Kritik an (Daten-)Sicherheit von klamm.de

[Mone]

Ich finde es also weiterhin sehr bedenklich, dass hier soviele Datensätze offen herumgelegen haben, vielleicht sogar noch offen herumliegen. Mit solchen Daten ist nun wirklich nicht zu Spaßen.

Und deshalb machst du diesen Thread? "Leute, kommt her, hier gab es einen Programmierfehler; ich bin sicher, dass da noch mehr zu finden ist".

Ich verstehe dich nicht. Du hast die Bugs (massenhafte, ganze 2) gefunden, sie gemeldet, und Lukas hat sie sofort behoben. Und? Was willst du mit diesem Thread erreichen? Außer, dass sich jetzt garantiert noch mehr Leute auf die Suche machen, die auch sicher nicht so "löbliche" Absichten wie du haben, sehe ich keinen weiteren Sinn.

Ja, eine Klammer kann man mal vergessen. Aber ich finde doch, das Thema ist es wert, hier angesprochen zu werden, denn es ist meiner Meinung nach doch sehr wichtig, und wenn es gleich im Doppelpack passiert, dann ist das für mich doch ein potentielles Risiko, dass das nochmal passiert.

Und deshalb machst du es öffentlich?

Es gibt nichts, was du nicht im direkten Gespräch mit Lukas hättest klären können. Aber dann hättest du ja nicht solche Aufmerksamkeit bekommen, oder?

 

[raven]

ja ... und wenn man von den kleinigkeiten z.b. mal ein ' vergisst oder einen cast, wars das schon.

Strings kann man nicht ohne ' in einen Query einbauen, Integer dareinzusetzen find ich schon ziemlich merkwürdig um genau zu sein...
Sorry, aber das ist einfach so.

da hilft auch dein queryf und sonstige sicherheits-funktionen nichts.

$result = queryf("SELECT foo FROM bar WHERE foo=%d", $_GET['foo']);

vsprintf() lässt mit %d jetzt nur noch einen Integer-Wert zu. Alle Eventualitäten sind somit ausgeschlossen.
Wenn das PHP-Team nun Sch... baut, ist klamm in diesem Fall natürlich nichts vorzuwerfen, aber sowas fällt bei PHP (was nunmal auch gründlich ausgetestet wird) in der Regel sehr schnell auf, wenn sowas tatsächlich mal passiert. Das kann aber in jedem Fall passieren, auch C-Programmen, wenn die glibc mal ein Memory Leak hat.

sowas passiert. auch m$. sonst hätte ich nicht alle 2 tage ein "wichtiges sicherheitsupdate" von windows.

Müssen wir jetzt wirklich mit MS vergleichen?
Ich habe Respekt vor dem, was sie geschaffen haben, sage auch, dass ich es nicht könnte - aber ausgereift ist es nun wirklich nicht.

 

[theHacker]

Moin.

Ich vermiss hier irgendwie den Sinn des Threads - klärt mich bitte wer auf *auch mitreden will* ?
Es wurden 2 Bugs gefunden, gemeldet und gefixed. Und warum jetzt der Thread, wenn nicht die Kiddies zum "Hacken" animieren ?

 

[Champ2000]

Und was erhoffst Du Dir nun von diesem Posting außer geschäftsschädigung?

Wäre statt diesem Beitrag nicht besser mal ein "Danke" angebracht?

 

[Bulette]

Wäre statt diesem Beitrag nicht besser mal ein "Danke" angebracht?

Raven hat den Bug bei Lukas gemeldt gehabt, Lukas hat den sofort gefixt.
Und ich glaube nicht, das Lukas sich dafür nicht bedankt hat

 

[klamm]

Wäre statt diesem Beitrag nicht besser mal ein "Danke" angebracht?

Das hatten wir per ICQ schon alles geklärt.
Deshalb fand ich den Beitrag ja absolut überflüssig.

 

[Querulant]

Kann Champ nur bestätigen!

Ohne "Raven" und "bartman" würd es diese Fehler immernoch geben und gute Programmierer (oder auch Cracker genannt) hätten Zugriff auf eure Passwörter, private Daten ua. eure Lose...ich find es schon beunruhigend zu wissen das hier die Passwörter nichtmal verschlüsselt sind...

 

[raven]

Hacker, überleg mal, wie wichtig diese Informationen sind. 238 Tausend Adressen und Passwörter (welche sinnigerweise im Klartext gespeichert werden ); direkt zwei Bugs auf einmal, die freie SELECTs erlauben.
Für mich liegt da die Vermutung nahe, dass es noch weitere Bugs dieser Klasse geben könnte. Ich finde, die User sollten diesbezüglich schon informiert werden, es geht hier schließlich um ihre Daten.
Und wenn ich jetzt mal daran denke, wie weit verbreitet Zentralpasswörter sind, was man mit den Bugs noch alles hätte anstellen können ... (Stichwort Lose-Transaktionen, klamm-Messenger-PNs, falls durch den User, den klamm.de nutzt, auch Zugriff auf Foren-DB besteht auch dort die PNs auslesen, etc. pp.)

Und deshalb machst du es öffentlich?

Wie bartman schon sagte - Security by obscurity ist einfach keine Lösung.
Schau dir mal Bugtraq an. Dort werden täglich Bugs eingeliefert, auch zum Linux-Kernel, was man nunmal auch ausnutzen könnte, zum Teil auch, um root-Rechte zu erlangen. Wenn es allerdings wie in diesem Fall um persönliche Daten geht, dann ist das für mich erst recht ein wichtiger Grund, sowas auch öffentlich zu machen. Die User haben finde ich ein Recht darauf zu erfahren, dass ihre Daten potentiell hätten gestohlen werden können.

Ich akzeptiere andere Meinungen dazu, höre mir diese auch gerne an, solange es sachlich bleibt. Und zumindest Lukas als "Betroffener" bleibt hier ja auch sachlich soweit

 

[PeterLV]

nun hoert mal,

mit eurer arschkriecherei auf, mr. klamm braucht das wirklich nicht

dass es in so einem monstrum, wie klamm.de, fehler in der programmierung gibt, ist doch ganz normal.
dass man die manchmal auch findet, doch auch, oder?

threadersteller, du machst mir den eindruck eines unberfriedigten fehlerfinders

auch das ist normal"g

oeffentliche hinweise darauf, sind nur bei nichtbeachtung des programmierers berechtigt und dem ist wohl nicht so, oder?

gruss

peter

 

[scriper]

Darf man mal Fragen, wieso PWs unverschlüsselt gespeichert werden, wie hier behauptet wurde?

 

[klamm]

Darf man mal Fragen, wieso PWs unverschlüsselt gespeichert werden, wie hier behauptet wurde?

Damit man sie sich zuschicken lassen kann.
z.B.

 

[27o8]

Darf man mal Fragen, wieso PWs unverschlüsselt gespeichert werden, wie hier behauptet wurde?

Das ist doch bekannt eigentlich , zumindest werden Sie nicht md5-"verschlüsselt", weil wenn man sein PW vergisst, kann man hier das selbe anfordern, und kriegt es im Klartext per Mail

 

[Querulant]

@ PeterLV
Mal eine Frage: Was hättest du gemacht wenn jemand Zugriff auf deine Adresse hätte und deine PWs und Lose?

Würdest du sagen: Jo, kann schonmal passieren, ist nicht schlimm??

Community im Allgemein, vor allem aber in einer Größenordnung wie Klamm sollten auf Sicherheit viel wert legen, udn das ist, meiner Meinung nach nicht der Fall (siehe u.a. die Speicherung der Passwörter)

Lg Andre

 

[sonnenhexer]

Darf man mal Fragen, wieso PWs unverschlüsselt gespeichert werden, wie hier behauptet wurde?

Damit kein Übergangspasswort generiert werden braucht, falls jemand mal sein Passwort vergißt. Für eben die direkte Zusendung.

