1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Fatale Sicherheitslücke beim Login

Dieses Thema im Forum "Fehler im Forum" wurde erstellt von Kingston King, 26. April 2014.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Kingston King

    Kingston King Lebende CPU

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913

    Liebe Community,

    nach langer Zeit möchte ich wieder aktiver im Forum mitmischen.
    Dabei ist mir heute gleich mal aufgefallen, dass der Login Prozess nicht verschlüsselt wird.

    Die eingegebenen Passwörter werden nur mit einem MD5 verschlüsselt über das Internet übertragen.

    Warum das ein Problem ist?
    Ich habe dazu heute ein Live-Beispiel von dem Anmelde Prozess verfilmt:

    https://www.youtube.com/watch?v=E4Zcmnt-eYM


    Nachdem die Medien das Thema IT Security aufgreifen wie noch nie, sollten auch wir uns bemühen, dem Standart der Zeit zu folgen.
    Vor allem weil wir hier ein Computer/IT Forum mit einigen Spezialisten sind.

    Ich lasse die Erkenntnis einmal so im Raum stehen und bitte die Admins, den Login Prozess über eine SSL Leitung zu erzwingen und ein öffentlich signiertes Zertifikat bereit zu stellen.

    Derzeit wird dem hinterleget Zertifikat von https://forum.sysprofile.de nicht von meinen Browsern getrustet.

    Edit: Das Video wurde gerade erst hochgeladen.
    Ich hoffe die Vorschau funktioniert bald :)


    Viele Grüße,
    Dani
     
    #1 Kingston King, 26. April 2014
    Zuletzt bearbeitet: 26. April 2014
  2. Shadowchaser

    Shadowchaser Wandelnde HDD

    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624

    Das Video geht immer noch nicht.
     
    #2 Shadowchaser, 26. April 2014
  3. Kingston King

    Kingston King Lebende CPU
    Themenstarter

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Über dem Video habe ich den Youtube-Link eingefügt.
    Auf der YT-Seite funktioniert das Video :)
     
    #3 Kingston King, 26. April 2014
  4. Shadowchaser

    Shadowchaser Wandelnde HDD

    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Achso, ok.;)
     
    #4 Shadowchaser, 26. April 2014
  5. mitcharts

    mitcharts Wandelnde HDD

    Registriert seit:
    23. Januar 2007
    Beiträge:
    11.954
    Zustimmungen:
    585
    1. SysProfile:
    17054
    Du solltest das Video auch richtig einbinden per Tag. Dort wird _nur_ die Video-ID benötigt.

    Zur Sache selbst: Joar, schauen wir mal was die Admins dazu sagen. Wird wahrscheinlich gar nichts passieren bzw. nur sehr langsam.
     
    #5 mitcharts, 26. April 2014
    1 Person gefällt das.
  6. Kingston King

    Kingston King Lebende CPU
    Themenstarter

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    So ist es :)

    Da viele User in allen Portalen ein gemeinsames Passwort nutzen, ist das Forum hier eine super Möglichkeit für Angreifer, um unseren Nutzern viele Informationen und auch Geld aus der Tasche zu ziehen.

    Daher sollte mit sowas nicht spaßig umgegangen werden..

    Gruß,
    Dani
     
    #6 Kingston King, 26. April 2014
  7. robert_t_offline

    robert_t_offline Cerca Trova
    S-Mod

    Registriert seit:
    9. Januar 2007
    Beiträge:
    8.290
    Zustimmungen:
    202
    Name:
    Markus
    1. SysProfile:
    24913
    2. SysProfile:
    1998668139
    Steam-ID:
    robert_t_offline
    Es wäre vielleicht hilfreicher Gewesen das per PN an die Admins weiterzuleiten als das so riesig an die grosse Glocke zu hängen um potenziellen Angreifern noch quasi ein Anleitungsvideo zu geben...Merkste was?

    Das nur mal als Gedanke von mir..machen kann ich nichts, das muss Guru oder Spacey tun ;)
     
    #7 robert_t_offline, 26. April 2014
    1 Person gefällt das.
  8. Kingston King

    Kingston King Lebende CPU
    Themenstarter

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Das stimmt, aber wie schon vermutet wäre nichts passiert.
    Der Hinweis erreicht vielleicht noch weitere Foren-/Portalbetreiber, die Ihre Systeme nach so einem groben Schnitzer prüfen möchten.

    Und als Demo, dass das keine kleine Sache ist, habe ich das Video gemacht.
    Gerne können sich Guru oder Spacey melden, um deswegen nochmal zu reden.

    Edit: Gerade habe ich das gleiche beim PC Forum getestet.
    Hier wird nichtmal das Passwort MD5 verschlüsselt. Das wird gleich im Klartext übermittelt.


    Gruß,
    Dani
     
    #8 Kingston King, 26. April 2014
  9. Shadowchaser

    Shadowchaser Wandelnde HDD

    Registriert seit:
    11. November 2008
    Beiträge:
    21.794
    Zustimmungen:
    750
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Wie gut das mein PW etwas länger ist.:o

    Welches Forum?
     
    #9 Shadowchaser, 26. April 2014
  10. gemini

    gemini Wandelnde HDD

    Registriert seit:
    26. Juli 2007
    Beiträge:
    7.011
    Zustimmungen:
    515
    1. SysProfile:
    33171
    2. SysProfile:
    143510
    Eigentlich musst du das gar nicht testen. Bei eigentlich jeder Seite die nicht über das HTTPS-Protokoll überträgt, werden die Daten unverschlüsselt übertragen (und MD5 ist keine Verschlüsselungsfunktion ;) )

    Normalerweise sollte man trotzdem Sicherheitsprobleme erst privat an die Admins melden und erst wenn dann nichts passiert, dass ganze öffentlich machen. Empfinde ich persönlich als einen besseren Umgang auch mit der Sicherheit der anderen User.

    Dennoch muss natürlich was passieren, wobei hier nur guru handeln kann, weil das Zertifikat auf dem Server hinterlegt werden muss.
     
    1 Person gefällt das.
  11. Kingston King

    Kingston King Lebende CPU
    Themenstarter

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    @Shadowchaser: pc-forum.de
    Hier konnte ich das PW im Klartext auslesen.

    Wir sind nicht die einzigen, die das Problem haben :(
     
    #11 Kingston King, 26. April 2014
  12. Snuffy

    Snuffy Capt'n Strohhut

    Registriert seit:
    20. November 2007
    Beiträge:
    5.893
    Zustimmungen:
    332
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    Verstehe das Problem, bzw. diesen "Aufschrei" nicht so recht...

    a) Es verwendet kaum ein Forum in DE einen wirklich sicher verschlüsselten Login... Warum muss dann genau gegen SysProfile nun ein Video erstellt werden, statt das ganze allgemein gültiger zu halten?

    b) Passwort via MD5-Hash zu übertragen ist schon nicht einfach nur "Klartext" und stellt an sich erstmal eine gewisse Sicherheit da... Nichts überragendes, aber da wird nicht "TanteKätheistmeinPasswort" übertragen. Ein Entschlüsseln des MD5 Wertes ist mittlerweile zwar kein Problem mehr, aber ist nicht einfach onTheFly erledigt...

    c) Jeder Hinz und Kunz weiß und sollte wissen, dass man sowieso dauernd seine Passwörter ändert und vor allem zu allem verschieden hält. Das ist die viel größere Sicherheitslücke, die leider, wie so oft auf der spaßig benannten OSI Layer 8 vor dem Bildschirm sitzt.

    Von daher - ich finde, dass das so erstmal nur Panik Mache ist. Klar, der Fakt ist nicht toll, aber was großartig überragend gravierendes? Puh, da gibt es, wie von dir bereits erwähnt, schlimmeres.


    /E:

    d) Wireshark ist nun wirklich... wenn jetzt jeder alle Foren untersucht, die er so im Zugriff hat, dann geh ich jede Wette ein, dass von 20 Foren vllt. 1 im Schnitt ordentlich verschlüsselt.
     
  13. Kingston King

    Kingston King Lebende CPU
    Themenstarter

    Registriert seit:
    18. April 2008
    Beiträge:
    1.369
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Das habe ich im YT-Video im Titel geändert.
    Somit stellt Sysprofile nur ein Referenz-Beispiel von vielen dar.

    Für die Zuschauer des Videos steht in der Beschreibung auch ausdrücklich, dass einige Foren davon betroffen sind.

    Ich möchte damit nicht mit dem Finger auf Sysprofile zeigen.
    Vielmehr wäre es mir wichtig, dass die Benutzer erfahren, dass eine "normale" Anmeldung an einem Forum durchaus Sicherheitsrisiken birgt.

    Wünschens wert wäre es dennoch, wenn diese Prozesse abgesichert werden würden.

    Gruß,
    Dani
     
    #13 Kingston King, 26. April 2014
  14. Coolman

    Coolman Lebende CPU

    Registriert seit:
    22. April 2011
    Beiträge:
    1.718
    Zustimmungen:
    49
    Name:
    Gero
    1. SysProfile:
    143755
    2. SysProfile:
    193728
    Welche sollen es sein?? Dass sie sich mit deinem Account einloggen und dann??? Hast du da was wertvoll ist? Gut an die Mailadresse kann man drann und dann spam versenden aber sonst gibt es keine privaten Daten die jemanden wirklich interessieren wird.

    Anders sieht es in einem Shop aus, hier sind private Kundendaten vorhanden an denen nicht jeder dran kommen sollte. Ein SSL-Zertifikat hierfür zu beziehen kostet schon ein paar Euros jeden Monat, so dass sich dann meist für Foren nicht lohnt. Foren und private Seiten nutzen zu 99% nie eine verschlüsselte Verbindung und dass nicht ohne Grund, weil kein Umsatz besteht und solche Unkosten sich nicht rechnen. Ich selber beschädige mich schon seit 2005 mit Webseiten und Foren und betreibe zur Zeit selber zwei Foren. Mir ist noch kein Fall bekannt wo so was mal eingetreten ist und dass wie gesagt nicht ohne Grund weil im Normalfall keine Interesse besteht ein Useraccount(Forum) zu betreten.

    Gruß Coolman
     
    #14 Coolman, 26. April 2014
    Zuletzt bearbeitet: 26. April 2014
  15. Da GuRu

    Da GuRu Administrator
    Admin

    Registriert seit:
    22. Dezember 2006
    Beiträge:
    1.567
    Zustimmungen:
    87
    Ich sehe nicht, wo hier genau eine Lücke sein soll?

    Wo ist hier der Angriffspunkt?

    Im Übrigen gibt es von jedem Wörterbuch-Wort einen Hashwert (Stichwort RainbowTable). Selbst leichte Passwörter (Wort mit einer Zahl) werden schon nicht mehr gefunden.

    Im Übrigen² werden die Passwörter mit einem variablen salt gespeichert.
     
Die Seite wird geladen...

Fatale Sicherheitslücke beim Login - Weitere Themen

Forum Datum

Amnesia the dark descent: Fatal Error / meldung beim versuch amnesia zu starten

Amnesia the dark descent: Fatal Error / meldung beim versuch amnesia zu starten: Amnesia the dark descent: Fatal Error / meldung beim versuch amnesia zu starten Guten Tag, Ich habe folgendes Problem: Ich habe mir zum Geburtstag Amnesia the dark descent auf Steam...
Computerfragen 18. Mai 2012

Fehler beim login vom Steam Account

Fehler beim login vom Steam Account: Fehler beim login vom Steam Account Wenn ich versuche mich bei Steam anzumelden, dann steht da ich hätte mich angeblich an einem anderen Computer angemeldet habe und das ich einen...
Computerfragen 1. April 2012

Fail beim login vom Steam Account??

Fail beim login vom Steam Account??: Fail beim login vom Steam Account?? Moin Moin, vorhin habe ich meinen Rechner formatiert. So nun wollte ich Steam starten, da poppt so ein Schei... Steam Guard dingbumsheini auf und...
Computerfragen 1. April 2012

Fehler beim Login bei Origin

Fehler beim Login bei Origin: Fehler beim Login bei Origin Ich habe heute Battlefield 3 bekommen und hab es auch sofort reingelegt. Irgendwann war ich dann an dem Punkt bei dem ich mich bei Origin anmelden musste. Hab...
Computerfragen 26. Januar 2012

Fatal Error...beim starten vom pc.Asus P5K

Fatal Error...beim starten vom pc.Asus P5K: Hallo, wie oben schon beschrieben geht es um das MB Asus P5K. Wenn ich den Pc starte checkt er alles normal durch aber bevor er das Betriebssystem laden will kommt eine anzeige mit 'Fatal...
Mainboards 5. Januar 2012

Alliance of Valiant Arms problem beim login

Alliance of Valiant Arms problem beim login: Alliance of Valiant Arms problem beim login Moin, ich habe ein kleines Problem mit dem Spiel A.V.A undzwar wollte ich es schonmal spielen aber da funktionierte i-was nicht wesshalb ich es...
Computerfragen 13. Juni 2011

Was mache ich beim Twitter login falsch?

Was mache ich beim Twitter login falsch?: Was mache ich beim Twitter login falsch? Ich twittere fröhlich, aber jedesmal wenn ich mich einlogge kommt die Fehlermeldung:"The Server understood the request but refused to...
Computerfragen 12. August 2010

Login???

Login???: Hi, ich habe mich Registriert und wollte mich einlogen und seid Anfang an kommt diese Fehler Meldung: Login-Versuch gescheitert !Leider konnten wir Deine Account-Daten: Login: Raptorcss PW:...
News & Bugs zu SysProfile 16. Oktober 2007
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen