Wie schon der Titel sagt, hat nickles.de eine Sicherheitslücke.
Wo die Lücke ist:
Wenn man auf "Optionen einstellen" klickt, kommt eine neue Seite in der die Adresszeile so aussieht:
http://www.nickles.de/strict/tools/options.php3?username=xxxxx&password=xxxxx
Dort steht der Benutzername und dass Kennwort! (xxxx)
Wenn man jetzt an einem öffentlichen PC ist, und einer schaut in den Verlauf, dann weis dieser jemand meinen Benutzernamen und das Kennwort!
Allgemeines 22.007 Themen, 148.994 Beiträge
Ich stell das einfach mal mit auf die TODO-Liste, mal sehen was sich das machen lässt...
Wenn man jetzt an einem öffentlichen PC ist
Nach gebraucht die Browserhistory, Cache, Cookies und was sonst noch so gespeichert werden könnte löschen ;-)
Gruß
Borlander
Da müsste man doch einfach nur bei "Optionen einstellen" Username und Passwort nicht übergeben und dann auf der Optionen-Seite diese Werte aus dem Cookie abfragen.
Sollte eigentlich nicht so schwer sein das zu ändern.
Beste Grüße,
Colin Finck
Wo soll dieser link sein?
>...weis dieser jemand meinen Benutzernamen und das Kennwort! ...
OH MEIN GOTT!!!
Damit kann man ja dein Bankkonto ausräumen, deine Kreditkarten missbrauchen, deine Krankenakten lesen, auf deine Rechnung bei Quelle bestellen......
P.S. Und in deiner Visitenkarte giebst du deine EMail-Adresse im Klartext an!?
Ist es wirklich nötig, so eine Feststellung ins Lächerliche zu ziehen?
Ich finde den Hinweis auf so einen Fehler sehr sinnnvoll - auch wenn hier niemand irgendwelche Bankgeheimnisse verwaltet.
JABATH
@jens2001: wenn du dich rechts oben einloggst. erscheint rechts oben der link optionen einstellen.
Zustimm!
Hier geht es um Sicherheitsprinzipien. Ob's kritische Daten betrifft oder nicht, spielt keine Rolle.
FALSCH!
Genau darumgeht es!
1. Log ich mich nach möglichkeit nicht permanent auf einer Seite ein. (deshalb hab ich auch den Link noch nie gesehen)
2. Auf einem fremden PC mach ich grundsätzlich keine wirklich Vertraulichen Eingaben!
Egal was in der Adresszeile angezeigt wird oder nicht weiß ich nie was im Hintergrund alles mitprotokolliert wird.
3. Und zu meinem eigenen PC habe ich vertrauen! Und da sind durchaus wichtigere Sachen drauf als Username und Passwort für Nickles.
P.S. Meine Mülltonne stell ich unverschlossen an die Straße. Mein Auto aber nicht!
Sehe ich genauso! Der Vergleich mit der Mülltonne gefällt mir ;)
Hallo.
Es ist ABsolut berechtigt seine persönlichen Daten NICHT für andere zu haben ! !
Warum ?
Es sind SEIne Daten !
Aber wer vielleicht gerne hackt ~~ ???
Lass Ihm doch einfach sein Recht -
oder würdest Du jedem Firlefanz an Werbefuzzen deine Adresse geben ?
Na dann viel Spass :-).
Gruss.
Was sollen denn die "Werbefuzzen" mit dem Nickles-Passwort von 'Jens2001'?!
Na ja... ;-)
CU
Olaf
Steht da was von Nickles - Passwort . . . . . . . ?? :-)
Gruss.
Ja - im Ausgangsposting. Aber schön, dass wir mal drüber geredet haben *scnr*.
