Seite 1 von 5
Wünsche und Kritik? Aber bitte nur Wünsche, Kritik ist unerwünscht
Verfasst: Montag 1. Februar 2016, 19:21
von geloescht
Wieder mal wurde ein Thread geschlossen, da dieser "ungemütlich" für die Forenbetreiber wurde
Es ist nun einmal so, das es nicht nur Spass und Lustig ist, eine Website oder Forum auf einem Fremd-Server zu betreiben, sondern auch eine menge Arbeit und Verantwortung den Usern gegenüber!
Ürsprünglich ging es ganz lapidar darum, das die Forum-Software VBulletin 3.5.4 mit dem FF 44 nicht sauber läuft.
Anstatt das mal in erwägung gezogen wird die Software up zu daten, werden einem Ominöse halbgare vorschläge unterbreitet, die sogar noch kontraproduktiv sein können (bei einem stark genutzten FF).
Zwischenzeitlich ist die VBulletin 5.x.x erhältlich, aber hier läuft immer noch eine Uralte V3.5.4, obwohl es sogar eine höhere V3.x.x gibt.
Nachzuschauen bei VBulletin
Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!
Ja, diese Aussage ist keiner DIN oder ISO oder sonstwas zu entnehmen, das sagt einfach die Menschliche Verantwortung.
So, Ihr habt es ja nicht anders gewollt, Ich kann auch Unfreundlich werden, bemühe mich aber IMMER um Sachlichkeit und Höflichkeit.
Das gerät hier leider immer mehr in Vergessenheit.
Verfasst: Montag 1. Februar 2016, 20:27
von geloescht
Wieder mal wurde ein Thread geschlossen, da dieser "ungemütlich" für die Forenbetreiber wurde
Schon das entspricht nicht der Wahrheit und der Thread ist seit gesten wieder offen. Er wurde lediglich mit den danach eröffenten Thread zusammen geführt, weil es das gleiche Thema war.
Der Titel ist genau so unwahr. Eine sachlich vorgetragene Kritik wurde immer gehört und der Versuch unternommen eine Lösung zu finden.
Alois
Verfasst: Montag 1. Februar 2016, 20:34
von geloescht
Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!
Das das nirgendwo festgeschrieben ist ist es schlicht und ergreifend falsch.
Der Titel ist genau so falsch.
Alois
Verfasst: Montag 1. Februar 2016, 21:38
von karo1170
Alois hat geschrieben:Das das nirgendwo festgeschrieben ist ist es schlicht und ergreifend falsch.
Der Titel ist genau so falsch.
Alois
Den Empfehlungen des BSI zum Thema Software wie z.b. hier beschrieben:
PatchManagement
sollte man aber trotzdem etwas Aufmerksamkeit schenken. Es handelt sich beim BSI nicht um einen privaten Verein wie VDE, DIN, VdS... sondern um eine staatliche Institution.
Verfasst: Montag 1. Februar 2016, 21:53
von geloescht
Hallo Karo,
ich kenne das BSI.
Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.
Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?
Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.
Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.
Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.
Gruß
Alois
Verfasst: Montag 1. Februar 2016, 22:20
von Teletrabi
Alois hat geschrieben:
Der Titel ist genau so falsch.
Alois
Ein Blick auf die Vielzahl geclosedter Thrads der letzten Zeit sagt was anderes. Kritik darf hier offenbar nicht geäußert werden.
Verfasst: Montag 1. Februar 2016, 22:28
von Olaf S-H
Teletrabi hat geschrieben:Ein Blick auf die Vielzahl geclosedter Thrads der letzten Zeit sagt was anderes. Kritik darf hier offenbar nicht geäußert werden.
Moin Teletrabi,
selbstverständlich darf hier Kritik geäußert werden.
Gruß Olaf
Verfasst: Montag 1. Februar 2016, 22:52
von karo1170
Alois hat geschrieben:Hallo Karo,
ich kenne das BSI.
Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.
Nunja, die Anwender, die heute noch auf der HP-UX arbeiten, werden von den meisten Bedrohungen aus dem Internet auch verschont...Ob das ein Argument fuer besonders alte Software sein kann, ist aber fraglich.
Alois hat geschrieben:
Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?
Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.
Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.
Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.
Mal ein ganz einfaches Szenario: Angreifer verschafft sich gezielt per Exploit einen Admin Zugang zum Forum. Versendet eine Reihe emails an die dort deponierten Adressen mit unverfaenglichen Titel "Einladung zum Forumstreffen...." oder "Anleitung zur neuen Forensoftware..." und verfaenglichen Inhalt (PDF, Word-Dokument mit Macros inkl. Trojaner, Verschluesselungssoftware oder was auch immer). Ein noch bequemeres Einfallstor fuer "social engineering" laesst sich kaum finden.
Verfasst: Montag 1. Februar 2016, 23:05
von Teletrabi
zzgl. ggf. noch Abgriff der Passwörter. kA, wie genau gesichert vBulletin sie ablegt (oder dieses zu konfigurieren ist). Ein nicht kleiner Teil dürfte für mehrere Websites funktionieren...
Und auch wenn sie nicht decodierbar hinterlegt sind, bietet sich immer noch an, eine Fake-Passwordabfrage die Page einzubauen oder einen Link zur "Pwd-Bestätigung nach Datenproblemen wegen Umzug auf Ersatzserver" verweisend auf
http://www.dieS1eckdose.net an die geernteten Mailadressen zu verteilen. Ganz höchstoffiziell aus dem (gekaperten) Boardsystem als vermeintlicher Admin verschickt....
Verfasst: Dienstag 2. Februar 2016, 00:03
von geloescht
Hallo Karo,
alles was Du schreibst ist richtig, wäre aber mit dem Heartbled Fehler erst recht möglich gewesen.
Und viel schlimmer.
Man hatte damit Zugang zu den wirklich persönlichen Daten z.B. Konto; Kredikarte und vieles mehr.
Fragen wir mal in die Runde wer von den Forumteilnehmern hat nach Bekanntwerden von Heartblead konsequent alle Passwörter geändert?
Da werden einige die das hier lesen erschreckt fragen was ist denn Heartbled?
Fair wäre es, wenn die Kritiker eine Schwachstelle dahingehend nutzen würden, dass sie z.B. meinen Account hacken und mir dann per PN, per Mail (der eine oder andere hat sogar die Telefonnummer) mitteilen würden
Schau mal, diese Lücke hat es mir ermöglicht Dein Passwort heraus zu bekommen. So lautet Dein derzeitiges Passwort etc. etc.
Alternativ: mit diesem Passwort (es muss ja nicht das sein welches ich gesetzt habe) komme ich als Admin in das System.
Das wäre m.E. eine Maßnahme die deutlich machen würde dass wirklich ein Risiko besteht.
Wir haben dennoch eine zusätzliche Sicherheitsbarriere vorgeschaltet die - selbst mit Kenntnis meines Passwortes - den Zugriff auf den administrativen Teil des Forum verhindert.
Gruß
Alois