Passwort fürs Forum plaintext im Cookie?

Re(2): Wayne interessierts

Jackyboy — Fri, 23 Feb 2007 21:42:53 GMT

Wer weiß, Wayne weiß es

Re: Wayne interessierts

User284 — Fri, 23 Feb 2007 19:52:12 GMT

Also ich glaube nicht, dass sich Wayne für Foren interessiert hätte

Re(3): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Thu, 22 Feb 2007 11:18:20 GMT

Cross-Site-Scripting ist im Prinzip nix neues. Interessant ist es in dem Fall nur, weil es beim Bookmark Manager möglich ist.

Da hätte man eigentlich früher draufkommen müssen...andererseits ist die Möglichkeit, JS in der Adresszeile für die aktuelle Seite bewirken zu können, schon auch ein nützliches Feature.

Re(5): Passwort fürs Forum plaintext im Cookie?

juwb — Sat, 10 Feb 2007 19:06:21 GMT

ich

das problem ist halt, wenn du das gleiche passwort auf mehreren seiten verwendest, braucht nur eine seite eine sicherheitslücke haben (von technischen fehlern bis hin zu einem unseriösen mitarbeiter ist da alles drin), und schon hat $fremde_person dein passwort.

wenn du dann noch in verschiedenen foren mit dem gleichen nick unterwegs bist oder sonstwie bekannt ist, auf welchen seiten du noch verkehrst, kann man dir da schon mit schaden. ganz bloed ist das gleiche passwort fuers forum wie fuers webmail (fuer die mailadresse mit der man sich beim forum angemeldet hat) zu verwenden.

gleiche passwoerter verwendet man einfach nicht, jedenfalls wenn einem die sicherheit wichtig ist.

Re(6): Passwort fürs Forum plaintext im Cookie?

SinnFrei — Sat, 10 Feb 2007 18:17:59 GMT

Lol geil, damit hät ich jetzt nicht gerechnet.

Re(5): Passwort fürs Forum plaintext im Cookie?

MAX M — Sat, 10 Feb 2007 16:44:33 GMT

Hey ich bin nicht faul

Re(4): Passwort fürs Forum plaintext im Cookie?

MAX M — Sat, 10 Feb 2007 16:42:47 GMT

das ist nicht richtig.

wer merkt sich schon mehr als 3 pwds?

Re(3): Passwort fürs Forum plaintext im Cookie?

MAX M — Sat, 10 Feb 2007 16:41:20 GMT

genau du hast recht.

und 80% verwenden nur ein pwd für alles.
Darum ist es kritisch.

Re(3): Passwort fürs Forum plaintext im Cookie?

juwb — Tue, 06 Feb 2007 10:33:35 GMT

Wer ein Passwort mehrfach verwendet, dem ist Sicherheit doch eh egal.

Re(3): Passwort fürs Forum plaintext im Cookie?

adhoc — Tue, 06 Feb 2007 08:40:50 GMT

das ist allerdings richtig...

Re: Passwort fürs Forum plaintext im Cookie?

adhoc — Mon, 05 Feb 2007 20:41:01 GMT

naja, ne richtig "sichere" möglichkeit wirds da wohl nicht geben
(egal was im cookie steht, wenn mans 1:1 kopiert, ist man angemeldet, ....)

deshalb muss man auch bei amazon/ebay usw. bei der ersten "kritischen" sachen (pro session) immer sein passwort erneut eingeben ...

Wayne interessierts

Jackyboy — Mon, 05 Feb 2007 17:41:12 GMT

Re(5): Passwort fürs Forum plaintext im Cookie?

schop18 — Sun, 04 Feb 2007 21:26:54 GMT

das stimmt auch....kann trotzdem nicht JEDER....

Re(3): Passwort fürs Forum plaintext im Cookie?

schop18 — Sun, 04 Feb 2007 20:47:58 GMT

Sicherheit muss man einstellen. Das Einstellen kostet Zeit

Re(3): Passwort fürs Forum plaintext im Cookie?

RevX — Sun, 04 Feb 2007 18:22:00 GMT

Sicherheit kostet üblicherweise (extra) Geld.

Re(2): Passwort fürs Forum plaintext im Cookie?

RevX — Sun, 04 Feb 2007 18:21:28 GMT

Naja, die IP als "Nachforschungsgrundlage" zu verwenden ist ziemlich witzlos...