 

[scriper]

Das ist doch bekannt eigentlich , zumindest werden Sie nicht md5-"verschlüsselt", weil wenn man sein PW vergisst, kann man hier das selbe anfordern, und kriegt es im Klartext per Mail

Die Frage ist ja, ob sowas sinnvoll ist, oder ob man sich ein neues zuschicken lassen sollte.

Unverschlüsselte PWs sind definitiv ein Sicherheitsrisiko.

 

[Drrichardfahrer]

Damit man sie sich zuschicken lassen kann.
z.B.

Also dagegen bin ich. Mach lieber eine MD5-Verschlüsselung und generiere bei Zuschicken ein neues...der User kanns ja dann eh wieder umändern! Das sollte DRINGEND geändert werden!

Ansonsten, Raven, ich bewundere dein Können und dein Engagement, aber was mir in deinem Posting fehlt, ist die Aussage - was bezweckst du? Willst du wirklich, dass sich alle auf die Suche machen?? Oder willst du, dass Klamm einen zusätzlichen Progger einstellt, der alles überprüft?

Du schreibst lange Postings, aber die Kernaussage (nämlich der Grund, WARUM du das geschrieben hast, was ja auch per PM und ICQ gegangen ist) versteh ich nicht...

 

[klamm]

Die Frage ist ja, ob sowas sinnvoll ist, oder ob man sich ein neues zuschicken lassen sollte.
Unverschlüsselte PWs sind definitiv ein Sicherheitsrisiko.

Ungeschütze Rechner von Usern mit Trojanern drauf sind ein erstmal viel größeres Risiko (nebenbei: ich aktiviere jetzt Powerlinks).

 

[Querulant]

Das ist doch bekannt eigentlich , zumindest werden Sie nicht md5-"verschlüsselt", weil wenn man sein PW vergisst, kann man hier das selbe anfordern, und kriegt es im Klartext per Mail

Damit man sie sich zuschicken lassen kann.
z.B.

Sorry Leute, aber diese Aussagen finde ich mehr als dämlich!

Dann bekomm ich halt,w enn ich mein PW vergesse, ein PW zugeschickt wie "sdiuhiuzgunh", dass ist mir aber lieber als wenn alles offen in der DB liegt.

Bei allen VMS Seiten z.B. sind die Passwörter verschlüsselt und das ist auch richtig so. Dann kann ja auch ne Bank sagen wir benutzen keinen Tresor, so kommen wir schneller an das Geld ran

 

[27o8]

Sorry Leute, aber diese Aussagen finde ich mehr als dämlich!

Ist ja nicht meine Meinung, oder die Art wie ich es machen würde. Ich würde auch ein neues generieren und verschicken... aber ich wollte halt sagen, wie es hier ist

 

[klamm]

Dann bekomm ich halt,w enn ich mein PW vergesse, ein PW zugeschickt wie "sdiuhiuzgunh", dass ist mir aber lieber als wenn alles offen in der DB liegt.

dann bekomm ich 12936123mails mit
"ich hab mir eben mein pw zuschicken lassen .... wenn ich jetzt das pw eingebe [ALTES_PASSWORT] komm ich nicht mehr rein!!!!!einself"
"ja sie haben jetzt auch ein neues"
"aber ich hab mein PW schon 30 jahre und immer ging es"
"es musste aber neu generiert werden"
"wie komm ich jetzt rein?"
"mit dem neuen"
"ist das das gleiche wie das alte?"
"nein das wurde ihnen eben zugeschickt"
"also ich hab hier eine mail da steht mein normales passwort drin"
"ja die mail ist schon alt"
"da kam aber keine andere mail"
"doch"
"nein"
"doch die is im spamfilter"
"nein ich nutze aol"
"ja genau deshalb"
"soll ich jetzt den provider wechseln?"
"nein einfach das neue pw eingeben und dann im profil ändern"
"wie komm ich ins profil wenn ich mich nicht einloggen kann mit meinem normalen pw?"
....

wahre geschichten ...