Sicherheitswarnung!


#1

wir haben leider eine schlechte Nachricht für euch.
Bei einer Untersuchung des Forums wurden Hacks, entdeckt die Hintertüren geöffnet haben könnten. Daher können wir nicht garantieren, dass eure Userdaten nicht heruntergeladen wurden.
Diese Hacks wurden entfernt und damit diese nicht wieder auftreten, werden wir in den nächsten Tagen das Forum auf eine andere Software umziehen.

Grüße


Wochenende!
#2

Das Passworthashverfahren ist leider nicht optimal. @EagleEye hat mir dankenswerterweise meinen Eintrag der Usertable zukommen lassen, sodass ich verifizieren konnte, dass md5(md5($password) + $salt) zum Einsatz kommt.
Da md5 auf Geschwindigkeit optimiert ist, weil es eigentlich als kryptographischer Hash für Verschlüsselung, Integritäts- und Authentizitätsprüfungen entworfen wurde. Daher lassen sich auf moderner Hardware sehr viele Hashes in kurzer Zeit berechnen.

Einziger Wermutstropfen ist, dass die Passworte wenigstens gesalzen sind (30-stelliger Salt aus lesbaren Zeichen). Wenn es jemand drauf anlegt, wird er die kürzeren Passworte trotzdem ohne allzu viel Mühe brechen können, es gibt lediglich einen Schutz vor vorberechneten Rainbowtables.


#3

Danke für den “Sicherheitscheck”.

Also ich hab ein langes “Wegwerfpassword”, das für den Computer zufällig aussieht. Ich möchte es aber erst ändern, wenn wir auf der neuen Software sind.

Ich bin ja schon etwas länger in diesem mysteriösen Internet unterwegs. Einmal hab ich mitbekommen, dass sogar die Login-Routine betroffen war - weswegen Passwörter geändert werden sollten. DAS scheint hier nicht der Fall. ABER ich warte trotzdem auf neue Software.

Also mein Password besteht nicht nur aus 12345, also bitte gar nicht erst versuchen.

Die 25 schlechtesten Passwörter des Jahres 2015 - PC Magazin

Wobei in De mWn. auch “vulgäre Ausdrücke” gerne gewählt werden, welche auch nicht sicher sind.
(Fic…, Vot…, Tit…)


#4

[QUOTE=cmrudolph]Das Passworthashverfahren ist leider nicht optimal. @EagleEye hat mir dankenswerterweise meinen Eintrag der Usertable zukommen lassen, sodass ich verifizieren konnte, dass md5(md5($password) + $salt) zum Einsatz kommt.
Da md5 auf Geschwindigkeit optimiert ist, weil es eigentlich als kryptographischer Hash für Verschlüsselung, Integritäts- und Authentizitätsprüfungen entworfen wurde. Daher lassen sich auf moderner Hardware sehr viele Hashes in kurzer Zeit berechnen.

Einziger Wermutstropfen ist, dass die Passworte wenigstens gesalzen sind (30-stelliger Salt aus lesbaren Zeichen). Wenn es jemand drauf anlegt, wird er die kürzeren Passworte trotzdem ohne allzu viel Mühe brechen können, es gibt lediglich einen Schutz vor vorberechneten Rainbowtables.[/QUOTE]

Der Salt liegt ja ebenfalls in der DB, insofern hast du “leider” Recht. Wirklichen Schutz bietet das jetzt nicht mehr.


#5

@EagleEye : Als kleiner Hinweis: Deine Email ist durch den Spamfilter von gmx gekommen, aber nicht durch den Spamfilter von gmail. Ich weiß das, weil ich zwei hab und auf “streng” eingestellt ist.


#6

Ja ich weiß gmail ist echt zickig, steht auf meiner Todo Liste dass ich da mal wieder ran muss


#7

Kann ich bestätigen. Ich habe mich schon gewundert, warum ich keine Mail bekommen habe.


#8

Bei meinem gmail ist’s jedenfalls angekommen.


#9

Mails von meinen Servern gehen jetzt auch durch den Spamfilter bei gmail, seitdem ich DKIM umgesetzt habe. Auch werden Mails bei mir, wo möglich, per TLS verschlüsselt übertragen (ich nutze ebenfalls letsencrypt). SPF (softfail) hatte ich vorher schon, DMARC habe ich nicht umgesetzt.


#10

Quotes sind bisher auch alle durch den Spamfilter gekommen, nur die EMail vom Administrator halt nicht. Aber das kann auch an der Ausführungsreihenfolge liegen.
Naja, aber hier wird ja auch darauf hingewiesen.


#11

ich hab gestern mal einen Testimport gemacht der echt gut lief
paar Modifikationen werde ich noch machen müssen dass alles richtig drin ist und es am Ende schön aussieht und ich muss mir das ganze Setup noch etwas überdenken. Aber ich bin mir mittlerweile relativ sicher dass wir auf Discourse gehen werden

Wenn alles nach Plan verläuft wird der Umzug am Wochenende stattfinden, aber das werde ich noch einmal genauer ankündigen.
Außerdem werde ich gucken, dass aus Sicherheitsgründen alle Passwörter zurückgesetzt werden, daher guckt jetzt schon einmal dass eure EMail Adressen passen :wink:


#12

ich hoffe das ich das gleiche Passwort wieder verwenden kann, ist ja eh schon in China


#13

klar das sollte gehen (werde ich dann noch einmal checken)


#14

Ich hoffe, dann ist aber nicht alles ungelesen.
Ich bin ja mal gespannt, wie es wird. Klingt nach einem arbeitsreichen Wochenende. Viel Erfolg und danke für deine Mühen.


#15

So wenn alles klappt und nichts unvorhergesehenes kommt, werde ich morgen späten Nachmittag/Abend den Umbau beginnen
Nach ersten Tests werden ALLE Passwörter zurückgesetzt, d.h. ihr müsst ein neues PW anfordern


#16

::manklatsch (Hab’ gerade gemerkt, dass diese ominöse Umleitung nach “filestore” immernoch aktiv ist - das erledigt sich ja dann hoffentlich morgen)

EDIT: Heute ist der 4. und nicht der 5. … aber … egal


#17

immernoch`? hmpf

Oh stimmt, naja wenn man nach 24 Uhr auf das Datum guckt und einfach +1 rechnet :smiley:


#18

Das sollte machbar sein, und ist auch so “gängige Praxis” :slight_smile:

Ich schreibe einen Testbeitrag, wenn alles funzt hat.


#19

naja die Frage ist ob euere EMail Adresse stimmt :wink:
weil es gibt Herrschaften die keine gültige mehr haben, sei es vergessen zu ändern oder Einmalemailadresse

*** Edit ***

ok der letzte Test hat 11h gedauert, daher werde ich heute Abend das Forum hier abschalten und morgen früh dann alles fertig machen


#20

Viel Erfolg bei der Migration!