Login: 
Passwort: 
Neuanmeldung 
Passwort vergessen



Das neue Heft erscheint am 1. April
Simulator-Blues
Zweisitzige Schulflugzeuge
Drohnen-Betrieb: Noch viel zu lernen
Rollen auf Verkehrsflughäfen
Zuverlässigkeitsprüfung für das Panel
Unfall: Katastrophale Fehleinschätzung
Engagierter Journalismus aus Sicht des eigenen Cockpits
Engagierter Journalismus aus Sicht des eigenen Cockpits
Sortieren nach:  Datum - neue zuerst |  Datum - alte zuerst |  Bewertung

34 Beiträge Seite 1 von 2

 1 2 
 

Sonstiges | Forum speichert Kennwörter im Klartext  
21. Mai 2013: Von Christian Niermann  Bewertung: +2.00 [2]
Hallo zusammen,

ich musste gerade mit entsetzen feststellen, dass PuF mein Kennwort offenbar im Klartext speichert.

Ich kann also nur jedem User hier raten sein Kennwort nicht doppelt zu verwenden.

Warum PuF in der heutigen Zeit so etwas macht, lässt mich nur den Kopf schütteln.

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Wolff E. an Christian Niermann
Wo sieht man das?

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Achim H. an Wolff E. Bewertung: +2.00 [2]
Auf Ihr Benutzerkonto klicken und Daten ändern, dann den Quelltext der HTML-Seite anschauen.

Das ist schon ziemlich unprofessionell. Der Server sollte nur Hashes speichern.

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Marc Staiger an Christian Niermann Bewertung: +1.00 [1]
Das ist eigentlich ein absolutes NO-GO heutzutage !

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Christian Niermann an Christian Niermann
ich finde es auch unverantwortlich von den Betreibern!

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Christophe Dupond an Christian Niermann
Passt doch gut zum Forum mit vielen Hobbypilot, Hobbyanwalt und Hobby-forumsoftwarschreiber

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Cla.dius Wag.ner an Christian Niermann
Das ist wirklich Übel! Hab gleichmal mein PW geändert. Der Witz ist, mit dem neuen geänderten PW klappt der Login nicht mehr. Mit dem alten gehts weiterhin :(

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Guido Warnecke an Cla.dius Wag.ner
Interessant. In Deutschland gibt es wenigstens noch ein vernuenftiges Verstaendnis fuer Datenschutz.
Bei den Amis interessiert das nicht.
Ich habe von PUF mal ein email fuer "Lisa" Buchungen bekommen, ein email an alle Lisa Nutzer.
Allerdings alle email Adressen der anderen Empfaenger im "cc". War ein Versehen aber "Autsch"...

Happy Landings,
Guido

@Jan: kann das password Problem mit angemessenem Aufwand geloest werden? Thanks!

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Norbert S. an Christian Niermann
dankeschön für den Hinweis - password geändert!
Im Seitenquelltext steht jetzt das neue password - einloggen geht wie Claudius schon sagt nur mit dem alten :-(

Diskussion geschlossen / Thread closed
21. Mai 2013: Von reiner jäger an Christian Niermann

Solange es doch nur ich selber sehen kann ist des doch nicht schlimm. Ich kenns doch sowieso. Oder sehe ich da was falsch?


Diskussion geschlossen / Thread closed
21. Mai 2013: Von Jan Brill an Christian Niermann

Verehrter Herr "Skyrider",

wir speichern weder Ihr noch sonst ein Passwort im Klartext. Benutzerkonten sind als XML-Datei angelegt, die Passwörter darin selbstverständlich gehasht.

Wenn Sie aber selber Ihr Passwort anfordern und auf der Kontoseite zur Bearbeitung darstellen lassen, wird dieses auch übertragen.

