(09.01.2013)Flying-Claw schrieb: [ -> ]Wait, das Team kann auf unsere PW's zugreifen?
Wenn ja, fuehl ich mich grad "leicht" ver**scht..
Leute, die auf die Datenbank Zugriff haben, haben auch theoretisch auf das Passwort des Users Zugriff. Aber 1. ist das soweit ich weiß in der DB verschlüsselt und 2. würde ein Missbrauch dieser Rechte gegen das deutsche Datenschutzgesetz verstoßen und der Schuldige könnte bei einem sicheren Nachweis auch angezeigt werden. Also mach dir über sowas keinen Kopf, Flying Claw, im Internet ist ein Forenmod/admin mit Zugriff auf die Forendatenbank so ziemlich das Harmloseste
Im Zweifelsfall kann jede Webseite, Forum etc. auf der ein Passwort verlangt wird, dieses auch jederzeit einfach als Klartext abgreifen. Denn an den Server gesendet werden Passwörter grundsätzlich unverschlüsselt.
Also kurz als Admin die MyBB-Software umschreiben, so dass sie, bevor das Passwort für den Login gehasht und somit unkenntlich gemacht wird, eine Kopie davon samt Username z.B. in eine simple Textdatei rausschreiben lassen. Dann den betreffenden User zum Logout zwingen (seine Session beenden), sodass er sein Passwort beim nächsten Besuch neu eingeben muss. Fertig.
Aber das sollte doch wirklich jedem bewusst sein, dass der Betreiber einer Webseite das machen kann und man daher auf jeder Webseite ein anderes Passwort verwenden sollte, oder?
Rein aus dem in der Datenbank gespeicherten gehashten Passwort kann man das Original nicht ohne weiteres wieder herstellen, selbst wenn man das Salt dazu kennt.
Da der MD5 mittlerweile geknackt ist könnte man schon.
(10.01.2013)Saij schrieb: [ -> ]Da der MD5 mittlerweile geknackt ist könnte man schon.
Wäre mir neu, dass MD5 "geknackt" ist. Es wurden nur Wege gefunden, um "Kollisionen" künstlich zu erzeugen, also zwei zufällige Worte/Nachrichten die mit MD5 gehasht den selben Hash-Wert liefern. Es gibt noch keine Methode, für einen vordefinierten Hash-Wert eine Nachricht zu finden, die dazu passt.
Daher ist MD5 für Passwörter nach wie vor gebräuchlich und sicher.
Das mit der Statistik wurde natürlich überarbeitet, nun ist es auch auf der Detailseite der Statistik ausgenommen worden.
(09.01.2013)Flying-Claw schrieb: [ -> ]Wait, das Team kann auf unsere PW's zugreifen?
Nein, können wir nicht.
Die Passwörter sind alle verschlüsselt und können nicht mehr zurückverfolgt werden und zum Schutz vor den vielen MD5-Rainbow Tables werden diese auch noch mit einem jeweils zufällig generierten SALT "versalzen", wie man gerne sagt, der wird bei der Verschlüsselung mit eingenommen und schon sind jegliche MD5-Tabellen irrelevant.
Und wie es eClypse schon richtig gesagt hatte, es ist schlichtweg illegal und man macht sich damit strafbar.
//EDIT: Bevor vllt. noch mehr mit den "Klugscheißmodus" kommen, wie Mai Waifu sagt, natürlich spricht man hier von "Hashing" und so wird eine simple Prüfsumme erstellt, ich wollte es allerdings verständlich für Flying-Claw erklären, da bringt es nichts mit irgendwelchen Begriffen wie "Hash", "Prüfsumme", "Algorithmen" & Co umherzuwerfen.
Ich meine, selbst wenn? Mal abgesehen vom Missbrauch durch Verwendung fremder Daten und unerlaubter Zugriff auf persönliche Bereiche eines Nutzers...was nützt das PW ausspähen denn? Oh noes, User XY hat das Passwort "rainbowdash28istdoof" (willkürlich gewählt, sorry rd28
), jetzt gibt es einen Stiefel an den Kopf? Damit würde sich wohl jeder Mod lächerlich machen und zugleich noch beweisen, dass er Passwörter ausspioniert.
Äh, nein
Das Risiko würde das Team allein deshalb nicht eingehen, weil es dann genug Nutzer gibt, die daraus einen sehr unschönen Akt der Rache basteln würden.
Man muss dem Seitenbetreiber vertrauen. Man sollte eh immer andere Passwörter nehmen, und ich behaupte mal, Bronies.de kann man als vertrauenswürdige Seite ansehen.
Es ist klar, das man einer Seite wie "getIphon4free.com" eher nicht vertrauen sollte. Eine Seite wie Bronies.de kann (oder muss man halt) vertrauen.
@Custody:
Die Gründe hat Evenprime sehr schön beschrieben. Man könnte damit, bei unachtsamen usern, Passwörter zu anderen Seiten aufdecken.
Übrigens, wenn ihr eine Indiz für die Vertrauenswürdigkeit dieser Seite wollt, dann schaut euch mal mit Ghostry an wie viele Tracker hier zu finden sind und vergleicht es mit anderen Seiten, wie "transfermarkt.de"
<klugscheiß>
Die Passwörter sind nicht verschlüsselt, sondern gehasht. Das ist ein Unterschied. Sogar ein Großer.
</klugscheiß>
Naja ich will mich nicht unbeliebt machen, aber man kann seine IP wechseln oder über x Proxys rein. Dennoch muss ich sagen das es die effektivste Methode ist die es gibt. Wird die MAC Adresse auch gespeichert?
Die MAC-Adresse ist nur intern im LAN, sie kommt gar nicht hinaus bis ins Internet. (MAC-Adressen kann man übrigens auch spoofen.)
Das mit den IPs wurde ein paar Posts vorher schon angesprochen. Aber letztlich wechselt jeder normale DSL-Anschluss mindestens alle 24 Stunden seine IP automatisch durch einen reconnect, wodurch eine IP-Filterung nicht unbedingt effektiv ist.
selbst wenn die mods mein passwort lesen könnten hätte ich damit kein problem da ich der meinung bin das alle mods hier vertrauenswürdig genug sind und dieses nicht missbrauchen
/back to topic
Ich finde die idee und umsetzung gut, lob dafür
(10.01.2013)Blue Sparkle schrieb: [ -> ]@Custody:
Die Gründe hat Evenprime sehr schön beschrieben. Man könnte damit, bei unachtsamen usern, Passwörter zu anderen Seiten aufdecken.
Übrigens, wenn ihr eine Indiz für die Vertrauenswürdigkeit dieser Seite wollt, dann schaut euch mal mit Ghostry an wie viele Tracker hier zu finden sind und vergleicht es mit anderen Seiten, wie "transfermarkt.de"
Wieso sollten Tracker auf eine Böse Webseite hindeuten? Zumal viele der angezeigten Tracker durch Ghostry nicht wirklich schlimm sind.
(11.01.2013)Jaster schrieb: [ -> ]selbst wenn die mods mein passwort lesen könnten hätte ich damit kein problem da ich der meinung bin das alle mods hier vertrauenswürdig genug sind und dieses nicht missbrauchen
Das ist ziemlich naiv. Ich kenne da zumindest zwei die hier mal Mods waren, den würde ich das zutrauen.
(11.01.2013)Jaster schrieb: [ -> ]vertrauenswürdig
(12.01.2013)Mai Waifu schrieb: [ -> ]naiv
(welch tolle Zitate)
Wenn wir schon bei Naiv, etc. sind: Die Moderatoren, Admins etc. können - wenn überhaupt - nur auf die Hashes zugreifen, aus denen man aber kein Passwort auslesen kann. (Außer die Verschlüsselung wurde deaktiviert, was durchaus möglich, aber äußerst leichtsinnig wäre.) Wenn ich mir sorgen machen würde, dann um
alle anderen, denn das Passwort ist zwar nur als Prüfsumme hinterlegt, wird aber im Klartext zum Server übertragen. Auf diesem Weg könnte theoretisch jeder das Passwort im Klartext abgreifen. Also wenn schon Paranoia, dann bitte an der richtigen Stelle.
Ich glaube das mit den Hashes hatten wir jetzt schon zu genüge. Ich wollte nur mal sagen, dass man auch den Mods hier nicht trauen kann. Nicht, dass ich sie unter Generalverdacht stellen würde, aber ich denke du weiß worauf ich henaus will.