Statistik |
Beiträge: 144.505 (Täglich: 19,21 )
Themen: 16.699
Mitglieder: 13.209
Neuestes Mitglied: zitronentee.
Ausl. d. letzten Minute: 884%
Ausl. d. letzten 5 Minuten: 970%
Ausl. d. letzten 15 Minuten: 1057%
Aktulle Uhrzeit: 02:44
Freier Webspace: 4.09 TB
PHP-Version: 7.4.33
|
|
|
Passwort "Übertragung verschlüsseln" |
|
Passwort "Übertragung verschlüsseln" |
|
Hier bei Viktor gibt es ja beim Login die Option das Passwort während der Übertragung zu verschlüsseln.
Im wBB3.x gibt es diese Option nicht (mehr) und ein "WoltLab Developer" hat im WoltLab-Forum den Satz geschrieben:
|
Zitat: Benutze SSL zur Verschlüsselung der Verbindung, alles andere ist sinnlos und gaukelt nur Scheinsicherheit vor! |
|
|
Nun bastel ich gerade an einem Hack, mit dem im 2.3.6 die Passwörter - ebenso wie im wBB3.x - "doublesalted" gehasht werden.
Bei der Prozedur mit der verschlüsselten Übertragung stößt das Ganze an seine Grenzen. Denn vor dem Login komme ich nicht an den Salt des Users heran und kann somit keine adäquate Umsetzung realisieren.
Deshalb die Gretchenfrage: Stimmt Ihr mit der o.g. These überein? Könnte man im wBB2.3.6 auf diese Option verzichten, wenn man dafür die sicherere Variante des Passwort-Hash haben kann?
Gruß Mike
|
|
11.08.2011 08:16 |
|
|
|
Guten Morgen
Als vor einiger Zeit die Nachricht die Runde machte, das die Kundendatenbank von Woltlab mit allen Passwörter die Runde machte, wurde ich auch in meinen Forum auf diese Nachricht angesprochen.
Ich habe dann meinen User in einer Ankündigung mit geteilt, dass das von mir verwendete Passwort für den Kundenbereich bei Woltlab unter Garantie nicht das Passwort ist, was ich als Admin in meinen Forum nutze.
Zwei Tage danach bekam ich im Forum eine PN mit der folgenden Frage: Da mein Passwort bei dir im Forum genau das gleiche ist, wie mein Passwort im Onlinebanking, muss ich das nun alles ändern oder besteht dazu keine Notwendigkeit ?
Also bei der Frage ob oder wie Passwörter übertragen oder verschlüsselt werden sollten, sollte man nach meiner Meinung immer vom größten Super Dau der Welt ausgehen.
Wir hier die alles Administratoren wissen wie das alles funktioniert und wie wir uns absichern, aber es geht ja auch um die Passwörter der Forumuser des jeweiligen Forum.
Aus meiner Sicht sollte da schon alleine zum Schutz der Super Daus die beste Möglichkeit nutzen um deren Passwörter zu schützen.
__________________ LG Patrick alias ramfresser
|
|
11.08.2011 09:28 |
|
|
C-Board
wBB2-User
Dabei seit: 11.05.2006
Beiträge: 457
1 Filebase-Einträge
Alter: 66 Jahre
wBB-Version: wBB2.3
Bewertung:
Level: 42 [?]
Erfahrungspunkte: 2.980.279
Nächster Level: 3.025.107
Themenstarter
|
|
Du darfst aber hier nicht Äpfel mit Birnen vergleichen.
Das Eine ist der Eintrag des Passwort-Hashs in der Datenbank - daran bastel ich, dass dieser eben "doublesalted" erfolgt, wie im wBB3.x. Das widerrum gibt einen sehr hohen Sicherheitsstandard. Und die Frage Deines Users, ob die PWs bei DIR in der DB sicher verwahrt werden, könntest Du beruhigt mit "JA" beantworten.
Abgesehen davon nutzt man fürs Onlinebanking nun wirklich kein PW, welches man irgendwo sonst nutzt.
Das Andere ist der Login-Screen in DEINEM Browser, in dem Du das PW ja in Klarschrift einträgst. Ist der Haken "Übertragung verschlüsseln?" nicht gesetzt, wird das PW eben in Klarschrift von der login.php abgearbeitet.
Und das ist im wBB3.x auch so. Und Woltlab steht dazu.
Gruß Mike
|
|
11.08.2011 09:41 |
|
|
C-Board
wBB2-User
Dabei seit: 11.05.2006
Beiträge: 457
1 Filebase-Einträge
Alter: 66 Jahre
wBB-Version: wBB2.3
Bewertung:
Level: 42 [?]
Erfahrungspunkte: 2.980.279
Nächster Level: 3.025.107
Themenstarter
|
|
Naja, das mit den 8 Zeichen ist so eine Sache.
Das Wort testuser hat 8 Zeichen
Und wenn ich damit den md5-Hash erzeuge, dann kommt dabei heraus:
|
Zitat: 5d9c68c6c50ed3d02a2fcf54f63993b6 |
|
|
Und jetzt darfst Du mal in Google diesen Code eingeben
In der Forendatenbank ist dieser Code in der Tabelle bbx_users im Feld passwort hinterlegt.
Sollte nun Deine Forendatenbank gehackt werden, so ist es dem Hacker ja ziemlich einfach gemacht worden, herauszufinden, wie das PW lautet. md5 ist also keineswegs als sicher zu bezeichnen!
Die Mimik bei doublesalted Hashs bedient sich eines Salt-Wertes, der per Zufall einmalig erstellt worden ist.
Selbst wenn jemand diesen Salt-Wert UND den doublesalted Hash des PWs kennt, ist es unmöglich, aus diesem das eigentlich PW herauszufinden.
Die sogenannten Rainbow Tables stehen hier überhaupt nicht zur Disposition.
Aber nochmal: Es geht mir darum, ob man im wBB2.3.6 auf die verschlüsselte Übertragung des PWs verzichten könnte.
Gruß Mike
|
|
11.08.2011 09:58 |
|
|
|
RE: Passwort "Übertragung verschlüsseln" |
|
|
Zitat: Original von C-Board
|
Zitat: Benutze SSL zur Verschlüsselung der Verbindung, alles andere ist sinnlos und gaukelt nur Scheinsicherheit vor! |
|
|
Deshalb die Gretchenfrage: Stimmt Ihr mit der o.g. These überein? Könnte man im wBB2.3.6 auf diese Option verzichten, wenn man dafür die sicherere Variante des Passwort-Hash haben kann? |
|
|
Ja, ich stimme dem zu. SSL ist nach wie vor - die beste Variante. Was bringt dir ein doppelter Salt wenn ein Hacker sich in die unverschlüsselte Übertragung einhackt? Eben: NICHTS.
Das ganze ZUSÄTZLICH zu machen macht sicher Sinn aber wenn du wirklich SCHUTZ für deine Daten haben willst dann geht an SSL kein Weg vorbei.
__________________ Gruss Mannes
Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
|
|
11.08.2011 10:49 |
|
|
C-Board
wBB2-User
Dabei seit: 11.05.2006
Beiträge: 457
1 Filebase-Einträge
Alter: 66 Jahre
wBB-Version: wBB2.3
Bewertung:
Level: 42 [?]
Erfahrungspunkte: 2.980.279
Nächster Level: 3.025.107
Themenstarter
|
|
@DonManfred
Also sollte man fürs 2.3.6 gleich Nägel mit Köpfen machen und ein Login via SSL präsentieren?
|
Zitat: da frage ich mich gerade was woltlab als verschlüsselte Übertragung einsetzt? |
|
|
Eben keine, denn die meinen ja, das das nur eine Scheinsicherheit darstellt.
Gruß Mike
|
|
11.08.2011 12:51 |
|
|
C-Board
wBB2-User
Dabei seit: 11.05.2006
Beiträge: 457
1 Filebase-Einträge
Alter: 66 Jahre
wBB-Version: wBB2.3
Bewertung:
Level: 42 [?]
Erfahrungspunkte: 2.980.279
Nächster Level: 3.025.107
Themenstarter
|
|
Interessanter Beitrag bei WoltLab zum Thema Wahlweise Login über SSL erzwingen
Alexander Ebert schrieb:
|
Zitat: Das ist so als ob du bei einem Haus die Vordertür abschließt, aber die Hintertür offen lässt. Entweder ganz verschlüsseln oder gar nicht, nur den Login zu verschlüsseln birgt sogar das viel höhere Risiko von vorgegaukelter Sicherheit! |
|
|
Wenn man aber grundsätzlich mal die Cookie-Klau-Thematik außen vor läßt und sich nur aufs Login konzentriert - und hierbei explizit die Problematik mit der unverschlüsselten Übertragung - dann dürfte das doch eine Möglichkeit fürs 2.3.6 sein, oder?
Gruß Mike
|
|
11.08.2011 14:06 |
|
|
Viktor
Administrator
Zeige Viktor auf Karte
Dabei seit: 15.08.2003
Beiträge: 31.561
363 Filebase-Einträge
Alter: 66 Jahre
Herkunft: NRW wBB-Version: wBB2.3 PHP-Version: 7.4.33 MySQL-Version: 10.5.19-MariaDB Wo bist du gehostet?: eigener Server
Bewertung:
Level: 71 [?]
Erfahrungspunkte: 237.381.373
Nächster Level: 266.777.854
|
|
|
12.08.2011 19:49 |
|
|
|
Hallo Freunde,
Seit ein paar Tagen plötzlich im meinem Forum funktioniert nicht "Übertragung verschlüsseln?:" . Bei anmelden muss immer das Häkchen weg geklickt werden. Das betrifft allen Usern. Weiß jemand von Euch was das sein könnte ? Mit Forum Software war nichts gemacht worden.
Viele Grüße
Christoph
__________________ Ein bisschen Freundschaft ist mir mehr wert als die Bewunderung der ganzen Welt (Otto von Bismarck)
|
|
23.11.2014 11:20 |
|
|
|
Hallo Viktor,
schade. Du warst mein letzter Hoffnung.
Gruß
Christoph
__________________ Ein bisschen Freundschaft ist mir mehr wert als die Bewunderung der ganzen Welt (Otto von Bismarck)
|
|
24.11.2014 23:45 |
|
|
|
Hallo Stine
Login.php habe gefunden
aber die Template Login ? wo finde ich das?
Dateianhang: |
login.txt (2,25 KB, 2 mal heruntergeladen)
|
__________________ Ein bisschen Freundschaft ist mir mehr wert als die Bewunderung der ganzen Welt (Otto von Bismarck)
|
|
25.11.2014 22:54 |
|
|
|
Einstellungen: Ausgabeoptionen
GZip Komprimierung aktivieren? nein
GZip Komprimierungslevel: 1
Seitencaching deaktivieren? nein
Präfix für Cookienamen: wbb2_
Hallo Stine,
genau so ist auch bei mir
Lg
Christoph
__________________ Ein bisschen Freundschaft ist mir mehr wert als die Bewunderung der ganzen Welt (Otto von Bismarck)
|
|
25.11.2014 22:57 |
|
|
|
|
|
|