Passwort als Klartext in cookie!

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

nicht schon wieder ...

Und noch immer nicht gefixed den Fehler?

working as intended.

Bei jeder seriösen Software-Firma fliegt man in hohen Bogen raus, wenn man als Programmierer so einen fahrlässigen Blödsinn macht.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

working as intended.

15.08.2010, 22:51 Uhr - Editiert von hellbringer, alte Version: hier

Ich denke, du bist eher nicht qualifiziert für so eine Aussage...

Ich denke das selbige über dich.

Passwörter als Klartext haben weder im Cookie noch in der Datenbank irgendwas verloren. Das weiß jeder, der auch nur ein bisschen Ahnung von der Materie hat. Das sind Grundlagen, verdammt.

Ich bin im Moment ziemlich erschüttert.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ich denke, du bist eher nicht qualifiziert für so eine Aussage...

15.08.2010, 22:56 Uhr - Editiert von hellbringer, alte Version: hier

Ich denke das selbige über dich.

Nun, ich halte uns für ein seriöses Unternehmen.

Passwörter als Klartext haben weder im Cookie noch in der Datenbank irgendwas verloren. Das weiß jeder, der auch nur ein bisschen Ahnung von der Materie hat. Das sind Grundlagen, verdammt.

Ich habe nicht nur Ahnung von der Materie, sondern auch von den Rahmenbedingungen und muß dir leider mitteilen, daß deine Sorgen diesbezüglich Kinderkram sind.

Ich bin im Moment ziemlich erschüttert.

Na dann heul doch.

Und ich muss dir leider mitteilen, dass du falsch liegst. Das ist ein relevantes Problem.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Nun, ich halte uns für ein seriöses Unternehmen.

Dann tuts wenigstens einer...

Ich habe nicht nur Ahnung von der Materie, sondern auch von den Rahmenbedingungen und muß dir leider mitteilen, daß deine Sorgen diesbezüglich Kinderkram sind.

Na dann heul doch.

Du strotzt geradezu von Seriosität...

Dann tuts wenigstens einer...

Du strotzt geradezu von Seriosität...

Schreib's noch deutlicher, dann wird es teuer.

ROFL....wer hat denn den Cheffe gemeldet?

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Und welcher Mod traut sich jetzt, das zu löschen?

Na dann heul doch.

na respekt ... immerhin kann er mit Kritik umgehend *duckundweg*

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
kürzester Computerwitz: "Des hamma gleich!"

.Na dann heul doch.

Solche Antworten, in einem offiziellen Firmenforum, halten Sie für professionell, wenn ein Benutzer einen berechtigten Einwand gegen Ihre Sicherheitspolitik hat? Das kann nicht wirklich Ihr Ernst sein. Ich würde das ja von einem Praktikanten erwarten, aber mit Sicherheit nicht von einem studierten Unternehmensgründer.

Wiederholtes Thema und gewollte Schwachstellen hin oder her, aber Gesprächskultur ist etwas Anderes. Es ist interessant zu sehen, wie wichtig Ihnen Ihre Kunden sind. Auch wenn Sie Ihnen nur indirekt Geld bringen.

Solche Antworten, in einem offiziellen Firmenforum, halten Sie für professionell, wenn ein Benutzer einen berechtigten Einwand gegen Ihre
Sicherheitspolitik hat? Das kann nicht wirklich Ihr Ernst sein. Ich würde das
ja von einem Praktikanten erwarten, aber mit Sicherheit nicht von einem
studierten Unternehmensgründer.

Es ist erstaunlich, wie wichtig hier manche ihre Meinung dazu finden.

Wiederholtes Thema und gewollte Schwachstellen hin oder her, aber Gesprächskultur ist etwas Anderes. Es ist interessant zu sehen, wie wichtig Ihnen Ihre Kunden sind. Auch wenn Sie Ihnen nur indirekt Geld bringen.

Gesprächskultur, oder das was offenbar insbes. die "Siezer" darunter verstehen, ist für mich vor allem hier im Forum kein Zwang. Im Übrigen wirst du bei vorsichtiger Lektüre des Threads auch die Provokation sehen, die zu dieser Reaktion geführt hat.

Danke, dass Sie meine Kritik so vortrefflich unterstreichen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Hui, da ringt jemand nach Selbstbestätigung.

Und welche Qualifikation hast du um so eine Aussage treffen zu können? Beruf? Studium? Oder nur Hobbyinformatiker?
-------------------------------------------------------------------------------------
Wörter die die Welt nicht braucht: Dachbodenkeller, Abflußheizkörper, Mineralölsparlampe, Kopfnägelwäsche, Handymastzahnbürste, Abflußschachtel, Rotweinkachelofen

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

wer nicht einmal ein von allen gängigen Browsern als einwandfrei als gültig erkennbares Zertifikat für SSL Logins verwendet, sollte wohl eher sehr vorsichtig mit Aussagen betreffend Software-Qualifikation anderer Leute sein ... würde ich einmal sagen.

Achtung Glashaus! Vorsicht mit den Steinen!

wer nicht einmal ein von allen gängigen Browsern als einwandfrei als gültig erkennbares Zertifikat für SSL Logins verwendet, sollte wohl eher sehr vorsichtig mit Aussagen betreffend Software-Qualifikation anderer Leute sein ... würde ich einmal sagen.

Oh Gott, noch so eine dämliche Aussage...

Achtung Glashaus! Vorsicht mit den Steinen!

Wenigstens nimmst du dich selbst nicht ernst.

sei m ir nicht bös, aber ich finde es ehrlich gesagt einfach lächerlich, wenn man einerseits einen auf "dicke Hose punkto Sicherheit" machen will, andrerseits dann aber an den offensichtlichsten Kleinigkeiten schlampt (Klartext passwort im Cookie) oder an der falschen Stelle spart (Do it yourself-Zertifikat statt ein externes, M$-genehmes).

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

ber ich finde es ehrlich gesagt einfach lächerlich, wenn man einerseits einen auf "dicke Hose punkto Sicherheit" machen will, andrerseits dann aber an den offensichtlichsten Kleinigkeiten schlampt (Klartext passwort im Cookie) oder an der falschen Stelle spart (Do it yourself-Zertifikat statt ein externes, M$-genehmes).

Das plaintext-Passwort war Absicht, das Zertifikat bewußt self-signed. Ich werde mir aber nicht die Mühe machen, dir zu erklären, warum es Blödsinn ist, sich über self-signed certs zu echauffieren. Glaub weiter, daß alles, was die Browser anstandslos schlucken, sicherer ist...

das macht es nicht besser, sondern für mich noch viel schlechter. Ich halte das echt für bad practice, total unnötig und leicht vermeidbar.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Das plaintext-Passwort war Absicht

das Zertifikat bewußt self-signed.

detto.

Rein LOGISCH kann man sich selbst genau gar nichts WIRKSAM bestätigen! Wenn es die Absicht ist, bei Anderen/Transaktions-Partnern das Vertrauen ins eigene Angebot zu erhöhen, dann kann das AUSSCHLIESSLICH über geeignete (!) externe Zertifikate gelingen.

Der aktuelle gh-Versuch kommt mir so ähnlich vor, wie wenn sich jemand selbst eine Bank-Garantie ausstellen würde. Das würde dessen Kreditwürdigkeit bei Dritten um genau Null erhöhen. JEDE externe garantie - z.B. von so einer Unbank wie der Hypo Alpe Adria - wäre im Zweifelsfall BESSER als eine Do it yourself - Garantie.

Sprich, ich halte weder ein M$- noch ein Verizon-Zertifikat für den Gipfel an Sicherheit ... aber jedenfalls UM WELTEN besser als jedes selbst gebastelte Pseudo-"Zertifikat".

Und vor allem würden dann die user nicht auch noch den Komfortverlust erleiden, dass der Browser ständig "aufheult".

Rein LOGISCH kann man sich selbst genau gar nichts WIRKSAM bestätigen! Wenn es die Absicht ist, bei Anderen/Transaktions-Partnern das Vertrauen ins eigene Angebot zu erhöhen, dann kann das AUSSCHLIESSLICH über geeignete (!) externe Zertifikate gelingen.

UI, mit GROSSCHREIBUNG wirkt das noch viel lustiger.

Im Forum wird SSL nur zur Verschlüsselung verwendet, ist das für dich verständlich?

CAs ist grundsätzlich nicht zu trauen, die einzige relevante Frage ist die nach dem Komfort, da machen wir eben gerne Abstriche, die nötig sind, weil die Browserprogrammierer offenbar so gerne die Geschäfte der CAs unterstützen.

Der aktuelle gh-Versuch kommt mir so ähnlich vor, wie wenn sich jemand selbst eine Bank-Garantie ausstellen würde. Das würde dessen Kreditwürdigkeit bei Dritten um genau Null erhöhen. JEDE externe garantie - z.B. von so einer Unbank wie der Hypo Alpe Adria - wäre im Zweifelsfall BESSER als eine Do it yourself - Garantie.

Dir ist die Illusion, daß du garantiert von uns stammenden Content bekommst, offenbar sehr wichtig.

ist mir in dem Fall echt nudlwurscht. Ich logge auch nicht per SSL in einem just for fun Forum ein - egal was für ein Zertifikat da verwendet wird.

Aber prinzipiell finde ich es eine ZUMUTUNG bzw. zumindest "UNPRODUKTIV", etwas anzubieten, das bei den meisten usern in einem Komfortverlust - aufheulender Browser - resultiert.

Vor allem, wenn sich dann am Ende des Tages beib genauerer Betrachtung vermutlich herausstellt, dass auch die behauptete "Verschlüsselung" per SSL einme Chimäre bzw. genau so viel wert ist wie das "funfactory Eigenzertifikat".

Derzeit gewinne ich ganz stark diesen Eindruck.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Dir ist die Illusion, daß du garantiert von uns stammenden Content bekommst,
offenbar sehr wichtig.

Vor allem, wenn sich dann am Ende des Tages beib genauerer Betrachtung vermutlich herausstellt, dass auch die behauptete "Verschlüsselung" per SSL einme Chimäre bzw. genau so viel wert ist wie das "funfactory Eigenzertifikat".

Derzeit gewinne ich ganz stark diesen Eindruck.

Damit müssen wir dann leider leben. Ich kann nur darauf hinweisen, daß du am Ende des Tages dem Serverbetreiber vertrauen mußt und nicht einem Cookie, einer CA oder einem Browser (wobei man Letzterem schon gehörig mißtrauen sollte). Aber ich will dir deinen persönlichen Geschmack bez. Sicherheitsillusionen lassen, der ist ja schließlich wichtiger.

ich persönlich vertraue in dem Kontext gar niemandem. Es ist mir bewusst, dass die verwendete dynamische IP schnell einmal einem bestimmten Anschluss zugeordnet werden kann. Und dass das allein vor Gericht niemals die tatsächliche Identität des jeweiligen users beweisen kann.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Als technisch unbedarfter internet/forums user erwarte ich aber ganz einfach, dass jemand, der angeblich "sicherheitssteigernde Maßnahmen" auf seiner webseite einsetzt, auch dafür sorgt, dass das Ganze nicht sofort vom browser mit geheul quittiert und damit für die ebenso "unbedarfte" Mehrheit der inet-user unmittelbar zu verstärktem Mißtrauen statt gestärktem Vertrauen führt.

Jede Bank wickelt online-banking-logins über SSL ab. So schlecht kann das Verfahren also nicht sein, weil ich die Banken wissen, dass sie Ihren Kunden die Konsumenten i.S. des KSCHG sind, in Österreich jeden Mißbrauch des Online-Bankings zu 100% ersetzen müssen, sofern sie nicht dem user selbst "gravierend grob fahrlässiges" Verhalten gerichtlich nachweisen kann. Angesichts dieses Risikos für die Banken gehe ich als technisch unbedarfter user einfach einmal davon aus, dass SSL das derzeit beste im Massengeschäft "leistbare" Verfahren ist, um die "Sicherheit" auch für unmittelbar heikle kommerzielle Transaktionen auf ein akzeptables Maß zu bringen. Soweit so gut.

Und bis dato haben es alle Banken für mich bisher auch geschafft, diese Realität oder auch Fiktion (whatever!) bei ihren Online banking logins nicht mit einem wegen wertloser, selbst ausgestellter Zertifikate aufheulenden browser für die technisch unbedarften user von vornherein unkomfortabel und gelichzeitig suspekt zu machen.

Au sdieser Perspektive sehe ich das. Der technische Hintergrund dazu interessiert mich dabei nicht ausreichend, dass ich mich darüber im Detail informieren würde.

damit für die ebenso "unbedarfte" Mehrheit der inet-user unmittelbar zu verstärktem Mißtrauen statt gestärktem Vertrauen führt.

Ja, lieber Einlullen statt Anreize geben, sich zu informieren.

Angesichts dieses Risikos für die Banken gehe ich als technisch unbedarfter user einfach einmal davon aus, dass SSL das derzeit beste im Massengeschäft "leistbare" Verfahren ist, um die "Sicherheit" auch für unmittelbar heikle kommerzielle Transaktionen auf ein akzeptables Maß zu bringen. Soweit so gut.

Der von dir viel strapazierte unbedarfte User ist nicht einmal in der Lage, seinen PC vor Trojanern zu schützen oder zu erkennen, ob die aktuell verwendete Version des Browsers einen kritischen Bug hat, der nur Sicherheit vortäuscht: http://www.mozilla.org/security/announce/2009/mfsa2009-42.html

Und bis dato haben es alle Banken für mich bisher auch geschafft, diese Realität oder auch Fiktion (whatever!) bei ihren Online banking logins nicht mit einem wegen wertloser, selbst ausgestellter Zertifikate aufheulenden browser für die technisch unbedarften user von vornherein unkomfortabel und gelichzeitig suspekt zu machen.

Reden wir mal über GH-Kontoführungsgebühren.

der vergleich passt in der aktuellen finanzmarktkrise ganz ausgezeichnet

ich würde eher der garantie eines gutgehenden mittelständischen unternehmen (geizhals) vertrauen, als einer bank, die gerade erst mit viel steuergeld vor der insolvenz gerettet werden musste

und so ähnlich verhält es sich auch mit dem ssl zertifikat; nur wel mjy sein zertifikat nicht durch eine großzügige spende in die browser hat integrieren lassen, ist es deshalb nicht weniger sicher

tom

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

nochmals, rein logisch:

* ein Eigenzertifikat hat prinzipiell einfach genau Null Wert

* dass manche oder auch viele externen Zertifikate ebenfalls keinen Wert haben mögen, ändert daran einfach genau gar nichts

Ein "Zertifikat", das den Namen auch nur ansatzweise verdient, MUSS zwingend von einer Stelle stammen, die mit derjenigen, welche "zertifiziert" wird, weder ident ist noch unter deren Kontrolle oder Einfluss steht.

Bei Verwendung eines Eigenbau-"Zertifikats" komme ich mir einfach grundlegend verpopscht vor ... bei sowas mißtraue ich eifnach der gesamten Konstruktion - auch wenn das inhaltlich zu Unrecht sein mag.

Dass ein verschlüsseltes login auch mit Nullwert-"Zertifikat" dennoch (etwas oder viel) besser sein mag als ein unverschlüsseltes Login, mag wohl zutreffen. Allerdings ist das hier eben mit einem unnötigen Komfortverlust (aufheulender Browser) verbunden, den man mit einem geeigneten externen Zertifikat verhindern könnte. Ich habe keine Anhnung von den damit verbundenen Kosten, es versichern aber durchaus viele uiser hier, dass das nicht wirklich ins Geld gehen würde.

Dann wären alle 3 von 3 Punkten positiv:
* verschlüsseltes login
* kein aufheulender browser, kein Komfortverlust
* und bei einem guten, validen Fremd-Zertifikat (es wird doch wohl welche geben?) ein weiteres Sicherheitsplus [... wenn auch natürlich nie 100% perfekt oder "unhackbar", eh klar.]

ein zertifikat hat genau soviel wert, wieviel vertrauen du in denjenigen hast, der es ausstellt, und da liegt geizhals bei mir sehr weit vor verisign und wie sie alle heissen.

dass sich firefox entschlossen hat, die geschäfte der zertifikatemaf... mit einem besonders lästigen dialog zu fördern, ist bedauerlich - allerdings mehr für firefox, den ich deshalb nicht mehr verwende

das forum hat für geizhals keinen kommerziellen nutzen, wir sollten also lieber froh sein, dass dieses forum überhaupt existiert, anstatt hier zu versuchen, wirtschaftsförderung für verisign und co zu betreiben. glaub mir, diese firmen cashen auch so genug ab

tom

Da irrst du dich, außerdem überschätzt du den Stellenwert einer CA nach wie vor. SSL wird hier nur zur Verschlüsselung verwendet und solange niemand an unseren private key kommt und das Zertifikat von uns heruntergeladen wurde, ist das so sicher wie SSL eben ist (nicht besonders).

* ein Eigenzertifikat hat prinzipiell einfach genau Null Wert

nunja, eine schwäche bei self-signed ssl ist die möglichkeit eines man-in-the-middle angriffs. jemand könnte sich ebenfalls ein self-signed zertifikat basteln, irgendwie (z.b. BGP oder DNS) den traffic für das forum auf einen eigenen server umlenken und die passwörter abfangen.

das gute hier ist - du würdest es an den vielen zugriffen und logins von einer oder einigen wenigen ip-adressen aus merken. hmm, wem gehört denn die ip adresse, die das forum gemirrored hat?

mit einem von einer CA signierten zertifikat würde ich mich aber auch nicht sicherer fühlen. verisign hat bereits einmal ein microsoft-zertifikat an unbekannte herausgegeben und der CIA bekommt sicherlich jedes gewünschte zertifikat signiert.

wie wäre es mit einem cacert.org zertifikat für das forum? denen vertraue ich jedenfalls mehr als verisign

tom

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Das Zertifikat müßte man aber neuerlich bestätigen. Ich halte SSL aber insbes. nach den vielen Lücken der letzten Jahre für grundsätzlich per MITM angreifbar (z.B. auch problemlos für Behörden).

nunja, eine schwäche bei self-signed ssl ist die möglichkeit eines man-in-the-middle angriffs. jemand könnte sich ebenfalls ein self-signed
zertifikat basteln, irgendwie (z.b. BGP oder DNS) den traffic für das forum
auf einen eigenen server umlenken und die passwörter abfangen.

wem gehört denn die ip adresse, die das forum gemirrored hat?

domainfactory, ein "klein" wirkender gemanagter server dort (diverse Ports offen, kein default vhost per HTTP ...).

Gemirrort wurde mit dem User-Agent von der PHP-lib "snoopy", also durchaus eine derartige Anwendung denkbar.

wie wäre es mit einem cacert.org zertifikat für das forum? denen vertraue ich jedenfalls mehr als verisign

Naja, bis dato bringt das wohl noch nicht viel: http://wiki.cacert.org/InclusionStatus

- es wäre eine vertrauenswürdige zertifizierung, wie sie hier gefordert wurde
- auch wenn die browser das zertifikat nicht mitliefern, gibt es von cacert
eine sehr ausführliche anleitung für zahlreiche anwendungen, wie das
zertifikat zu installieren ist
- und das ohne snakeoil von der zertifkate-industrie zu kaufen
wenn du interesse hast, versuche ich gerne dir einen kontakt zu vermitteln

tom

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

zertifikate einer CA sind so wie sie gehandhabt werden total fuer'n hugo.

im prinzip "garantiert" dir die CA, dass sie beim antrag auf das zertifikat (mehr oder weniger genau, je nach bemuehen der CA) ueberprueft hat, ob der beantragende derjenige ist der er vorgibt zu sein. genau darauf und auf sonst gar nichts geben manche CAs eine garantie in form von schadenersatz, ueblicherweise im bereich von ein paar 100 dollar.

den rest der laufzeit des zertifikats prueft genau niemand mehr irgendwas.

ein uebliches zertifikat ist in der praxis eine reine gelddruckmaschine der CAs, bei der die browserbauer mit dieser nutzlosen warnung mitmachen.

das Zertifikat bewußt self-signed.
detto.

Das ist allerdings Unsinn. Kein Zertifikat wird "besser", nur, weil es automatisch vom Browser erkannt wird. Die automatische Erkennung soll nur zeigen (besser wäre fast "suggerieren"), es sei echt und vom angegebenen Ersteller.

Warum ich self-sgned certificates für gleich sicher bzw. sogar für minimal sicherer halte, solange du den Ersteller kennst: Du musst dich als Anwender damit auseinandersetzen, also die Frage "Traue ich dem Ersteller wirklich?" selbst beantworten. Danach kann es ohnehin mit einem Mausklick eingetragen werden, um danach keinen "Aufstand" zu verursachen.

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890
Galerien auf http://weinzettl.info

Das sehe ich aus meiner Normalverbraucher-user-Sicht völlig anders.

Offenbar sind die aktuellen "Zertifikate" großteils (oder zur Gänze) ihr Pulver nicht wert. Wenn sie es wärenn, könnte ich mich als user darauf verlassen, dass hinter einer "internet-Präsenz" auch wirklich der zertifizierte steckt.

KEIN user kann und will die Seriösität jedes einzelnen content providers beurteilen.

Aus Konsumentensicht gehört das das international normiert und gesetzlich verbindlich geregelt. [ja, schon wieder ... tut mir leid, aber freiwillig funktioniert das niemals!]

Zertifizierung durch eine Behörde bzw. selektiv von den Behörden lizensierte und streng kontrollierte Anbieter. Zertifizierung nach strengem, standardisierten Verfahren. Von mir aus in 3 unterschiedlichen Stufen - "Gold/super tough", "Silber/tough", "Bronze/Mittelprächtig" ... jeweils mit laufender Kontrolle/Überprüfung auch während der Laufzeit des Zertifikats. Alle, die Content anbieten, der in irgendeiner Weise "heikel" ist, bzw. heikle userdaten abfragt/verwaltet, muss mindestens "Silber" haben, sonst Internet-Zensur, Seite weg vom Fenster. Anbieter wie Facebook und Google oder online-banking etc. müssten dann noch ein spezielles "Platin"- Verfahren über sich ergehen lassen.

Es ist nicht einzusehen, warum jedes Auto behördlich angemeldet werden muss, versichert sein muss und dann je eine behördlich vergebene Nummerntafel vorne und hinten zu tragen hat [DAS ist eine "Zertifizierung"!!!], andrerseits aber selbst bei den heikelsten websites keinerlei verbindliche Standards herrschen sollen! Das wird auch ohne Frage so kommen.

Deshalb bleibe ich dabei: auch wenn ich vollauf verstehe, dass die aktuellen Zertifizierungs-Alternativen sehr unbefriedigend sein mögen: Eigenzertifikate sind immanent UNTAUGLICH bzw,. geradezu ein Widerspruch in sich selbst!

Eigenzertifikate an einer website sind für mich deshalb prinzipiell genau so viel wert, wie es selbstgemalte Nummerntafeln an einem Auto wären: gar nix bzw. "zum fürchten / tendenziell Finger weg"!

Das sehe ich aus meiner Normalverbraucher-user-Sicht völlig anders.

Das alleine hat - siehe Canon-Wunschliste - die Welt noch nie verändert.

Zertifizierung durch eine Behörde bzw. selektiv von den Behörden lizensierte
und streng kontrollierte Anbieter. Zertifizierung nach strengem,
standardisierten Verfahren. Von mir aus in 3 unterschiedlichen Stufen -
"Gold/super tough", "Silber/tough", "Bronze/Mittelprächtig" ... jeweils mit
laufender Kontrolle/Überprüfung auch während der Laufzeit des Zertifikats.
Alle, die Content anbieten, der in irgendeiner Weise "heikel" ist, bzw. heikle
userdaten abfragt/verwaltet, muss mindestens "Silber" haben, sonst
Internet-Zensur, Seite weg vom Fenster. Anbieter wie Facebook und Google oder
online-banking etc. müssten dann noch ein spezielles "Platin"- Verfahren über
sich ergehen lassen.

Lreider zeigt sich hier (wieder einmal), dass du dir zuerst wenigstens das Basiswissen ünber Dinge anlesen/lernen solltest, über die du zu spreczhen wünscht. So kann ich nur mit einem alten Franzosen sprechen "Du chast offensichtlich keiner Ahnung."

Deshalb bleibe ich dabei

Klar - falsche Annahme, falscher Schluss.

Du solltest vielleicht einmal nachlesen, wozu die hier angesprochenen Zertifikate dienen sollen.

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890
Galerien auf http://weinzettl.info

mir ist durchaus klar, wie wenig diese "Zertifikate" zertifizieren.

Es geht mir einfach darum, dass ein selbst ausgestelltes Zertifikat auf unmittelbar logischen Gründen immer vollkommen wertlos ist ... weil es den Ersteller eben um kein Jota identer oder vertrauenswürdiger machen kann.

Es wird aber eh nur noch ein wenige paar Jährchen so wie jetzt weitergehen, dann wird das Internet aus Gründen der politischen Zensur auch in der EU von den Machthabern total in den Schraubstock gespannt. "Sicherheitsbedenken" und tatsächliche oder gegebenenfalls behauptete oder gar selbst initiioerte "kriminelle Aktivitäten von Kinderporno bis Al Quaida/Terror" liefern den willkommenen Vorwand dafür.

Trotzdem ist die Verbindung verschlüsselt...

habe ich seit diesem Thread schon verstanden, Danke!

Mir gehts wie ebenfalls schon mehrfach geschrieben, einfach darum ... dass user wie ich tendenziell auf SSL verzichten, wenn dabei der Browser wegen eines völlig wert- und harmlosen Eigenbau-"Zertifikats" aufheult. Ich ging/gehe ohne SSL ins Forum weil mich
a) das Aufheulen nervt
b) es mich zuerst/bisher als unbedarften user verunsichert hat ["vielleicht ist das doch ein Sicherheitsrisiko, wenn der browser gar so schreit ... wer weiß, vielleicht ist das ganze gh-Forum von dunkeln Gestalten übernommen worden" ...

] und
c) sind meine Sicherheitsanforderungen ans gh-Forum nicht exorbitant hoch (sprich sehr schwaches Passwort ... nein, es war und ist nicht "geizhals") aber dennoch müssen diese pw nicht unbedingt im Klartext herumkugeln .. auch wen diesbezüglich der mögliche Sicherheitsgewinn ebenfalls nur marginal ist - wie bereits klar und auch für mich verständlich in diesem Thread dargelegt wurde.

Es hat aber eh was genutzt ... gh legt die pw in den cookies nicht mehr im Klartext ab und ich weiß etwas mehr darüber, dass und warum "Sicherheit im Internetz" eine reine Illusion ist und bleibt.

Ich gehe auch ohne SSL ins Forum, denn das was hier steht ist sowieso öffentlich und falls jemand mein Passwort "abhört" hab ich halt Pech gehabt. Das ist nun zumindest etwas schwieriger geworden (also das Passwort zu lesen).

"Aufheulen" tut der Browser (zumindest Firefox) eh nur einmal. Wenn man ihm dann sagt "passt", ist die Sache erledigt.

Über selbst signierte Zertifikate brauchen wir aber nicht streiten, denn das tust du ohnehin schon mit genügend anderen

.

Will aber auch gar net diskutieren und akzeptiere deine Meinung, wollte nur anmerken dass es eh verschlüsselt ist, was zumindest mir eigentlich das wichtigste bei gesicherten Verbindungen ist.

mir ist durchaus klar, wie wenig diese "Zertifikate" zertifizieren.

Nein, nach deinen bisherigen Auissagen ist dir nicht klar, was diese Zertifikate tun sollen...

Es geht mir einfach darum, dass ein selbst ausgestelltes Zertifikat auf
unmittelbar logischen Gründen immer vollkommen wertlos ist

...und genau deshalb ist diese Aussagen (grund)falsch.

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890
Galerien auf http://weinzettl.info

Nein, nach deinen bisherigen Auissagen ist dir nicht klar, was diese
Zertifikate tun sollen...

Zertifikate haben generell auch den Sinn, denjenigen zu identifizieren, der das Zertifikat verwendet (die Webseite, zB). Wenn es nur ums verschlüsseln der Verbindung ginge, würde es ausreichen nur ein Schlüsselpaar zu verwenden - alle weiteren Informationen wären überflüssig...

Self-Signed Zertifikate werden in der Regel dort verwendet wo kein Wert auf den vertauensbildenden Aspekt eines Zertifikats gelegt wird. Die Verbindung ist dann zwar immer noch verschlüsselt, aber für Man-in-the-Middle Attacken anfälliger, wenn man nicht genau weiß was man tut.

das Zertifikat bewußt self-signed. Ich werde mir aber nicht die Mühe machen, dir zu erklären, warum es Blödsinn ist, sich über self-signed certs zu
echauffieren.

Ich verstehe absolut, dass ein self-signed Zertifikat die gleiche - wenn nicht sogar höhere - Sicherheit bringt wie ein von allen Browsern automatisch erkanntes.

Warum du aber ein Kennwort als plaintext in das Cookie schreibt und das auch noch absichtlich, würde ich dich bitten, mir zu erklären. Nachdem ich erstmals auf diese Thematik stoße, kenne ich die Gründe nicht und kann sie daher auch nicht nachvollziehen.

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890
Galerien auf http://weinzettl.info

17.08.2010, 10:03 Uhr - Editiert von CWsoft, alte Version: hier

Warum du aber ein Kennwort als plaintext in das Cookie schreibt und das auch noch absichtlich, würde ich dich bitten, mir zu erklären.

Ich denke, das wurde in diesem Thread (und in älteren) schon ausführlich behandelt. Ein gehashtes Passwort schützt nicht vor einem kompromittierten GH-Account (das sollte leicht nachzuvollziehen sein), es schützt auch nicht den User vor bösartigen GH-Sysadmins, wenn diese sein mehrfach verwendetes Passwort woanders benutzen wollen um seine Daten auszuspähen (ebenfalls leicht zu sehen). Wenn er also dasselbe Passwort woanders auch verwendet, dann ist das seine größte Schwachstelle, denn:

- wir können die Daten immer abgreifen/sehen, somit ermöglicht er einem Seitenbetreiber Zugriff auf seine anderen Accounts (das ist schwer zu verstehen, "glaubt" man doch, daß alles sicher und seriös ist, schon wenn der Browser nicht irgendwo komisch warnt und das Design modern ist...)
- beim erstmaligen Login wandert normalerweise Plaintext über das Netz (außer man loggt per SSL ein), ein beharrlicher Sniffer bekommt es also ebenso

Wenn man also verstanden hat, daß ein mehrfach verwendetes Passwort grundsätzlich ein großer Fehler und zu vermeiden ist, was bleibt dann noch als Sicherheitsgewinn, wenn man das (nur hier verwendete) Passwort hasht und man sich mit dem gesnifften oder im Cookie erspähten/kopierten Passwort-Hash ebenso bei uns einloggen kann? Gut, die äußerst unwahrscheinliche Situation, daß ein GH-Passwort Rückschlüsse auf Passwörter anderswo erlaubt (wurde schon genannt), aber dann sind die schwachen Passwörter wiederum die größte Schwachstelle und nicht daß die Cookies möglicherweise ausgespäht werden können.

In einem gemeinsam genutzten Netz mag Sniffen ein Problem sein, im Internet insgesamt ist die Art, wie man seine Passwörter wählt und wo man sie benutzt ein viel größeres Problem.

Ich danke trotzdem für die ausführliche Antwort.

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890
Galerien auf http://weinzettl.info

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ich denke, das wurde in diesem Thread (und in älteren) schon ausführlich behandelt.

Ein sehr aufschlussreicher Dialog, danke!

whatever ...

Genau.

Wobei eine kurze Erklärung, warum sich GH für die gegebene Variante entschieden hat, nicht uninteressant gewesen wäre.

Andererseits hat es so ein sehr interessantes Bild auf die Persönlichkeit der Dialoggegner geworfen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

15.08.2010, 23:24 Uhr - Editiert von Oliver_nur echt mit 2 Kastratern und Daisy!, alte Version: hier

warum sich GH für die gegebene Variante entschieden hat, nicht uninteressant gewesen wäre.

Bei Zertifikaten ist das bei kurzer Recherche, die ich jedem ans Herz legen möchte, sofort offensichtlich.

Nun, man sollte meinen, dass Leute, die das Internet im Jahr 2010 benutzen, darüber Bescheid wissen.

Ich fand es halt interessant, weil Euer Dialog den Unterschied zwischen jemand der gut ist und jemand der wirklich gut ist, so schön illustriert.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Zertifikaten...Recherche...jedem ans Herz legen

Für so eine Aussage braucht man nicht qualifiziert sein. Anstatt User schlecht zu machen solltet ihr das lieber schleunigst ändern!

mfg
Andy
______________________
Meinungen sind wie Ar***löcher, jeder hat eines!
______________________

Für so eine Aussage braucht man nicht qualifiziert sein.

Sagt wer?

Anstatt User schlecht zu machen solltet ihr das lieber schleunigst ändern!

Haben wir schon, aber nicht, weil wir es für notwendig oder sinnvoll halten, sondern damit die Raunzerei endlich aufhört.

Gut gemeinte Ratschläge sind ja nett, aber unqualifiziertes, hartnäckig von irgendwo nachgeplappertes Halbwissen, dessen Bedeutung man nicht versteht, nervt mit der Zeit.

Gerade wenn es dir NUR um die Raunzerei geht verstehe ich dein Verhalten nicht. Hättest früher reagiert wer dir und uns vieles erspart geblieben. Deinen Teil über die User darfst dir ruhig denken.

mfg
Andy
______________________
Meinungen sind wie Ar***löcher, jeder hat eines!
______________________

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Gerade wenn es dir NUR um die Raunzerei geht verstehe ich dein Verhalten nicht.

Ja, du verstehst halt offenbar auch vieles nicht, was dich nicht davon abhält, den Raunzthread noch länger zu machen.

Hättest früher reagiert wer dir und uns vieles erspart geblieben.

Die Entscheidung ist gefallen, als dieser Thread zum 3. Mal eröffnet wurde, die früheren Threads waren ja schon ausgestanden. Aber danke, daß du mir auch noch gute Ratschläge erteilst, wann ich wie zu reagieren habe damit mir deiner Ansicht nach genug erspart bleibt.

Im Übrigen wäre mir und allen anderen dein Posting erspart geblieben, wenn du wenigstens vorher gelesen hättest, ob das jetzt schon umgesetzt ist.

Deinen Teil über die User darfst dir ruhig denken

Den darf ich sogar schreiben.

17.08.2010, 16:21 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Im Übrigen wäre mir und allen anderen dein Posting erspart geblieben,
wenn du wenigstens vorher gelesen hättest, ob das jetzt schon umgesetzt
ist.

Mit vielem hast du nicht recht, mit dieser Aussage sicher.

Den darf ich sogar schreiben.

Schön für dich.

mfg
Andy
______________________
Meinungen sind wie Ar***löcher, jeder hat eines!
______________________

Haben wir schon, aber nicht, weil wir es für notwendig oder sinnvoll halten,
sondern damit die Raunzerei endlich aufhört.

Wieso erinnert mich das jetzt an meinen Job?

Machst du Scherze? Bis vor nicht mal 2 Monaten hat die Seite hier (wie so ziemlich jedes andere Board auch, nur so nebenbei) den ganzen Schmarrn unverschlüsselt durch die Leitung gejagt. Da machst Dir ehrlich Sorgen um die Art wie das Passwort gespeichert wird?

Wer bei sowas ein Passwort verwendet das womöglich auch für was Wichtiges Verwendung findet (Online Banking, EBay, Amazon, Paypal...) gehört ohnehin dem Internetnutzungszulassung entzogen.

Aber davon mal ganz abgesehen, was meinst nutzt es wenn das PW als Hash abgespeichert wird? Wir haben bereits etabliert dass die Verwendung eines Passworts das auch für "Wichtiges" verwendet wird ballaballa ist. Bleibt also die Gefahr dass das Passwort (bzw. das Cookie) aus dem Cookie-Store geklaut wird. Ok. Und jetzt stellen wir uns mal vor, ich krieg den hash statt dem PW. Was ändert das für mich? Nix. Weil das, was ich da durchschicke vom Server verglichen wird. Ob ich da jetzt 'n Hash hab der vom Server akzeptiert wird oder 'n PW das vom Server akzeptiert wird ist mir als Angreifer ehrlich gesagt wurscht.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Wer bei sowas ein Passwort verwendet das
womöglich auch für was Wichtiges Verwendung findet (Online Banking, EBay,
Amazon, Paypal...) gehört ohnehin dem Internetnutzungszulassung entzogen.

Genau das ist aber das Problem. Genau so macht es eben der 0815 DAU. Der 0815 DAU aber bringt Geizhals Geld. Also sollte sich doch Geizhals überlegen, ob es nicht sinnvoller ist, wenn der 0815 DAU sein Geld über Geizhals zu Händlern trägt statt es diversen Kriminellen in den *PIEP* zu schieben. Das Passwort zu hashen ist ja nun wirklich keine Änderung, die man monatelang vorbereiten und testen muss...

$$$ Löschen statt Verstecken! $$$

Wenn Du mir jetzt noch erklärst warum's Geizhals nicht 100% egal sein sollte, können wir anfangen zu diskutieren.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Direkt: Wenn das Geld vom DAU bei der Russenmafia ist, wird der kaum noch über Geizhals mit diesem Geld einkaufen können.

Indirekt: Umso mehr Gewinn die Russenmafia durch DAUs macht, die überall das selbe PW verwenden, umso mehr Spam und Viren wird sie produzieren und versenden können.

$$$ Löschen statt Verstecken! $$$

Ja gefallen tut mir das auch nicht. Aber GH ist nicht für die Korrektur des Lernunwillens der Internetteilnehmer zuständig!

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Bei jeder seriösen Software-Firma fliegt man in hohen Bogen raus

aber nicht der chef

behebt diesen sicherheitsmangel dann erspart ihr euch die jammerei.

15.08.2010, 23:04 Uhr - Editiert von error-is.org, alte Version: hier

Beizeiten, bis dahin wäre es mir lieber, wenn die Leute sich so weit über Sichrheit im Web informieren würden, daß sie nicht hysterische Anfälle deshalb bekommen.

das internet ist kein wunschkonzert

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Beizeiten, bis dahin wäre es mir lieber, wenn die Leute sich so weit über
Sichrheit im Web informieren würden, daß sie nicht hysterische Anfälle deshalb
bekommen.

Ich wünscht mir, du würdest dich darüber informieren.

Ich wünscht mir, du würdest dich darüber informieren.

Ich wünschte mir, Mami würde dich endlich ins Bett stecken.

Das macht sofort einen sehr serioesen Eindrueck vom Unternehmen, wenn der Unternehmensgruender/Vorstand sowas schreibt!
j.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Das macht sofort einen sehr serioesen Eindrueck vom Unternehmen, wenn der Unternehmensgruender/Vorstand sowas schreibt!

Ahja, die Fraktion, die eloquenten Verkäufern die brooklyn bridge abkaufen würde, will sich auch zu Wort melden.

Ich bin keine Fraktion und moechte auch keine Bruecke kaufen, danke.
Abend,
j.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Sind Sie ernsthaft ein Mitarbeiter bei Geizhals? Das einzige was ich noch schlimmer finde, als die im Klartext gespeicherten Passwörter, ist die Art wie hier mit Kritik und den Forumbenutzern umgegangen wird. Das ist absoult lächerlich und auf unterstem Niveau.
---
Arbeite seit über 8 Jahren als Web- und Softwareprogrammierer und studiere seit 5 Semestern Betriebswirtschaft und Informatik.

Aus sicherheitstechnischer Sicht empfiehlt sich zumindest die Verwendung von Hash-Werten in Cookies.

Aus Marketingtechnischer Sicht kann man darauf allerdings gut verzichten und versuchen es irgendwie positiv zu spinnen á la "Geizhals.at: Wir geizen sogar bei der Sicherheit... und beim Nievau sowieso."

Sind Sie ernsthaft ein Mitarbeiter bei Geizhals? Das einzige was ich noch schlimmer finde, als die im Klartext gespeicherten Passwörter, ist die Art wie hier mit Kritik und den Forumbenutzern umgegangen wird. Das ist absoult lächerlich und auf unterstem Niveau.

Wenigstens nicht undifferenziert wie dieses Geschreibsel.

Arbeite seit über 8 Jahren als Web- und Softwareprogrammierer und studiere seit 5 Semestern Betriebswirtschaft und Informatik.

Gratuliere, aber allzu weit sollte man sich mit den Qualifikationen nicht aus dem Fenster lehnen.

Aus sicherheitstechnischer Sicht empfiehlt sich zumindest die Verwendung von Hash-Werten in Cookies.

Ja, danke, die Meinung kennen wir schon.

Aus Marketingtechnischer Sicht kann man darauf allerdings gut verzichten und versuchen es irgendwie positiv zu spinnen á la "Geizhals.at: Wir geizen sogar bei der Sicherheit... und beim Nievau sowieso."

Vielleicht solltest du einen Karrierewechsel ins Marketing überlegen, wenn's dann irgendwann auch mit dem Tippen/Rechtschreiben klappt.

Wie passt das nur zusammen? Wer andere rügt sollte sich selbst schon etwas besser auskennen (z.B. mit der (neuen) Rechtschreibung).

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

... daß deine Sorgen diesbezüglich Kinderkram sind.

Vielleicht solltest du einen Karrierewechsel ins Marketing überlegen, wenn's
dann irgendwann auch mit dem Tippen/Rechtschreiben klappt.

Wer andere rügt sollte sich selbst schon etwas besser auskennen (z.B. mit der (neuen) Rechtschreibung).

Die neue Rechtschreibung ist mir reichlich egal, außerdem gebe *ich* ja ganz sicher keine Marketing-Tipps.

Ui....noch einer mehr von der Sorte

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Sind Sie ernsthaft ein Mitarbeiter bei Geizhals?

Ich musste lollieren

Arbeite seit über 8 Jahren als Web- und Softwareprogrammierer und studiere seit 5 Semestern Betriebswirtschaft und Informatik.

16.08.2010, 10:56 Uhr - Editiert von Wizard51, alte Version: hier

Ich wünschte mir, Mami würde dich endlich ins Bett stecken.

Sind solche Antworten wirklich notwendig? Oder ist dieser Ton, den du hier in vielen Postings anschlägst, erwünscht in diesem Forum?

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890
Galerien auf http://weinzettl.info

wirklich notwendig?

Was ist schon wirklich notwendig? Ich wollte mal die Diskussion bez. "wie seriös ist GH weil wegen der plaintext-Cookies niemand gefeuert wurde" etwas abkürzen.

willst unsere überwachung echt so leicht machen?

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Wieso wird sie dadurch leichter? Weil ein paar schlecht informierte Leute dasselbe Passwort für andere Zwecke verwenden?

Naja. Die Forderung für alles ein eigenes Passwort zu haben, ist doch etwas überzogen. Das schafft kaum ein Mensch.

Ich sehe es zwar als nicht ganz so problematisch, da man ja ein dauerhaftes Login Cookie wohl eh nur am eigenen Computer setzt, aber im Cookie wäre ein Hash bei Gelegenheit schon wünschenswert.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Naja. Die Forderung für alles ein eigenes Passwort zu haben, ist doch etwas überzogen. Das schafft kaum ein Mensch.

Dafür gibt es Programme, die zufällige Passwörter erzeugen. Nachdem ohnehin jeder seine Passwörter für solche Zwecke im Browser speichert, ist das heutzutage praktisch Pflicht.

da man ja ein dauerhaftes Login Cookie wohl eh nur am eigenen Computer setzt,

Ein dauerhaftes Login-Cookie mit hash wäre genauso problematisch auf von mehreren Leuten genutzten PCs ...

aber im Cookie wäre ein Hash bei Gelegenheit schon wünschenswert.

Aus meiner Sicht eher Geschmackssache, jedenfalls nicht eins der vorrangigen Sicherheitsprobleme.

Wenn du wüsstest wie oft ich mir schion den kopf über Passwörter von irgendwelchen log ins gemacht habe, bei denen ich aus irgendwelcehn Gründen kein gespeichertes mehr hatte

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

jeder seine Passwörter für solche Zwecke im Browser speichert, ist das
heutzutage praktisch Pflicht.

__________________________________________________________________________________

Wenn du wüsstest wie oft ich mir schion den kopf über Passwörter von irgendwelchen log ins gemacht habe, bei denen ich aus irgendwelcehn Gründen kein gespeichertes mehr hatte

Ich mir auch schon ein paar Mal, z.B. bei Steam ist das extrem mühsam mit der recovery.

seh ich nicht ganz so. immerhin ist die email/passwort kombination nichtmehr bekannt.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ein dauerhaftes Login-Cookie mit hash wäre genauso problematisch auf von
mehreren Leuten genutzten PCs ..

immerhin ist die email/passwort kombination nichtmehr bekannt.

E-Mail sieht man sofort, Passwort ist nur interessant, wenn es auch woanders verwendet wird.

http://forum.geizhals.at/t714917,6123602.html#6123602

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ich will noch als "ich" posten können ohne einfachen identitätsdiebstahl.

Ohne daß vielleicht ein anderer ein böses posting in meinem namen schreibt.
Und ich dann vor gericht argumentieren darf daß das PW in klartext gespeichert wird und von jedem mit halbwegs simplen methoden aufgefangen werden kann.

Man kann das ja auch in eine andere richtung der möglichkeit driften lassen:
Ich poste einen wahnsinn der gegen alle möglichen gesetze verstößt, hamstere mir eine batzen klage ein, ihr dürft mit den daten herausrücken und wenns dann vor dem richter soweit ist, kommt der staranwalt der verteidigung und haut das argument auf den tisch:
Jeder konnte es einsehen der zugriff auf das cookie hatte, und das sind heutzutage nicht nur komplexe rootkit und böseware sondern die einfachsten tricks und simplesten scherzbolde.

Ich meine, ich posaune doch auch nicht meinen bankomat pin code um die häuser nur weil mein konto leer ist.

Der ist mit hashes im Cookie genauso einfach (aufs Forum bezogen).

ohne einfachen identitätsdiebstahl.

Und ich dann vor gericht argumentieren darf daß das PW in klartext gespeichert wird und von jedem mit halbwegs simplen methoden aufgefangen werden kann.

Das ist leicht zu beweisen (und hängt nicht vom plaintext-Passwort ab), aber ob das reicht. Schau lieber, daß du einen Trojaner oder Keylogger bekommst, der hinterläßt dann auch Spuren.

Ich poste einen wahnsinn der gegen alle möglichen gesetze verstößt, hamstere mir eine batzen klage ein, ihr dürft mit den daten herausrücken und wenns dann vor dem richter soweit ist, kommt der staranwalt der verteidigung und haut das argument auf den tisch:
Jeder konnte es einsehen der zugriff auf das cookie hatte, und das sind
heutzutage nicht nur komplexe rootkit und böseware sondern die einfachsten
tricks und simplesten scherzbolde.

Vergiß halt dann den anonymizer-Proxy nicht, zumindest wenn du denkst, der sei sicher...

Ich meine, ich posaune doch auch nicht meinen bankomat pin code um die häuser nur weil mein konto leer ist.

Aber die supersichere Karte würdest du herborgen? Lustig.

Na, im ernst, schlecht warats ned. Z.B. wenn ein "fremdgänger" tipps hier für seine lustvollen taten mit telefonaten ausm ausland sucht auch wenn er ned dort war, seine tussi aber erfährt was er postet weils sein cookie jedes mal dawischt hat. Ganz easy. da kann ja wirklich jede mitzi das zeug lesen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Aber die supersichere Karte würdest du herborgen?

Sicher ned freiwillig!

Aber ich versteh schon wenn man sonntags sauer ist daß das forum und dann seine user wieder mal raunzen

R RoboCop Smiley

Ganz easy bzw. exakt dasselbe auch mit md5-hashes ...

seine tussi aber erfährt was er postet weils sein cookie jedes mal dawischt hat. Ganz easy. da kann ja wirklich jede mitzi das zeug lesen.

Aber ich versteh schon wenn man sonntags sauer ist daß das forum und dann seine user wieder mal raunzen

Ich bin nicht sauer, ich habe nur nicht immer Lust dazu, so weit auszuholen um das alles zu begründen ... (nicht daß ich md5-hashes nicht ein kleines bißchen sicherer finden würde, aber bei weitem nicht so relevant wie alle glauben, man sieht's ja auch an deinen Beispielszenarios, für die die hashes keinerlei Unterschied machen würden - sorry

).

PS. langsam spiele ich mit dem Gedanken, die Passwörter mit ROT13 zu verschlüsseln, das ist mindestens so sicher.

16.08.2010, 00:05 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Gut, das md5 ist ja ned das einzige "schloß" auf das man sich festbeißen muß.

Wurde ja nur hier hineingeworfen wie in des drachens rachen.
Die skala des aufwands machts aus, so wars eigentlich gemeint.
Daß nix sicher ist, ist sicher. Nur ob die Mitzi, die weiß wo das cookie ist weils das in der Woman in diesem monat gelesen hat, auch weiß wie ein md5 hash (nein kein putzmittel) zu knacken ist, ist nicht sicher.

Du meinst, sie müßte md5 knacken statt das Cookie zu kopieren oder direkt zu nutzen? Kann ich leider nicht nachvollziehen ...

Nur ob die Mitzi, die weiß wo das cookie ist weils das in der Woman in diesem monat gelesen hat, auch weiß wie ein md5 hash (nein kein putzmittel) zu knacken ist, ist nicht sicher.

User.F_ID=133&User.F_PASSWORD=werbrauchschoneinpasswort

=

4ebbd6c0390459d1d051fb0355b92cc9

?

Oder liege ich wirklich so falsch in meiner annahme

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

? Leicht möglich um diese späte stund, oder gar "unwissenheit-unter-den-tisch-gekehrt"..

gut, du hast den Hash generiert. Aber ob ich jetzt diesen Hash aus dem Cookie kopiere und dem Server schicke, oder das Cleartext Pwd, er wird mich auf beide Arten reinlassen...

http://forum.geizhals.at/t714917,6123839.html#6123839

Und was ist wenn man das mit einer session ID verknüpfen würde?
Zeitlich begrenzt o.ä.
Was gibts denn noch für alternativen?

Ach für was hier der kopf zerbrechen, wenn wir eh komplett aus glas sind

16.08.2010, 10:06 Uhr - Editiert von RoboCop, alte Version: hier

Aber ob ich jetzt diesen Hash aus dem Cookie kopiere und dem Server schicke,
oder das Cleartext Pwd, er wird mich auf beide Arten reinlassen...

wie kommst du auf das? wenn das klartext-passwort über ssl daherkommt und der server daraus md5 macht um es in der db zu vergleichen würde er in diesem fall ein einen md5 hash aus deinem md5 string machen.

ich dachte es ging eben darum das klartext passwort nicht lokal beim user zu speichern, sondern einen md5 hash. oder hab ich da jetzt was falsch verstanden? in deinem beispiel hätte ich ja wieder das passwort als klartext lokal beim user?

sorry, du hast natürlich recht. ich war gedanklich gerade beim login über ssl und dem absenden des formulars.

Ja, das ist ein häufiges Mißverständnis.

Sicherer ist nur die Variante, die z.B. heise.de vor einiger Zeit implementiert hat: optional die IP-Adresse berücksichtigen bzw. darauf einschränken, dann kann ein gesnifftes cookie nicht einfach so verwendet werden. Das ist halt für "normale" User wieder etwas kompliziert und für DSL-User von fraglichem Nutzen.

Nachdem über diese Konten keinerlei finanzielle Transaktionen abgewickelt werden, sondern es sich ja eigentlich nur um ein x-beliebiges Blabla-Foum handelt, ist der Sicherheitsbedarf aber nicht wirklich sonderlich hoch. Was könnte im schlimmsten Fall jemand schon mit einem fremden Konto anstellen: Postings schreiben. Na furchtbar, die Welt bricht zusammen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

dass sehr viele internetuser weniger als 3 passwörter im internet verwenden ist ja bekannt. daran können wir auch nichts ändern.

ich persönlich sehe es auch als meine aufgabe (als programmierer) sicherzustellen dass ich meinen benutzern keinen schaden zuführe, bzw. seine daten bei mir sicher sind.

mit klartext passwörtern ist dies nicht der fall. sei es weil die datenbank gehackt wird und ein dump irgendwo auftaucht, jemand die cookies klaut und die user/pass kombination in irgendwelchen listen auftaucht, usw.

und es wurde ja bereits gesagt:
das feld auf md5 umstellen und den hash in die session/cookie ist kein aufwand.

15.08.2010, 23:36 Uhr - Editiert von error-is.org, alte Version: hier

Schon klar. Aber wie gesagt...der worst case ist in diesem Fall immer noch vernachlässigbar unwichtig.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Der worst case ist, daß der User dasselbe Passwort woanders verwendet und das sollte er lieber lernen, nicht zu tun. Du weißt ja, nach meinen Aussagen zu urteilen, sind wir ja womöglich keine seriöse Firma, was könnten wir alles mit den Passwörtern anstellen (unabhängig von der Art der Speicherung natürlich)!

Wer das tut, mit Ausnahme eines z.B. in einer Firma eingerichteten 'Single-Sign-On' gehört in meinen Augen eh bestraft.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Passwort woanders verwendet

seriös

Nun, viele Leute können Sympathie und das Anerkennen von Kompetenz nicht trennen.

Wer das tut, mit Ausnahme eines z.B. in einer Firma eingerichteten 'Single-Sign-On' gehört in meinen Augen eh bestraft.

... jede Wette, daß das auf mind. 99,9% der Web-User in zumindest einigen Fällen zutrifft. Selbst ich mache das manchmal, weil nicht alle Login-Methoden eine Speicherung des Passworts erlauben, man es sich also merken muß (und ich kann mir leider nicht sehr viele verschiedene Passwörter merken - die falschen/woanders funktionierenden irgendwo der Reihe nach einzutippen bis eins funktioniert, ist natürlich auch keine so gute Idee).

Wird wohl etwa hinkommen.

Da ich mit dem Merken vieler Passworte auch so meine Probleme habe, habe ich mir für die kritischen Konten einen Algorithmus zurechtgelegt. Das ist eigentlich auch wieder nicht gut, hat aber während der letzten 14 Jahre zu keinen Problemen geführt. Und in meiner Arbeit kann ich ohne erstens Signaturkarte und zweitens Dongle eh gerade mal Kaffee kochen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

mind. 99,9% der Web-Use

habe ich mir für die kritischen Konten einen Algorithmus zurechtgelegt.

So etwas wie ilmjbf1 = ich logge mich jetzt bei facebook ein?

Ein klein wenig komplizierter ist es schon.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

mit klartext passwörtern ist dies nicht der fall. sei es weil die datenbank
gehackt wird und ein dump irgendwo auftaucht, jemand die cookies klaut und die
user/pass kombination in irgendwelchen listen auftaucht, usw.

Hmja, das wäre schon schade um die tollen Passwörter wie "4711" und "geizhals", die man im Übrigen mit einfachsten Methoden auch bei Speicherung als md5-hash knackt.

das feld auf md5 umstellen und den hash in die session/cookie ist kein aufwand.

Einmal in Spaghetti-Java und einmal in Spaghetti-Perl - naja ein bißchen Aufwand ist es schon.

naja du bringst da aber was wesentliches durcheinander.

die user/passwort kombi im klartext kann JEDER lesen, rankommen und missbrauchen.

einen md5 hash zu decrypten dazu brauchts schon bisschen wissen und mehrere mittel als einen browser.

>Einmal in Spaghetti-Java und einmal in Spaghetti-Perl

dafür bist du aber selbst schuld

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

die user/passwort kombi im klartext kann JEDER lesen, rankommen und missbrauchen.

Echt? Wie lautet denn meine user/passwort kombi?

einen md5 hash zu decrypten dazu brauchts schon bisschen wissen und mehrere mittel als einen browser.

Nicht wirklich mehr Mittel als um einen unserer Server zu hacken ...

dafür bist du aber selbst schuld

Ja, du weißt ja, wir sparen bekanntlich am falschen Ende, deshalb war das Forum auch viel zu schnell fertig.

>Echt? Wie lautet denn meine user/passwort kombi?

du weisst schon wie ich das meinte.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

du weisst schon wie ich das meinte.

Ich hoffte, daß du über die Relationen noch einmal nachdenkst.

hab ich. es ändert aber doch nichts dran, daß otto normal surfer mit einem md5 hash nichts anfängt, oder?

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Aber Otto Normalsurfer kommt nicht an die DB.

aber vielleicht auf einem gemeinsam genutzten pc, eine liste von email/passwort kombinationen (gestohlen von cookies eines virenversuchten pcs), usw. usw.

dass cookies "entführt" werden ist leider nunmal so, da hilft das beste prädigen von uns nichts.

aber mit dem md5 stoppen wir zumindest mal die einfachsten hack-versuche.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

prädigen

jessasmariaundjosef!

ich entschuldige mich und kaufe ein e

aber vielleicht auf einem gemeinsam genutzten pc

keylogger ...

(gestohlen von cookies eines virenversuchten pcs),

wenn man mal einen Virus auf den PC bringt, braucht man echt keine Klartext-Passwörter zu fürchten ... sieht man ja z.B. daran, was die aktuellen Trojaner mit den supersicheren Telebanking-Systemen machen.

dass cookies "entführt" werden ist leider nunmal so, da hilft das beste prädigen von uns nichts.

Ja, aber noch einmal:
- der account ist dann kompromittiert, egal ob mit hashes oder ohne
- wer dasselbe Passwort woanders verwendet, handelt so oder so fahrlässig und hat ein viel größeres Problem als einen gehackten GH-account

Ein MD5 mit salt zu knacken ist nicht trivial.
Ohne Salt ist es möglich, aber das wäre ja wieder die nächste Lücke.

Wenn du bezüglich der Kollisionen bedenken hast nimm halt was andres als MD5.

Den User dazu zu erziehen überall andere Passwörter zu benutzen ist nicht die Aufgabe von Geizhals, oder irgendeiner Plattform. (Auch wenn es stimmt!)

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ein MD5 mit salt zu knacken ist nicht trivial.

Ja, ein salt is sowieso Pflicht. Ich bezog mich aber auf die Art der Passwörter und meinte dictionary-based Attacken u.dgl.

Den User dazu zu erziehen überall andere Passwörter zu benutzen ist nicht die Aufgabe von Geizhals, oder irgendeiner Plattform. (Auch wenn es stimmt!)

Wenn sich die Gelegenheit ergibt - z.B. in so einer Diskussion, finde ich schon, daß man dazu einen Beitrag leisten kann. Ohne ein grundlegendes Sicherheitsbewußtsein auch bez. der Server, die man benutzt, handelt man generell fahrlässig im Netz, oder wie sinnvoll ist es denn, z.B. Apple, Google, seinem ISP und 10 Foren theoretisch und praktisch gegenseitige Ausspähung seiner dort gelagerten Daten (oder gar Transaktionen) zu ermöglichen, indem man dasselbe Passwort verwendet?

Es gibt auch User die ein Passwort auf verschiedenste Arten abwandeln, und damit nur fast das Selbe verwenden (fortlaufende Zahlen, Buchstaben, url des Forums, etc). Durch das Lesen des Klartextes kann man solche Abwandlungen leichter erraten.

Durch das Abspeichern des Klartextes gefährdest du also sogar eine Gruppe von Usern die sich die Mühe machen und verschiedene Passwörter verwenden.

Im Übrigen gebe ich Joglus Recht:

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ohne ein grundlegendes Sicherheitsbewußtsein auch bez. der Server, die man
benutzt, handelt man generell fahrlässig im Netz, oder wie sinnvoll ist es
denn, z.B. Apple, Google, seinem ISP und 10 Foren theoretisch und praktisch
gegenseitige Ausspähung seiner dort gelagerten Daten (oder gar Transaktionen)
zu ermöglichen, indem man dasselbe Passwort verwendet?

Den User dazu zu erziehen überall andere Passwörter zu benutzen ist nicht die Aufgabe von Geizhals, oder irgendeiner Plattform. (Auch wenn es stimmt!)

16.08.2010, 03:27 Uhr - Editiert von kaufinator1, alte Version: hier

Es gibt auch User die ein Passwort auf verschiedenste Arten abwandeln, und damit nur fast das Selbe verwenden (fortlaufende Zahlen, Buchstaben, url des Forums, etc). Durch das Lesen des Klartextes kann man solche Abwandlungen leichter erraten.

Durch das Abspeichern des Klartextes gefährdest du also sogar eine Gruppe von
Usern die sich die Mühe machen und verschiedene Passwörter verwenden.

Weißt du, was erstaunlich und außerdem sehr lustig ist? Ca. 100% der User, die in diesem Thread besonders hartnäckig / unsachlich die Klartext-Passwörter kritisieren (z.B. dein zurückgezogenes Posting weiter oben) verwenden selbst absolut lächerliche Passwörter - und das ist jetzt nicht übertrieben. Eigentlich sollten diese Accounts gleich gesperrt werden...

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

absolut lächerliche Passwörter

unsachlich

Eigentlich sollten diese Accounts gleich gesperrt werden...

auch nicht schlecht - liest du auch die E-Mails deiner Mitarbeiter?

Weißt du, was erstaunlich und außerdem sehr lustig ist? Ca. 100% der User, die
in diesem Thread besonders hartnäckig / unsachlich die Klartext-Passwörter
kritisieren (z.B. dein zurückgezogenes Posting weiter oben) verwenden selbst
absolut lächerliche Passwörter

ich habe mein Passwort auf dieses "besonders lächerliche" erst geändert nachdem ich erfahren habe, dass dieses Passwort im Klartext gespeichert wird. Ich verwende dieses Passwort sonst nirgendwo. Ich hatte vorher ein stärkeres Passwort, das ich auch auf anderen Seiten verwende. Ich dachte es wäre hier "sicher", aber da offensichtlich sogar der Admin sich die Passwörter hier ab und zu mal durchliest, (woher sonst weißt du ob es lächerlich ist?) war es wohl die richige Entscheidung es zu ändern.

Angesichts dieser Entwicklung stelle ich mir gerade eine weitere Frage: Wer hat denn noch so Zugriff auf die DB?

16.08.2010, 11:53 Uhr - Editiert von kaufinator1, alte Version: hier

Ich hatte vorher ein stärkeres Passwort, das ich auch auf anderen Seiten verwende. Ich dachte es wäre hier "sicher", aber da offensichtlich sogar der Admin sich die Passwörter hier ab und zu mal durchliest, (woher sonst weißt du ob es lächerlich ist?) war es wohl die richige Entscheidung es zu ändern.

Wieder was gelernt... Aber Facebook usw. vertraust du noch immer genug für so ein mehrfach verwendetes Passwort?

(Mark Zuckerberg: "I don't know why. They 'trust me'. Dumb *PIEP*s.")

Ich hab auch ein Quote für dich: "Two wrongs don't make a right".

Du bist gerade nicht in der (moralischen) Position andere darüber zu belehren, wie man mit sensiblen Daten umgeht.

Als Admin einer riesen Seite die Passwörter der User im Klartext zu speichern, diese dann auch noch durchzulesen - womit du selbst das Paradebeispiel dafür gibst, warum es gefährlich ist Passwörter im Klartext zu speichern - und dann auch noch davon abzulenken, indem man auf die Fehler der Andern zeigt ist wirklich unfassbar. Nimm erst mal den Balken aus deinem Auge bevor du auf den Splitter im Auge der Anderen zeigst.

PS: Ich hab keinen Facebook Account.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Wieder was gelernt... Aber Facebook usw. vertraust du noch immer genug für
so ein mehrfach verwendetes Passwort?

(Mark Zuckerberg: "I don't know why. They
'trust me'. Dumb s.")

Du bist gerade nicht in der (moralischen) Position andere darüber zu belehren, wie man mit sensiblen Daten umgeht.

Wenn du's sagst.

Ich bin leider in einer sehr guten Position dazu, da ich einen guten Einblick in die Problematik (Theorie und Praxis) habe, aber du kannst die Hilfestellung ruhig ablehnen, wenn dir meine Vorgangsweise zu unmoralisch erscheint.

Als Admin einer riesen Seite die Passwörter der User im Klartext zu speichern, diese dann auch noch durchzulesen - womit du selbst das Paradebeispiel dafür gibst, warum es gefährlich ist Passwörter im Klartext zu speichern

Sorry, aber das DB-Interface ist nun mal mein präferiertes Admin-Interface, da läßt sich das gar nicht vermeiden. Ein bösartiger admin bekommt das Passwort aber auch völlig problemlos wenn's als hash gespeichert ist, schließlich mußt du das irgendwann im Klartext eingeben/pasten bzw. über's Netz schicken (dich auszuloggen wird ja kein Problem sein). Und wer's auf deine accounts/Daten abgesehen hat, wird das eher nicht öffentlich breittreten.

und dann auch noch davon abzulenken, indem man auf die Fehler der Andern zeigt ist wirklich unfassbar

Ich lenke überhaupt nicht ab, ich hoffe nur, daß du nun etwas weniger Blödsinn machst mit deinen Logins. Dazu mußt du mich gar nicht mögen.

Du bist echt der Wahnsinn, wie kann man für seine eigenen Fehler nur so blind sein? Vielleicht ist es Arroganz, weil du eine lange Ausbildung und viel Erfahrung hinter dir hast. Letztendlich ist das auch egal, denn das alles entschuldigt nicht wie du mit den Daten deiner User umgehst.

Welches Interface du präferierst wäre auch vollkommen egal, wenn du die Passwörter Hashen würdest, weil du sie dann nicht im "drüberschaun" lesen könntest.

Lange Listen mit E-Mail und Passwort (so wie in deiner Datenbank) wurden auch schon öfter für sehr viel Geld verkauft! Aber ich bin mir sicher du stellst _nur vertrauenswürdige Mitarbeiter_ ein, daher kann das hier nicht passieren!

Die Klartextspeicherung ist aus vielen verschiedenen Gründen eine Sicherheitslücke, egal wie du es rechtfertigst. Anstatt immer über die Fehler der Anderen zu sprechen, solltest du dir darüber mal Gedanken machen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

16.08.2010, 13:59 Uhr - Editiert von kaufinator1, alte Version: hier

Letztendlich ist das auch egal, denn das alles entschuldigt nicht wie du mit den Daten deiner User umgehst.

Wie gehe ich denn damit um? Mal ganz ehrlich, das scheint für dich mehr eine Geschmacksfrage als rational begründbar zu sein, worüber du dich aufplusterst.

Daß man in jeder Ordination und sonstwo seine Adresse in normaler Lautstärke angeben muß ist ein 1000x gravierenderes Problem als die Frage, was ein Server-Admin mit den User-Daten macht oder nicht macht und aus welchem Grund - Support, Multinicks erkennen, sich über die angebliche Kompetenz in Sicherheitsfragen diverser Leute lustig machen (traue niemandem => also bitte keine woanders funktionierenden Login-Daten verwenden).

Welches Interface du präferierst wäre auch vollkommen egal, wenn du die Passwörter Hashen würdest, weil du sie dann nicht im "drüberschaun" lesen könntest.

Ich soll die Passwörter vor mir selbst verstecken, wenn ich genau weiß, daß ich sie jederzeit leicht bekomme, wenn ich will? Wozu? Das klingt sehr nach katholischen Moralvorstellungen, wo man ja auch möglichst nicht in Versuchung geführt werden will, weil man weiß, daß man so schwach ist.

Aber ich bin mir sicher du stellst _nur vertrauenswürdige Mitarbeiter_ ein, daber kann das hier nicht passieren!

Haha, denkst du wirklich, daß das auch nur annähernd interessant ist für einen böswilligen Mitarbeiter? Da gibt es zahlreiche lukrativere Angriffspunkte an den Stellen, wo tatsächlich Geld verdient wird.

Aber noch einmal: wenn du mißtrauisch sein willst, dann sei das bitte konsequent und verwende keine Login-Daten, die woanders funktionieren. Alles andere ist einfach nur dumm bzw. Affentheater, weil die Frage, ob die Passwörter im plaintext bei dir oder bei uns gespeichert werden, völlig belanglos ist, wenn der Serverbetreiber Unfug treiben will.

Die Klartextspeicherung ist aus vielen verschiedenen Gründen eine Sicherheitslücke, egal wie du es rechtfertigst. Anstatt immer über die Fehler der Anderen zu sprechen, solltest du dir darüber mal Gedanken machen.

Du kannst es noch 10x posten wenn du möchtest, es wird dadurch auch nicht kritischer.

Ich glaube das ist die Kernaussage: Weil du (und Andere) ja sowieso an die Passwörter kommen können wenn sie wollen, musst du dir nicht die Mühe machen sie zu verschleiern.

Ganz nach dem Motto: machs dem Bösewicht so leicht wie möglich, weil anstrengen würde er sich sowieso?

Ich habs schon weiter unten geschrieben: Der Aufwand für diese Maßnahme ist noch geringer als der Nutzen, und daher wäre es verhältnismäßig. Warum du dich aufgrund von irgendwelchen Prinzipien trotzdem dagegen stemmst ist mir unverständlich.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Aber noch einmal: wenn du mißtrauisch sein willst, dann sei das bitte
konsequent und verwende keine Login-Daten, die woanders funktionieren. Alles
andere ist einfach nur dumm bzw. Affentheater, weil die Frage, ob die
Passwörter im plaintext bei dir oder bei uns gespeichert werden, völlig
belanglos ist, wenn der Serverbetreiber Unfug treiben will.

Ich glaube das ist die Kernaussage: Weil du (und Andere) ja sowieso an die
Passwörter kommen können wenn sie wollen, musst du dir nicht die Mühe machen
sie zu verschleiern.

Ganz nach dem Motto: machs dem Bösewicht so leicht wie möglich, weil
anstrengen würde er sich sowieso?

Die Kernaussage ist: die vorrangigen Sicherheitsprobleme (bzw. die Schwachstellen) liegen woanders und nicht da. Und natürlich widerstrebt es mir zunehmend, genau das zu beheben, was die schlechter informierten, besonders hartnäckigen User irrtümlich für ein vorrangiges Sicherheitsproblem halten.

Es macht dir sichtlich Spass dein Verhalten mit den Fehlern der Anderen zu rechtfertigen. Ob das eine erfolgreiche (vertrauensbildende) Strategie ist, lasse ich dich selbst herausfinden.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Und natürlich widerstrebt es mir zunehmend, genau das zu beheben, was die
schlechter informierten, besonders hartnäckigen User irrtümlich für ein
vorrangiges Sicherheitsproblem halten.

Ich halte es nicht für ein vorrangiges Sicherheitsproblem. Ich habe schon an anderer Stelle geschrieben, dass es nicht schlau ist sein Passwort an mehreren Stellen zu verweden - und das ist wahrscheinlich auch ein schwerwiegenderes Problem.

ABER nur eines dieser 2 Sicherheitsprobleme kannst du beheben.

ABER nur eines dieser 2 Sicherheitsprobleme kannst du beheben.

Stimmt ja gar nicht, ein kleiner Check, wo die Login-Daten sonst noch funktionieren, ist schneller geschrieben als der Code für gehashte Passwörter...

Und wem würde das Nutzen? Ich glaub du hast mich schon verstanden!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Stimmt ja gar nicht, ein kleiner Check, wo die Login-Daten sonst noch
funktionieren, ist schneller geschrieben

Und wem würde das Nutzen?

Na den Usern, damit könnte man sie warnen...

Da hast du sicher jetzt ne schöne Passlist

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Aber gut zu wissen...

Da hast du sicher jetzt ne schöne Passlist

"jetzt"?

Jeder Serverbetreiber hat grundsätzlich Zugang zu allen Passwörtern der User im Klartext, wenn er möchte. Das sollte man als User jedenfalls wissen.

So wie es bisher war, musstest du nicht einmal "wollen" um die Passwörter zu lesen. Du musstest nur hinschauen, was uU sogar unwillkürlich passiert.

Ab jetzt muss man die Passwörter absichtlich abfangen, diese Handlung hat eine ganz andere Qualität.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Jeder Serverbetreiber hat grundsätzlich Zugang zu allen Passwörtern der User
im Klartext, wenn er möchte. Das sollte man als User jedenfalls wissen.

Du hast echt eine sehr merkwürdige und weltfremde Auffasssung von security...

Kleiner Denkanstoß: du würdest es so oder so nicht bemerken, meine Motivation kannst du nicht einschätzen und was ich hier schreibe, muß selbstverständlich auch nicht zutreffen. Wie wirkt sich das auf dein Verhalten aus und warum?

Aber du der einen halben Tag damit verbringt ein Sicherheitskonzept (wenn man das überhaupt so nennen kann) zu verteidigen, dass darauf aufbaut dass sich 75% der Menschen anders verhalten müssen, ist nicht weltfremd? Selten so gelacht!

Im GEGENTEIL! Du scheinst zu glauben weil das Abfangen der Passwörter für dich immer noch möglich ist, gibt es überhaupt keinen Sicherheitsgewinn, das ist weltfremd.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Du hast echt eine sehr merkwürdige und weltfremde Auffasssung von security...

Ahja!

Kleiner Denkanstoß: du würdest es so oder so nicht bemerken, meine Motivation
kannst du nicht einschätzen und was ich hier schreibe, muß selbstverständlich
auch nicht zutreffen. Wie wirkt sich das auf dein Verhalten aus und warum?

Ich weiß nicht was du mir damit sagen willst. Willst du wissen ob ich dir gaube? Dann sage ich: Ja, bis ich Anhaltspunkte dafür habe dass du lügst.

edit: kann es sein dass du in der DB immer noch das Klartext Passwort hast, und nur die Hashes abgleichst?

16.08.2010, 20:59 Uhr - Editiert von kaufinator1, alte Version: hier

Ahja! Aber du der einen halben Tag damit verbringt ein Sicherheitskonzept (wenn man das überhaupt so nennen kann) zu verteidigen, dass darauf aufbaut dass sich 75% der Menschen anders verhalten müssen, ist nicht weltfremd? Selten so gelacht!

Du hast noch immer nicht begriffen, daß diese Leute gar keine Wahl haben, ob sie nun dieselben credentials bei GH und FB oder FB und gmail verwenden, ist einerlei. Dein hypothetisches Szenario, daß irgendwer (wer?) zwar an die Cookies kommt, aber nicht an das plaintext-Passwort, ist Unsinn.

Ich weiß nicht was du mir damit sagen willst.

Das ist ja das Traurige... 100% erkenntnisresistent.

Willst du wissen ob ich dir gaube? Dann sage ich: Ja, bis ich Anhaltspunkte dafür habe dass du lügst.

Dann ist es aber schon zu spät. Mann, und mit dir unterhalte ich mich über Sicherheitskonzepte.

Jetzt sag doch mal: Ist das Passwort in der DB noch im Klartext?

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Denk mal scharf nach, wozu man das noch benötigen könnte.

Wenn du damit darauf anspielst, dass man sein Passwort vergessen kann und du es dann zuschicken kannst, dann muss ich dir leider sagen, dass es dafür auch bessere (sicherere) Lösungen gibt.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

ja, demnächst schicken wir ein zufällig generiertes Passwort zum Freirubbeln per Post.

Du könntest auch einen Link schicken über den der User ein neues Passwort eingeben kann. Alternativ oder kumulativ gibts auch die Möglichkeit einer Geheimfrage.

Ich verstehe nicht was dagegen sprechen soll! Jedesmal wenn ich ein Passwort vergessen habe und mir die Seite dann die Klartextversion zuschickt, denke ich mir dass die ein sehr dürftiges (oder auch garkein) Sicherheitskonzept haben.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Du könntest auch einen Link schicken über den der User ein neues Passwort eingeben kann. Alternativ oder kumulativ gibts auch die Möglichkeit einer Geheimfrage.

Und das (ohne nervige Geheimfrage, weil man die auch mal vergessen kann oder wenn man ehrlich antwortet, sie für social engineering offen ist) ist sicherer als das Passwort in der Mail, weil ... ?

Jedesmal wenn ich ein Passwort vergessen habe und mir die Seite dann die Klartextversion zuschickt, denke ich mir dass die ein sehr dürftiges (oder auch garkein) Sicherheitskonzept haben.

Ja, über deine Einschätzung von Sicherheitsrisiken weiß ich schon bescheid.

Weil dann du und die Mitarbeiter in deinem Unternehmen (mit DB Zugriff) nicht ohne Weiteres die Passwörter einsehen können. Mir ist schon klar, dass das kein Allheilmittel ist, aber es ist eine "Best Practice" - Also das Optimum in diesem Bereich.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Und das (ohne nervige Geheimfrage, weil man die auch mal vergessen kann oder
wenn man ehrlich antwortet, sie für social engineering offen ist) ist sicherer
als das Passwort in der Mail, weil ... ?

Mir ist schon klar, dass das kein Allheilmittel ist, aber es ist eine "Best Practice" - Also das Optimum in diesem Bereich.

Das Optimum im Bereich "snake oil" wohl. Das "Weitere" ist nämlich, wie schon oft genug geschrieben, überhaupt kein Problem. Sorry, aber Benutzerfreundlichkeit ist uns dann doch lieber.

Da müssen ja wirklich sehr viele täglich ihr Passwort vergessen, wenn das so eine große Beeinträchtigung der Benutzfreundlichkeit darstellt.

Mal ganz abgesehen davon, dass viele erfolgreiche Plattformen genau das von mir beschriebene System einsetzen, ohne dass die Nutzer wegrennen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Sorry, aber Benutzerfreundlichkeit ist uns dann doch lieber.

Pff...rubbeln...Post...

...der gemeine Geizhals erwartet mindestens eine berittene Botin, in Person von Lady Godiva, dioe ihm den Code als Morgengabe überreicht.

erwartet mindestens eine berittene Botin

eine reitende botin ist sicher nett

bitte um vorankündigung

danke

hm den Code als Morgengabe überreicht.

Glaubst wirklich dass sie jeden heiraten will, der sein Passwort vergessen hat? Übrigens wurde die Morgengabe vor 8 Monaten abgeschafft!

Die aber hoch unkomfortabel sind!

Bei einer so simplen Sache wie einem Forum empfinde ich solche Dinge wie einmal Links zum Neusetzen des Passwortes, oder Zufallspasswörter als extrem lästig.

Ich finde der Nutzen gleicht den Aufwand aus. Aber ich gebs langsam auf hier auf einen besseren Datenschutz zu hoffen.

Dein hypothetisches Szenario, daß irgendwer (wer?) zwar an die Cookies kommt,
aber nicht an das plaintext-Passwort, ist Unsinn.

Der Sohn, die Tochter, die Ehefrau, der Arbeitskollege, .... .

Zugegeben, falls das Passwort auch im Firefox gespeichert ist, dann erübrigt sich alles weitere. Der zeigt es ja auch im Klartext an.

Zugegeben, die werden mein Forenpasswort sowieso erraten können, weil die Passwörter der beiden untersten Sicherheitsstufen(*) meinem näheren Umfeld eh bekannt sind.

Das muss aber nicht so sein.
Und es könnte ja durchaus sein, dass jemand das Forum nicht in die unterste Sicherheitstufe einordnet. Dann kann das durchaus dazu führen, dass sich ein liebes Familienmitglied, auf diese Weise Rechte verschafft, die es nicht haben soll.

(*)So wie fast alle Menschen habe ich ein mehrstufigees Passwortsicherheitskonzept.

Unterste Stufe: Login bei Workstions, Spielen.
Zweite Stufe: Login bei social Networks, und Firmenportalen, wo keine direkte Zahlungsfunktion drauf liegt.
Dritte Stufe: Serverlogins
Vierte Stufe: Mit Zahlungsfunktion versehene Dienste.
Fünfte Stufe: Geheimnisse, die ich in den Tod mitnehmen will.

16.08.2010, 21:28 Uhr - Editiert von MG, alte Version: hier

Zugegeben, falls das Passwort auch im Firefox gespeichert ist, dann erübrigt sich alles weitere. Der zeigt es ja auch im Klartext an.

tja ...

Dann kann das durchaus dazu führen, dass sich ein liebes Familienmitglied, auf diese Weise Rechte verschafft, die es nicht haben soll.

Also die Wahrscheinlichkeit, daß ein Familienmitglied zwar Cookies durchforstet um Passwörter zu finden, aber keine bessere Möglichkeit findet, wenn das nicht funktioniert, halte ich für sehr gering. Beim 10. Mal Zuschauen beim Einloggen (weil nicht gespeichert) weiß man es eh auch ...

das ist einfach nur blödsinn. ein böswilliger admin stellt auch mit hashes viel mist an.

denk mal darüber nach "wer physikalischen zugriff auf ein system hat, ist, wenn er will, root auf der maschine" da kannst du noch soviele hashes etc ablegen. die kenntnis des PWs ist vollkommen belanglos, wenn ich auch nen verschlüsselten hash davon habe. schick ich halt den hash an die richtige stelle und alles ist gut.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Als Admin einer riesen Seite die Passwörter der User im Klartext zu speichern,
diese dann auch noch durchzulesen - womit du selbst das Paradebeispiel dafür
gibst, warum es gefährlich ist Passwörter im Klartext zu speichern -

Schon wieder das Argument: Keine Sicherheit ist besser als ein wenig Sicherheit? Dann deinstalliere doch mal bitte deinen Virenscanner (weil der eh nicht alles erkennt), und verwende überall das selbe Passwort (weil jemand ders auf dich abgesehen hat sowieso an jedes Passwort kommt).

nochmal melchen mehrwert an sicherheit hast du, wenn das cookie das PW als hash hat im vergleich zu einen klartext passwort?

das problem hier ist doch nur, dass anhand eines cookies authentifiziert wird. hast du das cookie kommst du rein, hast du das cookie nicht, hast du pech gehabt. der inhalt ist hier doch nur sekundär und hat mit mehr oder weniger sicherheit überhaupt nichts zu tun!

nochmal melchen mehrwert an sicherheit hast du, wenn das cookie das PW als
hash hat im vergleich zu einen klartext passwort?

Probleme ergeben sich:

wenn man das Passwort auf mehreren Seiten verwendet

wenn man verscheidene Passwörter verwedet, diese aber auf vorhersehbare Weise wählt

weil der Admin die Passwörter in der DB ohne Anstrengung lesen kann

weil Mitarbeiter die ebenfalls Zugriff auf die DB haben die Passwörter ohne Anstrengung lesen können

weil die Passwörter zusammen mit der E-Mail Adresse aus der DB kopiert (und verkauft) werden können

Diese Liste kann man bestimmt noch fortsetzen.

Dass es keine absolute Sicherheit gibt, ist wohl jedem klar, aber deshalb muss man die Latte nicht so niedrig wie möglich hängen - vor allem weil der Aufwand den Nutzen mehr als aufwiegt.

weil die Passwörter zusammen mit der E-Mail Adresse aus der DB kopiert (und
verkauft) werden können

wenns beispielsweise darum geht, dann dürfte keine firma ihren mitarbeitern globale adresslisten anbieten. da kann ich auch alle daten, wie emailadresse, interne telefonnummer etc. mit einem schlag absaugen und verkaufen.

Im Übrigen ist es in manchen Branchen offenbar gang und gäbe, Userdaten zu verkaufen, aber interessiert das einen User?

ja etwas noch schlechteres zu finden ist nie schwer.

es besser zu machen offensichtlich schon.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Eigentlich sollten diese Accounts gleich gesperrt werden...

Traust dich nie....

Hinweis in einer Diskussion - Ja
Hinweis durch eine Maßnahme (wie PW klartext im Cookie) - Nein

Also es mag sein, dass die meisten ein PW verwenden welches für Dictionary attacks interessant ist, aber sicher nicht alle.

Also es mag sein, dass die meisten ein PW verwenden welches für Dictionary
attacks interessant ist, aber sicher nicht alle.

auch das ist belanglos. viel eher geht es darum, dass du für fun foren, wie geizhals, oder für facebook nicht unbedingt das gleiche passwot wie für deine kreditkarte oder telebanking verwenden solltest. scheinbar ist das aber vielen hier neu.

von mir aus können sie mein GHF passwort ruhig lesen, das pw funktioniert bei meinen accounts und zugängen exkat nur für dieses forum hier. damit kannst also max mit meinem account hier postings verfassen. so what?

von mir aus können sie mein GHF passwort ruhig lesen, das pw funktioniert bei
meinen accounts und zugängen exkat nur für dieses forum hier. damit kannst
also max mit meinem account hier postings verfassen. so what?

Dann veröffentliche es doch bitte (ohne es hinterher zu ändern natürlich)!

ein Hash des Passworts hätte es auch getan und der Aufwand dafür ist praktisch
Null

Finde ich auch!
R RoboCop Smiley

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

ist das so?
Oder wäre es nicht sinnvoller das Passwort asymetrisch verschlüsselt zu speichern?

Weil für das Login dann eben den Hashwert auszutauschen würde ja erst wieder wie ein Zweitschlüssel funktionieren. Damit wäre nichts gewonnen.

Stimmt...

Danke für den hinweis!
R RoboCop Smiley

Die sichere Übertragung ist dann aber trotzdem noch problematisch.
Der Transport des Schlüssels müsste noch vom Eigentümer signiert sein, damit sicher ist,
dass der Schlüssel nicht von jemandem woanders (gestohlen) weg geschickt wurde.

http://de.wikipedia.org/wiki/Digitale_Signatur

Finde die Rechtfertigungsversuche für die fehlende Verschlüsselung wirklich Spitze. So nach dem Motto: Zylinderschlösser kann man per Lockpicking und mit allen möglichen Werkzeugen sowieso leicht knacken, also bauen wir erst mal gar keines ein...

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Nicht alles, was ein Vergleich ist, hinkt. Aber in den Anfängen gab es eh kein Login für das Forum.

wenn ich das cookie habe und das ist der einzige mechanismus zur identifizierung, dann bin ich drinnen. also ist es doch *PIEP*gal wie das pw wo abgelegt ist.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Liebes Geizhals Team, das ist aber mehr als nachlässig, ein Hash des Passworts
hätte es auch getan und der Aufwand dafür ist praktisch Null.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

für unwichtigen kram wie zb das geizhals forum habe ich immer ein dummes passwort ala 12345.

nehmts euch nicht so wichtig.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

habe ich immer ein dummes passwort ala 12345.

Und da bist du nicht allein.

Mit den ersten 4 von mir geratenen "dummen" Passwörtern kann man ca. 2% der Accounts hier knacken... Eigentlich sollten wir dem Benutzer ein zufällig erzeugtes Passwort anbieten, das er erst manuell ändern muß.

das ändert aber nichts an 12345 PWs wenn du nicht extra auf kompexität des PWs prüfst. Aber im endeffekt ist es egal. die frage - wieviele haben jetzt wohl schlaflose nächte, weil sie bei GHF das gleich PW verwenden wie für Mastercard Securecode oder Telebanking oder ähnliches - stellt sich hier wohl eher

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Eigentlich sollten wir dem Benutzer ein zufällig erzeugtes Passwort anbieten,
das er erst manuell ändern muß.

das ändert aber nichts an 12345 PWs wenn du nicht extra auf kompexität des PWs prüfst.

Doch, weil die typischen User das zufällig erzeugte PW hoffentlich nie ändern werden...

wieviele haben jetzt wohl schlaflose nächte, weil sie bei GHF das gleich PW verwenden wie für Mastercard Securecode oder Telebanking oder ähnliches - stellt sich hier wohl eher

Auch wenn das keine gute Lösung des Problems ist, das Problembewußtsein wäre dann ja schon mal geschaffen.

stimmt auch wieder. böse zungen behaupten ja, viele pc nutzer wissen nichtmal, dass sie für email ein password brauchen, da der firmenexchangeserver im outlook noch nie nach einem passwort gefragt hat

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Doch, weil die typischen User das zufällig erzeugte PW hoffentlich nie ändern
werden...

Auch wenn das keine gute Lösung des Problems ist, das Problembewußtsein wäre
dann ja schon mal geschaffen.

Siehst du es eigentlich eher als deine Aufgabe an eine sichere und vertrauenswürdige Seite zu programmieren, oder willst du eher die User erziehen? Deiner Argumentationslinie nach zu urteilen schein dir letzteres wichtiger zu sein.

Siehst du es eigentlich eher als deine Aufgabe an eine sichere und vertrauenswürdige Seite zu programmieren, oder willst du eher die User erziehen? Deiner Argumentationslinie nach zu urteilen schein dir letzteres wichtiger zu sein.

- Die Site ist wegen der plaintext-Passwörter nicht weniger sicher
- Vertrauenswürdigkeit ist sehr subjektiv und ich zumindest habe gelernt, möglichst niemandem zu trauen, schon gar nicht z.B. Google trotz aller tollen Zertifikate, verschlüsselter Cookies u.dgl. ...
- Die User zu erziehen ist sicher sinnvoll, wenn auch manchmal mühsam

Mag sein, aber die Identitäten der User sind weniger sicher.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

- Die Site ist wegen der plaintext-Passwörter nicht weniger sicher

- Vertrauenswürdigkeit ist sehr subjektiv und ich zumindest habe gelernt,
möglichst niemandem zu trauen, schon gar nicht z.B. Google trotz aller tollen
Zertifikate, verschlüsselter Cookies u.dgl. ...

Was willst du damit sagen? Dass du es erst garnicht versuchst Vertrauen herzustellen? Im Moment hab ich das Gefühl dass Google mehr an der Sicherheit meiner Daten interessiert ist als Geizhals - immerhin hängt Googles Geschäftsmodell davon ab.

- Die User zu erziehen ist sicher sinnvoll, wenn auch manchmal mühsam

Vor allem: Es hat dich weder jemand darum gebeten, noch ist es deine Aufgabe.

Im Moment hab ich das Gefühl dass Google mehr an der Sicherheit meiner Daten interessiert ist als Geizhals - immerhin hängt Googles Geschäftsmodell davon ab.

Hahaha ...

Vor allem: Es hat dich weder jemand darum gebeten, noch ist es deine Aufgabe.

Das ist nun mal ganz sicher nicht ausschlaggebend.

Dass dir das egal ist, ist tatsächlich kein Geheimnis.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Das ist nun mal ganz sicher nicht ausschlaggebend.

Ja, im Übrigen hat mich auch niemand darum gebeten, einen Preisvergleich zu programmieren ...

Der Erfolg hat dir aber Recht gegeben. Ob du mit deiner Einstellung zum Datenschutz ebenso erfolgreich sein wirst wage ich zu bezweifeln.

Oder anders formuliert: Der Preisvergleich ist ein Service den die User wollen. Für die Passwortspeicherung im Klartext gibt es keinen ähnlich guten Grund.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

16.08.2010, 16:27 Uhr - Editiert von kaufinator1, alte Version: hier

Ob du mit deiner Einstellung zum Datenschutz ebenso erfolgreich sein wirst wage ich zu bezweifeln.

Du meinst, weil ich den Usern nahelege, sich um tatsächliche Sicherheitsprobleme (mehrfach verwendete Logins) zu kümmern statt sich über theoretische Probleme zu beschweren? Ja, das ist gut möglich, daß das auf Unverständnis stößt, rationales Verhalten ist schließlich rar geworden.

Für die Passwortspeicherung im Klartext gibt es keinen ähnlich guten Grund.

Dir fällt nur keiner ein ... Wir haben aber z.B. schon mehrere Bugs gefunden und behoben, weil wir mit den Klartext-Passwörtern besser debuggen können (Encoding-Probleme usw.).

Liest du dir eigentlich auch manchmal die nicht öffentlichen Wunschlisten der User durch?

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Liest du dir eigentlich auch manchmal die nicht öffentlichen Wunschlisten der User durch?

Nur wenn es einen Bugreport diesbezüglich gibt ...

Da wetterst du gegen das SPG und staatliche Spitzelei, im Gegenzug speicherst du alle Passwörter IMHO ohne ordentliche Begründung im Klartext (ein vermeintlicher Angriff kommt nicht immer von außen - Ein 'engagierter Mitarbeiter' reicht aus) und gibst auch noch ganz offen zu da regelmäßig einen Blick draufzuwerfen ... Wirklich 'sauber' ist das nicht.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Hopfen, Malz ...

Tja, man kann nur froh sein das DU kein Ducduc bist ... Soviel dazu.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Hopfen, Malz ...

Gott erhalts?

Hopfen, Malz ...

Tja, man kann nur froh sein das DU kein Ducduc bist ... Soviel dazu.

Ja, deine intimsten und sensibelsten Daten sind bei ISPS, Geheimdiensten, Google u.dgl. sicher gut aufgehoben...

Unabhängig von intimen und sensiblen Daten => Du stellst dich mit denen auf eine Stufe.

Ich hab hier nichts zu 'prostituieren', dass ist eine reine Prinzipsache und da hab ich mich in dir getäuscht.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Unabhängig von intimen und sensiblen Daten => Du stellst dich mit denen auf
eine Stufe.

Nein, ich habe ja keinerlei Verwendung für die Daten und auch keine Ambitionen in die Richtung. Die User selbst finden die Daten hier übrigens nicht sensibel genug um vernünftige Passwörter zu verwenden, das ist durchaus relevant.

Edit: im Übrigen muß ich noch einmal drauf hinweisen, daß es absolut keinen Unterschied macht, die wie Passwörter gespeichert sind, wenn wir sie irgendwie "nutzen" wollen.

Ich hab hier nichts zu 'prostituieren', dass ist eine reine Prinzipsache und
da hab ich mich in dir getäuscht.

Ein wichtigeres Prinzip ist, die User nicht in vermeintlicher Sicherheit zu wiegen und ihnen die Möglichkeit zu geben, mehr über die Problematik zu erfahren.

16.08.2010, 16:41 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Die User selbst finden die Daten hier übrigens nicht sensibel genug um
vernünftige Passwörter zu verwenden, das ist durchaus relevant.

Wunderts dich, nachdem du offen zugibst wie du mit den Daten (Passwörtern) umgehst?

im Übrigen muß ich noch einmal drauf hinweisen, daß es absolut keinen
Unterschied macht, die wie Passwörter gespeichert sind, wenn wir sie irgendwie
"nutzen" wollen.

Darum geht es auch nicht. Wenn es jemand darauf anlegt kann er jeden Virenscanner umgehen, jedes Schloß knacken, usw. Soll man deshalb keinen Virenscanner mehr verwenden und die Türen unversperrt lassen? Es geht darum wie hoch man die Latte legt.

So wie ich das verstanden habe siehst du die Passwörter ständig während du im Forum (über das Datenbankinterface) surfst... Das heißt selbst wenn dich die Passwörter nicht interessieren siehst du sie zwangsläufig, wenn dein Blick (zufällig) dort hin wandert...

Ein wichtigeres Prinzip ist, die User nicht in vermeintlicher Sicherheit zu
wiegen und ihnen die Möglichkeit zu geben, mehr über die Problematik zu
erfahren.

Wird bei der Anmeldung oder beim Login darauf hingewiesen dass ihr die Passwörter ausschließlich im Klartext speichert? Wenn es dir wirklich um so edle Ziele geht, dann wäre das wohl das Mindeste.

Wunderts dich, nachdem du offen zugibst wie du mit den Daten (Passwörtern) umgehst?

Du verwechselst wieder mal Ursache und Wirkung.

Darum geht es auch nicht. Wenn es jemand darauf anlegt kann er jeden Virenscanner umgehen, jedes Schloß knacken, usw. Soll man deshalb keinen Virenscanner mehr verwenden und die Türen unversperrt lassen? Es geht darum wie hoch man die Latte legt.

Schon wieder so ein hinkender Vergleich. Für einen potentiellen Mißbrauch auf unserer Seite sind gehashte Passwörter absolut irrelevant, versteh das endlich.

Das heißt selbst wenn dich die Passwörter nicht interessieren siehst du sie zwangsläufig, wenn dein Blick (zufällig) dort hin wandert...

Ja, und weiter? IP-Adressen, Mail-Adressen, Uhrzeiten an denen User aktiv sind sehe ich auch ständig. Irgendwie scheint sich bei dir mal eine Meinung festgesetzt zu haben, die durch rationale Argumente und Fakten nicht mehr korrigierbar ist.

Wird bei der Anmeldung oder beim Login darauf hingewiesen dass ihr die Passwörter ausschließlich im Klartext speichert? Wenn es dir wirklich um so edle Ziele geht, dann wäre das wohl das Mindeste.

Das würde die Leute nur einschüchtern und ihnen - wie bei dir - Bedenken in eine ganz falsche Richtung machen. Eher sollten wir darauf hinweisen, daß sie nicht dasselbe Passwort verwenden sollten wie auf anderen Websites.

genau!

Gleich verbunden mit einer Eingabemaske, in welche die user ihre bei aneren websites aktuell verwendeten Passwörter eintragen können ... "damit wir Ihnen auf Basis Ihrer bereits verwendeten Passwörter ein dazupassendes, neues, leicht zu merkendes, hochsicheres passwort für das gh-Forum vorschlagen können! Das ist bei uns Chefsache!"

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Eher sollten wir darauf hinweisen, daß sie nicht dasselbe Passwort verwenden
sollten wie auf anderen Websites.

Ich finde diese Ermahnung, unterschiedliche Passwörter für unterschiedliche webseites zu verwenden, zwar gut gemeint, aber in der Praxis völlig undurchführbar.

Ich verwende für alles, was mir nicht so heikel erscheint, dasselbe passwort. Ein zweites für alle etwas "heikleren" Dinge. Und ein drittes fürs Onlinebanking. Mehr als drei relativ einfache PW kann ich mir unmöglich merken - es ist so schon ein ständiger Verhau. Im Browser speichern wäre bei mir auch sinnlos, weil ich den gesamten Cache samt allen Cookies & Co. mindestens 1x die Woche komplett lösche. Ausserdem erscheint mir das angesichts dessen, was aus dem Browser offenbar alles ausgelesen werden kann, auch keineswegs sicher. Und Passwörter bei M$ oder Google im "Passwortspeicher" zu hinterlegen, finde ich ähnlich intelligent wie das berühmte Passwort-post-it am Bildschirm.

16.08.2010, 17:13 Uhr - Editiert von iraki, alte Version: hier

Nein, ich habe ja keinerlei Verwendung für die Daten und auch keine Ambitionen
in die Richtung.

DAS würde dem ganzen ja die Krone aufsetzen. Mir gehts aber etwas mehr um die 'Ethik' hinter dem ganzen => Schon in der Ausbildung lernt man, dass man als Admin an ALLES herankommen kann - Wenn Bedarf besteht. Das ist der springende Punkt. Hier besteht absolut kein Bedarf irgendwelche Passwörter zu lesen und das sehe ICH sehr kritisch.

Die User selbst finden die Daten hier übrigens nicht sensibel genug um
vernünftige Passwörter zu verwenden, das ist durchaus relevant.

Für wenn oder was ist das relevant? Diese Erkenntnis ist weder neu noch kannst du daraus irgendwelche positiven Effekte ableiten. Warum baust du dann nicht ein entsprechende Policy ein, die genau das verhindert? Stattdessen erzählst du hier noch rum, wie dumm doch so mancher User ist, weil sein Passwort nichtmal den einfachsten Anforderungen genügt.

Schon in der Ausbildung lernt man, dass man als Admin an ALLES herankommen kann - Wenn Bedarf besteht. Das ist der springende Punkt. Hier besteht absolut kein Bedarf irgendwelche Passwörter zu lesen und das sehe ICH sehr kritisch.

Doch, es hilft beim Debuggen und auch bei der Einschätzung des Userverhaltens (= Fazit: wir sollten die User besser über Risiken informieren, weil sie ihnen nicht bewußt sind), wie ich schon geschrieben habe.

Für wenn oder was ist das relevant?

S.o.

Stattdessen erzählst du hier noch rum, wie dumm doch so mancher User ist, weil sein Passwort nichtmal den einfachsten Anforderungen genügt.

Ja, das ist aber im Kontext zu sehen - wenn diese User dann noch Ratschläge erteilen, wie man die Logins vermeintlich sicherer machen kann, hat das doch eine ganz eigene Qualität.

Das wird ja immer besser, du liest nicht nur die Passwörter, du machst dich auch noch darüber lustig! Ich hätte nicht gedacht dass ich sowas mal erlebe!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ja, das ist aber im Kontext zu sehen - wenn diese User dann noch Ratschläge
erteilen, wie man die Logins vermeintlich sicherer machen kann, hat das doch
eine ganz eigene Qualität.

wieviele haben jetzt wohl schlaflose nächte, weil sie bei GHF das gleich PW
verwenden wie für Mastercard Securecode oder Telebanking oder ähnliches -
stellt sich hier wohl eher

Also, ich habe schon viel zu wenige Passwörter, aber Mastercard-Securecode habe ich dann doch einen anderen

oder einfach eine stärkere passwort policy einführen. die paar if abfragen müssen doch noch drinnen sein

Das nervt die User...

aber du zwingst sie zu einem teil von ihrem standardpasswort abzuweichen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Nein, ich zwinge sie dann eher dazu, von einem gleichgültigen Passwort abzuweichen, von ihrem Standardpasswort eher nicht, das sollte ja sicher sein (genug andere sites weisen darauf hin).

Wenn man die Sicherheit seiner Seite ein klein wenig ernst nimmt, speichert man die Passwörter nicht im Klartext, warum?

1. Seriöse Anbieter versuchen die Sicherheit auch für den dümmsten oder unerfahrendsten Benutzer so sicher wie möglich zu machen. Es gibt nun mal viele Leute, die für alles das gleiche Passwort verwenden, weil sie sich dem Risiko einfach nicht bewusst sind. Nicht jeder ist mit einem Computer aufgewachsen.

2. Es gibt Hacker die wahrlos durchs Internet stöbern auf der Suche nach Passwörtern. Selbst wenn ein schlechtes Passwort gehasht ist, macht sich der Hacker einfach nicht die Mühe es zu hacken, weil es viel zu zeitaufwendig ist, eine Passwort Liste zu hacken. Wenn jeder Anbieter Passwörter hashen würde, würde zwar immernoch gehackt werden, aber es würde ein wenig aufwändiger und das macht es auch ein wenig sicherer und ein wenig teurer für den Hacker.

3. Passwörter gehen niemanden etwas an, auch nicht den Serveranbieter, Privatsphäre geht vielen am *PIEP* vorbei, so wohl auch den Foren Betreibern hier. Sie schauen sich die Passwörter an, um zu sehen, dass ihre Forennutzer unsichere Passwörter verwenden und posten das auch noch öffentlich, das halte ich für äußerst fragwürdig.

Was die Zertifikate angeht. Der Aufwand einen Benutzer mit selbstsigniertem Zertifikat zu täuschen ist nun mal geringer, als der mit offiziellem Zertifikat. Mehr Aufwand für den Hacker -> Mehr Sicherheit, keine volle Sicherheit, aber einfach ein wenig mehr.

Korruption mag ja sein, aber dann muss man den Korrupten auch erst mal bezahlen und das machen nicht viele und man bekommt es nicht einfach umsonst.

Auf einer Baustelle dürfen häufig auch nicht einfach nur Schilder aufgestellt werden um die Leute zu warnen, nein die Stellen müssen abgesichert werden. Menschen machen Fehler und sie lernen daraus, aber man versucht sie trotzdem vor ihren Fehlern zu bewahren, auch wenn sie dann nicht daraus lernen.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

16.08.2010, 10:17 Uhr - Editiert von Trabio, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

2. Es gibt Hacker die wahrlos durchs Internet stöbern auf der Suche nach Passwörtern. Selbst wenn ein schlechtes Passwort gehasht ist, macht sich der Hacker einfach nicht die Mühe es zu hacken, weil es viel zu zeitaufwendig ist, eine Passwort Liste zu hacken.

Großer Irrtum...

3. Passwörter gehen niemanden etwas an, auch nicht den Serveranbieter, Privatsphäre geht vielen am *PIEP* vorbei, so wohl auch den Foren Betreibern hier. Sie schauen sich die Passwörter an, um zu sehen, dass ihre Forennutzer unsichere Passwörter verwenden und posten das auch noch öffentlich, das halte ich für äußerst fragwürdig.

Ich halte Mail-Adressen für sensibler als Passwörter und diese müssen uns nun mal anvertraut werden. Natürlich posten wir das öffentlich um auf die Gefahren hinzuweisen, die Passwörter erlauben aber auch eine Einschätzung der Relevanz der Plaintext-Angelegenheit.

Menschen machen Fehler und sie lernen daraus, aber man versucht sie trotzdem vor ihren Fehlern zu bewahren, auch wenn sie dann nicht daraus lernen.

Na siehst du, hier ist noch niemand durch plaintext-Cookies zu Schaden gekommen (bis jemand mal eine XSS-Lücke findet und diesbezüglich ausnützt), jedoch sind im Laufe dieses Threads einige zur Erkenntnis gelangt, daß mehrfach verwendete Passwörter heutzutage doch vielleicht keine so gute Idee sind.

16.08.2010, 13:50 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Großer Irrtum...

Kein Irrtum, es ist nur logisch. Wenn 10 Hacker auf verschiedene Seiten mit Passwörtern treffen, macht sich vielleicht die Hälfte die Mühe die zu knacken, aber selbst wenn es alle tun, sie kommen langsamer voran und darum geht es. Wenn man sie nur um 50 Prozent ausbremst, bekommen 50% weniger Leute Probleme.

Ich halte Mail-Adressen für sensibler als Passwörter und
diese müssen uns nun mal anvertraut werden. Natürlich posten wir das
öffentlich um auf die Gefahren hinzuweisen, die Passwörter erlauben aber auch
eine Einschätzung der Relevanz der Plaintext-Angelegenheit.

Da stimme ich dir zu.

Na siehst du, hier ist noch niemand durch plaintext-Cookies zu Schaden gekommen (bis jemand mal eine XSS-Lücke findet und diesbezüglich ausnützt), jedoch sind im Laufe dieses Threads einige zur Erkenntnis gelangt, daß mehrfach verwendete Passwörter heutzutage doch vielleicht keine so gute Idee sind.

Woher willst du denn das wissen, ob noch niemand zu Schaden gekommen ist, sowas bekommt man doch nicht mit...

Aber wie auch immer, ihr habt es implementiert, was bedeutet, dass ihr es nicht für sinnlos haltet.

Wenn man sie nur um 50 Prozent ausbremst, bekommen 50% weniger Leute Probleme.

Und wenn es 1% ausbremst, ist es egal.

Glaub mir, es ist egal.

ihr habt es implementiert, was bedeutet, dass ihr es nicht für sinnlos haltet.

Nur sinnlos als Sicherheitsmaßnahme.

möcht nicht wissen bei wieviel der angegebenen email accounts du mit dem gh-pw einsteigen kannst

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

jedoch sind im Laufe dieses Threads einige zur Erkenntnis gelangt, daß mehrfach verwendete Passwörter heutzutage doch vielleicht keine so gute Idee sind.

Tja, aber das ist den Usern offenbar egal. Ist ja keine gravierende Sicherheitslücke, wie etwa ein unverschlüsselt über's Netz wanderndes Passwort wie "12345" ...

warum wird das passwort als cookie gespeichert? könnte man nicht bei anmeldung einen einzigartigen zufallswert erzeugen und in der DB speichern, der bei korrekter anmeldung ausgelesen und gekekst wird? ändert nichts am konzept, zumindest wäre aber das passwort aus dem spiel.

bzgl. passwortwahl: man kann ja komplexere passwörter abverlangen. inwieweit das bei einem form sinn macht, ist eine andere diskussion.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

könnte man nicht bei anmeldung einen einzigartigen zufallswert erzeugen und in der DB speichern, der bei korrekter anmeldung ausgelesen und gekekst wird? ändert nichts am konzept, zumindest wäre aber das passwort aus dem spiel.

Könnte man (ist dann ein typischer session-cookie bzw. -hash).

bzgl. passwortwahl: man kann ja komplexere passwörter abverlangen. inwieweit das bei einem form sinn macht, ist eine andere diskussion.

Eine benutzerfreundliche Implementierung würde auch JS erfordern und das wäre die nächste Sicherheitslücke. JS ist zwar heutzutage sehr gängig, aber ich finde es gut, wenn man Websites benutzen kann, ohne es bei NoScript zu erlauben.

...wofür ich Dir jetzt mal wirklich Danken möchte

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

JS ist zwar heutzutage sehr gängig, aber ich
finde es gut, wenn man Websites benutzen kann, ohne es bei NoScript zu
erlauben.

(Ernst gemeint!)

ist dann ein typischer session-cookie

ja klar, war auch nur so eine idee - geschenkt, wenn's wer verwenden will

...Sicherheitslücke... aber ich finde es gut, wenn man Websites benutzen kann, ohne es bei NoScript zu erlauben.

seh' ich auch so, zumal der user dann auf die schnelle ein passwort aus dem ärmel zaubern müsste, das gefühlte 50%+ "sofort" vergessen würden.

zumal der user dann auf die schnelle ein passwort aus dem ärmel zaubern müsste, das gefühlte 50%+ "sofort" vergessen würden.

Heutzutage wird das eh gleich im Browser gespeichert, das ist also nicht tragisch, eher daß so eine Eingabe etwas nervt.

Ich gestehe, für so manchen unwichtigeren Kram wie diverse Foren das gleiche Passwort mehrfach zu verwenden. Wie soll man sich auch 30+ Login-Infos merken? Jo, Firefox merkt sie sich... aber wo notiert man sie sich, falls man mal neu aufsetzt o.ä.? PW-Generator mit Website-Datenbank o.ä. - gibt's da ein amtliches Tool fürn Mac? Wenns da was einfaches, unkompliziertes gibt und ich damit in Zukunft auf jeder wichtigen wie unwichtigen Seite ein 16-stelliges Passwort á la uCsn82sU1hfsUU81 habe und damit sicherer unterwegs bin, soll's mir recht sein.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

gibt's da ein amtliches Tool fürn Mac? Wenns da was einfaches, unkompliziertes gibt und ich damit in Zukunft auf jeder wichtigen wie unwichtigen Seite ein 16-stelliges Passwort á la uCsn82sU1hfsUU81 habe und damit sicherer unterwegs bin, soll's mir recht sein.

Neuinstallation ist eine schwierige Sache, ja ... Heutzutage muß man seine Firefox-Daten backuppen oder halt danach die Passwörter anfordern, eine praktischere Lösung gibt es m.E. nicht (diese Passwort-Vaults sind mir auch suspekt).

Aha, also verangst du im Prinzip von allen Usern dass sie überall verschiedene Passwörter verwenden sollen, am Besten diese nicht aufschreiben oder irgendwo abspeichern, aber du bist nichtmal bereit dazu einen Hash statt dem Klartext zu verwenden. Zweierlei Maß und so...

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Aha, also verangst du im Prinzip von allen Usern dass sie überall verschiedene Passwörter verwenden sollen

Ich verlange es nicht, ich empfehle es ausdrücklich.

am Besten diese nicht aufschreiben oder irgendwo abspeichern

Das ist von dir frei erfunden.

aber du bist nichtmal bereit dazu einen Hash statt dem Klartext zu verwenden. Zweierlei Maß und so..

Wie lange willst du eigentlich noch darauf herumreiten? Zweierlei Maß für 2 komplett verschiedene Dinge, ja.

Du verteidigst ein System dass ein anderes als das von dir empfohlene Verhalten durch Sicherheitseinbußen bestraft. Viel Unterschied zu "Verlangen" ist da nicht mehr.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ich verlange es nicht, ich empfehle es ausdrücklich.

Zweierlei Maß für 2 komplett verschiedene Dinge, ja.

In beiden Fällen geht es um die Sicherheit der Identitäten der Nutzer. Einmal kannst du etwas dafür tun (dazu bist du nicht bereit), und einmal kann der Nutzer selbst etwas tun (das empfiehlst du ausdrücklich). Wenn dir die Sicherheit der Identitäten deiner Nutzer wichtig wäre, dann würdest du ihnen nicht nur etwas empfehlen, sondern auch aktiv etwas dafür tun.

Im Moment hat es den Anschein als ginge es dir nur darum zu zeigen dass das Verhalten eines Großteils der Nutzer nicht schlau ist. Das halte ich nicht für sehr erwachsen und schon garnicht eines Vorstands würdig.

Du verteidigst ein System dass ein anderes als das von dir empfohlene Verhalten durch Sicherheitseinbußen bestraft. Viel Unterschied zu "Verlangen" ist da nicht mehr.

Unser System bestraft gar nichts, das Verhalten, das ich nicht empfehle, ist überall fahrlässig, das hat mit GH gar nichts zu tun. Wenn du das nur endlich verstehen würdest.

In beiden Fällen geht es um die Sicherheit der Identitäten der Nutzer. Einmal kannst du etwas dafür tun (dazu bist du nicht bereit), und einmal kann der Nutzer selbst etwas tun (das empfiehlst du ausdrücklich). Wenn dir die Sicherheit der Identitäten deiner Nutzer wichtig wäre, dann würdest du ihnen nicht nur etwas empfehlen, sondern auch aktiv etwas dafür tun.

Noch einmal: gehashte Passwörter sind
- für die Sicherheit der GH-Accounts nicht besser (gesnifft = geklaut, ob mit hashes oder plaintext)
- für die Sicherheit der Identitäten fahrlässig handelnder User minimal besser (nur in Kombination mit schwer zu knackenden Passwörtern, also <1 der Accounts hier vielleicht und nur wenn man davon ausgeht da beim erstmaligen Login nicht mitgesnifft wird und da wir selbst nicht b se sind weil dem Serverbetreiber die gehashten Passw rter reichlich egal sein k nnen wenn er sie im code/> Im Moment hat es den Anschein als ginge es dir nur darum zu zeigen dass das Verhalten eines Großteils der Nutzer nicht schlau ist. Das halte ich nicht für sehr erwachsen und schon garnicht eines Vorstands würdig.

Ich finde es äußerst amüsant, wie ich immer darauf hingewiesen werde, was andere Leute von einem Vorstand/Studierten/wasauchimmer so erwarten. Tut mir leid, aber für eure Erwartungen kann ich nichts, sie sind mir auch wirklich kein Anliegen.

Warum kehrst du diesem Forum denn nicht ganz einfach den Rücken, wenn du das immanente Gefühl hast, hier würde mit deinen Daten Schindluder getrieben? Die Lösung für dein Problem ist doch ein einfaches: Nicht mehr einloggen - kein Cookie mit Passwort - keine Unsicherheit mehr!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Wenn dir die Sicherheit der Identitäten deiner Nutzer wichtig wäre, dann würdest du ihnen nicht nur etwas empfehlen, sondern auch aktiv etwas dafür tun.

Ich halte dieses Forum und Geizhals im Allgemeinen durchaus für nützlich, daher war ich immer hier. Da ich mein Passwort jetzt geändert habe ist die Gefahr für mich auch nicht mehr relevant. Das ändert aber nichts daran dass ich jetzt ein anderes Bild von Geizhals habe, und das auch im Bekannten- und Verwandtenkreis kommunizieren werde.

"Ma gavte la nata!"

Ok, hab ich gegoogelt. Und weiter?

Handle danach!

Ich konnte leider keinen Stöpsel finden!

So tief steckt er?

ja gibt es, ist mitunter ganz praktisch
http://agilewebsolutions.com/products/1Password

Um der Raunzerei mal ein Ende zu bereiten, sind die Passwörter nun verschlüsselt im Cookie, man muß sich allerdings ausloggen und neu einloggen.

Es ist gut möglich, daß es nun diverse Bugs/Probleme gibt, bedankt euch bei den Leuten, die ihre hochsensiblen Passwörter (ca. auf dem Niveau von "juhu" und "abcdef") unbedingt vor was auch immer schützen wollten (vermutlich vor der Peinlichkeit

). Natürlich kann man die Cookies nach wie vor sniffen und kopieren und damit den GH-Account kompromittieren. Außerdem empfehlen wir nach wie vor, Login-Daten nicht mit den selben Passwörtern auf mehreren Websites/Accounts zu verwenden, da es absolut nicht notwendig und ein großes Sicherheitsrisiko ist.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Es ist gut möglich, daß es nun diverse Bugs/Probleme gibt, bedankt euch bei
den Leuten, die ihre hochsensiblen Passwörter (ca. auf dem Niveau von "juhu"
und "abcdef") unbedingt vor was auch immer schützen wollten

Kann ich deren email-Adressen haben, bitte!

Kann ich deren email-Adressen haben, bitte!

Nein, aber ich verrate dir, daß 1116 User "geizhals" als Passwort haben, welch Überraschung.

________________________________________________________________
You're not thinking fourth dimensionally!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

daß 1116 User "geizhals" als Passwort haben

Originell, wirklich!

geizhals

Ich habe sB-)lahzeig

ich verrate dir, daß 1116 User "geizhals" als Passwort haben

Seamos realistas y hagamos lo imposible

Holy mother*PIEP*in Santa Moly

Kein Wunder dass du reagierst wie du reagierst

____________________________________________________________________________
Brumdildo, sieh nur, ein Rotbackenpfeifdrüsling!

Nein, aber ich verrate dir, daß 1116 User "geizhals" als Passwort haben, welch
Überraschung.

Man soll nicht lügen in der Politik
Bundeskanzler Werner Faymann, FORMAT 35|2009 Seite 15

Mein Passwort hier ist ja auch simple, aber nicht sooooo... (Und ist mir auch egal weil eben nur hier!)

Frage am Rande: wieviele haben slahzieg als Passwort? Verrätst Du das auch noch? *ganznettfrag* (Und nein DAS "System" verwende ich nirgendwo

)

sind die Passwörter nun verschlüsselt im Cookie, man muß sich allerdings
ausloggen und neu einloggen.

na also! Da haben die raunzenden user den forumsbetreiber ja doch noch zu etwas mehr Sicherheit im Umgang mit ihren sorgsam gewählten Passwörtern erzogen!

wird bei mir aber jedenfalls positiv vermerkt ... auch wenn das natürlich unerheblich ist.

also selbst ich als DAU hab kapiert, daß es genau NÜSSE mehr Sicherheit bringt.

mfg
AVS

Es bringt unter bestimmten Umständen mehr Sicherheit!

nein, tut es eben nicht

mfg
AVS

Dafür dass du dich selbst als DAU bezeichnest wirfst du aber ziemlich sorglos mit (deiner Meinung nach) absoluten Wahrheiten um dich!

Wenn ein Nutzer das selbe Passwort mehrfach verwendet, oder ein vorhersehbares Muster verwendet, dann konnte man bisher auf gemeinsam benutzten PCs in das Cookie einsicht nehmen, und mit dem Passwort auch in andere Accounts einbrechen. Das ist jetzt nicht mehr möglich.

Wenn ein Nutzer das selbe Passwort mehrfach verwendet

dann ist derjenige ein Vollidiot

ein vorhersehbares Muster verwendet,

dann ist derjenige ebenfalls ein Vollidiot

auf gemeinsam benutzten PCs in das Cookie einsicht nehmen

dann muß derjenige ja ein absoluter MEGADAU sein, wenn er auf gemeinsamen PCs ein auto-login verwendet!!!

aber diese error-40 sind kaum GH anzulasten, oder?

Im übrigen gilt das hier http://forum.geizhals.at/t714917,6124490.html#6124490
gesagte: mein PW ist bei GH jetzt genau NULL sicherer als vorher.

PS: Danke. Jetzt hängt sichs Forum ständig auf.

mfg
AVS

dann ist derjenige ein Vollidiot

Diese Argumentation wurde doch schon bis zum Erbrechen durchgekaut... Ja, es ist nicht optimal, aber so sieht es in der Realität nun mal aus. Anstatt einer unerreichbaren Idealvorstellung hinterher zu Jagen (in der alle User sichere und verschiedene Passwörter verwenden), hat sich der Admin entschieden sich mit der Realität abzufinden, und das Leben für die unverbesserlichen "Vollidioten" etwas sicherer zu machen.

PS: Danke. Jetzt hängt sichs Forum ständig auf.

Bei mir läuft alles einwandfrei.

mein PW ist bei GH jetzt genau NULL sicherer als vorher.

Ab jetzt ist "kriminelle" Energie notwendig um sich den Klartext zu beschaffen. Vorher konnte man auch zufällig drüber stolpern.

Ab jetzt ist "kriminelle" Energie notwendig um sich den Klartext zu
beschaffen. Vorher konnte man auch zufällig drüber stolpern.

Genau das ist es, was mich noch verwirrt... wie sollte man zufällig darüber stolpern? Ich stolpere ja nicht zufällig im Cokkie-Ordner rum und lese einzelne Cookies durch.
Bitte um Erklärung.
____________________________________________________________________________
Brumdildo, sieh nur, ein Rotbackenpfeifdrüsling!

Im letzten Absatz meines Beitrags geht es darum wie das Passwort bei Geizhals in der Datenbank abgespeichert wird. Ich gehe davon aus, dass dort jetzt ein MD5 Hash statt dem Klartextpasswort steht.

Da der Admin das Datenbankinterface zum surfen im Forum verwendet, hat er ständig die Passwörter (und andere Informationen) im Blick, die wir hier nicht sehen. Überhaupt hat jeder der Zugriff auf die DB hat (weil er damit arbeitet zB) die Passwörter im Klartext lesen können.

Jetzt steht eine Kette aus Zahlen und Buchstaben in der DB (der Hash eben), die ein Mensch auf den ersten Blick nicht entschlüsseln kann. Um trotzdem an das Klartextpasswort zu kommen ist jetzt ein größerer Aufwand erforderlich (=das Abfangen des Passworts bevor es in den Hash umgewandelt wird).

edit: wie sich herausgestellt hat werden die Passwörter in der DB weiterhin im Klartext abgespeichert.

16.08.2010, 21:26 Uhr - Editiert von kaufinator1, alte Version: hier

mann, mann, mann...

schon mal dran gedacht, dass dein cookie jeder, wo dein netzwerkverkehr vorbeikommt, einfach aus dem traffic stehlen kann?

wenn du irgendwo im public wlan sitzt => BAM

wenn du "nette" kollegen im selben lan hast => BAM

irgendwer bei deinem ISP oder wer auch immer an dein kabek rankommt => BAM

du meinst, https waere 100% sicher? naja, ich will dich nicht aus dieser illusion heraus reissen. aber es ist nicht so.

ach, der Mann der unpassenden Vergleiche ist wieder da

Wenn einer an mein Cookie kommt, ist es, wie schon mehrfach gesagt, irrelevant, ob das PW im Cookie verschlüsselt ist oder nicht, er hat meinen login.

Aber das Erkennen von Zusammenhängen und RELEVANTEN Tatsachen ist halt ned so deines.
Warum forderst nicht DNA-Analysen für alle Cookies? Oder alle Netzwerktechniker? Oder alle DB-Admins? Tät zwar nix helfen oder ändern, aber es wäre sinnlos und das scheint bei deinen Forderungen ja oberste Maxime zu sein.

mfg
AVS

Wenn einer an mein Cookie kommt, ist es, wie schon mehrfach gesagt,
irrelevant, ob das PW im Cookie verschlüsselt ist oder nicht, er hat meinen
login.

dem ist eben nicht so. er hat den md5 hash, aber NICHT das passwort.

nicht alle betreiber speichern md5. somit ist das passwort mehr wert als der md5 hash.

Dann hängt er den cookie bei sich rein und loggt sich damit in deinen GH acc rein, somit: selber nutzen.

HABT IHR NUR SORGEN UM EUREN GH ACC?

Schärt euch mal um eure WoW-Account daten ob die nicht in irgendeinem Battle.net Cookie unverschlüsselt rumliegen und regt euch DARÜBER auf, ihr Kiddies

Dann hängt er den cookie bei sich rein und loggt sich damit in deinen GH acc
rein, somit: selber nutzen.

Falsch! Mit dem Klartextpasswort kann er sich auch noch woanders als Geizhals einloggen! Mit dem MD5 Hash nicht - also nicht selber Nutzen.

17.08.2010, 15:07 Uhr - Editiert von kaufinator1, alte Version: hier

Dann hängt er den cookie bei sich rein und loggt sich damit in deinen GH acc
rein, somit: selber nutzen.

damit beweist du dass du nichtmal ansatzweise verstanden hast was gemeint ist.

Schärt euch mal um eure WoW-Account daten ob die nicht in irgendeinem
Battle.net Cookie unverschlüsselt rumliegen und regt euch DARÜBER auf, ihr
Kiddies

3 beiträge verfasst und jemand - dir unbekannten - kiddie nennen.
damit disqualifizierst du dich eh schon selbst, aber das ist dir hoffentlich eh klar.

mich regt die sinnlose diskussion auf das jemand n cookie benutzen kann.

wenn du wirklich so dämlich bist, das selbe passwort bei WICHTIGEN daten zu verwenden, dann, wie gesagt, bist du einfach nur dämlich.

Wenn nicht isses WAYNE obs verschlüsselt is oder nicht.

3x 100% Zustimmung. Genau das sind die Punkte, die keiner verstehen will.

mfg
AVS

Wenn wir in einer Idealen Welt leben würden, hättet ihr absolut recht! Aber vielleicht solltet ihr auch mal die Realität besuchen! Hier ist vieles nicht so optimal wie es in der Theorie sein könnte. Hier gibt es Menschen (75% aller Internetnutzer - man könnte es also auch "die Mehrheit" nennen), die ihre Passwörter wiederverwenden. Manchmal auch für wichtige Dinge!

Ein Admin hat jetzt 2 Möglichkeiten mit diesen Tatsachen umzugehen. Er kann entweder (gegen Windmühlen kämpfen und) versuchen das Verhalten von 75% der Menschen zu ändern, oder er kann sein System entsprechend anpassen.

Was die bessere Alternative ist, lasse ich jetzt mal absichtlich offen! Vielleicht versteht ihre jetzt endlich mal worum es hier wirklich geht! Nämlich nicht darum welche Verhaltensweise die Bessere ist, sondern darum was in der Praxis besser Umsetzbar ist!

17.08.2010, 17:00 Uhr - Editiert von kaufinator1, alte Version: hier

ich glaub es wurde jetzt alles schon lang und breit erklärt.

es gibt realisten und halt die realitätsverweigerer. daran wird sich durchs 10te mal erklären auch nichts ändern.

Ich bin eben ein unverbesserlicher Optimist, und glaube fest daran dass auch der Letzte es irgendwann verstehen wird!

ok.

in der Praxis sind dann eben 75% Idioten. Und gegen Dummheit ist weder ein Kraut noch eine Verschlüsselung gewachsen.

mfg
AVS

Ein Admin hat jetzt 2 Möglichkeiten mit diesen Tatsachen umzugehen. Er kann entweder (gegen Windmühlen kämpfen und) versuchen das Verhalten von 75% der Menschen zu ändern, oder er kann sein System entsprechend anpassen.

Du verstehst noch immer nicht, daß wir die resultierenden Probleme nicht verhindern können, egal, was wir tun. Wir können nur so tun, als gebe es nichts zu befürchten, also die User so verarschen, wie du es gern möchtest.

Vielleicht versteht ihre jetzt endlich mal worum es hier wirklich geht! Nämlich nicht darum welche Verhaltensweise die Bessere ist, sondern darum was in der Praxis besser Umsetzbar ist!

Bitte geh in deine Gaga-Welt, wo Idioten dasselbe Passwort überall per SSL und gehasht verwenden um sich einzuloggen und sich alle total sicher fühlen, weil du es in Fettschrift bestätigst bzw. als "best practice" bezeichnest. Aber nerv nicht weiter mit deinem Gelaber.

damit hast du grundsätzlich recht, aber darum geht es nicht.

worum es geht hast du den ganzen thread schon nicht kapiert, ich glaub nicht dass dus jetzt kapieren würdest.

hau dir lieber nicht so viele cookies rein

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

mich regt die sinnlose diskussion auf das jemand n cookie benutzen
kann.wenn du wirklich so dämlich bist, das selbe passwort bei WICHTIGEN daten
zu verwenden, dann, wie gesagt, bist du einfach nur dämlich.Wenn nicht isses
WAYNE obs verschlüsselt is oder nicht.

damit hast du grundsätzlich recht, aber darum geht es nicht.

worum es geht hast du den ganzen thread schon nicht kapiert, ich glaub nicht
dass dus jetzt kapieren würdest.

Vergiss es, es ist sinnlos

Das sind genau die Leute, die glücklich sein sollten, dass Leute wie du sie beschützen, indem sie für sie nachdenken und Sicherheit "einbauen". Ein Dankeschön wirst du dafür nie hören - sie verstehen es ja nicht einmal

ach, der Mann der unpassenden Vergleiche ist wieder da

Wenn einer an mein Cookie kommt, ist es, wie schon mehrfach gesagt,
irrelevant, ob das PW im Cookie verschlüsselt ist oder nicht, er hat meinen
login.

Aber das Erkennen von Zusammenhängen und RELEVANTEN Tatsachen ist halt ned so
deines.
Warum forderst nicht DNA-Analysen für alle Cookies? Oder alle
Netzwerktechniker? Oder alle DB-Admins? Tät zwar nix helfen oder ändern, aber
es wäre sinnlos und das scheint bei deinen Forderungen ja oberste Maxime zu
sein.

Okay, okay... du hast gewonnen.

Wir nehmen demütig zur Kenntnis:

Programmierer, die sich auskennen und laufend solche Sachen implementieren, schreiben von einem Sicherheitsproblem - aber die irren alle.

Der Typ, der sich selbst als DAU bezeichnet (http://forum.geizhals.at/t714917,6124467.html#6124467 ) und keine Ahnung hat, hat natürlich recht.

sorry, daß ich mjy in dieser Sache bei weitem mehr glaube als einem wie dir.

mfg
AVS

Ist schon OK, manchmal glaubt man anderen eben mehr.

Ich glaube dir selbst zum Beispiel die Sache mit dem DAU.
http://forum.geizhals.at/t714917,6124467.html#6124467
AVS_reloaded: "also selbst ich als DAU..."

mfg
Eukaryont

Ich glaube dir selbst zum Beispiel die Sache mit dem DAU.

ist auch OK so. Man kann und muß ja ned alles wissen, man sollte dann aber auch wissen, wenn man auf einem Gebiet wenig Ahnung hat und sich dann nicht durch völlig unpassende Vergleiche und Beispiele zB als DNA-Test-DAU outen.

Ich für meinen Teil bleibe eben dabei, daß ich Leuten wie mjy oder fl in Sachen Netzsicherheit erheblich mehr vertraue als einem wie dir.

mfg
AVS

also ich als DAU habe aus der Diskussion gelernt, dass es mit den jetzt nicht mehr im Klartext gespeicherten Passwörtern für eher unbedarfte "Gelegenheitstäter" sehr viel schwieriger ist, andere Accounts zu übernehmen, selbst wenn sie irgendwie an die Cookies eines (anderen) gh-users kommen.

Und das ist doch immerhin ein Schritt in die richtige Richtung!

Dass entschlossene und mit etwas mehr Wissen ausgestatte "hacker" sowie der Forumsbetreiber selbst auch verschlüsselte PWs entschlüsseln können, ist in der Diskussion ebenfalls klar geworden. Das hatte ich aber ohnedies nie bezweifelt.

eben

es ist wurscht, WIE das PW in meinem Cookie auf meinem PC liegt, wenn jemand an mein Cookie kommt (durch Lücken in MEINEM Sicherheitssystem auf MEINEM PC), dann hat er mein PW sowieso, wurscht wie gespeichert.

Und daß der mjy das sehen kann, ist doch klar. Der Admin kommt immer ran.

Damit aber: auch wenns jetzt verschlüsselt ist, liegt das PW heute bei mir nicht sicherer als gestern.

mfg
AVS

es ist wurscht, WIE das PW in meinem Cookie auf meinem PC liegt, wenn jemand
an mein Cookie kommt (durch Lücken in MEINEM Sicherheitssystem auf MEINEM PC),
dann hat er mein PW sowieso, wurscht wie gespeichert.

soweit ich es verstehe, macht es einen deutlichen Unterschied. So ähnlich wie wenn der Einbrecher Bargeld in der unversperrten Schreibtischlade findet oder in der Wohnung einen tresor entdeckt, den er zwar möglicherweise knacken kann, aber nur wenn er "kann", entsprechendes Werkzeug, WIssen udn Zeit aufwendet.

Und daß der mjy das sehen kann, ist doch klar. Der Admin kommt immer ran.

das ist eine Frage der verwendeten Software. Ich kenne mich zu wenig aus, bilde mir aber ein, dass bei einer anständigen Softwarelösung die user-PWs auch den Betreibern selbst nicht zugänglich sind ... (ohne Mega-Aufwand .. siehe Einbrecher/Tresor oben) ... und jedenfalls ganz sicher nicht im Klartext in der user-/forums-Datenbank abgespeichert sind.

17.08.2010, 00:40 Uhr - Editiert von iraki, alte Version: hier

auf ein neues:

wenn jemand den Cookie HAT dann haut er den bei SICH in den Ordner rein (geht bei FF z.B. zum erbrechen einfach, in IE isses der Temp ordner, ist nicht ALLZU schwer) und geht auf http://www.geizhals.at :

ZACK, drin.

ob der Cookie jz verschlüsselt ist oder nicht is sowas von wayne.

Und der Admin kann, wenn er will, alles LÖSCHEN und ÄNDERN wann IMMER ER WILL.

Für die sicherheit eurer Daten seid IHR SELBST verantwortlich, nicht der Admin!!!

Verschlüsselt euren Datenstrom in Offenen WLAN-Netzwerken, von mir aus auch im LAN, schon ist das ganze 50000 mal schwieriger.

Aber sich über SOWAS aufzuregen is wie sich aufzuregen das google die daten mitliest (tun sie immernoch, warum regt sich da keiner auf? xDD)

ob der Cookie jz verschlüsselt ist oder nicht is sowas von wayne.

Siehe: http://forum.geizhals.at/t714917,6125605.html#6125605

Und der Admin kann, wenn er will, alles LÖSCHEN und ÄNDERN wann IMMER ER WILL.

Für die sicherheit eurer Daten seid IHR SELBST verantwortlich, nicht der
Admin!!!

Wenn das Passwort in der DB verschlüsselt wäre, könnte es der Admin nur lesen, wenn er es abfängt bevor es am Server in den MD5 Hash umgewandelt wird. Das legt die Hürde für den Admin höher, und ist daher die "sauberere" Lösung.

Sicherheitskonzepte machen Mißbrauch eigentlich nie unmöglich. Das Ziel kann immer nur sein ihn so schwer wie Möglich zu machen. Es ist daher vollkommen unsinnig Sicherheitsvorkehrungen dafür zu kritisieren, dass sie umgangen werden können - das ist FAST IMMER der Fall.

Das legt die Hürde für den Admin höher, und ist daher die "sauberere" Lösung.

Und genau das ist der Denkfehler. Ein Admin wird die Passwörter nicht mißbrauchen, wenn es nur trivial möglich ist, sondern wenn er es will.

Auf der Annahme, ein geringer Aufwand (ohne jegliches Risiko) würde abschrecken, kann nur ein Vollidiot ein Sicherheitskonzept aufbauen.

Es geht nicht nur um den Admin, sondern auch um andere Mitarbeiter, die zwar DB Zugriff haben, aber vielleicht nicht die Möglichkeit anders an die Passwörter zu kommen. Es geht dabei auch um Angreifer von außen die den Inhalt der DB klauen wollen. Es wäre nicht das erste Mal dass sowas passiert.
Siehe auch den Beitrag von "tha haze": http://forum.geizhals.at/t714917,6125787.html#6125787 - der ebenfalls Recht hat, wenn er darauf hinweist, was das für ein Imageschaden wäre, wenn jemand eure DB samt Passwörtern veröffentlicht.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ein Admin wird die Passwörter nicht mißbrauchen, wenn es nur trivial möglich
ist, sondern wenn er es will.

Auf der Annahme, ein geringer Aufwand (ohne jegliches Risiko) würde
abschrecken, kann nur ein Vollidiot ein Sicherheitskonzept aufbauen.

Punkt1: Das Abspeichern des Passworts in der DB als MD5 Hash würde ich sogar als Standard bezeichnen. Das habe ich so gelernt, und zahlreiche (OpenSource) Projekte handhaben das ebenso. Als Grund wird immer angegeben dass es sicherer ist (warum sonst würde man den höheren Rechenaufwand in Kauf nehmen?). All Jene die das so sehen und handhaben, bezeichnest du jetzt als Idioten.

Punkt2: Jedes Sicherheitssystem baut darauf auf es einem Angreifer schwerer zu machen. Das ist bei Türen, und Schlössern in der realen Welt genau so wie bei komplizierten Passwörtern (als Gegensatz zu Passwörtern die im Wörterbuch stehen) in der virtuellen Welt. Niemand würde auf die Idee kommen eine Tür nicht zu versperren, oder ein unsicheres Passwort zu verwenden, mit der Begründung: "Ein Angreifer der es darauf anlegt kommt sowieso rein..."

Und nocheinmal: Ein Absolut sicheres Sicherheitskonzept, das nicht umgangen werden kann gibt es nicht. Deshalb garkein Sicherheitskonzept zu haben ist eine idiotische Argumetation. Da wäre es ja noch ehrlicher zu sagen: "Wir sind einfach zu faul dafür unser System umzustellen"

17.08.2010, 17:16 Uhr - Editiert von kaufinator1, alte Version: hier

Es geht nicht nur um den Admin, sondern auch um andere Mitarbeiter, die zwar
DB Zugriff haben, aber vielleicht nicht die Möglichkeit anders an die
Passwörter zu kommen. Es geht dabei auch um Angreifer von außen die den Inhalt
der DB klauen wollen. Es wäre nicht das erste Mal dass sowas passiert.

ich weiss ja nicht wie das bei euch so in der firma gehandhabt wird. aber zumindest bei uns bekommt nicht jeder mitarbeiter zugriff auf sensible daten. da bedarf es dann auch schon einiges an vertrauen etc.

Naja, also wenn hier schon der Admin offen zugibt sich die Passwörter durchzulesen, dann auch noch statistiken veröffentlicht (1116 mal "geizhals"), und sich über die Nachlässigkeit der User bei der Wahl des Passworts lustig macht, hab ich kein so großes Vertrauen in die übrige Mannschaft, was das Sicherheitsbewusstsein angeht.

in dem fall hat man es hier mit 1116 idioten zu tun, die man eigentlich gleich sperren sollte

diese statistik find ich gar nicht so schlimm.

ich kann mich noch erinnern als ich vor jahren noch studiert habe. da hat es einer geschafft das nt domain admin pw zu hacken. war peinlich für die admins damals. was haben die nun gemacht?

von sämtlichen studenten und profs die accounts gescannt und eine liste veröffentlicht wer aller ein schwaches pw hat. somit hatten potentielle "cracker" schon mal eine liste mit logins die leicht zu nehmen sind.

da find ich derartiges schlimmer.

in dem fall hat man es hier mit 1116 idioten zu tun, die man eigentlich gleich sperren sollte

Es sind 10.000e, wenn man die anderen Passwörter, die man so einfach mal probiert wenn man unmotiviert herumraten will, dazuzählt.

von sämtlichen studenten und profs die accounts gescannt und eine liste veröffentlicht wer aller ein schwaches pw hat. somit hatten potentielle "cracker" schon mal eine liste mit logins die leicht zu nehmen sind.

Früher wurden Unix-User noch zu sicheren Passwörtern "erzogen", indem man einen Passwort-Cracker laufen lies, der Accounts mit einfachen Passwörtern (dictionary...) sofort sperrte.

Inzwischen hat sich viel getan, z.B. verwendet man kein DES mehr

und sichere Passwörter werden oft schon bei der Eingabe angezeigt, aber um die große Schwachstelle, die mehrfach genutzten Passwörter, kümmert sich niemand.

Ich warte halt mal auf den ersten großen Hack (Facebook/Gmail/Skype...), bei dem dann auch gleich die Blizznet-Accounts weg sind ...

Für jeden Mitarbeiter gilt dasselbe. Eine gegen einen böswilligen Menschen völlig wirkungslose Maßnahme ist keine Sicherheit, nur "snake oil".

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Es geht nicht nur um den Admin, sondern auch um andere Mitarbeiter, die zwar
DB Zugriff haben, aber vielleicht nicht die Möglichkeit anders an die
Passwörter zu kommen. Es geht dabei auch um Angreifer von außen die den Inhalt
der DB klauen wollen. Es wäre nicht das erste Mal dass sowas passiert.

Das Abspeichern des Passworts in der DB als MD5 Hash würde ich sogar als Standard bezeichnen. Das habe ich so gelernt, und zahlreiche (OpenSource) Projekte handhaben das ebenso. Als Grund wird immer angegeben dass es sicherer ist (warum sonst würde man den höheren Rechenaufwand in Kauf nehmen?). All Jene die das so sehen und handhaben, bezeichnest du jetzt als Idioten.

In diesem Kontext ist das völlig wirkungslos und erschwert nur die Benutzung der Website und das Debuggen.

Jedes Sicherheitssystem baut darauf auf es einem Angreifer schwerer zu machen.

Wirkungslose Maßnahmen sind nicht die Mühe / die Nachteile wert, das gilt für hinkende Vergleiche ebenso.

Ein Absolut sicheres Sicherheitskonzept, das nicht umgangen werden kann gibt
es nicht. Deshalb garkein Sicherheitskonzept zu haben ist eine idiotische
Argumetation.

Hör endlich auf mit deinen schwachsinnigen Gemeinplätzen. Wenn wir gar kein Sicherheitskonzept haben, dann poste doch bitte mein Passwort. Wenn du es nicht kannst, wird es langsam Zeit, die Klappe zu halten, denn deine in Fettschrift geposteten Dummheiten nerven inzwischen.

Erklär mir mal warum diese Maßnahme gegen alle böswilligen Menschen völlig wirkungslos ist.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Eine gegen einen böswilligen Menschen völlig wirkungslose Maßnahme ist keine
Sicherheit, nur "snake oil".

Wenn wir gar kein Sicherheitskonzept haben, dann poste doch bitte mein
Passwort. Wenn du es nicht kannst, wird es langsam Zeit, die Klappe zu halten

Ihr könntet mehr machen und tut es nicht, darum gehts mir. Ich hab mich eh schon damit abgefunden, dass es so ist. Deine Argumente dagegen halte aber nach wie vor nicht für schlüssig.

Erklär mir mal warum diese Maßnahme gegen alle böswilligen Menschen völlig wirkungslos ist.

Weil dieser auf jeden Fall an das Klartext-Passwort kommt, wenn er möchte. Als nächstes verlangst du von uns noch, die Mitarbeiter entsprechend zu überwachen weil es dann so gut wie möglich ist, für ein popeliges Forum.

Ihr könntet mehr machen und tut es nicht, darum gehts mir.

Uns ist die Zeit dafür zu schade, noch mehr zu tun, wenn die User nicht einmal rudimentäre Sicherheitsmaßnahmen ergreifen und sich dadurch gefährden und jegliche andere Maßnahmen dadurch wirkungslos machen.

bzgl. Passwortwahl:
warum wird dann hier im Forum bei der Registrierung nur ein mind. vierstelliges Passwort verlangt? Wären hier nicht zumindest acht Zeichen die bessere Wahl?
__________________________________________________________________________________

hosted by 666kb.com

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

My name is VASH THE STAMPEDE! Forgive the lack of warning, but it's time for my daily massacre! If you do not believe I am the real thing, take a good look at me and start freaking out!

Da haben die raunzenden user den forumsbetreiber ja doch noch zu etwas mehr Sicherheit im Umgang mit ihren sorgsam gewählten Passwörtern erzogen!

Nein!

Das muß ein anderes Problem sein, evtl. per SSL erstmalig eingeloggt => altes Cookie dort.

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

und das Forum hängt jetzt zeitweilig

mfg
AVS

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

das tut es schon seit Tagen, die genaue Ursache kenne ich noch nicht ... Gestern habe ich aber eine komische IP-Adresse gesperrt, die das ganze forum spiegelt.

ich hab jetzt die Fehlermeldung leider zu schnell weggeklickt, aber die hatte ich noch nie: eine weisse Seite und irgendwas mit Java(?) und zu wenig Speicher - error 500

nach einem reload wars weg

mfg
AVS

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

hm, die wäre interessant gewesen.

leider

war auch mit "back" nicht zurückzuholen

mfg
AVS

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Hm, beim Login via SSL gibt es ein Problem mit dem cookie chaining (wegen Wechsel zw. HTTP und HTTPS).

Edit: sollte behoben sein, allerdings muß man das Zertifikat nun auch für .cc und .net bestätigen (und es paßt nicht zur Domain ...).

16.08.2010, 18:07 Uhr - Editiert von mjy@geizhals.at, alte Version: hier

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Danke.

Allerdings würde ich als Betreiber auch die Passwörter in der DB nur als Hash abspeichern.
Man denke an ein Szenario, bei dem es einem Hacker gelingt einen Dump dieses Tables zu erhalten. Automatisiert könnte man dann mal eben durchtesten ob die Mail/PW-Kombination bei Portalen wie Paypal/eBay/bwin und Co durchgeht. Selbst wenn man hier nur bei 1% (und ich schätze mal die Zahl ist sicherlich höher) erfolgreich ist, würde ich nicht in eurer Haut stecken wollen...

Automatisiert könnte man dann mal eben durchtesten ob die Mail/PW-Kombination
bei Portalen wie Paypal/eBay/bwin und Co durchgeht. Selbst wenn man hier nur
bei 1% (und ich schätze mal die Zahl ist sicherlich höher) erfolgreich ist,
würde ich nicht in eurer Haut stecken wollen...

belanglos. selbst wenn das pw als md5 hash gespeichert ist, gibt es jede menge suchlisten, die aus einem md5 hash wieder ein passwort rausholen. und wenn es hier einige gibt, die "geizhals" als pw haben und dann auch noch für bwin oder ähnliches verwenden, dann ist das einfach SSKM. da kann doch der provider nix für. denn den MD5 hash von "geizhals" find ich auch per google in zig listen.

selbst für cisco router etc. gibt eigene seiten, die aus dem hash wieder das klartextpw bilden können. also im endeffekt meines erachtens vollkommen belanglos. wenns einer schafft abzüge der user db zu bekommen, dann schafft er auch das dort gespeicherte effektiv einzusetzen. unabhängig ob das nun in klartext oder als hash abgelegt ist.

Es geht hier auch um den Imageschaden den das für Geizhals hätte, immerhin kann der Admin nicht behaupten er hätte alles für die Sicherheit seiner User getan, was in seiner Macht steht.

aus einem md5 hash wieder ein passwort rausholen

eben, das geht doch und ist nicht weiter schwer. Das hab sogar ich geschafft.

mfg
AVS

das geht vielleicht mit trivialen passwörtern und auch dann gerade mal nur mit MD5.
ich spreche hier auch nicht von den leuten die "geizhals" als passwort haben sondern von denen die das selbe passwort mehrfach verwenden, und das sind (leider) wohl genug.

als gegenbeweis hier mal mein passwort als MD5 auf dem silvertablett: a21337c8dbd2460633e2492320f4551f

ich warte

http://yro.slashdot.org/story/10/08/16/1619243/75-Use-Same-Password-For-Social-Media-amp-Email

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

hehe in Frankreich heisst das das Messer in der Wunde drehen

while(!asleep()) sheep++;

Unsicherheit von HTTPS/SSL:

http://www.networkworld.com/community/node/65069

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Ihre Rache konnte sie dank einer Unvorsichtigkeit des Mannes nehmen. "Er hat einmal vor ihr das Passwort zu seinem Konto eingegeben. Nach der Trennung benutzte sie dieses, um selbst darauf zuzugreifen und das Passwort zu ändern", erklärt der Beamte. Auf diese Weise hatte der Mann keine Chance mehr, sich gegen die Verleumdungen zu wehren.

...

http://derstandard.at/1281829409174/Kindesmissbrauch-Hinterhaeltige-Verleumdung-auf-Facebook

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

"Bei uns wollen alle Kinder Beamte werden und möglichst früh in Pension gehen." (Erste-Chef Treichl)

Ich fand vor allem die ganzen Lynchjustizler schlimm, die gleich aus ihren Ritzen gekrochen sind. Jetzt haben sich einige "entschuldigt" - die Haben seinen Namen quer übers Internet gepostet, ärgste Beschimpfungen bis hin zu Drohungen dabei.

Dabei war für halbwegs intelligente Menschen in diesem Fall sogar ziemlich deutlich, dass es sich um einen Fake handelt. Mich würde die Bevölkerungsverteilung im Mob interessieren, z.B. bez. Bildungslevel und politischer Orientierung.

ich habe jetzt nicht alle postings in dem thread gelesen, aber gibt es irgendwo einen begründung warum das pw im cleartext im cookie gespeichert ist und z.b. kein persistent sessioncookie verwendet wird?

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Mit persistenten session-Cookies hätte man durch die verwendete Software eine weitere table, die so groß ist wie die users table gehabt und außerdem nicht die Möglichkeit, aus einem Perl-script heraus zu authentifizieren.