Flippermarkt.de - Das FlipperForum  
Zurück   Flippermarkt.de - Das FlipperForum > Das Forum > Anregungen und Kritik
Portal Registrieren Hilfe Howto Benutzerliste Kalender Suchen Heutige Beiträge Alle Foren als gelesen markieren

Anregungen und Kritik Anregungen und Kritik für dieses Forum.

Antwort
 
Themen-Optionen
Alt 10-02-2018 , 08:51   Nach oben   #1
hiho
Technischer Beauftragter
 
Benutzerbild von hiho
 
Registriert seit: Oct 2003
Ort: Kirchberg - AT
Alter: 37
Beiträge: 1.414
eb ay Name:hihoman
 
Verpflichtender SSL Zugriff für Authentifizierung und mehr

Security wird immer wichtiger, besonders im IT Bereich. Cyberattacken lauern in jeder Ecke, und gerade in einem non-IT Forum wie hier sind nicht alle Teilnehmer mit dem 1x1 der do's and dont's der IT vertraut.

In diesem Forum werden taeglich Flipperkäufe und Verkäufe im Wert von sicherlich zig tausend Euro getätigt. Username und Kennwörter (bzw deren Hashes) auslesen ist hier relativ leicht, da Anmeldedaten im Cleartext übertragen werden -> username ist cleartext und password ist ein MD5 hash, der statisch zu sein scheint.

Ich habe ein Authentifizierungspaket mal testweise mitgeschnitten und die auth-daten mitgegeben wie es die login-maske hier auch tut, und - wie anzunehmen - war ich als hiho angemeldet. Ein Mitschnitt etc kann den Admins gerne zur Verfügung gestellt werden.

Dzt wird für die Anmeldung keine SSL-Übertragung erwzungen. Ebenso, wenn manuell auf https://flippermarkt.de gewechselt wird, bekommt man ein ungetrustetes, abgelaufenes SHA1 Zertifikat präsentiert.

Meine Anregungen wäre es:

- Verpflichtende Anmeldung in einer https:// session realisieren. Damit ist ein einfaches Mitschneiden des Netzwerktraffics sofort unterbunden.

- Sobald man angemeldet wird, werden die Session-Daten in ein Cookie weggeschrieben - es wäre fein, wenn dieses Cookie zumindest in irgendeiner Art verschlüsselt wird.

- Einsatz eines gültigen Zertifikats einer vertrauten CA.

- Ein "einfaches" Serverhardening durchzuführen - dies kostet 0 Euro und hilft schon mal weiter. So gibt zB der Server die dzt laufende PHP (Uralt) und Apacheversion (urälter) freiwillig zurück, und gibt quasi damit auch noch seine "schwachstellen" Preis.

- Selbst wenn jemand dzt https:// verwendet und die zwertifikatswarnungen ignoriert, ist das noch immer desaströs - das system bietet Ciphers und Protokolle an, die längst als insecure oder deprecated gelten - siehe https://www.ssllabs.com/ssltest/anal...lippermarkt.de

- Ich würde annehmen, das ein vernünftigter Penetration Scan mit den entsprechenden Tools noch wesentlich mehr Schwachstellen an den Tag bringen würde - dies mache ich allerdings nur nach Aufforderung (ich mache sowas ua auch beruflich).

Ich weiß das ein neues System ins Haus steht und würde mich freuen, wenn meine Anregungen dort Anwendung finden. Hier kann mit sehr wenig Aufwand sehr viel mehr Sicherheit an den Tag gebracht werden.

Cheers
Georg
__________________
Pins: Collection@Pinside
Biete: EPROM-Brenndienst, WPC LED Anti Ghosting Patches, Flipperreparatur - http://pinballrepair.eu
Sagt: Virtuelle Flipper haben nichts mit flippern zu tun.

Geändert von hiho (10-02-2018 um 09:23 Uhr). Grund: typos
hiho ist offline   Mit Zitat antworten
Alt 10-02-2018 , 15:08   Nach oben   #2
Kingsize
Registrierter Benutzer
 
Benutzerbild von Kingsize
 
Registriert seit: Nov 2017
Ort: Ratingen
Alter: 51
Beiträge: 9
 
Thumbs up AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Hallo.
Da kann ich nur voll zustimmen, auch wenn erst seit kurzem hier angemeldet bin .
Zertifikate gibts kostenfrei bei https://letsencrypt.org/.
Gruß, Kingsize
Kingsize ist offline   Mit Zitat antworten
Alt 10-02-2018 , 15:19   Nach oben   #3
freaktech
The Collector
 
Benutzerbild von freaktech
 
Registriert seit: Sep 2003
Ort: AT Linz
Alter: 44
Beiträge: 10.617
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

glaub Hiho hat sich grad freiwillig als Security Manager hier beworben :-)
__________________
greets... Tom

www.freaktech.at
freaktech ist offline   Mit Zitat antworten
Alt 11-02-2018 , 09:43   Nach oben   #4
GMan
Registrierter Benutzer
 
Benutzerbild von GMan
 
Registriert seit: Aug 2001
Ort: Wien
Alter: 36
Beiträge: 45
eb ay Name:the_gman
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Du hast mit allem og. Recht, aber solange vBulletin nicht gepflegt wird (z.B. XSS via CVE-2008-3184), brauchen wir uns über TLS hier auch keine großen Gedanken machen.
Bis die von dir angedeutete neue Basis nicht da ist, würde ich hier auch eher zu Wegwerfpasswörtern raten.
GMan ist offline   Mit Zitat antworten
Alt 11-02-2018 , 10:22   Nach oben   #5
hiho
Technischer Beauftragter
 
Benutzerbild von hiho
 
Registriert seit: Oct 2003
Ort: Kirchberg - AT
Alter: 37
Beiträge: 1.414
eb ay Name:hihoman
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Zitat:
Zitat von Kingsize Beitrag anzeigen
Hallo.
Zertifikate gibts kostenfrei bei https://letsencrypt.org/.
Gruß, Kingsize
Das Thema mit LetsEncrypt ist, dass du gezwungen wirst, dein kryptopgraphisches Material alle 90 Tage zu rotieren. Das halte ich in hochsicherheitsumgebung für toll, in unserem Fall aber unpraktikabel - du musst entweder händisch oder via automat alle 90 Tage ein neues Zertifikat anfordern und einspielen; danach sollte das alte noch verworfen werden.

Normale Zertifikate, die auf einem oder 2 Namen hören (wie unserem Fall flippermarkt.de und www.flippermarkt.de) kosten heutzutage einen Nasenrammel, besonders über sogenannte Reseller (NameCheap zB).

Zitat:
Zitat von freaktech Beitrag anzeigen
glaub Hiho hat sich grad freiwillig als Security Manager hier beworben :-)
Hat mit Security Manager (noch) nix zum tun, aber ich bin gern bereit hier zu helfen natürlich.

Zitat:
Zitat von GMan Beitrag anzeigen
Du hast mit allem og. Recht, aber solange vBulletin nicht gepflegt wird (z.B. XSS via CVE-2008-3184), brauchen wir uns über TLS hier auch keine großen Gedanken machen.
Bis die von dir angedeutete neue Basis nicht da ist, würde ich hier auch eher zu Wegwerfpasswörtern raten.
Im Gegensatz zum Business Management fängt der "Fisch hier nicht am vom Kopf weg" zu stinken, sondern von der Basis aus. Eine gut gepatchte Applikation bringt dir nichts, wenn das System dahinter offen steht wie ein Scheunentürl. Vize versa gilt das natürlich genau so, allerdings wird hier in der Praxis eher zuerst auf Systemhardening als auf Application Hardening gesetzt.

Ein Beispiel - Was bringen mir Einmalkennwörter, wenn ich den Auth-Cookie einfach mitschneide und replaye? Gar nix.

Den CVE - ich weiß das es nur ein Beispiel war - den Du zitierst, erlaubt zB Code Injection, aber es kann dadurch kein Zugriff generiert werden.

Einmalkennwörter haben natürlich einen Charme - aber auch Aufwand für sich zu verbuchen. Zu den gängigen Varianten -

- RSA/SecurID Token: Fallen aussen vor, da der Endbenutzer spezielle Hardware benötigt.
- SMS Token: Fallen vermutlich aussen vor, da die Anzahl der zu authentifizierenden Benutzer zu groß sein wird, um die Kosten dafür zu stemmen.
- Google Auth/Office Auth/etc...: Der Endbenutzer muss hierfür eine Authentication App auf seinem Handy installieren. Dies erfordert, dass der Endbenutzer zumindest ein "Smartphone" mit gängigem OS hat.

Generell halte ich in unserem Fall nicht viel von OTP's, bzw wenn nur auf Wunsch - dH im Control Panel gibt es dann zB die Option per User Google Authenticator zusätzlich zu verwenden. Mehr Sinn würden IMHO meine im Erstpost genannten vorschläge machen, + verplichtend lange und komplexe Kennwörter nach den gängigen Standards.

Cheers und nen schönen Sonntag,

Georg
__________________
Pins: Collection@Pinside
Biete: EPROM-Brenndienst, WPC LED Anti Ghosting Patches, Flipperreparatur - http://pinballrepair.eu
Sagt: Virtuelle Flipper haben nichts mit flippern zu tun.

Geändert von hiho (11-02-2018 um 10:29 Uhr).
hiho ist offline   Mit Zitat antworten
Alt 12-02-2018 , 00:26   Nach oben   #6
Pinfun
Registrierter Benutzer
 
Benutzerbild von Pinfun
 
Registriert seit: Feb 2017
Ort: Bayern
Alter: 45
Beiträge: 924
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Sicherheit ist wichtig, ich hab in dem Bereich auch schon ein paar Erfahrungen, aber denkt bitte daran das ist ein Flipperforum und nicht die NSA.
Hier gibt es durchaus Leute für die ein Browser ein Duschkopf ist.
OK, das war jetzt übertrieben, aber bleiben wir doch auf dem Teppich.
Sicherere Passwörter und verschlüsselte Übertragung sind immer gut.
Alles andere muss ja auch irgendwer verwalten.
__________________
TAFHSIISFIIF14T2WWMSF, kleines Flipperrätsel
Pinfun ist offline   Mit Zitat antworten
Alt 13-02-2018 , 22:11   Nach oben   #7
Kingsize
Registrierter Benutzer
 
Benutzerbild von Kingsize
 
Registriert seit: Nov 2017
Ort: Ratingen
Alter: 51
Beiträge: 9
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Sicherheit per Verschlüsselung wird immer wichtiger. Lt. einem Artikel auf Heise.de wird Chrome unverschlüsselte Seite bald deutlich als unsicher kennzeichnen.
Andere Browserhersteller werden dann bestimmt folgen.
Nebenbei bemerkt wird eine verschlüsselte Webseite in den Suchergebnissen höher bewertet.
Gruß, Kingsize.
Kingsize ist offline   Mit Zitat antworten
Alt 13-02-2018 , 22:29   Nach oben   #8
DS_Nadine
Registrierter Benutzer
 
Benutzerbild von DS_Nadine
 
Registriert seit: Aug 2015
Ort: Düsseldorf
Alter: 38
Beiträge: 1.808
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Höher Bewertet als welche Konkurrenz?

Und vielen hier wär lieber wenn weniger Leute von Außen mitlesen damit's hier bessere Preise gibt. - Wer "letzte Preis" Mails will, kann ja zu eBay Kleinanzeigen gehen.

Und wer Chrome benutzt kann seine Daten eh direkt in einer Mail an Google schicken.
__________________
In: Johnny Mnemonic
In Arbeit: F-14 Tomcat, Bally Atlantis
DS_Nadine ist offline   Mit Zitat antworten
Alt 14-02-2018 , 11:34   Nach oben   #9
carbonteufel
Organisator
 
Benutzerbild von carbonteufel
 
Registriert seit: Sep 2002
Ort: GE, tiefster Pott
Alter: 52
Beiträge: 18.587
Ligamember
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Die Anmerkungen Georgs in allen Ehren, halte ich es für sinnvoller, das "neue Forum" alsbald an den Start zu bringen, anstatt einem Dinosaurier eine Tarnkappe zu verpassen. Der Relaunch wird dann - nach meiner Erwartung - den aktuellen Sicherheitsanforderungen entsprechen und auch größere Bilder beim Hochladn zulassen, gell?

Trotz kleiner Unbequemlichkeit für die User halte ich es sogar für sinnvoll, daß sich dort alle neu anmelden müssen. So jedenfalls habe ich es beim Start meines neuen Webshops gemacht. Noch nach einem halben Jahr haben sich Stammkunden beschwert ("Mein Passwort geht nicht mehr!") und einige wenige sind wohl "verlorengegangen", trotzdem: Sicher ist sicher.

LG

Stefan
__________________
~~~~~~~~~~~~~~~~~~~~~~~~~~

Zum Pinball-Shop

Und hier leuchtet es stilvoll (non pinball)
carbonteufel ist offline   Mit Zitat antworten
Alt 12-03-2018 , 11:08   Nach oben   #10
hiho
Technischer Beauftragter
 
Benutzerbild von hiho
 
Registriert seit: Oct 2003
Ort: Kirchberg - AT
Alter: 37
Beiträge: 1.414
eb ay Name:hihoman
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Ich hol das Thema mal hoch... mag sich einer der Mods hier mal äussern?
__________________
Pins: Collection@Pinside
Biete: EPROM-Brenndienst, WPC LED Anti Ghosting Patches, Flipperreparatur - http://pinballrepair.eu
Sagt: Virtuelle Flipper haben nichts mit flippern zu tun.
hiho ist offline   Mit Zitat antworten
Alt 12-03-2018 , 11:37   Nach oben   #11
viaxx
MoM
Admin
 
Benutzerbild von viaxx
 
Registriert seit: Apr 2001
Ort: Oberursel(bei Frankfurt)
Alter: 56
Beiträge: 10.245
eb ay Name:viaxx
Ligamember
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

salve georg,

Zitat:
Zitat von hiho Beitrag anzeigen
Ich hol das Thema mal hoch... mag sich einer der Mods hier mal äussern?
wir sind gerade in der testphase, das forum auf eine neue software umzuheben.
auf dem alten server und der alten software investieren wir deshalb keine energie mehr in die SSL-geschichte.
wie lange das jetzt noch dauert, vermag ich noch nicht genau zu sagen.

ein alter viaxx
__________________

gegen Flipperprotzerei im Footer
never underestimate the power of stupid people in large groups
viaxx ist offline   Mit Zitat antworten
Alt 12-03-2018 , 11:46   Nach oben   #12
hiho
Technischer Beauftragter
 
Benutzerbild von hiho
 
Registriert seit: Oct 2003
Ort: Kirchberg - AT
Alter: 37
Beiträge: 1.414
eb ay Name:hihoman
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Das war mir klar und es ist gut zu hören, dass daran noch gearbeitet wird. Solltet Ihr an einem vernünftigen Security-Hardening/Baselining Interesse haben, so kommt einfach auf mich zu.
__________________
Pins: Collection@Pinside
Biete: EPROM-Brenndienst, WPC LED Anti Ghosting Patches, Flipperreparatur - http://pinballrepair.eu
Sagt: Virtuelle Flipper haben nichts mit flippern zu tun.
hiho ist offline   Mit Zitat antworten
Alt 14-03-2018 , 08:26   Nach oben   #13
loderunner
Heimlöter
 
Benutzerbild von loderunner
 
Registriert seit: Jun 2003
Ort: Bohmte bei Osnabrück
Alter: 56
Beiträge: 2.217
eb ay Name:loderunner007
 
AW: Verpflichtender SSL Zugriff für Authentifizierung und mehr

Hallo,
wenn ihr schon am umstellen seid, ist es ja gut. Bis spätestens 25.Mai solltet ihr damit auch fertig sein - dann tritt die neue Verordnung in Kraft.
Ansonsten kommt in nicht allzu ferner Zukunft ein böser Junge auf euch zu und schickt eine hübsche, kostenpflichtige Abmahnung wegen unzureichendem Datenschutz durch ungeschützte Übertragung persönlicher Daten - sprich Passwörter.
Gruß
loderunner
__________________
TagTeam, Firepower, HauntedHouse (defekt, eingelagert) - Funhouse (in Arbeit) - Stargate - ShaqAttaq - SuperMarioBros - BigHurt
Ehedem genossen: Volcano - EightBall - Underwater - SoccerKings - MousinAround - Genesis - TXSector - SpringBreak
Suche eines Tages wieder Gottlieb Sys80B, Sys3 (nur Bastelgeräte)
loderunner ist offline   Mit Zitat antworten
Antwort
Themen-Optionen

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge anzufügen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
IP-Cam- Zugriff von Außen Zwerg Computerecke 4 15-03-2013 08:03
Unerwünschter Zugriff auf Windows 7 Rechner im WLAN ? SebW Computerecke 14 15-08-2012 19:20
zugriff auf pc im netzwerk noby01 Computerecke 23 26-11-2009 07:57
Kinder DVDs - Hat jemand Zugriff darauf? Chiren Klatsch und Tratsch (Off Topic) 6 09-12-2005 17:37
Zugriff auf "neue"/"alte" Festplatte unter Linux Paradise1! Computerecke 4 16-01-2005 20:23


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:48 Uhr.


Powered by vBulletin® Version 3.6.8 (Deutsch)
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Copyright by flippermarkt.de 2001-2016
Impressum  -  Datenschutzbestimmungen