SonyUserforum - Verbindung zu SonyUserforum nicht sicher?

Tafelspitz · 13.05.2019, 09:29

Zitat:

Zitat von Fuexline

ifinds lustig wie im einen Thread Leute sich über Smarthome Geräte aufregen aber anscheinend unsichere Verbindungen bei Websites als völlig toll und normal ansehen

Zitat:

Zitat von Guy Fawkes

Somit ist der Vorwurf der Bastelei vollkommen gerechtfertig und das man durch diese sträfliche Unterlassung seine User in Gefahr bringt, ebenfalls.

Ich verstehe von der ganzen Sache nur Bahnhof.
Was wäre denn das Schlimmste, das einem hier passieren könnte?
...und geht bitte für einen Moment davon aus, dass ich nix von Informatik verstehe und mit 99% aller Akronyme nichts anfangen kann

Fuexline · 13.05.2019, 10:32

Nun ja

im schlimmsten Falle hast du einen Trojaner auf dem Pc welcher deinen Netzwerkverkehr deiner Netzwerkkarte mitlist loggst du dich z.B. irgendwo ein und es gibt kein HTTPS, dann überträgt die Netzwerkkarte dein Passwort an die Website über 1-3 DNS Server und du wirst eingeloggt, kennt aber einer z.B deine IP du hast keine Firewall, oder SIcherheitslücken im Router oder jemand hackt sich von außen in dein Wlan und oder ein Trojaner liest deinen Traffic mit dann bekommen die auch dein Passwort im Klartext

HTTPS ist wie eine Schützhülle für dein Passwort quasi fliegt es dann nicht einfach so im web herum sondern bekommt einen nennen wir es mal grünen Tunnel bis zur Website und die Hülle ist ein Passwort Hash, das kann AES sein, SHA1 oder nur MD5 je nach dem welches Cert man hat wie sicher es ist usw - wenn dann jemand deinen verkehr mitliest bekommt er dann nicht dein Kennwort "Hase0219" zu sehen sondern sowas: "6a51895d71dbd0080269d369661d21c9ac1b27d2" du wirst feststellen das es sehr schwierig sein wird daraus dein Passwort zu bekommen

EIn HTTPS Zertifikat soll dazu noch die Identität der Website bestätigen und kann auch dann nur auf die entsprechende domain ausgestellt werden, zudem muss es jährlich erneuert werden sprich, würde ich eine fake sony userforums Seite bauen und mit link spoofing arbeiten, könnte ich diesen nicht mit https angeben weil ich schlichtweg nicht der Besitzer der DOmain bin!

im schlimmsten Falle also klaut dir jemand dein Passwort samt Usernamen hier, nun postet er Viagra Werbung in Threads, was noch das harmloseste wäre, er könnte auch Kameras verkaufen mit deiner guten Reputation und so geld kassieren. im worst case aber hast du dieses Passwort schon auf deiner online Banking seite verwendet oder im mediamarkt Payback etc oder schlimmer noch email, somit loggt der ANgreifer sich in dein Mail Postfach ein und hat dann Zugriff zu all deinen Account s

schlimm aber möglich

dazu kommt eben noch die Geschichte das ohne nicht DSGVO konform ist und google Seiten ohne bei den google Suchergebnissen weit weit zurückstellt

EDIT

Das Vbulletin also die Forensoftware scheint auch noch veraltet zu sein

Dat Ei · 13.05.2019, 10:41

Moin Dominik,

alle Daten, die Du in Richtung SUF schickst bzw. vom SUF empfängst, werden unverschlüsselt, also im Klartext, durch das Internet geschickt. Das betrifft nicht nur den Inhalt Deiner Postings, sondern auch Deine Accountdaten inkl. Passwort, die PNs, die Du schreibst oder liest, Teile Deiner Verbindungsdaten etc. pp. Unter diesen Daten sind jede Menge Daten, die der Gesetzgeber eindeutig als personenbezogene Daten wertet, und die der DSGVO unterliegen.

Dadurch, dass Du nicht direkt mit dem SUF kommunizierst, sondern die Daten durch das Internet über viele Zwischenstellen transportiert werden müssen, können diese Daten an jeder Zwischenstelle mitgelesen und gespeichert werden.

Die DSGVO, die nach einer zweijährigen Übergangsfrist Ende Mai letzten Jahres rechtsverbindlich wurde, schreibt vor, dass Systeme, die personenbezogene Daten verarbeiten, "privacy by design" und "privacy by default" bieten müssen, insbesondere, wenn der Aufwand gering und die Technik dafür schlicht und ergreifend weit verbreitet ist. Daher kann ich fuexline nur vollkommen zustimmen, dass der Zustand hier ein sehr bedenklicher ist.

Es mag aufgrund der mangelnden Pflege und Weiterentwicklung der Systeme keine 5min-Sache mehr sein, um hier eine verschlüsselte Verbindung anzubieten, aber das Argument, dass es sich hier um eine ehrenamtliche Tätigkeit der Vereinsmitglieder handle, ist nicht stichhaltig und wird wenig Gehör finden. Es reicht nicht, einmalig Verantwortung zu übernehmen, sondern man muss Verantwortung auch aktiv und dauerhaft tragen. Dazu benötigt es auch Engagement und Freude an der Aufgabe. Die Präsenz mancher Teammitglieder spricht allerdings eine andere Sprache.

Dat Ei

Fuexline · 13.05.2019, 10:42

HTTPS ist wie gesagt in 10 min integriert, HTTPS Mod für VB installieren, vorher lets encrypt zert im Webhosting panel anlegen und Seite dauerhaft mit 403 an https binden dann Mod aktivieren der Rest ist n Selbstläufer

Dat Ei · 13.05.2019, 10:46

An den 10min habe ich meine Zweifel, da hier mehrere, verschiedene Programmpakete zum Einsatz kommen, die miteinander verwoben wurden und in denen gegenseitige Aufrufe stecken. Allein für eine gescheite Analyse wirst Du ein vielfaches von 10min investieren müssen. Und wir reden hier von einem Live-System und nicht von einem Testsystem.

Dat Ei

Fuexline · 13.05.2019, 10:48

das ist n Vbulletin FOrum das hat ne all in One Struktur intern werden alle links auf https geschaltet sofern der Server dann https weiterleitet ists passiert da brauchts wahrlich keine Analyse die Forensoftware selbst bietet schon ein HTTPS Plugin an

klar in den X Min wird das Forum nicht erreichbar sein weshalb man sowas nachts um 3 macht

Dat Ei · 13.05.2019, 10:51

Du hast hier 4images und weitere händisch programmierte Erweiterungen am Start. Sag ich Dir mal so als ehemaliger Mitbegründer und Betreiber des Forums...

Dat Ei

Fuexline · 13.05.2019, 10:56

okay

wenn die erweiterung nicht das url Framework vom VB nutzt muss man in der Tat händisch alle http Links in https umwandeln - sind dann auch nochmals 10 min Aufwand, was mit 4 Images gemeint ist daraus werde ich nicht schlau

Dat Ei · 13.05.2019, 11:00

Zitat:

Zitat von Fuexline

...was mit 4 Images gemeint ist daraus werde ich nicht schlau

Dann war Deine Analyse des Systems und des Aufwands wohl nicht hinreichend.

Dat Ei

Fuexline · 13.05.2019, 11:01

Ich ging von einem VB mit einer externen Erweiterung aus

bin mir aber sicher das wenn ein versierter Mensch drüber schaut es in ner Naht und Nebel Aktion richten kann

13.05.2019, 10:32	#12
Fuexline Registriert seit: 28.04.2015 Ort: Remseck-Aldingen Beiträge: 2.983	Nun ja im schlimmsten Falle hast du einen Trojaner auf dem Pc welcher deinen Netzwerkverkehr deiner Netzwerkkarte mitlist loggst du dich z.B. irgendwo ein und es gibt kein HTTPS, dann überträgt die Netzwerkkarte dein Passwort an die Website über 1-3 DNS Server und du wirst eingeloggt, kennt aber einer z.B deine IP du hast keine Firewall, oder SIcherheitslücken im Router oder jemand hackt sich von außen in dein Wlan und oder ein Trojaner liest deinen Traffic mit dann bekommen die auch dein Passwort im Klartext HTTPS ist wie eine Schützhülle für dein Passwort quasi fliegt es dann nicht einfach so im web herum sondern bekommt einen nennen wir es mal grünen Tunnel bis zur Website und die Hülle ist ein Passwort Hash, das kann AES sein, SHA1 oder nur MD5 je nach dem welches Cert man hat wie sicher es ist usw - wenn dann jemand deinen verkehr mitliest bekommt er dann nicht dein Kennwort "Hase0219" zu sehen sondern sowas: "6a51895d71dbd0080269d369661d21c9ac1b27d2" du wirst feststellen das es sehr schwierig sein wird daraus dein Passwort zu bekommen EIn HTTPS Zertifikat soll dazu noch die Identität der Website bestätigen und kann auch dann nur auf die entsprechende domain ausgestellt werden, zudem muss es jährlich erneuert werden sprich, würde ich eine fake sony userforums Seite bauen und mit link spoofing arbeiten, könnte ich diesen nicht mit https angeben weil ich schlichtweg nicht der Besitzer der DOmain bin! im schlimmsten Falle also klaut dir jemand dein Passwort samt Usernamen hier, nun postet er Viagra Werbung in Threads, was noch das harmloseste wäre, er könnte auch Kameras verkaufen mit deiner guten Reputation und so geld kassieren. im worst case aber hast du dieses Passwort schon auf deiner online Banking seite verwendet oder im mediamarkt Payback etc oder schlimmer noch email, somit loggt der ANgreifer sich in dein Mail Postfach ein und hat dann Zugriff zu all deinen Account s schlimm aber möglich dazu kommt eben noch die Geschichte das ohne nicht DSGVO konform ist und google Seiten ohne bei den google Suchergebnissen weit weit zurückstellt EDIT Das Vbulletin also die Forensoftware scheint auch noch veraltet zu sein __________________ meine Webseite PS zu all meinen Angeboten gilt Privatverkauf, keine Rücknahme oder garantien Geändert von Fuexline (13.05.2019 um 10:36 Uhr)

13.05.2019, 10:41	#13
Dat Ei Registriert seit: 07.09.2003 Beiträge: 19.637	Moin Dominik, alle Daten, die Du in Richtung SUF schickst bzw. vom SUF empfängst, werden unverschlüsselt, also im Klartext, durch das Internet geschickt. Das betrifft nicht nur den Inhalt Deiner Postings, sondern auch Deine Accountdaten inkl. Passwort, die PNs, die Du schreibst oder liest, Teile Deiner Verbindungsdaten etc. pp. Unter diesen Daten sind jede Menge Daten, die der Gesetzgeber eindeutig als personenbezogene Daten wertet, und die der DSGVO unterliegen. Dadurch, dass Du nicht direkt mit dem SUF kommunizierst, sondern die Daten durch das Internet über viele Zwischenstellen transportiert werden müssen, können diese Daten an jeder Zwischenstelle mitgelesen und gespeichert werden. Die DSGVO, die nach einer zweijährigen Übergangsfrist Ende Mai letzten Jahres rechtsverbindlich wurde, schreibt vor, dass Systeme, die personenbezogene Daten verarbeiten, "privacy by design" und "privacy by default" bieten müssen, insbesondere, wenn der Aufwand gering und die Technik dafür schlicht und ergreifend weit verbreitet ist. Daher kann ich fuexline nur vollkommen zustimmen, dass der Zustand hier ein sehr bedenklicher ist. Es mag aufgrund der mangelnden Pflege und Weiterentwicklung der Systeme keine 5min-Sache mehr sein, um hier eine verschlüsselte Verbindung anzubieten, aber das Argument, dass es sich hier um eine ehrenamtliche Tätigkeit der Vereinsmitglieder handle, ist nicht stichhaltig und wird wenig Gehör finden. Es reicht nicht, einmalig Verantwortung zu übernehmen, sondern man muss Verantwortung auch aktiv und dauerhaft tragen. Dazu benötigt es auch Engagement und Freude an der Aufgabe. Die Präsenz mancher Teammitglieder spricht allerdings eine andere Sprache. Dat Ei __________________ "Wennde met dr Hääd löufs, häsde immer e Aaschloch vürm Jeseech." (Zitat Gerd Köster) "Wer mit Euch ist, ist nicht ganz bei sich." Geändert von Dat Ei (13.05.2019 um 10:43 Uhr)

13.05.2019, 10:42	#14
Fuexline Registriert seit: 28.04.2015 Ort: Remseck-Aldingen Beiträge: 2.983	HTTPS ist wie gesagt in 10 min integriert, HTTPS Mod für VB installieren, vorher lets encrypt zert im Webhosting panel anlegen und Seite dauerhaft mit 403 an https binden dann Mod aktivieren der Rest ist n Selbstläufer __________________ meine Webseite PS zu all meinen Angeboten gilt Privatverkauf, keine Rücknahme oder garantien

13.05.2019, 10:46	#15
Dat Ei Registriert seit: 07.09.2003 Beiträge: 19.637	An den 10min habe ich meine Zweifel, da hier mehrere, verschiedene Programmpakete zum Einsatz kommen, die miteinander verwoben wurden und in denen gegenseitige Aufrufe stecken. Allein für eine gescheite Analyse wirst Du ein vielfaches von 10min investieren müssen. Und wir reden hier von einem Live-System und nicht von einem Testsystem. Dat Ei __________________ "Wennde met dr Hääd löufs, häsde immer e Aaschloch vürm Jeseech." (Zitat Gerd Köster) "Wer mit Euch ist, ist nicht ganz bei sich."

13.05.2019, 10:48	#16
Fuexline Registriert seit: 28.04.2015 Ort: Remseck-Aldingen Beiträge: 2.983	das ist n Vbulletin FOrum das hat ne all in One Struktur intern werden alle links auf https geschaltet sofern der Server dann https weiterleitet ists passiert da brauchts wahrlich keine Analyse die Forensoftware selbst bietet schon ein HTTPS Plugin an klar in den X Min wird das Forum nicht erreichbar sein weshalb man sowas nachts um 3 macht __________________ meine Webseite PS zu all meinen Angeboten gilt Privatverkauf, keine Rücknahme oder garantien Geändert von Fuexline (13.05.2019 um 10:51 Uhr)

13.05.2019, 10:51	#17
Dat Ei Registriert seit: 07.09.2003 Beiträge: 19.637	Du hast hier 4images und weitere händisch programmierte Erweiterungen am Start. Sag ich Dir mal so als ehemaliger Mitbegründer und Betreiber des Forums... Dat Ei __________________ "Wennde met dr Hääd löufs, häsde immer e Aaschloch vürm Jeseech." (Zitat Gerd Köster) "Wer mit Euch ist, ist nicht ganz bei sich."

13.05.2019, 10:56	#18
Fuexline Registriert seit: 28.04.2015 Ort: Remseck-Aldingen Beiträge: 2.983	okay wenn die erweiterung nicht das url Framework vom VB nutzt muss man in der Tat händisch alle http Links in https umwandeln - sind dann auch nochmals 10 min Aufwand, was mit 4 Images gemeint ist daraus werde ich nicht schlau __________________ meine Webseite PS zu all meinen Angeboten gilt Privatverkauf, keine Rücknahme oder garantien

13.05.2019, 11:01	#20
Fuexline Registriert seit: 28.04.2015 Ort: Remseck-Aldingen Beiträge: 2.983	Ich ging von einem VB mit einer externen Erweiterung aus bin mir aber sicher das wenn ein versierter Mensch drüber schaut es in ner Naht und Nebel Aktion richten kann __________________ meine Webseite PS zu all meinen Angeboten gilt Privatverkauf, keine Rücknahme oder garantien

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Sponsored Links

Sponsored Links

Sponsored Links