Bitte geben Sie unverzüglich Ihren Klarnahem an. Gegen Ihre sachlich falsche und rufschädigende Behauptung werden wir natürlich vorgehen. Sich unter einem Pseudonym anmelden, mit GMX-Adresse und dann falsche Behauptungen aufstellen ist wirklich die feine Art. Würden Sie erstmal die Nutzungsbedingungen lesen bevor Sie falsche Behauptungen über die Implementation des Forums aufstellen?


MfG
Jan Brill

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Christian Niermann an reiner jäger
Hallo,

du kannst es sehen, und jeder der berechtigt oder unberechtigt Zugriff auf die PuF Datenbank hat.

Aber deine E-Mail Adresse/Nickname plus das Passwort macht bestimmt viel Spaß bei Amazone, PayPal, E-Mailanbieter und Co.

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Jan Brill an Christian Niermann Bewertung: -0.33 [1]
du kannst es sehen, und jeder der berechtigt oder unberechtigt Zugriff auf die PuF Datenbank hat.
Aber deine E-Mail Adresse/Nickname plus das Passwort macht bestimmt viel Spaß bei Amazone, PayPal, E-Mailanbieter und Co.


Sehr geehrter Herr Skyrider,

ich wäre jetzt an Ihrer Stelle sehr vorsichtig mit weiteren Behauptungen zur Art unserer Passwortspeicherung. Das macht die Sache nur peinlicher, unangenehmer und teurer für Sie.

Deshalb nochmals langsam und zum Mitschreiben:

- Kundenpasswörter, Kontonummern etc. werden im XML-File verschlüsselt
- Die nächtlichen Backups dieser Daten erfolgen über SSL
- Die Speicherung der nächtlichen Backups erfolgt zusätzlich auf verschlüsselten Platten
- Die Passwörter und Schlüssel für die relevanten User-Accounts liegen genau zwei Personen vor und sind in einem versiegelten Umschlag abgelegt (habe gerade geschaut, Siegel ist noch drauf).

Wenn Sie selber Ihr Passwort zur Bearbeitung abrufen oder eingeben wird dieses selbstverständlich übertragen. Und zwar über HTTP. Und wenn Sie in einem kostenlosen und simplen Internet-Forum das gleich Passwort verwenden wie für Paypal oder Amazon, dann kann ich Ihnen leider nicht helfen.

MfG
Jan brill

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Christian Niermann an Christian Niermann
Oh, ich glaube ich habe einen wunden Punkt getroffen:


Zitat einer E-Mail die ich gerade erhalten habe:

"Sehr geehrter Herr ...

Wie kommen Sie in o.g. Beitrag zu den Behauptungen

"ich musste gerade mit entsetzen feststellen, dass PuF mein Kennwort offenbar im Klartext speichert."

oder

"du kannst es sehen, und jeder der berechtigt oder unberechtigt Zugriff auf die PuF Datenbank hat. "

Sofern Sie diese Behauptung nicht unverzüglich und förmlich an gleicher Stelle unter Angabe Ihres Klarnamens widerrufen werden wir noch in dieser Woche eine einstweilige Verfügung wegen Unterlassung gegen Sie geltend machen.

MfG

Jan Brill

Managing Editor - Pilot und Flugzeug

Zitat Ende!


Jetzt wird aber schnell geschossen. Aber da ich ja Stellung an gleicher Stelle beziehen soll, möchte ich dies hiermit machen. Mal schauen wie lange mein Schreiben in diesem Forum bestehen bleibt.


ALSO:

1. Wenn das Forum mir mein richtiges Kennwort im Klartext per Mail zuschicken kann, weil ich es vergessen habe wird es im Klartext irgend wo gespeichert.

2. Wenn mein Kennwort im Quelltext im Klartext sichtbar ist wird damit im Klartext gearbeitet.

3. Da mein Kennwort vermutlich in einer Datenbank, da anders so ein Forum nicht funktioniert, gespeichert ist haben Admin's zu Wartungszwecken Zugriff auf die Datenbank. Daher kann ein Admin mein Kennwort im Klartext lesen.

4. Sollte sich jemand unerlaubt Zugriff auf die Datenbank verschaffen (Hack-Angriff) so hat er neben meinem Kennwort m Klartext vermutlich auch alle anderen Userdaten.


Herr Brill, bevor Sie mit der Unterlassungsklage kommen, sollte Sie lieber schauen was in Ihrem Laden hier leider nicht mehr Stand der Dinge ist.

Den Ton Ihrer E-Mail verbitte ich mir aber auf's schärfste.

Mit amüsiertem Gruß!

PS: Nur damit nicht's wegkommt, habe ich mir mal erlaubt ein Backup hiervon zu machen!

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Achim H. an Jan Brill Bewertung: +1.00 [1]
Für mich sieht es so aus, als ob Herr Skyrider Recht hat. Wenn ich mein Passwort ändern möchte, so steht es im Klartext in der HTML-Seite, damit wird es zwingendermaßen auch im Klartext auf dem PuF-Server gespeichert und im Klartext übers Internet übertragen (da HTTP).

Somit können PuF-Mitarbeiter mit Datenbankzugriff alle Passwörter einsehen und der Hacker, der die Datenbank klaut (und da gibt es mit großer Wahrscheinlichkeit die ein oder andere Lücke) ebenfalls.

Wenn Sie selber Ihr Passwort zur Bearbeitung abrufen oder eingeben wird dieses selbstverständlich übertragen. Und zwar über HTTP.

Per HTTP übertragen heißt vom Server (PuF) an den Browser geschickt, sprich das Passwort liegt im Klartext auf dem Server vor. Genau das sollte nicht der Fall sein. Auch nicht verschlüsselt, die Serverseite sollte nicht die Möglichkeit haben, das Passwort jenseits der initialen Hashgenerierung zu Gesicht zu bekommen.

PS: Ich finde GMX zwar auch bescheiden aber muss man Leuten die dort eine Emailadresse haben deswegen einen Vorwurf machen?

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Jan Brill an Christian Niermann
Verehrter Skyrider,

ich fürchte, Sie verrennen sich hier:

1. Wenn das Forum mir mein richtiges Kennwort im Klartext per Mail zuschicken kann, weil ich es vergessen habe wird es im Klartext irgend wo gespeichert.

Ein verschlüsseltes Passwort kann man auch entschlüsseln. Das ist ein Weg es mit der Klartext-Eingabe zu vergleichen.

2. Wenn mein Kennwort im Quelltext im Klartext sichtbar ist wird damit im Klartext gearbeitet.

Ja, und zwar in Ihrem Browserfenster und bei der HTTP-Übertragung. Ihre falsche Behauptung bezog sich auf die Speicherung.

3. Da mein Kennwort vermutlich in einer Datenbank, da anders so ein Forum nicht funktioniert, gespeichert ist haben Admin's zu Wartungszwecken Zugriff auf die Datenbank. Daher kann ein Admin mein Kennwort im Klartext lesen.

Admin-Zugriff: Ja. Klartext lesen nein, weil verschlüsselt.

4. Sollte sich jemand unerlaubt Zugriff auf die Datenbank verschaffen (Hack-Angriff) so hat er neben meinem Kennwort m Klartext vermutlich auch alle anderen Userdaten.

Ihre "Vermutung" ist falsch. Siehe (1) und (3).

Ich habe wirklich nie gesagt dass das P&F -Forum High-Security wäre. Und die Passwörter werden auch bei Eingabe und Login im Klartext übertragen. In diesem Punkt wäre Ihre Kritik ja durchaus berechtigt.

Sie werden aber eben nicht im Klartext gespeichert wie Sie behaupten.