CU
Olaf
Da wäre nickles aber bei weitem nicht die einzige "unsichere" Seite, will heissen, nach JEDER besuchten Seite im öffentlichen Pool leere ich Cache, Verlauf, Passwörter und Cookies
Mir ist das in der ganzen Zeit noch nicht mal aufgefallen. Bin wahrscheinlich schon betriebsblind... *lol*
Wenn Du an einem öffentlichen PC bist und jemand kommt an dein Profil, dann ist auch ein Cookie unsicher, unter Umständen sogar Formulardaten je nach Einstellung des Browsers.
Man kann viel, wenn man nur möchte... aber ich finde es gut, dass auf Sicherheitslücken hingewiesen wird und Nickles.de so mal wieder beweist, dass sie es gut mit uns meinen!
Also nehmt es einfach an und seit froh, dass ihr nicht in einem "Computer-Bild Forum" rumgammelt!
Mfg Balzhofna
Klar ist es gut, daß auf Sicherheitslücken hingewiesen wird, aber Parameterübergabe via GET (also über die URL) ist nicht wirklich unsicherer, als es über Cookies zu lösen.
Wenn man auf das Anmelden ganz verzichtet und stattdessen bei jedem Posting Usernamen und Passwort einzeln eingibt, erscheint das Passwort auch im Klartext auf dem Bildschirm... das ist schon seit vielen Jahren - also immer - so, und ich glaube ehrlich gesagt nicht, dass sich daran noch etwas ändert. Ich find's ehrlich gesagt auch nicht so tragisch - es geht schließlich "nur" um ein Computerforum und nicht um so existenzielle Dinge wie Online-Banking etc. Da braucht man IMHO keinen Hochsicherheitstrakt draus zu machen. Der Vergleich von Jens2001 mit der Mülltonne trifft's schon ganz gut ;-)
CU
Olaf
Um nickles.de sicher zu machen, müßte man beim Posten die Verbindung verschlüsseln. Dürfte bei einem Forum wie diesem so sinnvoll sein wie ein Panzerschrank für die Liebesbriefe an oder von Geliebte/n.
Die Lücke ist bekannt, wurde so nur noch nicht öffentlich beschrieben; Zaphod piekst hin und wieder mal in diese Richtung. ;)
Hallo.
Wo bist Du denn mit Optionen einstellen . . . ??
hm.
Gruss.
Wie schon drunter geschrieben - Cache löschen ist ein sehr guter Vorteil ; oder erst gar nicht gebrauchen !
Bei der heutigen Geschwindigkeit . .
Also das mit dem kennwort bei den Postings ist mir auch schon aufgefallen.
Doof ist es nur wenn man mit Kumpels am Rechner sitzt und über ein paar sachen anchdenkt man dann was schreiben will und jeder sieht das PW. :(
Also ein paar ***** würden ja schon ausreichen.... ;)
Hallo zusammen,
wenn alles so unsicher sei, wie ich jetzt alles gelesen habe hier, dann dürfte man auch nicht mehr sicher sein am Geldautomaten bei der Bank. Da kann man ja auch über die Schulter schaun oder einer installiert eine Webcam.....
Ich finde, man kann alles übertreiben..... Denn 100%ige Sicherheit gibts nirgends.
Wenn jemand in einem Internetcafé online unterwegs ist, dann nehme ich mal an, wenner fertig ist mit surfen, dasser dann den Verlauf leert, die Cookies löscht und den Browsercache leert, sofern dies nicht vom Administrator schon erledigt wird, bevor der nächste Gast an den Terminalrechner geht...
Sonst wäre ja Internetcafé ja total unsicher, was Hacken und dergleichen geht... Aber wie gesagt, was ist schon sicher........ Sicher habe ich auch schon in einem Forum erlebt, dass ein FakeNick existierte und der echte Nutzer des Nicks dann gesperrt wurde, weil die Faker nur Mist geschrieben hatte und die anderen User beleidigt und bedroht hatte...... Ist zum Glück schon lange her...
Ich bin selbst Forenbetreiber und kenne diese Schwierigkeiten. Aber ist auch mal schön, dass hier solche Problematik angesprochen wird.....
Gruß aus München
Helmuth
;)
Da übertreiben ein paar wieder mal masslos.
Ich finde, das war ein guter Hinweis.
Es ist ja auch etwas anderes, ob man einfach bei der Adressleiste auf den kleinen Pfeil klichen kann, oder sich zuerst ein Cookie suchen muss.
Ich denke es gibt viele Leute, die mal ein bisschen Unfug mit dem Account betreiben würde, wenn er ihnen eifach so zufällig in den Schoss flällt, diese Leute würden aber wohl kaum auf einem PC alle Cookies nach persönlichen Daten durchsuchen.
Verschlüsselung ist das extreme auf der anderen Seite.
Übrigens hätte ich auch schon lange mal das PW-Feld als Passwortfeld mit Sternchen gemacht, das ist ja nun wirklich keine Hexerei.
Ich finde es an sich keine Übertreibung (meine persönliche Meinung), es zeigt, daß die Leute sich vermehrt Gedanken über Sicherheit machen, was in den letzten Jahren oft fehlte. Ich finde die Entwicklung begrüßenswert, erschwert es doch den "bösen Jungs" letztendlich das Handwerk.
Nur ist eben die Übermittlung der Userdaten über die URL nicht wirklich in großem Maß unsicherer, als über Cookies, höchstens die Übermittlung über Formularfelder ist ein klein wenig sicherer. Problem bleibt aber, wenn jemand an das Profil des Users kommt, dann ist es egal, ob die Daten via GET (also in der URL) oder in einem Cookie gespeichert sind, beides ist im Klartext erkennbar. Nutzt man die Auto-Vervollsäntigung für Formulardaten, dann ist auch die POST-Methode (Formularfelder) unsicher.
Mit dem Übertreiben sind diejenigen gemeint, die sagen, dass das vollkommen egal ist und man nicht einen solchen "Aufstand" deswegen machen soll...
Zur Sicherheit der Benutzerdaten in einem öffentlichen Forum bin ich der Meinung, dass sie zumindest im Browser nidgends offen sichtbar sein sollten.
Also nicht in der URL oder im PW-Feld bei der Passworteingabe.
Ich möchte nämlich auch mal hier im Forum schreiben können, wenn ich bei einem Kollegen bin, den ich nicht unbedingt zu meinen vertrautesten Freunden zähle und von dem ich weiss, dass er fürchterlich Spass haben würde mal ein bisschen Sch****e mit meinem Account ins Forum zu schreiben.
Okay, dann hatte ich dein Posting falsch verstanden.
Vor ein paar Jahren habe ich mal im Urlaub vom Internetcafe aus etwas bei Nickles gepostet. Nachdem ich meine Sitzung beendet hatte, wollte ich im Internet Explorer über Extras / Internetoptionen die Surfspuren vernichten, kam aber gar nicht erst in die Optionen rein, weil mir die Berechtigung fehlte. Das hat mir zunächst nicht so gut gefallen, der Administrator hat mir aber auf meine Nachfrage hin versichert, dass diese Daten nach jeder Sitzung automatisch gelöscht werden.
Nun weiß ich nicht, ob alle Internetcafes das so handhaben. Und wie Jens2001 schon sagte, man weiß nie, was so alles mitprotokolliert wird... wenn man ganz sicher gehen will, sollte man nur von zuhause aus posten, nicht im Büro, nicht im Hotel, nicht im Internetcafe.
Was die Geldautomaten angeht: Da gibt es ja immer eine Markierung auf dem Fußboden zur Einhaltung des Sicherheitsabstandes zu den Wartenden. Aber selbst wenn mir jemand über die Schulter guckt und sich meine PIN abschaut - anfangen kann er damit rein gar nichts. Es sei denn, ich verliere meine EC-Card und rein zufällig findet sie ausgerechnet der "Schultergucker". Und selbst dann müsste er erstmal wissen, dass das die Karte ist, die zu dieser PIN gehört...
CU
Olaf
Es soll ja Leute geben, die nach dem Ausspähen der PIN beim "Verlieren" der Karte ein bisschen nachhelfen...