• Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2025
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
    "Upscreen", "Screenleaf", BROTECT" und "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Mitmachen beim DSLR-Forum Fotowettbewerb August 2025.
    Thema: "Kurven"
    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum August-Wettbewerb hier!

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • Nicht erreichbare Adressen im Benutzerkonto
    Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
    als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
    Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
    Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
    Danke!
WERBUNG

SSL Verschlüsselung des Webservers

Status
Für weitere Antworten geschlossen.
Vielleicht ist die Streubung gegen HTTPS einfach, weil die Admins zu wenig Erfahrung damit haben, Angst vor weiterem Datenverlust etc. Es gibt hier ja auch keine eigenen Fehlerseiten, die man leicht in 5 Minuten per .htaccess einrichten kann. Leider weiß ich nicht, ob das ein Managed Server ist oder ob die Administration alles selbst einrichtet. Ich sehe das bei mir. Da muss man halt mindestens jeden 2. Tag nachsehen ob es für Debian und Plesk neue Updates und Bugfixes gibt und einspielen. Dazu kommen noch die normalen Updates für die eingesetzte Software, hoffen, dass dann noch alle Plugins funktionieren usw. Da geht schon einiges an Zeit drauf.

Ein Managed Server ist zwar teurer, aber man kann sich ganz auf die Software konzentrieren. Den Rest erledigt der Hoster.

Und technisch besteht immer die Möglichkeit, sensible Daten wie PNs auszulesen. Wenn jemand Zugriff auf die MySQL-Datenbank hat, kann er die Daten auch auslesen. Cracker illegal, Administratoren könnten dies in der Regel ganz legal tun, wenn sie die Sicherheitsbackups auslesen würden. Da hilft dann auch keine SSL-Verschlüsselung mehr. Die Überwiegende Anzahl an Webseitenbetreiber mach dies natürlich nicht und das ist auch gut so, da es natürlich verboten ist, jedoch habe ich in Rechtsforen schon Fälle gesehen, wo eben Administratoren die PNs ihrer User gelesen haben. Das ist ein absolutes NoGo.

Ich wollte damit nur einige allgemeine Dinge aufzeigen, was technisch möglich ist. Diese Aussage hat absolut keinen Bezug zu diesem Forum.

SSL würde ich hier aber trotzdem auch begrüßen.

Gruß Aridian
 
Wie gesagt, ich sehe die Schwachstelle im CMS. Da eben ein Mix aus absoluten und relativen URLs besteht, würde man so oder so recht schnell wieder auf die non-SSL-Version weitergeleitet werden.

Macht man nun einen redirect via .htaccess ergibt sich das Problem, dass man ein SSL-Zertifikat benötigt, das komplett ohne Zutun des Nutzers akzeptiert ist. Es muss keines mit Enhanced Validation sein, aber es darf eben keine Meldung erscheinen bzgl. der Zertifikatgültigkeit. Denn alles andere schreckt viele User ab, die es eben nicht so mit der Technik haben. Dazu kommen längere Seitenladezeiten. Nicht primär durch den stärker ausgelasteten Webserver sondern durch den nötigen Aufbau einer SSL-Verbindung.

Sicherlich wäre es generell wünschenswert, aber ich sehe auch nicht DEN Nutzen in der Aktion. Auch was Bankdaten angeht: Ich würde mir da wesentlich weniger Sorgen um die Übertragung (SSL ja/nein) machen als vielmehr um die Sicherheit des Servers selbst. So eine SQL-Injection ist für kriminelle wesentlich reizvoller.

Wie hoch ist schon die Chance, dass sich jemand in den Traffic einklinkt wenn ich die PN sende? Richtig, kaum vorhanden. Ausgenommen vielleicht ein Script-Kiddie will in einem I-Net-Cafe etwas testen. Aber in so einer Umgebung verschickt man ja auch keine Bankdaten. Die Chance eines Zugriffsversuchs auf die Datenbank, beispielsweise durch veraltete Softwareversionen und ein nicht richtig gepflegtes Server-OS, sollten Euch allen mehr Sorgen bereiten. Vor allem bei den ganzen Problemen hier auf der Seite.
 
Aridian schrieb:
Es gibt hier ja auch keine eigenen Fehlerseiten, die man leicht in 5 Minuten per .htaccess einrichten kann.
Zum Vergrößern anklicken....
Doch das ist schon möglich. Kam hier auch schon zum Einsatz...wohl nicht per .htaccess, da hier zumindestens auf den Loadbalancern ein nginx und kein Apache läuft, aber eingerichtet ist das auch in unter 5 Minuten...
Infos zu den Servern wurden übrigens hier mal gepostet: https://www.dslr-forum.de/showthread.php?t=1261671
Leider weiß ich nicht, ob das ein Managed Server ist oder ob die Administration alles selbst einrichtet.
Zum Vergrößern anklicken....
So wie ich das aus den Beiträgen der Administration, zu den letzten beiden Datenverlusten gelesen habe, ist dafür durchaus auch das Rechenzentrum zuständig. Deren Administratoren sollten eigentlich schon mit dem einrichten von SSL vertraut sein.
N1truX schrieb:
Wie gesagt, ich sehe die Schwachstelle im CMS. Da eben ein Mix aus absoluten und relativen URLs besteht, würde man so oder so recht schnell wieder auf die non-SSL-Version weitergeleitet werden.
Zum Vergrößern anklicken....
Auch die absoluten URLs sind nicht hardcoded, die werden halt dynamisch auf dem Server generiert. Soweit ich mich erinnere (die Zeit mit vBulletin ist schon was her) müsste hier einfach die neue URL mit https in der Konfiguration eingetragen werden.
Macht man nun einen redirect via .htaccess ergibt sich das Problem, dass man ein SSL-Zertifikat benötigt, das komplett ohne Zutun des Nutzers akzeptiert ist. Es muss keines mit Enhanced Validation sein, aber es darf eben keine Meldung erscheinen bzgl. der Zertifikatgültigkeit. Denn alles andere schreckt viele User ab, die es eben nicht so mit der Technik haben.
Zum Vergrößern anklicken....
Wie schon oft geschrieben: startssl bietet kostenlose Zertifikate, die von allen gängigen Browsern akzeptiert werden.

Ich würde mir da wesentlich weniger Sorgen um die Übertragung (SSL ja/nein) machen als vielmehr um die Sicherheit des Servers selbst. So eine SQL-Injection ist für kriminelle wesentlich reizvoller.
Zum Vergrößern anklicken....
Ist es das immer? Wenn man gerade die Möglichkeit hat vielen Leuten einen anderen DNS-Server unterzujubeln oder den Traffic anderweitig über eigene Server zu leiten und Man-in-the-middle zu spielen, dann sucht man nicht nach Möglichkeiten für SQL-Injections :top:

Es ist nunmal ein möglicher Angriffsvektor mehr ohne SSL, der das Forum damit insgesamt unsicherer macht.

Wie hoch ist schon die Chance, dass sich jemand in den Traffic einklinkt wenn ich die PN sende?
Zum Vergrößern anklicken....
Es reicht schon wenn Du nur nochmal in deinen Posteingang schaust. Oder man stiehlt Dir halt einfach deine Nutzerdaten und liest die PNs dann.
Oder man liest scorpios Nutzerdaten oder die eines Moderators mit...die müssen sich schließlich auch hier unverschlüsselt anmelden.
 
Pecos schrieb:
Oder man liest scorpios Nutzerdaten oder die eines Moderators mit...die müssen sich schließlich auch hier unverschlüsselt anmelden.
Zum Vergrößern anklicken....

Genau das ist uebrigens mit nahezu hundertprozentiger Wahrscheinlichkeit bereits mehrfach geschehen.
Und wenn das nicht sensibilisiert weiss ich auch nicht mehr weiter.
 
stopwideshut schrieb:
Genau das ist uebrigens mit nahezu hundertprozentiger Wahrscheinlichkeit bereits mehrfach geschehen.
Und wenn das nicht sensibilisiert weiss ich auch nicht mehr weiter.
Zum Vergrößern anklicken....

Solche Tatsachenbehauptungen können durchaus als geschäftsschädigend angesehen werden. Noch dazu macht's inhaltlich keinen echten Sinn weil hier ganz andere Dinge passiert wären wenn jemand Scorpios Account übernommen hätte.
 
Und die Moderatoren-Accounts bieten absolut keinen Zugriff auf fremde PN und dort eventuell abgelegte Kontakt- oder Kontodaten.

(Wenn ein Moderatoren-Account übernommen würde - merkt man das in aller Regel sehr schnell.)

LG Steffen
 
Zuletzt bearbeitet:
Backbone schrieb:
Solche Tatsachenbehauptungen können durchaus als geschäftsschädigend angesehen werden.
Zum Vergrößern anklicken....
Findest du?
Falls ja, waere aber nicht ich derjenige, der geschaeftsschaedigend agiert - ich sag ja nur die Wahrheit.

Was glaubst du denn, wieviele Stellen an Internetknoten routinemaeszig alles was nach username / password aussieht mitschneiden?
Ich kenne viele.

Dazu muss man auch keine NSA sein - das kann prinzipiell jedes AS, also prinzipiell jeder.

Die Passwoerter wurden (und werden) unverschluesselt durch die Gegend geblasen, also sind sie quasi oeffentlich, ausser scorpio wohnt im Rechenzentrum.

Backbone schrieb:
Noch dazu macht's inhaltlich keinen echten Sinn weil hier ganz andere Dinge passiert wären wenn jemand Scorpios Account übernommen hätte.
Zum Vergrößern anklicken....

Wieso? Wer sagt, dass damit gleich offensichtlich Bloedsinn getrieben wird? Entweder, man belustigt sich kurz, und steckt das zu den anderen paar Tausend Passwoertern, oder man wartet halt auf das richtige Angebot / die richtige Gelegenheit... Je nach Gesinnung.

Ganz ehrlich: es hat einen Grund, warum ueberall anders[tm] SSL eingesetzt wird.
Ich wuerde dir ja gerne beweisen, wie trivial das abfangen ist - aber das waere hierzulande ja leider eine Straftat. Daraus zu schliessen, dass das keiner macht.... waere aber arg naiv.
 
Zuletzt bearbeitet:
Ich sage nicht, dass SSL-Anmeldungen hier unnütz wären, im Gegenteil ich würde das sogar begrüßen. Unabhängig davon ist das hier die Privatshow von Scorpio, wenn er nicht will dann nicht.
Ganz unabhängig davon hast du mal eben behauptet dass es hier regelmäßig zu Einbrüchen kommt und indirekt unterstellt das die Leitung das eben so hinnimmt. Da du das nicht wissen kannst sondern allenfalls vermutest handelt es sich eben um eine unbewiesne Tatsachenbehauptung. Nur weil andere so was auch machen ist dir das nicht automatisch gestattet. Ich kenne durchaus Foren in denen man für sowas einfach kurzerhand raus fliegt. Und auch wenn immer gejammert und geschimpft wird, es ist eine ganz große Stärke des DSLR-Forums das hier auch solche Kontroverse Dinge sehr offen diskutiert werden ohne das das gleich abgewürgt wird.
 
unst schrieb:
trotzdem gibt es leider kein Statement des Betreibers zu der Angelegenheit, oder?
Zum Vergrößern anklicken....

Wozu auch? Hier wird nix verändert, das ist seit langem schon die Devise. Das hat auch überhaupt nix damit zu tun ob die Veränderungen sinnvoll wären oder nicht, es wird einfach nichts verändert. Schon gar nichts was mit Aufwand und eventuell sogar Kosten verbunden ist.

Ja, auch dieser Post wird wie alles kritische in letzter Zeit vermutlich binnen Minuten gelöscht werden, aber was solls...:top:
 
Pecos schrieb:
Das klingt so als würde das tatsächlich hin und wieder mal vorkommen?
Zum Vergrößern anklicken....

Ich kann mich an keinen konkreten Fall erinnern.

Was ich damit sagen wollte: das Handeln der Moderatoren ist immer mindestens von einem 4-Augen-Prinzip begleitet - in der Praxis kontrolliert sich das gesamte Team gegenseitig - insbesondere bei strittigen Sachverhalten.

Es würde also sehr schnell auffallen, wenn sich jemand plötzlich anders verhält als er eigentlich sollte.

LG Steffen
 
Backbone schrieb:
Ganz unabhängig davon hast du mal eben behauptet dass es hier regelmäßig zu Einbrüchen kommt und indirekt unterstellt das die Leitung das eben so hinnimmt.
Zum Vergrößern anklicken....

Oh, da hast du mich falsch verstanden.
Ich habe nicht behauptet, dass es hier regelmaeszig zu Einbruechen kommt.
Ich habe behauptet, dass regelmaessig Logindaten mitgeschnitten werden. Ist ja auch kein Wunder, wenn die unverschluesselt rumgeschoben werden. Was man dann damit macht, ist ja wohl eine ganz andere Geschichte.

Und ich unterstelle nicht, dass die Leitung das eben so hinnimmt - ich unterstelle, dass die Moeglichkeit des Passwortmitschneidens nur als theoretisch angenommen wurde; und gar nicht bewusst ist, wie oft sowas gemacht wird und wie einfach sowas geht.
 
x-berger schrieb:
Jede andere Aussage würde vom Chef ja wohl auch sofort mit dem Vorwurf der Geschäftsschädigung belegt werden.
Zum Vergrößern anklicken....

Ich kann durchaus für mich selbst sprechen - aber ich ziehe es eben vor, nicht für andere sprechen zu wollen.

Ich brauche aber auch keinen Papagei, der Dinge in meine Worte hineininterpretiert, die so nicht gesagt wurden.

Wenn ich sage, mir sind keine Fälle bekannt, so entspricht das ganz einfach meinem aktuellen Kenntnisstand - für die Zeitperiode, in der ich das überblicken kann - also solange ich hier als Moderator tätig bin.

LG Steffen

PS: Das arme Schwein, das mein Passwort knackt und (hypothetisch) unerkannt damit durchkommt täte mir übrigens herzlich leid - weil es dann eine ganze Menge Arbeit wegzutragen hätte ohne den geringsten Gewinn. Aber das nur am Rande... ;)
 
Zuletzt bearbeitet:
Steffen Rentsch schrieb:
Zur Absicherung welcher Daten? Zahlungsinformationen, Adressen, etc. aus Handelstransaktionen sind als PN niemandem außer den unmittelbar Beteiligten zugänglich.
LG Steffen
Zum Vergrößern anklicken....

Davon bin ich bis jetzt immer ausgegangen und habe diese Daten deswegen in/unparanoid übermittelt, obwohl ich diesbezüglich schon übervorsichtig bin bzw. solche Daten nicht übers Internet mitteile. Wenn dann die Daten von beiden Seiten (Verkäufer-Käufer), also das Postfach, gelöscht wird, dürfte es sicher sein. Aber zwischen Übermitteln und Löschen vergeht eine Zeitspanne.
 
Ich denke, es geht einfach darum, ein Forum mit fast 400.000 Mitgliedern und über 11 Millionen Beiträgen durch SSL etwas sicherer zu machen. Über diesen Wunsch der Mitglieder sollte man durchaus mal offen nachdenken. Klar können Script-Kiddies per BF versuchen, Passwörter zu knacken, aber es ist halt einfacher den Datenstrom, der unverschlüsselt zwischen Host und Client übertragen wird, abzufangen. Natürlich verschlüsselt VB die Passwörter und diese sind auch verschlüsselt in der DB abgelegt. Aber das Passwort selbst überträgt man erst einmal unverschlüsselt vom Client zum Host ohne SSL. Mit SSL würde auch diese Verbindung und damit auch das Passwort verschlüsselt übertragen werden. Es ist ein offenes Geheimnis unter Webadmins und Forenbetreiber, dass eine Seite ab einer gewissen Größe interressant wird und das nicht nur für zwielichtige Personen und diese Größe hat das Forum hier schon bei Weitem überschritten ;)
 
Zuletzt bearbeitet:
Mithilfe der Benutzernamen/Passwörter kann ein Angreifer auch haufenweise Werbung/Spam oder andere Verstöße gegen die Nutzungsbedingungen verbreiten, und das ganze unter anderem Namen.
Für die Nutzer selbst gibt es hier keine Möglichkeit sich zu schützen.
 
Fände es auch sinnvoll SSL einzusetzen. Und hierbei finde ich, geht es aber nicht um die Frage warum dies eingesetzt werden sollte. (Diese Diskussion finde ich im übrigen lächerlich)

Es geht ganz einfach um den Schutz von Daten. Ob dies "nur" Passwörter, Email-Adressen oder gesamte Bank - Transaktionen sind, 2013 sollten Daten verschlüsselt übertragen werden. Dies ist technisch kein Problem, hier im Forum eher eine Sache des Wollens.

Warum sollte man seinen Nutzern denn nicht ein wenig mehr an Sicherheit geben, wenn dies mit einigermaßen geringen Aufwand zu erledigen ist. Klar heißt es immer, dass man für jeden Login neue Passwörter verwenden soll, aber ich könnte wetten das 65%+ der Passwörter die hier im Forum abgefangen werden können auch bei andern Logins benutzt werden.

P.S.: Was ich im übrigen hier im Forum sehr Schade finde, ist der Umgang mit Vorschlägen. Ich habe den Eindruck, dass immer versucht wird nichts zu ändern, anstatt auf Anregungen einzugehen. Vielleicht lässt sich das in Zukunft ja ändern.
 
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten