Passwort Änderung Dringend Notwendig

Das müßt ihr euch geben ich wurde für für die Seite "Passwort dringend ändern gesperrt!"

Hier herrscht wohl Kriegsrecht, auch recht!

Nun läuft ja alles seine Bahnen.
Kommen wir zu den Briefmarken zurück

Gruß

Belsazar

Ich stelle hier einmal die Frage nach der Sicherheit der Forensoftware Burning Board.

Auf deren Website habe ich folgende Aussage gefunden, Zitat:

[I]"Burning Board verwendet spezielle Techniken zur Verschlüsselung der Benutzerkennwörter, an denen sich auch versierte Angreifer die Zähne ausbeißen. Machen Sie dank Burning Board aus Ihrem Forum einen Hochsicherheitstrakt!"[/I]

Ich bezeichne mich PC mäßig und anwendungsmäßig als fortgeschritten. Meine PCs baue ich mir selbst und brauche für eigentlich nix fremde Hilfe. Nur von Programmierung habe ich keinen blassen Schimmer.
Deshalb sei mir die Frage gestattet und vielleicht auch verziehen, ob die Forensoftware auf Grund der aktuellen Ereignisse das halten kann was sie (siehe Zitat) verspricht.
Ich denke, dass es an der Zeit wäre sich über einen Wechsel der Forensoftware Gedanken zu machen.

Hallo Peter,

Zitat

Original von PW0001
"Burning Board verwendet spezielle Techniken zur Verschlüsselung der Benutzerkennwörter, an denen sich auch versierte Angreifer die Zähne ausbeißen. Machen Sie dank Burning Board aus Ihrem Forum einen Hochsicherheitstrakt!"[/I]

Das ist doch mal wieder eine PR-Rormulierung der übelsten Sorte. Wer das ernst nimmt, der glaubt wahrscheinlich auch, dass die Milch der Milka Schokolade wirklich von lila Kühen stammt.

Zitat

[i]Original von PW0001

Zitat

Ich denke, dass es an der Zeit wäre sich über einen Wechsel der Forensoftware Gedanken zu machen.

Ich bin zwar Laie auf dem Gebiet, gehe aber mal davon aus, dass auch bei fast jeder anderen Forensoftware (genau wie bei jedem Betriebssystem und jedem Browser) regelmäßig Sicherheitslücken aufgedeckt werden.

Gruß
Tom

@CHDDK

Harald, Du kommst Dir sehr schlau vor ..

Ich denke überhaupt nicht daran, mir irgendwelche komplizierten Kennworte auszudenken. Eine Software muß so gut sein, daß die Kennworte sicher sind !!

Man hinterläßt im Internet immer Spuren.
Auch Dein Name und Deine Adresse sind allgemien bekannt und im Internet nachzulesen.

Viele Grüße aus Helsinki

CCCCCC

@: CCCCCC
Ich möchte mich ja nun hier wirklich nicht als Sittenwächter aufspielen, aber zu Deiner Überschrift möchte ich dann doch einmal hinweisen auf

02.0 Umgangsform
Das Board pflegt einen kultivierten, zivilisierten und freundschaftlichen Umgangston. Es ist nicht gestattet Beiträge zu verfassen, die obszön, vulgär, sexuell orientiert, rechtsradikal, abscheulich, beleidigend oder bedrohlich sind oder gegen jegliches Gesetz verstoßen würde.

Kein Mensch will in diesem Forum irgendeine Art von Zensur, ich kann mir den Aufschrei aus allen Ecken vorstellen, wenn solche Beiträge gelöscht werden. Regelmäßig gehen hier in diesem Forum Tiefschläge unter die Gürtellinie. Und meist sind es immer dieselben Mitglieder, die "üblichen Verdächtigen"

Also besinnen wir uns doch einmal darauf, warum wir hier sind! In aller Regel sind hier doch erwachsene Menschen, die einem schönen Hobby, der Philatelie, nachgehen. Wir sind nicht in einem x-beliebigen Forum, in welchem sich pubertierende Jugendliche gegenseitig Beleidigungen an den Kopf werfen.

Es gibt leider auch hier Personen, deren fachliche Qualität zweifellos hoch ist, deren menschliches Verhalten ich jedoch nicht nachvollziehen kann! Kritik ist ja in Ordnung, aber kann man diese Kritik nicht so formulieren, wie ich es jetzt hier mache?

Rainer

Sind wir hier im Kindergarten, brauch ich deine Belehrungen.
Nö.

Harald

Zitat

Kannst mir ja mal schreiben, gerne auch einen beleidigenden Drohbrief oder so

Du bist ja ein richtiger Held. Den Gefallen werde ich dir allerdings nicht tun.

CCCCCC

PS.: Mein Kennwort besteht nur aus 2 Buchstaben.
Gut zu merken. 'C' kommt auch vor !!

Wer es knackt, kann es gerne veröffentlichen.

Viererblockjunky: es gibt (gab?) sicherlich auch User, die mit dem selben Passwort bei Ebay oder Paypal unterwegs sind. Dass sich damit ungleich mehr Schaden anrichten lässt, als mit ein paar sinnentleerten Postings (die hatten wir die letzten Tage eh schon genug), sollte auf der Hand liegen.

Hallo zusammen,

noch ein kleiner Trost in dieser Sache zum Abschied von dem Thema. Viele Seiten auf denen es auch um Geld geht, tatsächlich auch bei Ebay und Paypal, kann man kein Passwort mit vier Stellen verwenden, ohne bei jedem Login mit einer Warnung belästigt zu werden.

Ich glaube es ist auch bei Ebay eine Anzeige über die Sicherheit des Passworts beim Anmeldevorgang zu sehen. Benutzt meinen Passwortgenerator und testet, was Ebay dazu sagt.

Zu CCCCCC, wie jeder sehen konnte, war dein Passwort nicht 2 Stellen lang, sondern 9 Stellen. Es wurde trotzdem geknackt, weil es ein Wort aus einem Wörterbuch ist. Selbst wenn noch zwei oder drei Zahlen eingeflochten gewesen wären, wäre es geknackt worden.

Noch einmal zu der Schuldfrage.

1. Selbstverständlich sind nicht Benutzer mit "unsicheren" Passworten am Hackerangriff schuld. Diese Benutzer setzen sich nur, entgegen aller Warnungen, vermeidbaren Risiken aus.

2. Eine Software, die durch eine sogenannte SQL Injection, um Daten beraubt werden kann, ist sehr schlecht programmiert. Das schreibe ich nicht weil ich die Autoren beleidigen will, sondern weil Gegenmaßnahmen kinderleicht sind und in jedem Lehrgang, gleich in den ersten Lektionen behandelt werden. Ich vermute daher, die Mitarbeiter des Scipterstellers haben nie Lehrgänge besucht.

Da dieses Thema hier ohnehin nichts mit Philatelie zu tun hat, zähle ich hier ein paar Standardmaßnahmen auf.

Alles was von Außen kommt ($_GET und $_POST) und eine Datenbank benutzt wird, muss zunächst mit mysql_real_escape_string() behandet werden. Der nächste Punkt ist, wenn ich eine GET oder auch POST Variable habe, die zum Beispiel "Action" heißt und deren Wert "zufügen", "ansehen", "ändern" oder ähnlich haben kann, dann frage ich genau auf die Werte ab. In der Beispielzeile unten, stark abgewandelt und unbrauchbar, ist beispielhaft gezeigt, dass eine Variable namens ID, die einen numerischen Wert haben sollte, mit Schadcode gefüllt wird.
http://philaforum.de/shop.php?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ID=23

Es ist die Stelle nach dem Fragezeichen. Ich frage Felder auf Inhalt und Länge ab. Dafür habe ich eine standardisierte Funktion geschrieben. Die erfragt Feldtyp und Länge aus der Datenbank-Tabelle. Ändere ich dort etwas, wird das im laufenden Programm berücksichtigt. Wird nun die Länge überschritten oder die Inhalte passen nicht zum Typ (ich erwarte Zahlen, da steht aber "UPDATE+ ...) dann gebe ich eine Fehlermeldung aus oder ignoriere die ganze Anfrage.