Aber da Sie sich Ihrer Sache ja sehr sicher sind, schlage ich vor, dass Sie anstatt hier anonym zu posten mit mit Ihrem Namen zu Ihrer Behauptung stehen. So sehen es auch die Nutzungsbedingungen des Formus vor. Dann kann das Ganze seinen üblichen Lauf nehmen:

1) Ich beantrage eine Verfügung auf Unterlassung

2) Ich erkläre eidesstattlich, dass die Passwörter bei Speicherung verschlüsselt werden

3) Die Verfügung wird erlassen

4) Je nachdem ob Sie dagegen vorgehen oder nicht kostet Sie die Sache ab 500 Euro aufwärts


MfG

Jan Brill


Diskussion geschlossen / Thread closed
21. Mai 2013: Von Norbert S. an Achim H. Bewertung: +0.33 [2]
als Profiler weiss ich jetzt wer Fr.B. ist :-)

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Achim H. an Jan Brill Bewertung: +1.00 [1]
Benutzerkonten sind als XML-Datei angelegt, die Passwörter darin selbstverständlich gehasht.

"gehasht" wäre der richtige Ansatz aber das ist nicht der Fall, denn aus einem Hash kann man per definitionem nicht das ursprüngliche Passwort ermitteln.

Ein verschlüsseltes Passwort kann man auch entschlüsseln. Das ist ein Weg es mit der Klartext-Eingabe zu vergleichen

Das ist jetzt nicht mehr wie zuerst behauptet gehasht sondern symmetrisch verschlüsselt. Damit befindet sich das Passwort auf dem Server im Klartext (zeitweise) im Speicher (RAM) und wenn jemand die Datenbank klaut und den zugehörigen Schlüssel gleich mit (der muss sich ebenfalls im RAM befinden), dann hat er die Passwörter der Nutzer. Die Wahrscheinlichkeit dass es Schwachstellen in der Forumsoftware gibt ist erfahrungsgemäß recht hoch.

Auch wenn ich jetzt eine Abmahnung bekomme, Herr Skyrider übt hier berechtigte Kritik. Die Forumsoftware sollte keine Passwörter in einer entschlüsselbaren Variante speichern. Dafür gibt es Hash-Algorithmen.

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Christian Niermann an Jan Brill
Ich finde es amüsant, dass Herr Brill und ich sowohl öffentlich hier im Forum als auch privat per E-Mail schreiben. Dies nur der Vollständigkeit.

Die Ausführungen von Herrn Achim Hasenmüller sind schon sehr richtig! Ich möchte dazu ergänzen:

Vielleicht kommt es falsch herüber, meine Intention ist nicht P&F (man entschuldige mir den Ausdruck) ans Bein zu pinkeln, ich bin ja selber hier angemeldet und lese gerne mit.

Ich möchte vielmehr und das habe ich Herrn Brill auch schon per E-Mail geschrieben, die anderen P&F-User informieren.

Jeder, der ein Forum mit derartig niedrigen Sicherheitsstandards nutzt, sollte über die Gefahren aufgeklärt sein.

Zitat: "Und die Passwörter werden auch bei Eingabe und Login im Klartext übertragen."

Jeder User hat aber die Möglichkeit, für P&F einen Account und Passwort zu nutzen, was nicht auch noch für andere brisantere Bereiche Bank/Mail/Geld/usw. genutzt wird.

Leider benutzten die meisten User immer nur einen Namen und ein Kennwort für mehrere Seiten.


Einen schönen Abend bis dahin!

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Jan Brill an Christian Niermann
Ich finde es amüsant, dass Herr Brill und ich sowohl öffentlich hier im Forum als auch privat per E-Mail schreiben. Dies nur der Vollständigkeit.

Ich finde es nicht amüsant, dass Sie nicht den Mut haben mit Ihrem Klarnamen zu Posten. Ich freue mich natürlich über Ihre Vorschläge zur Ergänzung der Nutzungsbedingungen, hätte aber einen größeren persönlichen Respekt vor Ihnen, wenn Sie sich wie die meisten anderen Nutzer auch an diese halten würden.

