Fatale Sicherheitslücke beim Login

Diskutiere und helfe bei Fatale Sicherheitslücke beim Login im Bereich Fehler im Forum im SysProfile Forum bei einer Lösung; @Kingston King Ich wäre erst einmal vorsichtig mit solchen Videos. Entweder stichst du gerade in eine Grauzone oder machst dich schon Strafbar mit... Dieses Thema im Forum "Fehler im Forum" wurde erstellt von Kingston King, 26. April 2014.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Gorsi
    Gorsi Super-Moderator
    S-Mod
    Registriert seit:
    24. März 2008
    Beiträge:
    11.416
    Zustimmungen:
    443

    @Kingston King
    Ich wäre erst einmal vorsichtig mit solchen Videos. Entweder stichst du gerade in eine Grauzone oder machst dich schon Strafbar mit deinem Video bzw mit dem Tun darin.
    Etwas nicht eigenes zu Hacken ist nicht erlaubt und könnte Strafrechtliche Folgen nach sich ziehen wenn du keine ausdrückliche Erlaubniss vom Inhaber hast. ;) Ein weiterer grund warum du zu erst einmal den Admin einer Seite persönlich Kontaktieren solltest oder zumindest einen Moderator der es weiter leitet. Du begibst dich ungewollt in für dich gefährliche gefilde.

    @Topic
    Hier haben beide seiten recht.
    Jeder der sein PW nicht regelmäßig Ändert bei einer unsicheren Verbindung wo die möglichkeit eines abgreifens besteht ist gefärdet. Und jeder der nicht am besten unterschiedliche Accountnamen sowie Passwörter verwendet für jede Regestrierung sollte sich gedanken machen.

    Andererseits ist eine grundverschlüsselung vorhanden und die frage ist ob der Aufwand lohnt von derzeit allein hier ca. 300.000 Regestrierten Mitgliedern alle Benutzerdaten aus zu lesen und dann entsprechend zu Dekodieren. Auch wenn es möglich ist benötigt dies enorm viel Zeit und dann ist nicht einmal gesichert das man viele weitere Accounts verknüpft benkommt von Banken oder Onlineshops mit diesen hier.

    Ich bin zwar auch für eine algemeine Aktuelle verschlüsselte Verbindung auf generell jeder Seite mit möglichen Benutzerdaten, aber sehe dies nicht als dringender Handlungsbedarf für die Forenbetreiber.
    Eine Sensibilisierung für das Verhalten im Internet mit persönlichen Daten halte ich für Sinnvoller.
     
  2. mitcharts
    mitcharts Wandelnde HDD
    Registriert seit:
    23. Januar 2007
    Beiträge:
    11.682
    Zustimmungen:
    551

    Den Netzwerktraffic des eigenen PCs per Wireshark mitzuschneiden, ist nun wirklich kein Hacken. ^^
     
  3. Snuffy
    Snuffy Capt'n Strohhut
    Registriert seit:
    20. November 2007
    Beiträge:
    5.548
    Zustimmungen:
    315
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    So siehts aus Mitcharts.
    Von daher ist er in der Grauzone, weil er nur das überwacht, was sein PC an Daten überträgt.
    Würde er im ganzen Netzwerk mit sniffen (am besten noch eins, dass nicht ihm gehört), dann wäre das wieder was anderes.

    Desweiteren bei Wireshark von "hacken" an sich zu reden ist schon fast Blasphemie :D
    Und die Nutzerdaten auslesen - nunja, dass kann er so mit der Variante genau nur dann, wenn er auf Seiten des Webservers mitschneiden würde. Oder den Server wirklich hackt.

    Deshalb wiederhole ich wieder gerne - alles nur grobe Panikmache, die fast Bild Niveau hat... Erst mal informieren, dann hetzen ;)



    P.S.: Wenn ich ein gut florierendes Forum hätte und so ein Video gegen mich geschneidert wird (Darum gehts ja, da explizit das SysP-Forum gezeigt wird), dann hätte ich bereits einen Anwalt informiert.


    Mein Wort zum Sonntag ;)
     
  4. Shadowchaser
    Shadowchaser Wandelnde HDD
    Registriert seit:
    11. November 2008
    Beiträge:
    21.319
    Zustimmungen:
    731
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Ich kenne mich damit zu wenig aus um es beurteilen zu können, aber denke mal wenn ich die ganzen Kommentare so lese, dass es nichts ist wo man sich Sorgen machen müßte. Also alles wie gehabt!;)
     
    #19 Shadowchaser, 27. April 2014
  5. Schweini
    Schweini Wandelnde HDD
    Registriert seit:
    26. Dezember 2006
    Beiträge:
    4.271
    Zustimmungen:
    220
    Habe hier weder private, noch sonstwie wichtige Infos gespeichert. Net mal meine IP kann ich hier nachschlagen.

    Also, wer hier reinwill oder kommt - der soll sich halt austoben. Ne Email an nen Admin und mein Account hat ein neues PW.
     
  6. Gorsi
    Gorsi Super-Moderator
    S-Mod
    Registriert seit:
    24. März 2008
    Beiträge:
    11.416
    Zustimmungen:
    443
    Ok, Wireshark ist selbst nicht direkt Hacken. Er schneidet nur seinen eigenen Traffic mit. Da habt ihr recht.

    Allerdings ist das eigentlich nicht die Problematik des Thread's

    @ Shadow
    Wo siehst du das man sich keine Sorgen machen muss?
    Kingston zeigt doch recht gut im Video das man nur den Traffic benötigt und anschließend nur noch raus filtern muss sowie entschlüsseln. Und Abhören ist heut zu tage kein Problem mehr wenn man in ein Lan rein kommt.

    @ Schweini
    Wir können deine IP einsehen.
    Es geht doch nicht speziell um deine Privaten Daten wie alt du bist und was du gestern gegessen hast. Sondern um das herausfinden deines Benutzernamens sowie Passwort und Eventuell E-Mail mit der Hoffnung das jemand so Blöd ist und die gleichen Daten auch für seinen E-Mail Account verwendet oder Online Einkaufshäuser.
    Der der ein anderes PW nimmt pro Seite ist und bleibt soweit Sicher.
     
  7. Shadowchaser
    Shadowchaser Wandelnde HDD
    Registriert seit:
    11. November 2008
    Beiträge:
    21.319
    Zustimmungen:
    731
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Wie gesagt kenne ich mich damit nicht aus. Und a) wurde ja schon gesagt das so ein Forum für die meisten Hacker eh uninteressant ist und b) ist mein PW hier relativ lang.

    Ich verwende überall unterschiedliche Pws.
     
    #22 Shadowchaser, 27. April 2014
  8. Da GuRu
    Da GuRu Administrator
    Admin
    Registriert seit:
    22. Dezember 2006
    Beiträge:
    1.568
    Zustimmungen:
    87
    Wenn man ins Lan reinkommt, dann kann ich dir auch direkt nen Keylogger installieren.

    Willst du zu jedem, den du "hacken" möchtest, nach Hause fahren und bei ihm sniffen?
    Und selbst wenn: den Hashwert von einem vernünftigen PW wirst du sowieso nicht so schnell gelesen bekommen.

    Viel Spass.
     
  9. Snuffy
    Snuffy Capt'n Strohhut
    Registriert seit:
    20. November 2007
    Beiträge:
    5.548
    Zustimmungen:
    315
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    Dann kann das Thema ja eigtl. zu, weil hier eh nichts sinnvolles mehr rum kommt.
     
  10. Kingston King
    Kingston King Lebende CPU
    Themenstarter
    Registriert seit:
    18. April 2008
    Beiträge:
    1.368
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Hi,

    lassen wir uns das einmal sachlich angehen.
    Ich als User würde mich fragen, ob du dann als Forenbetreiber nicht gegen das BDSG verstößt, indem du nämlich personenbezogene Daten (was mein Passwort ist) fahrlässig unverschlüsselt über das Internet übertragen lässt.

    Wir alle haben keine Ahnung, wo & an welchen Zwischenstellen von wem gelauscht wird.
    Es geht nicht nur darum, dass es sehr unwahrscheinlich ist, dass gerade DEIN Passwort abgefangen wird, sondern überhaupt eines von einem User aus diesem Forum.

    Es gibt 1000 Beispiele, dass z.B an einem öffentlichem Hotspot oder einem vermeintlich sicheren VPN-Server,... die Daten im großen Stil abgefangen wird.


    Ein einfaches Szenario:
    Ich setzte mich in ein gut besuchtes Terminal am Flughafen und mache die Hotspot-Funktion von meinem Notebook an und nenne das WLAN "Flughafen Berlin - Free WiFi".

