Da hast du Recht.
Eigentlich können wir über den TT Kern kaum oder gar nicht urteilen.
Daher bin ich um so mehr gespannt, wie es hier weitergeht.
Sicherheitskritisches Problem! - HTTPS fehlt beim login
-
-
-
Irgendwann wird das Forum wegen nicht gepachter Sicherheitslücken gehackt und alles ist aus. Hab ich schon in mehreren Foren erlebt.
-
Wobei es bei TT im gründe nichts zu holen geben sollte.
Also warum sollte es gehackt werden.
Aber grundsätzlich hast du Recht. -
Scriptkiddies, nur der Spaß daran.
-
Achso ja. Erinnert mich an unseren früheren Informatik-Unterricht.
Was passiert mit dem Server wenn man ihm einen riesen Haufen unsinniger, nicht wichtiger Aufgaben schickt. -
Zitat
Original geschrieben von klausN80X
Ja sicher ist https sicherer, aber nochmal die Frage:
Was genau soll den bei TT geschützt werden?Die Zugangsdaten der Benutzer, die Clients der Benutzer, die proivate Kommunikation der Benutzer.
ZitatOriginal geschrieben von klausN80X
Die Nicknemen und Passwörter?
JaZitatOriginal geschrieben von klausN80X
Die Posts, die auch ohne Anmeldung jeder lesen kann?
Die Umfragen, die auch so jeder sehen kann?
Selbstverständlich nicht, da diese an die öffentlichkeit geschickt werden.ZitatOriginal geschrieben von klausN80X
Private Nachrichten, die idR eh keine relevanten Infos beinhalten?
Ja, selbstverständlich! Usability sagt dem "durchschnittlichen" Benutzer, dass etwas was private Nachricht heißt auch privat ist. Wenn das nicht geschützt ist und somit nicht privat, ist so etwas auch gerichtlich in ein Rechtsstreit nicht haltbar.
In PNs werden Kontodaten und Adressen bei privatverkäufen im Biete/Suche Forum geteilt.
In PNs werden Kundennummern von kundenaccounts geteilt. Verbunden mit der E-Mail adresse die man im account hier einsehen kann und das Passwort welches im Klartext durchs internet geschickt wird sind damit aufgrund der Tatsache, dass der Homo Sapiens dazu neigt überall das gleiche Passwort ein zu setzen schon sehr kritische Sachen möglich!ZitatOriginal geschrieben von klausN80X
Die Handyhistorie, die eher unspektakulär ist?
Oder die Signaturen, die auch jeder einsehen kann?
So etwas ist doch öffentlich - wie die posts. Darum gehts doch gar nicht.ZitatOriginal geschrieben von klausN80X
Am Ende würde https wohl eher https schützen, genial!
Das rechtfertigt die Umstellung eines zunehmend rückläufig frequentierten Forums. :top:
(Sorry für meinen Sarkasmus, aber ich bin mir relativ sicher das ihr den Funken Wahrheit darin finden werdet.)Hä? HTTPS nutzt TLS um den Payload zu schützten. Man nutzt nicht TLS um TLS ab zu sichern. Was ist den das für eine blödsinnige Aussage?
Weiterhin sagst du offensichtlich sarkastisch, dass es sich nicht lohnt dieses forum durch vollständlich kostenfreie Umstellung des HTTP-Servers (hat nichts mit der veraltenen vbulletin software zu tun) weil dieses forum eh ausstirbt? Also lieber unsicher sterben lassen anstatt das der Admin mal 30Min Zeit investiert und den Apache Version 1.3.41 HTTP-Server auf HTTPS aktualisiert?
Stattdessen sollte er weiterhin eher die Zeit darin investieren, Beiträge von User falsch ein zu Ordnen (er hat meinen alten Beitrag in "neue Forensoftware" Thread geschoben obwohl jeder weiß, dass die Forensoftware idr. von der HTTP-Serversoftware unabhängig ist).
Außerdem möchte ich gerne wissen warum um himmels willen der Verweis in meinen ersten Post auf LetsEncrypt mit XXX ersetzt wurde. LetsEncrypt ist kein gewinnorientierter CA(certificate authority) sondern ein gemeinnütziger Zusammenschluss vieler Individuen die einzig und allein "Geld ins Projekt stecken" um das Internet sicherer zu machen.
Verweis auf letsencrypt ist ebenso wenig werbung wie ein verweis auf wikipedia oder ein verweis auf firefox.
Zitiert lieber alle facebook-links oder sonstigen gewinnorientierten blödsinn dessen Geschäftsbedingungen die Grundrechte in Deutschland verletzen (Urteile zum Thema kann ich verlinken falls gewünscht). -
Zitat
Original geschrieben von klausN80X
Wobei es bei TT im gründe nichts zu holen geben sollte.
Also warum sollte es gehackt werden.Ich würde ein Abendessen darauf wetten, dass die Passwörter im Klartext oder wenn überhaupt miserabel gehasht werden.
Somit hätte man benutzernamen + e-mail adressen + passwörter. Das stellt schon einen wert dar. Insbesondere da die benutzerdatenbank nicht aus "finanziell schwache kinder" sonder eher aus "erwachsene fachleute" besteht. Somit haben die Daten in der TT-Datenbank auch einen höheren Wert.Wer den Server hacken möchte kann sich mal CVE's wie z.B. CVE-2010-0010 ansehen. Damit wäre auf dem server Code Execution möglich. Und hoffentlich versucht der Admin jetzt nicht sinnfreies "security by obscurity" indem er diese faktische Info aus meinem Post löscht. Den diese hat man innerhalb von Sekunden wenn man auch nur das geringste von sicherheit versteht.
-
Gut gesprochen. Aber wie schon viele geschrieben haben, wird hier wohl nicht mehr viel passieren. Leider.
Aber auch ich lasse mich natürlich gern von etwas besserem belehren. -
Dann muss dieses Forum schlenigst geschlossen werden!
Hier wird schon Traffic der User auf Pornoseiten umgeleitet: http://telefon-treff.de/showthread.php?s=&postid=5738385
Ich werde entsprechende E-Mails ans Bundesamt für Sicherheit in der Informationstechnik(BSI), heise, golem, netzpolitik.org usw. senden, dass hier nachweislich sehenden Auges und damit BEWUSST personenenbezogene Daten völlig ungeschützt durchs Internet übetragen werden, die Server nicht gewartet werden und Sicherheitslücken aufweisen und meldungen diesbezüglich ignoriert werden.
Damit treten die Admins nämlich in rechtliche Haftung für gestohlene Daten!
Das ist einfach eine Unverschämtheit seitens der Admins meldungen diesbezüglich einfach zu ignorieren.
Hier sind stand gerade laut Forensoftware folgende Anzahl an Benutzer registriert: 222243
Das ist einfach krank eine Datenbank dieses Ausmaßes so ins Internet zu stellen.
-
Die Umleitung auf ne Pornoseite war entweder ein Werbenetwerk was auch woanders passieren kann oder wahrscheinlicher was auf dem PC. Krank würde ich das nicht nennen, nur nachlässig. Und wenn man nix machen will kann man immerhin nen Reverse Proxy mit SSL drüber legen, dann ist es zumindest sicherer.
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!