diesteckdose
 

Zurück   diesteckdose > News > Wünsche und Kritik
Benutzername
Kennwort
Registrieren Hilfe Benutzerliste Kalender Suchen Heutige Beiträge Alle Foren als gelesen markieren Forum Home

Thema geschlossen
 
Themen-Optionen Thema durchsuchen Ansicht
  #1  
Alt 01.02.2016, 20:21
Benutzerbild von Schwachstromer
Schwachstromer Schwachstromer ist offline
Dauerbrenner
 
Registriert seit: 18.02.2013
Beiträge: 568
Wünsche und Kritik? Aber bitte nur Wünsche, Kritik ist unerwünscht

Wieder mal wurde ein Thread geschlossen, da dieser "ungemütlich" für die Forenbetreiber wurde

Es ist nun einmal so, das es nicht nur Spass und Lustig ist, eine Website oder Forum auf einem Fremd-Server zu betreiben, sondern auch eine menge Arbeit und Verantwortung den Usern gegenüber!

Ürsprünglich ging es ganz lapidar darum, das die Forum-Software VBulletin 3.5.4 mit dem FF 44 nicht sauber läuft.
Anstatt das mal in erwägung gezogen wird die Software up zu daten, werden einem Ominöse halbgare vorschläge unterbreitet, die sogar noch kontraproduktiv sein können (bei einem stark genutzten FF).
Zwischenzeitlich ist die VBulletin 5.x.x erhältlich, aber hier läuft immer noch eine Uralte V3.5.4, obwohl es sogar eine höhere V3.x.x gibt.
Nachzuschauen bei VBulletin

Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!
Ja, diese Aussage ist keiner DIN oder ISO oder sonstwas zu entnehmen, das sagt einfach die Menschliche Verantwortung.

So, Ihr habt es ja nicht anders gewollt, Ich kann auch Unfreundlich werden, bemühe mich aber IMMER um Sachlichkeit und Höflichkeit.
Das gerät hier leider immer mehr in Vergessenheit.
__________________
MfG
Schwachstromer

<blink>Ohne Strom geht nix</blink>
  #2  
Alt 01.02.2016, 21:34
Benutzerbild von Alois
Alois Alois ist offline
Administrator
 
Registriert seit: 28.07.2004
Ort: Hessen GG
Beiträge: 11.576
Zitat:
Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!

Das das nirgendwo festgeschrieben ist ist es schlicht und ergreifend falsch.

Der Titel ist genau so falsch.

Alois
__________________
Zum nochmaligen Lesen wenn beim Anmelden übergangen


Allgemeine Geschäftsbedingungen
zur Nutzung des Forum dieSteckdose.net


Datenschutzerklärung
  #3  
Alt 01.02.2016, 22:38
karo1170 karo1170 ist offline
Kabelknabberer
 
Registriert seit: 31.03.2014
Beiträge: 225
Zitat:
Zitat von Alois
Das das nirgendwo festgeschrieben ist ist es schlicht und ergreifend falsch.

Der Titel ist genau so falsch.

Alois

Den Empfehlungen des BSI zum Thema Software wie z.b. hier beschrieben:

PatchManagement

sollte man aber trotzdem etwas Aufmerksamkeit schenken. Es handelt sich beim BSI nicht um einen privaten Verein wie VDE, DIN, VdS... sondern um eine staatliche Institution.
  #4  
Alt 01.02.2016, 22:53
Benutzerbild von Alois
Alois Alois ist offline
Administrator
 
Registriert seit: 28.07.2004
Ort: Hessen GG
Beiträge: 11.576
Hallo Karo,

ich kenne das BSI.

Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.

Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?

Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.

Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.

Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.

Gruß

Alois
__________________
Zum nochmaligen Lesen wenn beim Anmelden übergangen


Allgemeine Geschäftsbedingungen
zur Nutzung des Forum dieSteckdose.net


Datenschutzerklärung
  #5  
Alt 01.02.2016, 23:20
Teletrabi Teletrabi ist offline
Starkstrom
 
Registriert seit: 10.02.2004
Beiträge: 3.660
Zitat:
Zitat von Alois
Der Titel ist genau so falsch.

