Kritik an (Daten-)Sicherheit von klamm.de

[Johnson]

... und jetzt nicht mehr.
Und was soll ich mehr tun?

Genau, und das ist auch gut, dass dort so schnell reagiert wurde.
Allerdings ist die bisherige Sicherung wohl nicht ganz ausreichend, in diesem Fall würde sich die von ice-breaker auf Seite 1 genannte queryf() ausgezeichnet eignen.

Aus meiner Sicht steht nun die Befürchtung im Raum, dass andere Systeme gleichwertig abgesichert sind. Diese Vermutung liegt mir auch recht nahe, da das Vermeiden von SQL-Injections wohl eher zu den Basics gehört. Das ist allerdings nur eine Vermutung, die beide Seiten hier wohl nicht beweisen/widerlegen werden können.

Das ist nur meine Meinung von außen, da Klamm ein komplexes System ist, in das ich keinerlei tieferen Einblick habe.

 

[flashas]

Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?

Du beschwerst dich, dass evtl. jemand mit Ahnung dein Pw sehen könnte und gibst es gleichzeitig 24 anderen wildfremden Leuten freiwillig im Klartext?

 

[no1nose]

Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?

Nunja obs nun genau 25 sind weiß ich nicht, aber ich hab quasi nirgends ein und dasselbe PW

Und das ohne Wand oder irgendeinen Passwortmanager zu benutzen - die Option hat man natürlich auch noch...

 

[Querulant]

Du beschwerst dich, dass evtl. jemand mit Ahnung dein Pw sehen könnte und gibst es gleichzeitig 24 anderen wildfremden Leuten freiwillig im Klartext?

Wo gebe ich mein PW im Klartext frei?

Außerdem hab ich nie gesagt das ich nru 1 PW verwende, ich verwende ca. 6 verschiedene Passwörter je nach Seite halt eie höhere Sicherheitsstufe. Paypal und ebay, sowie meine eigenen DBs haben ein anderes PW (bis 18 Zeichen inkl. Sonderzeichen) als ne 08/15 Loseseite

 

[Biehler]

Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?

AHHHHHH SICHERHEITSLÜCKE JA BIST DU DENN VERRÜCKT

Wo kann ich mich hier löschen lassen?

Wieso lassen?
Kannst du ganz einfach so machen:
https://www.klamm.de/partner/start_abmelden.php

wahre geschichten ...

Wie geil

anderes: Ich vertraue Admins nicht und ich will das der Admin möglichst wenig kontrolle über mich hat und das Passwort ist viel viel zu viel Kontrolle.

, glaubst du, Luke benötigt dein popeliges Passwort um deinen Account einsehen zu können?...

meine sämtlichen Daten

@Andre
Du gibst auf deiner Internetseite ziemlich die gleichen Daten ohne jegliche Passwortsicherung in Klartext frei (die jeder Normale Inet Surfer anschuaen kann), das stört dich nicht, aber wenn jemand in ein nach außen hin sicheres (und für Normale Inet Surfer undurchdringliches) System eindringt, beschwerst du dich obwohl der Fehler behoben ist!?!
[Diese Aussage ist NICHT auf die Klartext PW's bezogen!Nur auf deine Beschwerde wegen deiner Daten...]

/7Edit:

du musst es als admin ja wissen oder?

Stell dir vor, er hat (wie jeder Admin einer x beliebigen Seite auch) vollen Zugriff zur MySQL Datenbank. Aber gut dass es Leute wie dich gibt, die meinen es besser wissen zu müssen

 

[Brutos]

Boh du bist aber ein ganz schlauer. Wenn der Admin nur einen Hash hat kann mir das egal sein. Aber auch ich verwende meine Passwörter mehr als einmal.

Ich meine: Sowas macht man einfach nicht, einfach weil man sich um den Support drücken will, auf Sicherheit zu verzichten.

Gehen wir mal vom Worst-Case aus: Raven ist ein böser Mensch und stellt die gesammte DB als Torrent irgendwo hin. Das gleiche ist Piratebay letztens passiert, nur die hatten wenigstens ihre Passwörter verschlüsselt. Dann kann man einen kleinen Bot bauen und bruteforce mit den Passwörtern und Usernamen gegen eine beliebige anzahl an Webseiten hauen. So hat man den Zugang zu bei manchen den Zugang zu vielen Identitäten die nicht einfach so an andere gehen sollen.

 

[DelphiKing]

Wo kann ich mich hier löschen lassen?

--> klick!... ciao
[Achja: Unit tests.. das Allheilmittel der Informatik ]

Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?

Mit dieser Einstellung solltest du dich nicht über vermeintlich unsichere Passwortspeicherung äußern .. das unsicherste an der Sache bist dann nämlich du und die Gesamtheit der 25 Seiten, die dein Passwort - in welcher Weise auch immer - besitzen
Gibt ja sogar wunderbare Programme dazu, die es einem erleichern, sich 25 Passwörter zu merken... aber wenn Sicherheit Arbeit für einen selbst bedeutet, ist sie natürlich doch nicht mehr so wichtig.

 

[No5251]

Was habt ihr nur die ganze Zeit mit MD5?!
Wenn einer an die Datenbank rankommen sollte, ist es mittlerweile
auch Wurst, ob die Dinger da MD5-verschlüsselt oder im Klartext
drinstehen! Wenn man keine Ahnung hat, einfach mal ...

Was ihr braucht/wollt/wasauchimmer ist SHA2 oder gleich OPIE!

 

[Biehler]

Boh du bist aber ein ganz schlauer. Wenn der Admin nur einen Hash hat kann mir das egal sein. Aber auch ich verwende meine Passwörter mehr als einmal.

Du sprachst von Kontrolle, das habe ich auf die Einsichtbarkeit der Daten bezogen, nicht auf das Passwort.

Gibt ja sogar wunderbare Programme dazu, die es einem erleichern, sich 25 Passwörter zu merken

Passwort Speicherung von FIrefox lässt grüßen

 

[smaak]

Passwort Speicherung von FIrefox lässt grüßen

KeePass ist da aber mit Sicherheit die sichere Variante!

 

[Xaro]

Und was erhoffst Du Dir nun von diesem Posting außer geschäftsschädigung?

Ungeschütze Rechner von Usern mit Trojanern drauf sind ein erstmal viel größeres Risiko

dann bekomm ich 12936123mails mit
"ich hab mir eben mein pw zuschicken lassen .... wenn ich jetzt das pw eingebe [ALTES_PASSWORT] komm ich nicht mehr rein!!!!!einself"
"ja sie haben jetzt auch ein neues" [...]

nur weil er nen "tippfehler" gefunden hat, heisst dass nicht, das die db an sich nicht sicher ist

... und jetzt nicht mehr.
Und was soll ich mehr tun?

Oh man Lukas... den ersten Mitarbeiter den du einstellen solltest (falls du mal welche beschäftigst) ist einer, der dich in der Kommunikation nach Außen berät. Du lehnst dich in deinem Forum ja gern mal weit aus dem Fenster... aber solche Postings passen wirklich nicht zu einem "Geschäftsmann", der den Anspruch hat eine seriöse Webseite aufbauen zu wollen.

Was ist denn passiert? Einer deiner User hat die anderen User auf eine gefundene (und jetzt gefixte) Sicherheitlücke aufmerksam gemacht. Er hat verdeutlicht, dass es sich hierbei (seiner Meinung nach) um einen überaus fahrlässigen Fehler handelt, der sehr weitreichende Folgen für die Datensicherheit auf deiner Seite hatte. Ich finde dieses Vorgehen sehr nett. Er hätte auch (wenn es ihm um die Aufmerksamkeit gegangen wäre) alle Daten veröffentlichen und dann darauf hinweisen können. Hat er aber nicht. Er wollte nur zeigen welchen Stellenwert die Datensicherheit bei dir hat - denn von dir hätten wir von dem Fehler bestimmt nicht erfahren.

Und deine Reaktion bestätigt sein Verhalten vollständig. Du behauptest, dass es nicht schlimm, sogar ganz normal ist, was passiert ist. Verbesserungen der Sicherheit an dieser Stelle sind zu aufwändig und ziehen außerdem zuviele Useranfragen nach sich. Du gibt absurderweise noch zu bedenken, dass deine User erstmal auf ihren PCs nach Trojanern suchen sollen bevor du dir Gedanken um irgendetwas machen musst. Dir scheint das alles egal zu sein (das jedenfalls lese ich aus deinen Postings).

Gut, ich kann nicht beurteilen ob die Sicherheitslücke gravierend war und ob sie tatsächlich problemlos hätte verhindert werden können. Mir persönlich ist es auch relativ egal, weil mir 100%ige Datensicherheit im Internet nicht wichtig ist. Das geht aber nicht allen Usern so. Es gibt User, die vertrauen darauf, dass nur du ihre Daten siehst und dass du sie unter keinen Umständen Dritten zugänglich machst. Ich denke das ist auch eine ganz angemessene Erwartungshaltung von Menschen, die sich im Internet und über die Datensicherheit dort nicht ganz so gut auskennen. Das mag naiv sein, ist aber nunmal deren Recht. Genau solche User melden sich vielleicht nicht bei dir an, wenn sie ravens Beitrag gelesen haben. Das ist auch gut so, denn ihre Daten sind hier nicht so sicher wie sie geglaubt haben.

Wenn du das für völligen Nonsens hälst ist das auch erstmal ok. Aber deine potentiellen und deine angemeldeten User haben doch das Recht das zu erfahren. Du willst wissen wie du dich hättest anders verhalten können? Du hättest sagen können, dass du den aufgetretenen Fehler bedauerst, alles in deiner Macht stehende tust weitere Fehler dieser Art zu verhindern (von einer kommerziellen Webseite kann man durchaus erwarten, dass der zugrundeligende Code mehrmals auf Sicherheitslücken - und seien es nur Tippfehler - geprüft wird) und über neue Sicherheitsvorkehrungen den Datenschutz betreffend nachdenkst. Wenn dem nicht so sein sollte, dann kann dir der Beitrag von raven ja völlig egal sein - dann wäre Datensicherheit für dich eh kein Thema.

Dann wird raven vorgeworfen andere böse Menschen anzulocken, die Programmierfehler ebenfalls ausnutzen. Aber die kommen doch von ganz allein. Mit der wachsenden Größe der Webseite, stellt sie ein immer attraktiveres Ziel dar. Man muss damit rechnen, dass es Hacker-Angriffe auf die Seite geben wird. Da ist es nur (und wirklich nur) positiv zu sehen, wenn Sicherheitslücken schon vorher ausgelotet und behoben werden. Die anderen User sollten an einem solchen Prozess ruhig teilhaben dürfen (du selber bist ja der Meinung Lukas, dass es sich um völlig normale Fehler handelt - insofern gibt es ja auch rein gar nichts zu verbergen).
Vielleicht hat der ein oder andere von euch ja die ganz ähnliche Diskussion um Datensicherheit beim studiVZ mitverfolgt. Dort gab es auch einen beachtlichen Aufschrei - was logisch ist angesichts der größe dieser Community. Ich finde die Webmaster dieser Seite haben angemessener reagiert.

Gruß Malte

 

[Refizul]

*yawn*

Who cares? Luke? Nicht aufregen, das heitzt hier nur noch mehr ein.
Ganz ehrlich, manchmal ists besser Usern nix von solchen "Lücken" im System zu berichten. Verursacht nur Panik und Geschwafel von Leuten die keine Ahnung haben, sich aber trotzdem wichtig tun wollen (md5 lässt grüßen).

Die Lücken sind gestopft, Lukas darauf aufmerksam gemacht worden. Ich denke mal das er nun alles notwendige in die Wege leiten wird den Code nochmal dahingehend nach Lücken zu durchsuchen. Was er besser benutzt, wie er was handhabt, dass ist immer noch seine Sache.

Dieser Thread hat echt nen sinnlichen Nährwert von 0. Panikmache, schön darüber informiert worden zu sein, ändern jedoch kann ich nichts daran, das kann nur Klamm. Ein Diskussionsthread ist dazu da um mit vielen Leuten zu diskutieren. Dazu gehört ein Dialog meines Erachtens nach nicht umbedingt, diesen kann man wirklich besser per Email/ICQ/Telefon führen.

Anprangern (und was anderes ist das hier ja nicht) lohnt sich meiner Meinung nur dann wenn von der entsprechenden Stelle nicht reagiert wurde. Was jedoch hier nicht passiert ist. Also... Naja, ziehe jeder seine eigenen Schlüsse daraus...

Ich bleib da - warum auch nicht.

Refi

P.S. Das jetzt bitte nicht als Arschkriecherei verstehen, wenn ich überleg, ich als Admin hätte nicht anders reagiert. [EDIT ] Ok, in der Wortwahl vielleicht, mag aber - wie so oft - Situationsbedingt sein [ /EDIT]

 

[No5251]

Ich finde die Webmaster dieser Seite haben angemessener reagiert.

Nuja, sie haben auch den Fehler gemacht und haben großkotzig gemeint,
dass ihr System nun sicher sei und sich der CCC schon die Zähne daran
ausbeißen würde.

Und was hatten sie davon? Das hier!

 

[Xaro]

Nuja, sie haben auch den Fehler gemacht und haben großkotzig gemeint,
dass ihr System nun sicher sei und sich der CCC schon die Zähne daran
ausbeißen würde.

Und was hatten sie davon? Das hier!

*g*
Ja, man sollte sich die studiVZler vielleicht doch nicht unbedingt als Vorblid aussuchen . Aber man kann ihnen schon zugute halten, dass die so ein bisschen auf die Ängste ihrer User eingegangen sind und versucht haben Abhilfe zu schaffen .

Gruß Malte

 

[Tyrell]

Kein Mensch, der seine persönlichen Daten einem Anmeldeformular einer Internetseite anvertraut, kann sich sicher sein, dass seine Daten dort auch vor allem geschützt sind.

Das sollte er aber eigentlich können. Schließlich haftet der Betreiber der Seite für die Sicherheit der dort gespeicherten Daten. Und davon kann auch keine AGB oder sonst irgendwas befreien.

 

[PlaciD]

Ich habe eigentlich nur eine Frage, und zwar an raven: Als du diesen Thread hier eröffnet hast, waren da die Sicherheitslücken noch offen (trotz deiner Mitteilung an klamm) oder waren sie bereits geschlossen?

PlaciD

 

[klamm]

Ich habe eigentlich nur eine Frage, und zwar an raven: Als du diesen Thread hier eröffnet hast, waren da die Sicherheitslücken noch offen (trotz deiner Mitteilung an klamm) oder waren sie bereits geschlossen?

Wir hatten das bereits 2 Tage vorher im ICQ fertig gemacht.
Gefunden >> geschlossen.

 

[the13th]

Wir hatten das bereits 2 Tage vorher im ICQ fertig gemacht.
Gefunden >> geschlossen.

Und weil nun 2 Fehler von einem User, welcher eben die Lücke, zumindest nach eigener Aussage - und das will ich ihm dann auch mal glauben - nicht ausgenutzt hat, ist das Thema durch - so deine Aussage?

Kannst mich gerne korrigieren wenn dem nicht der Fall sein sollte - aber genau diesen Schluss lassen deine bisherigen Äusserungen zu - leider.


Auch die Sache mit dem "Ja aber dann kommen Supporttickets wegen den Passwörtern" ist irgendwie - sagen wir mal: Merkwürdig.

Was ist die lieber?
Supporttickets bei denen du dann auf eine eigens dafür angelegte FAQ verweisen kannst (ja - sowas kann man schreiben) oder aber Supporttickets wegen missbräuchlich verwendeter Daten/Accountdiebstahl etc.?

Sicher - Trojaner, Scrupt-Virii und dergleichen sind -DERZEIT - das größere Übel - dennoch sollte man als Projektbetreuer, Webmaster oder wie auch immer zuallererst vor seiner eigenen Haustür kehren ehe man ankommt nach dem Motto: "Da draußen gibts auch böse Menschen!"

 

[klamm]

Und weil nun 2 Fehler von einem User, welcher eben die Lücke, zumindest nach eigener Aussage - und das will ich ihm dann auch mal glauben - nicht ausgenutzt hat, ist das Thema durch - so deine Aussage?

Das Thema ist für mich so lange durch, bis ich - oder ein User - noch einen Bug/eine Lücke findet, die geschlossen gehört. Ich bin nach wie vor am Suchen aber auch ich kann immer wieder was übersehen.

 

[the13th]

Das Thema ist für mich so lange durch, bis ich - oder ein User - noch einen Bug/eine Lücke findet, die geschlossen gehört. Ich bin nach wie vor am Suchen aber auch ich kann immer wieder was übersehen.

Dann ist erstrecht dein erster Post in diesem Thread daneben - weil dieser einen in eine völlig andere Richtung weist.

Niemand behauptet hier ohne Fehler zu sein - aber man sollte erwarten können das ein Betreiber einer Seite in der Größe wie klamm.de sich ein bisschen mehr Gedanken um solche Themen macht - und wie bereits mehrfach angemerkt: ein verschlüsseln der Passwörter wäre das mindeste.

Selbst ich mit meiner Popelseite verschlüssel SÄMTLICHE persönliche Daten (Passwörter einwegverschlüsselt, restliche Daten entschlüsselbar - mit dem entsprechende Key) - und sowas sehe ich eigentlich als selbstverständlich an.

Du kannst die User noch so sehr ermahnen das sie ihr Passwort nicht führ mehrere Zwecke verwenden sollen - sie werden es dennoch tun - also solltest DU einen Anfang machen.