-
Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.
Passwörter werden unverschlüsselt gespeichert
- Ersteller los golfos de berlin
- Erstellt am
Die Schatzjäger
Geomaster
@Teddy:
Es ging darum, dass gc.com mir mein aktuelles Passwort bei Mail schicken kann. Sie also das Passwort (wie auch immer es bei denen in der Datenbank steht) entschlüsseln können. Und dann schicken Sie es auch noch über die öffentlichste Verbindung überhaupt - E-Mail
Kurzum: Schön ist das nicht, und ich bin sehr beruhigt dass mein gc-Passwort absolut nichts mit meinen anderen Passwörtern gemein hat. Ärgern tut mich das aber schon.
Thomas
Es ging darum, dass gc.com mir mein aktuelles Passwort bei Mail schicken kann. Sie also das Passwort (wie auch immer es bei denen in der Datenbank steht) entschlüsseln können. Und dann schicken Sie es auch noch über die öffentlichste Verbindung überhaupt - E-Mail
Kurzum: Schön ist das nicht, und ich bin sehr beruhigt dass mein gc-Passwort absolut nichts mit meinen anderen Passwörtern gemein hat. Ärgern tut mich das aber schon.
Thomas
du überträgst es ja auch bei jedem login unverschlüsselt an groundspeak. dann können sie es auch in einem mail stecken. das macht keinen grossen unterschied.rikman schrieb:1. bekommt man kein Password von Groundspeak zugewiesen, sondern sie schicken dir _dein_ Password zu und
2. auch das geaenderte Password wird bei Groundspeak wieder Plaintext abgespeichert
die halbherzige SSL implementierung die die seite anbietet, dürften wohl die wenigsten nutzen.
greiol schrieb:du überträgst es ja auch bei jedem login unverschlüsselt an groundspeak. dann können sie es auch in einem mail stecken. das macht keinen grossen unterschied.rikman schrieb:1. bekommt man kein Password von Groundspeak zugewiesen, sondern sie schicken dir _dein_ Password zu und
2. auch das geaenderte Password wird bei Groundspeak wieder Plaintext abgespeichert
die halbherzige SSL implementierung die die seite anbietet, dürften wohl die wenigsten nutzen.
Da hast du natuerlich vollkommen recht. Aber nur weil an einer Stelle Mist gebaut wird (kein HTTPS*), soll das ja kein Freibrief fuer alle anderen Stellen (Plaintext Password-Store) sein.
* Wenn man wirklich sicher gehen moechte, muss man den kompletten Traffic durch einen SSL-Tunnel schicken. Ein Auth-Cookie ist ja sonst auch schnell abgefangen
greiol schrieb:sicherlich muss man nicht mehr schaden machen als notwendig, aber es nützt nicht einbruchhemmende fenster einzubauen, solange keine haustür da istrikman schrieb:
Naja, in dem einen Fall wird nur die Sicherheit des einen kompromittiert (ich kann nicht beliebig viele Verbindungen abhoeren, es sei denn ich sitze direkt am Switch vor dem Server). Im anderen Fall sind _alle_ User betroffen, ob sie wollen oder nicht. So gesehen ist das sehr wohl hilfreich erst mal einbruchhemmende Fenster einzubauen.
radioscout
Geoking
Die älteren User erinnern sich:
Damals, als Computer noch teuer waren und man die Verbindung zur Mailbox mit dem Akustikkoppler herstellte, wurden gerne Mailbox-Rechner gestohlen.
Damals wurde jedem User dringend empfohlen, für jede Mailbox ein anderes Passwort zu benutzen damit der Dieb mit den Passwörtern nichts anfangen kann.
Damals, als Computer noch teuer waren und man die Verbindung zur Mailbox mit dem Akustikkoppler herstellte, wurden gerne Mailbox-Rechner gestohlen.
Damals wurde jedem User dringend empfohlen, für jede Mailbox ein anderes Passwort zu benutzen damit der Dieb mit den Passwörtern nichts anfangen kann.
Wieso? MD5-Crypt ist einweg, da ist nichts mit zwei Schlüsseln.schliessdruide schrieb:
Und für alle die's noch nicht gemerkt haben, so funktioniert das auch auf richtigen Betriebssystemen:
- Paßwort ist verschlüsselt gespeichert
- User gibt sein Paßwort ein, das wird auf die gleiche Weise verschlüsselt und erst _dann_ verglichen. Wenn der Crypt gleich ist war's das richtige Paßwort
- und sehr wesentlich: Die crypt-Funktion hat keinen Rückweg, selbst der Admin der Maschine kann damit Dein Paßwort nicht kennen. Daher auch die Diskussion MD5 vs. SHA-1 - bei MD5 gibt es mittlerweile Methoden den Rückweg etwas einfacher zu machen.
(ach ja, salt &co. hab ich da erst mal rausgelassen - das gleiche Paßwort wird in der Regel nicht den selben crypt bei unterschiedlichen Usern ergeben ..)
Warum gc.com nicht mal die einfachste Methode für die Paßwortsicherung verwendet ist mir echt schleierhaft. Das OS bringt das sicherlich mit, die Datenbank auch ...
DerTonLebt
Geocacher
Ich bewege mich kaum im blauen Forum.
Daher die Frage:
Hat das eigentlich schon mal jemand dort diese Erkenntnisse zur Diskussion gestellt?
Dort sollte das doch ein größeres Publikum inkl. der Admins erreichen und eine entsprechende Welle schlagen, oder?
Denn mittlerweile wird hier nur wiederholt das Offensichtliche fest und wieder in Frage gestellt.
Grüße
DTL
Daher die Frage:
Hat das eigentlich schon mal jemand dort diese Erkenntnisse zur Diskussion gestellt?
Dort sollte das doch ein größeres Publikum inkl. der Admins erreichen und eine entsprechende Welle schlagen, oder?
Denn mittlerweile wird hier nur wiederholt das Offensichtliche fest und wieder in Frage gestellt.
Grüße
DTL
OP
los golfos de berlin
Geocacher
Kurze Ansage aus Seattle:
1. Plaintext Password:
@DerTonLebt
Ich wollte das da posten, hatte aber dann keine Lust nochmal das Pw zu ändern, damit ich da ins Forum komme. Freiwillige?
Durch die beiden Tickets wissen sie wenigstens bei Groundspeak Bescheid.
1. Plaintext Password:
2. ForumsloginMichael von Groundspeak schrieb:
Hoffen wir das Beste.Michael von Groundspeak schrieb:
@DerTonLebt
Ich wollte das da posten, hatte aber dann keine Lust nochmal das Pw zu ändern, damit ich da ins Forum komme. Freiwillige?
Durch die beiden Tickets wissen sie wenigstens bei Groundspeak Bescheid.
OP
los golfos de berlin
Geocacher
habe damit zwei katzen das leben gerettet ;-)
http://www.weltraumsofa.de/blackout/index.php?itemid=259&catid=26
und es inzwischen auch im blauen forum gepostet.
http://www.weltraumsofa.de/blackout/index.php?itemid=259&catid=26
und es inzwischen auch im blauen forum gepostet.
quercus
Geowizard
es wundert mich immer wieder, wie eine firma, dessen geschäftsidee so gundlegend auf die internetplatform angewiesen ist, so eine rückständige internetpräsenz betreibt.
vielleicht ist die "denke" in den usa aber einfach eine andere. da werden ja die häuser auch so lange nicht gedämmt, wie die energie billig ist. vielleicht investiert man auch so lange nicht in gute programmierer und bessere server technik, bis es ein neues produkt erfordert.
wir haben ja gerade am neusten facelift gesehen, dass da mehr am HTML gebastelt wird, als es zu heutigen CSS zeiten eigentlich nötig wäre.
vielleicht ist es mit der sicherheit genauso. dem standard geocacher ist ein solcher tatbestand relativ egal und eigentlich ist er eher konservativ und mag keine veränderungen.
da ist es wirklich gut, dass es ein paar leute wie los golfos de berlin gibt, die das dennoch mal ansprechen.
Wau Holland: "... Wir müssen aufpassen. Wachsamkeit ist der Preis der Freiheit...."
ich würde mir wünschen, das GC zwei programmierern 12 monate zeit gibt und sie dann mit einer gc.com v2 version komplett neu starten ... wunschdenken
vielleicht ist die "denke" in den usa aber einfach eine andere. da werden ja die häuser auch so lange nicht gedämmt, wie die energie billig ist. vielleicht investiert man auch so lange nicht in gute programmierer und bessere server technik, bis es ein neues produkt erfordert.
wir haben ja gerade am neusten facelift gesehen, dass da mehr am HTML gebastelt wird, als es zu heutigen CSS zeiten eigentlich nötig wäre.
vielleicht ist es mit der sicherheit genauso. dem standard geocacher ist ein solcher tatbestand relativ egal und eigentlich ist er eher konservativ und mag keine veränderungen.
da ist es wirklich gut, dass es ein paar leute wie los golfos de berlin gibt, die das dennoch mal ansprechen.
Wau Holland: "... Wir müssen aufpassen. Wachsamkeit ist der Preis der Freiheit...."
ich würde mir wünschen, das GC zwei programmierern 12 monate zeit gibt und sie dann mit einer gc.com v2 version komplett neu starten ... wunschdenken
BonnerGuido
Geomaster
Dass Sonderzeichen im Passwort Probleme beim Login machen, ist eigentlich noch kein Beweis für im Klartext gespeicherte Passwörter. Soweit ich mich erinnere, ist die Zeichenkodierung von HTML-Form-Inhalten auf dem Weg vom Browser zurück zum Server nicht wirklich streng definiert. Vielleicht hatten die mal Probleme mit Browsern, die "falsch" kodiert haben.
Wenn sie aber Mails mit vergessenen Passwörtern verschicken können, ist das ja wohl ein absoluter Beweis.
Schlimm finde ich es trotzdem nicht. Man muss als Benutzer immer davon ausgehen, dass der Betreiber einer Website und sein Provider die Passwörter mitlesen können. Schon weil man es von außen nicht überprüfen kann.
Wenn sie aber Mails mit vergessenen Passwörtern verschicken können, ist das ja wohl ein absoluter Beweis.
Schlimm finde ich es trotzdem nicht. Man muss als Benutzer immer davon ausgehen, dass der Betreiber einer Website und sein Provider die Passwörter mitlesen können. Schon weil man es von außen nicht überprüfen kann.
BonnerGuido schrieb:
Das Sonderzeichenproblem betrifft ja AFAIK nur das Forum, nicht gc.com an sich.
Den Beweis, dass Passwords auf gc.com (nicht im Forum) plaintext gespeichert werden, kannst du einfach selbst fuehren: Benutze einfach die "Password vergessen"-Funktion und du bekommst _dein_ Password per Mail.
Teddy-Teufel
Geoguru
Wir diskutieren hier über Sicherheit bei den Passwörtern. Dazu vielleicht noch dieses hier:
Viele sind zu bequem sich ordnungsgemäß auszuloggen und schließen nur einfach die Seite.
Dabei bedenken oder wissen sie jedoch nicht, daß das ebenso ein gravierendes Sicherheitsproblem ist, welches sie jedoch selbst erzeugen. Ich weiß von Bekannten, wie sie mit ihren Passwörtern umgehen, können sich nichts merken, speichern sämtliche Passwörter und loggen sich niemals ordnungsgemäß aus und haben sich eine Tabelle für ihere PW angelegt. Cool, da hat man dann gleich den Benutzernamen, das PW und die Website, alles auf einen Blick. Liegen jedoch angeblich ganz im Trend, machen Homebanking, Ebay und Hermes alles online und als Krönung dann noch mittels IE und regen sich auf, wenn irgendwo der Datenschutz klemmt.
kann ich da nur sagen. 
Viele sind zu bequem sich ordnungsgemäß auszuloggen und schließen nur einfach die Seite.
Dabei bedenken oder wissen sie jedoch nicht, daß das ebenso ein gravierendes Sicherheitsproblem ist, welches sie jedoch selbst erzeugen. Ich weiß von Bekannten, wie sie mit ihren Passwörtern umgehen, können sich nichts merken, speichern sämtliche Passwörter und loggen sich niemals ordnungsgemäß aus und haben sich eine Tabelle für ihere PW angelegt. Cool, da hat man dann gleich den Benutzernamen, das PW und die Website, alles auf einen Blick. Liegen jedoch angeblich ganz im Trend, machen Homebanking, Ebay und Hermes alles online und als Krönung dann noch mittels IE und regen sich auf, wenn irgendwo der Datenschutz klemmt.
kann ich da nur sagen.