Wünsche und Kritik? Aber bitte nur Wünsche, Kritik ist unerwünscht

Wünsche und Kritik zu und über dieses Portal
geloescht

Wünsche und Kritik? Aber bitte nur Wünsche, Kritik ist unerwünscht

Beitrag von geloescht »

Wieder mal wurde ein Thread geschlossen, da dieser "ungemütlich" für die Forenbetreiber wurde dageg1

Es ist nun einmal so, das es nicht nur Spass und Lustig ist, eine Website oder Forum auf einem Fremd-Server zu betreiben, sondern auch eine menge Arbeit und Verantwortung den Usern gegenüber!

Ürsprünglich ging es ganz lapidar darum, das die Forum-Software VBulletin 3.5.4 mit dem FF 44 nicht sauber läuft.
Anstatt das mal in erwägung gezogen wird die Software up zu daten, werden einem Ominöse halbgare vorschläge unterbreitet, die sogar noch kontraproduktiv sein können (bei einem stark genutzten FF).
Zwischenzeitlich ist die VBulletin 5.x.x erhältlich, aber hier läuft immer noch eine Uralte V3.5.4, obwohl es sogar eine höhere V3.x.x gibt.
Nachzuschauen bei VBulletin

Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!
Ja, diese Aussage ist keiner DIN oder ISO oder sonstwas zu entnehmen, das sagt einfach die Menschliche Verantwortung.

So, Ihr habt es ja nicht anders gewollt, Ich kann auch Unfreundlich werden, bemühe mich aber IMMER um Sachlichkeit und Höflichkeit.
Das gerät hier leider immer mehr in Vergessenheit.
geloescht

Beitrag von geloescht »

Wieder mal wurde ein Thread geschlossen, da dieser "ungemütlich" für die Forenbetreiber wurde
Schon das entspricht nicht der Wahrheit und der Thread ist seit gesten wieder offen. Er wurde lediglich mit den danach eröffenten Thread zusammen geführt, weil es das gleiche Thema war.

Der Titel ist genau so unwahr. Eine sachlich vorgetragene Kritik wurde immer gehört und der Versuch unternommen eine Lösung zu finden.

Alois
geloescht

Beitrag von geloescht »

Zur Erinnerung: Es ist die Pflicht eines Forum-betreibers, die Software auf einem aktuellen stand zu halten !!!!
Das das nirgendwo festgeschrieben ist ist es schlicht und ergreifend falsch.

Der Titel ist genau so falsch.

Alois
karo1170
Null-Leiter
Beiträge: 458
Registriert: Montag 31. März 2014, 11:26
Wohnort: Sachsen/Erzgebirge

Beitrag von karo1170 »

Alois hat geschrieben:Das das nirgendwo festgeschrieben ist ist es schlicht und ergreifend falsch.

Der Titel ist genau so falsch.

Alois
Den Empfehlungen des BSI zum Thema Software wie z.b. hier beschrieben:

PatchManagement

sollte man aber trotzdem etwas Aufmerksamkeit schenken. Es handelt sich beim BSI nicht um einen privaten Verein wie VDE, DIN, VdS... sondern um eine staatliche Institution.
geloescht

Beitrag von geloescht »

Hallo Karo,

ich kenne das BSI.

Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.

Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?

Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.

Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.

Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.

Gruß

Alois
Teletrabi
Null-Leiter
Beiträge: 3698
Registriert: Dienstag 10. Februar 2004, 21:00
Kontaktdaten:

Beitrag von Teletrabi »

Alois hat geschrieben: Der Titel ist genau so falsch.

Alois

Ein Blick auf die Vielzahl geclosedter Thrads der letzten Zeit sagt was anderes. Kritik darf hier offenbar nicht geäußert werden.
Olaf S-H
Beiträge: 13786
Registriert: Montag 10. Januar 2005, 23:57

Beitrag von Olaf S-H »

Teletrabi hat geschrieben:Ein Blick auf die Vielzahl geclosedter Thrads der letzten Zeit sagt was anderes. Kritik darf hier offenbar nicht geäußert werden.
Moin Teletrabi,

selbstverständlich darf hier Kritik geäußert werden.

Gruß Olaf
Dies ist keine rechtsverbindliche Auskunft sondern meine Meinung bzw. mein Tipp für den Bereich der Bundesrepublik Deutschland! Die einschlägigen Normen/Vorschriften (z. B. DIN, VDE, TAB, DGUV, TRBS, BekBS, NAV, EN, LBO, LAR, ArbStättV, BetrSichV, ProdSG, ...) sind zu beachten. Ein Rechtsanspruch kann hieraus nicht abgeleitet werden. Die Nennung von Fundstellen in Regelwerken stellt keine Rechtsberatung sondern nur die Sichtweise des Verfassers dar.
vde1
Für elektrotechnische Laien gilt: Dieser Beitrag erläutert die technischen Zusammenhänge. Die Umsetzung obliegt den konzessionierten Fachbetrieben (§13(2)NAV).

"Wer eine Handlung begeht, der übernimmt auch alle daraus folgende Pflichten." §33 I-3 prALR 1794
karo1170
Null-Leiter
Beiträge: 458
Registriert: Montag 31. März 2014, 11:26
Wohnort: Sachsen/Erzgebirge

Beitrag von karo1170 »

Alois hat geschrieben:Hallo Karo,

ich kenne das BSI.

Vielleicht erinnerst Du Dich an die Sicherheitslücke die unter dem Namen "Heartblead" bekannt wurde. Wer zu der Zeit alle Updates eingespielt hatte der hatte das Problem. Ältere Versionen von Servern hatten das Problem nicht.
Nunja, die Anwender, die heute noch auf der HP-UX arbeiten, werden von den meisten Bedrohungen aus dem Internet auch verschont...Ob das ein Argument fuer besonders alte Software sein kann, ist aber fraglich.
Alois hat geschrieben: Wovon reden wir bei einem Forum/diesem Form? Welche Sicherheitsrisiken bestehen? Welche persönlichen Daten kann ein "Angreifer" erlangen?

Ich sehe nur ein einziges persönliches Datum welches man abgreifen könnte, käme man an die User-Datenbank heran. Es ist die Mailadresse nicht mehr und nicht weniger.

Wer also ein Problem mit der "alten" Software hat, der lege sich eine Mailadresse zu die er nur für dieses Forum verwendet und die er jederzeit löschen kann.

Ich bin aber gern bereit mich eines besseren belehren zu lassen, wenn größere Sicherheitsrisiken bestehen, die ich derzeit - aufgrund meines Wissensstandes - nicht erkenne.
Mal ein ganz einfaches Szenario: Angreifer verschafft sich gezielt per Exploit einen Admin Zugang zum Forum. Versendet eine Reihe emails an die dort deponierten Adressen mit unverfaenglichen Titel "Einladung zum Forumstreffen...." oder "Anleitung zur neuen Forensoftware..." und verfaenglichen Inhalt (PDF, Word-Dokument mit Macros inkl. Trojaner, Verschluesselungssoftware oder was auch immer). Ein noch bequemeres Einfallstor fuer "social engineering" laesst sich kaum finden.
Teletrabi
Null-Leiter
Beiträge: 3698
Registriert: Dienstag 10. Februar 2004, 21:00
Kontaktdaten:

Beitrag von Teletrabi »

zzgl. ggf. noch Abgriff der Passwörter. kA, wie genau gesichert vBulletin sie ablegt (oder dieses zu konfigurieren ist). Ein nicht kleiner Teil dürfte für mehrere Websites funktionieren...
Und auch wenn sie nicht decodierbar hinterlegt sind, bietet sich immer noch an, eine Fake-Passwordabfrage die Page einzubauen oder einen Link zur "Pwd-Bestätigung nach Datenproblemen wegen Umzug auf Ersatzserver" verweisend auf http://www.dieS1eckdose.net an die geernteten Mailadressen zu verteilen. Ganz höchstoffiziell aus dem (gekaperten) Boardsystem als vermeintlicher Admin verschickt....
geloescht

Beitrag von geloescht »

Hallo Karo,

alles was Du schreibst ist richtig, wäre aber mit dem Heartbled Fehler erst recht möglich gewesen.

Und viel schlimmer.

Man hatte damit Zugang zu den wirklich persönlichen Daten z.B. Konto; Kredikarte und vieles mehr.

Fragen wir mal in die Runde wer von den Forumteilnehmern hat nach Bekanntwerden von Heartblead konsequent alle Passwörter geändert?

Da werden einige die das hier lesen erschreckt fragen was ist denn Heartbled?

Fair wäre es, wenn die Kritiker eine Schwachstelle dahingehend nutzen würden, dass sie z.B. meinen Account hacken und mir dann per PN, per Mail (der eine oder andere hat sogar die Telefonnummer) mitteilen würden

Schau mal, diese Lücke hat es mir ermöglicht Dein Passwort heraus zu bekommen. So lautet Dein derzeitiges Passwort etc. etc.

Alternativ: mit diesem Passwort (es muss ja nicht das sein welches ich gesetzt habe) komme ich als Admin in das System.

Das wäre m.E. eine Maßnahme die deutlich machen würde dass wirklich ein Risiko besteht.

Wir haben dennoch eine zusätzliche Sicherheitsbarriere vorgeschaltet die - selbst mit Kenntnis meines Passwortes - den Zugriff auf den administrativen Teil des Forum verhindert.


Gruß

Alois
Gesperrt