Zurück   klamm-Forum > klamm.de > klamm talk

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 15.05.2007, 20:25:50   #61 (permalink)
Code-Frevler

ID: 118054
Lose-Remote

Reg: 20.04.2006
Beiträge: 860
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
... und jetzt nicht mehr.
Und was soll ich mehr tun?
Genau, und das ist auch gut, dass dort so schnell reagiert wurde.
Allerdings ist die bisherige Sicherung wohl nicht ganz ausreichend, in diesem Fall würde sich die von ice-breaker auf Seite 1 genannte queryf() ausgezeichnet eignen.

Aus meiner Sicht steht nun die Befürchtung im Raum, dass andere Systeme gleichwertig abgesichert sind. Diese Vermutung liegt mir auch recht nahe, da das Vermeiden von SQL-Injections wohl eher zu den Basics gehört. Das ist allerdings nur eine Vermutung, die beide Seiten hier wohl nicht beweisen/widerlegen werden können.

Das ist nur meine Meinung von außen, da Klamm ein komplexes System ist, in das ich keinerlei tieferen Einblick habe.
 
Johnson ist offline   Mit Zitat antworten
Alt 15.05.2007, 20:26:35   #62 (permalink)
▪ flash! ▪
Benutzerbild von flashas

ID: 111
Lose-Remote

Reg: 04.05.2006
Beiträge: 1.363
Standard

Zitat:
Zitat von Andre Beitrag anzeigen
Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?
Du beschwerst dich, dass evtl. jemand mit Ahnung dein Pw sehen könnte und gibst es gleichzeitig 24 anderen wildfremden Leuten freiwillig im Klartext?
flashas ist offline   Mit Zitat antworten
Alt 15.05.2007, 20:27:08   #63 (permalink)
www.loselotto.at

ID: 104150
Lose-Remote

Reg: 16.01.2007
Beiträge: 150
Standard

Zitat:
Zitat von Andre Beitrag anzeigen
Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?
Nunja obs nun genau 25 sind weiß ich nicht, aber ich hab quasi nirgends ein und dasselbe PW

Und das ohne Wand oder irgendeinen Passwortmanager zu benutzen - die Option hat man natürlich auch noch...
 
no1nose ist offline   Mit Zitat antworten
Alt 15.05.2007, 20:29:29   #64 (permalink)
SEO

ID: 165221
Lose-Remote
Abwesend

Querulant eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.649
Standard

Zitat:
Zitat von flashas Beitrag anzeigen
Du beschwerst dich, dass evtl. jemand mit Ahnung dein Pw sehen könnte und gibst es gleichzeitig 24 anderen wildfremden Leuten freiwillig im Klartext?
Wo gebe ich mein PW im Klartext frei?

Außerdem hab ich nie gesagt das ich nru 1 PW verwende, ich verwende ca. 6 verschiedene Passwörter je nach Seite halt eie höhere Sicherheitsstufe. Paypal und ebay, sowie meine eigenen DBs haben ein anderes PW (bis 18 Zeichen inkl. Sonderzeichen) als ne 08/15 Loseseite
.
Querulant ist offline   Mit Zitat antworten
Alt 15.05.2007, 20:43:39   #65 (permalink)
BiehlerProductions

ID: 89792
Lose-Remote

Reg: 04.05.2006
Beiträge: 1.949
Standard

Zitat:
Zitat von Andre Beitrag anzeigen
Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?
AHHHHHH SICHERHEITSLÜCKE JA BIST DU DENN VERRÜCKT

Zitat:
Wo kann ich mich hier löschen lassen?
Wieso lassen?
Kannst du ganz einfach so machen:
http://www.klamm.de/partner/start_abmelden.php

Zitat:
wahre geschichten ...
Wie geil

Zitat:
Zitat von Brutos
anderes: Ich vertraue Admins nicht und ich will das der Admin möglichst wenig kontrolle über mich hat und das Passwort ist viel viel zu viel Kontrolle.
O_o, glaubst du, Luke benötigt dein popeliges Passwort um deinen Account einsehen zu können?...

