onride Klassik Suche Registrieren Anmelden
| Gehe zu Seite Zurück 1, 2, 3, 4, 5, 6 Weiter | ||||
| Autor | Nachricht | Aktionen | ||
|---|---|---|---|---|
| mpegster Neu 20.03.2005 Sonntag, 20. März 2005 14:13 | ||||
mpegster
Deutschland . NW |
Richtig, man braucht es auch nicht zurückrechnen oder mittels Try & Error ausprobieren... btw in besagten Forum wird nach 3maliger Eingabe eines falschen passwortes der Account automatisch gesperrt... aber du erwartest doch jetzt nicht wirklich von mir das ich in einem Forum wie Onride die entsprechende Sicherheitslücke offenlege? |
|||
| L!qu!d Neu 20.03.2005 Sonntag, 20. März 2005 14:14 | ||||
L!qu!d
Hannes Edingen-Neckarhausen Deutschland . BW |
Hallo Onrider,
so wie ich das ganze hier sehe, ist, das sehr viele einfach keine Ahnung haben, warum jetzt die jeweiligen genau gesperrt worden sind. Dann wird irgendetwas dahergelabbert und schon gehts los. Also macht euch erstmal ein BIld warum genau. Ich kenne die Gründe auch nicht sehr genau, aber mir reichen sie, fertig, mehr interessiert mich das garnicht. Der gesperrte User hat gegen eine Regel verstossen und hat damit mit der Bestrafung zurechnen ist nur ein Beispiel für sowas..... Also, wenn man mal keine Ahnung hat......... Lg, Hannes |
|||
| kettenflieger Neu 20.03.2005 Sonntag, 20. März 2005 14:17 | ||||
kettenflieger
Deutschland . HE |
Es reicht aus, wenn man das Passwort in seiner verschlüsselten Form kennt, um über Cookies Zugriff zu erhalten. | |||
| handychris Neu 20.03.2005 Sonntag, 20. März 2005 14:18 | ||||
handychris
Christian Schäfer Mannheim Deutschland . BW |
Stimmt. Jetzt komm ich mit. Das kanns doch aber echt nicht sein. Ich dachte onride will als seriöses Forum dastehen? Jetzt muss man ja Angst haben, wenn man hier ein Passwort festlegt... Ich hoffe, die Behörden sind informiert? |
|||
| kettenflieger Neu 20.03.2005 Sonntag, 20. März 2005 14:23 | ||||
|
kettenflieger
Deutschland . HE |
Ja. |
|||
| Boris Neu 20.03.2005 Sonntag, 20. März 2005 14:28 | ||||
|
Boris
Deutschland . NW |
zurueckrechnen nicht. Aber man koennte Kollissionen erzeugen und ein anderes Passwort mit dem gleichen Hash erzeugen. Bei schwachen Passwoertern (z.B. kurz oder woerterbuchbasiert) ist es nicht so gut wie ausgeschlossen. Schwache Passwoerter anhand ihres Hashs zu bruteforcen ist ein uraltes Vorgehen, dass mit immer staerkeren Rechnern und z.T. gleichbleibend schwachen Passwoerten immer einfacher wird. Zudem wird beim einloggen das Passwort ja immer im Klartext gesendet, fuer einen Angriffer mit Zugriff auf die DB (und damit wahrscheinlich auch auf die Skripte) waere es also kein Problem an Klartext-Passwoerter ranzukommen ohne einen Cracker zu starten. Von der hier genannten Moeglichkeit den Hash direkt ueber eine Schwachstelle auszunutzen mal ganz abgesehen... Das mal nur so als wertungsneutrale Klarstellung, dass es fuer jemanden der Zugriff auf den Server hat immer ein leichtes ist an die Passwoerter zu kommen. (egal welches Forum/Board/etc.) |
|||
| Tejay Neu 20.03.2005 Sonntag, 20. März 2005 14:28 | ||||
Tejay
Thorsten Janke Bochum Deutschland . NW |
Also, wer Angst um die Sicherheit seines / ihres Passwort bei onride hat, dem / der empfehle ich einen turnusmäsigen Austausch des Passwortes. Geht ganz leicht in den Einstellungen unter "Profil". Einfach ein neues Password ausdenken, Buchstaben und Zahlen sind auch als Mischung möglich). So kann man sich sicherer fühlen, falls man uns als Team (oder wem auch immer) nicht vertrauen mag. Ansonsten halte ich es persönlich so, dass ich hier auch keine elementaren Daten gespeichert habe, die es sich lohnen würde "zu hacken". |
|||
| kmonster Neu 20.03.2005 Sonntag, 20. März 2005 14:33 | ||||
kmonster
Volker Sauer Gelsenkirchen Deutschland . NW |
Sicherlich, aber dazu müsste man aber nicht mal den Hash haben, es gibt genug Skripte im Netz die anhand solcher Wörterbücher das Einloggen probieren und die kann man auch als DAU laufen lassen. |
|||
| razibo Neu 20.03.2005 Sonntag, 20. März 2005 14:34 | ||||
razibo
Rainer Ziesche Bochum Deutschland . NW |
Na prima - endlich stehen hier mal Fakten im Raum und das ganze Rumgelaber hat ein Ende...
Wenn ich es richtig verstanden habe braucht man für den von dir geschilderten Vorgang einen Zugriff auf die Benutzerdatenbank eines Forums - den haben im Falle von onride nur Volker (da er sich um die Programmierung kümmert) und ich (da ich die "Zeche zahle" und somit Vollzugriff auf alle relevanten Daten von onride habe). Nach dem Erhalt der Mail von Kim habe ich mich mit Volker in Verbindung gesetzt und ihn gefragt, ob er eine Idee hätte, was da gelaufen sein könne. Volker hat mir versichert, dass er keine Passwörter aus der User-Datenbank ausgelesen und durch Verwendung irgendeines Programmes sichtbar gemacht hat. Ich habe dies ebenfalls nicht getan - und daher habe ich Kim geantwortet dass ich zu dieser Sache nichts sagen kann. Was ist an dieser Antwort bitteschön unbefriedigend? Warum sollte ich mir eigentlich unter einem anderen Account einen Zugang zum Forum von Kim "organisieren"? Alle Foren sind für Gäste lesbar - und wenn mich die wenigen Inhalte interessieren dort würden hätte ich mich dort nicht einloggen brauchen (mir hat ehrlich gesagt schon eine einzige Aussage eines Users dort gereicht, um das weitere Interesse an anderen Beiträgen zu verlieren). Es gibt zwar dort wohl ein geheimes Forum, für das nur bestimmte Mitglieder freigeschaltet sind (das habe ich gestern von Holger erfahren) - aber an dem Tag, an dem ich mich angeblich dort eigeschlichen habe, wusste ich davon noch nichts. |
|||
| Grinsemann Neu 20.03.2005 Sonntag, 20. März 2005 14:37 | ||||
|
Grinsemann
Leo Kleine Deutschland |
Ich bin zwar auch nicht wirklich informiert möchte aber doch einiges sagen.
1. Wenn ein User 4 mal behauptet sich ab jetzt rauszuhalten und dann immer noch was schreibt ist er inkonsequent und irgenwie nervig. Ich finde auch dass man nicht schreiben brauch dass man nix schriebn darf, denn dann soll mans lassen oder trotzdem machen. 2. Ich finde es nicht ok wenn die Admins hier unsere passwörter lesen können und das ausnutzen. Ich habe das glaich passwort nicht nur in anderer foren sondern auch bei meiner e-Mail adresse udn überall. (ich werde mein passwort sicher ändern!) 3. würde sich einer der Admins und der "die was wissen" bitte mal berei erklären alles nochmal zusammen zu fassen. Aber wirklich alles was vorgefallen is (uns zwar genau) wer weshlab gehen musste udn wer weshalb gegangen ist und wer wieso welche Vorwürfe hat. DANKE! 4. ich möchte betonen hier nimandem Böse zu sein. Grinsemann |
|||
| Boris Neu 20.03.2005 Sonntag, 20. März 2005 14:40 | ||||
|
Boris
Deutschland . NW |
Eins moechte ich noch in den Raum stellen (eben vergessen):
Es muss nicht unbedingt jemand ueber einen berechtigten Zugang an die Passwoerter gelangt sein. phpBB ist dafuer bekannt, dass es nicht selten Sicherheitsprobleme hat (um es mal vorsichtig auszudruecken) und das kann auch jemand ausgenutzt haben. |
|||
| kettenflieger Neu 20.03.2005 Sonntag, 20. März 2005 14:45 | ||||
|
kettenflieger
Deutschland . HE |
Die Fakten standen auch in der Email vom Kim an dich.
Was weiterhin Fakt ist, das eine IP mit der gehackt wurde, die selbe IP ist, mit der der Name "razibo" im d-t.net registriert wurde. Zumal Versatel im Forum wie auch im damaligen Onride Chat nicht so oft vorkam. Um jetzt lange nicht um den heissen Brei herum zu reden. Die Sache ist an höhere Stelle weitergegeben worden. Denke das reicht von meiner Seite aus. |
|||
| mpegster Neu 20.03.2005 Sonntag, 20. März 2005 14:46 | ||||
|
mpegster
Deutschland . NW |
Das passwort 2er verschiedener User innerhalb von 2*3 Versuchen zu "erraten", und das auch beide male richtig, ist doch sehr unwahrscheinlich.... |
|||
| Boris Neu 20.03.2005 Sonntag, 20. März 2005 14:51 | ||||
|
Boris
Deutschland . NW |
Und du glaubst es faellt nicht auf wenn 100te bis 1000de Loginversuche scheitern? Offline ist sowas a) viel schneller und b) viel unauffaelliger. Es soll wie gesagt kein Vorwurf sein. Aber das Argument, dass man mit den Hashes nichts anfangen kann ist nunmal falsch. |
|||
| mpegster Neu 20.03.2005 Sonntag, 20. März 2005 14:53 | ||||
|
mpegster
Deutschland . NW |
Richtig mit den Hashes kann man viel anfangen... |
|||
| razibo Neu 20.03.2005 Sonntag, 20. März 2005 14:57 | ||||
|
razibo
Rainer Ziesche Bochum Deutschland . NW |
Wir hatten Ende letzten Jahres auch solch einen Fall, dass sich ein User über eine Sicherheitslücke zum Admin gemacht hat. Vielleicht erinnert sich noch der eine oder andere daran, dass plötzlich ein Forum mit Thema "Silvester-Party 2004" für alle User sichtbar war - dies war das Werk eben dieses Users. Wer dahinter steckte konnten wir nicht herausfinden, da die Zugriffe über einen Proxy-Server liefen. Mittlerweile haben wir natürlich die Sicherheit verschärft, damit solch ein Fall nicht mehr vorkommt. Ach ja - wenn ich "hacken" könnte, dann würde ich mit Sicherheit nicht meinen Internetzugang zuhause benutzen... |
|||
| kmonster Neu 20.03.2005 Sonntag, 20. März 2005 14:58 | ||||
|
kmonster
Volker Sauer Gelsenkirchen Deutschland . NW |
Noch mal für alle: In der Datenbank stehen die Passwölrter verschlüsselt, nicht im Klartext. Wenn sich jetzt jemand einloggen will wird das eingegebene Passwort auch verschlüsselt und mit dem verschlüsselten in der Datenbank verglichen. Das verschlüsselte Passwort ist nicht umkehrbar. Natürlich gibt es wie immer Möglichkeiten ein Passwört rauszufinden durch Try and Error, dazu brauch ich aber nicht zwangsläufig das verschlüsselte Passwort sondern kann meinen Angriff auch direkt da fahren wo ich das Passwort benötige. Überall ein anderes Passwort zu haben ist ein sehr gute Idee, vor allem auch ein Passwort zu nehmen, dass aus Buchstaben und Zahlen besteht und möglichst kein Wort bildet. Da das Passwort, wie Boris erwähnt, beim Einloggen auch im Klartext übertragen wird, gibt es immer Möglichkeiten dies abzufangen, nicht nur von den Admins hier. |
|||
| razibo Neu 20.03.2005 Sonntag, 20. März 2005 15:03 | ||||
|
razibo
Rainer Ziesche Bochum Deutschland . NW |
