Hallo Zusammen,
ich hab bisher kein besonderes Augenmerk draufgelegt und deswegen noch nicht bemerkt, aber grade ist mir aufgefallen dass das Passwort zum Anmelden unverschlüsselt als Klartext übertragen wird, sodass es jeder Dritte von außen einsehen kann. Das ist eine meiner Meinung nach erhebliche Sicherheitslücke, denn das bedeutet auch wiederum das alle Passwörter im Klartext in der AKAD-Datenbank vorliegen und nicht gehashed sind. Bei einem vermeintlichen Angriff könnten alle Passwörter ohne Probleme ausgelesen werden.
Die Sicherheitspolitik respektive Datenschutz bei AKAD macht mir ernsthaft sorgen..
VG,
Basti
Passwort wird in VH unverschlüsselt übertragen
-
Translatorfun
- Forums-Profi
- Beiträge: 173
- Registriert: 05.08.12 09:12
und was sollen sie mit den daten machen?
die noten ausdrucken und auf die wäscheleine zum trocknen legen
oder die hausarbeit zum klopapier umwandeln?
im ernst!
die noten ausdrucken und auf die wäscheleine zum trocknen legen
oder die hausarbeit zum klopapier umwandeln?
im ernst!
DONE:ANS01,BWL01,BWL02,BWL03,BWL04,BWL05,DGL01,DGL03,EVW01,EUE01,
ELK01,EWK01,EWS01,FGI01,FGI02,IBW01,IBW03,ICC01,IKM01,INT01,ITM01,KOM01,PER01,PER02,PER03,PER04,PER05,SQL03,SQL03,EDS01,EIT01,EKO01,UFU03,UFU05,UFU06,VWL03,WIN02,WIR04
ENC21,EUE02,EUE03.
ELK01,EWK01,EWS01,FGI01,FGI02,IBW01,IBW03,ICC01,IKM01,INT01,ITM01,KOM01,PER01,PER02,PER03,PER04,PER05,SQL03,SQL03,EDS01,EIT01,EKO01,UFU03,UFU05,UFU06,VWL03,WIN02,WIR04
ENC21,EUE02,EUE03.
Du meinst die VH?
Bei mir steht da als Protokoll "https". Was soll daran nicht verschluesselt sein? Verstehe ich nicht.
Wie man darauf schliesst, dass die Kenwoerter unverschluesselt in der Datenbank stehen, weil sie unverschluesselt uebertragen werden,
verstehe ich auch nicht. Schon DBA, IUK und WEB gehoert?
Olaf
Bei mir steht da als Protokoll "https". Was soll daran nicht verschluesselt sein? Verstehe ich nicht.
Wie man darauf schliesst, dass die Kenwoerter unverschluesselt in der Datenbank stehen, weil sie unverschluesselt uebertragen werden,
verstehe ich auch nicht. Schon DBA, IUK und WEB gehoert?
Olaf
BastiTI hat geschrieben:Hallo Zusammen,
ich hab bisher kein besonderes Augenmerk draufgelegt und deswegen noch nicht bemerkt, aber grade ist mir aufgefallen dass das Passwort zum Anmelden unverschlüsselt als Klartext übertragen wird, sodass es jeder Dritte von außen einsehen kann. Das ist eine meiner Meinung nach erhebliche Sicherheitslücke, denn das bedeutet auch wiederum das alle Passwörter im Klartext in der AKAD-Datenbank vorliegen und nicht gehashed sind. Bei einem vermeintlichen Angriff könnten alle Passwörter ohne Probleme ausgelesen werden.
Die Sicherheitspolitik respektive Datenschutz bei AKAD macht mir ernsthaft sorgen..
VG,
Basti
Bitte keinen Dump von einer https-Session. Die sind wirklich schwer zu lesen;-)
Und wenn waehrend einer Secure-Session auf einmal Elemente unverschluesselt uebertragen werden, bimmelt der Browser normalerweise heftig.
Olaf
Und wenn waehrend einer Secure-Session auf einmal Elemente unverschluesselt uebertragen werden, bimmelt der Browser normalerweise heftig.
Olaf
stag3k hat geschrieben:hast du davon einen wireshark-trace etc.?
Natürlich ist mir klar das die Verbindung Respekt. Die Übertragung verschlüsselt ist, jedoch wird das Passwort als Klartext innerhalb der Verschlüsselung übertragen anstatt als Hash. Normalerweise ist das Verfahren so dass der Hashwert verschlüsselt übertragen wird und nicht der Klartext. An nem öffentlichen Platz könnte rein theoretisch jeder der hinter euch steht euer PW sehen. Und die URL mit denn Kenndaten wird auch gespeichert. Ich möchte mal eure Gesichter sehen wenn jemand die DB hackt und mit euren PW Mist treibt, zB sich bei Prüfungen spaßeshalber anmeldet zu denen ihr nicht hingeht und dann ne 5 kassiert. Bin mal gespannt wie ihr das nachweisen wollt dass das nicht ihr wart 
@olfried: Jupp hatte IUK (1,2), DBA01 (2,0), WEB01 hab ich nicht
Kann mal bei Gelegenheit nen Trace ziehe ..
@olfried: Jupp hatte IUK (1,2), DBA01 (2,0), WEB01 hab ich nicht
Kann mal bei Gelegenheit nen Trace ziehe ..
Start 11/2011 B. Eng. Technische Informatik: complete;todo;in progress
I: complete
II: IMA04, IMA07, CPP01, ELT03, ELT10;PHY05, BWL02; PHY05
III:complete
IV: complete
I: complete
II: IMA04, IMA07, CPP01, ELT03, ELT10;PHY05, BWL02; PHY05
III:complete
IV: complete
Haeh?
Wo wird das Password angezeigt? Wenn ich das Passwort eingebe, kommen da nur Punkte. Das ist doch ein Passwort-Eingabefeld, oder gibt man noch irgendwo sein PW ein?
An welcher Stelle kann jemand, der hinter mir steht, das Kennwort sehen? Im URL? Oder wo jetzt? Ich habe es noch nie gesehen.
Gruss
Olaf
Wo wird das Password angezeigt? Wenn ich das Passwort eingebe, kommen da nur Punkte. Das ist doch ein Passwort-Eingabefeld, oder gibt man noch irgendwo sein PW ein?
An welcher Stelle kann jemand, der hinter mir steht, das Kennwort sehen? Im URL? Oder wo jetzt? Ich habe es noch nie gesehen.
Gruss
Olaf
BastiTI hat geschrieben:Natürlich ist mir klar das die Verbindung Respekt. Die Übertragung verschlüsselt ist, jedoch wird das Passwort als Klartext innerhalb der Verschlüsselung übertragen anstatt als Hash. Normalerweise ist das Verfahren so dass der Hashwert verschlüsselt übertragen wird und nicht der Klartext. An nem öffentlichen Platz könnte rein theoretisch jeder der hinter euch steht euer PW sehen. Und die URL mit denn Kenndaten wird auch gespeichert. Ich möchte mal eure Gesichter sehen wenn jemand die DB hackt und mit euren PW Mist treibt, zB sich bei Prüfungen spaßeshalber anmeldet zu denen ihr nicht hingeht und dann ne 5 kassiert. Bin mal gespannt wie ihr das nachweisen wollt dass das nicht ihr wart
@olfried: Jupp hatte IUK (1,2), DBA01 (2,0), WEB01 hab ich nicht
Kann mal bei Gelegenheit nen Trace ziehe ..
-
Vanessa1989
- Forums-Profi
- Beiträge: 72
- Registriert: 20.07.13 13:23
Hallo zusammen,
für mich als BWLerin mit absolut überhaupt keinen / ganz wenigen IT-Kenntnissen ist das hier alles kaum nachvollziehbar. Wenn ich in der VH mein Passwort eingebe stehen da nur Punkte, also woher soll jemand, der nicht gerade auf die Tastatur beim tippen sieht, wissen, wie mein Passwort lautet
?
Vielen Dank für eine Erklärung
!
Viele Grüße
Vanessa
für mich als BWLerin mit absolut überhaupt keinen / ganz wenigen IT-Kenntnissen ist das hier alles kaum nachvollziehbar. Wenn ich in der VH mein Passwort eingebe stehen da nur Punkte, also woher soll jemand, der nicht gerade auf die Tastatur beim tippen sieht, wissen, wie mein Passwort lautet
? Vielen Dank für eine Erklärung
!Viele Grüße
Vanessa
Hallo Vanessa,
mir ist das in der URL vom FF (Firefox) aufgefallen. Da stand der Benutzername und der Passwortname in Klartext in der URL. Wenn nun einer an deinen PC geht könnte er es von der URL ablesen (wenn er gute Augen hat) oder wenn derjenige sogar an deinen Rechner rankommt könnte er im FF den Befehl about:config in die URL Leiste eintippen und würde sämtliche URLs auf denen du warst angezeigt bekommen. Wenn natürlich in einer URL ein Passwort stehen würde, würde das auch mit aufgelistet werden. Da das Problem aber zwischenzeitlich nicht mehr reproduzierbar ist, muss man sich keine Sorgen machen. Vielleicht hatte AKAD für ein Update auch kurz was umgestellt, keine Ahnung.
VG,
Basti
mir ist das in der URL vom FF (Firefox) aufgefallen. Da stand der Benutzername und der Passwortname in Klartext in der URL. Wenn nun einer an deinen PC geht könnte er es von der URL ablesen (wenn er gute Augen hat) oder wenn derjenige sogar an deinen Rechner rankommt könnte er im FF den Befehl about:config in die URL Leiste eintippen und würde sämtliche URLs auf denen du warst angezeigt bekommen. Wenn natürlich in einer URL ein Passwort stehen würde, würde das auch mit aufgelistet werden. Da das Problem aber zwischenzeitlich nicht mehr reproduzierbar ist, muss man sich keine Sorgen machen. Vielleicht hatte AKAD für ein Update auch kurz was umgestellt, keine Ahnung.
VG,
Basti
Start 11/2011 B. Eng. Technische Informatik: complete;todo;in progress
I: complete
II: IMA04, IMA07, CPP01, ELT03, ELT10;PHY05, BWL02; PHY05
III:complete
IV: complete
I: complete
II: IMA04, IMA07, CPP01, ELT03, ELT10;PHY05, BWL02; PHY05
III:complete
IV: complete
Selbst wenn es in der URL stehen würde, solange die Verbindung an sich SSL-Verbindung gesichert ist, sieht das so erst einmal keiner, solange er sich nicht in den SSL-Stream einklinkt (man in the middle).
Und wie die Passwörter in der DB stehen ist von außen nicht zu beurteilen. Ob dort nur ein Hash steht, die Datenbank selbst verschlüsselt ist, oder hinten dran eine simple Textdatei liegt (bei der Performance der VH traue ich denen alles zu) ist von außen nicht einsehbar.
Viel Wind um nichts...
Und wie die Passwörter in der DB stehen ist von außen nicht zu beurteilen. Ob dort nur ein Hash steht, die Datenbank selbst verschlüsselt ist, oder hinten dran eine simple Textdatei liegt (bei der Performance der VH traue ich denen alles zu) ist von außen nicht einsehbar.
Viel Wind um nichts...
Also d.h. Wenn ich hinter dir stehen würde und auf die URL glotzen würde würde ich nichts sehen? Willst du mir Scheuklappen verpassen oder wieProck hat geschrieben:Selbst wenn es in der URL stehen würde, solange die Verbindung an sich SSL-Verbindung gesichert ist, sieht das so erst einmal keiner, solange er sich nicht in den SSL-Stream einklinkt (man in the middle).
Und wie die Passwörter in der DB stehen ist von außen nicht zu beurteilen. Ob dort nur ein Hash steht, die Datenbank selbst verschlüsselt ist, oder hinten dran eine simple Textdatei liegt (bei der Performance der VH traue ich denen alles zu) ist von außen nicht einsehbar.
Viel Wind um nichts...
Und mit about:cache kann ich trotzdem den Cache anschauen (ist ja unabhängig vom Sicherheitsprotokoll) und da stehen nun mal alle URLs drin die besucht wurden, also damit auch die in der das Passwort steht.
Mit der DB geb ich dir recht, das war ne Falschaussage meinerseits
Start 11/2011 B. Eng. Technische Informatik: complete;todo;in progress
I: complete
II: IMA04, IMA07, CPP01, ELT03, ELT10;PHY05, BWL02; PHY05
III:complete
IV: complete
I: complete
II: IMA04, IMA07, CPP01, ELT03, ELT10;PHY05, BWL02; PHY05
III:complete
IV: complete
Erschreckende Antworten hier... Natürlich ist es kritisch, wenn irgendwo auf dem PC oder im Internet Kennwörter unverschlüsselt übertragen werden. Wer das nicht nachvollziehen kann, sollte es sich zumindest sagen lassen.
Die VH speichert Eure Zugangsdaten im Cookie im Klartext. Das bedeutet, dass jeder der Zugriff auf Euren PC hat (oder nach Euch an einem "öffentlichen" PC sitzt), eure Zugangsdaten im Klartext lesen und demnach auch verwenden kann. Interessant wird das (wie schon erwähnt), wenn Fremde missbräuchlich Prüfungstermine für Euch buchen (die ja auch nicht per Email bestätigt werden - ihr also nichts davon mitbekommt). Dem einen oder anderen reicht es aber auch vielleicht schon, wenn Fremde Noten einsehen können... das liegt an der persönlichen Schmerzgrenze eines jeden selbst.
Interessanter wird es schon, wenn ihr die gleichen Passwörter auch für Soziale Netzwerke, Online-Banking, Emails oder oder oder verwendet. Weiter ausführen muss man das doch nicht, oder?
Wie der Cookie von AKAD aussieht: Den kann sich jeder einmal selbst auf seinem PC ansehen. Und bevor mich hier noch ganz kritische Nachfragen erreichen: Nein, das Kennwort ist im Cookie nicht durch einen roten Balken "verschlüsselt". Es steht da im KLARTEXT. Ich habe mir nur erlaubt in dem Screenshot mein eigenes Kennwort unkenntlich zu machen, denn ich habe damit ein Problem, wenn ihr es hättet.
Die VH speichert Eure Zugangsdaten im Cookie im Klartext. Das bedeutet, dass jeder der Zugriff auf Euren PC hat (oder nach Euch an einem "öffentlichen" PC sitzt), eure Zugangsdaten im Klartext lesen und demnach auch verwenden kann. Interessant wird das (wie schon erwähnt), wenn Fremde missbräuchlich Prüfungstermine für Euch buchen (die ja auch nicht per Email bestätigt werden - ihr also nichts davon mitbekommt). Dem einen oder anderen reicht es aber auch vielleicht schon, wenn Fremde Noten einsehen können... das liegt an der persönlichen Schmerzgrenze eines jeden selbst.
Interessanter wird es schon, wenn ihr die gleichen Passwörter auch für Soziale Netzwerke, Online-Banking, Emails oder oder oder verwendet. Weiter ausführen muss man das doch nicht, oder?
Wie der Cookie von AKAD aussieht: Den kann sich jeder einmal selbst auf seinem PC ansehen. Und bevor mich hier noch ganz kritische Nachfragen erreichen: Nein, das Kennwort ist im Cookie nicht durch einen roten Balken "verschlüsselt". Es steht da im KLARTEXT. Ich habe mir nur erlaubt in dem Screenshot mein eigenes Kennwort unkenntlich zu machen, denn ich habe damit ein Problem, wenn ihr es hättet.
Servus zusammen,
also das Passwort wird unverschlüsselt über eine verschlüsselte Verbindung zur AKADVH übertragen. Dies stellt überhaupt kein Problem aus IT-Security Sicht dar.
Sitzt man in einem Internet Cafe oder einem anderem unsicheren Netzwerk sind die Zugangsdaten nicht (ohne Aufwand) für andere Sichtbar.
Wie das Passwort in der Datenbank abgelegt ist kann dadurch nicht gesagt werden. Dies kann trotzdem gesalzen und/oder gepfeffert sein, also nicht im Klartext.
Passwörter lokal in einem "unsicheren" Bereich hier als Cookie zu speichern ist immer risikobehaftet. In dieses Fall ist das Passwort im Klartext am lokalen Rechner gespeichert, dies heißt aber nicht das es über eine unverschlüsselte Verbindung übertragen wird. Ob im Cookie das Passwort oder der Hash aus der Datenbank steht ist total egal. Cookie weg -> Zugang weg.
Empfehlung, den Hacken nicht setzen und die Benutzerdaten in einem sicheren Keystore oder Passwort Manager ablegen oder jedes mal per Hand eintippen.
PS. Wer in einem Internet Cafe oder an einem Fremden Rechen den Hacken zum Passwort speichern setzt dem ist leider nicht mehr zu helfen.
also das Passwort wird unverschlüsselt über eine verschlüsselte Verbindung zur AKADVH übertragen. Dies stellt überhaupt kein Problem aus IT-Security Sicht dar.
Sitzt man in einem Internet Cafe oder einem anderem unsicheren Netzwerk sind die Zugangsdaten nicht (ohne Aufwand) für andere Sichtbar.
Wie das Passwort in der Datenbank abgelegt ist kann dadurch nicht gesagt werden. Dies kann trotzdem gesalzen und/oder gepfeffert sein, also nicht im Klartext.
Passwörter lokal in einem "unsicheren" Bereich hier als Cookie zu speichern ist immer risikobehaftet. In dieses Fall ist das Passwort im Klartext am lokalen Rechner gespeichert, dies heißt aber nicht das es über eine unverschlüsselte Verbindung übertragen wird. Ob im Cookie das Passwort oder der Hash aus der Datenbank steht ist total egal. Cookie weg -> Zugang weg.
Empfehlung, den Hacken nicht setzen und die Benutzerdaten in einem sicheren Keystore oder Passwort Manager ablegen oder jedes mal per Hand eintippen.
PS. Wer in einem Internet Cafe oder an einem Fremden Rechen den Hacken zum Passwort speichern setzt dem ist leider nicht mehr zu helfen.
Vielen Dank, Sebastian.
Das ist allerdings eine Sicherheitsluecke. Wenn dann noch eine Cross-Site-Luecke auf den Akad-Seiten gefunden wird, kann man den Browser prima hijacken und den Cookie auslesen.
Das ist aber scheinbar ein Session-Cookie, oder? Das heisst, er wird nicht auf die Platte geschrieben.
Gruss
Olaf
Das ist allerdings eine Sicherheitsluecke. Wenn dann noch eine Cross-Site-Luecke auf den Akad-Seiten gefunden wird, kann man den Browser prima hijacken und den Cookie auslesen.
Das ist aber scheinbar ein Session-Cookie, oder? Das heisst, er wird nicht auf die Platte geschrieben.
Gruss
Olaf
backno hat geschrieben:Erschreckende Antworten hier... Natürlich ist es kritisch, wenn irgendwo auf dem PC oder im Internet Kennwörter unverschlüsselt übertragen werden. Wer das nicht nachvollziehen kann, sollte es sich zumindest sagen lassen.
Die VH speichert Eure Zugangsdaten im Cookie im Klartext. Das bedeutet, dass jeder der Zugriff auf Euren PC hat (oder nach Euch an einem "öffentlichen" PC sitzt), eure Zugangsdaten im Klartext lesen und demnach auch verwenden kann. Interessant wird das (wie schon erwähnt), wenn Fremde missbräuchlich Prüfungstermine für Euch buchen (die ja auch nicht per Email bestätigt werden - ihr also nichts davon mitbekommt). Dem einen oder anderen reicht es aber auch vielleicht schon, wenn Fremde Noten einsehen können... das liegt an der persönlichen Schmerzgrenze eines jeden selbst.
Interessanter wird es schon, wenn ihr die gleichen Passwörter auch für Soziale Netzwerke, Online-Banking, Emails oder oder oder verwendet. Weiter ausführen muss man das doch nicht, oder?
Wie der Cookie von AKAD aussieht: Den kann sich jeder einmal selbst auf seinem PC ansehen. Und bevor mich hier noch ganz kritische Nachfragen erreichen: Nein, das Kennwort ist im Cookie nicht durch einen roten Balken "verschlüsselt". Es steht da im KLARTEXT. Ich habe mir nur erlaubt in dem Screenshot mein eigenes Kennwort unkenntlich zu machen, denn ich habe damit ein Problem, wenn ihr es hättet.