Fatale Sicherheitslücke beim Login

Diskutiere und helfe bei Fatale Sicherheitslücke beim Login im Bereich Fehler im Forum im SysProfile Forum bei einer Lösung; Liebe Community, nach langer Zeit möchte ich wieder aktiver im Forum mitmischen. Dabei ist mir heute gleich mal aufgefallen, dass der Login Prozess... Dieses Thema im Forum "Fehler im Forum" wurde erstellt von Kingston King, 26. April 2014.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Kingston King
    Kingston King Lebende CPU
    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913

    Liebe Community,

    nach langer Zeit möchte ich wieder aktiver im Forum mitmischen.
    Dabei ist mir heute gleich mal aufgefallen, dass der Login Prozess nicht verschlüsselt wird.

    Die eingegebenen Passwörter werden nur mit einem MD5 verschlüsselt über das Internet übertragen.

    Warum das ein Problem ist?
    Ich habe dazu heute ein Live-Beispiel von dem Anmelde Prozess verfilmt:

    https://www.youtube.com/watch?v=E4Zcmnt-eYM


    Nachdem die Medien das Thema IT Security aufgreifen wie noch nie, sollten auch wir uns bemühen, dem Standart der Zeit zu folgen.
    Vor allem weil wir hier ein Computer/IT Forum mit einigen Spezialisten sind.

    Ich lasse die Erkenntnis einmal so im Raum stehen und bitte die Admins, den Login Prozess über eine SSL Leitung zu erzwingen und ein öffentlich signiertes Zertifikat bereit zu stellen.

    Derzeit wird dem hinterleget Zertifikat von https://forum.sysprofile.de nicht von meinen Browsern getrustet.

    Edit: Das Video wurde gerade erst hochgeladen.
    Ich hoffe die Vorschau funktioniert bald :)


    Viele Grüße,
    Dani
     
    #1 Kingston King, 26. April 2014
    Zuletzt bearbeitet: 26. April 2014
  2. User Advert

  3. Shadowchaser
    Shadowchaser Wandelnde HDD
    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624

    Das Video geht immer noch nicht.
     
    #2 Shadowchaser, 26. April 2014
  4. Kingston King
    Kingston King Lebende CPU
    Themenstarter
    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Über dem Video habe ich den Youtube-Link eingefügt.
    Auf der YT-Seite funktioniert das Video :)
     
    #3 Kingston King, 26. April 2014
  5. Shadowchaser
    Shadowchaser Wandelnde HDD
    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Achso, ok.;)
     
    #4 Shadowchaser, 26. April 2014
  6. mitcharts
    mitcharts Wandelnde HDD
    Registriert seit:
    23. Januar 2007
    Beiträge:
    11.954
    Zustimmungen:
    585
    1. SysProfile:
    17054
    Du solltest das Video auch richtig einbinden per Tag. Dort wird _nur_ die Video-ID benötigt.

    Zur Sache selbst: Joar, schauen wir mal was die Admins dazu sagen. Wird wahrscheinlich gar nichts passieren bzw. nur sehr langsam.
     
    #5 mitcharts, 26. April 2014
    1 Person gefällt das.
  7. Kingston King
    Kingston King Lebende CPU
    Themenstarter
    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    So ist es :)

    Da viele User in allen Portalen ein gemeinsames Passwort nutzen, ist das Forum hier eine super Möglichkeit für Angreifer, um unseren Nutzern viele Informationen und auch Geld aus der Tasche zu ziehen.

    Daher sollte mit sowas nicht spaßig umgegangen werden..

    Gruß,
    Dani
     
    #6 Kingston King, 26. April 2014
  8. robert_t_offline
    robert_t_offline Cerca Trova
    S-Mod
    Registriert seit:
    9. Januar 2007
    Beiträge:
    8.290
    Zustimmungen:
    202
    Name:
    Markus
    1. SysProfile:
    24913
    2. SysProfile:
    1998668139
    Steam-ID:
    robert_t_offline
    Es wäre vielleicht hilfreicher Gewesen das per PN an die Admins weiterzuleiten als das so riesig an die grosse Glocke zu hängen um potenziellen Angreifern noch quasi ein Anleitungsvideo zu geben...Merkste was?

    Das nur mal als Gedanke von mir..machen kann ich nichts, das muss Guru oder Spacey tun ;)
     
    #7 robert_t_offline, 26. April 2014
    1 Person gefällt das.
  9. Kingston King
    Kingston King Lebende CPU
    Themenstarter
    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Das stimmt, aber wie schon vermutet wäre nichts passiert.
    Der Hinweis erreicht vielleicht noch weitere Foren-/Portalbetreiber, die Ihre Systeme nach so einem groben Schnitzer prüfen möchten.

    Und als Demo, dass das keine kleine Sache ist, habe ich das Video gemacht.
    Gerne können sich Guru oder Spacey melden, um deswegen nochmal zu reden.

    Edit: Gerade habe ich das gleiche beim PC Forum getestet.
    Hier wird nichtmal das Passwort MD5 verschlüsselt. Das wird gleich im Klartext übermittelt.


    Gruß,
    Dani
     
    #8 Kingston King, 26. April 2014
  10. Shadowchaser
    Shadowchaser Wandelnde HDD
    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Wie gut das mein PW etwas länger ist.:o

    Welches Forum?
     
    #9 Shadowchaser, 26. April 2014
  11. gemini
    gemini Wandelnde HDD
    Registriert seit:
    26. Juli 2007
    Beiträge:
    7.012
    Zustimmungen:
    516
    1. SysProfile:
    33171
    2. SysProfile:
    143510
    Eigentlich musst du das gar nicht testen. Bei eigentlich jeder Seite die nicht über das HTTPS-Protokoll überträgt, werden die Daten unverschlüsselt übertragen (und MD5 ist keine Verschlüsselungsfunktion ;) )

    Normalerweise sollte man trotzdem Sicherheitsprobleme erst privat an die Admins melden und erst wenn dann nichts passiert, dass ganze öffentlich machen. Empfinde ich persönlich als einen besseren Umgang auch mit der Sicherheit der anderen User.

    Dennoch muss natürlich was passieren, wobei hier nur guru handeln kann, weil das Zertifikat auf dem Server hinterlegt werden muss.
     
    1 Person gefällt das.
  12. Kingston King
    Kingston King Lebende CPU
    Themenstarter
    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    @Shadowchaser: pc-forum.de
    Hier konnte ich das PW im Klartext auslesen.

    Wir sind nicht die einzigen, die das Problem haben :(
     
    #11 Kingston King, 26. April 2014
  13. Snuffy
    Snuffy Capt'n Strohhut
    Registriert seit:
    20. November 2007
    Beiträge:
    5.893
    Zustimmungen:
    332
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    Verstehe das Problem, bzw. diesen "Aufschrei" nicht so recht...

    a) Es verwendet kaum ein Forum in DE einen wirklich sicher verschlüsselten Login... Warum muss dann genau gegen SysProfile nun ein Video erstellt werden, statt das ganze allgemein gültiger zu halten?

    b) Passwort via MD5-Hash zu übertragen ist schon nicht einfach nur "Klartext" und stellt an sich erstmal eine gewisse Sicherheit da... Nichts überragendes, aber da wird nicht "TanteKätheistmeinPasswort" übertragen. Ein Entschlüsseln des MD5 Wertes ist mittlerweile zwar kein Problem mehr, aber ist nicht einfach onTheFly erledigt...

    c) Jeder Hinz und Kunz weiß und sollte wissen, dass man sowieso dauernd seine Passwörter ändert und vor allem zu allem verschieden hält. Das ist die viel größere Sicherheitslücke, die leider, wie so oft auf der spaßig benannten OSI Layer 8 vor dem Bildschirm sitzt.

    Von daher - ich finde, dass das so erstmal nur Panik Mache ist. Klar, der Fakt ist nicht toll, aber was großartig überragend gravierendes? Puh, da gibt es, wie von dir bereits erwähnt, schlimmeres.


    /E:

    d) Wireshark ist nun wirklich... wenn jetzt jeder alle Foren untersucht, die er so im Zugriff hat, dann geh ich jede Wette ein, dass von 20 Foren vllt. 1 im Schnitt ordentlich verschlüsselt.
     
  14. Kingston King
    Kingston King Lebende CPU
    Themenstarter
    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Das habe ich im YT-Video im Titel geändert.
    Somit stellt Sysprofile nur ein Referenz-Beispiel von vielen dar.

    Für die Zuschauer des Videos steht in der Beschreibung auch ausdrücklich, dass einige Foren davon betroffen sind.

    Ich möchte damit nicht mit dem Finger auf Sysprofile zeigen.
    Vielmehr wäre es mir wichtig, dass die Benutzer erfahren, dass eine "normale" Anmeldung an einem Forum durchaus Sicherheitsrisiken birgt.

    Wünschens wert wäre es dennoch, wenn diese Prozesse abgesichert werden würden.

    Gruß,
    Dani
     
    #13 Kingston King, 26. April 2014
  15. Coolman
    Coolman Lebende CPU
    Registriert seit:
    22. April 2011
    Beiträge:
    1.718
    Zustimmungen:
    49
    Name:
    Gero
    1. SysProfile:
    143755
    2. SysProfile:
    193728
    Welche sollen es sein?? Dass sie sich mit deinem Account einloggen und dann??? Hast du da was wertvoll ist? Gut an die Mailadresse kann man drann und dann spam versenden aber sonst gibt es keine privaten Daten die jemanden wirklich interessieren wird.

    Anders sieht es in einem Shop aus, hier sind private Kundendaten vorhanden an denen nicht jeder dran kommen sollte. Ein SSL-Zertifikat hierfür zu beziehen kostet schon ein paar Euros jeden Monat, so dass sich dann meist für Foren nicht lohnt. Foren und private Seiten nutzen zu 99% nie eine verschlüsselte Verbindung und dass nicht ohne Grund, weil kein Umsatz besteht und solche Unkosten sich nicht rechnen. Ich selber beschädige mich schon seit 2005 mit Webseiten und Foren und betreibe zur Zeit selber zwei Foren. Mir ist noch kein Fall bekannt wo so was mal eingetreten ist und dass wie gesagt nicht ohne Grund weil im Normalfall keine Interesse besteht ein Useraccount(Forum) zu betreten.

    Gruß Coolman
     
    #14 Coolman, 26. April 2014
    Zuletzt bearbeitet: 26. April 2014
  16. Da GuRu
    Da GuRu Administrator
    Admin
    Registriert seit:
    22. Dezember 2006
    Beiträge:
    1.570
    Zustimmungen:
    87
    Ich sehe nicht, wo hier genau eine Lücke sein soll?

    Wo ist hier der Angriffspunkt?

    Im Übrigen gibt es von jedem Wörterbuch-Wort einen Hashwert (Stichwort RainbowTable). Selbst leichte Passwörter (Wort mit einer Zahl) werden schon nicht mehr gefunden.

    Im Übrigen² werden die Passwörter mit einem variablen salt gespeichert.
     
Thema:

Fatale Sicherheitslücke beim Login

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden