Hot News:

Unser Angebot:

  Foren auf CAD.de (alle Foren)
  Kritik
  Kennwortspeicherung in der Datenbank des Forums

Antwort erstellen  Neues Thema erstellen
CAD.de Login | Logout | Profil | Profil bearbeiten | Registrieren | Voreinstellungen | Hilfe | Suchen

Anzeige:

Darstellung des Themas zum Ausdrucken. Bitte dann die Druckfunktion des Browsers verwenden. | Suche nach Beiträgen nächster neuer Beitrag | nächster älterer Beitrag
Autor Thema:   Kennwortspeicherung in der Datenbank des Forums (775 mal gelesen)
karlnew
Mitglied
Dipl. Ing.

Sehen Sie sich das Profil von karlnew an!   Senden Sie eine Private Message an karlnew  Schreiben Sie einen Gästebucheintrag für karlnew

Beiträge: 2
Registriert: 25.10.2017

erstellt am: 25. Okt. 2017 11:43    Editieren oder löschen Sie diesen Beitrag!  <-- editieren / zitieren -->   Antwort mit Zitat in Fett Antwort mit kursivem Zitat    Unities abgeben: 1 Unity (wenig hilfreich, aber dennoch)2 Unities3 Unities4 Unities5 Unities6 Unities7 Unities8 Unities9 Unities10 Unities

Hallo,

ich habe mich gerade erst im Forum angemeldet. Da ist mir bei der Änderung des Passworts aufgefallen, dass das Passwort im Klartext sichtbar ist, das bedeutet, das es auch nicht verschlüsselt in der Datenbank steht. Wenn es verschlüsselt in der Datenbank steht kann es (zumindest nicht mit ohne extremen Aufwand) wieder entschlüsselt werden.

Stand der Technik seit bestimmt 20 Jahren:
- User registiert sich, bekommt ein generiertes Passwort, das verschlüsselt wird und um einen Salt erweitert. Dieses wird in der Datenbank gespeichert.
- User logt sich sich mit Passwort ein: Das Password geht an die Forumsoftware (wahrscheinlich php) wird verschlüsselt um den Salt erweitert und mir dem verschlüsselten in der Datenbank verglichen. Wenns passt wird er reingelassen.

Warum ist das ein Problem:
- Wenn jemand das Forum hackt oder den Server hat er alle user account + klartext passworte + email addressen.
- Kaum ein User verwendet für alle seine kompletten Accounts ein anderes Passwort.
- Das führt dann dazu das in anderen Foren Spam (das ist noch das kleinste Übel) verbreitet wir usw.

Warum mir das ein Anliegen ist:
Ich bin hauptberuflich in der technisch Informatik tätig.

Gruß Karl

PS: Die Opensource verwenden, da wäre das nicht passiert.

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

P.Müller
Mitglied



Sehen Sie sich das Profil von P.Müller an!   Senden Sie eine Private Message an P.Müller  Schreiben Sie einen Gästebucheintrag für P.Müller

Beiträge: 131
Registriert: 16.09.2010

Dell XPS 13 (Skylake)
Windows 10
Intel Core i7-6500U, 2.50 GMHz
16 GB DDR3-RAM
Autodesk AutoCAD 2019
Autodesk AutoCAD Civil 3D 2019
cseTools Kanalplanung
cseTools Leitungsplanung
BricsCAD V18.2.14

erstellt am: 01. Mrz. 2018 17:00    Editieren oder löschen Sie diesen Beitrag!  <-- editieren / zitieren -->   Antwort mit Zitat in Fett Antwort mit kursivem Zitat    Unities abgeben: 1 Unity (wenig hilfreich, aber dennoch)2 Unities3 Unities4 Unities5 Unities6 Unities7 Unities8 Unities9 Unities10 Unities Nur für karlnew 10 Unities + Antwort hilfreich

Hallo karlnew,

danke, dass du das Thema hier ansprichst.
Ich sehe das genau wie du, kritisch und doch so einfach lösbar.
Ich möchte mich ebenfalls dafür aussprechen, hier von Seiten der Betreiber etwas zu ändern!

Gruß
Peter

------------------
Kennen Sie die cseTools für Kanal- und Leitungsplanung unter AutoCAD & Co.? Mehr auf www.cseTools.de

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

KlaK
Ehrenmitglied V.I.P. h.c.
Dipl. Ing. Vermessung, CAD- und Netz-Admin



Sehen Sie sich das Profil von KlaK an!   Senden Sie eine Private Message an KlaK  Schreiben Sie einen Gästebucheintrag für KlaK

Beiträge: 2162
Registriert: 02.05.2006

Geniale Menschen sind selten ordentlich, Ordentliche selten genial.
Zitat Albert Einstein

erstellt am: 03. Mrz. 2018 13:33    Editieren oder löschen Sie diesen Beitrag!  <-- editieren / zitieren -->   Antwort mit Zitat in Fett Antwort mit kursivem Zitat    Unities abgeben: 1 Unity (wenig hilfreich, aber dennoch)2 Unities3 Unities4 Unities5 Unities6 Unities7 Unities8 Unities9 Unities10 Unities Nur für karlnew 10 Unities + Antwort hilfreich

Hallo Karl,

Ich finde es immer wieder nett wenn der erste Beitrag im Forum eine Kritik ist. Es zwingt Dich jedoch niemand diesem Forum beizutreten wenn es Dir zu unsicher ist.

Zur Kritik selber: Woher weißt Du denn dass das Passwort in der Datenbank unverschlüsselt steht und nur für die Anzeige im Profil entschlüsselt wird?
Ich betreue selber ein anderes Forum und dort wird es genau so praktiziert! Gut, man muß noch einen Knopf drücken damit die Sternchen durch den wirklichen Text ersetzt werden aber egal.

Auch die Anmerkung "Kaum ein User verwendet für alle seine kompletten Accounts ein anderes Passwort." finde ich diskussionswürdig, wer wirklich so handelt hat in den letzten fünf Jahren bestimmt auch anderes verpasst. Aber da kann ich nicht Forumsbetreiber dafür verantwortlich machen.

Thema Spam: In einem technischem Forum? Derjenige fällt doch sofort auf! Ich glaube wir hatten hier bisher nur 2 Fälle wo die Moderatoren einschreiten mußten (in den 12 Jahren seit meiner ersten Anmeldung).
Und was meinst Du wie viele sich wirklich die Mühe machen herauszufinden in welchen anderen Foren der User angemeldet ist? Da ist es doch einfacher das dortige Forum zu hacken, wenn er es hier schon geschafft hat.

Aber viel Spaß weiterhin. Ich sehe da eine deutlich größere Gefahr bei Foren die auf Open Source basieren und von Leuten aufgebaut werden die von IT keine Ahnung haben. Da wird dann PHP 4 oder 5 verwendet weil die Software ja kostenlos ist ....  (die Hacker freuen sich)

Grüße
Klaus  

[Diese Nachricht wurde von KlaK am 03. Mrz. 2018 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

Anzeige.:

Anzeige: (Infos zum Werbeplatz >>)

Darstellung des Themas zum Ausdrucken. Bitte dann die Druckfunktion des Browsers verwenden. | Suche nach Beiträgen

nächster neuerer Beitrag | nächster älterer Beitrag
Antwort erstellen


Diesen Beitrag mit Lesezeichen versehen ... | Nach anderen Beiträgen suchen | CAD.de-Newsletter

Administrative Optionen: Beitrag schliessen | Archivieren/Bewegen | Beitrag melden!

Fragen und Anregungen: Kritik-Forum | Neues aus der Community: Community-Forum

(c)2020 CAD.de | Impressum | Datenschutz