Alois


Ein Blick auf die Vielzahl geclosedter Thrads der letzten Zeit sagt was anderes. Kritik darf hier offenbar nicht geäußert werden.
  #6  
Alt 01.02.2016, 23:28
Olaf S-H Olaf S-H ist offline
.
 
Registriert seit: 11.01.2005
Beiträge: 11.445
Zitat:
Zitat von Teletrabi
Ein Blick auf die Vielzahl geclosedter Thrads der letzten Zeit sagt was anderes. Kritik darf hier offenbar nicht geäußert werden.

Moin Teletrabi,

selbstverständlich darf hier Kritik geäußert werden.

Gruß Olaf
__________________
Dies ist keine rechtsverbindliche Auskunft sondern meine Meinung bzw. mein Tipp für den Bereich der Bundesrepublik Deutschland! Die einschlägigen Normen/Vorschriften (z. B. DIN, VDE, TAB, DGUV, TRBS, NAV, EN, LBO, LAR, ArbStättV, BetrSichV, ProdSG, ...) sind zu beachten. Ein Rechtsanspruch kann hieraus nicht abgeleitet werden.

Für elektrotechnische Laien gilt: Dieser Beitrag erläutert die technischen Zusammenhänge. Die Umsetzung obliegt den konzessionierten Fachbetrieben (§13(2)NAV).

"Wer eine Handlung begeht, der übernimmt auch alle daraus folgende Pflichten." §33 I-3 prALR 1794
  #7  
Alt 01.02.2016, 23:52
karo1170 karo1170 ist offline
Kabelknabberer
 
Registriert seit: 31.03.2014
Beiträge: 225
Zitat:
Zitat von Alois
Hallo Karo,

ich kenne das BSI.

Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.

Nunja, die Anwender, die heute noch auf der HP-UX arbeiten, werden von den meisten Bedrohungen aus dem Internet auch verschont...Ob das ein Argument fuer besonders alte Software sein kann, ist aber fraglich.

Zitat:
Zitat von Alois
Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?

Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.

Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.

Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.

Mal ein ganz einfaches Szenario: Angreifer verschafft sich gezielt per Exploit einen Admin Zugang zum Forum. Versendet eine Reihe emails an die dort deponierten Adressen mit unverfaenglichen Titel "Einladung zum Forumstreffen...." oder "Anleitung zur neuen Forensoftware..." und verfaenglichen Inhalt (PDF, Word-Dokument mit Macros inkl. Trojaner, Verschluesselungssoftware oder was auch immer). Ein noch bequemeres Einfallstor fuer "social engineering" laesst sich kaum finden.
  #8  
Alt 02.02.2016, 00:05
Teletrabi Teletrabi ist offline
Starkstrom
 
Registriert seit: 10.02.2004
Beiträge: 3.660
zzgl. ggf. noch Abgriff der Passwörter. kA, wie genau gesichert vBulletin sie ablegt (oder dieses zu konfigurieren ist). Ein nicht kleiner Teil dürfte für mehrere Websites funktionieren...
Und auch wenn sie nicht decodierbar hinterlegt sind, bietet sich immer noch an, eine Fake-Passwordabfrage die Page einzubauen oder einen Link zur "Pwd-Bestätigung nach Datenproblemen wegen Umzug auf Ersatzserver" verweisend auf www.dieS1eckdose.net an die geernteten Mailadressen zu verteilen. Ganz höchstoffiziell aus dem (gekaperten) Boardsystem als vermeintlicher Admin verschickt....
  #9  
Alt 02.02.2016, 01:03
Benutzerbild von Alois
Alois Alois ist offline
Administrator
 
Registriert seit: 28.07.2004
Ort: Hessen GG
Beiträge: 11.576
Hallo Karo,

alles was Du schreibst ist richtig, wäre aber mit dem Heartbled Fehler erst recht möglich gewesen.

Und viel schlimmer.

Man hatte damit Zugang zu den wirklich persönlichen Daten z.B. Konto; Kredikarte und vieles mehr.

