Beiträge von Peter

  • Allgemeine Diskussion: Passwörter - Ihre Bedeutung und Schutzfunktion

    Da hast du natürlich Recht. Ich erachte das eigendlich als selbstverständlich. Das Beste Sicherheitssystem hat keine Chance gegen die "Dummheit" des Benutzers. Daher ahbe ich auch mit diesem wichtigen Thema begonnen.

    Wichtig ist noch zu sagen, dass wenn man Verdacht schöpft, dass ein Angriff statt gefunden hat, sollte man auf jeden Fall alle (!) Adminsitratoren des Projektes verständigen und ihnen nahe legen Ihr Passwort zu ändern.

    Backups werde ich warscheinlich als nächsten Schwerpunkt machen. Oder als Unterpunkt. Das werden wir sehen.

  • Passwörter - Ihre Bedeutung und Schutzfunktion | Themenschwerpunkt Sep. 05

    Jedes Monat wird hier in diesem Bereich ein Thema ein neuer Schwerpunkt gesetzt. Dieses Monat habe ich mich für einen sehr wichtigen Sicherheitsfaktor entschlossen: Die Passwörter.

    Themenschwerpunkt September 2005: Passwörter - Ihre Bedeutung und Schutzfunktion

    Wie sicher sind meine Passwörter und was versuchen Hacker um an meine Passwörter zu kommen?

    Folgende Themen werden behandelt

    • Die Arten des Schutzes von der Seite des Benutzers
    • Die Arten des Schutzes für Administratoren
    • Wo muss ich aufpassen? Wie erkenne ich eine sicher Seite?
    • Wie funktionieren Verschlüsselungen?
    • Was ist ein BruteForce und Wörterbuchangriff?
    • technischer Hintergrund


    Passwörter sind wichtig zur eindeutigen Authorisierung von Benutzern und zum Schutz von Ihren Daten. In den Zeiten von Netbanking und Vermehrter Speicherung von Daten im Internet wird es für Hack immer interressanter an Passwörtern von Benutzern zu kommen. Die Sicherheit von einem Passwort hängt immer von zwei Komponenten ab: Von der Sicherheit des Serververwalters bzw. des Dienstanbeiters und vom Benutzer selbst ab. Jeder Schutz ist sinnlos, wenn ein Passwort wie 12345 verwendet wird.

    Welches Passwort ist optimal?
    Der Benutzer hat mehrere Möglichkeiten sich vor einem "Passwortklau" zu schützen. Das wichtigste ist, dass ein Passwort verwendet wird, dass möglichst viele Zahlen und Zeichen verwendet (am besten mit Sonderzeichen). Nicht immer ist es einfach eine Kombination wie "jaJE2d7"had@" zu merken. Es gibt aber mehrere Möglichkeiten sich ein Passwort zu merken, dass schwer zu knacken ist. Viele Leute schreiben sich die Passwörter auf einen Zettel und kleben ihn auf den Bildschirm oder legen ihn unter die Arbeitsmappe. Das ist das schlechteste, leider kommt das in Büros öfters vor, was natürlich gerade dort schwere folgen haben kann. Die PCWelt hat einmal einen sehr guten Tipp gegeben, der einem hilft Passwörter sich leicht zu merken. Man denkt sich einen Satz aus, der nicht alltäglich ist (z.b: Die sieben Zwerge gehen über eine Brücke). Von diesem Satz nimmt man die ersten Buchstaben und man erhält ein gutes Passwort. In unserem Fall wäre das Passwort "D7ZgüeB". Diese Passwort sieht schwer aus, aber mit dem kleinen Trick leicht zu merken.

    Wie kann ich als Betreiber eines Dienstes mein Passwort und das meiner Konsumenten schützen?
    Das wichtigste ist, dass auf jeden Fall alle Administratoren ein schwer zu knackendes Passwort benutzt. Damit verhindert man schon vieles. Der Websapce und die Datenbank (falls vorhanden) sollte immer ein anderes Passwort besitzen als der AdministratorenAccount. Wichtig für die Programmierung ist, dass die Passwörter immer verschlüsselt gespeichert werden. Leider versuchen einige Betreiber an Passwörter zu kommen, indem sie diese unverschlüsselt in die Datenbank schreiben und dort auslesen.

    md5() und BruteForce
    Die gängigste Möglichkeit ist die Passwörter per PHP mit md5() zu verschlüsseln. md5() ist eine Funktion, welche das Passwort mit einer Einwegverschlüsselung codiert, aber nicht mehr decodieren kann. Beim Login wird dann die Passworteingabe mit der md5() Funktion verschlüsselt und mit dem bereits verschlüsseltem Wert in der Datenbank vergleicht. Die MD5() Verschlüsselung ist nur noch mit Spezialprogrammen knackbar. Diese versuchen mit zufälligen Zeichenkombinationen (String) das Passwort durchzuprobieren. Diese Angriffart nennt sich BruteForce (rohe Gewalt). Diese Angriffsart dauert bei einem schweren Passwort bis zu 100 Millionen Jahre!!! Daher verwenden viele Hacker einen sogenannte Wordlist. Diese beinhaltet alle möglichen Wörter, die oft als Passwort vorkommen. Diese Art des BruteForce Angriff leifert ein viel besseres Resultat und wird daher oft verwendet. Als Benutzer sollte man darauf achten, dass das eigene Passwort nicht auf einer solchen Wordlist oben steht.

    weiterführende Links:
    » Wikipedia zum Thema Passwörter
    » Die sichere Passwortwahl
    » BruteForce Methode

    Interne Querverweise
    » Allgemeine Diskussion

  • Fehler auf startseite

    Zitat

    Original von SoniC
    basic 2.0

    bitte das nächste mal im richtigen Forum. Thema wurde verschoben

    Gehe in das ACP auf Einstellungen -> globale Einstellungen und stelle die korrekte Domain zum Forum ein.

  • sicherheitsaspekte in der security.php

    Wie soll ich das in keine Falsche Kehle kriegen.... Mich als Codingnoob zu bezeichnen ist nicht gerade nett (nett ausgedürckt). Klar jeder macht Fehler und du bist auch nciht gerade perfekt!

    Ich möchte was zu deiner durchaus guten Zeile sagen:

    PHP
    $_disabled = array('_POST', '_GET', '_SERVER', '_COOKIE', '_REQUEST', '_FILE', 'securityconfig', 'bedingung');


foreach ($_REQUEST as $key => $temp) {
  if (isset($_REQUEST[$key]) AND !in_array($key, $_disabled)) $$key = $_REQUEST[$key];
}

    Was ist aber, wenn die $_POST gewollt ist? Dann wird sie nicht definiert außer in den Zeilen von Woltlab.. Es gibt ja andere Variablen.. Wenn das sperrst, macht das keinen Sinn?!

  • sicherheitsaspekte in der security.php

    Zitat

    Original von Dominik
    Ich wollte es auch nur anmerken, dass earylhost mehr zu der Sicherheitslücke sagen kann, als ich momentan.

    Also natürlich kann das als SIcherheitslücke angesehen werden, wenn man schlecht programmiert. SQL Injections können nur durch schlecht gemachte Scripte gemacht werden. Die Version 2.1 pro wird gegen soetwas schützten können!

    In der ACp security.php ist das auf keinen Fall eine Sicherheitslücke, da man die Sid braucht... Und wenn man die hat, kann man effektivere Sachen machen...

    In der Forumversion kann diese Funktion ausgenützt werden, zu bedenken ist aber, dass die wenigsten Server diese Zeilen überhaupt benötigen. Ich kann nur sagen ich bin am Arebiten, auch wenn das vielleicht einige nicht befriedigen aknn. Zur Zeit arbeite ich alleine an dem Sicherheitssystem und das ist viel Arbeit. Außerdem gehts mir privat auch nihct gerade rosig. Ich kann nur auf die bald erscheindene Version 2.1 pro verweisen. (Benutzer von 2.0 pro bekommen einen Patch).

    Nocheinmal: Diese Sicherheitslücke kann nur ausgenützt werden, wenn das Script schon nicht ganz fehlerfrei programmiert wurde. Dazu reicht schon die SQL INjection im $_POST. $_GET ist da meistens gar nciht nötig...

  • basic Securitywarning Fehler

    Zitat

    Original von Sorcio
    Also ich logge mich im ACP frisch und neu ein.

    dann gelange ich ja automatisch auf die index.php wo auch die angriffe aufgelistet werden, in diesem falle werden bruteforce attacken vermutet und 17falsche ACP logins. Klicke ich dann auf den link "Meldung akzeptieren" kommt die besagte fehlermeldung:

    Code
    Fehlermeldung
Aus einem der folgenden Gründe fehlt Ihnen die Berechtigung, diesen Bereich zu betreten:


    * Sie haben nicht die nötigen Berechtigungen vom Administrator erhalten, diesen Bereich zu benutzen.
    * Ihre Sitzung ist abgelaufen. Sie müssen sich erneut im Admin Control Panel anmelden, um diesen Bereich zu betreten.

    das ist ein bereits gefixeder Fehler in der Entwicklungsversion. Bugfix kommt in den nächsten Tagen!

  • basic Securitywarning Fehler

    wo erscheint diese meldung?

    //Edit: Wenn diese nach dem Login kommt ist das ganz klar: Woltlba hat einen kleinen Schutz eingebaut, dass jedes Loginformular nur einmal gültig ist. Wenn mann auf zurcükd ann geht, hat man ncoh das alte Forumular, was ungültig ist. Daher kommt diese Meldung!
    Die Seite muss aktualisiert werden, damit das FOrumlar wieder gültig ist