Meine Registrierung im "alten" onride-Chat ist aus der Zeit als der Chat gerade anlief - also ca. November 2003. Da lief mein DSL über t-online bzw. 1&1. Wie kann es also zu solch einer IP-Übereinstimmung kommen? |
|||
| handychris Neu 20.03.2005 Sonntag, 20. März 2005 15:04 | ||||
|
handychris
Christian Schäfer Mannheim Deutschland . BW |
Wie wäre es mit ner verschlüsselten Verbindung? Würde auf jeden Fall für mehr Sicherheit sorgen... |
|||
| handychris Neu 20.03.2005 Sonntag, 20. März 2005 15:05 | ||||
|
handychris
Christian Schäfer Mannheim Deutschland . BW |
Wäre wirklich ein enormer Zufall, wobei die IP ja in der Regel auch alle 24 Stunden durch ne Zwangstrennung geändert wird, wie gesagt, in der Regel... |
|||
| mpegster Neu 20.03.2005 Sonntag, 20. März 2005 15:07 | ||||
|
mpegster
Deutschland . NW |
Diese Frage können wir dir selbstverstänlich nicht beantworten! Wie auch? Fakt ist halt nur das du zumindest wie du das letzte mal im "alten" onride - chat zu gast warst ebenfalls "Versatel" - Kunde bist/warst... Volker ist ja bekannterweise QSC-Kunde! Ich bitte dies nicht als beschuldigung zu sehen, es sind halt nur Fakten, um die du gebeten hast! |
|||
| kmonster Neu 20.03.2005 Sonntag, 20. März 2005 15:08 | ||||
|
kmonster
Volker Sauer Gelsenkirchen Deutschland . NW |
Ich wüsste nicht das es eine maximale Anzahl von versuchen gibt. Das stimmt, aber wenn man die Logs nicht kontrolliert würde das nicht auffallen, zumindest bei onride nicht. Sicherlich, ich wollte ja auch nur andere Möglichkeiten aufzeigen, für den Vorgang kann es zig Begründungen geben, und sich woanders Zugriff zu verschaffen gibt es zig Möglichkeiten und nicht nur welche die uns belasten. Wenns die mal von PHPBB gibt gerne, aber wenn du den Admins nicht vertraust bringt dir das auch nichts. |
|||
| kettenflieger Neu 20.03.2005 Sonntag, 20. März 2005 15:09 | ||||
|
kettenflieger
Deutschland . HE |
@ Rainer
Deine alte Registrierung lief ab, da du deinen Nick zu lange nicht benutzt hast. Die neue Registrierung ist vom 18.2.2005 und wurde über einen Versatel-Zugang gemacht. So viel ich weiss, bist du doch auch Versatel-Kunde. |
|||
| razibo Neu 20.03.2005 Sonntag, 20. März 2005 15:10 | ||||
|
razibo
Rainer Ziesche Bochum Deutschland . NW |
Sorry, aber ich war seit Monaten nicht mehr im "alten" onride-Chat bei d-t-net. Da kannst du gerne Eike und Holger fragen... |
|||
| mpegster Neu 20.03.2005 Sonntag, 20. März 2005 15:10 | ||||
|
mpegster
Deutschland . NW |
beim Standard phpBB nicht.... aber gerade du als "programmierer" solltest wissen, das es nicht schwer ist sowas einzubauen, genau wie eine Funktion, welche die User dazu "zwingt" in regelmäßigen abständen ihr kennwort zu ändern! |
|||
| Gehe zu Seite Zurück 1, 2, 3, 4, 5, 6 Weiter | ||||
| Der Autor hat fehlerhaften BBCode produziert. | |
| Der Autor hat das Thema im falschen oder unpassenden Forum eröffnet. | |
| Dieses im Katalog verzeichnete Thema hat fremdverlinkte Bilder, die inzwischen fehlen. | |
| Doppelter Beitrag | |
|---|---|
| Es wurde mehrfach ein identischer Beitrag erstellt. Bitte benutze diese Funktion nicht für den Urspungsbeitrag und nur, wenn die Beiträge noch vollkommen identisch sind. Bitte nicht den Beitrag bearbeiten und "Bitte löschen" oder Ähnliches hineinschreiben! | |
| Ich habe mich vertan oder aus anderen Gründen den Inhalt wärend der Bearbeitungszeit entfernt. Bitte den Beitrag löschen. Achtung, falls es sich um einen doppelten Beitrag handelte, benutze bitte beim nächsten Mal die entsprechende Funktion ohne den Beitrag zu bearbeiten. | |
| Dieser Beitrag wurde durch Bearbeitung unbrauchbar, da der eigentliche Inhalt gelöscht wurde. | |
| Doppeltes Thema | |
| Diese Thema gab es bereits, aber es sind schon einige Antworten vorhanden, bitte zusammenlegen. Gebe bitte das andere Thema an. | |
| Dieses Thema gab es bereits. Da noch keine Antworten vorhanden sind kann es gelöscht werden. Gebe bitte das andere Thema an. | |
Link zum anderen Thema * |
|
| Änderung / Löschwünsche von Mitgliedern | |
| Ich wünsche eine kleine Änderung an meinem Beitrag. Bitte beachte, dass Änderungen nur in Ausnahmefällen durchgeführt werden. Wenn durch die Änderung ein abweichender Sinninhalt entsteht, oder nachfolgende Beiträge inhaltlich bezuglos werden, wird keine Änderung vorgenommen. | |
| Bitte teile deinen Wunsch direkt dem Autor mit, dieser kann sich dann gerne an uns wenden. Du kannst im Folgenden direkt mit dem Autor kommunizieren. | |
| Beiträge werden in der Regel nicht gelöscht, insbesondere dann nicht, wenn eine weitere Diskussion bereits entstanden ist. In begündeten Ausnahmefällen führen wir eine Löschung durch, zum Beispiel wenn der Inhalt rechtlich bedenklich ist oder die Rechte von Dritten verletzt werden. In der Regel reicht aber auch hier eine Änderung mit Entfernung der relevanten Teile. Wenn du eine Löschung wünschst teile uns hier bitte eine ausführliche Begründung mit. Verzichte bitte auf wiederholte Meldung oder die Kontaktierung eines Team-Members, wenn dem Löschwunsch nicht stattgegeben wird. | |
| Die Löschung eines Beitrages kann nur der Autor selbst beantragen, und auch nur in einzelnen begründeten Ausnahmefällen. Bitte teile deinen Wunsch direkt dem Autor mit, dieser kann sich dann gerne an uns wenden. Du kannst im folgenden direkt mit dem Autor kommunizieren. | |
| Bitte teile deinen Wunsch direkt dem Autor mit, dieser kann sich dann gerne an uns wenden. Du kannst im folgenden direkt mit dem Autor kommunizieren. | |
| Bedenklicher Inhalt / Rechtsverletzung | |
| Bitte nur Beiträge melden, die rechtlich bedenklich sind oder in denen gegen die Nutzungsbedingungen verstoßen wird. Dazu gehören beleidigende, obszöne, vulgäre, verleumdende, gewaltverherrlichende oder aus anderen Gründen strafbare Inhalte sowie andere deutlich unsinnige Inhalte. Ebenfalls können Beiträge gemeldet werden, die nicht für die Öffentlichkeit bestimmte Fakten enthalten, welche unautorisiert veröffentlicht wurden. Auch für Parkadministration ungünstige oder problematische Inhalte können gemeldet werden und werden im Einzelfall überprüft. Bitte füge eine Begründung/Erklärung an. | |
| Ausführliche Begründung * | |