Fatale Sicherheitslücke beim Login

Diskutiere und helfe bei Fatale Sicherheitslücke beim Login im Bereich Fehler im Forum im SysProfile Forum bei einer Lösung; @Kingston King Ich wäre erst einmal vorsichtig mit solchen Videos. Entweder stichst du gerade in eine Grauzone oder machst dich schon Strafbar mit... Discussion in 'Fehler im Forum' started by Kingston King, Apr 26, 2014.

Thread Status:
Not open for further replies.
Page 2 of 2
  1. Gorsi
    Gorsi Super-Moderator
    S-Mod
    Joined:
    Mar 24, 2008
    Messages:
    11,416
    Likes Received:
    443

    @Kingston King
    Ich wäre erst einmal vorsichtig mit solchen Videos. Entweder stichst du gerade in eine Grauzone oder machst dich schon Strafbar mit deinem Video bzw mit dem Tun darin.
    Etwas nicht eigenes zu Hacken ist nicht erlaubt und könnte Strafrechtliche Folgen nach sich ziehen wenn du keine ausdrückliche Erlaubniss vom Inhaber hast. ;) Ein weiterer grund warum du zu erst einmal den Admin einer Seite persönlich Kontaktieren solltest oder zumindest einen Moderator der es weiter leitet. Du begibst dich ungewollt in für dich gefährliche gefilde.

    @Topic
    Hier haben beide seiten recht.
    Jeder der sein PW nicht regelmäßig Ändert bei einer unsicheren Verbindung wo die möglichkeit eines abgreifens besteht ist gefärdet. Und jeder der nicht am besten unterschiedliche Accountnamen sowie Passwörter verwendet für jede Regestrierung sollte sich gedanken machen.

    Andererseits ist eine grundverschlüsselung vorhanden und die frage ist ob der Aufwand lohnt von derzeit allein hier ca. 300.000 Regestrierten Mitgliedern alle Benutzerdaten aus zu lesen und dann entsprechend zu Dekodieren. Auch wenn es möglich ist benötigt dies enorm viel Zeit und dann ist nicht einmal gesichert das man viele weitere Accounts verknüpft benkommt von Banken oder Onlineshops mit diesen hier.

    Ich bin zwar auch für eine algemeine Aktuelle verschlüsselte Verbindung auf generell jeder Seite mit möglichen Benutzerdaten, aber sehe dies nicht als dringender Handlungsbedarf für die Forenbetreiber.
    Eine Sensibilisierung für das Verhalten im Internet mit persönlichen Daten halte ich für Sinnvoller.
     
    #16 Gorsi, Apr 27, 2014
  2. mitcharts
    mitcharts Wandelnde HDD
    Joined:
    Jan 23, 2007
    Messages:
    11,682
    Likes Received:
    551

    Den Netzwerktraffic des eigenen PCs per Wireshark mitzuschneiden, ist nun wirklich kein Hacken. ^^
     
    #17 mitcharts, Apr 27, 2014
  3. Snuffy
    Snuffy Capt'n Strohhut
    Joined:
    Nov 20, 2007
    Messages:
    5,548
    Likes Received:
    315
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    So siehts aus Mitcharts.
    Von daher ist er in der Grauzone, weil er nur das überwacht, was sein PC an Daten überträgt.
    Würde er im ganzen Netzwerk mit sniffen (am besten noch eins, dass nicht ihm gehört), dann wäre das wieder was anderes.

    Desweiteren bei Wireshark von "hacken" an sich zu reden ist schon fast Blasphemie :D
    Und die Nutzerdaten auslesen - nunja, dass kann er so mit der Variante genau nur dann, wenn er auf Seiten des Webservers mitschneiden würde. Oder den Server wirklich hackt.

    Deshalb wiederhole ich wieder gerne - alles nur grobe Panikmache, die fast Bild Niveau hat... Erst mal informieren, dann hetzen ;)



    P.S.: Wenn ich ein gut florierendes Forum hätte und so ein Video gegen mich geschneidert wird (Darum gehts ja, da explizit das SysP-Forum gezeigt wird), dann hätte ich bereits einen Anwalt informiert.


    Mein Wort zum Sonntag ;)
     
    #18 Snuffy, Apr 27, 2014
  4. Shadowchaser
    Shadowchaser Wandelnde HDD
    Joined:
    Nov 11, 2008
    Messages:
    21,319
    Likes Received:
    731
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Ich kenne mich damit zu wenig aus um es beurteilen zu können, aber denke mal wenn ich die ganzen Kommentare so lese, dass es nichts ist wo man sich Sorgen machen müßte. Also alles wie gehabt!;)
     
    #19 Shadowchaser, Apr 27, 2014
  5. Schweini
    Schweini Wandelnde HDD
    Joined:
    Dec 26, 2006
    Messages:
    4,271
    Likes Received:
    220
    Habe hier weder private, noch sonstwie wichtige Infos gespeichert. Net mal meine IP kann ich hier nachschlagen.

    Also, wer hier reinwill oder kommt - der soll sich halt austoben. Ne Email an nen Admin und mein Account hat ein neues PW.
     
    #20 Schweini, Apr 27, 2014
  6. Gorsi
    Gorsi Super-Moderator
    S-Mod
    Joined:
    Mar 24, 2008
    Messages:
    11,416
    Likes Received:
    443
    Ok, Wireshark ist selbst nicht direkt Hacken. Er schneidet nur seinen eigenen Traffic mit. Da habt ihr recht.

    Allerdings ist das eigentlich nicht die Problematik des Thread's

    @ Shadow
    Wo siehst du das man sich keine Sorgen machen muss?
    Kingston zeigt doch recht gut im Video das man nur den Traffic benötigt und anschließend nur noch raus filtern muss sowie entschlüsseln. Und Abhören ist heut zu tage kein Problem mehr wenn man in ein Lan rein kommt.

    @ Schweini
    Wir können deine IP einsehen.
    Es geht doch nicht speziell um deine Privaten Daten wie alt du bist und was du gestern gegessen hast. Sondern um das herausfinden deines Benutzernamens sowie Passwort und Eventuell E-Mail mit der Hoffnung das jemand so Blöd ist und die gleichen Daten auch für seinen E-Mail Account verwendet oder Online Einkaufshäuser.
    Der der ein anderes PW nimmt pro Seite ist und bleibt soweit Sicher.
     
    #21 Gorsi, Apr 27, 2014
  7. Shadowchaser
    Shadowchaser Wandelnde HDD
    Joined:
    Nov 11, 2008
    Messages:
    21,319
    Likes Received:
    731
    1. SysProfile:
    84758
    2. SysProfile:
    134624
    Wie gesagt kenne ich mich damit nicht aus. Und a) wurde ja schon gesagt das so ein Forum für die meisten Hacker eh uninteressant ist und b) ist mein PW hier relativ lang.

    Ich verwende überall unterschiedliche Pws.
     
    #22 Shadowchaser, Apr 27, 2014
  8. Da GuRu
    Da GuRu Administrator
    Admin
    Joined:
    Dec 22, 2006
    Messages:
    1,568
    Likes Received:
    87
    Wenn man ins Lan reinkommt, dann kann ich dir auch direkt nen Keylogger installieren.

    Willst du zu jedem, den du "hacken" möchtest, nach Hause fahren und bei ihm sniffen?
    Und selbst wenn: den Hashwert von einem vernünftigen PW wirst du sowieso nicht so schnell gelesen bekommen.

    Viel Spass.
     
    #23 Da GuRu, Apr 27, 2014
  9. Snuffy
    Snuffy Capt'n Strohhut
    Joined:
    Nov 20, 2007
    Messages:
    5,548
    Likes Received:
    315
    1. SysProfile:
    44741
    2. SysProfile:
    181059185458188596190734
    Steam-ID:
    Snuffy_aka_eve
    Dann kann das Thema ja eigtl. zu, weil hier eh nichts sinnvolles mehr rum kommt.
     
    #24 Snuffy, Apr 27, 2014
  10. Kingston King
    Kingston King Lebende CPU
    Threadstarter
    Joined:
    Apr 18, 2008
    Messages:
    1,368
    Likes Received:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Hi,

    lassen wir uns das einmal sachlich angehen.
    Ich als User würde mich fragen, ob du dann als Forenbetreiber nicht gegen das BDSG verstößt, indem du nämlich personenbezogene Daten (was mein Passwort ist) fahrlässig unverschlüsselt über das Internet übertragen lässt.

    Wir alle haben keine Ahnung, wo & an welchen Zwischenstellen von wem gelauscht wird.
    Es geht nicht nur darum, dass es sehr unwahrscheinlich ist, dass gerade DEIN Passwort abgefangen wird, sondern überhaupt eines von einem User aus diesem Forum.

    Es gibt 1000 Beispiele, dass z.B an einem öffentlichem Hotspot oder einem vermeintlich sicheren VPN-Server,... die Daten im großen Stil abgefangen wird.


    Ein einfaches Szenario:
    Ich setzte mich in ein gut besuchtes Terminal am Flughafen und mache die Hotspot-Funktion von meinem Notebook an und nenne das WLAN "Flughafen Berlin - Free WiFi".