    Binnen weniger Minuten habe ich etliche Benutzer, die über meinen Rechner gehen. Davon lasse ich alle Pakete mitschneiden, die via HTTP den String "login.php" enthalten und werte deren Inhalte aus.

    Das gleiche mache ich am Hauptbahnhof, im Freibad, im Restaurant, im Einkaufszentrum, auf dem Oktoberfest,...

    Anschließend werte ich die MD5 & teilweise im Klartext übermittelten Passwörter aus und veröffentliche meine Funde.
    Die Reputation von dem betroffenden Betreiber wäre von jetzt auf gleich zerstört.


    Ok, jetzt habe ich den Teufel an die Wand genagelt.
    Aber wäre es dafür nicht Wert, ein SSL Zertifikat für 40€/Jahr zu kaufen und einfach den Usern ein gutes und sicheres Gefühl zu geben?

    Gruß,
    Dani
     
    #25 Kingston King, 27. April 2014
  11. Kingston King
    Kingston King Lebende CPU
    Themenstarter
    Registriert seit:
    18. April 2008
    Beiträge:
    1.368
    Zustimmungen:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Hi,

    also ich möchte dazu sagen, dass ich weder die Betreiber noch SysProfile selber "angreife" damit.
    Das Video ist lediglich eine Feststellung.

    Ich werfe auch euch auch nichts bzgl. BDSG vor!

    Wie geschrieben sollte es eine sachliche Diskussion werden, die das Thema des Logins als Kern trägt.
    Wie schon von Snuffy geschrieben driften wir von dem Kern allerdings ab. Daher kann der Thread an der Stelle auch gerne geschlossen werden.

    Für die Nutzer, die ein praktisches Beispiel davon sehen möchten wie das Auslesen theoretisch möglich ist, habe ich das Video erstellt.
     
    #26 Kingston King, 27. April 2014
  12. Schweini
    Schweini Wandelnde HDD
    Registriert seit:
    26. Dezember 2006
    Beiträge:
    4.271
    Zustimmungen:
    220
    Also, dann übernehme ich die 40€ fürs erste Jahr, wenn sich einer findet, der das umstellt.

    Halte ich für übertrieben, aber ist mir lieber als sone Paranoia.
    Rein theoretisch hast Du recht, aber wer will mit dem Zugang hier was nützliches anfangen?

    Edit: Dann könnte man ja auch nur die login.php in hilfe.php umbenennen und schon sucht keiner danach? chat.php oder sowas ist ja dann verkehrt, oder erzeugt das Gegenteil - Der Sniffer snifft das erst recht.
     
    #27 Schweini, 27. April 2014
    Zuletzt bearbeitet: 27. April 2014
  13. bulletpr00f
    bulletpr00f Lebende CPU
    Registriert seit:
    17. September 2007
    Beiträge:
    1.793
    Zustimmungen:
    211
    Name:
    Chris
    1. SysProfile:
    68368
    Möchte hier keinerlei Partei ergreifen, um nicht noch mehr Staub aufzuwühlen. Aber: Es geht ihm, denke ich, auch weniger um die Daten des Logins HIER. Viel mehr ist es ja so, dass - wie Gorsi auch schon angemerkt hat - viele Nutzer evtl. selbige Logindaten auch anderweitig nutzen. Und wenn ich, gerade durch die in letzter Zeit aufgetretenen Sicherheits-Fauxpas, kurz nachdenke... Gibt es etwas wertvolleres auf der Welt, als Daten? (im übertragenen Sinne)

    Mal im Ernst: Von solchen Nutzern gibt es viele ;) Natürlich ist hier jeder seines eigenen Glückes Schmied, wer fahrlässig handelt, läuft Gefahr, am Ende dumm da zu stehen. Allgemeine Sicherheits-Eckpunkte sollte jeder schon in der 5. Klasse Informatikunterricht lernen (kryptisches Passwort, öfters mal ändern, keine persönlichen oder vertraulichen Daten öffentlich posten...)

    Ein mit SSL verschlüsseltes Forum stellt in meinen Augen zwar einen sehr netten Sicherheitsaspekt da, ist aber bei sensiblem Umgang mit den eigenen Daten nicht notwendig.
     
    #28 bulletpr00f, 28. April 2014
    3 Person(en) gefällt das.
Thema:

Fatale Sicherheitslücke beim Login

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden