Login: 
Passwort: 
Neuanmeldung 
Passwort vergessen



Das neue Heft erscheint am 1. September
40 Jahre Pilot und Flugzeug - Sind wir Stümper?
Flugsicherungsgeb├╝hren an Regionalflugplätzen
Reise nach Spitzbergen
Flugplanung Polen
Risikobasiertes Training f├╝r die Allgemeine Luftfahrt
Unfall: Umkehrkurve
Engagierter Journalismus aus Sicht des eigenen Cockpits
Engagierter Journalismus aus Sicht des eigenen Cockpits
Antworten sortieren nach:  Datum - neue zuerst |  Datum - alte zuerst |  Bewertung

 
22. Mai 2013 Jan Brill

Magazin: Forum


Pilot und Flugzeug Forum eingeschränkt - Nutzer müssen neue Passwörter anfordern

Liebe Forums-Teilnehmer, gestern sind wir durch Christian Niermann (Christian Skyrider Nic: majorc) beschuldigt worden die Passwörter unserer Nutzer im Klartext auf unserem Server abzuspeichern. Woher Herr Niermann diese Information hat ist für uns nicht nachvollziehbar. Wir halten dazu fest: Diese Beschuldigung ist unrichtig. Die Passwörter unserer Nutzer wurden selbstverständlich verschlüsselt auf dem Server abgespeichert und sind durch Dritte oder Administratoren nicht einsehbar. Sie werden bei uns auch nicht in Logs oder Caches zwischengespeichert.

Wir akzeptieren jedoch die Kritik, dass das Passwort bei Aufruf des eigenen Benutzerkontos unnötig oft übertragen wurde. Dies haben wir umgehend geändert. Das Passwort wird bei Aufruf der Edit-Maske des Benutzerkontos nun ich mehr übertragen.

Wir betreiben dieses Forum seit 2004 unentgeltlich für unsere Leser. Und wir haben nicht die geringste Lust uns für einen unentgeltlichen Service in eine juristische Auseinandersetzung hineinziehen zu lassen. Daher müssen wir Ihnen liebe Nutzer nun etwas Aufwand zumuten:


Abruf eines neuen Passworts erforderlich

Das Forum ist bis auf Weiteres eingeschränkt. Alle Benutzerpasswörter wurden gelöscht. Um ein neues Passwort zu erhalten, klicken Sie bitte diesen Link. Mit dem neuen Passwort-Request stimmen Sie ausdrücklich zu, dass die Daten Ihres Benutzerkontos per ungeschützter HTTP-Verbindung übertragen werden. Wählen Sie also nicht das Passwort, das Sie bei eBay oder PayPal nutzen.

Außerdem nehmen sie folgende Datenschutzerklärung zusätzlich zu den Allgemeinen Nutzungsbedingungen und der darin enthaltenen Datenschutzerklärung zur Kenntnis:

1. Die Übertragung der Benutzerdaten bei Registrierung, Login und Änderung des Kundenkontos erfolgt seit dem 22.5. 13:45 Uhr SSL-verschlüsselt.

2. Die Speicherung der allgemeine Benutzerdaten auf unserem Server erfolgt AES-256 verschlüsselt

3. Sie Speicherung der Passwörter erfolgte bis zum 22. Mai 2013 doppelt verschlüsselt (Festplatte AES-256 und Passwort nach separatem Schlüssel). Ein Einsehen der Klartextpasswörter war weder durch Administratoren noch durch "Hacker" oder andere Angreifer möglich, sofern diese nicht über den AES-Schlüssel der Festplatte sowie weitere getrennte Schlüssel im Soucecode verfügten. Die Behauptung von Christian Niermann, Passwörter seien unverschlüsselt abgespeichert worden ist falsch.

4. Seit dem 22. Mai 20013 erfolgt die Speicherung der Passwörter als Hash-Funktion, was eine noch höhere Sicherheit gewährt, da eine Rekonstruktion des Passworts aus dem Hash gar nicht mehr möglich ist. Dafür kann allerdings die Funktion "Passwort zusenden" nicht mehr genutzt werden. Stattdessen wird das Passwort nun auf einen Zufallsstring zurückgesetzt.

5. Ein Einsehen der Passwörter ist durch den Hash-Algorithmus technisch durch niemanden möglich, sobald die Übertragung abgeschlossen ist.


Viele Grüße,
Jan Brill


Nachtrag 22. Mai 13:00 Uhr: Damit sich auch wirklich niemand mehr um seine Passwörter sorgen muss haben wir am Vormittag die gesamte Site auf SSL-Verschlüsselung umgestellt. Damit werden auch bei Login und Passwort-Änderung keinerlei unverschlüsselte Daten mehr übertragen.
Ich hoffe damit sind nun auch wirklich die letzten Bedenkenträger und Berufsdatenbeschützer beruhigt und wir können uns nun wieder den fliegerischen Themen zuwenden.

Korrektur 22. Mai 18:00 Uhr: In einer früheren Version dieses Artikels hiess es noch die Behauptungen seien von Rechtsanwalt Michael Niermann aufgestellt worden. Dies lag daran, dass der Inhaber des fraglichen Accounts uns gestern den Namen Michael Niermann bei der Anwaltspartnerschaft Tiggers als Zustelladresse für Korrespondenz nannte. Kurz darauf schrieb er im Forum "Mein Name ist P&F bekannt". Wir schlossen daraus, dass es sich beim Urheber der Behauptungen um Michael Niermann handelte. RA Michael Niermann rief uns heute jedoch an und erklärte mündlich nicht der Urheber der Beiträge zu sein. Vielmehr seien diese durch Herrn Christian Niermann, der mit ihm verwandt sei, entstanden. Die Zustelladresse sei aber richtig. Wir bedauern es, sollten wir hier getäuscht worden sein.
Wir haben nun ehrlich gesagt aber weder die Zeit noch die Lust weiter der Frage nachzugehen wie viele Mitglieder der Familie Niermann hier noch beteiligt sind. Für uns ist es nicht nachvollziehbar wer sich hinter der anonymen GMX-Adresse des Benutzerkontos verbirgt und mit wem wir gestern korrespondiert haben. Diese Sache ist für uns lästig genug. Wir halten jedoch fest, dass Herr Christian Niermann (oder wer auch immer sich hinter Christian Skyrider versteckt) nach wie vor nicht mit Klarnamen zu seinen Äußerungen steht und sich hinter einem Verwandten gleichen Namens versteckt, wobei er gestern zumindest billigend in Kauf nahm, dass dieser mit ihm verwechselt wurde.


Bewertung: +1.00 [1]  
 
 




22. Mai 2013: Von reiner jäger an Jan Brill Bewertung: +1.00 [1]
Ihre Geduld wollte ich haben.

Um der blödheit einiger Nutzer Rechnung zu tragen, die für alles die selben Passwörter nutzen haben Sie sich spontan die Mühe gemacht. Respekt. Bringt aber sowieso nichts, die haben die Passwörter ohnehin irgendwo für jeden sichtbar hinterlegt, so wie den Haustürschlüssel sehr gut versteckt unter der Fußmatte liegt.

Verlangen von Ihnen Sicherheiten wie beim Zugang zur CIA, aber hebeln den Datenschutz durch eigene Dusseligkeit aus.

Ich hatte befürchtet, das Forum wird geschlossen. Bringt Ihnen nichts ausser Verduss, Gemaule daß dies oder das nicht perfekt ist (kann man schon erwarten, wenn man was kostenlos nutzt) und man steht mit einem Bein vorm Kadi. Ich hätte die Nerven nicht mir das anzutun.

Also: danke dafür!

22. Mai 2013: Von Thomas Dietrich an Jan Brill Bewertung: +1.00 [3]
Besten Dank Jan,

es ist doch unglaublich welche Vollpfosten zu viel Zeit haben und anderen das Leben zu erschweren.
22. Mai 2013: Von Achim H. an Jan Brill Bewertung: +1.00 [1]
Danke für die schnelle Reaktion. Die aktuelle Lösung ist wesentlich besser. Diejenigen die nicht verstehen worum es geht (siehe Vorposter) profitieren ebenfalls.

Wäre schön gewesen, wenn es ohne agressive Anschuldigungen funktioniert hätte.
22. Mai 2013: Von Hofrat Jürgen Hinrichs an Jan Brill Bewertung: +2.00 [2]

Moin,

danke auch für die schnelle Reaktion. Etwas erstaunt war ich nur über die scharfe Antwort auf das erste Posting in dem auslösenden Thread mit der Androhung juristischer Schritte. Gerade PuF ist ja zu Recht nicht sparsam mit Kritik, sollte aber auch insgesamt konstruktiver mit Kritik umgehen können, so, wie es ja letztlich auch geschehen ist.

Viele Grüße

22. Mai 2013: Von Jan Brill an Hofrat Jürgen Hinrichs Bewertung: +3.00 [3]
Moin Herr Hinrichs,

ich hoffe wirklich wir können mit berechtigter und unberechtiger Kritik umgehen. Berechtigte Kritik setzen wir wie geschehen so zügig wie möglich um, unberechtiger Kritik versuchen wir zu widersprechen.

Wenn aber jemand wie Herr Christian Niermann

- Falsche Tatsachenbehauptungen aufstellt,
- sich dann im Forum selbst applaudiert
- ohne sich dabei selber an die klar kommunizierten Regeln zu halten (Klarnamen!)

dann wird schonmal scharf geschossen. Die Drohung mit der Verfügung war trotzdem dumm, denn ich bin als Betreiber natürlich zur Schadensminimierung verpflichtet und müsste den Thread erstmal selber löschen. Das will ich aber nicht. Denn erstens haben sich im Laufe der Diskussion einige interessante Aspekte (und eben auch berechtigte Kritik) ergeben und zweitens denke ich können die Leser die Beiträge von Herrn Niermann auch gut selber einschätzen.

Ich habe langsam den Verdacht, dass mit dem Datenschutz auch ganz gut kassiert wird. Im Laufe des Vormittags sind bis jetzt über zehn Mails hier eingetroffen, von Leuten, die uns als Betreiber jede Menge Angst machen. Zahlreiche und recht unklare Bedenken werden da geäußert. Auf eine klare Vorschrift verweist jedoch keiner. Natürlich folgt dann immer das Consulting-Angebot.

Sobald unser SSL-Zertifikat da ist stellen wir ohnehin auf https um. Dann werden auch die Login-Daten nicht mehr unverschlüsselt übertragen. Je nachdem wie viele Bedenkenträger und Datenschützer sich noch bei uns melden schließen wir das Forum bis dahin auch ganz.

MfG
Jan Brill
22. Mai 2013: Von frank ernst an Jan Brill Bewertung: +1.00 [1]
"Ich habe langsam den Verdacht, dass mit dem Datenschutz auch ganz gut kassiert wird."

ich muss gestehen, dass mein erster Gedanke ("Verdacht") ebenfalls in diese Richtung ging...
22. Mai 2013: Von Urs Wildermuth an Jan Brill Bewertung: +4.00 [4]

Hallo Jan,

die Vorgehensweise ist jedenfalls nicht neu.

Man "findet" auf einer Webseite, einem Forum oder sonst wo etwas, das vermeindlich ein Risiko darstellt und haut erst mal auf die Pauke, danach bietet man "Hilfe" an oder droht mit Rechtlichen Schritten, die sich dann "aus der Welt schaffen lassen".

Leider sind solche Dinge im Netz weit verbreitet. Es geht meist darum, eine Dienstleistung zu verkaufen, ein unliebsames Forum zum Schweigen zu bringen oder um schlichte Abmahner. Ob das hier der Fall ist sei dahingestellt, ich kenne aber vergleichbare Aktionen sonst wo zur Genüge.

Betreffend Realnamen: Ich bin vielleicht naiv, aber ich hoffe schon dass der Grossteil der Leute, mit denen man sich hier unterhält reale Namen hat. Ich weiss, dass es davon Ausnahmen geben kann und jeder Forenbetreiber der auf Realnamen besteht diese bei begründeten Fällen auch zulassen kann. Persönlich tue ich das nur dann, wenn Foren spezifisch verlangen unter Nicks zu arbeiten, denn auch das gibt es. Sonst bin ich überall mit dem Realnamen da. Was soll das auch sonst. Entweder man steht zu dem was man schreibt oder man lässt es gleich.

Ich schätze dieses Forum und ich hoffe sehr, dass es nicht gelingt, es (auch vorübergehend) zum Schweigen zu bringen.

Beste Grüsse

Urs Wildermuth

22. Mai 2013: Von Dirk Beerbohm an Jan Brill Bewertung: +2.00 [2]
Hallo,

nachdem ich gestern schon mit einiger Verwunderung den entsprechenden Thread gelesen habe, frage ich mich
ernsthaft, was so manche Personen zu ihren Handlungen bewegt....

Erst einmal ein Daumen hoch für die schnelle Änderungen, die angebracht waren.

Aber es gibt unsäglich viele Web-Sites, die eine symmetrische Verschlüsselung verwenden - kann auch gar nicht anders
sein, wenn man auf einer Datenbank verschlüsselte Daten wieder braucht. Der einzige Knackpunkt wurde ja ruck zuck
behoben. Fakt ist aber nun auch einmal, PuF ist keine Banking oder sonst was Applikation, sondern lediglich ein äusserst
interessantes Forum. Wer hier jedoch behauptet, Passwörter werden unverschlüsselt gespeichert muss eigentlich jenseits
des Web-Servers / Applikation-Servers vorbei auf die Datenbank zugreifen, um seine These stützen zu können. Ich verkneife
mir nun klar auszusprechen, was dies rechtlich bedeutet - habe keine Lust auf Anwaltspost. Aber ich würde dies zumindest
als äusserst kritisch einstufen. Nach der "Ansage" die PuF bekommen hat, müsste ja dann eine solche Beweislage vorliegen.
Ich sage nur: Auweia.....

Und ich weiss, wovon ich rede - ich komme durchaus aus dem Metier...
22. Mai 2013: Von Daniel Krippner an Jan Brill
Nachdem vor einigen Jahren ein Forum/Webshop eines Großkonzerns dessen Kunde ich war seine Login-Daten an Hacker verloren hat verwende ich aus Prinzip für alles verschiedene Passworte - stand dem Thema also entspannt gegenüber. Die Neuerungen hier sind trotzdem gut.

Eine Anmerkung: ich konnte mich nicht mit meiner Kundennummer einloggen, auch wenn das auf der Login-page so erwähnt wird - es ging nur das Benutzerkürzel.
22. Mai 2013: Von Cla.dius Wag.ner an Jan Brill
Beitrag vom Autor gelöscht
22. Mai 2013: Von R. E. an Jan Brill
Soll sich halt der schlaue Herr Rechtsanwalt Niermann äußern dazu !!

Hätt mich schon mal interessiert etwas über seine Beweggründe, die Kritikpunkte usw. zu erfahren.

Vor allem was ihm so eine Aktion denn einbringt ;-)

vg

Roland Engelhardt

22. Mai 2013: Von M.... Dr.... an R. E. Bewertung: +2.00 [2]
"Vor allem was ihm so eine Aktion denn einbringt ;-)"

bis jetzt, Gott sei Dank, nur Häme ;-)

mir bleibt bei solchen Dingen immer nur der Trost, daß ich bisher noch nicht einen einzigen querul. Kleingeist kennengelernt habe, der auf Dauer etwas im Leben erreicht hat..... Langfristig verlieren die sich dann doch im Klein Klein.

Ich sag nur: schön etwas kostenlos nutzen, nicht an die Regeln halten, aber noch drüber beschweren...., sauber!
22. Mai 2013: Von Mich.ael Brün.ing an Jan Brill Bewertung: +1.00 [1]
Hallo Jan,

ist es möglich, dass seit dem Update das Erstellen eines neuen Threads - "Neue Diskussion starten" - nicht mehr funktioniert? Jedenfalls kehre ich nach Auswahl des Themenbereichs und drücken auf "Weiter..." sowie Bestätigen immer wieder nur auf die Ursprungsseite zurück anstatt zur Eingabemaske zu kommen - reproduziert auf PC und Mac und mit verschiedenen Browsern (Firefox, Safari, Chrome).

Oder liegt die Fehlerquelle doch vor meinem Bildschirm?

Ich würde nämlich gerne eine Frage an die Community stellen und hier sind die besten Koryphäen vereint, um schnell eine kompetente Antwort zu bekommen. Dieses Forum ist einmalig in Qualität und Unterhaltungswert.

Danke für die erstklassige Arbeit, die Du und Dein Team in das Magazin, Forum und alle weitere Aktivitäten stecken!
Lass Dich nicht von solchen Quertreibern beirren!

Grüße,
Michael
22. Mai 2013: Von Jan Brill an Mich.ael Brün.ing
... danke für den Hinweis, müsste wieder laufen.

MfG
jb
28. Mai 2013: Von Daniel Krippner an Jan Brill
Hier ist ein interessanter Artikel zum Thema Passwortsicherheit auf Webseiten: https://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Obwohl Profis auch bei gehashten Passwörtern nur Stunden brauchen um einen Großteil der Hashes zu knacken - bei symmetrischer Verschlüsselung reicht ein einziges...
28. Mai 2013: Von Thomas Di Angelo an Daniel Krippner
Danke für den 'ars technica' Artikel. Jetzt weiß endlich jeder, dass am Anfang eines Passwortes keine Großschreibung sein sollte...zu durchschaubar, mindestens 12-20 Zeichen, keine Zahlen am Ende, etc..

"Capital at the beginning, digits at the end, all lowercase in the middle. It's a poor password because it's using a common pattern. That was the point of the article."

Sehr guter Artikel... A MUST READ !!!

17 Beiträge Seite 1 von 1

 

Home
Impressum
© 2004-2021 Airwork Press GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der Airwork Press GmbH. Die Nutzung des Pilot und Flugzeug Internet-Forums unterliegt den allgemeinen Nutzungsbedingungen (hier). Es gelten unsere Datenschutzerklärung unsere Allgemeinen Geschäftsbedingungen (hier). Kartendaten: © OpenStreetMap-Mitwirkende, SRTM | Kartendarstellung: © OpenTopoMap (CC-BY-SA) Hub Version 13.52.04
Zur mobilen Ansicht wechseln
Seitenanfang