Also werden die eingehenden Daten maskiert, dann validiert. Dann kommt die nächste Funktion. Die prüft auf Worte wie "UPDATE+". Vorher wird noch aus eventuellem HTML-CODE das ASCII-Zeichen gemacht. Es wird auch Groß-/Kleinschreibung ignoriert. Zusätzlich, gegen andere Angriffe gerichtet, werden die Daten mit htmlspecialchars() behandelt.

Was hier kompliziert und zeitaufwändig aussieht, ist Kinderkram. Man schreib eine Funktion, die wird bei jedem Datenempfang verwendet. Das ist alles.

Statt if (isset($_POST[feldname])) {$variable=$_POST[feldname];} schreibet man dann
if (isset($_POST[feldname])) {antihack($variable=$_POST[feldname]);}

Ich will euch nicht noch mit dem Code der Funktion langweilen. Ich mache auch noch andere kleine Maßnahmen. Es gibt auch ersatzweise andere, genauso wirksame Methoden, die einen Angriff dieser Art 100% sicher verhindern.

Ansonsten kann man noch über den Interessenkonflikt zwischen guter Lesbarkeit und Sicherheit beim Programmieren reden. Wenn ich statt ...php?aktion=ansehen schreibe ...php?a2=3 wird es ein Hacker schon viel schwerer haben. Nehme ich POST statt GET habe ich auch einen kleinen Vorteil. Noch ein Tipp, ich kann auch alles in $_SESSION Variable schreiben. Wer einmal auf meiner Seite eine Stunde zum Essen war und davor eine Arbeit gemacht hatte, die er danach beenden wollte, wird sicher gedacht haben mein Programm wäre fehlerhaft, weil die Weiterarbeit im Nichts endete. Das war aber nur eine gewollte Sicherheitsmaßnahme.

Also, die Schuld, die Möglichkeit den Schadcode zur Ausführung zu bringen, trifft den Hersteller des Scripts. Der freilich schreibt in seinen Benutzungsbedingungen, dass er für nichts garantiert. Das ist sein gutes Recht, er verschenkt ja sein Werk und sieht finale Tests nicht als seine Aufgabe an.

Die tatsächliche Schuld trifft den Benutzer des unsicheren Scriptes, also den Anbieter des Web-Auftrittes. Mit einfachen Programmierkenntnissen, kann man das Programm sicher machen.

Ich verstehe nichts vom Programmieren und daran wird sich sehr wahrscheinlich nichts ändern. Ich kann also mit dem von Dir, @stampx, nichts anfangen.

Aber ich hoffe doch, Du hast unseren Forenbetreibern die Hilfestellung beim Ausbessern der Software gegeben, die sie brauchen, um solche Probleme in Zukunft von uns fernzuhalten.

Und wenn nicht: bitte mache es noch!

Zitat

Original von CCCCCC
Sind wir hier im Kindergarten,.....

Nein, sind wir nicht, weil dort Erziehungsbemühungen manchmal fruchten.

Altsax

Hallo Wawelgeist,

es gab wohl schon Unterstützung von einem Fachmann. Mein Text oben gibt auch schon genügend Hinweise und wer Informationsbedarf hat, kann mich einfach fragen. Bei mir sollte es einen Knopf "EMAIL" geben. Wer dort klickt, kann mir schreiben.

Hallo ! Hier gehts ja ab !

Hab solche aufregenden Szenen in Foren und Chats bisher 2-3 mal erlebt.
2 mal durch Eingriffe von außen (Hacks)
und einmal durch Angriffe von Innen (Idioten).

Ein Hack von außen führt nach meiner Erfahrung immer zu einem Angriff von innen.

Selbst erfahrene Foren-user werden durch Situationen, die sie nicht einschätzen können zu Brennholzproduzierer.
Das angerichtete Feuer(schaden) ist meist nicht so groß wie erwartet.
Und trotzdem flüchtet so mancher aus Angst vor dem Brand.
Leider sind das häufig wertvolle aktiv Mitglieder.
Jedoch kann natürlich eine glimmende Zigarette einen rießigen Waldbrand verursachen.

Mitschuld wegen Passwortlänge ? Ist meiner Meinung nach Privatsache und in etwa so als ob ich meine Haustüre offenstehen lasse Sie zusperre oder mit nem Sicherheitsschloß und ner Selbstschußanlage ausstatte.
Kommt auf die Gäste an die Ich erwarte.

zur Fehlerbehebung: Danke @ stampx finde deine technischen Beiträge informativ und warte gespannt darauf ob dein MD5 Code gecknackt wurde.

Danke auch den Verantwortlichen für ihr ruhiges Gemüt.

zum Hack: Wurde per Mail informiert. War mir der Veröffentlichung aber nicht bewusst. Das ist echt krass.

Aber wohl nichts besonderes (hacktechnisch gesehen)

Frage:
Wieso werden immer diejenigen geärgert, die sich darüber aufregen ?
- Weil sie eine Reaktion zeigen.

was passiert wohl, wenn der Junge na im schlimmstenfall ne Geldstrafe kriegt, die seine Mutter berappen muss.

Er wird es sicherlich seinen Gesinnungsgenossen mitteilen und die könnten auf die Idee kommen mal ernsthaft Hacken zu gehen.

VORSICHT SARKASMUS

Hackerszene gegen Philatelieforum.

Ich glaube beim Programm Know How haben die einen Vorteil,
aber beim Durchhaltevermögen und beim Fehler entdecken sind sie gnadenlos unterlegen.

Besinnen wir uns auf unsere Stärken und versuchen wir unsere Fehler (Forum) auszubügeln. Auf das wir den Vorfall abstempeln können und in unsere Sammlung mit aufnehmen.

PS.: zum Glück haben wir ja schon ein paar Agenten bei Ihnen eingeschleußt

PPS.: -Wie sind die auf uns gekommen ?
-Haben wir hier einen Doppelagenten?
-Wer iss hier paranoid ?

Liebe Grüße Blähboy.

PEACE

Zitat

Original von Blähboy
PPS.: -Wie sind die auf uns gekommen ?
-Haben wir hier einen Doppelagenten?
-Wer iss hier paranoid ?

Das ist eigentlich ganz einfach. Da hat ein Bubi die Info erhalten, dass ein bestimmtes Skript (die shop.php ist hier gemeint) eine extreme Sicherheitslücke hat. Er hat über Google nach der Zeichenfolge shop.php?action=anschauen in der jeweiligen URL der Seite suchen lassen. Da ist er auf dieses Forum gekommen.

Da er die Lücke im Skript kannte, war es ihm mit einem kleinen selbstgestrickten Skript möglich, alle User anzeigen zu lassen und das verschlüsselte PW abzuspeichern.

Daraus hat er die Liste mit den über 3000 Usern gestrickt. Dann geht man bei und schnappt sich die md5-verschlüsselten PW's und schaut im Netz auf den einschlägigen Seiten, ob's dafür in einer Bibliothek schon eine "Lösung" gibt.

In über 700 Fällen war dem so. Und eben das zeigt, dass die gewählten PW's der User durchaus als unsicher bezeichnet werden können.

Ich hoffe, dass aerotech den Shop erst wieder online stellt, wenn die Lücke dort geschlossen ist. Denn durch die Präsenz dieser URL in der Hackerszene und deren Foren ist damit zu rechnen, dass weitere Versuche gestartet werden nach dem selben Prinzip.

Gruß Mike