Sicherheit von Login Daten in öffentlichen Netzwerken

  • Seite 1 von 2
27.09.2013 19:49
#1 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
jo
Mitglied

Ich freue mich über die rege und sachliche Diskussion zu diesem Thema.
Mein wichtigstes Argument ist, dass verschlüsselte Kommunikation zum Standard werden sollte, um die massenhafte Speicherung und Auswertung der Daten zu verhindern oder drastisch zu erschweren. (Unser Forum ist eher an die Öffentlichkeit gerichtet)

Aber es gibt auch noch einen ganz praktischen Grund, wenn es hier Foren gibt, die tatsächlich sensiblere Daten enthalten. Die Anmeldung im Forum geht unverschlüsselt über die Leitung. Wenn irgendein Forenbesucher sich von seinem Arbeitsplatz aus anmeldet und ein sich langweilender Admin mal (verbotenerweise) schaut, was die Mitarbeiter gerade so im Internet treiben, dann sieht es sehr direkt die Anmeldung mit Benutzernamen und Kennwort und die Anmelde-URL, das steht alles in einem einzigen Datenpaket (vielleicht könnten hier die Entwickler mal ansetzen, denn dieses Loch ist groß wie ein Scheunentor...)
Und schon kann er mit der Identität des Benutzer nachsehen, was so abgeht. Dies gilt natürlich auch für Internet-Caffes, öffentliche HotSpots, Hotelnetze....

Aus diesem Grund hätte ich ohne Verschlüsselunggroße Bauchschmerzen mit sensiblen Daten hier im Forum.

Habe zur Illustration mal den Screenshot aus Wireshark angehängt....


 Antworten

 Beitrag melden
29.09.2013 22:43
#2 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
jo
Mitglied

Auch wenn ich das für mein Forum jetzt nicht so kritisch sehe würde ich mich freuen, wenn sich mal ein Spezialist von Miranus dazu äußert. Ich halte dieses Sicherheitsproblem für so kritisch, dass ich dieser Plattform keine sensiblen Daten anvertrauen werde, bevor dies nicht gefixt bzw. entschärft ist. Ich denke gerade darüber nach, ob ich die Mitglieder meines Forums darauf hinweise, dass sie bei der Forennutzung vom Arbeitsplatz oder öffentlich WLAN- bzw. Internet-Zugängen ein gewisses Risiko eingehen.

Und Nebenbei bemerkt: Wenn ein Geheimdienst da bei DE-CIX mithört, dann haben die die Daten auch.

Ich bin gespannt, ob ihr hier schnell Abhilfe schaffen könnt.


 Antworten

 Beitrag melden
29.09.2013 23:13
avatar  Romulus
#3 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Mitglied

Ich finde es sehr gut, dass Du uns auf diese Lücke hinweist. Mir war das in dieser Form noch gar nicht bewusst.

www.neverface.com
Liebhaber des Business Templates

 Antworten

 Beitrag melden
29.09.2013 23:13
avatar  Fabian
#4 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Xobor-Spezialist

Wir sollten mal die Kirche im Dorf lassen. Ein "Sicherheitsproblem" gibt es hier bei Xobor sicherlich nicht.

Das der Einsatz von Verschlüsselung sinnvoll beim Schutz sensibler Daten ist, steht außer Frage. Das Einrichten einer Verschlüsselung, insbesondere für Foren mit einer eigenen Domain Adresse, ist nicht "mal eben" getan. Die Preise und vorallem auch die notwendige zusätzlichen Server-Ressourcen müssen erst entsprechend Kalkuliert werden, bevor hier eine Aussage gegeben werden kann.

Zu den sensiblen Daten in einem Forum zähle ich die Login Daten sowie Private Nachrichten. Das Administrator Menü ist davon natürlich auch betroffen. Beiträge und andere Inhalte sehe ich nicht als solches an. Es gibt aber sicherlich, je nach Themengebiet, gewisse Ausnahmen.

Eine Verschlüsselung durch https macht es für Angreifer schwieriger Zugriff auf den Datenverkehr zu bekommen. Eure Daten sind, wie bereits von Johannes geschrieben, selbstverständlich auf unseren Servern sicher vor Dritten gespeichert.

Man sollte sich immer bewusst sein, dass ein Zugriff aufs Internet von einer unsicheren Internet-Verbindung (z.B. kostenloses, offenen WLAN im Café) von jedermann mitgelesen werden kann. Bei einer Verschlüsselung kann jemand zwar die Verbindung sehen, jedoch nicht den Inhalt.

Einen Kommentar zur NSA und dem Bundesnarichtendienst möchte ich hier nicht abgeben (ansonsten dürfte niemand mehr das Internet verwenden)

Servus
Fabian Klose


 Antworten

 Beitrag melden
29.09.2013 23:38 (zuletzt bearbeitet: 29.09.2013 23:45)
#5 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
jo
Mitglied

Dass die HTTPS-Verschlüsselung für das ganze Forum aufwändig und nicht mal einfach so schnell zu implementieren ist, ist klar, dies war auch nicht das Ansinnen meiner letzten Frage. Aber dass alle Anmeldedaten unverschlüsselt in einem Datenpaket übertragen werden, das halte ich für ein Problem.
Wenn an irgendeiner Stelle jemand den Netzwerkverkehr ansieht, dann muss er nur ein Paket suchen, welches die Begriffe Foren-Url, name und pw enthält, schon erhält er im Klartext die Zugangsdaten. Diese sensiblen Daten sind heute völlig ungeschützt. Und dafür gibt es außer SSL-Verschlüsselung noch andere Methoden. Selbst wenn Ihr die Anmeldedaten mit einem festen Schlüssel verschlüsselt übertragt und vielleicht noch die Anmeldung auf mehrere Pakete verteilt, dann wäre das schon wesentlich sicherer. Momentan kann jeder mäßig begabte Administrator eines Internetcafés, eines Firmennetzwerks oder eines öffentlichen WLANs die Zugangsdaten mitlesen. Und das muss ja nun wirklich nicht sein.

Zitat
Man sollte sich immer bewusst sein, dass ein Zugriff aufs Internet von einer unsicheren Internet-Verbindung (z.B. kostenloses, offenen WLAN im Café) von jedermann mitgelesen werden kann. Bei einer Verschlüsselung kann jemand zwar die Verbindung sehen, jedoch nicht den Inhalt.



Das genau ist der Sachverhalt, und deswegen werden bei allen seriösen Anbietern von Internetdiensten zumindest die Anmeldedaten verschlüsselt. Bei XOBOR eben nicht, und genau das ist das Problem. Ich sehe hier zwei Fragestellungen:

1. Absicherung der Anmeldung im Forum
2. Verschlüsselung des gesamten Datenverkehrs

Punkt 2 war eigentlich der Ausgangspunkt dieses Thema, dies halte ich für wünschenswert, aber es ist trotzdem eher nice to have. Punkt 1 ist für einen seriösen Anbieter von Internetservices ein MUSS. Da bin ich ja eher zufällig drauf gestoßen.

Gruß
JoeSachse


 Antworten

 Beitrag melden
30.09.2013 10:49
#6 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Administrator

joesachse: Das Problem ist nicht der Foren Login, sondern der skizzierte Gesetze-Brechende Netzwerk-Administrator in einem Firman-Lan oder offenem WLAN-Access Point. Das betrifft in einem solchen Fall nicht nur den Foren-Login, sondern sehr viele andere Zugänge von unverschlüsselten E-Mail Accounts über Chat-Programmen u.s.w.. Da hier wirklich Gesetze gebrochen erden würden, würde ich das Firmen-Lan da eher ausschließen.
Bei offenen Wifi Access Points sind viele bereits sehr sensibilisiert. Hier kann es sicher nicht schaden nochmals auf dessen Unsicherheit hinzuweisen.

Ein vollständiger Schutz der Login-Daten wäre nur mit einer Verschlüsselung des Transport-Weges möglich - also mit einer HTTPS Verschlüsselung. Auch um nur beim Login eine https-Verschlüsselung zu gewährleisten wäre unter Anderem ein entsprechendes Zertifikat notwendig - da kann man dann auch gleich alles Verschlüsseln.

PS: Im Internet-Cafe oder generell an fremden Rechnern ist die Sicherheit sowieso nicht vorhanden - da ist dann von einfachen Keyloggern bis zu Kameras alles möglich. Auch das gilt für alle Zugänge und nicht nur fürs Forum.

Mit freundlichen Grüßen,
Joh. Voß


xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.

 Antworten

 Beitrag melden
30.09.2013 18:44
#7 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
jo
Mitglied

Johannes: Zur Unsicherheit der Rechner in Internetcafés stimme ich dir zu. Aber wie viele Menschen gehen heute mit Ihren eigene Tabletts, Notebooks oder Handys an öffentlichen WLANs ins Netz. Und diese Leute sind von diesen unverschlüsselten Zugangsdaten betroffen.

Übrigens braucht Ihr dazu kein SSL (obwohl das natürlich die sicherste Methode wäre), im ersten Schritt statt einfach die Inhalte der Eingabefelder im Klartext zu übertragen den Login über Javascript machen und dann Name und Passwort verschlüsselt zu übertragen, dies wäre nicht viel Aufwand und würde 99% der neugierigen oder auch kriminellen Admins aussperren. Dann wären wenigstens noch bessere Programmierkenntnisse und deutlich mehr Netzwerkwissen notwendig, um Anmeldungen auszuspähen. Wenn Ihr mal die Suchmaschine Eurer Wahl anwerft und nach verschlüsseltem Login mit Javascript sucht, findet ihr viel Möglichkeiten. Selbst bei SELFHTML sind grundlegende Technologien dazu beschrieben.

Dafür wäre keine aufwändige SSL-Infrastruktur notwendig, sondern nur ein wenig Programmieraufwand von Eurer Seite.
Zumindest steht dies jetzt für mich in den Feature Requests ganz oben.

Und zu den Firman-LANs habe ich eine ganz andere Meinung, dazu habe ich schon zu viel erlebt in der IT

Viele Grüße
JoeSachse


 Antworten

 Beitrag melden
30.09.2013 19:22
avatar  River
#8 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Mitglied

@joesachse

Danke für den Tipp mit dem Java-Login. Werde ich anwenden, wenn ich mal wieder unterwegs bin (Hotel o.ä.).

Das wusste ich bisher nicht und bin dankbar für jeden Rat.

LG
River

-------------------------------------------------------------

+++Ich will Computercrack werden! XD+++

Business Template (v4)

 Antworten

 Beitrag melden
30.09.2013 22:17
#9 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
jo
Mitglied

@River Ohne Unterstützung durch Miranus nützt Dir das leider wenig. Du könntest höchstens ein Javascript in Dein Forum einbauen, welches aus den eingegebenen Kennworten MD5 Hashwerte erzeugt, die dann statt des eingegebenen Kennwortes in der Xobor-Benutzerdatenbank Deines Forums gespeichert werden.
Aus diesen Hashwerten, die ja dann im Klartext übertragen würden könnte niemand auf das Passwort schließen. Damit wäre kein offensichtlicher Zusammenhang zwischen dem einzugebenden Kennwort und den über das Netzwerk übertragenen Hashwerten erkennbar. Leute ohne Programmierkenntnisse würden dann an dieser Stelle aufgeben. Wer programmieren kann, der kann sich natürlich mit Benutzernamen und den im Netzwerk abgefangene Hashwerten unter Umgehung Deiner Anmeldeprozedur Zugang zu Deinem Forum schaffen, aber dazu gehört mehr, als einfach mal den Netzwerkverkehr mitzulesen.


 Antworten

 Beitrag melden
01.10.2013 10:24
#10 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Administrator

joesachse: Ich danke für die Hinwiese. Diese Technik schützt jedoch nur sehr beschränkt und würde so auch nur ein trügerisches Sicherheitsgefühl vermitteln. Auch wäre bei einer Umsetzung ausschließlich ein Login für die aktuelle Session möglich - also kein eingeloggt bleiben. Auch mit diesem Login käme jeder im gleichen Netzwerk/Internet-Cafe/offenem Wlan gleichzeitig auch ins Forum.

Einen sinnvollen Schutz bietet daher nur eine https Verschlüsselung oder der über die Gefahren von offenen Wlans/Internet-Cafes informierte Nutzer.

Mit freundlichen Grüßen,
Joh. Voß


xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.

 Antworten

 Beitrag melden
01.10.2013 18:11 (zuletzt bearbeitet: 01.10.2013 18:12)
#11 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
jo
Mitglied

Johannes: Ich will es mal mit einem Beispiel probieren. Im Moment schickt ihr die Anmeldedaten per Postkarte durch das Netz. Jeder kann einfach so mitlesen, der wie auch immer auf die Postkarte scheuen kann. Dies ist zwar dem Briefträger (admin) verboten, aber es merkt ja keiner. Mit einer einfach scriptbasierten Verschlüsselung wären die Daten in einem Briefumschlag. Den kann zwar immer noch jeder aufreissen, aber es ist mehr Aufwand notwendig, und jemand, der Briefe öffnet, dem ist klar, dass er was Verbotenes tut. Mit jeder Art von Kommunikation für die Anmeldung, die den Aufwand des Mitlesens der Anmeldedaten erhöht, erhöht Ihr die quasi momentan nicht vorhandene Sicherheit. Deswegen könnt Ihr auch nichts vortäuschen, denn momentan gibt es da gar nichts, und alles, was ihr tut, kann die Situation nur verbessern. deswegen fordere ich ja nicht die Maximallösung, sondern eine Lösung, die mit geringstem Aufwand die aktuelle Situation verbessert.

Für mich persönlich hat die Erkenntnis, wie leichtfertig Ihr den Login-Prozess gestaltet habt, durchaus praktische Auswirkungen. Ich habe z.B. im Urlaub gelegentlich von Hotel aus oder auch Abends bei einem Gläschen Wein in einem Strandcafe nach dem Rechten im Forum gesehen. Ich hätte jetzt wenig Bedenken, dass da einer meine Identität für die Beiträge missbraucht. Aber wenn einer die Daten mitliest, dann hat er Admin-Zugang zum Forum. Damit ist klar, dass ich aus der Ferne ab sofort nicht mehr administrative Dinge in meinem Forum tun kann, weder auf Dienstreise noch im Urlaub, und dies ist so, obwohl ich meine eigene vertrauenswürdige IT mitführe.

Macht doch einfach mal einen Vorschlag, was Ihr mit möglichst wenig Aufwand tun könntet, um die gegenwärtige Situation zu verbessern.


 Antworten

 Beitrag melden
01.10.2013 18:19
avatar  Romulus
#12 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Mitglied

Also in meinem Fall ist es sogar sehr häufig so, dass ich auch im Ausland ins Admin-Menü muss. Und das wird sich auch in Zukunft nicht so schnell ändern.
Von daher wäre ich ebenfalls für eine Lösung sehr, sehr dankbar! Ich möchte mir lieber gar nicht erst vorstellen, was passieren kann, wenn sich da einmal ein "Spaßvogel" in einem Hotel meinen Admin-Zugang verschafft und dann ein bisschen "rumspielt". Da wird mir angst und bange, wenn ich daran denke.

www.neverface.com
Liebhaber des Business Templates

 Antworten

 Beitrag melden
01.10.2013 19:24
avatar  River
#13 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Mitglied

@All

Genügt es denn nicht, wenn ich im Hotel beispielsweise vorher oder gleich nachher (Login) einen malware-, spybot- und Sicherheitsscan durchführe?

Ich meine, es betrifft ja nicht nur das Forum, sondern auch andere Bereiche (Emailverkehr etc.).

Oder kann einer, der EINMAL drin war, nachher gleich wieder rein, nachdem das System 'geklärt' wurde?

Es ist glaub besser, man nimmt einen Surfstick mit, wenn man auswärts ans Lapi muss.

LG
River

-------------------------------------------------------------

+++Ich will Computercrack werden! XD+++

Business Template (v4)

 Antworten

 Beitrag melden
01.10.2013 20:39
#14 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
jo
Mitglied

@River Das hat nichts mit irgendwelcher Malware zu tun. Ich habe HIER ein Bild eingefügt, auf dem mittels eines einfach zu bedienenden kostenlosen Programms meine Anmeldung in meinem Forum quasi auf der LAN-Karte zu sehen ist, also genau das, was durch das Netzwerk geht und was JEDER, der auf das Netzverkehr im aktuellen Netz zugriff hat, genau so sehen kann. Dort steht die Anmeldeadresse und dann im Klartext Name und Passwort. Und wenn das einer gelesen hat, dann geht er einfach zu einem anderen Rechner und meldet sich damit in deinem Forum an.


 Antworten

 Beitrag melden
01.10.2013 21:11
avatar  River
#15 RE:Sicherheit von Login Daten in öffentlichen Netzwerken
avatar
Mitglied

@joesachse

Ich bin technisch damit überfordert. Hab deinen Screenshot oben schon gesehen, aber...

Nun tendiere ich mal dazu, den Teufel nicht an die Wand zu malen, sonst macht man sich ja verrückt.

Bleibt wohl hauptsächlich die Haltung übrig, einen 'normalen' Sicherungsstandard zu haben - mehr kannst du ja als Normalo gar nicht leisten.
Wieder ist nicht die HTTPS-Verschlüsselung gemeint, sondern der Rest vom System quasi.

Bin ja kein Geheimnisträger und insofern können mir die Spys mal im Mondschein begegnen.

LG
River

-------------------------------------------------------------

+++Ich will Computercrack werden! XD+++

Business Template (v4)

 Antworten

 Beitrag melden
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!