Allgemeines 22.007 Themen, 148.994 Beiträge

Sicherheitslücke auf nickles.de!

Screenzocker13 / 29 Antworten / Baumansicht Nickles

Wie schon der Titel sagt, hat nickles.de eine Sicherheitslücke.
Wo die Lücke ist:
Wenn man auf "Optionen einstellen" klickt, kommt eine neue Seite in der die Adresszeile so aussieht:
http://www.nickles.de/strict/tools/options.php3?username=xxxxx&password=xxxxx
Dort steht der Benutzername und dass Kennwort! (xxxx)
Wenn man jetzt an einem öffentlichen PC ist, und einer schaut in den Verlauf, dann weis dieser jemand meinen Benutzernamen und das Kennwort!

bei Antwort benachrichtigen
Borlander Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen

Ich stell das einfach mal mit auf die TODO-Liste, mal sehen was sich das machen lässt...

Wenn man jetzt an einem öffentlichen PC ist
Nach gebraucht die Browserhistory, Cache, Cookies und was sonst noch so gespeichert werden könnte löschen ;-)


Gruß
Borlander

bei Antwort benachrichtigen
ColinFinck Borlander „Ich stell das einfach mal mit auf die TODO-Liste, mal sehen was sich das machen...“
Optionen
mal sehen was sich das machen lässt...
Da müsste man doch einfach nur bei "Optionen einstellen" Username und Passwort nicht übergeben und dann auf der Optionen-Seite diese Werte aus dem Cookie abfragen.
Sollte eigentlich nicht so schwer sein das zu ändern.

Beste Grüße,

Colin Finck
bei Antwort benachrichtigen
Jens2001 Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen
>Wenn man auf "Optionen einstellen" klickt,...
Wo soll dieser link sein?

>...weis dieser jemand meinen Benutzernamen und das Kennwort! ...
OH MEIN GOTT!!!
Damit kann man ja dein Bankkonto ausräumen, deine Kreditkarten missbrauchen, deine Krankenakten lesen, auf deine Rechnung bei Quelle bestellen......

P.S. Und in deiner Visitenkarte giebst du deine EMail-Adresse im Klartext an!?
bei Antwort benachrichtigen
jabath Jens2001 „ Wenn man auf Optionen einstellen klickt,... Wo soll dieser link sein? ...weis...“
Optionen

Ist es wirklich nötig, so eine Feststellung ins Lächerliche zu ziehen?
Ich finde den Hinweis auf so einen Fehler sehr sinnnvoll - auch wenn hier niemand irgendwelche Bankgeheimnisse verwaltet.

JABATH

bei Antwort benachrichtigen
hansapark jabath „Ist es wirklich nötig, so eine Feststellung ins Lächerliche zu ziehen? Ich...“
Optionen

@jens2001: wenn du dich rechts oben einloggst. erscheint rechts oben der link optionen einstellen.

bei Antwort benachrichtigen
Achim20 jabath „Ist es wirklich nötig, so eine Feststellung ins Lächerliche zu ziehen? Ich...“
Optionen

Zustimm!
Hier geht es um Sicherheitsprinzipien. Ob's kritische Daten betrifft oder nicht, spielt keine Rolle.

FUMANCHU4EVER
bei Antwort benachrichtigen
Jens2001 Achim20 „Zustimm! Hier geht es um Sicherheitsprinzipien. Ob s kritische Daten betrifft...“
Optionen
>...Ob's kritische Daten betrifft oder nicht, spielt keine Rolle. ...
FALSCH!
Genau darumgeht es!

1. Log ich mich nach möglichkeit nicht permanent auf einer Seite ein. (deshalb hab ich auch den Link noch nie gesehen)

2. Auf einem fremden PC mach ich grundsätzlich keine wirklich Vertraulichen Eingaben!
Egal was in der Adresszeile angezeigt wird oder nicht weiß ich nie was im Hintergrund alles mitprotokolliert wird.

3. Und zu meinem eigenen PC habe ich vertrauen! Und da sind durchaus wichtigere Sachen drauf als Username und Passwort für Nickles.




P.S. Meine Mülltonne stell ich unverschlossen an die Straße. Mein Auto aber nicht!
bei Antwort benachrichtigen
App Jens2001 „ ...Ob s kritische Daten betrifft oder nicht, spielt keine Rolle. ... FALSCH!...“
Optionen

Sehe ich genauso! Der Vergleich mit der Mülltonne gefällt mir ;)

bei Antwort benachrichtigen
TAsitO Jens2001 „ Wenn man auf Optionen einstellen klickt,... Wo soll dieser link sein? ...weis...“
Optionen

Hallo.
Es ist ABsolut berechtigt seine persönlichen Daten NICHT für andere zu haben ! !
Warum ?
Es sind SEIne Daten !
Aber wer vielleicht gerne hackt ~~ ???
Lass Ihm doch einfach sein Recht -
oder würdest Du jedem Firlefanz an Werbefuzzen deine Adresse geben ?
Na dann viel Spass :-).
Gruss.

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
Olaf19 TAsitO „Hallo. Es ist ABsolut berechtigt seine persönlichen Daten NICHT für andere zu...“
Optionen

Was sollen denn die "Werbefuzzen" mit dem Nickles-Passwort von 'Jens2001'?!

Na ja... ;-)

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
TAsitO Olaf19 „Was sollen denn die Werbefuzzen mit dem Nickles-Passwort von Jens2001 ?! Na...“
Optionen

Steht da was von Nickles - Passwort . . . . . . . ?? :-)
Gruss.

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
Olaf19 TAsitO „Steht da was von Nickles - Passwort . . . . . . . ?? :- Gruss.“
Optionen

Ja - im Ausgangsposting. Aber schön, dass wir mal drüber geredet haben *scnr*.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Die blaue Elise Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen

Da wäre nickles aber bei weitem nicht die einzige "unsichere" Seite, will heissen, nach JEDER besuchten Seite im öffentlichen Pool leere ich Cache, Verlauf, Passwörter und Cookies

--------Viele Grüsse Elise
bei Antwort benachrichtigen
Anonym Die blaue Elise „Da wäre nickles aber bei weitem nicht die einzige unsichere Seite, will...“
Optionen

Mir ist das in der ganzen Zeit noch nicht mal aufgefallen. Bin wahrscheinlich schon betriebsblind... *lol*

bei Antwort benachrichtigen
xafford Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen

Wenn Du an einem öffentlichen PC bist und jemand kommt an dein Profil, dann ist auch ein Cookie unsicher, unter Umständen sogar Formulardaten je nach Einstellung des Browsers.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Balzhofna xafford „Wenn Du an einem öffentlichen PC bist und jemand kommt an dein Profil, dann ist...“
Optionen

Man kann viel, wenn man nur möchte... aber ich finde es gut, dass auf Sicherheitslücken hingewiesen wird und Nickles.de so mal wieder beweist, dass sie es gut mit uns meinen!
Also nehmt es einfach an und seit froh, dass ihr nicht in einem "Computer-Bild Forum" rumgammelt!

Mfg Balzhofna

bei Antwort benachrichtigen
xafford Balzhofna „Man kann viel, wenn man nur möchte... aber ich finde es gut, dass auf...“
Optionen

Klar ist es gut, daß auf Sicherheitslücken hingewiesen wird, aber Parameterübergabe via GET (also über die URL) ist nicht wirklich unsicherer, als es über Cookies zu lösen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Olaf19 Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen

Wenn man auf das Anmelden ganz verzichtet und stattdessen bei jedem Posting Usernamen und Passwort einzeln eingibt, erscheint das Passwort auch im Klartext auf dem Bildschirm... das ist schon seit vielen Jahren - also immer - so, und ich glaube ehrlich gesagt nicht, dass sich daran noch etwas ändert. Ich find's ehrlich gesagt auch nicht so tragisch - es geht schließlich "nur" um ein Computerforum und nicht um so existenzielle Dinge wie Online-Banking etc. Da braucht man IMHO keinen Hochsicherheitstrakt draus zu machen. Der Vergleich von Jens2001 mit der Mülltonne trifft's schon ganz gut ;-)

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
The Wasp Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen

Um nickles.de sicher zu machen, müßte man beim Posten die Verbindung verschlüsseln. Dürfte bei einem Forum wie diesem so sinnvoll sein wie ein Panzerschrank für die Liebesbriefe an oder von Geliebte/n.

