Archived German Forum (discontinued)

Welcome back, liebe...
 

Welcome back, liebe Vega-Seite!

Nirwana
(@nirwana)
Estimable Member

Ich hatte Dich schon vermisst!

Benny / Nirwana

Quote
Topic starter Posted : 21/12/2016 8:41 pm
(@peter)
Member Admin

Moin.

Ja, das Ganze hatte etwas von einem Kampf gegen Windmühlen :shock:

Ich werde noch kurzfristig ganz ganz spät Abends das Forum für eine Stunde oder so abklemmen müssen, um die Software zu aktualisieren, die ist leider ur-alt und evtl. auch anfällig.
Danach sollte wieder Ruhe sein und wir können uns um inhaltliche Verbesserungen kümmern.

Grüsse
Peter

ReplyQuote
Posted : 22/12/2016 9:12 am
Nirwana
(@nirwana)
Estimable Member

Danke für die viele Mühe!

Und eine Bitte im Ernst: Ganz schnell SSL-Verschlüsselung für die Seite einbauen.

Nach den ganzen bekannt gewordenen Hacks der vergangenen Monate dürfte (hoffentlich) jedem Nutzer klar sein, dass seine Daten (Userid in Verbindung mit Email-Adresse und Passwort) hier nicht wirklich sicher sind. Man muss nach so einem Ereignis wohl vom schlimmsten Fall ausgehen, dass die kompletten Daten der Webseite abgegriffen wurden.

Wer die gleiche Email und Passwort auch z.B. für Online-Shops verwendet, sollte seine Daten dort (nicht hier) schleunigst ändern.

Grüße,

Benny / Nirwana

ReplyQuote
Topic starter Posted : 22/12/2016 10:25 am
(@peter)
Member Admin

Moin,

das würde ich gerne machen, aber das muss zunächst Gerhard mit seinem Provider klären, ob und wie SSL in seinem Paket zu aktivieren ist.

Ein paar Worte zur Sicherheit, um die Mitglieder nicht unnötig zu ängstigen:

In der Datenbank dieser Webseiten sind keine sensiblen Daten wie Bankverbindungen oder Kreditkarteninformationen hinterlegt, da es ja 'nur' eine Hobbyseite ohne gewerblichen Aspekt ist.

Das einzige nutzbare Datum ist die eMail-Adresse, die abgegriffen und für Spam missbraucht werden kann.

Selbst wenn jemand seinen Zugangsnamen (der ja nicht der Klarname sein muss und meist auch nicht ist) samt Passwort für andere Webseiten exakt so wie hier verwendet, dürften die Hacker nichts mit den Passwörtern anfangen können, da diese verschlüsselt sind und so gut wie nicht entschlüsselt werden können. Sie müssten diesen Hash-Wert mit dem Zugangsnamen in die Datenbank der anderen Webseite 'injizieren' und hoffen, dass dort derselbe Algorithmus zum Entschlüsseln verwendet wird wie hier.

Aber natürlich gilt heutzutage mehr denn je: In Onlineshops oder anderen Orten, wo Bankdaten hinterlegt sind, regelmässig das Passwort ändern (und möglichst nicht den Namen seines Hundes benutzen :-))

Grüsse
Peter

p.s. Ich habe die maximale Avatar-Größe auf 175x175 Pixel erhöht (das ist der Bereich wo die Bilder noch nicht beschnitten werden) und die maximale Dateigröße darf nun 20KB betragen (anstatt 6KB vorher). Das sollte für hübschere Avatare reichen. Bei Bedarf für andere Werte bitte melden.

ReplyQuote
Posted : 22/12/2016 12:13 pm
Nirwana
(@nirwana)
Estimable Member

Hi Peter,
ich will ja nicht schwarzmalen, aber was nützt das Hashen des Passworts in der Datenbank, wenn es vom Browser des Benutzers übers Netz zum Webserver unverschlüsselt übertragen wird?*

Ein SSL-Zertifikat (domainvalidiert) gibt es für 15 Euro im Jahr z.B. hier:
https://www.psw-group.de/ssl-zertifikat ... sitivessl/
Wenn der Hoster kein SSL unterstützt, wird es höchste Zeit, zu wechseln.

Grüße,
Benny

(*) "Ein Teil dieser Antworten würde die Bevölkerung verunsichern" (de Maiziere)

Benny / Nirwana

ReplyQuote
Topic starter Posted : 22/12/2016 9:20 pm
(@peter)
Member Admin

Du hast ja Recht, die Hashes dienen vornehmlich dazu, illegal beschaffte Daten nicht zur Anmeldung benutzen zu können.

Mir ging es darum, festzustellen, dass hier keine Gefahr droht, wenn jemand unsere User/Passwort-Hash(plus Salt) Kombination geklaut hat, weil er nirgendwo etwas damit anfangen kann. Der Angriff fand ja auf dem Server statt, nicht auf dem Weg vom End-Benutzer zum Server... insofern kann niemand unsere Klarnamen-Passwörter haben.*

Laut Strato wurden Massen-Mails von diesem Account verschickt, also waren wir kurzzeitig Teil eines Bot-Netzes... ich glaube nicht dass sich von diesen A*geigen irgendjemand für unsere Daten interessiert, die kapern flächig was sie können und benutzen dann deren Ressourcen.

Ich werde gleich nach den Feiertagen mit Gerhard darüber sprechen... er hatte jetzt Aufregung genug und Xmas steht vor der Tür. Klar wäre SSL besser, und wenn Strato da Probleme machen sollte, ziehen wir zu meinem Provider um, der kann das. Und ist deutlich schneller :-)

Schönen Gruß & drück mir die Daumen dass diese alte Forensoftware keine Zicken macht... :-)

*diese Aussage dient zur Beruhigung (der Bevölkerung)

ReplyQuote
Posted : 22/12/2016 10:48 pm