Unsere feine Webseite ist seit ein paar Tagen verschlüsselt. Juhu!

Wer möchte, kann seine Bookmarks entsprechend ändern: Aus http wird https. Wer dazu zu faul ist, braucht nichts zu ändern, weil jeder Klick auf der Webseite automatisch zur verschlüsselten Version führt. Ein kleines Schloss-Symbol in der Adressleiste des Browsers zeigt an, dass man sich auf der verschlüsselten Webseite befindet.

Der TV-Bereich war schon immer verschlüsselt, was die Eingabe von Passwörtern oder Bankdaten anging. Aber nun ist auch die Startseite und das Forum und überhaupt alles verschlüsselt. Sogar die Verschlüsselung ist verschlüsselt.

Triathlon-Szene.de ist damit nicht nur eine der ersten Websites weltweit, die diese aufregende Technologie verwenden. Sondern wir haben diese Technologie sogar erfunden. Das ist schon lange her. Es war wohl kurz nachdem wir das Internet erfunden hatten. Die Sache geriet dann in Vergessenheit.

Eine weitere Neuerung: Die komplette Webseite ist nun in Farbe, auch auf älteren Geräten. (Ebenfalls eine Erfindung von uns.)

Gibt es irgendwelche Bugs? Das ist möglich. Wenn Ihr ein Forums-Posting lest, das Euch völlig nebulös und unsinnig vorkommt, ist es vielleicht verschlüsselt. Dann hilft eventuell ein Reload der Webseite. Wenn es danach noch immer unsinnig ist... naja, dann stammt das Posting vielleicht von mir. Falls alles nichts hilft, freue ich mich über sachdienliche Hinweise.

uuw++23ie87238&%677632/&764552

(Das bedeutet unverschlüsselt: Viel Spaß weiterhin!)

Es war wohl kurz nachdem wir das Internet erfunden hatten.

Herrje, hoffentlich kriegt Al Gore, der echte Schöpfer des Internet, das nicht mit (https://www.youtube.com/watch?v=BnFJ8cHAlco)! :Cheese:

Ansonsten herzlichen Glückwunsch zu den tollen technischen Leistungen und besonders dazu, dass triathlon-szene.de nun endlich verschlüsselt ist! :Blumen:

Jetzt bleibt nur noch, alles so zu pimpen, dass der SSL-Labs-Report (https://www.ssllabs.com/ssltest/analyze.html?d=triathlon-szene.de) nicht mit F sondern A+ durchläuft, damit die Domain statt unter "recent worst" unter "recent best" gelistet wird. :)

Und eine Handyversion ist noch offen. