Sicherheitskritisches Problem! - HTTPS fehlt beim login

Zitat

Original geschrieben von klausN80X
Ja sicher ist https sicherer, aber nochmal die Frage:
Was genau soll den bei TT geschützt werden?

Die Zugangsdaten der Benutzer, die Clients der Benutzer, die proivate Kommunikation der Benutzer.

Zitat

Original geschrieben von klausN80X
Die Nicknemen und Passwörter?

Ja

Zitat

Original geschrieben von klausN80X
Die Posts, die auch ohne Anmeldung jeder lesen kann?
Die Umfragen, die auch so jeder sehen kann?

Selbstverständlich nicht, da diese an die öffentlichkeit geschickt werden.

Zitat

Original geschrieben von klausN80X
Private Nachrichten, die idR eh keine relevanten Infos beinhalten?

Ja, selbstverständlich! Usability sagt dem "durchschnittlichen" Benutzer, dass etwas was private Nachricht heißt auch privat ist. Wenn das nicht geschützt ist und somit nicht privat, ist so etwas auch gerichtlich in ein Rechtsstreit nicht haltbar.
In PNs werden Kontodaten und Adressen bei privatverkäufen im Biete/Suche Forum geteilt.
In PNs werden Kundennummern von kundenaccounts geteilt. Verbunden mit der E-Mail adresse die man im account hier einsehen kann und das Passwort welches im Klartext durchs internet geschickt wird sind damit aufgrund der Tatsache, dass der Homo Sapiens dazu neigt überall das gleiche Passwort ein zu setzen schon sehr kritische Sachen möglich!

Zitat

Original geschrieben von klausN80X
Die Handyhistorie, die eher unspektakulär ist?
Oder die Signaturen, die auch jeder einsehen kann?

So etwas ist doch öffentlich - wie die posts. Darum gehts doch gar nicht.

Zitat

Original geschrieben von klausN80X
Am Ende würde https wohl eher https schützen, genial!
Das rechtfertigt die Umstellung eines zunehmend rückläufig frequentierten Forums. :top:
(Sorry für meinen Sarkasmus, aber ich bin mir relativ sicher das ihr den Funken Wahrheit darin finden werdet.)

Hä? HTTPS nutzt TLS um den Payload zu schützten. Man nutzt nicht TLS um TLS ab zu sichern. Was ist den das für eine blödsinnige Aussage?

Weiterhin sagst du offensichtlich sarkastisch, dass es sich nicht lohnt dieses forum durch vollständlich kostenfreie Umstellung des HTTP-Servers (hat nichts mit der veraltenen vbulletin software zu tun) weil dieses forum eh ausstirbt? Also lieber unsicher sterben lassen anstatt das der Admin mal 30Min Zeit investiert und den Apache Version 1.3.41 HTTP-Server auf HTTPS aktualisiert?
Stattdessen sollte er weiterhin eher die Zeit darin investieren, Beiträge von User falsch ein zu Ordnen (er hat meinen alten Beitrag in "neue Forensoftware" Thread geschoben obwohl jeder weiß, dass die Forensoftware idr. von der HTTP-Serversoftware unabhängig ist).
Außerdem möchte ich gerne wissen warum um himmels willen der Verweis in meinen ersten Post auf LetsEncrypt mit XXX ersetzt wurde. LetsEncrypt ist kein gewinnorientierter CA(certificate authority) sondern ein gemeinnütziger Zusammenschluss vieler Individuen die einzig und allein "Geld ins Projekt stecken" um das Internet sicherer zu machen.
Verweis auf letsencrypt ist ebenso wenig werbung wie ein verweis auf wikipedia oder ein verweis auf firefox.
Zitiert lieber alle facebook-links oder sonstigen gewinnorientierten blödsinn dessen Geschäftsbedingungen die Grundrechte in Deutschland verletzen (Urteile zum Thema kann ich verlinken falls gewünscht).

Zitat

Original geschrieben von klausN80X
Wobei es bei TT im gründe nichts zu holen geben sollte.
Also warum sollte es gehackt werden.

Ich würde ein Abendessen darauf wetten, dass die Passwörter im Klartext oder wenn überhaupt miserabel gehasht werden.
Somit hätte man benutzernamen + e-mail adressen + passwörter. Das stellt schon einen wert dar. Insbesondere da die benutzerdatenbank nicht aus "finanziell schwache kinder" sonder eher aus "erwachsene fachleute" besteht. Somit haben die Daten in der TT-Datenbank auch einen höheren Wert.

Wer den Server hacken möchte kann sich mal CVE's wie z.B. CVE-2010-0010 ansehen. Damit wäre auf dem server Code Execution möglich. Und hoffentlich versucht der Admin jetzt nicht sinnfreies "security by obscurity" indem er diese faktische Info aus meinem Post löscht. Den diese hat man innerhalb von Sekunden wenn man auch nur das geringste von sicherheit versteht.

Dann muss dieses Forum schlenigst geschlossen werden!

Hier wird schon Traffic der User auf Pornoseiten umgeleitet: http://telefon-treff.de/showthread.php?s=&postid=5738385

Ich werde entsprechende E-Mails ans Bundesamt für Sicherheit in der Informationstechnik(BSI), heise, golem, netzpolitik.org usw. senden, dass hier nachweislich sehenden Auges und damit BEWUSST personenenbezogene Daten völlig ungeschützt durchs Internet übetragen werden, die Server nicht gewartet werden und Sicherheitslücken aufweisen und meldungen diesbezüglich ignoriert werden.

Damit treten die Admins nämlich in rechtliche Haftung für gestohlene Daten!

Das ist einfach eine Unverschämtheit seitens der Admins meldungen diesbezüglich einfach zu ignorieren.

Hier sind stand gerade laut Forensoftware folgende Anzahl an Benutzer registriert: 222243

Das ist einfach krank eine Datenbank dieses Ausmaßes so ins Internet zu stellen.