[Dimagier_Horst]

Zitat:

Zitat von Schmiddi

Dann ändere ich halt das Passwort, und mache den Unfug weg.

Wenn ich Dein Passwort knacke, dann ändere ich als erstes Dein Kennwort. DAS Kennwort knackst Du nicht mit Hausmitteln. Dann machst Du alles mögliche, nur nicht den Unfug weg.

Zitat:

Zitat von usch

"Ohne großen Aufwand" stell ich mir anders vor.

Geht viel einfacher, wenn Du Dich an einen Knoten hängst. Einen Zugriff auf die physische Leitung brauchte man zu Analogzeiten.

[usch]

Zitat:

Zitat von Dimagier_Horst

Wenn ich Dein Passwort knacke, dann ändere ich als erstes Dein Kennwort.

Wenn jemand vermeiden will, daß das geknackte Konto auffliegt, wird er so wenig wie möglich in Erscheinung treten und deshalb nach Möglichkeit gerade nicht an den Zugangsdaten herumfummeln. Ich weiß nicht, wie das bei vBulletin implementiert ist, aber normalerweise sollte bei Änderungen an Passwort und/oder E-Mail-Adresse auf jeden Fall eine Benachrichtigung an die hinterlegte (bisherige) Adresse rausgehen. Dann alarmiert der legitime Inhaber einen Admin und läßt das Konto zurücksetzen bzw. bis zur Klärung der Sache stillegen.

Bei GMX sind ja vor einiger Zeit mehrere Tausend Passwörter geklaut worden (dagegen hilft dann auch kein SSL...). Die Täter haben erst mal gar nichts gemacht, bis sich die Wogen geglättet haben, und dann von den betroffenen Accounts Spam an alle Adressen im Adressbuch verschickt, anschließend den Ordner "gesendete Nachrichten" säuberlich aufgeräumt, damit sie keine Spuren hinterlassen, aber das Passwort schön in Ruhe gelassen.

Zitat:

Geht viel einfacher, wenn Du Dich an einen Knoten hängst.

Auch dazu braucht man Zugriff auf die Infrastruktur des Betreibers.

[duncan.blues]

Zitat:

Zitat von usch

Auch dazu braucht man Zugriff auf die Infrastruktur des Betreibers.

Den haben viel mehr als einem lieb sein kann. Das gilt insbesondere (aber nicht nur), wenn man aus dem Ausland (Urlaub?) mal eben auf das SUF zugreifen will. Allen voran drängen sich da unsere speziellen "Freunde" in Amiland, GB und inzwischen auch Australien auf (und wer jetzt mit "ich hab doch nichts zu verbergen" oder "was wollen die schon mit meinen Daten?" kommt, der hat wirklich nichts kapiert).
Aber auch ganz banal WLANs im Hotel oder im Straßencafe sind grundsätzlich als unsicher zu betrachten.

Insofern sollte inzwischen alles was mit Logins, Passwörtern, e-mail Adressen und persönlichen Nachrichten im allgemein zu tun hat eigentlich wie selbstverständlich nur noch über verschlüsselte Verbindungen laufen.

[usch]

Naja ... wenn ich im Urlaub bin oder im Café mit ungesichertem WLAN sitze, muß ich ja nicht ausgerechnet dann ins Forum. Ich seh hier nichts, was so dringend wäre, daß es nicht bis zu Hause warten könnte. Das erspart auch das Gefummel mit den Galerie- und Zitat-Buttons und den sinnentstellenden Krampf mit der Autokorrektur.

[mrrondi]

Zitat:

Zitat von turboengine

Genau. Hatte ich schon immer mal vor... Z.B. unter Deinem Account eine Diskussion über Winterreifenpflicht für den ECKLA-Rolly anzetteln oder unter mrrondis account mal so richtig derb über Sony herziehen... Was ein Spass .

