Wichtige Frage zum Zwangslogin

07.09.2013 06:15
avatar  ungott ( gelöscht )
#1 Wichtige Frage zum Zwangslogin
un
ungott ( gelöscht )

Ich habe mein Forum so konfiguriert, dass Gäste es nicht mehr öffentlich einsehen können. Wie ist das nun, wenn Schlüsseldienste wie Bugmenot verwendet werden, um das Zwangslogin auszutricksen? Kann Xobor irgendwie sicherstellen, dass das Forum wirklich nur für echte Mitglieder einsehbar ist?


 Antworten

 Beitrag melden
07.09.2013 10:40
#2 RE: Wichtige Frage zum Zwangslogin
avatar
Maid

Du kannst das Chapta aktivieren, Pflichtfelder bei der Registrierung bestimmen und die Leute manuell freischalten.

250% Sicherheit gibt es nirgendwo. Selbst ins Pentagon wird computertechnisch eingebrochen. Aber für gewöhnlich sind unsere Foren den Aufwand, der dahinter steht, nicht wert. ;)

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

 Antworten

 Beitrag melden
07.09.2013 13:25
avatar  ungott ( gelöscht )
#3 RE: Wichtige Frage zum Zwangslogin
un
ungott ( gelöscht )

Das ist ja völliger Unsinn.

Ich rede davon, wie man ausschließen kann, dass das Login umgangen wird. Siehe zum Beispiel die Seite bugmenot.com
Captcha, Pflichtfelder und manuelle Freischaltung haben nur mit der Registration zu tun.
Darum geht es aber nicht. Ich möchte sicherstellen, dass das Forum nicht über irgendwelche Hintertüren eingesehen wird.

Naja, wahrscheinlich gibt es von Xobor wieder keine Antwort, weil Xobor darauf nicht vorbereitet ist.


 Antworten

 Beitrag melden
07.09.2013 13:57
#4 RE: Wichtige Frage zum Zwangslogin
avatar
Maid

Dann verstehe ich Deine Frage ehrlich gesagt nicht, da ein Login nur möglich ist, wenn Du ein registriertes Mitglied bist, also einen Usernamen und ein passendes Passwort hast.

Falls Du unter Login etwas anderes verstehst, kannst Du da evtl. ein Beispiel bringen?

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

 Antworten

 Beitrag melden
07.09.2013 14:36 (zuletzt bearbeitet: 07.09.2013 14:37)
avatar  Fabian
#5 RE: Wichtige Frage zum Zwangslogin
avatar
Xobor-Spezialist

bugmenot ist eine Seite die einfach nur Logins speichert. Dagegen kann sich keine Seite "wehren", weil das jeder teilen kann.

Wenn jemand sein Benutzernamen uns Passwort auf einer anderen Seite veröffentlicht und sich damit jemand bei einem Xobor Forum einloggt, dann ist das für unsere Software ein ganz normaler Login.

Eine Hintertür haben wir nicht eingebaut.

Servus
Fabian Klose


 Antworten

 Beitrag melden
07.09.2013 14:54 (zuletzt bearbeitet: 07.09.2013 14:55)
#6 RE: Wichtige Frage zum Zwangslogin
avatar
Maid

Zitat von ungott im Beitrag #1
Ich habe mein Forum so konfiguriert, dass Gäste es nicht mehr öffentlich einsehen können. Wie ist das nun, wenn Schlüsseldienste wie Bugmenot verwendet werden, um das Zwangslogin auszutricksen? Kann Xobor irgendwie sicherstellen, dass das Forum wirklich nur für echte Mitglieder einsehbar ist?


Ehm... ich war mal in Deinem Forum aus Deinem Profil hier schaun ( www.psychose-online.net ). Das ist aber nicht für Gäste geschlossen, sondern sperrangelweit offen, zumindest was die Leseberechtigungen angeht. Allein "Schreiben" war im Mitgliederbereich Login-pflichtig.

Nur der Bereich "Nichtöffentliche Sektion" als Unterforum des Mitgliederbereichs war mit einer Zugangssperre behaftet.

Ist das so gewollt?

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

 Antworten

 Beitrag melden
07.09.2013 15:43
avatar  kacz
#7 RE: Wichtige Frage zum Zwangslogin
ka
Mitglied

Da ist viel lesen, selbst über die Sexualität der Mitglieder und auch noch das Profil dazu, also geschützt ist in dem Forum so gut wie nichts


 Antworten

 Beitrag melden
07.09.2013 20:11
avatar  ungott ( gelöscht )
#8 RE: Wichtige Frage zum Zwangslogin
un
ungott ( gelöscht )

@Rabendolch: Ja, danke, des Tipps. Ich weiß selbst, dass das Forum wieder geöffnet ist, habe ich ja selbst so eingerichtet...
..aus dem einfachen Grund übrigens, dass es keine Handhabe gibt gegen Schlüsseldienste wie bugmenot.com

@Support: Im Prinzip gäbe es eine Möglichkeit. Seiten wie Bugmenot.com auszuhebeln.
Die Seite ist so angelegt, dass das Login aus einem Usernamen und einem Passwort besteht. Würde man nun noch ein drittes Feld zum Login anlegen, wäre das Bugmenot-Prinzip wirkungslos.
Ich erwarte im Gegenteil überhaupt nicht, dass sich vom Xobor-Team jemand die Mühe macht.
Ich war trotzdem erstaunt, dass es so einfach ist, den Login zu umgehen. Insofern braucht es auch überhaupt keine gesonderten Leserechte. Wer möchte, kann auch unsichtbar ins Forum.
Bugmenot ist übrigens nicht das größte Problem, da es vorwiegend englische Seiten listet. Es gibt aber sicher noch andere Schlüsseldienste, die vergleichbar vorgehen.


 Antworten

 Beitrag melden
07.09.2013 20:41
#9 RE: Wichtige Frage zum Zwangslogin
avatar
Maid

Ehm.... Verbreite bitte nicht solche Gerüchte, man könnte den Login umgehen, das grenzt schon an Verleumdung und Rufschädigung.

Der von Dir genannte Dienst funktioniert nach dem Prinzip, das eine ganz normale Registrierung läuft und diese Logindaten dann öffentlich zur Verfügung gestellt werden. Genauso, als wenn ich mich bei Dir anmelde und die accountdaten hier posten würde.

Gegen menschliche Dummheit oder Bösartigkeit bzw. gegen "Verrat von innen heraus" wirds schwer mit Absicherungen. Das ist in etwa so, als wenn Du real eine Sicherheitsanlage einbaust und einer von innen gibt die Codes und Passwörter raus und öffnet die Fenster im Erdgeschoss. Dagegen hilft keine Sicherheitsfirma, aber es gibt andere Möglichkeiten für Dich als Admin, so etwas zumindest einzuschränken mit den Möglichkeiten der Xobor-Software.

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

 Antworten

 Beitrag melden
07.09.2013 21:56 (zuletzt bearbeitet: 07.09.2013 22:13)
avatar  ungott ( gelöscht )
#10 RE: Wichtige Frage zum Zwangslogin
un
ungott ( gelöscht )

Blas dich mal nicht so auf von wegen Verleumdung.

Es ist eine ganz natürliche Sache, dass es - wo es Sicherheitsstandards gibt - eben auch Dienste gibt, die solche aushebeln. Mit dem Xobor Forum hat dies speziell gar nichts zu tun, nur bin ich nunmal Seitenbetreiber eines Forums, das über Xobor läuft und da darf ich mir selbstverständlich Gedanken über die Sicherheit des Forums machen. Sicherheit meine ich in einem solchen Sinne, dass die Privatsphäre nicht unbedingt gewährleistet ist, wenn Zugriffe über ein "geborgtes Login" möglich sind. Das macht eine Registrierung beinahe überflüssig. Ich möchte hingegen auch keine Grundsatzdiskussion zu Sinn und Zweck von solchen Schlüsseldiensten. Als User des World Wide Web würde ich bugmenot.com jederzeit auch nutzen.

Selbst Microsoft hat diese Sicherheitslücken und Seiten wie bugmenot.com sind dazu da, dass beispielsweise neue Produkte und Demoversionen ohne das Anmeldeprozedere abrufbar sind. Dass es legal ist, heißt nicht, dass es keine Sicherheitslücke ist.

Im Übrigen ruft bugmenot.com dazu auf, sich gezielt Fake-Accounts zuzulegen mit Wegwerfadressen, damit die Datenbank entsprechend größer wird und viele Menschen zu vielen Seiten Zugriff haben.

Ansonsten habe ich nicht vor, mit dir zu diskutieren. Ich nehme an, du hast bemerkt, dass ich mich an den Support wende.

Nachtrag: Wenn du als Mitglied eines anmeldungspflichtigen Forums deine Logindaten weiträumig offenlegst und sie einem größeren Publikum zur Verfügung stellst, bist du sehr wohl ein Sicherheitsrisiko für die Privatsphäre von Menschen, die ihre Beiträge eben nicht teilen möchten. Leuchtet ein, oder.


 Antworten

 Beitrag melden
07.09.2013 22:25
#11 RE: Wichtige Frage zum Zwangslogin
avatar
Maid

Wie gesagt, es gibt auch für Dich als Admin eines Forums sehr einfache Möglichkeiten, auch mit diesem Problem umzugehen. Da es unabhängig von solchen Diensten auch reine Datensammler und Werbespammer gibt, habe ich in meinem Forum entsprechende Massnahmen ergriffen, um solche Problematiken einzudämmen. :)

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

 Antworten

 Beitrag melden
08.09.2013 13:05
avatar  Fabian
#12 RE: Wichtige Frage zum Zwangslogin
avatar
Xobor-Spezialist

Wenn ich meine Anmeldedaten von meinem Microsoft-Account bei so einem Dienst veröffentlicht, kann sich sehr wohl jeder mit diesen Daten dort einloggen. Sich "versteckt" in einem Forum anmelden ist soweit auch nicht möglich, da sich jeder mit dem Benutzernamen einloggt. Du weißt als als Administrator sehr wohl wer sich wann mit welcher IP Adresse im Forum anmeldet. Schützen kannst du dich, indem du die Mitglieder nur freischaltest, wenn du dir sicher bist das diese keine "Spam" Accounts oder dergleichen sind.

Der Vollständigkeit halber hier dennoch eine Schutzmanßnahme die Microsoft bzw. auch Google optional anbietet:
Diese Dienste fragen beim Login einen speziellen Code zusätzlich ab, der zuvor generiert wird (dies passiert u.A. per SMS an die hinterlegte Nummer). Da dieser Schutz optional ist und sich jeder deshalb trotzdem Fake-Accounts ohne diesen Schutz anlegen kann, ist das kein wirksamer Schutz gegen solche Dienste wie von dir genannt.

Servus
Fabian Klose


 Antworten

 Beitrag melden
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!