Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » Allgemeines (OffTopic) » Was soll das denn???

Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 < [ 2 ] [ 3 ]
000
20.04.2009, 23:50 Uhr
Hans
Library Walker
(Operator)


Hi,

ich hab seit heute diese Meldung als aller erstes im Browserfenster, wenn ich das Forum aufrufe:

Zitat:
Diese Seite ist unverschlüsselt! Um sicherzustellen, das Ihr Passwort nicht ausgelesen werden kann, sollten Sie auf die verschlüsselte Seite wechseln!

Wie muss ich das denn deuten? - Heisst dass, das mein Passwort bisher immer unverschlüsselt übertagen wurde, sofern ich nicht selber was in dieser Richtung veranlasst habe?
Und wieso dann das ganze Forum als geschützter Bereich, wo doch jeder sehen kann, was da geschrieben wurde?

Hans
--
Man muss nicht alles wissen, aber man sollte wissen, wo es steht. Zum Beispiel hier: Nachdenkseiten oder Infoportal Globalisierung.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
21.04.2009, 08:21 Uhr
Pler
Einer von Vielen
(Operator)


Hi, ich habe die Meldung auch.

Das muss der Flosoft eingebaut haben :-)


Zitat:
Wie muss ich das denn deuten? - Heisst dass, das mein Passwort bisher immer unverschlüsselt übertagen wurde, sofern ich nicht selber was in dieser Richtung veranlasst habe?
Ja, natürlich.


Zitat:
Und wieso dann das ganze Forum als geschützter Bereich, wo doch jeder sehen kann, was da geschrieben wurde?
Was meinst du damit?


Generell, ein interessanten Thema. Das mit den Passwörtern und Foren ist son Ding. Meiner Meinung nach sollte jeder, der ein Forum betreibt, darauf hinweisen, dass die Nutzer ein spezielles Passwort für dieses Forum benutzen.

Es geht eben darum, dass man nicht wichtige Passwörter, wie eig. Mail-Account, System-Account usw. für irgendwelche Foren nutzt. Denn erstens weiß man nicht, was der Admin damit macht, wann das Forum das nächste mal gehackt wird und was überhaupt unterwegs damit passiert (siehe Meldung hier).

Ganz toll finde ich Foren (oder auch Bug-Tracker usw.), die noch extra den Hinweis haben "Ihr Passwort wird verschlüsselt in unserer Datenbank gespeichert" und es danach per Mail um die ganze Welt schicken...

Ich mache folgendes:
- Ein Passwortsafe benutzen. Der hat ein sicheres Hauptpasswort.
- Für jedes Forum, jeden Account usw. immer ein neues, meinetwegen 20-stelliges, Passwort anlegen.
Werden die Zugangsdaten für einen Account öffentlich, ist auch nur genau dieser Account betroffen.

Dieser Post wurde am 21.04.2009 um 08:23 Uhr von Pler editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
21.04.2009, 10:21 Uhr
Guybrush Threepwood
Gefürchteter Pirat
(Operator)



Zitat von Pler:
. Meiner Meinung nach sollte jeder, der ein Forum betreibt, darauf hinweisen, dass die Nutzer ein spezielles Passwort für dieses Forum benutzen.


Warum? Das ist auf einer Nicht-Foren Webseite nicht anders.

Die interesante Farge dabei ist finde ich wie secure-host.de funktioniert.

Dieser Post wurde am 21.04.2009 um 10:22 Uhr von Guybrush Threepwood editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
21.04.2009, 10:42 Uhr
Pler
Einer von Vielen
(Operator)



Zitat von Pirat:
Warum? Das ist auf einer Nicht-Foren Webseite nicht anders.
Ja, Forum ist hier stellvertretend für alle möglichen Seiten. Weiter unten habe ich das auch geschrieben.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
21.04.2009, 12:58 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


Hi,
ja das hab ich eingebaut. da das forum beim einloggen eben das passwort im klartext überträgt. in der db ist es schon verschlüsselt, aber bis zum webserver eben nicht.

da freenet auch den ssl-dienst anbietet, bietet sich das natürlich an das anzugeben.

habe das "ie-info-bar"-style-teil gewählt weil dachte das schaut ganz gut aus ;-)
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
005
21.04.2009, 14:53 Uhr
0xdeadbeef
Gott
(Operator)


Naja, freenet mietet seine Leitungen aber auch von der Telekom. Das bringt im Grunde nur dann wirklich etwas, wenn die Maschinen hinter ssl.secure-hosts.de und fun-soft.de im selben Rechenzentrum stehen.

Naja, oder wenn ihr ein WLAN betreibt/benutzt.
--
Einfachheit ist Voraussetzung für Zuverlässigkeit.
-- Edsger Wybe Dijkstra
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
006
21.04.2009, 15:12 Uhr
Pler
Einer von Vielen
(Operator)


Was hat das WLAN hiermit zu tun? Die Verbindung ist doch vom Rechner bis zum Webserver (in diesem Falle halt ssl.secure-hosts.de) verschlüsselt.


Zitat:
Das bringt im Grunde nur dann wirklich etwas, wenn die Maschinen hinter ssl.secure-hosts.de und fun-soft.de im selben Rechenzentrum stehen.
Oder die Verbindung sonstwie von außen nicht erreichbar ist. (VPN oder so). Aber davon gehe ich doch mal stark aus. Nichts ist schlimmer als vorgespielte Sicherheit :-) Siehe Passwörter per Mail.

Leider kann ich das als Anwender ziemlich schwer überprüfen. Um rauszufinden, wer hinter diesem Host steht, muss man schon zur Denic. Naja, das Zertifikat gibts auch noch. Müssten die nicht ein Impressum haben? Und wie gesagt. Wenn alles unverschlüsselt und durchs Internet von secure-hosts.de zu fun-soft.de geschickt würde, wäre das 'n Ding. Aber mich wundert gar nichts. Der TÜV gibt sogar noch ein Siegel für...
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
007
21.04.2009, 15:23 Uhr
Guybrush Threepwood
Gefürchteter Pirat
(Operator)


Deswegen ja meine Frage oben wie das funktioniert

und wenn dann statt jedem "nur" secure-hosts mitlesen kann hab ich auch nicht soviel gewonnen.
Wobei es gibt ja auch Leute die sowas wie Sofortüberweisung.de benutzen
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
008
21.04.2009, 16:09 Uhr
0xdeadbeef
Gott
(Operator)


FloSoft sagte (und whois bestätigt), dass secure-hosts.de von freenet gehostet wird, wie auch fun-soft.de. Die IPs befinden sich im selben /16-Subnet, eine geographische Nähe ist also denkbar, aber nicht sichergestellt. Je nachdem, wie fähig deren Systemadministratoren sind, kann das also schon was bringen, und mitlesen können die Leute von freenet eh, solange der HTTP-Server nicht selbst verschlüsselt.

Mit dem WLAN meinte ich, dass ein WLAN ungefähr die am einfachsten auszuspionierende Netzform ist, insbesondere, seit WPA2 geknackt ist. Der SSL-Proxy würde zumindest durch dieses Netz eine verschlüsselte Verbindung errichten, was schon etwas wert ist.
--
Einfachheit ist Voraussetzung für Zuverlässigkeit.
-- Edsger Wybe Dijkstra
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
009
21.04.2009, 16:34 Uhr
FloSoft
Medialer Over-Flow
(Administrator)



Zitat von 0xdeadbeef:
FloSoft sagte (und whois bestätigt), dass secure-hosts.de von freenet gehostet wird, wie auch fun-soft.de. Die IPs befinden sich im selben /16-Subnet, eine geographische Nähe ist also denkbar, aber nicht sichergestellt. Je nachdem, wie fähig deren Systemadministratoren sind, kann das also schon was bringen, und mitlesen können die Leute von freenet eh, solange der HTTP-Server nicht selbst verschlüsselt.

Mit dem WLAN meinte ich, dass ein WLAN ungefähr die am einfachsten auszuspionierende Netzform ist, insbesondere, seit WPA2 geknackt ist. Der SSL-Proxy würde zumindest durch dieses Netz eine verschlüsselte Verbindung errichten, was schon etwas wert ist.


das läuft intern über tconn, der proxydienst sollte also bis zum endpc verschlüsselt sein

ansonsten sind die einzigen, die mitlesen können, innerhalb des netzwerks vor ort, also sollte das nicht so problematisch sein, der rest vom internet eben nicht mehr
--
class God : public ChuckNorris { };

Dieser Post wurde am 21.04.2009 um 16:35 Uhr von FloSoft editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 < [ 2 ] [ 3 ]     [ Allgemeines (OffTopic) ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: