|
|
Verehrter Skyrider,
ich fürchte, Sie verrennen sich hier:
1. Wenn das Forum mir mein richtiges Kennwort im Klartext per Mail zuschicken kann, weil ich es vergessen habe wird es im Klartext irgend wo gespeichert.
Ein verschlüsseltes Passwort kann man auch entschlüsseln. Das ist ein Weg es mit der Klartext-Eingabe zu vergleichen.
2. Wenn mein Kennwort im Quelltext im Klartext sichtbar ist wird damit im Klartext gearbeitet.
Ja, und zwar in Ihrem Browserfenster und bei der HTTP-Übertragung. Ihre falsche Behauptung bezog sich auf die Speicherung.
3. Da mein Kennwort vermutlich in einer Datenbank, da anders so ein Forum nicht funktioniert, gespeichert ist haben Admin's zu Wartungszwecken Zugriff auf die Datenbank. Daher kann ein Admin mein Kennwort im Klartext lesen.
Admin-Zugriff: Ja. Klartext lesen nein, weil verschlüsselt.
4. Sollte sich jemand unerlaubt Zugriff auf die Datenbank verschaffen (Hack-Angriff) so hat er neben meinem Kennwort m Klartext vermutlich auch alle anderen Userdaten.
Ihre "Vermutung" ist falsch. Siehe (1) und (3).
Ich habe wirklich nie gesagt dass das P&F -Forum High-Security wäre. Und die Passwörter werden auch bei Eingabe und Login im Klartext übertragen. In diesem Punkt wäre Ihre Kritik ja durchaus berechtigt.
Sie werden aber eben nicht im Klartext gespeichert wie Sie behaupten.
Aber da Sie sich Ihrer Sache ja sehr sicher sind, schlage ich vor, dass Sie anstatt hier anonym zu posten mit mit Ihrem Namen zu Ihrer Behauptung stehen. So sehen es auch die Nutzungsbedingungen des Formus vor. Dann kann das Ganze seinen üblichen Lauf nehmen:
1) Ich beantrage eine Verfügung auf Unterlassung
2) Ich erkläre eidesstattlich, dass die Passwörter bei Speicherung verschlüsselt werden
3) Die Verfügung wird erlassen
4) Je nachdem ob Sie dagegen vorgehen oder nicht kostet Sie die Sache ab 500 Euro aufwärts
MfG
Jan Brill
|
|
Diskussion geschlossen / Thread closed
|
|
|
Benutzerkonten sind als XML-Datei angelegt, die Passwörter darin selbstverständlich gehasht.
"gehasht" wäre der richtige Ansatz aber das ist nicht der Fall, denn aus einem Hash kann man per definitionem nicht das ursprüngliche Passwort ermitteln.
Ein verschlüsseltes Passwort kann man auch entschlüsseln. Das ist ein Weg es mit der Klartext-Eingabe zu vergleichen
Das ist jetzt nicht mehr wie zuerst behauptet gehasht sondern symmetrisch verschlüsselt. Damit befindet sich das Passwort auf dem Server im Klartext (zeitweise) im Speicher (RAM) und wenn jemand die Datenbank klaut und den zugehörigen Schlüssel gleich mit (der muss sich ebenfalls im RAM befinden), dann hat er die Passwörter der Nutzer. Die Wahrscheinlichkeit dass es Schwachstellen in der Forumsoftware gibt ist erfahrungsgemäß recht hoch.
Auch wenn ich jetzt eine Abmahnung bekomme, Herr Skyrider übt hier berechtigte Kritik. Die Forumsoftware sollte keine Passwörter in einer entschlüsselbaren Variante speichern. Dafür gibt es Hash-Algorithmen.
|
|
Diskussion geschlossen / Thread closed
|
|
|
Ich finde es amüsant, dass Herr Brill und ich sowohl öffentlich hier im Forum als auch privat per E-Mail schreiben. Dies nur der Vollständigkeit.
Die Ausführungen von Herrn Achim Hasenmüller sind schon sehr richtig! Ich möchte dazu ergänzen:
Vielleicht kommt es falsch herüber, meine Intention ist nicht P&F (man entschuldige mir den Ausdruck) ans Bein zu pinkeln, ich bin ja selber hier angemeldet und lese gerne mit.
Ich möchte vielmehr und das habe ich Herrn Brill auch schon per E-Mail geschrieben, die anderen P&F-User informieren.
Jeder, der ein Forum mit derartig niedrigen Sicherheitsstandards nutzt, sollte über die Gefahren aufgeklärt sein.
Zitat: "Und die Passwörter werden auch bei Eingabe und Login im Klartext übertragen."
Jeder User hat aber die Möglichkeit, für P&F einen Account und Passwort zu nutzen, was nicht auch noch für andere brisantere Bereiche Bank/Mail/Geld/usw. genutzt wird.
Leider benutzten die meisten User immer nur einen Namen und ein Kennwort für mehrere Seiten.
Einen schönen Abend bis dahin!
|
|
Diskussion geschlossen / Thread closed
|
|
|
Ich finde es amüsant, dass Herr Brill und ich sowohl öffentlich hier im Forum als auch privat per E-Mail schreiben. Dies nur der Vollständigkeit.
Ich finde es nicht amüsant, dass Sie nicht den Mut haben mit Ihrem Klarnamen zu Posten. Ich freue mich natürlich über Ihre Vorschläge zur Ergänzung der Nutzungsbedingungen, hätte aber einen größeren persönlichen Respekt vor Ihnen, wenn Sie sich wie die meisten anderen Nutzer auch an diese halten würden.
Ihre bereits im Titel aufgestellte Behauptung "Forum speichert Kennwörter im Klartext" ist falsch.
Daran ändert auch die nachträgliche Umdeutung Ihres Beitrags nichts.
Das bedeutet wie schon gesagt nicht, dass es nicht Verbesserungen in der Sicherheit und bei der Aufklärung der Nutzer gibt.
MfG
Jan Brill
|
|
Diskussion geschlossen / Thread closed
|
|
|
Zitat:
Ihre bereits im Titel aufgestellte Behauptung "Forum speichert Kennwörter im Klartext" ist falsch.
Daran ändert auch die nachträgliche Umdeutung Ihres Beitrags nichts.
Das ist Ihre Aussage, die Sie auch gerne weiter so vertreten können. Von meinem Standpunkt aus, und mit dem Wissensstand über Kommunikation im Internet bzw. Speicherung von Daten muss ich leider bei meiner Aussage, wie sie auch im Titel ist bleiben.
Ich verstehe auch nicht, warum mein Klarname den Wert meiner Aussage ändern soll. P&F ist mein Name bekannt.
|
|
Diskussion geschlossen / Thread closed
|
|
|
-0,67 Was soll denn das? Ohne Klarnamen?
|
|
Diskussion geschlossen / Thread closed
|
|
|
Das ist Ihre Aussage, die Sie auch gerne weiter so vertreten können. Von meinem Standpunkt aus, und mit dem Wissensstand über Kommunikation im Internet bzw. Speicherung von Daten muss ich leider bei meiner Aussage, wie sie auch im Titel ist bleiben.
Oje. Jetzt kommt das Beharrungsvermögen. Ich habe Ihnen gerade den Originaldatensatz ihres Benutzerkontos geschickt. Wie wohl auch Sie mit Ihrem "Wissensstand über Kommunikation im Internet bzw. Speicherung von Daten" daraus ersehen können ist Ihr Passwort weder im Klartext gespeichert noch durch den Administrator lesbar.
Ich habe kein Problem damit zuzugeben, dass das Forum Verbesserungspotenzial bei der Sicherheit hat. Und den von Ihnen vorgeschlagenen Hinweis auf den recht unsicheren Übertragungsweg per HTTP bauen wir gerne ein.
Sie scheinen aber nicht bereit zu bestätigen, dass Ihre Annahmen und Vermutungen "Forum speichert Kennwörter im Klartext" ganz einfach unrichtig waren.
Ich verstehe auch nicht, warum mein Klarname den Wert meiner Aussage ändern soll. P&F ist mein Name bekannt.
Weil es vielleicht nicht nur mich sondern auch die anderen Leser interessiert, wer
- hier teilnimmt,
- einen kostenlosen Service nutzt,
- vermeintliche Defizite anprangert,
- dabei falsche Behauptungen aufstellt,
- sich selber nicht an die Regeln hält,
- dafür aber fleissig Ratschläge austeilt und dann
- sich selber applaudiert auch noch anonym die Beiträge anderer Nutzer in eigener Sache rated.
MfG
Jan Brill
|
|
Diskussion geschlossen / Thread closed
|
|
|
Da fällt mir doch glatt ein Zitat aus der Odyssee zu sein. 9. Gesang, Vers 256.
"Niemand würgt mich mit Arglist!"
Insofern - wer meint, seine Daten seien im Netz sicher, der irrt ohnehin.
|
|
Diskussion geschlossen / Thread closed
|
|
|
...
Also, zunächst einmal bitte ich alle Beteiligten einmal ihre Gemüter herunter zu kühlen. So hilft das nichts und keiner lernt etwas dabei.
Als jemand der öfters beruflich in dem weiteren Umfeld dieser Themen sein Geld verdient, möchte ich ein paar Dinge zu bedenken geben.
Zunächst einmal gehe ich davon aus, dass auf dem Server die üblichen ("Schmalspur-") Sicherheitsvorkehrungen getroffen wurden, wie bei 90+% aller Datenbanken auch in dem Bereich. Insofern glaube ich auch einer Empörung eines Jan Brill, dass er der Meinung ist, die Behauptungen wären haltlos.
Leider sind die Dinge nicht so einfach.
Auch wenn der Kollege Skyrider seine Bedenken in einer ungeschickten Art und Weise geäußert hat, so steckt in diesen Hinweisen ein wichtiger Kern, den es zu beachten gilt.
Ich habe eben ein Netztracing gestartet und von meinem aktuellen Rechner 23 Hops zählen können, 12 bis zu meinem Proxy und dann noch einmal 11 Hops bis zum PuF Webserver. Für diejenigen denen das nichts sagt: es sind 23 verschiedene Transportserver in der Kommunikation, von dem was ich schreibe, bis zum PuF Webserver, beteiligt. Die Kommunikation zwischen meinem Rechner und dem PuF Server findet unverschlüsselt statt und damit können mindestens an diesen 23 Transportservern jede Menge Leute meine Konversation in Klarschrift mitlesen. Soviel zunächst zur Funktionsweise des Internets.
Es obliegt nun dem Betreiber einer Webseite für Datensicherheit (data security, der Schutz der Daten) und Datenschutz (data protection, der Schutz der personenbezogenen Daten) zu sorgen. Diese letztere Obliegenheit ist im übrigen gegebenenfalls strafbewehrt, d.h. verstößt ein Webseitenbetreiber gegen den Datenschutz, dann kommt ein Bundesdatenschutzbeauftragter Peter Schaar und wird demjenigen mit hochrotem Kopf mindestens einen Kommentar entgegen pfeffern. Der Kollege Schaar ist allerdings ziemlich beschäftigt und wird sich, um so ein Mickeymaus Problem wie hier, wohl nicht kümmern.
Wenn ich mir die Aussage des Jan Brill anschaue, so zielt diese vornehmlich auf die Datensicherheit. Hier glaube ich durchaus, dass übliche (s.o.) Vorkehrungen getroffen wurden.
Schaue ich mir den Einwand vom Kollegen Skyrider an, dann bezieht sich dies aber auf Datenschutz und in dem Spannungsfeld kann eine Abmahnung auch nach hinten losgehen.
Dadurch, dass die Passwörter tatsächlich derzeit im Klartext über das Internet geschickt werden, ist dies - meiner ganz persönlichen Meinung nach - tatsächlich datenschutzrechtlich nicht in Ordnung, da sich dahinter zu schützende personenbezogene Daten verbergen können. Im Datenschutz heisst dieses "können" immer für den Betreiber, er muss diese Daten so behandeln als ob sie personenbezogen wären, da dies nicht ausgeschlossen werden kann. Das Forum betreibt hier jedenfalls keinen nach heutigem Stand der Technik üblichen ausreichenden Datenschutz.
Dieser Schutz wird also vom aktuellen Forum nicht gewährleistet und insofern ist hier Handeln notwendig. Ich würde hier sogar eine recht akute Priorität sehen, denn das ist kein Kavaliersdelikt.
|
|
Diskussion geschlossen / Thread closed
|
|
|
[ Weil es vielleicht nicht nur mich sondern auch die anderen Leser interessiert, wer
- hier teilnimmt,
....
