 - 64.

Peter Hansen

Det man bør bemærke ved artiklen er, at der ikke noget nyt!

Kan indhold tilgås direkte ved blot at ændre i en URL, så er det ikke hacking eller noget andet kriminelt og dermed er Straffelovrådet helt på linie med de få domme som eksisterer på området.

Juridisk har man hele tiden skelnet imellem om ting "er pakket ind" a la et brev (som f.eks. kryptering og/eller en f.eks. en betalingsmur med brugernavn og password som f.eks. netaviser anvender).


Ærligt talt så har jeg mere tiltro til Straffelovrådet end til din fuldstændigt faktafri vurdering af hvad domspraksis på området er. Straffelovrådet tager ikke et spørgsmål op, uden der er behov for det. Valus-dommen og anklagemyndighedens beslutning om at rejse tiltale mod børnehave"hackeren" viser da netop også, at der har været behov for en afklaring på området.

Kjeld Flarup Christensen

"Hvad nu hvis ..." URL'en indeholder et signeret token, som det nogen gange gøres i redirect logon mekanismer. Er det så lovligt at gætte på alle kombinationerne?

Nu er der jo ikke tale om lovgivning, men alligevel

hvor en person ved direkte indtastning af en url-adresse

Der er altså ikke taget stilling til hvad der måtte ske af automatiserede operationer.
Selvom du måtte sidde og taster 2 mia kombinationer i hånden, vil jeg dog gætte på at det falder ind under hackning.

René Nielsen

Ærligt talt så har jeg mere tiltro til Straffelovrådet end til din fuldstændigt faktafri vurdering af hvad domspraksis på området er.


Sikke da en gang faktafri vås. Straffelovrådet optager kun sager efter anmodning fra Justitsministeriet. http://www.justitsministeriet.dk/ministeriet/raad/straffelovraadet

Det har aldrig været intentionen med Straffelovrådet, at Straffelovrådet skulle afklare domspraksis. Straffelovrådet har til opgave af afgive indstilling om strafferetlige lovgivningsspørgsmål.

Derfor håbede jeg på at Straffelovrådet ville overveje minimumsstraffe ved intimidering af ”whistleblowere” og det er et validt ønske.

Peter Hansen

Det har aldrig været intentionen med Straffelovrådet, at Straffelovrådet skulle afklare domspraksis.


Jeg har aldrig påstået, at Straffelovsrådet "afklarer domspraksis". Jeg har skrevet, at hvis domspraksis på området er uklar grundet lovgivningens formulering, er det Straffelovrådets opgave at komme med anbefalinger til præcisering, som eksempelvis kan udmøntes via ny lovgivning. Det burde for de fleste være rimeligt åbenlyst, at JM er de rette til at anmode rådet om at foretage en sådan vurdering. Men det er det åbenbart ikke for dig.

Du begår et indlæg, hvor du påstår uden henvisning til en eneste dom, at "de få domme på området" foretager denne sondring. Andre mere opvakte debattører modsiger med det samme din faktafri påstand med henvisning til Valus-afgørelsen.

Og så farer du ad en tangent med din selvopfundne idé om, at Straffelovrådet pludselig skulle begynde at opfinde straffe for intimidering af whistleblowere.

Peter Hansen

Der er altså ikke taget stilling til hvad der måtte ske af automatiserede operationer.
Selvom du måtte sidde og taster 2 mia kombinationer i hånden, vil jeg dog gætte på at det falder ind under hackning.


Prøv at læse nedenstående passage fra Straffelovrådets betænkning igen. Der er tale om et temmelig vidtgående standpunkt, som efter min mening også gør brug af automatiserede URL-lookups straffri:

Man kan også sige det på den måde, at personer, der tilkobler en enhed til internettet, som udgangspunkt selv bærer ansvaret for, hvad man ved anvendelse af sædvanlige programmer til internetkommunikation kan læse på den, herunder ved direkte indtastning af url-adressen.

René Nielsen

Det burde for de fleste være rimeligt åbenlyst, at JM er de rette til at anmode rådet om at foretage en sådan vurdering. Men det er det åbenbart ikke for dig.


Prøv at sætte dig i tingene. Ingen andre end Justitsministeriet kan bede Straffelovsrådet om noget.

Der er ikke og har ikke været en uklar juridisk problemstilling selvom mange skribenter tror at forskelle i teknikken udgør forskellige problemer.

Du kan billedlig talt sige, at hvis data ligger direkte på nettet på samme måde som en stak papir ligger på et skrivebord, så er det skrivebords ejerens ansvar at sikre data. Det er ikke hacking uanset metoden til at læse "forsiden".

Hvis du som besøgende tager papirbunken op og systematisk gennemlæser indholdet af de sider som ligger bagved/under "forsiden", så er det hacking hvis ikke du stopper med at læse, når du indser eller burde have indset, at dette er fortroligt materiale du læser.

Men det er ikke nogen ny juridisk problemstilling, for det har altid været sådan at kommer jeg på besøg hos dig -når du lukker mig ind så er det dit ansvar hvis der ligger fortrolige oplysninger og flyder.

Er du f.eks. på toilettet og jeg i mellemtiden dirker et skab på dit kontor op for at læse de fortrolige oplysninger du har lagt væk, så er sagen anderledes.

Lukker du mig derimod ind og jeg læser fortrolige oplysninger om dig eller dine kunder - fordi de ligger og flyder frit fremme, så er det dit problem.

Og det er blot det som Straffelovsrådet skriver. Du kan lade være med at lukke mig ind og jeg må ikke trænge ind i aflåste gemmer.

Men det er altså ikke en ny juridisk problemstilling uanset hvor meget du insisterer og jeg synes du skal finde en som du stoler på, som kan forklarer dig det.

Ivo Santos

"Hvad nu hvis ..." URL'en indeholder et signeret token, som det nogen gange gøres i redirect logon mekanismer. Er det så lovligt at gætte på alle kombinationerne?

Okay!, at gætte sig til et token på 32 hex bogstaver eller længere for at få adgang til en lukket side er så heller ikke noget man bare sådan lige gør da man sandsynligvis skal bruge mere end 100 år på at finde en som fungere, og så skal den jo også være aktiv, så mon ikke det er lidt som at forsøge at gætte sig til hvad koden til stor bankboks uden brug af værktøj.

Okay!, jeg vil dog mene at hvis man rent faktisk bruger en speciel boremaskine til at få adgang til en bankboks så må det høre under hackning området, og mon ikke det kan sammenlignes med at man får adgang til at kopiere hele SAM, passwd eller en anden type database til ens egen pc for derefter at gætte sig til alle koderene via et automatiseret system som benytter pc'ens grafik processor eller noget lign.

Peter Hansen

Der er ikke og har ikke været en uklar juridisk problemstilling selvom mange skribenter tror at forskelle i teknikken udgør forskellige problemer.

Du kan billedlig talt sige


Jeg kan så oplyse dig om, at debatten ikke bliver beriget af dine lægmandsbetragtninger.

Straffelovrådet bruger ikke tid på at udarbejde en betænkning om en problemstilling, hvis der ikke er behov for afklaring på området. At du kan blive ved med at fabulere med en masse lægmandsbetragtninger om det ene og det andet, er ikke bevis for noget som helst.

Prøv at sætte dig i tingene. Ingen andre end Justitsministeriet kan bede Straffelovsrådet om noget.

Jeg har aldrig påstået andet. Og det er så anden gang, jeg skriver det, men du evner åbenbart ikke at læse indenad og forstå min pointe om, at Straffelovrådet ikke ville være blevet bedt om tage problemstillingen op, hvis JM ikke havde fundet, at der var behov for at tilvejebringe klarhed på området.

Kim Kaos

"I en meddelelse udtaler ministeren dog, at man som borger skal have sikkerhed for at »vores kommunikation, vores hjem og i det hele taget vores privatliv kan holdes utilgængeligt for andre.«"

Fortæl det til de offentlige myndigheder der åbenbart har meget svært ved at fatte det.

Mark Klitgaard

Jeg læser det som at ALT der sker via URL adressen er lovligt, så SQL injection via URL'en er lovligt.

Spørgsmålet er så, hvad med manipulering af POST data?

Hvis nu at POST'en bliver sendt via HTTPS så vil jeg anse det for at være mere end bare at ændre en URL, men samtidig BURDE et hvert system være beskyttet mod dette, eftersom man BURDE udvikle sine løsninger efter at der kun skal én malicious user til at udnytte hullerne i dit system.

Povl Kvols

Spørgsmålet er snarere, hvorvidt omgåelse eller påpegning af barnagtig mangelfuld sikkerhed skal straffes!

Hvis man specifikt lovgiver omkring URL-modifikation, hvad så med felter, default passwords der ikke er ændrede, felter hvor der ikke har taget højde for SQL-injection, og meget meget andet, der er set i praksis i tilsvarende sløsede implementeringer?

Mark Klitgaard

Spørgsmålet er snarere, hvorvidt omgåelse eller påpegning af barnagtig mangelfuld sikkerhed skal straffes!

Hvis man specifikt lovgiver omkring URL-modifikation, hvad så med felter, default passwords der ikke er ændrede, felter hvor der ikke har taget højde for SQL-injection, og meget meget andet, der er set i praksis i tilsvarende sløsede implementeringer?

I min optik burde man kunne stille ejere af diverse website og lign. til ansvar for dårlig sikkerhed hvis man kan få uhensigtsmæssig adgang til data gennem en eller anden form for input. Evt. sikkerhedshuller i selve serveren osv., er lige et niveau op hvis man skal helgardere sig mod den slags, men nu til dags er det simpelthen så nemt at udvikle applikationer som er sikret imod ondsindet input, i situationer hvor det ikke bliver gjort er det formentlig pga. manglende kompetencer, manglende prioritering eller diverse dårlige undskyldninger som "det går jo nok".

Mogens Lysemose

"ALT der sker via URL adressen er lovligt, så SQL injection via URL'en er lovligt."

Hvordan kan I få den opfattelse? Der er jo er spørgsmål om formål og forsæt (god eller ond tro).

Der er jo altid en individuel vurdering af skyld og forsæt. Det er jo derfor det er mennesker og ikke algoritmer der dømmer i en retssag.

Der er da forskel på at efterprøve sikkerheden på 1 time og så på at lave automatiserede angreb eller blive ved med angribe dag efter dag.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017