Re(4): Passwort fürs Forum plaintext im Cookie?

schop18 — Sun, 04 Feb 2007 00:51:50 GMT

Tja das stimmt....mir ist das Blunzen....wenns sein muss geb ich mein Passwort 20x täglich ein....is ja sowas von wurscht....muss in der Firma auch ein Passwort mit Komplexitätsanforderungen über 20x täglich eingeben....

Re(3): Passwort fürs Forum plaintext im Cookie?

Robert Craven — Sun, 04 Feb 2007 00:50:40 GMT

Ja und? Dann ists ja wurscht, ob das Cookie verschlüsselt ist oder nicht.

Re(2): Passwort fürs Forum plaintext im Cookie?

schop18 — Sun, 04 Feb 2007 00:49:58 GMT

Tja gibt halt auch Leute die das hackerl im Büro am öffentlichen Rechner drücken....

Re: Passwort fürs Forum plaintext im Cookie?

Robert Craven — Sun, 04 Feb 2007 00:47:18 GMT

Wo ist das Problem? Das Cookie wird nur auf meinem Computer gespeichert. Wenn jemand Zugang zu meinem Computer hat, dann hab ich ehrlich andere Probleme als mein Geizhals-Login. Wem das zu unsicher ist, kann ja das Passwort im Browser speichern, oder das Cookie nach jeder Session löschen.

Re: Passwort fürs Forum plaintext im Cookie?

schop18 — Sun, 04 Feb 2007 00:44:26 GMT

Das Forum bringt dem Chef kein Geld und wieso sollte man dann ein Passwort sicher machen....wenn wer mit deinem Account dreck macht is es eh wurscht weil die IP mitgeloggt wird!

Re(3): Passwort fürs Forum plaintext im Cookie?

Diabolo2000 — Fri, 02 Feb 2007 21:10:54 GMT

Und du? Rote Skype Nummer zum Weißen Haus? ^^

Re: Passwort fürs Forum plaintext im Cookie?

Diabolo2000 — Fri, 02 Feb 2007 18:57:25 GMT

Mein Gott, weil mein Computer 1) ausspioniert wird und man mir 2) meinen GH Account klauen will.

Re(13): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Fri, 02 Feb 2007 09:25:39 GMT

Ja, ich denke jetzt ist wieder alles im grünen Bereich

Re: Passwort fürs Forum plaintext im Cookie?

Psychopath — Fri, 02 Feb 2007 09:16:19 GMT

Ja, fand ich auch schon seltsam.

Wird sowas normalerweise nicht mit einer Session-ID gemacht, die ev. auch noch an eine IP-Adresse gebunden ist? (dann wuerde man halt, so wie ich das verstehe, die ganzen Tor-Benutzer ausschliessen?)

Naja,
j.

Re(11): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Fri, 02 Feb 2007 09:14:15 GMT

Siehe Antwort auf das unten stehende Posting, dürfte die Frage klären.

Re(11): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Fri, 02 Feb 2007 09:13:51 GMT

Zu dem Zeitpunkt habe ich nicht bedacht, dass die Cookies auch noch plaintext vom Browser gespeichert werden, sondern bin davon ausgegangen, dass er diese (logischerweise) plaintext im Request Header angibt, diese intern aber verschlüsselt speichert.

Re(9): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Fri, 02 Feb 2007 09:09:24 GMT

Um es nochmal klar zu sagen: Ich bin gegen Plaintext-Passwörter in Cookies.

Re(9): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Fri, 02 Feb 2007 09:06:30 GMT

Was heißt nicht haltbare Argumente? Meine Argumente waren absolut zutreffend - wenn du ein problem damit hast, wenn ich was erwähne dass dir bereits bekannt ist, dann ist das deine Sache. Woher soll ich etwas über deine Kenntnisse wissen?

Re(8): Passwort fürs Forum plaintext im Cookie?

Nagelfar — Fri, 02 Feb 2007 09:03:24 GMT

Was? Erst bringst du nicht haltbare Argumente und dann fragst du mich ob bei mir was falsch lauft?

Re(3): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Fri, 02 Feb 2007 08:49:51 GMT

Ah, Mr. kooperativ meldet sich mal zu Wort.

Es bringt insofern was, weil der Angreifer nicht auf das tatsächliche Passwort schließen kann, es sei denn, es ist ein extrem dumm gewähltes Passwort alá 12345, das man sofort in jeder Hash-Datenbank findet.

Gegen eine Profi nutzt das nichts, aber es würde zumindest die typischen Skript-Kiddies abwehren, die sich die Cookies durchlesen, in der Hoffnung auf was brauchbares zu stoßen.

Re(2): Passwort fürs Forum plaintext im Cookie?

mjy@geizhals.at — Fri, 02 Feb 2007 02:51:13 GMT

Würde ja reichen, wenn man nur einen MD5 Hash reinschreibt, und den dann mit einem MD5 Hash vom DB Passwort vergleicht.

Sehr lustig, was soll das bringen? Das muß man ja auch nur kopieren um sich mit einem präparierten Cookie einloggen zu können ...

Re(4): Passwort fürs Forum plaintext im Cookie?

SinnFrei — Fri, 02 Feb 2007 01:36:42 GMT

Naja z.B. könnte der Angreifer versuchen, sich mit Account und Passwort(*) bei eBay einzuloggen - was mit einem (salted) MD5-Hash nicht so leicht wäre.

* In der Annahme Max M. ist faul und verwendet Accoutnname+PW auch bei eBay

Re(4): Passwort fürs Forum plaintext im Cookie?

SinnFrei — Fri, 02 Feb 2007 01:36:42 GMT

Naja z.B. könnte der Angreifer versuchen, sich mit Account und Passwort bei eBay einzuloggen - was mit einem MD5-Hash nicht so leicht wäre.

Re(3): Passwort fürs Forum plaintext im Cookie?

mIstA — Thu, 01 Feb 2007 16:38:43 GMT

sondern könnte auch von einem anderen Programm aus erfolgen, z.B. gibts da so einen PicUploader für 666kb.com, was, wenn der die Daten ausspioniert z.B?

Wo ist jetzt der große Unterschied, ob ein solches Programm jetzt das Plaintext-PW ausspioniert oder nur an einen Hash o.ä. kommt, der aber fürn Angreifer ausreicht, um sich daraus ein gültiges Login-Cookie zu basteln?

Re(7): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Thu, 01 Feb 2007 16:33:20 GMT

Rennt bei dir irgendwas falsch? An so einen seltsamen Kerl verschwend ich keine Zeit mehr.

Re(5): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Thu, 01 Feb 2007 16:28:37 GMT

Das könnte dann aber jedes Programm

Von einer Änderung wäre dann auch meine Windows-Version vom GHFWatcher betroffen, die simuliert momentan auch einen Browser, und sendet das Cookie mit dem Plaintext-Passwort an den Server.

Dir muss man das Wort "Sarkasmus" auch mit einem Vorschlaghammer auf die Stirn
klopfen, oder

Sarkasmus in einem emotionslosen Text verpackt, ist nun mal nicht immer gleich erkennbar

Re(3): Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Thu, 01 Feb 2007 15:39:23 GMT

Und der Angriff muss ja nicht aus dem Browser erfolgen sondern könnte auch von
einem anderen Programm aus erfolgen, z.B. gibts da so einen PicUploader für
666kb.com, was, wenn der die Daten ausspioniert z.B?

Das ist natürlich ein Argument...aber 666kb.com kann auch nicht auf Geizhals-Cookies zugreifen, solange der Browser sie nicht mitsendet.
Per JavaScript verbieten es die modernen Browser auch mittlerweile, es sei denn, jemand verwendet nen ungepatchten IE ur.alt...

Eben das mein ich auch, aber vielleicht sind die PW in der DB ja auch
plaintext...

Sollte kein Problem sein, in die Abfrage ein MD5(password_field) zu integrieren
Soweit ich weiß sind die Geizhals-Menschen eh Pro-Postgresql...

Re: Passwort fürs Forum plaintext im Cookie?

Dr. Watson — Thu, 01 Feb 2007 15:30:02 GMT

Ist wurscht, weil die cookies der selben Domain nur an die skripte eben jener weitergegeben werden.
Soll heißen, jemand von evil.com hat keinen Zugriff auf geizhals.at Cookies.

Befürworten tu ich das auch nicht, aber es ist eigentlich nicht weiter tragisch.

Würde ja reichen, wenn man nur einen MD5 Hash reinschreibt, und den dann mit einem MD5 Hash vom DB Passwort vergleicht.

Cookies sind lecker!

-Transformer2K- — Thu, 01 Feb 2007 14:39:14 GMT

Re: Passwort fürs Forum plaintext im Cookie?

West — Thu, 01 Feb 2007 12:41:24 GMT

generell ist es eine Unart Passwörter Plaintext zu speichern.

Das gehört echt dringenst geändert!