- auch noch anonym die Beiträge anderer Nutzer in eigener Sache rated. ]
Wie ist denn hier anonym zu definieren? Ob ich jetzt Skyrider mit Nachnamen heisse oder Behrle - das kann doch beides weit entfernt der Realität sein, oder?
|
|
Diskussion geschlossen / Thread closed
|
|
|
Weißt Du Pelle, was das allerschlimmste ist? Dass durch die Nutzung dieses Pseudonyms, Informationen zu einem Buch, vielen sicher unbekannt, das ich eigentlich schätze, im Internet kaum noch auffindbar sind, weil die gefühlt ersten 15 Seiten der google-results nur P&F postings von Dir hervorbringen. Denk mal drüber nach, was Du Deiner (vermutlich von Dir geschätzten) Kunstfigur da antust! ;)
|
|
Diskussion geschlossen / Thread closed
|
|
|
finde es befremdlich, dass hier gleich mit Unterlassungsklage und der finanziellen Keule gedroht wird.
Kein Wunder, dass es keinen echten Zusammenhalt in der GA gibt, ausser vllt pseudo Freundschaften beim Glas Champagner in Cannes.
|
|
Diskussion geschlossen / Thread closed
|
|
|
Lieber Lutz,
ich kann weder etwas für meinen Nachnamen, den habe ich von meinem Vater bekommen, noch für meinen Vornamen, den ich von meiner Mutter wegen ihrer Liebe zu genau diesem Kinderbuch bekam. Also, was soll das? Ich werde jedenfalls keine Kopie meines Passes hier einstellen.
|
|
Diskussion geschlossen / Thread closed
|
|
|
Wahnsinn, ich nehme dann alles zurück! War der festen Überzeugung, dass Du unter Pseudonym postest, weil Dir das Buch von Edith Unnerstad soviel bedeutet. Kennst Du es?
|
|
Diskussion geschlossen / Thread closed
|
|
|
Na und?
Sind nicht alle Passwörter 0000 oder 1234?
Ich sehe , daß dieses Forum technich eher dilletantisch aufgebaut ist.
- bein Schreiben der Texte dauert es ewig, bis der Text erscheint
-manche Texte sind nur lesbar, wenn man den Screen um seine dreifache (oder so) Breite ständig seitlich verschiebt
- PuF ist ein ganz kleiner Verlag.
Da denke ich mir mein Teil und sezte einfach aus normalem Verstand heraus kein sicherheitsrelevantes Passwort ein. Daß man seitens des Betreibers drankommt, davon gehe ich aus. Ob das bei Amazon, Ebay, Paypal oder gar meiner Bank anders ist weis ich nicht, aber ich kann ja Vorkehrungen treffen.
Ich sehe also kein Problem darin. Kein normaler Mensch schreibt doch auch seine PIN auf die Kreditkarte, also denkt man und setzt ein anderes Passwort ein.
Ob der Verlag von PuF seine Geld und vor allem Arbeitsressourcen für das Forum binden sollte glaube ich eher nicht.
Trotz all dieser Unzulänglichkeiten ist es immer wieder interessant hier reinzuschauen und das ist doch die Hauptsache. Daß der Herr Brill viele dieser Phantasienamen duldet finde ich zwar auch bescheuert, aber es ist sein Forum und seine Sache. Er muß sich dann ja auch von Zeit zu Zeit selber damit herumplagen.
|
|
Diskussion geschlossen / Thread closed
|
|
|
Ich kann es noch fast auswendig und meine Mutter hat es mir unendlich oft vorgelesen. In meiner schwedischen Heimat kann man mit dem Namen kaum eine Geldkarte benutzen, weil es jeder kennt und das dann für eine Fakekarte hält. Aber wir schweifen ab.
|
|
Diskussion geschlossen / Thread closed
|
|
|
Ich kenne leider nur die englische Übersetzung. Werde ich am WE noch mal rausholen. Entschuldige noch mal meine Unterstellung.
|
|
Diskussion geschlossen / Thread closed
|
|
|
17 Beiträge Seite 1 von 1
|
|
|
