Wünsche und Kritik? Aber bitte nur Wünsche, Kritik ist unerwünscht
Wünsche und Kritik? Aber bitte nur Wünsche, Kritik ist unerwünscht
Wieder mal wurde ein Thread geschlossen, da dieser "ungemütlich" für die Forenbetreiber wurde
Es ist nun einmal so, das es nicht nur Spass und Lustig ist, eine Website oder Forum auf einem Fremd-Server zu betreiben, sondern auch eine menge Arbeit und Verantwortung den Usern gegenüber!
Ürsprünglich ging es ganz lapidar darum, das die Forum-Software VBulletin 3.5.4 mit dem FF 44 nicht sauber läuft.
Anstatt das mal in erwägung gezogen wird die Software up zu daten, werden einem Ominöse halbgare vorschläge unterbreitet, die sogar noch kontraproduktiv sein können (bei einem stark genutzten FF).
Zwischenzeitlich ist die VBulletin 5.x.x erhältlich, aber hier läuft immer noch eine Uralte V3.5.4, obwohl es sogar eine höhere V3.x.x gibt.
Nachzuschauen bei VBulletin
Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!
Ja, diese Aussage ist keiner DIN oder ISO oder sonstwas zu entnehmen, das sagt einfach die Menschliche Verantwortung.
So, Ihr habt es ja nicht anders gewollt, Ich kann auch Unfreundlich werden, bemühe mich aber IMMER um Sachlichkeit und Höflichkeit.
Das gerät hier leider immer mehr in Vergessenheit.
Es ist nun einmal so, das es nicht nur Spass und Lustig ist, eine Website oder Forum auf einem Fremd-Server zu betreiben, sondern auch eine menge Arbeit und Verantwortung den Usern gegenüber!
Ürsprünglich ging es ganz lapidar darum, das die Forum-Software VBulletin 3.5.4 mit dem FF 44 nicht sauber läuft.
Anstatt das mal in erwägung gezogen wird die Software up zu daten, werden einem Ominöse halbgare vorschläge unterbreitet, die sogar noch kontraproduktiv sein können (bei einem stark genutzten FF).
Zwischenzeitlich ist die VBulletin 5.x.x erhältlich, aber hier läuft immer noch eine Uralte V3.5.4, obwohl es sogar eine höhere V3.x.x gibt.
Nachzuschauen bei VBulletin
Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!
Ja, diese Aussage ist keiner DIN oder ISO oder sonstwas zu entnehmen, das sagt einfach die Menschliche Verantwortung.
So, Ihr habt es ja nicht anders gewollt, Ich kann auch Unfreundlich werden, bemühe mich aber IMMER um Sachlichkeit und Höflichkeit.
Das gerät hier leider immer mehr in Vergessenheit.
Schon das entspricht nicht der Wahrheit und der Thread ist seit gesten wieder offen. Er wurde lediglich mit den danach eröffenten Thread zusammen geführt, weil es das gleiche Thema war.Wieder mal wurde ein Thread geschlossen, da dieser "ungemütlich" für die Forenbetreiber wurde
Der Titel ist genau so unwahr. Eine sachlich vorgetragene Kritik wurde immer gehört und der Versuch unternommen eine Lösung zu finden.
Alois
-
- Null-Leiter
- Beiträge: 459
- Registriert: Montag 31. März 2014, 11:26
- Wohnort: Sachsen/Erzgebirge
Den Empfehlungen des BSI zum Thema Software wie z.b. hier beschrieben:Alois hat geschrieben:Das das nirgendwo festgeschrieben ist ist es schlicht und ergreifend falsch.
Der Titel ist genau so falsch.
Alois
PatchManagement
sollte man aber trotzdem etwas Aufmerksamkeit schenken. Es handelt sich beim BSI nicht um einen privaten Verein wie VDE, DIN, VdS... sondern um eine staatliche Institution.
Hallo Karo,
ich kenne das BSI.
Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.
Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?
Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.
Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.
Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.
Gruß
Alois
ich kenne das BSI.
Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.
Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?
Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.
Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.
Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.
Gruß
Alois
-
- Null-Leiter
- Beiträge: 3698
- Registriert: Dienstag 10. Februar 2004, 21:00
- Kontaktdaten:
-
- Beiträge: 13786
- Registriert: Montag 10. Januar 2005, 23:57
Moin Teletrabi,Teletrabi hat geschrieben:Ein Blick auf die Vielzahl geclosedter Thrads der letzten Zeit sagt was anderes. Kritik darf hier offenbar nicht geäußert werden.
selbstverständlich darf hier Kritik geäußert werden.
Gruß Olaf
Dies ist keine rechtsverbindliche Auskunft sondern meine Meinung bzw. mein Tipp für den Bereich der Bundesrepublik Deutschland! Die einschlägigen Normen/Vorschriften (z. B. DIN, VDE, TAB, DGUV, TRBS, BekBS, NAV, EN, LBO, LAR, ArbStättV, BetrSichV, ProdSG, ...) sind zu beachten. Ein Rechtsanspruch kann hieraus nicht abgeleitet werden. Die Nennung von Fundstellen in Regelwerken stellt keine Rechtsberatung sondern nur die Sichtweise des Verfassers dar.
Für elektrotechnische Laien gilt: Dieser Beitrag erläutert die technischen Zusammenhänge. Die Umsetzung obliegt den konzessionierten Fachbetrieben (§13(2)NAV).
"Wer eine Handlung begeht, der übernimmt auch alle daraus folgende Pflichten." §33 I-3 prALR 1794
Für elektrotechnische Laien gilt: Dieser Beitrag erläutert die technischen Zusammenhänge. Die Umsetzung obliegt den konzessionierten Fachbetrieben (§13(2)NAV).
"Wer eine Handlung begeht, der übernimmt auch alle daraus folgende Pflichten." §33 I-3 prALR 1794
-
- Null-Leiter
- Beiträge: 459
- Registriert: Montag 31. März 2014, 11:26
- Wohnort: Sachsen/Erzgebirge
Nunja, die Anwender, die heute noch auf der HP-UX arbeiten, werden von den meisten Bedrohungen aus dem Internet auch verschont...Ob das ein Argument fuer besonders alte Software sein kann, ist aber fraglich.Alois hat geschrieben:Hallo Karo,
ich kenne das BSI.
Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.
Mal ein ganz einfaches Szenario: Angreifer verschafft sich gezielt per Exploit einen Admin Zugang zum Forum. Versendet eine Reihe emails an die dort deponierten Adressen mit unverfaenglichen Titel "Einladung zum Forumstreffen...." oder "Anleitung zur neuen Forensoftware..." und verfaenglichen Inhalt (PDF, Word-Dokument mit Macros inkl. Trojaner, Verschluesselungssoftware oder was auch immer). Ein noch bequemeres Einfallstor fuer "social engineering" laesst sich kaum finden.Alois hat geschrieben: Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?
Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.
Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.
Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.
-
- Null-Leiter
- Beiträge: 3698
- Registriert: Dienstag 10. Februar 2004, 21:00
- Kontaktdaten:
zzgl. ggf. noch Abgriff der Passwörter. kA, wie genau gesichert vBulletin sie ablegt (oder dieses zu konfigurieren ist). Ein nicht kleiner Teil dürfte für mehrere Websites funktionieren...
Und auch wenn sie nicht decodierbar hinterlegt sind, bietet sich immer noch an, eine Fake-Passwordabfrage die Page einzubauen oder einen Link zur "Pwd-Bestätigung nach Datenproblemen wegen Umzug auf Ersatzserver" verweisend auf http://www.dieS1eckdose.net an die geernteten Mailadressen zu verteilen. Ganz höchstoffiziell aus dem (gekaperten) Boardsystem als vermeintlicher Admin verschickt....
Und auch wenn sie nicht decodierbar hinterlegt sind, bietet sich immer noch an, eine Fake-Passwordabfrage die Page einzubauen oder einen Link zur "Pwd-Bestätigung nach Datenproblemen wegen Umzug auf Ersatzserver" verweisend auf http://www.dieS1eckdose.net an die geernteten Mailadressen zu verteilen. Ganz höchstoffiziell aus dem (gekaperten) Boardsystem als vermeintlicher Admin verschickt....
Hallo Karo,
alles was Du schreibst ist richtig, wäre aber mit dem Heartbled Fehler erst recht möglich gewesen.
Und viel schlimmer.
Man hatte damit Zugang zu den wirklich persönlichen Daten z.B. Konto; Kredikarte und vieles mehr.
Fragen wir mal in die Runde wer von den Forumteilnehmern hat nach Bekanntwerden von Heartblead konsequent alle Passwörter geändert?
Da werden einige die das hier lesen erschreckt fragen was ist denn Heartbled?
Fair wäre es, wenn die Kritiker eine Schwachstelle dahingehend nutzen würden, dass sie z.B. meinen Account hacken und mir dann per PN, per Mail (der eine oder andere hat sogar die Telefonnummer) mitteilen würden
Schau mal, diese Lücke hat es mir ermöglicht Dein Passwort heraus zu bekommen. So lautet Dein derzeitiges Passwort etc. etc.
Alternativ: mit diesem Passwort (es muss ja nicht das sein welches ich gesetzt habe) komme ich als Admin in das System.
Das wäre m.E. eine Maßnahme die deutlich machen würde dass wirklich ein Risiko besteht.
Wir haben dennoch eine zusätzliche Sicherheitsbarriere vorgeschaltet die - selbst mit Kenntnis meines Passwortes - den Zugriff auf den administrativen Teil des Forum verhindert.
Gruß
Alois
alles was Du schreibst ist richtig, wäre aber mit dem Heartbled Fehler erst recht möglich gewesen.
Und viel schlimmer.
Man hatte damit Zugang zu den wirklich persönlichen Daten z.B. Konto; Kredikarte und vieles mehr.
Fragen wir mal in die Runde wer von den Forumteilnehmern hat nach Bekanntwerden von Heartblead konsequent alle Passwörter geändert?
Da werden einige die das hier lesen erschreckt fragen was ist denn Heartbled?
Fair wäre es, wenn die Kritiker eine Schwachstelle dahingehend nutzen würden, dass sie z.B. meinen Account hacken und mir dann per PN, per Mail (der eine oder andere hat sogar die Telefonnummer) mitteilen würden
Schau mal, diese Lücke hat es mir ermöglicht Dein Passwort heraus zu bekommen. So lautet Dein derzeitiges Passwort etc. etc.
Alternativ: mit diesem Passwort (es muss ja nicht das sein welches ich gesetzt habe) komme ich als Admin in das System.
Das wäre m.E. eine Maßnahme die deutlich machen würde dass wirklich ein Risiko besteht.
Wir haben dennoch eine zusätzliche Sicherheitsbarriere vorgeschaltet die - selbst mit Kenntnis meines Passwortes - den Zugriff auf den administrativen Teil des Forum verhindert.
Gruß
Alois