Jawollloooooooooo :-))

[SteffDA]

Zitat:

Zitat von usch

Wozu? Es ist ein öffentliches Forum, das eh jeder lesen kann. Was willst du da verschlüsseln?

Nun, eine Zuordnung, wer was wann liest, wäre über eine verschlüsselte Verbindung nicht möglich. Passwörter und Logins wären nicht mehr ausspähbar; Persönlichkeitsprofile nicht detailliert ergänzbar.

Z.B.: Ein SUF-User, der zu Recherchezwecken o.ä. Webseiten militanter Gruppen besucht interessiert sich für leistungsstarke Teleoptiken, Kameras mit APS-C-Sensor und Bildstabilisierung. Er besucht auch andere Fotoforen mit genau diesem Interesse.

Was wäre in dieses Verhalten interpretierbar?

[usch]

Ich weiß immer noch nicht, was die Verschlüsselung da nützen soll. Es kann doch jeder auf http://www.sonyuserforum.de/forum/online.php sehen, was du gerade machst.

Aus der Nummer kommst du nur raus, indem du solche Aktionen an verschiedenen Tagen von verschiedenen Rechnern aus über verschiedene Internet-Provider machst und dich am besten gar nicht erst als Benutzer in irgendwelchen Foren registrierst. Dann gibt es aber wiederum auch kein Passwort, das bei einer unverschlüsselten Verbindung ausgespäht werden könnte.

[DonFredo]

Zitat:

Zitat von usch

....Es kann doch jeder auf http://www.sonyuserforum.de/forum/online.php sehen, was du gerade machst....

Moin,

definitiv Nein.

Auf diese Seite können nur registrierte und auch angemeldete User zugreifen.


Im Übrigen prüfen wir die Möglichkeit, https einzusetzen, aber ich kenne kein Fotoforum, dass https verwendet.

[usch]

Zitat:

Zitat von DonFredo

Auf diese Seite können nur registrierte und auch angemeldete User zugreifen.

Und? Kann sich denn nicht jeder im Forum registrieren? Von den 42000 registrierten Benutzern haben rund 60% noch keinen einzigen Beitrag geschrieben, aber irgendeinen Grund für die Anmeldung werden sie ja wohl gehabt haben.

Zitat:

Im Übrigen prüfen wir die Möglichkeit, https einzusetzen, aber ich kenne kein Fotoforum, dass https verwendet.

Mein Reden. Es ist ja kein Hexenwerk, sondern einfach eine Kostenfrage, weil man diese dusseligen Zertifizierungsstellen bezahlen muß. Ein selbstsigniertes Zertifikat ginge natürlich auch, aber dann hättet ihr wieder den Support für die Benutzer an der Backe, die das nicht ohne fremde Hilfe installiert kriegen. Ich sehe da insgesamt in erster Linie Aufwand ohne großen Nutzen.

[traeumerle]

Zur Sicherheit gehören immer mehrere Faktoren dazu und die Verschlüsselung der Übertragung ist ein Baustein. Richtig ist: Man sollte nicht für verschiedene Webdienste das gleiche Passwort verwenden, richtig ist leider auch: Nicht alle halten sich an diese Regel. Richtig ist auch: Man muss "auf der Leitung sitzen" um Nicht-SSL/TLS-Verkehr abzuhören, das ist Aufwand. Richtig ist aber auch: Das ist häufiger der Fall als man meint (Unvorsichtig verwendete offene Wlans, Überwachung beim Arbeitgeber, selbst Home-Router sind gerne Angriffziel wenn diese nicht abgesichtert werden.).

Andere Punkte (Updates der Server- und Forensoftware, Update der Clientsoftware wie Browser, Betreibssystem, Mailprogramm etc) sind mindestens genauso wichtig.

Kurze Reder, langer Sinn: Eine verschlüsselte Verbindung ergibt schon äußerst Sinn, ein Domainvalidiertest Zertifikat sollte aber auf jeden Fall ausreichen.