Arthoria sowie Forum vom Firefox als unsicher eingestuft

Begonnen von Penthesilea, 09. März 2017, 09:41:21

« vorheriges - nächstes »

Penthesilea

Nur zur Information:
Seit dem neusten Firefox-Update erhalte ich beim Einloggen folgende Meldungen:



Wo ein Wille ist, da ist auch ein Problem.

kaefer

jup - das liegt daran, dass man auf einer nicht-verschlüsselten seite ein passwort feld hat. ist im chrome auch schon so seit einer der letzten updates.

kann xeri fixen, wenn er https konfiguriert.
Arthoria++

Eine kleine (ok - mittlerweile größere) Erweiterung für Arthoria, die nützliche Quicklinks einbaut. Hier wird alles haarklein erklärt:

http://arthoria-plus.bplaced.net

Namnodorel

Ja, da wäre ich auch für... HTTPS sollte man eigentlich immer drin haben, selbst wenn die Website keine Passwörter oder überhaupt irgendwelche Eingabefelder hat. Und es kostet ja auch seit...länger...nichts mehr zusätzlich

Thrasher

Ich glaube noch nicht wirklilch an https bei Arthoria. Hier werden (oder wurden bis vor kurzem) die Passwörter noch im Klartext in der Datenbank gespeichert....  :o :o :o

edit:
http://arthoria-forum.de/index.php?topic=2275.msg174241#msg174241
Ich sehe gerade und hoffe, dass dieses Update da eine Veränderung brachte  :)

undernet

undernets Blog - Schaut hinein: RP Ereignisse und Ingame news, Updates & Events >>20€ Gutschein für OnePlus Zusatzinhalte!<<

Thalus

Zitat von: Thrasher am 10. März 2017, 12:13:57
Hier werden (oder wurden bis vor kurzem) die Passwörter noch im Klartext in der Datenbank gespeichert....  :o :o :o
Na und? Wenn es jemand in die Datenbank von Arthoria schafft, braucht er mein Arthoria-Passwort nicht, und wenn ich woanders das selbe Passwort verwende, ist das mein Problem und nicht Xeris...

TheLightPrince

Zitat von: Thalus am 11. März 2017, 23:50:12
Na und? Wenn es jemand in die Datenbank von Arthoria schafft, braucht er mein Arthoria-Passwort nicht, und wenn ich woanders das selbe Passwort verwende, ist das mein Problem und nicht Xeris...
Man muss nicht unbedingt in die Datenbankkommen um an das Kennwort zu kommen (Habe ich damals Demonstriert, Lücke natürlich inzwischen gestopft). Dann reicht das PW zum Anmelden, kommt man nur an den Hash, kann man sich nicht ohne weiteres Anmelden, sondern müsste diesen erst knacken.
Finde https jetzt für ein Spiel auch nicht sooo wichtig. Aber natürlich kann man es auch einfach umsetzen. Heute kein großes Ding mehr, aber Xeri müsste es eben machen und die Frage ist ob er sich den Aufwand machen will oder nicht.
WINGED GODS

Namnodorel

Da muss ich ganz klar gegen stimmen. Ganz unabhängig von Arthoria, als Programmierer ist man für die Sicherheit der gespeicherten Daten verantwortlich. Und da Arthoria sich nicht unbedingt nur an technisch versierte Menschen richtet, ist zu erwarten, dass viele hier dasselbe Passwort benutzen wie an vielen anderen wichtigen Stellen auch. Das ist zwar auch nicht gut, aber "selber schuld" ist da trotzdem kein Argument... Man muss davon ausgehen, dass der Nutzer alles falsch macht, was er falsch machen kann und ein potentieller Angreifer alles versucht, um an jede noch so unwichtige Information zu gelangen. Und das muss man alles sichern. Wenn jemand dich verklagt, weil du sein Passwort in deiner Datenbank nicht richtig gesichert hast und ein Hacker daran gekommen ist, wirst du zahlen müssen.

Beim Speichern von Passwörtern im Klartext ist es sogar sehr, sehr simpel, etwas dagegen zu unternehmen (zumindest, wenn man es von Anfang an einbaut). Man nehme ein vom Nutzer eingegebenes Passwort, und hashe es (hashen ist, irgendeinen Text zu nehmen, und daraus so etwas wie efcb6f3027ee0ef6b18241ad... Beim gleichen Text kommen immer die gleichen Ergebnisse heraus, und bei einem unterschiedlichen immer etwas anderes. Das ganze kann man aber nicht umkehren, also wenn ich diesen Zahlen-Buchstaben-Wirrwar habe, gibt es keinen Weg für mich, daraus auf die ursprüngliche Eingabe zu schließen.) und speichere es in der Datenbank. Damit haben wir kein einziges Passwort im Klartext gespeichert, sondern eben nur diese Hashes, mit denen man nichts anfangen kann. Wenn man dann versucht, sich einzuloggen, hasht der Server das beim Login eingegebene Passwort auch, und vergleicht das Ergebnis mit dem in der Datenbank. Kommt das gleiche heraus, yay, eingeloggt, und wenn nicht, war das Passwort eben falsch. Das ganze kann man dann noch komplizierter machen, um es mathematisch noch unmöglicher zu machen, das Passwort aus dem Inhalt der Datenbank zu schließen, aber das ginge hier dann wirklich zu weit ^^ Um den Hash für ein Passwort zu bekommen, gibt es tonnenweise bereits vorgefertigte Möglichkeiten, die alles komplizierte für einen übernehmen. Also es gibt wirklich keinen Grund, das nicht zu machen. Es gehört zur Standartsicherheit, so wie ein Anti-Virenprogramm zu haben oder nicht jeden Kram im Internet herunter zu laden und auszuführen.

TheLightPrince

#8
Zitat von: Namnodorel am 12. März 2017, 00:32:41Wenn jemand dich verklagt, weil du sein Passwort in deiner Datenbank nicht richtig gesichert hast und ein Hacker daran gekommen ist, wirst du zahlen müssen.
gnaaa. Gefährliches Halbwissen. Passwörter sind keine personen bezogenen Daten nach BDSG. Da in Foren standardmäßig Rechtsberatung und rechtliche Auskünfte verboten sind spaare ich mir hier die Paragraphen zu zitieren. Einfach mal googlen, die findest du selbst. Nur weil ein Hacker an ein Passwort kommt ist da kein Geld einklagbar. Bei personenbezogenen Informationen sieht das anders aus, da diese im speziellen nach bestem Wissen und Gewissen geschützt werden müssen. Ist dies nicht der Fall: Klage möglich.

Zitat von: Namnodorel am 12. März 2017, 00:32:41Also es gibt wirklich keinen Grund, das nicht zu machen. Es gehört zur Standartsicherheit, so wie ein Anti-Virenprogramm zu haben oder nicht jeden Kram im Internet herunter zu laden und auszuführen.
Das ist wiederrum korrekt, aber trotzdem ist der Admin nicht gesetzlich dazu verpflichtet das zu machen. Arthoria ist ein Freizeitprojekt, dass Xeri als Schüler (meine ich?) angefangen und eigentlich nie online gehen sollte. Am Anfang macht man eben Fehler und muss diese später ausbessern oder man lässt es. Aber ich meine, dass es damals (2015) doch auch geändert wurde (?!) Also worum gehts hier überhaupt :D

Sry für das offtopic, aber wollte es nicht so stehen lassen.

BTT: HTTPS bei Arthoria würde gehen, kostet aber auch wieder ein paar Serverressourcen und mir ist Arthoria meistens so schon zu langsam  ::) Und wer hat denn Bock / ein Interesse einen Angriff gegen Arthoria in großen Stil zu fahren? Das könnten evtl. ne Handvoll Leute hier und die haben besseres zu tun. Das Kennwort von Freunden im gleichen Netzwerk ausspähen: geht... und dann? Hab ich meinen Freunden ihren Account gestohlen. Da greif ich doch lieber diese Uralte Forensoftware von 2013 an und gehe mal davon aus, dass 90% der User das gleiche Kennwort hier verwenden und im Spiel ;) Lieber den leichten Weg gehen, als den komplizierten ;)

Lg TLP
WINGED GODS

Namnodorel

Auch wenn es schon korrigiert ist, ich hatte das einfach nochmal geschrieben, weil ich dieses "selbst Schuld" nicht im Raum stehen lassen wollte.

"Was kann schon passieren" würde ich aber auch nicht sagen, das ist so ähnlich wie "Ich hab doch nichts zu verbergen, warum soll ich mich um Verschlüsselung kümmern". Ist an sich schonmal keine besonders gute Einstellung (finde ich), aber eine unverschlüsselte Verbindung kann ja nicht nur abgegriffen, sondern auch manipuliert werden: Ich schalte mich als Angreifer zwischen den Server und einen nichtsahnenden Nutzer, der am besten Prem benutzt. Dann kriegt der eine Benachrichtigung "blablabla, aus denundden Gründen müssen wir deinen Premiumaccount nochmals bestätigen, bitte gib hier dazu noch einmal deine Kontodaten an:". Je mehr Mühe man sich damit gibt, umso mehr Leute fallen darauf herein.

Serverressourcen...? Also ich wüsste da jetzt nicht unbedingt, was du meinst, nach meiner Erfahrung ist der Unterschied zwischen HTTP und HTTPS minimal, wenn man ihn überhaupt bemerkt.

TheLightPrince

WINGED GODS

TheLightPrince

Wer die Fehlermeldungen loswerden will (bitte nur wer sich bewusst ist, was die Meldung bedeutet ;)):
Neuen Tab öffnen
"about:config" eingeben (ohne Anführungszeichen)
Ins Suchfeld eingeben: "security.insecure_field_warning.contextual.enabled" (ohne Anführungszeichen)
Doppelklick drauf machen (von True auf False ändern)

Dann sind die nervigen Meldungen weg.

Lg TLP
WINGED GODS

kaefer

Wobei da man da hinzufügen sollte, dass die Warnung dann nicht nur bei arthoria weg ist, sondern bei allen Seiten...
Arthoria++

Eine kleine (ok - mittlerweile größere) Erweiterung für Arthoria, die nützliche Quicklinks einbaut. Hier wird alles haarklein erklärt:

http://arthoria-plus.bplaced.net

undernet

Bei mir erscheint dieser Text beim anmelden... ist arthoria gehäckt worden?
undernets Blog - Schaut hinein: RP Ereignisse und Ingame news, Updates & Events >>20€ Gutschein für OnePlus Zusatzinhalte!<<

kaefer

Nein. Siehe meine Antwort ganz am Anfang von diesem Thread.
Arthoria++

Eine kleine (ok - mittlerweile größere) Erweiterung für Arthoria, die nützliche Quicklinks einbaut. Hier wird alles haarklein erklärt:

http://arthoria-plus.bplaced.net