Re(2): Ein historischer Moment
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Geizhals » Ein historischer Moment (30 Beiträge, 1073 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Geizhals  #6819845
Ein historischer Moment
mjy@geizhals.at
09.06.2012, 15:05:46
Wenn jetzt etwas kaputt ist, oder man sich mit leeren Passwörtern einloggen kann, liegt es daran ;-)


geizhals_forum=# alter table users drop column pass;
ALTER TABLE


Das Hashen hat übrigens ca. 30 CPU-Stunden gedauert (langsame Hashfunktionen mit vielen Iterationen sind sicherer, wenn sie keine Designfehler aufweisen).

Die trotz großer Sorgfalt und Nüchternheit auftretenden Fehler bitte gleich melden (ich weiß, die Registrierung im Forum funktionierte jetzt ca. 1h lang nicht).



ACTA wird Menschen töten | wikileaks.geizhals.org


„Ich habe den Verdacht, dass sich alle Terrorismen, egal, ob die deutsche RAF, die italienischen Brigate Rosse, die Franzosen, Iren, Spanier oder Araber, in ihrer Menschenverachtung wenig nehmen. Sie werden übertroffen von bestimmten Formen von Staatsterrorismus“ (Helmut Schmidt)

"Ermittlungen in großen Wirtschaftsstrafsachen unterliegen wegen der Berichtspflichten der Ermittler zum Innen- und Justizministerium vollends dem politischen Würgegriff" (N. Haslhofer, ehem. StA)
Antworten PM Alle Chronologisch
 
Melden nicht möglich
.  Re: Ein historischer Moment  (Ardjan am 09.06.2012, 18:27:37)
.  Re: Ein historischer Moment  (Norwegische Schmalzkatze am 10.06.2012, 00:51:22)
..  Re(2): Ein historischer Moment  (Thing am 10.06.2012, 08:15:50)
...  Re(3): Ein historischer Moment  (Geri_65 am 12.06.2012, 09:52:00)
..
^ Forum  Geizhals  #6820181
Re(2): Ein historischer Moment
mjy@geizhals.at
10.06.2012, 09:21:12
Wir schützen jetzt unsere User zusätzlich vor dem Bedrohungsszenario ihrer Fahrlässigkeit (wenn sie ihre Passwörter + Mailadresse auch woanders verwenden) kombiniert mit dem Szenario eines a) gehackten Datenbankservers oder b) GH-Mitarbeiters, der die Forum-Datenbank (oder Teile davon) leakt.

Einzelne Passwörter sind technisch gesehen nun nicht besser geschützt, da ein Angreifer sie nach wie vor durch einen gehackten Forum-Webserver erhalten kann (oder ein GH-Mitarbeiter ohne Hack) indem er einen Login provoziert (oder eine Seite wie "reaktivieren Sie Ihren account" baut) und sie im Klartext abfängt (möglich wenn man den Code am gehackten Webserver manipulieren kann) und das aus unserer Sicht das schwächste Glied in der Kette ist (abgesehen natürlich von jeweils schwächer geschützten Servern / Datenbanken bei denen die User auch die selben credentials verwendet haben).

Ein kompletter Datenbank-Dump von einem gehackten Forum-Webserver aus war auch bisher nicht möglich, da die Passwörter mit column permissions geschützt waren (kein User auf dem Forum-Webserver durfte darauf zugreifen, ein Angreifer hätte sie allenfalls auf dem Webserver selbst brute-forcen können, oder eben den "richtigen" Server hacken müssen).

Oder anders ausgedrückt: wir haben einen sehr hypothetischen Sicherheitsgewinn durch eine "state of the art"- (bzw. nicht-)Speicherung der (nunmehr sehr aufwändig gehashten) Passwörter, realistischere Schwachstellen gibt es nach wie vor, allen voran die Mehrfachverwendung der Logindaten durch die User.



ACTA wird Menschen töten | wikileaks.geizhals.org


„Ich habe den Verdacht, dass sich alle Terrorismen, egal, ob die deutsche RAF, die italienischen Brigate Rosse, die Franzosen, Iren, Spanier oder Araber, in ihrer Menschenverachtung wenig nehmen. Sie werden übertroffen von bestimmten Formen von Staatsterrorismus“ (Helmut Schmidt)

"Ermittlungen in großen Wirtschaftsstrafsachen unterliegen wegen der Berichtspflichten der Ermittler zum Innen- und Justizministerium vollends dem politischen Würgegriff" (N. Haslhofer, ehem. StA)
Antworten PM Alle Chronologisch Zum Vorgänger
 
Melden nicht möglich
...  Re(3): Ein historischer Moment  (User93714 am 10.06.2012, 09:41:18)
....  Re(4): Ein historischer Moment  (mjy@geizhals.at am 10.06.2012, 10:23:20)
.  Re: Ein historischer Moment  (kombipaket am 12.06.2012, 07:39:50)
..  Re(2): Ein historischer Moment  (mjy@geizhals.at am 12.06.2012, 08:34:30)
...  Re(3): Ein historischer Moment  (User71571 am 13.06.2012, 16:10:32)
....  Re(4): Ein historischer Moment  (mjy@geizhals.at am 13.06.2012, 19:31:31)
..  Re(2): Ein historischer Moment  (colo am 12.06.2012, 11:38:48)
...  Re(3): Ein historischer Moment  (kombipaket am 12.06.2012, 22:31:23)
....  Re(4): Ein historischer Moment  (colo am 14.06.2012, 08:13:12)
.....  Re(5): Ein historischer Moment  (kombipaket am 14.06.2012, 17:02:15)
......  Re(6): Ein historischer Moment  (colo am 14.06.2012, 17:38:15)
.......  Re(7): Ein historischer Moment  (kombipaket am 14.06.2012, 17:47:52)
...  Re(3): Ein historischer Moment  (*patrick star* am 15.06.2012, 10:54:12)
....  Re(4): Ein historischer Moment  (mjy@geizhals.at am 15.06.2012, 12:01:51)
.  Re: Ein historischer Moment  (Superfast am 12.06.2012, 09:57:30)
.  Übersetzung für alle, die sich nicht auskennen:  (goaspeda am 12.06.2012, 10:53:06)
..  Re: Übersetzung für alle, die sich nicht auskennen:  (_xievz am 12.06.2012, 22:01:06)
. Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (onnlein am 13.06.2012, 04:12:00)
..  Re(2): Ein historischer Moment  (sleepyhead am 15.06.2012, 10:26:13)
..  Re(2): Ein historischer Moment  (*patrick star* am 15.06.2012, 10:54:37)
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung