Flippermarkt.de - Das FlipperForum  
Zurück   Flippermarkt.de - Das FlipperForum > Das Forum > Anregungen und Kritik
Portal Registrieren Hilfe Howto Benutzerliste Kalender Suchen Heutige Beiträge Alle Foren als gelesen markieren

Anregungen und Kritik Anregungen und Kritik für dieses Forum.

Antwort
 
Themen-Optionen
Alt 10-02-2018 , 09:51   Nach oben   #1
hiho
Technischer Beauftragter
 
Benutzerbild von hiho
 
Registriert seit: Oct 2003
Ort: Kirchberg - AT
Alter: 37
Beiträge: 1.273
eb ay Name:hihoman
 
Verpflichtender SSL Zugriff für Authentifizierung und mehr

Security wird immer wichtiger, besonders im IT Bereich. Cyberattacken lauern in jeder Ecke, und gerade in einem non-IT Forum wie hier sind nicht alle Teilnehmer mit dem 1x1 der do's and dont's der IT vertraut.

In diesem Forum werden taeglich Flipperkäufe und Verkäufe im Wert von sicherlich zig tausend Euro getätigt. Username und Kennwörter (bzw deren Hashes) auslesen ist hier relativ leicht, da Anmeldedaten im Cleartext übertragen werden -> username ist cleartext und password ist ein MD5 hash, der statisch zu sein scheint.

Ich habe ein Authentifizierungspaket mal testweise mitgeschnitten und die auth-daten mitgegeben wie es die login-maske hier auch tut, und - wie anzunehmen - war ich als hiho angemeldet. Ein Mitschnitt etc kann den Admins gerne zur Verfügung gestellt werden.

Dzt wird für die Anmeldung keine SSL-Übertragung erwzungen. Ebenso, wenn manuell auf https://flippermarkt.de gewechselt wird, bekommt man ein ungetrustetes, abgelaufenes SHA1 Zertifikat präsentiert.

Meine Anregungen wäre es:

- Verpflichtende Anmeldung in einer https:// session realisieren. Damit ist ein einfaches Mitschneiden des Netzwerktraffics sofort unterbunden.

- Sobald man angemeldet wird, werden die Session-Daten in ein Cookie weggeschrieben - es wäre fein, wenn dieses Cookie zumindest in irgendeiner Art verschlüsselt wird.

- Einsatz eines gültigen Zertifikats einer vertrauten CA.

- Ein "einfaches" Serverhardening durchzuführen - dies kostet 0 Euro und hilft schon mal weiter. So gibt zB der Server die dzt laufende PHP (Uralt) und Apacheversion (urälter) freiwillig zurück, und gibt quasi damit auch noch seine "schwachstellen" Preis.

- Selbst wenn jemand dzt https:// verwendet und die zwertifikatswarnungen ignoriert, ist das noch immer desaströs - das system bietet Ciphers und Protokolle an, die längst als insecure oder deprecated gelten - siehe https://www.ssllabs.com/ssltest/anal...lippermarkt.de

- Ich würde annehmen, das ein vernünftigter Penetration Scan mit den entsprechenden Tools noch wesentlich mehr Schwachstellen an den Tag bringen würde - dies mache ich allerdings nur nach Aufforderung (ich mache sowas ua auch beruflich).

Ich weiß das ein neues System ins Haus steht und würde mich freuen, wenn meine Anregungen dort Anwendung finden. Hier kann mit sehr wenig Aufwand sehr viel mehr Sicherheit an den Tag gebracht werden.

Cheers
Georg
__________________
Pins: Collection@Pinside
Biete: EPROM-Brenndienst, WPC LED Anti Ghosting Patches, Flipperreparatur - http://pinballrepair.eu
Sagt: Virtuelle Flipper haben nichts mit flippern zu tun.

Geändert von hiho (10-02-2018 um 10:23 Uhr). Grund: typos
hiho ist offline   Mit Zitat antworten
Alt 10-02-2018 , 16:08   Nach oben   #2
Kingsize
Registrierter Benutzer
 
Benutzerbild von Kingsize
 
Registriert seit: Nov 2017
Ort: Ratingen
Alter: 51
Beiträge: 9
 
Thumbs up AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Hallo.
Da kann ich nur voll zustimmen, auch wenn erst seit kurzem hier angemeldet bin .
Zertifikate gibts kostenfrei bei https://letsencrypt.org/.
Gruß, Kingsize
Kingsize ist offline   Mit Zitat antworten
Alt 10-02-2018 , 16:19   Nach oben   #3
freaktech
The Collector
 
Benutzerbild von freaktech
 
Registriert seit: Sep 2003
Ort: AT Linz
Alter: 44
Beiträge: 10.546
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

glaub Hiho hat sich grad freiwillig als Security Manager hier beworben :-)
__________________
greets... Tom

www.freaktech.at
freaktech ist offline   Mit Zitat antworten
Alt 11-02-2018 , 10:43   Nach oben   #4
GMan
Registrierter Benutzer
 
Benutzerbild von GMan
 
Registriert seit: Aug 2001
Ort: Wien
Alter: 36
Beiträge: 43
eb ay Name:the_gman
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Du hast mit allem og. Recht, aber solange vBulletin nicht gepflegt wird (z.B. XSS via CVE-2008-3184), brauchen wir uns über TLS hier auch keine großen Gedanken machen.
Bis die von dir angedeutete neue Basis nicht da ist, würde ich hier auch eher zu Wegwerfpasswörtern raten.
GMan ist offline   Mit Zitat antworten
Alt 11-02-2018 , 11:22   Nach oben   #5
hiho
Technischer Beauftragter
 
Benutzerbild von hiho
 
Registriert seit: Oct 2003
Ort: Kirchberg - AT
Alter: 37
Beiträge: 1.273
eb ay Name:hihoman
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Zitat:
Zitat von Kingsize Beitrag anzeigen
Hallo.
Zertifikate gibts kostenfrei bei https://letsencrypt.org/.
Gruß, Kingsize
Das Thema mit LetsEncrypt ist, dass du gezwungen wirst, dein kryptopgraphisches Material alle 90 Tage zu rotieren. Das halte ich in hochsicherheitsumgebung für toll, in unserem Fall aber unpraktikabel - du musst entweder händisch oder via automat alle 90 Tage ein neues Zertifikat anfordern und einspielen; danach sollte das alte noch verworfen werden.

Normale Zertifikate, die auf einem oder 2 Namen hören (wie unserem Fall flippermarkt.de und www.flippermarkt.de) kosten heutzutage einen Nasenrammel, besonders über sogenannte Reseller (NameCheap zB).

Zitat:
Zitat von freaktech Beitrag anzeigen
glaub Hiho hat sich grad freiwillig als Security Manager hier beworben :-)
Hat mit Security Manager (noch) nix zum tun, aber ich bin gern bereit hier zu helfen natürlich.

Zitat:
Zitat von GMan Beitrag anzeigen
Du hast mit allem og. Recht, aber solange vBulletin nicht gepflegt wird (z.B. XSS via CVE-2008-3184), brauchen wir uns über TLS hier auch keine großen Gedanken machen.
Bis die von dir angedeutete neue Basis nicht da ist, würde ich hier auch eher zu Wegwerfpasswörtern raten.
Im Gegensatz zum Business Management fängt der "Fisch hier nicht am vom Kopf weg" zu stinken, sondern von der Basis aus. Eine gut gepatchte Applikation bringt dir nichts, wenn das System dahinter offen steht wie ein Scheunentürl. Vize versa gilt das natürlich genau so, allerdings wird hier in der Praxis eher zuerst auf Systemhardening als auf Application Hardening gesetzt.

Ein Beispiel - Was bringen mir Einmalkennwörter, wenn ich den Auth-Cookie einfach mitschneide und replaye? Gar nix.

Den CVE - ich weiß das es nur ein Beispiel war - den Du zitierst, erlaubt zB Code Injection, aber es kann dadurch kein Zugriff generiert werden.

Einmalkennwörter haben natürlich einen Charme - aber auch Aufwand für sich zu verbuchen. Zu den gängigen Varianten -

- RSA/SecurID Token: Fallen aussen vor, da der Endbenutzer spezielle Hardware benötigt.
- SMS Token: Fallen vermutlich aussen vor, da die Anzahl der zu authentifizierenden Benutzer zu groß sein wird, um die Kosten dafür zu stemmen.
- Google Auth/Office Auth/etc...: Der Endbenutzer muss hierfür eine Authentication App auf seinem Handy installieren. Dies erfordert, dass der Endbenutzer zumindest ein "Smartphone" mit gängigem OS hat.

Generell halte ich in unserem Fall nicht viel von OTP's, bzw wenn nur auf Wunsch - dH im Control Panel gibt es dann zB die Option per User Google Authenticator zusätzlich zu verwenden. Mehr Sinn würden IMHO meine im Erstpost genannten vorschläge machen, + verplichtend lange und komplexe Kennwörter nach den gängigen Standards.

Cheers und nen schönen Sonntag,

Georg
__________________
Pins: Collection@Pinside
Biete: EPROM-Brenndienst, WPC LED Anti Ghosting Patches, Flipperreparatur - http://pinballrepair.eu
Sagt: Virtuelle Flipper haben nichts mit flippern zu tun.

Geändert von hiho (11-02-2018 um 11:29 Uhr).
hiho ist offline   Mit Zitat antworten
Alt 12-02-2018 , 01:26   Nach oben   #6
Pinfun
Registrierter Benutzer
 
Benutzerbild von Pinfun
 
Registriert seit: Feb 2017
Ort: Bayern
Alter: 45
Beiträge: 809
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Sicherheit ist wichtig, ich hab in dem Bereich auch schon ein paar Erfahrungen, aber denkt bitte daran das ist ein Flipperforum und nicht die NSA.
Hier gibt es durchaus Leute für die ein Browser ein Duschkopf ist.
OK, das war jetzt übertrieben, aber bleiben wir doch auf dem Teppich.
Sicherere Passwörter und verschlüsselte Übertragung sind immer gut.
Alles andere muss ja auch irgendwer verwalten.
__________________
TAFHSIISFIIF14T2WWMSF, kleines Flipperrätsel
Pinfun ist offline   Mit Zitat antworten
Alt 13-02-2018 , 23:11   Nach oben   #7
Kingsize
Registrierter Benutzer
 
Benutzerbild von Kingsize
 
Registriert seit: Nov 2017
Ort: Ratingen
Alter: 51
Beiträge: 9
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Sicherheit per Verschlüsselung wird immer wichtiger. Lt. einem Artikel auf Heise.de wird Chrome unverschlüsselte Seite bald deutlich als unsicher kennzeichnen.
Andere Browserhersteller werden dann bestimmt folgen.
Nebenbei bemerkt wird eine verschlüsselte Webseite in den Suchergebnissen höher bewertet.
Gruß, Kingsize.
Kingsize ist offline   Mit Zitat antworten
Alt 13-02-2018 , 23:29   Nach oben   #8
DS_Nadine
Registrierter Benutzer
 
Benutzerbild von DS_Nadine
 
Registriert seit: Aug 2015
Ort: Düsseldorf
Alter: 38
Beiträge: 1.580
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Höher Bewertet als welche Konkurrenz?

Und vielen hier wär lieber wenn weniger Leute von Außen mitlesen damit's hier bessere Preise gibt. - Wer "letzte Preis" Mails will, kann ja zu eBay Kleinanzeigen gehen.

Und wer Chrome benutzt kann seine Daten eh direkt in einer Mail an Google schicken.
__________________
In: Total Nuclear Annihilation
In Arbeit: F-14 Tomcat, Bally Atlantis
DS_Nadine ist offline   Mit Zitat antworten
Alt 14-02-2018 , 12:34   Nach oben   #9
carbonteufel
Organisator
 
Benutzerbild von carbonteufel
 
Registriert seit: Sep 2002
Ort: GE, tiefster Pott
Alter: 52
Beiträge: 18.557
Ligamember
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Die Anmerkungen Georgs in allen Ehren, halte ich es für sinnvoller, das "neue Forum" alsbald an den Start zu bringen, anstatt einem Dinosaurier eine Tarnkappe zu verpassen. Der Relaunch wird dann - nach meiner Erwartung - den aktuellen Sicherheitsanforderungen entsprechen und auch größere Bilder beim Hochladn zulassen, gell?

Trotz kleiner Unbequemlichkeit für die User halte ich es sogar für sinnvoll, daß sich dort alle neu anmelden müssen. So jedenfalls habe ich es beim Start meines neuen Webshops gemacht. Noch nach einem halben Jahr haben sich Stammkunden beschwert ("Mein Passwort geht nicht mehr!") und einige wenige sind wohl "verlorengegangen", trotzdem: Sicher ist sicher.

LG

Stefan
__________________
~~~~~~~~~~~~~~~~~~~~~~~~~~

Zum Pinball-Shop

Und hier leuchtet es stilvoll (non pinball)
carbonteufel ist offline   Mit Zitat antworten
Antwort
Themen-Optionen

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge anzufügen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
IP-Cam- Zugriff von Außen Zwerg Computerecke 4 15-03-2013 09:03
Unerwünschter Zugriff auf Windows 7 Rechner im WLAN ? SebW Computerecke 14 15-08-2012 20:20
zugriff auf pc im netzwerk noby01 Computerecke 23 26-11-2009 08:57
Kinder DVDs - Hat jemand Zugriff darauf? Chiren Klatsch und Tratsch (Off Topic) 6 09-12-2005 18:37
Zugriff auf "neue"/"alte" Festplatte unter Linux Paradise1! Computerecke 4 16-01-2005 21:23


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:31 Uhr.


Powered by vBulletin® Version 3.6.8 (Deutsch)
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Copyright by flippermarkt.de 2001-2016
Impressum  -  Datenschutzbestimmungen