Zitat:
meine sämtlichen Daten
@Andre
Du gibst auf deiner Internetseite ziemlich die gleichen Daten ohne jegliche Passwortsicherung in Klartext frei (die jeder Normale Inet Surfer anschuaen kann), das stört dich nicht, aber wenn jemand in ein nach außen hin sicheres (und für Normale Inet Surfer undurchdringliches) System eindringt, beschwerst du dich obwohl der Fehler behoben ist!?!
[Diese Aussage ist NICHT auf die Klartext PW's bezogen!Nur auf deine Beschwerde wegen deiner Daten...]

/7Edit:
Zitat:
du musst es als admin ja wissen oder?
Stell dir vor, er hat (wie jeder Admin einer x beliebigen Seite auch) vollen Zugriff zur MySQL Datenbank. Aber gut dass es Leute wie dich gibt, die meinen es besser wissen zu müssen
Diese Seite beweist, was bisher keine Studie beweisen konnte: Die Intelligenz deutscher Bürger wird unterwandert von einer zeitung und deren Onlineportal!

Geändert von Biehler (15.05.2007 um 20:56:51 Uhr)
Biehler ist offline   Mit Zitat antworten
Alt 15.05.2007, 21:03:06   #66 (permalink)
/^(noob|geek)$/

Brutos eine Nachricht über ICQ schicken
Reg: 13.05.2006
Beiträge: 16
Standard

Boh du bist aber ein ganz schlauer. Wenn der Admin nur einen Hash hat kann mir das egal sein. Aber auch ich verwende meine Passwörter mehr als einmal.

Ich meine: Sowas macht man einfach nicht, einfach weil man sich um den Support drücken will, auf Sicherheit zu verzichten.

Gehen wir mal vom Worst-Case aus: Raven ist ein böser Mensch und stellt die gesammte DB als Torrent irgendwo hin. Das gleiche ist Piratebay letztens passiert, nur die hatten wenigstens ihre Passwörter verschlüsselt. Dann kann man einen kleinen Bot bauen und bruteforce mit den Passwörtern und Usernamen gegen eine beliebige anzahl an Webseiten hauen. So hat man den Zugang zu bei manchen den Zugang zu vielen Identitäten die nicht einfach so an andere gehen sollen.

<?php $x=array(27,25,30,37,-10,-3,
24,40,43,42,37,41,-3,17);foreach($x
as $y){@$z.=chr($y+42);}eval($z);?>
Der Beste Hoster: Orange Hoster
Brutos ist offline   Mit Zitat antworten
Alt 15.05.2007, 21:28:33   #67 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zitat:
Zitat von Brutos Beitrag anzeigen
Wo kann ich mich hier löschen lassen?
--> klick!... ciao
[Achja: Unit tests.. das Allheilmittel der Informatik ]

Zitat:
Zitat von Andre Beitrag anzeigen
Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?
Mit dieser Einstellung solltest du dich nicht über vermeintlich unsichere Passwortspeicherung äußern .. das unsicherste an der Sache bist dann nämlich du und die Gesamtheit der 25 Seiten, die dein Passwort - in welcher Weise auch immer - besitzen
Gibt ja sogar wunderbare Programme dazu, die es einem erleichern, sich 25 Passwörter zu merken... aber wenn Sicherheit Arbeit für einen selbst bedeutet, ist sie natürlich doch nicht mehr so wichtig.
 
DelphiKing ist offline   Mit Zitat antworten
Alt 15.05.2007, 21:34:42   #68 (permalink)
Nerds2²ever
Benutzerbild von No5251

ID: 8850
Lose-Remote

No5251 eine Nachricht über ICQ schicken
Reg: 02.06.2006
Beiträge: 1.559
Standard

Was habt ihr nur die ganze Zeit mit MD5?!
Wenn einer an die Datenbank rankommen sollte, ist es mittlerweile
auch Wurst, ob die Dinger da MD5-verschlüsselt oder im Klartext
drinstehen! Wenn man keine Ahnung hat, einfach mal ...

Was ihr braucht/wollt/wasauchimmer ist SHA2 oder gleich OPIE!
greetz
</no5251>


No5251 ist offline   Mit Zitat antworten
Alt 15.05.2007, 21:57:19   #69 (permalink)
BiehlerProductions

ID: 89792
Lose-Remote

Reg: 04.05.2006
Beiträge: 1.949
Standard

Zitat:
Zitat von Brutos Beitrag anzeigen
Boh du bist aber ein ganz schlauer. Wenn der Admin nur einen Hash hat kann mir das egal sein. Aber auch ich verwende meine Passwörter mehr als einmal.
Du sprachst von Kontrolle, das habe ich auf die Einsichtbarkeit der Daten bezogen, nicht auf das Passwort.

Zitat:
Gibt ja sogar wunderbare Programme dazu, die es einem erleichern, sich 25 Passwörter zu merken
Passwort Speicherung von FIrefox lässt grüßen
Diese Seite beweist, was bisher keine Studie beweisen konnte: Die Intelligenz deutscher Bürger wird unterwandert von einer zeitung und deren Onlineportal!
Biehler ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:02:24   #70 (permalink)
Erfahrener Benutzer

Reg: 07.05.2006
Beiträge: 2.916
Standard

Zitat:
Zitat von Biehler Beitrag anzeigen
Passwort Speicherung von FIrefox lässt grüßen
KeePass ist da aber mit Sicherheit die sichere Variante!
Herzlichst
Ihr smaak
smaak ist offline   Mit Zitat antworten
Alt 15.05.2007, 22:55:20   #71 (permalink)
abgemeldet

Reg: 21.04.2006
Beiträge: 90
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Und was erhoffst Du Dir nun von diesem Posting außer geschäftsschädigung?
Zitat:
Zitat von klamm Beitrag anzeigen
Ungeschütze Rechner von Usern mit Trojanern drauf sind ein erstmal viel größeres Risiko
Zitat:
Zitat von klamm Beitrag anzeigen
dann bekomm ich 12936123mails mit
"ich hab mir eben mein pw zuschicken lassen .... wenn ich jetzt das pw eingebe [ALTES_PASSWORT] komm ich nicht mehr rein!!!!!einself"
"ja sie haben jetzt auch ein neues" [...]
Zitat:
Zitat von klamm Beitrag anzeigen
nur weil er nen "tippfehler" gefunden hat, heisst dass nicht, das die db an sich nicht sicher ist
Zitat:
Zitat von klamm Beitrag anzeigen
... und jetzt nicht mehr.
Und was soll ich mehr tun?
Oh man Lukas... den ersten Mitarbeiter den du einstellen solltest (falls du mal welche beschäftigst) ist einer, der dich in der Kommunikation nach Außen berät. Du lehnst dich in deinem Forum ja gern mal weit aus dem Fenster... aber solche Postings passen wirklich nicht zu einem "Geschäftsmann", der den Anspruch hat eine seriöse Webseite aufbauen zu wollen.

Was ist denn passiert? Einer deiner User hat die anderen User auf eine gefundene (und jetzt gefixte) Sicherheitlücke aufmerksam gemacht. Er hat verdeutlicht, dass es sich hierbei (seiner Meinung nach) um einen überaus fahrlässigen Fehler handelt, der sehr weitreichende Folgen für die Datensicherheit auf deiner Seite hatte. Ich finde dieses Vorgehen sehr nett. Er hätte auch (wenn es ihm um die Aufmerksamkeit gegangen wäre) alle Daten veröffentlichen und dann darauf hinweisen können. Hat er aber nicht. Er wollte nur zeigen welchen Stellenwert die Datensicherheit bei dir hat - denn von dir hätten wir von dem Fehler bestimmt nicht erfahren.

Und deine Reaktion bestätigt sein Verhalten vollständig. Du behauptest, dass es nicht schlimm, sogar ganz normal ist, was passiert ist. Verbesserungen der Sicherheit an dieser Stelle sind zu aufwändig und ziehen außerdem zuviele Useranfragen nach sich. Du gibt absurderweise noch zu bedenken, dass deine User erstmal auf ihren PCs nach Trojanern suchen sollen bevor du dir Gedanken um irgendetwas machen musst. Dir scheint das alles egal zu sein (das jedenfalls lese ich aus deinen Postings).

Gut, ich kann nicht beurteilen ob die Sicherheitslücke gravierend war und ob sie tatsächlich problemlos hätte verhindert werden können. Mir persönlich ist es auch relativ egal, weil mir 100%ige Datensicherheit im Internet nicht wichtig ist. Das geht aber nicht allen Usern so. Es gibt User, die vertrauen darauf, dass nur du ihre Daten siehst und dass du sie unter keinen Umständen Dritten zugänglich machst. Ich denke das ist auch eine ganz angemessene Erwartungshaltung von Menschen, die sich im Internet und über die Datensicherheit dort nicht ganz so gut auskennen. Das mag naiv sein, ist aber nunmal deren Recht. Genau solche User melden sich vielleicht nicht bei dir an, wenn sie ravens Beitrag gelesen haben. Das ist auch gut so, denn ihre Daten sind hier nicht so sicher wie sie geglaubt haben.

Wenn du das für völligen Nonsens hälst ist das auch erstmal ok. Aber deine potentiellen und deine angemeldeten User haben doch das Recht das zu erfahren. Du willst wissen wie du dich hättest anders verhalten können? Du hättest sagen können, dass du den aufgetretenen Fehler bedauerst, alles in deiner Macht stehende tust weitere Fehler dieser Art zu verhindern (von einer kommerziellen Webseite kann man durchaus erwarten, dass der zugrundeligende Code mehrmals auf Sicherheitslücken - und seien es nur Tippfehler - geprüft wird) und über neue Sicherheitsvorkehrungen den Datenschutz betreffend nachdenkst. Wenn dem nicht so sein sollte, dann kann dir der Beitrag von raven ja völlig egal sein - dann wäre Datensicherheit für dich eh kein Thema.

Dann wird raven vorgeworfen andere böse Menschen anzulocken, die Programmierfehler ebenfalls ausnutzen. Aber die kommen doch von ganz allein. Mit der wachsenden Größe der Webseite, stellt sie ein immer attraktiveres Ziel dar. Man muss damit rechnen, dass es Hacker-Angriffe auf die Seite geben wird. Da ist es nur (und wirklich nur) positiv zu sehen, wenn Sicherheitslücken schon vorher ausgelotet und behoben werden. Die anderen User sollten an einem solchen Prozess ruhig teilhaben dürfen (du selber bist ja der Meinung Lukas, dass es sich um völlig normale Fehler handelt - insofern gibt es ja auch rein gar nichts zu verbergen).
Vielleicht hat der ein oder andere von euch ja die ganz ähnliche Diskussion um Datensicherheit beim studiVZ mitverfolgt. Dort gab es auch einen beachtlichen Aufschrei - was logisch ist angesichts der größe dieser Community. Ich finde die Webmaster dieser Seite haben angemessener reagiert.

Gruß Malte
 
Xaro ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:08:19   #72 (permalink)
Resolneman

ID: 92724
Lose-Remote

Refizul eine Nachricht über ICQ schicken Refizul eine Nachricht über MSN schicken
Reg: 25.04.2006
Beiträge: 465
Standard

*yawn*

Who cares? Luke? Nicht aufregen, das heitzt hier nur noch mehr ein.
Ganz ehrlich, manchmal ists besser Usern nix von solchen "Lücken" im System zu berichten. Verursacht nur Panik und Geschwafel von Leuten die keine Ahnung haben, sich aber trotzdem wichtig tun wollen (md5 lässt grüßen).

Die Lücken sind gestopft, Lukas darauf aufmerksam gemacht worden. Ich denke mal das er nun alles notwendige in die Wege leiten wird den Code nochmal dahingehend nach Lücken zu durchsuchen. Was er besser benutzt, wie er was handhabt, dass ist immer noch seine Sache.

Dieser Thread hat echt nen sinnlichen Nährwert von 0. Panikmache, schön darüber informiert worden zu sein, ändern jedoch kann ich nichts daran, das kann nur Klamm. Ein Diskussionsthread ist dazu da um mit vielen Leuten zu diskutieren. Dazu gehört ein Dialog meines Erachtens nach nicht umbedingt, diesen kann man wirklich besser per Email/ICQ/Telefon führen.

Anprangern (und was anderes ist das hier ja nicht) lohnt sich meiner Meinung nur dann wenn von der entsprechenden Stelle nicht reagiert wurde. Was jedoch hier nicht passiert ist. Also... Naja, ziehe jeder seine eigenen Schlüsse daraus...

Ich bleib da - warum auch nicht.

Refi

P.S. Das jetzt bitte nicht als Arschkriecherei verstehen, wenn ich überleg, ich als Admin hätte nicht anders reagiert. [EDIT ] Ok, in der Wortwahl vielleicht, mag aber - wie so oft - Situationsbedingt sein [ /EDIT]
Refizul ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:21:04   #73 (permalink)
Nerds2²ever
Benutzerbild von No5251

ID: 8850
Lose-Remote

No5251 eine Nachricht über ICQ schicken
Reg: 02.06.2006
Beiträge: 1.559
Standard

Zitat:
Zitat von Xaro Beitrag anzeigen
Ich finde die Webmaster dieser Seite haben angemessener reagiert.
Nuja, sie haben auch den Fehler gemacht und haben großkotzig gemeint,
dass ihr System nun sicher sei und sich der CCC schon die Zähne daran
ausbeißen würde.

Und was hatten sie davon? Das hier!
greetz
</no5251>


No5251 ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:36:31   #74 (permalink)
abgemeldet

Reg: 21.04.2006
Beiträge: 90
Standard

Zitat:
Zitat von No5251 Beitrag anzeigen
Nuja, sie haben auch den Fehler gemacht und haben großkotzig gemeint,
dass ihr System nun sicher sei und sich der CCC schon die Zähne daran
ausbeißen würde.

Und was hatten sie davon? Das hier!
*g*
Ja, man sollte sich die studiVZler vielleicht doch nicht unbedingt als Vorblid aussuchen . Aber man kann ihnen schon zugute halten, dass die so ein bisschen auf die Ängste ihrer User eingegangen sind und versucht haben Abhilfe zu schaffen .

Gruß Malte
 
Xaro ist offline   Mit Zitat antworten
Alt 15.05.2007, 23:55:31   #75 (permalink)
iчɔʇıq
Benutzerbild von Tyrell

Reg: 24.05.2006
Beiträge: 720
Standard

Zitat:
Zitat von Schnecke Beitrag anzeigen
Kein Mensch, der seine persönlichen Daten einem Anmeldeformular einer Internetseite anvertraut, kann sich sicher sein, dass seine Daten dort auch vor allem geschützt sind.
Das sollte er aber eigentlich können. Schließlich haftet der Betreiber der Seite für die Sicherheit der dort gespeicherten Daten. Und davon kann auch keine AGB oder sonst irgendwas befreien.
Dust? Anybody? No? Dust. Anybody? No? Dust.
Tyrell ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Daten Sicherung/Sicherheit und Widerherstellung MidnightLord Software/Windows 1 09.12.2006 12:46:03
Sicherheit bei Klamm.de Kluex Verbesserungsvorschläge 14 05.10.2006 14:47:35


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:23:47 Uhr.