https verbindung auf den webserver der touareg freunde

  • weg`s passwordverschlüsselung? sicherlich ist das hier "nur" ein forum ohne irgendwelcher sicherheitsrelevanten inhalte. war ja auch nur `ne frage.

    dürfte ich aber rein interessehalber mal fragen, wieviele benutzerprofile/identitäten habt denn ihr so im netz angelegt?

    gruß bub
    derwei derwei

    Einmal editiert, zuletzt von bub (24. August 2009 um 13:08)

  • was ich meinte, war, daß jemand die anmeldung am forum mitschneiden kann (man in the middle attack) und so benutzerkennungen plus die dazugehörigen passwörter mitschneiden kann.
    es ist nicht auszuschließen, daß sich einige user in diesem forum mit den selben anmeldedaten anmelden, als wie sie es auch bei e-bay bei der bank oder sonst wo machen. wer hält denn schon für jede anmeldung im world wide web einen seperaten anmeldenamen und ein dazugehöriges passwort bereit. da käme man schnell auf 5 bis 10 identitäten.
    nichts für ungut. war ja bloß `ne frage.

  • Naja, es ist sicherlich nicht auszuschließen, dass sich hier viele mit demselben Password anmelden, dass sie auch für allerlei andere Dienste verwenden und eine Verschlüsselung würde es schon sicherer machen, allerdings sollte sich jeder darüber im Klaren sein, dass vielleicht auch eine Website/ein Forum(*) ausschließlich zu dem Zweck betrieben wird, solche mehrfach verwendeten Passwörter und die dazugehörigen User ausfindig zu machen. So braucht es keinen Man in the Middle, der am anderen Ende ist der krumme Hund.

    Andersrum gesagt: Wer ein und dasselbe Passwort für mehrere Accounts verwendet ist bei Missbrauch selber schuld.
    Es würde ja auch niemand auf die Idee kommen, nur ein und denselben Schlüssel für Haus, Büro, Auto, Geldkassette zu verwenden – und dann auch noch Name und Anschrift auf den Anhänger zu schreiben.

    Gruß

    Frank

    (*) Die TF sind sicherlich kein solches Forum

  • Die Passwörter werden MD5 verschlüsselt in der DB abgelegt. Eine SSL Verschlüsselung, also eine Verbindung über HTTPS zum Server ist auch machbar, hatten wir auch schon einmal auf dem "alten" Server. Nur macht eine reine HTTPS Verbindung keinen Sinn ohne ein verifiziertes Zertifikat einer vertrauenswürdigen Instanz.

    Ohne ein solches kannst du zu jedem Server eine HTTPS Verbingung aufbauen ohne das du mit Sicherheit sagen kannst ob das wirklich die TF sind oder ein fremder Server. Also wenn du Security haben willst, müssen wir / du folgendes machen.

    Dein Rechner muss 100% SAVE sein, du musst DNSSEC verwenden und die DOMAIN müssten ebenso authentifiziert sein. Dann brauchen wir einen gehärteten Server (ok das haben wir) und ein beglaubigtes ROOT Zertificat damit wir dem APACHE Server eine vernünftige SSL Verbindung aufbauen können. Dann und erst dann kannst du eine MAN IN THE MIDDLE Attacke ausschließen.

    lg
    Eric

  • ja, danke. das szenario war ja nur als beispiel gedacht.
    ich wollte in keinster weise irgend jemanden irgendwelche fähigkeiten absprechen, bzw. auch niemanden zu nahe treten.
    sorry wenn das unterschwellig so verstanden wurde.
    wie schon geschrieben:
    es war nur eine frage;-)
    nichts für ungut
    derwei derwei
    bub

  • Mach dir mal keinen Stress, deine Frage hat wohl niemand als Kritik verstanden.
    Das Thema ‚Sicherheit im Internet‘ (ist das ein Oxymoron?) ist eben sehr komplex und kann nicht mit einer sicheren Verbindung alleine erschlagen werden.

    Gruß

    Frank