    Binnen weniger Minuten habe ich etliche Benutzer, die über meinen Rechner gehen. Davon lasse ich alle Pakete mitschneiden, die via HTTP den String "login.php" enthalten und werte deren Inhalte aus.

    Das gleiche mache ich am Hauptbahnhof, im Freibad, im Restaurant, im Einkaufszentrum, auf dem Oktoberfest,...

    Anschließend werte ich die MD5 & teilweise im Klartext übermittelten Passwörter aus und veröffentliche meine Funde.
    Die Reputation von dem betroffenden Betreiber wäre von jetzt auf gleich zerstört.


    Ok, jetzt habe ich den Teufel an die Wand genagelt.
    Aber wäre es dafür nicht Wert, ein SSL Zertifikat für 40€/Jahr zu kaufen und einfach den Usern ein gutes und sicheres Gefühl zu geben?

    Gruß,
    Dani
     
    #25 Kingston King, Apr 27, 2014
  11. Kingston King
    Kingston King Lebende CPU
    Threadstarter
    Joined:
    Apr 18, 2008
    Messages:
    1,368
    Likes Received:
    12
    Name:
    Daniel
    1. SysProfile:
    62913
    Hi,

    also ich möchte dazu sagen, dass ich weder die Betreiber noch SysProfile selber "angreife" damit.
    Das Video ist lediglich eine Feststellung.

    Ich werfe auch euch auch nichts bzgl. BDSG vor!

    Wie geschrieben sollte es eine sachliche Diskussion werden, die das Thema des Logins als Kern trägt.
    Wie schon von Snuffy geschrieben driften wir von dem Kern allerdings ab. Daher kann der Thread an der Stelle auch gerne geschlossen werden.

    Für die Nutzer, die ein praktisches Beispiel davon sehen möchten wie das Auslesen theoretisch möglich ist, habe ich das Video erstellt.
     
    #26 Kingston King, Apr 27, 2014
  12. Schweini
    Schweini Wandelnde HDD
    Joined:
    Dec 26, 2006
    Messages:
    4,271
    Likes Received:
    220
    Also, dann übernehme ich die 40€ fürs erste Jahr, wenn sich einer findet, der das umstellt.

    Halte ich für übertrieben, aber ist mir lieber als sone Paranoia.
    Rein theoretisch hast Du recht, aber wer will mit dem Zugang hier was nützliches anfangen?

    Edit: Dann könnte man ja auch nur die login.php in hilfe.php umbenennen und schon sucht keiner danach? chat.php oder sowas ist ja dann verkehrt, oder erzeugt das Gegenteil - Der Sniffer snifft das erst recht.
     
    #27 Schweini, Apr 27, 2014
    Last edited: Apr 27, 2014
  13. bulletpr00f
    bulletpr00f Lebende CPU
    Joined:
    Sep 17, 2007
    Messages:
    1,793
    Likes Received:
    211
    Name:
    Chris
    1. SysProfile:
    68368
    Möchte hier keinerlei Partei ergreifen, um nicht noch mehr Staub aufzuwühlen. Aber: Es geht ihm, denke ich, auch weniger um die Daten des Logins HIER. Viel mehr ist es ja so, dass - wie Gorsi auch schon angemerkt hat - viele Nutzer evtl. selbige Logindaten auch anderweitig nutzen. Und wenn ich, gerade durch die in letzter Zeit aufgetretenen Sicherheits-Fauxpas, kurz nachdenke... Gibt es etwas wertvolleres auf der Welt, als Daten? (im übertragenen Sinne)

    Mal im Ernst: Von solchen Nutzern gibt es viele ;) Natürlich ist hier jeder seines eigenen Glückes Schmied, wer fahrlässig handelt, läuft Gefahr, am Ende dumm da zu stehen. Allgemeine Sicherheits-Eckpunkte sollte jeder schon in der 5. Klasse Informatikunterricht lernen (kryptisches Passwort, öfters mal ändern, keine persönlichen oder vertraulichen Daten öffentlich posten...)

    Ein mit SSL verschlüsseltes Forum stellt in meinen Augen zwar einen sehr netten Sicherheitsaspekt da, ist aber bei sensiblem Umgang mit den eigenen Daten nicht notwendig.
     
    #28 bulletpr00f, Apr 28, 2014
    3 people like this.
Page 2 of 2
Thema:

Fatale Sicherheitslücke beim Login

Thread Status:
Not open for further replies.
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Accept Learn More...
    Dismiss Notice