Die Lücke ist bekannt, wurde so nur noch nicht öffentlich beschrieben; Zaphod piekst hin und wieder mal in diese Richtung. ;)

Ende
bei Antwort benachrichtigen
TAsitO Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen

Hallo.
Wo bist Du denn mit Optionen einstellen . . . ??
hm.
Gruss.

Wie schon drunter geschrieben - Cache löschen ist ein sehr guter Vorteil ; oder erst gar nicht gebrauchen !
Bei der heutigen Geschwindigkeit . .

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
Towa Screenzocker13 „Sicherheitslücke auf nickles.de!“
Optionen

Also das mit dem kennwort bei den Postings ist mir auch schon aufgefallen.
Doof ist es nur wenn man mit Kumpels am Rechner sitzt und über ein paar sachen anchdenkt man dann was schreiben will und jeder sieht das PW. :(
Also ein paar ***** würden ja schon ausreichen.... ;)

bei Antwort benachrichtigen
Helmuth1967MUC Towa „Also das mit dem kennwort bei den Postings ist mir auch schon aufgefallen. Doof...“
Optionen

Hallo zusammen,

wenn alles so unsicher sei, wie ich jetzt alles gelesen habe hier, dann dürfte man auch nicht mehr sicher sein am Geldautomaten bei der Bank. Da kann man ja auch über die Schulter schaun oder einer installiert eine Webcam.....

Ich finde, man kann alles übertreiben..... Denn 100%ige Sicherheit gibts nirgends.

Wenn jemand in einem Internetcafé online unterwegs ist, dann nehme ich mal an, wenner fertig ist mit surfen, dasser dann den Verlauf leert, die Cookies löscht und den Browsercache leert, sofern dies nicht vom Administrator schon erledigt wird, bevor der nächste Gast an den Terminalrechner geht...

Sonst wäre ja Internetcafé ja total unsicher, was Hacken und dergleichen geht... Aber wie gesagt, was ist schon sicher........ Sicher habe ich auch schon in einem Forum erlebt, dass ein FakeNick existierte und der echte Nutzer des Nicks dann gesperrt wurde, weil die Faker nur Mist geschrieben hatte und die anderen User beleidigt und bedroht hatte...... Ist zum Glück schon lange her...

Ich bin selbst Forenbetreiber und kenne diese Schwierigkeiten. Aber ist auch mal schön, dass hier solche Problematik angesprochen wird.....

Gruß aus München

Helmuth

;)

bei Antwort benachrichtigen
Yves3 Helmuth1967MUC „Hallo zusammen, wenn alles so unsicher sei, wie ich jetzt alles gelesen habe...“
Optionen

Da übertreiben ein paar wieder mal masslos.
Ich finde, das war ein guter Hinweis.

Es ist ja auch etwas anderes, ob man einfach bei der Adressleiste auf den kleinen Pfeil klichen kann, oder sich zuerst ein Cookie suchen muss.
Ich denke es gibt viele Leute, die mal ein bisschen Unfug mit dem Account betreiben würde, wenn er ihnen eifach so zufällig in den Schoss flällt, diese Leute würden aber wohl kaum auf einem PC alle Cookies nach persönlichen Daten durchsuchen.

Verschlüsselung ist das extreme auf der anderen Seite.
Übrigens hätte ich auch schon lange mal das PW-Feld als Passwortfeld mit Sternchen gemacht, das ist ja nun wirklich keine Hexerei.

bei Antwort benachrichtigen
xafford Yves3 „Da übertreiben ein paar wieder mal masslos. Ich finde, das war ein guter...“
Optionen

Ich finde es an sich keine Übertreibung (meine persönliche Meinung), es zeigt, daß die Leute sich vermehrt Gedanken über Sicherheit machen, was in den letzten Jahren oft fehlte. Ich finde die Entwicklung begrüßenswert, erschwert es doch den "bösen Jungs" letztendlich das Handwerk.
Nur ist eben die Übermittlung der Userdaten über die URL nicht wirklich in großem Maß unsicherer, als über Cookies, höchstens die Übermittlung über Formularfelder ist ein klein wenig sicherer. Problem bleibt aber, wenn jemand an das Profil des Users kommt, dann ist es egal, ob die Daten via GET (also in der URL) oder in einem Cookie gespeichert sind, beides ist im Klartext erkennbar. Nutzt man die Auto-Vervollsäntigung für Formulardaten, dann ist auch die POST-Methode (Formularfelder) unsicher.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Yves3 xafford „Ich finde es an sich keine Übertreibung meine persönliche Meinung , es zeigt,...“
Optionen

Mit dem Übertreiben sind diejenigen gemeint, die sagen, dass das vollkommen egal ist und man nicht einen solchen "Aufstand" deswegen machen soll...

Zur Sicherheit der Benutzerdaten in einem öffentlichen Forum bin ich der Meinung, dass sie zumindest im Browser nidgends offen sichtbar sein sollten.
Also nicht in der URL oder im PW-Feld bei der Passworteingabe.
Ich möchte nämlich auch mal hier im Forum schreiben können, wenn ich bei einem Kollegen bin, den ich nicht unbedingt zu meinen vertrautesten Freunden zähle und von dem ich weiss, dass er fürchterlich Spass haben würde mal ein bisschen Sch****e mit meinem Account ins Forum zu schreiben.

bei Antwort benachrichtigen
xafford Yves3 „Mit dem Übertreiben sind diejenigen gemeint, die sagen, dass das vollkommen...“
Optionen

Okay, dann hatte ich dein Posting falsch verstanden.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Olaf19 Helmuth1967MUC „Hallo zusammen, wenn alles so unsicher sei, wie ich jetzt alles gelesen habe...“
Optionen

Vor ein paar Jahren habe ich mal im Urlaub vom Internetcafe aus etwas bei Nickles gepostet. Nachdem ich meine Sitzung beendet hatte, wollte ich im Internet Explorer über Extras / Internetoptionen die Surfspuren vernichten, kam aber gar nicht erst in die Optionen rein, weil mir die Berechtigung fehlte. Das hat mir zunächst nicht so gut gefallen, der Administrator hat mir aber auf meine Nachfrage hin versichert, dass diese Daten nach jeder Sitzung automatisch gelöscht werden.

Nun weiß ich nicht, ob alle Internetcafes das so handhaben. Und wie Jens2001 schon sagte, man weiß nie, was so alles mitprotokolliert wird... wenn man ganz sicher gehen will, sollte man nur von zuhause aus posten, nicht im Büro, nicht im Hotel, nicht im Internetcafe.

Was die Geldautomaten angeht: Da gibt es ja immer eine Markierung auf dem Fußboden zur Einhaltung des Sicherheitsabstandes zu den Wartenden. Aber selbst wenn mir jemand über die Schulter guckt und sich meine PIN abschaut - anfangen kann er damit rein gar nichts. Es sei denn, ich verliere meine EC-Card und rein zufällig findet sie ausgerechnet der "Schultergucker". Und selbst dann müsste er erstmal wissen, dass das die Karte ist, die zu dieser PIN gehört...

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
out-freyn Olaf19 „Sicherheit im Internetcafe“
Optionen
Es sei denn, ich verliere meine EC-Card und rein zufällig findet sie ausgerechnet der "Schultergucker".

Es soll ja Leute geben, die nach dem Ausspähen der PIN beim "Verlieren" der Karte ein bisschen nachhelfen...
The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
bei Antwort benachrichtigen
Olaf19 out-freyn „Sicherheit im Internetcafe“
Optionen
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen