Aktuelle Zeit: Fr 1. Nov 2024, 00:05

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 44 Beiträge ]  Gehe zu Seite Vorherige  1, 2, 3, 4, 5  Nächste
Autor Nachricht
BeitragVerfasst: Fr 18. Jan 2019, 13:45 
Offline

Registriert: Sa 30. Apr 2016, 09:16
Beiträge: 179
hoss hat geschrieben:
Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium. Ein Internetdienstleistungs-Anbieter muss den sicheren und unkomplizierten Zugang gewährleisten, so wie ein Autohersteller die Betriebssicherheit seiner Produkte (Autos) heute gewährleisten muss. Die Haftung im Internetdienst liegt heute beim Geschädigten, der nicht mal weiß, das er hinterrücks geschädigt wird.


Echt jetzt?
Hm, wie wäre das denn hier im Forum zum Beispiel? Sagen wir mal, die Leute, die das hier unentgeltlich machen, machen mal einen Fehler. Jeder Mensch macht ja mal einen Fehler. Jedenfalls erbeuten irgendwelche Leute meine Zugangsdaten dieses Forums. Ich selbst war noch so doof, die selben Zugangsdaten für mein Paypal Account zu verwenden. Die Diebe waren etwas cleverer und prüfen so etwas natürlich als erstes. Und siehe da, sie schicken fröhlich Kohle von meinem Paypal Account irgendwohin in die Welt.
Soll ich dann die Betreiber dieses Forums in Haftung nehmen? Ist es das, was Du meinst? Oder müssen sie noch mit strafrechtlichen Konsequenzen rechnen? Weil das für Dich "einem Mord" gleichkommt!

Und wie war das noch mit der Beweisführung? Wer Schadenersatz haben will, muss ja beweisen, dass der Beklagte den Schaden verursacht hat. Wie könnte man im o.g. Fall ausschließen, dass die Diebe die Daten nicht irgendwoanders herhaben? Oder einfach geraten? Mit Troyaner ausgespäht?

Sind "sicher" und "unkompliziert" nicht zwei Merkmale, die sich gegenseitig behindern? Oder wäre es für Dich unkompliziert genug, wenn dieses Forum alle zwei Wochen ein neues Passwort von Dir verlangt, um das Risiko zu verringern? Oder müssen es alle 24h sein, damit es sicher genug ist für Dich? Müssen die Betreiber nun unbedingt eine Zwei-Faktor-Authentifizierung hier einbauen, um vor Schadensersatzforderungen sicher zu sein?

Ich hoffe meine Fragen zeigen, dass der Vergleich zwischen der realen Welt und der virtuellen Welt oft schwierig ist. Hast Du schon mal versucht, ein selbst gebautes Auto für den öffentlichen Straßenverkehr zuzulassen? Oder auch nur ein selbst entwickeltes elektronisches Gerät in den Verkehr zu bringen?
Dabei wirst Du lernen, wie aufwendig und teuer es ist, diese von Dir vom Staat eingeforderte Sicherheit herzustellen.

Wir beklagen uns immer dann über zu viel Bürokratie, wenn sie uns daran hindert, etwas zu tun, wozu wir gerade Lust haben. Zum Beispiel mal eben ein Forum zum Thema Fotografie "in den Verkehr" zu bringen und dabei auch noch die Vorschriften zum Urheberrecht oder der DSGVO zu beachten. Das ist ja immer alles sooooo kompliziert bei uns.
Aber wehe der Staat macht mal weniger Vorschriften und Bürokratie und erwartet von uns, dass wir auf uns selber aufpassen, und das geht schief. Dann sind fehlende Vorschriften und Bürokratie Staatsversagen.

Oh man...


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 18. Jan 2019, 13:46 
Offline

Registriert: Mi 18. Feb 2015, 21:12
Beiträge: 1557
Donn!e DarKo hat geschrieben:
Zu deiner Frage bzgl. ADOBE. In Datenbanken werden HASH werte gespeichert, diese HASH werte kann man eben berechnen bzgl es gibt riesige Liste, wo die drin stehen mit den dazugehörigen Passwörtern. Wenn die Datenbank mal abgegriffen wurde, hat man alle User und alle HASH werte für die Passwörter. Wenn das nicht funktioniert kann man auch generisch HASH werte erstellen lassen und immer wieder gegenprüfen, je länger in dem Fall das PW desto länger dauert es natürlich.


Wenn, wie Du schreibst, die HASH-Werte und die dazugehörigen PWs gespeichert werden,
hat der HASH-Wert keinen Sinn :rolleye:
Meinem Verständnis nach gebe ich meinen Zugangsnamen und mein PW ein
und der ADOBE-HASH-Algo ermittelt den HASH-Wert und schaut nach, ob der zu meinem Zugangsnamen paßt.
Die Gauner können bei ADOBE nur die Liste der Zugangsnamen und die der HASH-Werte klauen.
Doch das sollte ihnen nichts nutzen, denn mit Zugangsnamen und HASH-Wert können sie sich nicht einloggen.
Dumm wird es, wenn die Gauner den ADOBE-HASH-Algo gestohlen haben.
Dann können sie rückwärts aus dem HASH-Wert das PW berechnen :fies:
Und wenn dann jemand das selbe PW für sein email-Konto benutzt ist er im Arsch
und darauf zielen die Gauner wohl ab.
Aber das Problem entsteht, wenn ADOBE oder welcher Anbieter auch immer sein HASH-Algo nicht schützt :yessad:

_________________
:motz: ':-\ Der Erde ist das alles doch völlig egal :yessad: :blabla:


Nach oben
 Profil Position des Users auf der Mitgliederkarte  
Mit Zitat antworten  
BeitragVerfasst: Fr 18. Jan 2019, 13:49 
Offline

Registriert: Mi 18. Feb 2015, 21:12
Beiträge: 1557
Nachtrag:
Es gab oder gibt immer noch einen Werbeblocker für Firefox,
der zwar Werbung blockt, aber nach Hause übermittelt auf welchen Seiten sich der Firefox-User so rumtreibt.
:thumbup:

_________________
:motz: ':-\ Der Erde ist das alles doch völlig egal :yessad: :blabla:


Nach oben
 Profil Position des Users auf der Mitgliederkarte  
Mit Zitat antworten  
BeitragVerfasst: Fr 18. Jan 2019, 14:14 
Offline

Registriert: Mo 19. Feb 2018, 14:33
Beiträge: 89
kris-kelvin hat geschrieben:
Donn!e DarKo hat geschrieben:
Zu deiner Frage bzgl. ADOBE. In Datenbanken werden HASH werte gespeichert, diese HASH werte kann man eben berechnen bzgl es gibt riesige Liste, wo die drin stehen mit den dazugehörigen Passwörtern. Wenn die Datenbank mal abgegriffen wurde, hat man alle User und alle HASH werte für die Passwörter. Wenn das nicht funktioniert kann man auch generisch HASH werte erstellen lassen und immer wieder gegenprüfen, je länger in dem Fall das PW desto länger dauert es natürlich.


Wenn, wie Du schreibst, die HASH-Werte und die dazugehörigen PWs gespeichert werden,
hat der HASH-Wert keinen Sinn :rolleye:
Meinem Verständnis nach gebe ich meinen Zugangsnamen und mein PW ein
und der ADOBE-HASH-Algo ermittelt den HASH-Wert und schaut nach, ob der zu meinem Zugangsnamen paßt.
Die Gauner können bei ADOBE nur die Liste der Zugangsnamen und die der HASH-Werte klauen.
Doch das sollte ihnen nichts nutzen, denn mit Zugangsnamen und HASH-Wert können sie sich nicht einloggen.
Dumm wird es, wenn die Gauner den ADOBE-HASH-Algo gestohlen haben.
Dann können sie rückwärts aus dem HASH-Wert das PW berechnen :fies:
Und wenn dann jemand das selbe PW für sein email-Konto benutzt ist er im Arsch
und darauf zielen die Gauner wohl ab.
Aber das Problem entsteht, wenn ADOBE oder welcher Anbieter auch immer sein HASH-Algo nicht schützt :yessad:


Okay ich hab mich falsch oder missverständlich ausgedrückt.

Es gibt Passwortlisten im Internet, zum runterladen. Darin stehen Passwörter z.B. 1234 die dazugehörige Summe ist $1$zwub7SyR$iY2/hxugafwd6ZkoTvPR01
Somit kann ich über die Summe, die ich abgleiche einfach auf das Klartext Passwort schliessen.

Datenbanken sind meisten mit Username im Klartext aufgebaut.
Die können dann wie folgt aussehen
kris-kelvin/$1$zwub7SyR$iY2/hxugafwd6ZkoTvPR01

Jetzt kenne ich also den Usernamen und die Summe aus dem Passwort. Die Summe aus dem Passwort vergleiche ich mit einer der liste oder allen, von z.B. dieser Seite https://wiki.skullsecurity.org/Passwords

Das wird dann einfach nur verglichen. Ist der schnellste Weg.

Alternative kann ich mir auch die Summe aus einem Passwort berechnen. In dem ich einfach ein Programm laufen lassen und z.B. bei 1 Anfange und bei 99999 aufhöre.
Also z.B.
1 $1$.qy.KsM8$kKQkIpDjFbjSln7l.rptX1
2 $1$UQzcXXmr$P6ugO75oWh00QZSnKlGzn/
...
12 $1$.0T3ncKr$nhxou.MWHQl8o2AHWbLff0
usw.

kris-kelvin hat geschrieben:
Nachtrag:
Es gab oder gibt immer noch einen Werbeblocker für Firefox,
der zwar Werbung blockt, aber nach Hause übermittelt auf welchen Seiten sich der Firefox-User so rumtreibt.
:thumbup:


Ja sowas gibt es, dafür gibt es aber auch die Community und White Hacker die sowas gegenprüfen und dann aufdecken ;-)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: So 20. Jan 2019, 12:34 
Offline

Registriert: Sa 21. Apr 2012, 09:24
Beiträge: 3438
Wohnort: Emkendorf
imhotep hat geschrieben:
Echt jetzt?
Hm, wie wäre das denn hier im Forum zum Beispiel? Sagen wir mal, die Leute, die das hier unentgeltlich machen, machen mal einen Fehler. Jeder Mensch macht ja mal einen Fehler. Jedenfalls erbeuten irgendwelche Leute meine Zugangsdaten dieses Forums. Ich selbst war noch so doof, die selben Zugangsdaten für mein Paypal Account zu verwenden. Die Diebe waren etwas cleverer und prüfen so etwas natürlich als erstes. Und siehe da, sie schicken fröhlich Kohle von meinem Paypal Account irgendwohin in die Welt.
Soll ich dann die Betreiber dieses Forums in Haftung nehmen? Ist es das, was Du meinst? Oder müssen sie noch mit strafrechtlichen Konsequenzen rechnen? Weil das für Dich "einem Mord" gleichkommt!...

Ich wüsste jetzt nicht, das Paypal Accountdaten auf dem Forumserver lagern.

_________________
Grüße @hoss


Nach oben
 Profil Position des Users auf der Mitgliederkarte  
Mit Zitat antworten  
BeitragVerfasst: So 20. Jan 2019, 13:11 
Offline

Registriert: So 21. Aug 2016, 16:43
Beiträge: 173
Wohnort: Weil
hoss hat geschrieben:
Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium. Ein Internetdienstleistungs-Anbieter muss den sicheren und unkomplizierten Zugang gewährleisten, so wie ein Autohersteller die Betriebssicherheit seiner Produkte (Autos) heute gewährleisten muss. Die Haftung im Internetdienst liegt heute beim Geschädigten, der nicht mal weiß, das er hinterrücks geschädigt wird.

Das ist Staatsversagen!

Und ich sage es noch mal: niemand hat die Auswirkungen der Digitalisierung richtig verstanden. Hier geht es um Identitätsdiebstahl und damit verbundene Folgeschäden und nicht um "irgenwie falsch gewählte Passwörter ..". Das kommt im schlimmsten Fall einem Mordversuch gleich (Privatbankrott).


Du hast vollkommen Recht, der Anbieter muss für fahrlässig verursachte Probleme haften, das sollte selbstverständlich sein. Ein schönes Beispiel hierfür kann man ja derzeit bei der Autoindustrie beobachten. Leider nur un Amerika - da müssen sie zahlen, bei uns scheint das nicht zu funktionieren. Der Dieselfahrer bleibt auf den Kosten sitzen und bekommt einen Pseudo-Anreiz um ein neues "sauberes" Auto beim gleichen Hersteller zu kaufen. Das ist Staatsversagen!

Zum Autofahren braucht man aber einen Führerschein und man muss sich nach der Straßenverkehrsordnung richten. Wenn jemand für seine Bank-Zugangsdaten dasselbe Passwort nutzt wie für dieses Forum und ggf. noch andere Accounts ist das im übertragenen Sinn mindestens ein Verstoß gegen die online-Straßenverkehrsordnung oder sogar ein Fahren ohne Führerschein. Wir alle (oder viele von uns) bewegen uns doch ohne Schutz in einem Internet, das einer 6-spurigen Autobahn gleicht, wie Motorradfahrer im T-Shirt.

Einen Führerschein fürs Surfen im Internet will ich natürlich auch nicht. Aber ein bisschen Eigenverantwortung hat man schon auch.

Grüße
Gerhard


Nach oben
 Profil Position des Users auf der Mitgliederkarte  
Mit Zitat antworten  
BeitragVerfasst: So 20. Jan 2019, 13:33 
Offline

Registriert: Mo 19. Feb 2018, 14:33
Beiträge: 89
Gerhard_S hat geschrieben:
hoss hat geschrieben:
Es fehlt die Produkthaftung der Anbieter von Internetprodukten für den sicheren Zugang - ein Hauptkriterium. Ein Internetdienstleistungs-Anbieter muss den sicheren und unkomplizierten Zugang gewährleisten, so wie ein Autohersteller die Betriebssicherheit seiner Produkte (Autos) heute gewährleisten muss. Die Haftung im Internetdienst liegt heute beim Geschädigten, der nicht mal weiß, das er hinterrücks geschädigt wird.

Das ist Staatsversagen!

Und ich sage es noch mal: niemand hat die Auswirkungen der Digitalisierung richtig verstanden. Hier geht es um Identitätsdiebstahl und damit verbundene Folgeschäden und nicht um "irgenwie falsch gewählte Passwörter ..". Das kommt im schlimmsten Fall einem Mordversuch gleich (Privatbankrott).


Du hast vollkommen Recht, der Anbieter muss für fahrlässig verursachte Probleme haften, das sollte selbstverständlich sein. Ein schönes Beispiel hierfür kann man ja derzeit bei der Autoindustrie beobachten. Leider nur un Amerika - da müssen sie zahlen, bei uns scheint das nicht zu funktionieren. Der Dieselfahrer bleibt auf den Kosten sitzen und bekommt einen Pseudo-Anreiz um ein neues "sauberes" Auto beim gleichen Hersteller zu kaufen. Das ist Staatsversagen!

Zum Autofahren braucht man aber einen Führerschein und man muss sich nach der Straßenverkehrsordnung richten. Wenn jemand für seine Bank-Zugangsdaten dasselbe Passwort nutzt wie für dieses Forum und ggf. noch andere Accounts ist das im übertragenen Sinn mindestens ein Verstoß gegen die online-Straßenverkehrsordnung oder sogar ein Fahren ohne Führerschein. Wir alle (oder viele von uns) bewegen uns doch ohne Schutz in einem Internet, das einer 6-spurigen Autobahn gleicht, wie Motorradfahrer im T-Shirt.

Einen Führerschein fürs Surfen im Internet will ich natürlich auch nicht. Aber ein bisschen Eigenverantwortung hat man schon auch.

Grüße
Gerhard



Das ist wäre der Tod für viele Communitys. Jeder der so etwas Freiwillig macht, würde sich dann davor streuben die Verantwortung ist einfach zu groß. Und ich kann dir sagen ein System sicher zu machen Kostet VIEL GELD und Know How ...

Außerdem müsste man dann auch differenzieren, meistens kann ein Forenbetreiber nichts dafür z.B. in dem Fall das die Forensoftware eine Sicherheitslücke hat. Das bedeutet man müsste dann den Forenhersteller dafür haftbar machen. Auch hier würden viele aufhören zu Entwickeln. Warum? Weil viele Menschen das eben Kostenlos als Hobby machen. Wer ist den Haftbar für ein OpenSource Produkt? Wo eine ganze Community dahinter steht?

Meistens tauchen Sicherheitslücken auch erst auf, wenn sie eben ausgenutzt wurde!

Bei einem Kommerziellen Produkt ist das ganz anders, da könnte jemand haften der dafür Geld verlangt.Aber auch hier gilt, jedem ist freigestellt den Dienst zu nutzen oder eben nicht. Und auch hier wäre in einem Fall der Kompromitierung eben das Produkt nicht in Gefahr. Man kann ja weiterhin das Produkt benutzen ohne Probleme.

Meine Meinung ist daher ganz einfach, jeder ist selbst für seine Daten verantwortlich. Jeder ist selbst dafür Haftbar, wenn er es sich einfach macht und überall die selben Login Daten benutzt. Solange es Menschen gibt, die so fahrlässig mit der Passwortvergabe umgehen solange wird man auch Hacker finden, die es auf PP Konten und Co. abgesehen haben.


Zuletzt geändert von Donn!e DarKo am So 20. Jan 2019, 20:32, insgesamt 1-mal geändert.

Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: So 20. Jan 2019, 14:30 
Offline
Benutzeravatar

Registriert: Di 27. Mai 2014, 22:12
Beiträge: 2143
Wohnort: Berlin
hoss hat geschrieben:
imhotep hat geschrieben:
Echt jetzt?
Hm, wie wäre das denn hier im Forum zum Beispiel? Sagen wir mal, die Leute, die das hier unentgeltlich machen, machen mal einen Fehler. Jeder Mensch macht ja mal einen Fehler. Jedenfalls erbeuten irgendwelche Leute meine Zugangsdaten dieses Forums. Ich selbst war noch so doof, die selben Zugangsdaten für mein Paypal Account zu verwenden. Die Diebe waren etwas cleverer und prüfen so etwas natürlich als erstes. Und siehe da, sie schicken fröhlich Kohle von meinem Paypal Account irgendwohin in die Welt.
Soll ich dann die Betreiber dieses Forums in Haftung nehmen? Ist es das, was Du meinst? Oder müssen sie noch mit strafrechtlichen Konsequenzen rechnen? Weil das für Dich "einem Mord" gleichkommt!...

Ich wüsste jetzt nicht, das Paypal Accountdaten auf dem Forumserver lagern.


Teilweise schon, da es genügend Einfältige gibt, die sich mit z.B.

Username: Alfred E. Neumann
Passwort: Mad-Magazine

nicht nur hier anmelden, sondern auch bei PayPal. (Das war jetzt bloß ein Beispiel!)
Hat man obiges abgegriffen, probiere ich die Webseiten durch: Adobe, PayPal, Amazon, Google, ....

_________________
Klaus


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: So 20. Jan 2019, 14:36 
Offline
Benutzeravatar

Registriert: Di 27. Mai 2014, 22:12
Beiträge: 2143
Wohnort: Berlin
kris-kelvin hat geschrieben:
Die Gauner können bei ADOBE nur die Liste der Zugangsnamen und die der HASH-Werte klauen.
Doch das sollte ihnen nichts nutzen, denn mit Zugangsnamen und HASH-Wert können sie sich nicht einloggen.
Dumm wird es, wenn die Gauner den ADOBE-HASH-Algo gestohlen haben.


Nunja, die HASH-Werte werden doch größtenteils durch Standard-Algos berechnet.

z.B. von dem geknackten SHA-1 -> https://www.heise.de/security/meldung/F ... 22005.html

https://de.wikipedia.org/wiki/SHA-2

_________________
Klaus


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: So 20. Jan 2019, 15:58 
Offline
Benutzeravatar

Registriert: Di 23. Okt 2012, 20:03
Beiträge: 1694
Wohnort: Tespe
Meine sind auch sauber.

Ich hab mal meine frühere Mailadresse eingegeben und siehe da, die ist betroffen.
Die Domain inkl Mailadresse habe ich seit über nem Jahr nicht mehr ..........

_________________
Viele Grüße
Sascha

Wenn der Klügere immer nachgibt, geschieht nur das was die Dummen wollen!





Nach oben
 Profil Position des Users auf der Mitgliederkarte  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 44 Beiträge ]  Gehe zu Seite Vorherige  1, 2, 3, 4, 5  Nächste

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

0 Mitglieder


Ähnliche Beiträge

Gigantischer Datendiebstahl - die Zweite....
Forum: Small Talk
Autor: zenker_bln
Antworten: 15
Laden in Zukunft nur mit USB-C, auch Pentax betroffen ?
Forum: Small Talk
Autor: Kaffee
Antworten: 23
K-30/K-50 Blendenproblem – Wer ist (nicht) betroffen?
Forum: DSLR
Autor: zeitlos
Antworten: 220

Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
cron
Powered by phpBB® Forum Software © phpBB Group


Hosted by iphpbb3.com

Impressum | Datenschutz