Fragen wir mal in die Runde wer von den Forumteilnehmern hat nach Bekanntwerden von Heartblead konsequent alle Passwörter geändert?

Da werden einige die das hier lesen erschreckt fragen was ist denn Heartbled?

Fair wäre es, wenn die Kritiker eine Schwachstelle dahingehend nutzen würden, dass sie z.B. meinen Account hacken und mir dann per PN, per Mail (der eine oder andere hat sogar die Telefonnummer) mitteilen würden

Schau mal, diese Lücke hat es mir ermöglicht Dein Passwort heraus zu bekommen. So lautet Dein derzeitiges Passwort etc. etc.

Alternativ: mit diesem Passwort (es muss ja nicht das sein welches ich gesetzt habe) komme ich als Admin in das System.

Das wäre m.E. eine Maßnahme die deutlich machen würde dass wirklich ein Risiko besteht.

Wir haben dennoch eine zusätzliche Sicherheitsbarriere vorgeschaltet die - selbst mit Kenntnis meines Passwortes - den Zugriff auf den administrativen Teil des Forum verhindert.


Gruß

Alois
__________________
Zum nochmaligen Lesen wenn beim Anmelden übergangen


Allgemeine Geschäftsbedingungen
zur Nutzung des Forum dieSteckdose.net


Datenschutzerklärung
  #10  
Alt 02.02.2016, 01:11
Benutzerbild von Alois
Alois Alois ist offline
Administrator
 
Registriert seit: 28.07.2004
Ort: Hessen GG
Beiträge: 11.576
ich empfinde die hier von Teletrabi und Schwachstromer geführte Diskussion als scheinheilg:

Begründung:

Ich bin sehr sicher dass einer oder beide im Besitz eines Smartphones, oder eines Tablet sind.

Ich bin mir auch sicher, dass einer oder beide Apps verwenden.

Diese Apps verlangen häufg Zugriff auf das Adressbuch des Smartphones. Wer dem zustimmt, der gibt ggf. die Adressen seiner Freunde und Verwandten in die Hände Fremder und müsste eigentlich jeden einzelnen der im Adressbuch steht fragen ob er das der App erlauben darf.....

Gruß

Alois

Ps. Wir erlauben niemand den Zugriff auf die Mailadresse unserer Forummitglieder. Wer sich dennoch Zugriff verschafft begeht eine Straftat.

Ps. Ps. Die Passwörter liegen verschlüsselt in der Datenbank vor. Es müsste also jemand an die Datenbank kommen um z.B. mit einem Brute-Force-Angriff die Passwörter zu entschlüsseln. Da die Datenbank aber nicht auf dem Server der Steckdose liegt hätte ein Angreifer wieder schlechte Karten. Mit dem Admin-Passwort käme man jedenfalls nicht an die Datenbank ran. Wenn trotz der hier gemachten Angaben jemand noch Angst davor hat man könne sein Passwort entschlüsseln, dann möge er ein Passwort wählen welches umfangreich ist und z.B. nach den vom BSI aufgestellten Regeln erstellt wurde.
__________________
Zum nochmaligen Lesen wenn beim Anmelden übergangen


Allgemeine Geschäftsbedingungen
zur Nutzung des Forum dieSteckdose.net


Datenschutzerklärung
Thema geschlossen


Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge anzufügen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu

Ähnliche Themen
Thema Erstellt von Forum Antworten Letzter Beitrag
Normen in der Kritik lampensteckdose Normen VDE BGV und andere 3 18.02.2011 23:06
Wünsche einen guten Rutsch Alois Allgemeines Board 27 04.01.2010 15:10
Kritik und gelbe/rote Karte Bödeker, Klaus Wünsche und Kritik 23 20.08.2008 13:16
Verein zur Verwirklichung unserer Wünsche harmi Wünsche und Kritik 23 14.05.2007 20:32


Alle Zeitangaben in WEZ +2. Es ist jetzt 12:22 Uhr.


Powered by vBulletin Version 3.5.4 (Deutsch)
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.