• Aktualisierte Forenregeln

    Eine kleine Änderung hat es im Bereich Forenregeln unter Abschnitt 2 gegeben, wo wir nun explizit darauf verweisen, dass Forenkommentare in unserer Heftrubrik Leserbriefe landen können.

    Forenregeln


    Vielen Dank

SIcherheitslücke im Forumssystem

biobio

NPC
Mitglied seit
15.01.2015
Beiträge
4
Reaktionspunkte
0
SIcherheitslücke im Forumssystem

Hallo,

ich habe mich eben in der Community angemeldet. Dabei fiel mir auf, dass der Registrierprozess im zweiten Schritt eine Email mit dem unverschlüsselten Passwort beeinhaltete.
Die Tatsache, das es unverschlüsselt übertragen wird, lässt auch Rückschlüsse auf die Art der Speicherung in Ihrer Datenbank zu.
Mehr möchte, ich dazu aus Sicherheitsgründen nicht sagen; Ihnen aber dringend empfehlen Ihr System dahingehend zu ändern.

VG aus HH
Bio
 
Bekommst Du das Passwort denn auch zugemailt, wenn Du es jetzt nach erfolgreicher Anmeldung abänderst? Man bekommt ja auch oft bei Anmeldung oder "Passwort vergessen"-Mails zunächst ein Passwort zugeteilt per mail, aber soll dieses dann ändern, nachdem man sich damit dann erstmals eingeloggt hat,
 
Da ich selbst mal sehr aktiv in Sachen Foren Software war, weiß ich das vBulletin das User Passwort sogar 2*md5 verhasht in der Datenbank ablegt.
Und das war schon um die Jahre 2005 herum.
Also da hast du so schnell keine Chance das zu entschlüsseln.
 
Bitte die zwei Problemstellungen nicht durcheinander bringen.
1.
Das Passwort wurde im KLARTEXT per Mail UNVERSCHLÜSSELT und UNSIGNIERT versendet.

2.
Ein als Hash in einer Datenbank abgespeichertes Passwort sollte sich nicht wieder in das ursprüngliche Passwort umwandeln lassen.


Beides sind (im Jahre 2015) gravierende Sicherheitsmängel, die mir derart schon lange nicht mehr untergekommen sind.
 
Bitte die zwei Problemstellungen nicht durcheinander bringen.
1.
Das Passwort wurde im KLARTEXT per Mail UNVERSCHLÜSSELT und UNSIGNIERT versendet.

2.
Ein als Hash in einer Datenbank abgespeichertes Passwort sollte sich nicht wieder in das ursprüngliche Passwort umwandeln lassen.


Beides sind (im Jahre 2015) gravierende Sicherheitsmängel, die mir derart schon lange nicht mehr untergekommen sind.

Der gespeicherte Hash lässt sich auch nicht wieder in das Passwort zurückverwandeln. Dementsprechend können wir auch das ursprüngliche Passwort in der "Passwort vergessen"-Funktion nicht erneut zusenden. Das gesetzte Passwort wird nur einmalig im Rahmen der Registrierung zugeschickt, das erfolgt durch denselben Prozess, der das Passwort hasht und in der Datenbank ablegt. Nach Ende dieses Vorgangs ist das Passwort bei uns nirgends mehr gespeichert. Auch in den Erinnerungs-Mails, die verschickt werden, falls der Nutzer seine Registrierung nicht abschließt, ist dieses Passwort nicht enthalten, da wir eben bereits unmittelbar nach Ende der Verarbeitung des Registrierungs-Formulars auch selbst keinen Zugriff auf dieses Klartext-Passwort mehr haben.

Da es allerdings leider häufig vorkommt, dass Nutzer direkt nach der Registrierung das selbstgewählte Passwort zu vergessen scheinen (z.B. wg. Caps-Lock, Leerzeichen, o.ä.), schicken wir das im Rahmen der Registrierung einmalig an die angegebene E-Mail-Adresse zu, um Probleme beim Einloggen zu vermeiden und unnötige Support-Anfragen zu reduzieren. Da die Registrierung ohnehin nur abgeschlossen werden kann, wenn der Nutzer Zugriff auf seinen E-Mail-Account hat und es sich bei unserer Seite ja auch nicht unbedingt um Online-Banking oder sonst irgendwelche Hochsicherheits-Anwendungen handelt, sehen wir tatsächlich kein Sicherheitsproblem im Klartext-Versand des Passworts. Um dieses Passwort abzugreifen, müsste ein Angreifer in irgendeiner Form Zugriff auf den E-Mail-Account haben - auf unserer Seite wird keine Kopie der versendeten E-Mails gespeichert. Hat der Angreifer aber ohnehin Zugriff auf den E-Mail-Account, so könnte er auch bei Verzicht auf die Zusendung des Passworts dieses jederzeit über die "Passwort vergessen"-Funktion ändern und sich so Zugriff auf den Account verschaffen - und der Angegriffene hat dann mit Sicherheit so oder so schwerwiegendere Probleme als nur einen kompromittierten Community-Account.

Viele Grüße

Markus
 
Vielen Dank für die ausführliche Antwort.
Abschließend noch zwei Anmerkungen.

Im Klartext per Email übersendete Passwörter lassen sich durchaus an sehr vielen Stellen abgreifen, auch ohne Zugriff auf den Email-Account des Angegriffenen zu haben (ungesicherte WLANs, Datenverbindung über Mobilfunk, Kopplungsstellen im Backbone-Netz des Betreibers,...)

Es gibt diverse Studien, die zeigen, dass zwischen 80% und 95% aller Nutzer (je nach Studie) das selbe Passwort für sehr viele / alle Internetdienste Nutzen. Über Angriffe, die auf dieser Schwachstelle beruhen, ist in den letzten zwei Jahren vielfach und nicht nur in der Fachpresse berichtet worden.
(Nat. nur über die prominenten Opfer, wie Sarah Palin, ....)

Ich will es dabei belassen und hoffe vllt. letztendlich doch etwas Einsicht erzeugt zu haben.

VG aus HH
Bio
 
Vielen Dank für die ausführliche Antwort.
Abschließend noch zwei Anmerkungen.

Im Klartext per Email übersendete Passwörter lassen sich durchaus an sehr vielen Stellen abgreifen, auch ohne Zugriff auf den Email-Account des Angegriffenen zu haben (ungesicherte WLANs, Datenverbindung über Mobilfunk, Kopplungsstellen im Backbone-Netz des Betreibers,...)
Ich verstehe zwar Deine Sorge und finde es gut, wenn man sich da Gedanken macht, aber: wer in solchen freien Netzen ohne zusätzliche Sicherung mails abruft usw., der ist eigentlich selber schuld, und selbst ohne so eine Email würde so eine Person - wenn sie sich dann einloggt - dann ja quasi selber das Passwort übermitteln ^^ Da müsste also jemand 1) in einem ungesicherten Netzwerk sein 2) solche sensiblen Dinge wie Emails lesen machen, in dem Fall hier ausgerechnet DANN die Mail abrufen mit dem Passwort und 3) ein "Bösewicht" zufällig in der Nähe sein und den User auch noch aufs Korn nehmen.

Ich denke, dass man vielleicht höchstens für so einen Fall dann in der Anmeldemail darauf hinweisen sollte, das Passwort beim ersten Besuch nach Bestätigung der Anmeldung zu ändern. Und vlt schon bei der Anmeldung zu schreiben, dass man auf keinen Fall ein Passwort nehmen soll, was man auch für andere Dienste verwendet.
 
Zuletzt bearbeitet:
Die meisten Mail Provider nutzen doch mittlerweile standardmäßige Verschlüsselung. Wie gut die ist, sei mal dahingestellt. Aber vorausgesetzt die wird auch beim Senden vom Forensystem verschlüsselt, kriegt man beim Sniffen des Netzwerkverkehrs ja keinen Klartext.
 
Wenn ich hier nochmal kurz einhaken darf:

Ich verstehe zwar Deine Sorge und finde es gut, wenn man sich da Gedanken macht, aber: wer in solchen freien Netzen ohne zusätzliche Sicherung mails abruft usw., der ist eigentlich selber schuld, und selbst ohne so eine Email würde so eine Person - wenn sie sich dann einloggt - dann ja quasi selber das Passwort übermitteln ^^

Diese Tatsache ist nun aber wirklich das Problem von PCGames. Dass der Login-Vorgang verschlüsselt abläuft, kann der Nutzer schlecht erzwingen. Wenn man explizit https://pcgames.de aufruft, erhält man einen Zertifikats-Fehler. Also ist die Verantwortung hier in erster Linie beim Forenbetreiber zu suchen!
 
Zurück