Securityforum

Was Schäuble & Co. hier wollen und sicher auch irgendwie durchsetzen werden, ist leider eigentlich schon längst Realität. Während sich die Diskussion um die Ausspähung von Computern fokusiert, ist in anderen Bereichen das Sammeln von persönlichen Daten schon längst alltäglich, jedoch nimmt es kaum jemand wirklich war. Hier ist ein schönes Beispiel: http://panopti.com.onreact.com/swf/index.htm
Viel Spaß beim interaktiven Ansehen!

Gruß,
TB

Jajaja, der allmächtige Staat, macht uns alle zu (Leidens)-Genossen.
Leider verlieren wir bei der ganzen Hysterie die simpelsten Möglichkeiten, uns ein wenig zu schützen, aus den Augen.

Beispiel:
Regsitrierung am Board. Benutzername und Passwort werden automatisiert via E-Mail im Klartext gesendet.
Warum nicht eine Postkarte senden, dann kann sich der Briefträger auch mal einloggen.

Alternative ein Registrierungs-und Aktivierungslink, ohne Passwort-Versand.

Das Board:
Warum gibt es keine Auswahl ob einer un-oder verschlüsselten Anmeldung ? (alleinig die Authentifizierung reicht schon)

Weitere Maßnahmen sind natürlich von der Server und Board-Konfiguration abhängig.
Aber sollten nicht gerade wir, die wir uns Sicherheit an Revert geheftet haben, mit guten und sinnvollen Angeboten zu diesem Board, mit gutem Beispiel voran gehen ?

Das Passwort kann man jederzeit ändern, daher denke ich, dass es ziemlich egal ist, obs es mitgesendet wird oder nicht. Durch die Benutzerregelungen sieht man damit sowieso nur das was man sehen darf.
Warum eine Authentifizierung? Das ist ist ja ein öffentliches Forum und kein Passwortsafe.

ayin hat geschrieben:Das Passwort kann man jederzeit ändern, daher denke ich, dass es ziemlich egal ist, obs es mitgesendet wird oder nicht. Durch die Benutzerregelungen sieht man damit sowieso nur das was man sehen darf.
Warum eine Authentifizierung? Das ist ist ja ein öffentliches Forum und kein Passwortsafe.

Also guter ayin,
a) zum einen erhält man nach einer Passwortänderung (wohl auch hier) wieder so'ne Bestätigungs-E-Mail, mit Benutzername und Pw im Klartext.
b) Schau mal hier: http://de.wikipedia.org/wiki/Authentifizierung was das ist
c) Überlege mal bitte, welche Methoden und an welchen Schnittstellen es möglich ist, eine Anmeldung (übertragene Daten) abzufangen.
* Datenverkehr und Überwachung liegen nach meinem Empfinden nicht nur nah beieinander, sondern das Eine beinhaltet das Andere.

Grundsätzlich gilt (für mich und ohne Ausnahme): Mein Benutzername und mein Passwort gehen nur mich etwas an.
Staatlichen Institutionen, Providern, Hackern etc. darfst Du Deine Benutzernamen und Passwörter gern zukommen lassen, vielleicht geben die mir ja mal die Zugangsdaten für Deinen E-Mail-Account, damit ich günstig an eine neues Heim-Multimedia-Center komme.

Zwischenfrage: Ist das nur hier im Forum so oder generell in allen/vielen Foren bzw. wie ist der gesamte Datenverkehr dahingehend zu beuteilen ? Wann und wo wird das zum Problem ?

Gruß,
Thomas

Also ich weis nicht, aber kaum ein Forensystem verwendet SSL-Login, sowas ist ja normalerweise nur bei einer Serveranmeldung notwendig, wenn man systemkritische Root-Logins benötigt. Aber für ein Diskussionsforum ist das wohl kaum interessant. Somit schliesse ich mich der Frage Thbruecks an.

a) zum einen erhält man nach einer Passwortänderung (wohl auch hier) wieder so'ne Bestätigungs-E-Mail, mit Benutzername und Pw im Klartext.

Nein, erhält man nicht.

c) Überlege mal bitte, welche Methoden und an welchen Schnittstellen es möglich ist, eine Anmeldung (übertragene Daten) abzufangen.

Klär mich auf! Ich betreibe seit 9 Jahren Forensysteme und hatte noch niemals irgendwelche Probleme.