Netzwerk Forum - Übersicht
Eingang: Glasfaserinfo.de - die Netzwerkseite und unser
Netzwerkshop - Patchkabel, Patchfelder, RJ45 Dosen und vieles mehr...
Netzwerk Forum
Glasfaserinfo.de - Das Netzwerk Portal zu den Themen Netzwerkverkabelung, Hard- und Software.
 
 FAQFAQ   SuchenSuchen   RegistrierenRegistrieren 
 Nur registrierte Mitglieder erhalten vollen Zugriff auf alle Funktionen LoginLogin 
 RSS Feed   Intro   Portal   Index   

Glasfaserinfo.de --> User/Passwort  
   Netzwerk Forum - Übersicht -> Internet und Netzwerk
Zugriff auf Webserver (DYNDNS), Word-Docs schreibgeschützt << Vorheriges Thema anzeigen :: Nächstes Thema anzeigen >> HTTP Allgemeine Frage  
Autor Nachricht
maddixx
Strippenzieher


Anmeldungsdatum: 19.04.2012
Beiträge: 18
Wohnort: 0x4233726c216e

BeitragVerfasst am: Do Apr 19, 2012 9:20 pm    Titel: Glasfaserinfo.de --> User/Passwort

Guten Abend liebe Administration,

mir ist auf gefallen, das die Anmeldedaten vom Forum im Klartext über die Leitung gehen.



Ich komme nicht aus der Webentwicklung, aber aus der Erfahrung heraus kann ich sagen, das dies ein ziemlich veraltetes und unsicheres Verfahren der Anmeldung ist.

Heutzutage ersetzten Hashes (z.B. MD5) die Klartext-Passwörter bei der Anmeldung in einem Forum.

Beispiel eines anderen Forums:



Das ist keine Kritik, mehr ein Verbesserungsvorschlag.
Mit stellt sich nur die Frage warum im Zeitalter der täglichen "Hackerangriffe" auf Webserver und Datenbanken auf sowas nicht genug Wert gelegt wird.

Gruß maddixx
_________________
"Wo wachsen eigentlich diese Spanning-Trees?"
tikay.event
Mainframeeinrichter


Anmeldungsdatum: 04.03.2006
Beiträge: 6228
Wohnort: Herne-Bay, UK

BeitragVerfasst am: Do Apr 19, 2012 11:05 pm    Titel:

Bei extrem vielen Foren wird es heute noch so gehandhabt. Ich kann dir aber sagen, dass das Passwort als Hash gespeichert wird. Es wird zwar in Klartext übertragen, aber in der Datenbank liegt es als Hash. Also Serverseitig kann nichts passieren, weil es keine Klartextpassworte gibt.

Die einzige Möglichkeit, um an dein Passwort zu kommen, wäre es den Netzwerkverkehr auf der Leitung mitzuschneiden. Da die relavanten Netzwerkleitungen aber in verschlossenen und überwachten Räumen liegen sollten (Rechenzentren), wirst du hier meine Möglichkeit haben, da was abzuzweigen.

Das Problem ist einfach, dass die Forensoftware schon etwas älter ist, aber auch deinen Vorschlag nutzen zu können, müsste clientseitig der Hash errechnet werden, was wieder eine Scriptingtechnik auf der Clientseite benötigt. Wenn du jetzt auf deinem Rechner JavaScript abgeschaltet hättest, könntest du nicht nicht anmelden.

Und als Anmerkung: Die Software, aus welcher dein zweiter Wiresharkauszug kommt, ist nicht kostenlos sondern kost richtig Geld.

PS: Der beste Schutz ist es eh, für jede Aufgabe ein anderes Passwort zu nutzen.
admin
Regenerator


Anmeldungsdatum: 01.01.2001
Beiträge: 2459
Wohnort: St. Ingbert

BeitragVerfasst am: Fr Apr 20, 2012 9:24 am    Titel:

Hallo maddixx,

erstmal danke für deine Anmerkung.
Wie Thomas schon sagt sollte die Anmeldung "relativ" sicher sein. Es besteht noch die Möglichkeit das Forum über SSL laufen zu lassen, was aber die Geschwindigkeit drosseln würde.

PS Die Forensoftware ist zwar veraltet, jedoch Serverseitig wird immer alles auf dem neusten Stand gehalten.
_________________
Gruß
Thorsten
Shop mit Netzwerkprodukten
Bitte beachten: Suchfunktion im Forum, Forum Richtlinien
maddixx
Strippenzieher


Anmeldungsdatum: 19.04.2012
Beiträge: 18
Wohnort: 0x4233726c216e

BeitragVerfasst am: Fr Apr 20, 2012 10:06 am    Titel:

Hallo admin und thomas,

sicher solange wie keiner im lokalen Netz den Mann in der Mitte spielt und sicher solange wie auch die Betreuer der einzelnen Backbones vom ISP nicht neugierig sind.

Das es sich serverseitg bei euch um Hashes in der DB handelt hätte ich nicht gedacht, da ich ja über den http/POST Eintrag Klartextvergleich sehe.
Aber dann bin ich des besseren belehrt icon_wink.gif, das es trotz Klartextanmeldung, serverseitg trotzdem als Hash vorliegen kann.
Welches Kryptoverfahren benutzt ihr für die Einträge in der DB?

Mit der SSL-Implementierung hast du Recht icon_wink.gif.
Thomas, woran hast du den erkannt das es sich bei dem zweiten WS-Auszug um ein "teures" Script handelt ?

Ich nicht wirklich mitreden was das Webbuilding angeht, aber es gibt doch bestimmt kostenfreie Scripts, was der veralteten Forensoftware gut tuen würde... icon_wink.gif nicht ?

Danke für euer Reaktionen

Gruß maddixx
_________________
"Wo wachsen eigentlich diese Spanning-Trees?"
admin
Regenerator


Anmeldungsdatum: 01.01.2001
Beiträge: 2459
Wohnort: St. Ingbert

BeitragVerfasst am: Fr Apr 20, 2012 10:55 am    Titel:

müßte SHA-1 sein.

Jedes weitere Script kann leider auch noch mehr Sicherheitslücken auftun. icon_wink.gif
_________________
Gruß
Thorsten
Shop mit Netzwerkprodukten
Bitte beachten: Suchfunktion im Forum, Forum Richtlinien
daKrueml
Universalmuffe


Anmeldungsdatum: 12.10.2004
Beiträge: 3014
Wohnort: Köllefornien

BeitragVerfasst am: Fr Apr 20, 2012 11:05 am    Titel:

Wo das Thema gerade da ist sollte man mal darüber reden, auf phpBB3.x umzusteigen;)
_________________
Gruß,
Martin

Bitte beachten: Suchfunktion im Forum, Forum Richtlinien und Multiple Satzzeichen
admin
Regenerator


Anmeldungsdatum: 01.01.2001
Beiträge: 2459
Wohnort: St. Ingbert

BeitragVerfasst am: Fr Apr 20, 2012 11:41 am    Titel:

...ihr macht mich fertig icon_lol.gif
_________________
Gruß
Thorsten
Shop mit Netzwerkprodukten
Bitte beachten: Suchfunktion im Forum, Forum Richtlinien
tikay.event
Mainframeeinrichter


Anmeldungsdatum: 04.03.2006
Beiträge: 6228
Wohnort: Herne-Bay, UK

BeitragVerfasst am: Fr Apr 20, 2012 12:21 pm    Titel:

Das mit Klartext rüberschicken und dann mit einem Hash in der DB vergleichen ist eigentlich der übliche Weg. Die Daten werden ja an das eigentliche Programm der Forensoftware (ich weiß, PHP ist eine Scriptingsprache), dort wird dann erst die Klartextinformation gehashed (in PHP wäre es für MD5 die Funktion md(KlartextPW) und dieser kann dann mit dem Hash in der Datenbank verglichen werden.

@Martin: Das mit der Forensoftware habe ich auch schon erwähnt, aber wie dir sicher bereits aufgefallen ist in der langen Zeit, in der du hier aktiv bist, sind es nicht die originalen PHPBB2-URLs, viele Sachen sind umgebaut, ... Thorsten hat auch Bedenken, weil dann die bei Google indizierten Links ungültig werden.
Zitat:
Thomas, woran hast du den erkannt das es sich bei dem zweiten WS-Auszug um ein "teures" Script handelt ?

das vb_, was in den Namen der übergebenen Variablen steht, kommt von vBulletin, eine hochprofessionelle und hochteure Forensoftware.
jela
Kabeltester


Anmeldungsdatum: 29.06.2009
Beiträge: 316

BeitragVerfasst am: Fr Apr 20, 2012 1:04 pm    Titel:

tikay.event hat folgendes geschrieben::
...@Martin: Das mit der Forensoftware habe ich auch schon erwähnt, aber wie dir sicher bereits aufgefallen ist in der langen Zeit, in der du hier aktiv bist, sind es nicht die originalen PHPBB2-URLs, viele Sachen sind umgebaut, ... Thorsten hat auch Bedenken, weil dann die bei Google indizierten Links ungültig werden..


Naja, ich denke: Sicherheit geht vor
Irgendwann muss man es eh angehen und was nützt der Google-Index, wenn das Board gehackt wurde?

Zitat:
...Es kommt auch vor, dass das Web systematisch nach älteren Versionen durchsucht wird, um die Foren dann zu hacken. Dies gilt besonders für die nicht mehr unterstützte Version phpBB 2.

Quelle: https://www.phpbb.de/kb/sicher


jela
tikay.event
Mainframeeinrichter


Anmeldungsdatum: 04.03.2006
Beiträge: 6228
Wohnort: Herne-Bay, UK

BeitragVerfasst am: Fr Apr 20, 2012 1:55 pm    Titel:

Wie der admin bereits sagte, das System wird weiterhin gepflegt, es hat mit dem eigentlichen phpBB2 nichts mehr zu tun.
admin
Regenerator


Anmeldungsdatum: 01.01.2001
Beiträge: 2459
Wohnort: St. Ingbert

BeitragVerfasst am: Fr Apr 20, 2012 2:56 pm    Titel:

Danke, Danke, Danke Thomas icon_lol.gif

1. Mit all den kleinen bis großen Veränderungen hier im Forum, vieles ist nicht bekannt und gehört nicht zu den allgemeinen Sicherheitupdates, bin ich bisher besser gefahren als mit einer phpBB3 Neuinstallation inkl. Updates. Gerade neue Systeme sind oftmals unsicher.

2. Für die Neuanmeldung z.b. wird hier kein Captcha abgefragt und hab trotzdem so gut wie keine Fakeuseranmeldungen.

3. siehe uralt HTML-Hauptseite. Letztens wurden viele Wordpressinstallationen gehackt, mit html unmöglich.

4. Sicherheitsupdates erscheinen dann, wenn es eigentlich schon zu spät ist.

5. wenn auch alles ein bisschen altbacken aussieht, es ist alles "relativ" sicher, schnell und die Infos aktuell.

Ich stehe mit meiner Ansicht wahrscheinlich alleine da, und bin mir sicher viele springen von der Seite ab, weil sie veraltet ist. Aber was nutzt mir die neuste Software und das schönste CMS mit viel Werbung und bunten Bildern wenn ich erstmal wieder Jahre brauche, bezüglich Sicherheit und Geschwindigkeit.

Glaubt mir, ich frage mich schon seit langem ob meine Ansichten im Sinne des Users ist oder ich mit dem "einfacheren" Weg erfolgreicher wäre.
Mit einfach meine ich Wordpress auf den Server geschmissen, fertiges Layout gekauft, phpBB3 mit Standardupdates versorgt und gut ist.
Leider sieht man hier dem ganzen nicht an, was für eine Arbeit dahintersteckt icon_cry.gif
_________________
Gruß
Thorsten
Shop mit Netzwerkprodukten
Bitte beachten: Suchfunktion im Forum, Forum Richtlinien
Joe
Mainframeeinrichter


Anmeldungsdatum: 02.01.2006
Beiträge: 1803
Wohnort: Rinteln

BeitragVerfasst am: Sa Apr 21, 2012 8:54 am    Titel:

Hallo,

ich möchte mal anmelden, dass du mit deiner Sicht nicht alleine bist. Ich finde das Forum so sehr gut, bzw. habe als Endnutzer noch keine Funktion gefunden, welche ich gebraucht hätte aber nicht verfügbar war. Einzig das einfügen von URLs und Bildern ect. könnte etwas komfortabler sein. Aber wie oft postet man schon Bilder und URLs. Meistens sind es nochmale Text Posts. icon_wink.gif

Was die Sicherheit anbetrifft, stehe ich auch voll hinter der Ansicht des Admins. Bei neuen Entwicklungen bleibt es nicht aus, dass Fehler gemacht werden, welche nachträglich korrigiert werden müssen. Im glücklichsten Fall wir jemand den Hersteller darauf hinweisen. Im schlechtesten wird es eben durch einen Angriff auffliegen. Deshalb vertrete ich die unter Admins sehr beliebte Auffassung: "Never touch a running system." Wobei Sicherheitsupdates bei mir nicht in diese Aussage fallen. Also es genau so läuft, wie es der Admin oben beschrieben hat.

Ich zumindest fühle mich hier sehr gut aufgehoben.

LG Joe
_________________
Erwarte nicht das jemand mehr Arbeit in des Beantworten einer Frage investiert, als du für das Ausdenken und Formulieren der Frage verwendet hast...
maddixx
Strippenzieher


Anmeldungsdatum: 19.04.2012
Beiträge: 18
Wohnort: 0x4233726c216e

BeitragVerfasst am: Sa Apr 21, 2012 11:21 am    Titel:

Hallo icon_wink.gif

ich wollte hier jetzt kein Gefecht auslösen und die Forensoftware bemängeln.
Bin schließlich davon ausgegangen, das es sich bei den klartext-über-die-Leitung-Passwörter 1:1 um die Einträge der DB handelt, was ja seitens Thomas und dem admin wiederlegt wurde. icon_wink.gif

Ich kann mir gut vorstellen, das da hinter ne Menge Arbeit steckt und man ungern das funktionierende System in Bezug auf eine komplette Erneuerung anfässt.

Das soll bitte nich falsch verstanden werden icon_wink.gif
_________________
"Wo wachsen eigentlich diese Spanning-Trees?"
tikay.event
Mainframeeinrichter


Anmeldungsdatum: 04.03.2006
Beiträge: 6228
Wohnort: Herne-Bay, UK

BeitragVerfasst am: Sa Apr 21, 2012 11:37 am    Titel:

Nein, ist schon in Ordnung. Die Kritik ist schon berechtigt, wenn man die Nachrichten der letzten Monate und Jahre hinzuzieht. Im Gegenzug haben wir dir gezeigt, dass es bei unserem Forum nicht soweit kommen sollte. (Ich hab extra nicht "kann" geschrieben, weil jede Software hat Fehler und jeder Hash/Verschlüsselungsalgorithmus ist knackbar, es ist nur eine Frage der Zeit)
Und du hast im Gegenzug gelernt, was möglich ist.
Beiträge vom vorherigen Thema anzeigen:   
   Netzwerk Forum - Übersicht -> Internet und Netzwerk Alle Zeiten sind GMT + 2 Stunden
Seite 1 von 1

 
Gehen Sie zu:  
Sie können keine Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum nicht antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht mitmachen.

Ähnliche Beiträge
Thema Forum Antworten Verfasst am
ERLEDIGT!Wo befindet sich am BorNet Router das WLAN Passwort Netzwerk - Hardware 1 Di Jul 18, 2017 6:22 pm
Passwort knacken in 30 Sekunden Off Topic 1 Sa März 25, 2017 12:55 pm
Optisplice LID Passwort Lichtwellenleiter / LWL / Glasfaser 0 So Dez 27, 2015 7:08 pm
WIN7 Benutzername und Passwort im Netzwerk Betriebssysteme 7 Fr Apr 03, 2015 10:59 am
Netzwer und Passwort Internet und Netzwerk 0 Mi Nov 28, 2012 3:33 pm


Powered by phpBB © 2001, 2005 phpBB Group
Service und Informationen: Lichtwellenleiter - Twisted Pair - Netzwerk-Hardware - Netzwerk einrichten - Steckerbelegung - Wireless LAN - Netzwerk-Glossar - Heimnetzwerk einrichten

Impressum