Ihre bereits im Titel aufgestellte Behauptung "Forum speichert Kennwörter im Klartext" ist falsch.
Daran ändert auch die nachträgliche Umdeutung Ihres Beitrags nichts.

Das bedeutet wie schon gesagt nicht, dass es nicht Verbesserungen in der Sicherheit und bei der Aufklärung der Nutzer gibt.


MfG
Jan Brill

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Christian Niermann an Jan Brill
Zitat:
Ihre bereits im Titel aufgestellte Behauptung "Forum speichert Kennwörter im Klartext" ist falsch.
Daran ändert auch die nachträgliche Umdeutung Ihres Beitrags nichts.



Das ist Ihre Aussage, die Sie auch gerne weiter so vertreten können. Von meinem Standpunkt aus, und mit dem Wissensstand über Kommunikation im Internet bzw. Speicherung von Daten muss ich leider bei meiner Aussage, wie sie auch im Titel ist bleiben.

Ich verstehe auch nicht, warum mein Klarname den Wert meiner Aussage ändern soll. P&F ist mein Name bekannt.

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Norbert S. an Christian Niermann
-0,67 Was soll denn das? Ohne Klarnamen?

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Jan Brill an Christian Niermann
Das ist Ihre Aussage, die Sie auch gerne weiter so vertreten können. Von meinem Standpunkt aus, und mit dem Wissensstand über Kommunikation im Internet bzw. Speicherung von Daten muss ich leider bei meiner Aussage, wie sie auch im Titel ist bleiben.

Oje. Jetzt kommt das Beharrungsvermögen. Ich habe Ihnen gerade den Originaldatensatz ihres Benutzerkontos geschickt. Wie wohl auch Sie mit Ihrem "Wissensstand über Kommunikation im Internet bzw. Speicherung von Daten" daraus ersehen können ist Ihr Passwort weder im Klartext gespeichert noch durch den Administrator lesbar.

Ich habe kein Problem damit zuzugeben, dass das Forum Verbesserungspotenzial bei der Sicherheit hat. Und den von Ihnen vorgeschlagenen Hinweis auf den recht unsicheren Übertragungsweg per HTTP bauen wir gerne ein.

Sie scheinen aber nicht bereit zu bestätigen, dass Ihre Annahmen und Vermutungen "Forum speichert Kennwörter im Klartext" ganz einfach unrichtig waren.

Ich verstehe auch nicht, warum mein Klarname den Wert meiner Aussage ändern soll. P&F ist mein Name bekannt.

Weil es vielleicht nicht nur mich sondern auch die anderen Leser interessiert, wer

- hier teilnimmt,
- einen kostenlosen Service nutzt,
- vermeintliche Defizite anprangert,
- dabei falsche Behauptungen aufstellt,
- sich selber nicht an die Regeln hält,
- dafür aber fleissig Ratschläge austeilt und dann
- sich selber applaudiert auch noch anonym die Beiträge anderer Nutzer in eigener Sache rated.


MfG
Jan Brill

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Lutz D. an Christian Niermann
Da fällt mir doch glatt ein Zitat aus der Odyssee zu sein. 9. Gesang, Vers 256.

"Niemand würgt mich mit Arglist!"

Insofern - wer meint, seine Daten seien im Netz sicher, der irrt ohnehin.

Diskussion geschlossen / Thread closed
21. Mai 2013: Von Pelle Goran an Jan Brill Bewertung: +2.00 [2]
...

Also, zunächst einmal bitte ich alle Beteiligten einmal ihre Gemüter herunter zu kühlen. So hilft das nichts und keiner lernt etwas dabei.


Als jemand der öfters beruflich in dem weiteren Umfeld dieser Themen sein Geld verdient, möchte ich ein paar Dinge zu bedenken geben.


Zunächst einmal gehe ich davon aus, dass auf dem Server die üblichen ("Schmalspur-") Sicherheitsvorkehrungen getroffen wurden, wie bei 90+% aller Datenbanken auch in dem Bereich. Insofern glaube ich auch einer Empörung eines Jan Brill, dass er der Meinung ist, die Behauptungen wären haltlos.


Leider sind die Dinge nicht so einfach.


Auch wenn der Kollege Skyrider seine Bedenken in einer ungeschickten Art und Weise geäußert hat, so steckt in diesen Hinweisen ein wichtiger Kern, den es zu beachten gilt.


Ich habe eben ein Netztracing gestartet und von meinem aktuellen Rechner 23 Hops zählen können, 12 bis zu meinem Proxy und dann noch einmal 11 Hops bis zum PuF Webserver. Für diejenigen denen das nichts sagt: es sind 23 verschiedene Transportserver in der Kommunikation, von dem was ich schreibe, bis zum PuF Webserver, beteiligt. Die Kommunikation zwischen meinem Rechner und dem PuF Server findet unverschlüsselt statt und damit können mindestens an diesen 23 Transportservern jede Menge Leute meine Konversation in Klarschrift mitlesen. Soviel zunächst zur Funktionsweise des Internets.


Es obliegt nun dem Betreiber einer Webseite für Datensicherheit (data security, der Schutz der Daten) und Datenschutz (data protection, der Schutz der personenbezogenen Daten) zu sorgen. Diese letztere Obliegenheit ist im übrigen gegebenenfalls strafbewehrt, d.h. verstößt ein Webseitenbetreiber gegen den Datenschutz, dann kommt ein Bundesdatenschutzbeauftragter Peter Schaar und wird demjenigen mit hochrotem Kopf mindestens einen Kommentar entgegen pfeffern. Der Kollege Schaar ist allerdings ziemlich beschäftigt und wird sich, um so ein Mickeymaus Problem wie hier, wohl nicht kümmern.


Wenn ich mir die Aussage des Jan Brill anschaue, so zielt diese vornehmlich auf die Datensicherheit. Hier glaube ich durchaus, dass übliche (s.o.) Vorkehrungen getroffen wurden.

Schaue ich mir den Einwand vom Kollegen Skyrider an, dann bezieht sich dies aber auf Datenschutz und in dem Spannungsfeld kann eine Abmahnung auch nach hinten losgehen.


Dadurch, dass die Passwörter tatsächlich derzeit im Klartext über das Internet geschickt werden, ist dies - meiner ganz persönlichen Meinung nach - tatsächlich datenschutzrechtlich nicht in Ordnung, da sich dahinter zu schützende personenbezogene Daten verbergen können. Im Datenschutz heisst dieses "können" immer für den Betreiber, er muss diese Daten so behandeln als ob sie personenbezogen wären, da dies nicht ausgeschlossen werden kann. Das Forum betreibt hier jedenfalls keinen nach heutigem Stand der Technik üblichen ausreichenden Datenschutz.


Dieser Schutz wird also vom aktuellen Forum nicht gewährleistet und insofern ist hier Handeln notwendig. Ich würde hier sogar eine recht akute Priorität sehen, denn das ist kein Kavaliersdelikt.


Diskussion geschlossen / Thread closed

34 Beiträge Seite 1 von 2

 1 2 
 

Home
Impressum
© 2004-2021 Airwork Press GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der Airwork Press GmbH. Die Nutzung des Pilot und Flugzeug Internet-Forums unterliegt den allgemeinen Nutzungsbedingungen (hier). Es gelten unsere Datenschutzerklärung unsere Allgemeinen Geschäftsbedingungen (hier). Kartendaten: © OpenStreetMap-Mitwirkende, SRTM | Kartendarstellung: © OpenTopoMap (CC-BY-SA) Hub Version 13.52.02
Zur mobilen Ansicht wechseln
Seitenanfang