Wie schon letztes Jahr hat uns die Langeweile sehr aufs Gemüt geschlagen. Um dem ein Ende zu bereiten, haben wir uns mal wieder daran gemacht, den Forenalltag ein wenig aufzulockern und auf Sicherheitslücken zu untersuchen.

Dabei sind uns die Accounts folgender Benutzer in die Hände gefallen:
4 - Zaphod
61 - TurboP
473 - Joker
82 - Fred
300 - Dosenwein
413 - Alter Sack
617 - KI
349 - skillz
305 - Da:Sourcerer (danke für alles [img]http://www.fb18.de/gfx/24.gif[/img] )
54 - Zimmermännchen

Einige Leute waren bei der Wahl ihres Passwortes zwar fantasiereicher als Björn, aber immer noch wörterbuchfreundlich [img]http://www.fb18.de/gfx/15.gif[/img] Die geringe Anzahl läßt sich damit erklären, dass nur Internet Explorer und Opera Nutzer von dem Problem betroffen sind.

Genauere Informationen folgen, wenn Rapidforum das Problem behoben hat.


Mit freundlichen Grüßen

Sven & Malte aka Tzwoenn & ronny

Für Leute, die wissen wollen, was gestern im Channel abging…

http://www.kamalook.de/sven/irc.txt

Ich halte es ja nicht für falsch, dass du Sicherheitslücken suchst und entdeckst, aber wie man damit umgeht ist eine andere Sache.

Wer etwas von Anstand hält, würde bei Entdecken einer solchen den Admin informieren und nicht ohne Absprache mit letzterem die Sicherheitslücke "zur Demonstration" ausnutzen.

Wenigstens stellst du nichts gravierendes damit an, so dass du meine Achtung noch nicht ganz verloren hast..

Wie wir bereits erfahren haben: Bjorn hatte die erste Luecke fuer nicht gefaehrlich gehalten. Solche Demonstrationen sind noetig und richtig, desweiteren hat er niemandem damit weh getan. Aussderdem hat er die genaue Art der Luecke noch nicht veroeffentlicht, weil Rapid noch die Chance haben soll, sich damit auseinanderzusetzen.
Der Admin ist informiert, wenn auch nicht zu dem Zeitpunkt, zu dem Du es Dir gewuenscht haettest.

Ich bin fuer: Danke Tzwoenn, weiter so. Besser kann man es kaum machen…

Ich habe eher das Gefuehl, dass Zaphod deshalb beleidigt ist, weil er stolz darauf ist, den Opera zu benutzen.

Mo

Wie wir bereits erfahren haben: Bjorn hatte die erste Luecke fuer nicht gefaehrlich gehalten

Das schrieb Sven so ja. Da hier es neuerding eh Mode zu sein scheint, über das was ich denke und meine frei zu enscheiden und ich mich jetzt schon wieder auf die Kommentare zu meiner Richtigstellung (die so nutzlos wie die letzte sein wird [img]http://www.fb18.de/gfx/22.gif[/img]) freue: Ich hatte die SMS die mir Sven zu dem Problem geschickt hat schlichtweg nicht verstanden. Dementsprechend konnte ich auch gar nichts davon halten. Zwischen einer Fehleinschätzung und zu doof sein ist ja wohl noch 'n Unterschied. [img]http://www.fb18.de/gfx/17.gif[/img]

Da hat er ausnahmsweise mal recht [img]http://www.fb18.de/gfx/24.gif[/img]

Wie wir bereits erfahren haben: Bjorn hatte die erste Luecke fuer nicht gefaehrlich gehalten.

Und deswegen werde ich jetzt einfach nicht mehr gefragt? Das finde ich suspekt, zumal diese Lücke auch noch ein ganz anderes Schadenspotenzial hat. Sorry, aber mit "letztes Mal wollte es ja auch keienr Wissen" ist das imho hier nicht getan.

Aussderdem hat er die genaue Art der Luecke noch nicht veroeffentlicht, weil Rapid noch die Chance haben soll, sich damit auseinanderzusetzen.

Ich bin mir nicht sicher ob nicht schon genug gesprochen wurde, damit andere genug Infos haben…leider. Ich renne aus Sicherheistgründen schon im Forum ohne Adminrechte rum, das hätte man sich sparen können.

Der Admin ist informiert, wenn auch nicht zu dem Zeitpunkt, zu dem Du es Dir gewuenscht haettest.

Ich bin fuer: Danke Tzwoenn, weiter so. Besser kann man es kaum machen…

Sorry, aber dem kann ich nicht zustimmen. Ich fühle mich Verantwortlich dafür, dass soweit es im Rahmen ist hier alle mir möglichen Mittel zur Herstellung der Sicherheit gegeben sind. Ich möchte dazu nicht hektisch 1,5 Stunden lang durch logs wühlen und hier und da gucken wo jetzt wer möglicherweise reingekommen ist.

Ich habe eher das Gefuehl, dass Zaphod deshalb beleidigt ist, weil er stolz darauf ist, den Opera zu benutzen.

Sorry, Mo, aber diese Aussage ist einfach nur dumm. [img]http://www.fb18.de/gfx/13.gif[/img]
Mir ging es um das Verhalten im Allgemeinen, wenn man eine Sicherheitslücke entdeckt, unabhängig davon, wen es trifft. Ich fände es genauso unanständig und unverantwortlich, wenn jetzt Mozilla betroffen wäre.

Und deswegen werde ich jetzt einfach nicht mehr gefragt? Das finde ich suspekt, zumal diese Lücke auch noch ein ganz anderes Schadenspotenzial hat. Sorry, aber mit "letztes Mal wollte es ja auch keienr Wissen" ist das imho hier nicht getan.

Seit wann fragt ein Hacker den Admin einer kompromittierten Website, ob er sie defacen darf? Sounds naive to me…

Das Schadenspotential… Ja, Du meinst also: Stillschweigen bewahren, damit andere nicht darauf aufmerksam gemacht werden, dass etwas im argen liegt? Die einen werden in Sicherheit gewiegt, dass sie nichts befuerchten muessen, weil das Forum ja so sicher ist! Und die anderen bekommen nicht auf den Praesentierteller gelegt, dass sie jetzt noch ne Woche Zeit haben, kraeftig zu suchen, und dann ihren Schabernack zu treiben. Haha. Wird immer wieder versucht. Klappt immer wieder nicht.

Ich bin mir nicht sicher ob nicht schon genug gesprochen wurde, damit andere genug Infos haben…leider.

Wahrscheinlich.

Der Admin ist informiert, wenn auch nicht zu dem Zeitpunkt, zu dem Du es Dir gewuenscht haettest.

Ich bin fuer: Danke Tzwoenn, weiter so. Besser kann man es kaum machen…

Sorry, aber dem kann ich nicht zustimmen. Ich fühle mich Verantwortlich dafür, dass soweit es im Rahmen ist hier alle mir möglichen Mittel zur Herstellung der Sicherheit gegeben sind. Ich möchte dazu nicht hektisch 1,5 Stunden lang durch logs wühlen und hier und da gucken wo jetzt wer möglicherweise reingekommen ist.

Schade, dass Du den Leuten, die sich die Arbyte machen, Luecken aufzuspueren (auch wenn es nur aus Langeweile sein sollte), nicht ein wenig Spass zugestehst. Und ausserdem lernst Du doch selber auch was dabei, oder? Gibs zu.

Hier ist niemand zu Schaden bekommen, bisher. Und das liegt nicht an Deiner schnellen Reaktion und nicht an Zappis moralischer Entruestung, sondern daran, dass Twoenn die Sicherheitsluecke entdeckt hat, und sich an bestimmte Regeln haelt. Es gibt Menschen, die tun das nicht. Auch ein solcher haette die Luecke finden koennen.

Mo

305 - Da:Sourcerer (danke für alles [img]http://www.fb18.de/gfx/24.gif[/img] )

??? Wofür? Für den praktischen Nachweis, dass das ganze auch mit dem Opera Webbrowser geht?

Seit wann fragt ein Hacker den Admin einer kompromittierten Website, ob er sie defacen darf? Sounds naive to me…

Von den Forumsmitgliedern rechne ich damit, dass das Forum in ihrem Interesse ist. Und beim ersten mal hat Sven ja auch nachgefragt was ich vollkommen für richtig halte. Ausschließlich weil damals Björn das Problem nicht verstanden hatte mir jetzt nciht bescheid zu sagen halte ich für ziemlich falsch.
Und nur weil ein Hacker beim defacen nicht nachfragt heißt das noch lange nicht, dass das besser ist.

Das Schadenspotential… Ja, Du meinst also: Stillschweigen bewahren, damit andere nicht darauf aufmerksam gemacht werden, dass etwas im argen liegt? Die einen werden in Sicherheit gewiegt, dass sie nichts befuerchten muessen, weil das Forum ja so sicher ist!

Nö, meine warnung bezüglich Passwörter z.B. hätte ich trotzdem gepostet, dass ein Sicherheitsproblem vorliegt auch. Nur inzwischen wissen zuviele, wo exakt das Problem liegt.

Und die anderen bekommen nicht auf den Praesentierteller gelegt, dass sie jetzt noch ne Woche Zeit haben, kraeftig zu suchen, und dann ihren Schabernack zu treiben. Haha. Wird immer wieder versucht. Klappt immer wieder nicht.

Die letzten Monate hat das auch keiner ausgenutzt. sicherer ists allemal, sicher sicherlich nicht.

Der Admin ist informiert, wenn auch nicht zu dem Zeitpunkt, zu dem Du es Dir gewuenscht haettest.

Ich bin fuer: Danke Tzwoenn, weiter so. Besser kann man es kaum machen…

Sorry, aber dem kann ich nicht zustimmen. Ich fühle mich Verantwortlich dafür, dass soweit es im Rahmen ist hier alle mir möglichen Mittel zur Herstellung der Sicherheit gegeben sind. Ich möchte dazu nicht hektisch 1,5 Stunden lang durch logs wühlen und hier und da gucken wo jetzt wer möglicherweise reingekommen ist.

Schade, dass Du den Leuten, die sich die Arbyte machen, Luecken aufzuspueren (auch wenn es nur aus Langeweile sein sollte), nicht ein wenig Spass zugestehst. Und ausserdem lernst Du doch selber auch was dabei, oder? Gibs zu.

Klar, angenehm finde ich das trotzdem nicht.

Hier ist niemand zu Schaden bekommen, bisher. Und das liegt nicht an Deiner schnellen Reaktion und nicht an Zappis moralischer Entruestung, sondern daran, dass Twoenn die Sicherheitsluecke entdeckt hat, und sich an bestimmte Regeln haelt. Es gibt Menschen, die tun das nicht. Auch ein solcher haette die Luecke finden koennen.

Klar, das finde ich ja auch extrem in Ordnung.

Klar, das finde ich ja auch extrem in Ordnung.

Das wuerde ich in den Vordergrund stellen, wenn man ueber Tzwoenns Tat spricht.

Mo

Das wuerde ich in den Vordergrund stellen, wenn man ueber Tzwoenns Tat spricht.

Ist ja in Ordnung, Tzwoenn scheint sowieso langsam unser Sicherheitsexperte hier zu werden, und da bin ich froh dass es Tzwoenn ist und nicht wer mit Schadensabsichten.
Was mir nur etwas gegen den Strich geht ist das Argument "letztes mal wollte es ja auch keiner Wissen" und "besser kann man es kaum machen", denn ich finde Bescheid sagen wäre wesentlich besser gewesen.
Aber ich denke das ist sowieso eine Diskussion an der man ewig sitzen kann [img]http://www.fb18.de/gfx/28.gif[/img]

Edit: Von daher fasse mal zusammen:
Vielen Dank Tzwoenn für das entdecken und dass du nichts kaputt gemacht hast; nächstes Mal höre ich aber gerne vorher zu [img]http://www.fb18.de/gfx/28.gif[/img]

305 - Da:Sourcerer (danke für alles [img]http://www.fb18.de/gfx/24.gif[/img] )

??? Wofür? Für den praktischen Nachweis, dass das ganze auch mit dem Opera Webbrowser geht?

Eigentlich nur für deinen Cookie, der uns den gestrigen Scherz ermöglicht hat.
Was haben wir gelacht bei dem Gedanken, dass Möller mit einem Kran aus den überfluteten Kellerräumen von Haus F gehievt werden muss.
Allerdings waren wir doch ziemlich überrascht, dass dem Posting überhaupt Glauben geschenkt wurde.

Seit wann fragt ein Hacker den Admin einer kompromittierten Website, ob er sie defacen darf? Sounds naive to me…

Ich kann Deine "Ich habs gefunden, also will ich Spaß damit"-Einstellung durchaus nachvollziehen, aber meiner Meinung nach ist das nicht der richtige Umgang mit Sicherheitslücken…Irgendwie gibts in der OE immer so Veranstaltungen, die über die Verantwortung der Informatiker aufklären sollen, und irgendwie gehört auch das Vortäuschen falscher Tatsachen in die Kategorie "Verantwortungslos".

irgendwie gehört auch das Vortäuschen falscher Tatsachen in die Kategorie "Verantwortungslos".

Ach, komm, irgendwie wie Fake-Meldung doch auch witzig…

die Meldung war schon lustig, klar, aber 1.) in den News-Thread und 2.) unter dem geklauten Account eines Mods passt irgendwie nicht ganz…immerhin *gab* es ja Leute, die's geglaubt haben…was wäre, wenn sowas im Semester passiert wäre und deswegen Leute ihre Seminare etc. verpaßt hätten?

Okay, ich unterstelle jetzt Tzwoenn einfach mal, daß er daran gedacht hätte (s. "Prüfungen finden trotzdem statt" in der Originalmeldung)…

Above post © by Viciarg

BTW: Wer sich atm drüber wundert dass er ausgeloggt ist nachdem der Browser zu ist, das liegt an Rapid, die scheinen schon was zu tun

BTW: Wer sich atm drüber wundert dass er ausgeloggt ist nachdem der Browser zu ist, das liegt an Rapid, die scheinen schon was zu tun

ah, deshalb (der andere anonymous war ich)

Rapid hat anscheinend erste Arbeit getan. Bild-URLs dürfen jetzt in unserem Fall nicht mehr mit http://3773.rapidforum beginnen, ebensowenig sind BildURLs ohne Hostname verboten.

Außerdem wurde der Passworthash auf SHA1 umgestellt. Das haben sicherlich die meisten durch den kleinen Logout zwischendurch bemerkt.

So wirklich Lösen tuts das Problem noch nicht, ich hoffe Rapid tut da noch mehr. Danke auch Björn der hier als Kontaktmann arbeitet [img]http://www.fb18.de/gfx/28.gif[/img]

Außerdem wurde der Passworthash auf SHA1 umgestellt. Das haben sicherlich die meisten durch den kleinen Logout zwischendurch bemerkt.

Das bringt nicht wirklich was, nur dass Brute-Force Attacken auf das Passwort geringfügig länger dauern (auf meinem Computer 3,5 Mio. MD5/sec vs. 3,0 Mio. SHA1/sec).
Außerdem sehe ich keinen Grund warum überhaupt ein Passwort-Hash im Cookie gespeichert werden muss. Eine eindeutige zufällige ID mit einer Länge >= 256 Bit wäre vollkommen ausreichend.
Falls sie aber unbedingt auf dem Hash bestehen, sollten sie mehrfach hashen. D.h. Passwort hashen und den Hash hashen und diesen Hash hashen …
Auf diese Art kann man das Brute-Forcing beliebig aufwendig machen, da der Angreifer für jeden Test ebenfalls den Hash-Vorgang mehrfach durchführen muss.

Das bringt nicht wirklich was, nur dass Brute-Force Attacken auf das Passwort geringfügig länger dauern (auf meinem Computer 3,5 MD5/sec vs. 3,0 SHA1/sec).

Ui, doch nur sowenig

Außerdem sehe ich keinen Grund warum überhaupt ein Passwort-Hash im Cookie gespeichert werden muss. Eine eindeutige zufällige ID mit einer Länge >= 256 Bit wäre vollkommen ausreichend.

Defintiiv…das soltle Rapid ansich auch inzwischen wissen, ich habe Svens mail weitergeleitet, da steht genau diese Problematik ja drin.

Das bringt nicht wirklich was, nur dass Brute-Force Attacken auf das Passwort geringfügig länger dauern (auf meinem Computer 3,5 MD5/sec vs. 3,0 SHA1/sec).

Ui, doch nur sowenig

Ähäm, da habe ich doch glatt das "Millionen" unterschlagen :)
Habs auch unten geändert.

Das bringt nicht wirklich was, nur dass Brute-Force Attacken auf das Passwort geringfügig länger dauern (auf meinem Computer 3,5 MD5/sec vs. 3,0 SHA1/sec).

Ui, doch nur sowenig

Ähäm, da habe ich doch glatt das "Millionen" unterschlagen :)
Habs auch unten geändert.

Macht nichts, ging mir um die Differenz, 3/sec habe ich garnicht mal mehr gelesen [img]http://www.fb18.de/gfx/28.gif[/img]

Vielleicht sollte man es als Kompromiss so machen, dass für die Admins und Moderatoren, die wirklich böses machen können, die Passwörter nicht gespeichert werden, bzw. diese sich immer auch neu einloggen müssen. Besucher könnte das eher abschrecken, während man mit deren Accounts auch nicht so viel tolles machen will/kann. Dafür dann aber die minimale Passwortlänge auf 10 erhöhen und auf Zahlen + Buchstaben + 1 Sonderzeichen kontrollieren. Das wäre vielleicht ein akzeptabler Mittelweg zwischen Usability und Sicherheit. Hmm?

Vielleicht sollte man es als Kompromiss so machen, dass für die Admins und Moderatoren, die wirklich böses machen können, die Passwörter nicht gespeichert werden, bzw. diese sich immer auch neu einloggen müssen. Besucher könnte das eher abschrecken, während man mit deren Accounts auch nicht so viel tolles machen will/kann. Dafür dann aber die minimale Passwortlänge auf 10 erhöhen und auf Zahlen + Buchstaben + 1 Sonderzeichen kontrollieren. Das wäre vielleicht ein akzeptabler Mittelweg zwischen Usability und Sicherheit. Hmm?

ACK. Nicht umsonst gibts am Infkum aehnliche Bestimmungen, auch wenn sich nicht jeder dran haelt.

Gibt es nach den aktuellen Änderungen noch jemand, der einen Weg weiß, an die Cookies zu kommen?

Hm… vielleicht sollte man bei Avataren und IMG korrupte JPEGs filtern ?

Außerdem wurde der Passworthash auf SHA1 umgestellt. Das haben sicherlich die meisten durch den kleinen Logout zwischendurch bemerkt.

Aha, daran liegt's also.

Vielleicht sollte man es als Kompromiss so machen, dass für die Admins und Moderatoren, die wirklich böses machen können, die Passwörter nicht gespeichert werden, bzw. diese sich immer auch neu einloggen müssen.

Und wer hindert sie daran, böses zu machen, wenn sie esich eingeloggt haben? [img]http://www.fb18.de/gfx/10.gif[/img]

Besucher könnte das eher abschrecken, während man mit deren Accounts auch nicht so viel tolles machen will/kann. Dafür dann aber die minimale Passwortlänge auf 10 erhöhen und auf Zahlen + Buchstaben + 1 Sonderzeichen kontrollieren. Das wäre vielleicht ein akzeptabler Mittelweg zwischen Usability und Sicherheit.

Oh, mein Passwort ist immer noch der zugewiesene Code… [img]http://www.fb18.de/gfx/8.gif[/img]
Dafür weiß ich den aber auch selbst nicht auswendig. [img]http://www.fb18.de/gfx/22.gif[/img]

Eddie (zumindest behaupte ich das [img]http://www.fb18.de/gfx/24.gif[/img] )

Hm… vielleicht sollte man bei Avataren und IMG korrupte JPEGs filtern ?

Ach, das ist ein Systemproblem, man kann sich ja nicht um alles kümmern [img]http://www.fb18.de/gfx/28.gif[/img]

Oh, mein Passwort ist immer noch der zugewiesene Code… [img]http://www.fb18.de/gfx/8.gif[/img]
Dafür weiß ich den aber auch selbst nicht auswendig. [img]http://www.fb18.de/gfx/22.gif[/img]

Eddie (zumindest behaupte ich das [img]http://www.fb18.de/gfx/24.gif[/img] )

Die von der Sorte hatten wir immer am schnellsten raus, 0,5 Sek. mit Brute Force. Sind ja nur 6 Ziffern.
Die Standardpasswörter sollten bei Gelegenheit also auch mal verbessert werden.

Oh, mein Passwort ist immer noch der zugewiesene Code… [img]http://www.fb18.de/gfx/8.gif[/img]
Dafür weiß ich den aber auch selbst nicht auswendig. [img]http://www.fb18.de/gfx/22.gif[/img]

Eddie (zumindest behaupte ich das [img]http://www.fb18.de/gfx/24.gif[/img] )

Die von der Sorte hatten wir immer am schnellsten raus, 0,5 Sek. mit Brute Force. Sind ja nur 6 Ziffern.
Die Standardpasswörter sollten bei Gelegenheit also auch mal verbessert werden.

Stimmt wohl.
Ich hab meins jetzt selbstverständlich geändert. (Obwohl es auch schon vorgekommen ist, dass ich allen einfach erzählt hab, ich hätte es geändert, um Verwirrung zu stiften. [img]http://www.fb18.de/gfx/15.gif[/img] )
Es ergibt zwar immernoch halbwegs einen Sinn, aber man muss es sich ja auch merken können…

Obwohl es auch schon vorgekommen ist, dass ich allen einfach erzählt hab, ich hätte es geändert, um Verwirrung zu stiften.

Wodurch Dein Passwort aber keineswegs besser geschützt ist. [img]http://www.fb18.de/gfx/19.gif[/img]
Sowas ist wohl ein klassisches Beispiel für nicht funktionierende "security by obscurity". Wenn jemand Dein Passwort nicht weiß, kann er durch so eine Aussage auch nicht verwirrt werden. Weiß jemand Dein Passwort ist er vielleicht etwas verwirrt ob Deiner Aussage, hat aber immer noch vollen Zugriff. In jedem Fall lenkst Du damit mehr Aufmerksamkeit auf Dein Passwort als vorher.

Es ergibt zwar immernoch halbwegs einen Sinn, aber man muss es sich ja auch merken können…

Naja, zumindest 1-2 Sonderzeichen und Ziffern im Passwort lassen sich doch auch noch gut merken.

Obwohl es auch schon vorgekommen ist, dass ich allen einfach erzählt hab, ich hätte es geändert, um Verwirrung zu stiften.

Wodurch Dein Passwort aber keineswegs besser geschützt ist. [img]http://www.fb18.de/gfx/19.gif[/img]
Sowas ist wohl ein klassisches Beispiel für nicht funktionierende "security by obscurity". Wenn jemand Dein Passwort nicht weiß, kann er durch so eine Aussage auch nicht verwirrt werden. Weiß jemand Dein Passwort ist er vielleicht etwas verwirrt ob Deiner Aussage, hat aber immer noch vollen Zugriff. In jedem Fall lenkst Du damit mehr Aufmerksamkeit auf Dein Passwort als vorher.

Ich weiß, war auch nur einmal bei unwichtigen Dingen. Und es hat funktioniert, da es sich dabei eigentlich nur um einen Freund handelte, der mein Passwort benutzt hatte und um ihn davon abzuhalten habe ich ihm aus Faulheit einfach erzählt ich hätte ein neues, aber es wäre auch nicht schlimm gewesen, wenn es trotzdem gemacht hätte.
Hier ist es jetzt jedenfalls geändert. (Es wusste jeder, dass es noch die alte Zifferkombi war, nachdem ich es geschrieben hatte.) [img]http://www.fb18.de/gfx/22.gif[/img]

Es ergibt zwar immernoch halbwegs einen Sinn, aber man muss es sich ja auch merken können…

Naja, zumindest 1-2 Sonderzeichen und Ziffern im Passwort lassen sich doch auch noch gut merken.

Ich habe auch nie behauptet, dass es mit keinen Sinn ergeben könnte…

Hm… vielleicht sollte man bei Avataren und IMG korrupte JPEGs filtern ?

Ach, das ist ein Systemproblem, man kann sich ja nicht um alles kümmern [img]http://www.fb18.de/gfx/28.gif[/img]

So aufwändig ist das eventuell gar nicht (u.U. kann man da einfach passende snort-Regeln verwenden) [img]http://www.fb18.de/gfx/22.gif[/img]. Aber letzendlich ist das natürlich keine Lösung, da das Grundproblem nicht behoben wird und sich sicherlich auch noch andere Lücken finden lassen.

Für mich stellt sich somit grundsätzlich die Frage, warum ein Passwort (bzw. ein gleich wertvoller Wert) unbedingt als Cookie abgelegt werden muß. Heutzutage hat doch jeder Browser die Möglichkeit Passwörter für Webseiten zu speichern. Auch wenn ich das nur bedingt sinnvoll finde, ist es immer noch viel sicherer als scriptfähige Mechanismen wie Cookies zu verwenden. Das erfordert natürlich die Mitwirkunge der Benutzer, aber da kann eine gute Anleitung manchmal viel bewirken.

Für mich stellt sich somit grundsätzlich die Frage, warum ein Passwort (bzw. ein gleich wertvoller Wert) unbedingt als Cookie abgelegt werden muß. Heutzutage hat doch jeder Browser die Möglichkeit Passwörter für Webseiten zu speichern. Auch wenn ich das nur bedingt sinnvoll finde, ist es immer noch viel sicherer als scriptfähige Mechanismen wie Cookies zu verwenden. Das erfordert natürlich die Mitwirkunge der Benutzer, aber da kann eine gute Anleitung manchmal viel bewirken.

Und da ist der Haken, der Nutzer will i.A. nen Autologin. Warum Rapid auf Svens Idee, eine $große Zufallszahl als Cookie zu nehmen und dann noch auf den IP-Block zu filtern, nicht eingegangen ist, evrstehe ich leider auch nicht…

Und da ist der Haken, der Nutzer will i.A. nen Autologin.

Genau dafür ist so ein Passwortmanager im Browser ja auch da. Der Unterschied ist nur, das der Benutzer sich dieser Funktion bewusst sein und diese ggf. aktivieren muss. Als Minimallösung wäre es schön, wenn Benutzer, die keinen Autologin wollen, diesen auch abschalten können.

Warum Rapid auf Svens Idee, eine $große Zufallszahl als Cookie zu nehmen und dann noch auf den IP-Block zu filtern, nicht eingegangen ist, evrstehe ich leider auch nicht…

Ich habe mir das vielleicht zu flüchtig angesehn, aber soweit ich weiß ist die Session-ID in einem anderen Cookie abgelegt. Wir reden also von einem Cookie, der nur zum Autologin dient. Somit ist es ziemlich egal, ob im Cookie das Passwort, ein Hashwert oder 42 steht. In jedem Fall ist dieser Cookie ausreichend, um sich damit unter der betreffenden Benutzerkennung einzuloggen. Eventuell lässt sich ein Brute-Force-Angriff auf die Passworte verhindern, aber wozu, wenn man ohnehin schon vollen Zugriff auf den Benutzeraccount hat?

Genauso schwierig dürfte es sein, die erlaubten IP-Adressen einzuschränken, da man ja nicht vorher weißt, von welchem Rechner sich jemand als nächstes einloggen wird (vor allem in anderen Foren, die nicht so einen regional begrenzten Benutzerkreis haben).

Generell beruht die Sicherheit von Rapidforum also entscheidend auf der Sicherheit der Benutzersysteme. Wenn ein User einen verwundbaren Browser verwendet, kannst Du dessen Account nicht ausreichend absichern.

Warum nicht in den "Hashwert" die IP mit reincodieren. Du musst doch keine IPs sperren, es wuerde doch reichen, wenn man mit einem Cookie nur von einer bestimmten IP reinkommt. Ich koennte dann vielleicht immer noch Slaters oder Zappis Account hijacken, aber nicht mehr den von DrGonzo. Wie ich finde, waer das ne sinnvolle Einschraenkung.

Mo

Warum nicht in den "Hashwert" die IP mit reincodieren. Du musst doch keine IPs sperren, es wuerde doch reichen, wenn man mit einem Cookie nur von einer bestimmten IP reinkommt. Ich koennte dann vielleicht immer noch Slaters oder Zappis Account hijacken, aber nicht mehr den von DrGonzo. Wie ich finde, waer das ne sinnvolle Einschraenkung.

Dialup-User wollen auch nen Auto-Login. Deswegen war die Idee von Sven ja, nur nen Block zu nehmen.

Genau dafür ist so ein Passwortmanager im Browser ja auch da. Der Unterschied ist nur, das der Benutzer sich dieser Funktion bewusst sein und diese ggf. aktivieren muss. Als Minimallösung wäre es schön, wenn Benutzer, die keinen Autologin wollen, diesen auch abschalten können.

Also alle mir bekannten Browser erfordern dazu dass man auf die Hauptseite geht und erstmal mindestens ienmal klickt um danach die gwünschte URL zu nehmen. Das ist shcon ein Unterschied.

Eventuell lässt sich ein Brute-Force-Angriff auf die Passworte verhindern, aber wozu, wenn man ohnehin schon vollen Zugriff auf den Benutzeraccount hat?

Also ich kann mir nicht für alle 5000 Dinge ein getrenntes Passwort merken, ich glaube kaum, dass ich der einzige bin der Passwörter ab und zu wiederverwendet (ja, das ist böse, aber ich bin auch nur ein Mensch)

Genauso schwierig dürfte es sein, die erlaubten IP-Adressen einzuschränken, da man ja nicht vorher weißt, von welchem Rechner sich jemand als nächstes einloggen wird (vor allem in anderen Foren, die nicht so einen regional begrenzten Benutzerkreis haben).

Tjoah, die ersten zwei Bytes der IP-Adresse könnten shcon ganz gut helfen, so dass Dialups kein Problem haben, Fremdprovider aber schon, besser als vorher ists allemal.

Wer zur Hoelle benutzt Dialup?

Und Paul? Wer ist eigentlich Paul?

Mo

Wer zur Hoelle benutzt Dialup?

Ach, dumme Begriffe, dynamische IPs halt, das muss auch so gut wie jeder DSL-User aushalten

Wir reden hier nicht über 3773, sondern über alle Rapidforen. Da wird es tausende Dialup Nutzer geben. Genau so, wie es viel Nutzer und vor allen Kunden gibt, die das ganze Nachvollziehen können müssen. Und so sehr ich auch für Sicherheitsmaßnahmen bin, es wird schwer sein, wenn die anderen großen es genau so machen (etwa ipb, wbb, vB).

Wer zur Hoelle benutzt Dialup?

*fingerheb*

Ich moechte auch nen Autologin. Aber nur, wenn meine magischen Gedankenstrahlen das auch wirklich zeigen. Es koennte ja jemand anders vor meinem Rechner sitzen.
Ach, und den Autologin moechte ich auch, wenn ich mal wieder meine Browse neugestartet habe, und alle meine Cookies weg sind.

Wenn Dialup User Komfort geniessen duerfen, moechte ich das auch mit meinen 2 Gateways [img]http://www.fb18.de/gfx/22.gif[/img]

Mo

Tjoah, die ersten zwei Bytes der IP-Adresse könnten shcon ganz gut helfen, so dass Dialups kein Problem haben, Fremdprovider aber schon, besser als vorher ists allemal.

Da gehst Du jetzt aber von der Annahme aus, dass a) man immer denselben Provider nutzt (und nicht z. B. Least-Cost-Routing) und b) der Provider immer nur einen und denselben IP-Block verwendet. Beides halte ich in dieser Allgemeinheit für nicht zutreffend.
Mal ganz davon abgesehen, dass es gerade in diesem Forum etliche Benutzer geben dürfte, die sich sowohl von der Uni wie von zuhause einloggen wollen.

Wer zur Hoelle benutzt Dialup?

Dann nenn mir für meinen Wohnort bitte mal Alternativen.

Tjoah, die ersten zwei Bytes der IP-Adresse könnten shcon ganz gut helfen, so dass Dialups kein Problem haben, Fremdprovider aber schon, besser als vorher ists allemal.

Da gehst Du jetzt aber von der Annahme aus, dass a) man immer denselben Provider nutzt (und nicht z. B. Least-Cost-Routing) und b) der Provider immer nur einen und denselben IP-Block verwendet. Beides halte ich in dieser Allgemeinheit für nicht zutreffend.

Okay, ich vergesse immer wieder die Dialup-User und sowas [img]http://www.fb18.de/gfx/28.gif[/img]

Mal ganz davon abgesehen, dass es gerade in diesem Forum etliche Benutzer geben dürfte, die sich sowohl von der Uni wie von zuhause einloggen wollen.

Das ist aber für die Frage irrelevant. Oder trägst du deine Cookies ständig hin und her?

Mal ganz davon abgesehen, dass es gerade in diesem Forum etliche Benutzer geben dürfte, die sich sowohl von der Uni wie von zuhause einloggen wollen.

Das ist aber für die Frage irrelevant. Oder trägst du deine Cookies ständig hin und her?

Wozu hat man denn sonst Notebooks [img]http://www.fb18.de/gfx/28.gif[/img]

Mal ganz davon abgesehen, dass es gerade in diesem Forum etliche Benutzer geben dürfte, die sich sowohl von der Uni wie von zuhause einloggen wollen.

Das ist aber für die Frage irrelevant. Oder trägst du deine Cookies ständig hin und her?

*hust* Hin- und hertragen ist gar nicht nötig. Ich hatte mich in der Vergangenheit einmal an der Uni eingeloggt und mir dann den Cookie nach Hause kopiert. Somit war ich auf beiden Seiten mit dem selben Login immer drin. Sehr praktisch dies. Aber leider ist es genau das, was unsicher ist. Aber verdammt praktisch!

Wer zur Hoelle benutzt Dialup?

Dann nenn mir für meinen Wohnort bitte mal Alternativen.

Zieh in ein zivilisiertes Gebiet.

Mo

Okay, ein Vorschlag zur Güte: Wie wäre es damit, dass sich registrierte Benutzer aussuchen können, ob ihr AutoLogin nur von einem bestimmten Netzsegment aus möglich ist, oder halt nicht.
Damit haben Dialup-User die Möglichkeit, auf Kosten der Sicherheit ihr AutoLogin beizubehalten, während sich DSL-Inhaber aufgrund der quasi statischen IP (bzw. dem immer gleich bleibenen Netzsegment) über mehr Sicherheit freuen können.

Vielleicht solltet ihr die Diskussion direkt ins 1er Forum verlangern und Euch da auch ruhig schön in Massen anmelden. Das könnte bei Wünschen generell hilfreich sein, da Tri und ich sonst immer nur weiterleiten und zurückleiten.

Gibs da schon nen offenen Topic für "unser" Problem?

Apropos… wen's interessiert, das ist die Mail, die an Rapid ging:

http://www.kamalook.de/sven/unimatixbug.txt

Gibs da schon nen offenen Topic für "unser" Problem?

Nur intern, weil da etwa besagte Mail gepostet wurde, bevor etwas unternommen wurde. Also wer auch immer will, fühle sich frei einen gescheiten Topictitel auszusuchen und loszulegen. %)

http://www.kamalook.de/sven/unimatixbug.txt:
Um das Problem der unzulässigen URLs in [img] Tags zu umgehen,
könnte man Hilfe eines regulären Ausdrucks überprüfen, ob die
übergebene URL die eines Bildes ist. Dazu reicht es nicht, die URL-
Endung auf „.jpg“ und ähnliche zu überprüfen, da findige Anwender
dieses ohne große Probleme umgehen können:
[img]http://3773.rapidforum.com/?logout=logut&x=bild.jpg[/img]
Also muss auch sichergestellt werden, dass die URL keine verbotenen
Zeichen (?, =, &) enthält.

Das würde aber auch nichts nützen. Der Webserver, auf den verwiesen wird, kann ja trotzdem einfach unter der vermeintlichen URL eines Bildes ein "HTTP/1.1 302 Moved" mit "Location: http://3773.rapidforum.com/?logout=logut" senden. Ich denke für dieses Problem gibt es keine Lösung, außer dass keine externen Bilder erlaubt werden.


Nochwas zum "in der Uni und zu Hause einloggen": Meiner Meinung würde es auch vollkommen genügen, wenn man sich mehrmals einloggen kann, ohne dass die bisherige Session beendet wird.

Ich denke für dieses Problem gibt es keine Lösung, außer dass keine externen Bilder erlaubt werden.

Oder man lässt alle "verändernden" Aktionen (posten, Posts löschen, editieren, ausloggen, …) nur per POST zu.

Naja, möglich sind ja auch Attacken auf andere Webseiten, beispielsweise die berühmte 1-Klick-Bestellung von Amazon – weiß jetzt nicht ob das überhaupt funktionieren würde, ist ja auch nur ein Beispiel – wobei der User dort natürlich angemeldet sein müsste.

während sich DSL-Inhaber aufgrund der quasi statischen IP (bzw. dem immer gleich bleibenen Netzsegment) über mehr Sicherheit freuen können.

Zumindest meine ADSL-IP springt munter durch alle Netzsegmente…
Wobei ich auch kein Problem damit hätte mich jedesmal neu einzuloggen. Von daher…

Bei 1.rapid anmelden find ich doof, die sollen das anonym postbar machen. ;)

Könnte man den [img]-Tag nicht durch Upload ersetzen? Eine Checkbox: "Bild direkt einbinden" oder so?

Bei 1.rapid anmelden find ich doof, die sollen das anonym postbar machen. ;)

Nein, glaube mir. Das würdest du nicht wollen. Lies jetzt mal einigermaßen regelmäßig mit. Dann darfst du dir gerne mal vorstellen, wie das in der Zeit war, als anonyme noch posten durften. *grusel,zitter,umkipp*

Könnte man den [img]-Tag nicht durch Upload ersetzen? Eine Checkbox: "Bild direkt einbinden" oder so?

Na wenn dann müsste man es schon Pflicht machen…wäre vielelicht zu überlegen, erfordert aber einiges an Arbeit.

Wie, Pflicht machen?
Alle hochgeladenen Bilder automatisch einbinden? Ne, find ich doof, vielleicht will ja auch jemand sein 8 Mpx-Digicam-Bild an einen Artikel hängen, es aber nicht direkt als <img> einbinden…

Bjorn: Ich will ja garnicht mitlesen, ich will bloß einen Post absetzen und dann wieder verschwinden. ;)

Ne, find ich doof, vielleicht will ja auch jemand sein 8 Mpx-Digicam-Bild an einen Artikel hängen, es aber nicht direkt als einbinden…

Dann löst es das Sicherheitsproblem nicht im geringsten

Ich glaube, ihr meint beide etwas anderes. Wenn ich das richtig interpretiere, meint chris die Upload-Funktion. Hier soll nicht jedes hochgeladenes Bild automatisch eingebunden werden.
Tri meint hingegen, dass man innerhalb des IMG-Tags ausschließlich per Upload hochgeladene Bilder einbinden darf. Das finde ich durchaus sinnvoll.

Achso. Ja, dann läuft es aufs gleiche hinaus…

während sich DSL-Inhaber aufgrund der quasi statischen IP (bzw. dem immer gleich bleibenen Netzsegment) über mehr Sicherheit freuen können.

Zumindest meine ADSL-IP springt munter durch alle Netzsegmente…

Das glaub ich kaum…

Ist vermutlich übertrieben. Aber ich meine auch zu erinnern, dass damals bei der Telekom mal IPs aus irgendwo bei 80.* und mal auf 213.* zugewiesen wurden (* entspricht natürlich nicht dem kompletten Bereich).

http://www.completewhois.com/statistics/data/ips-bycountry/rirstats/DE-netrange.txt

Da guckst du [img]http://www.fb18.de/gfx/15.gif[/img]

Und was genau fuer Ranges sind das?

Mo

Zumindest meine ADSL-IP springt munter durch alle Netzsegmente…

Das glaub ich kaum…

Ok, nicht durch *alle*. Aber durch verschiedene Class-A-Masken.

Und nein, nix Telekom. ;)

Ja, es gibt doch noch neues an der Front. Wir haben etwas bewegt, neue Sicherheitsoptionen sind im Rapidforum dazugekommen. Außerdem werden die Standards für rapid-strict-Skins erhöht. FB18 werde ich wohl morgen an die neuen Standards anpassen, soll ja nicht heißen dass ausgerechnet wir zu faul sind [img]http://www.fb18.de/gfx/28.gif[/img]

Im zuge der Umstellung kann es sein dass hier ein paar Störungen vorbeikommen, nicht irritieren lassen, sobald ich bescheid sage ist alles wieder gut [img]http://www.fb18.de/gfx/28.gif[/img]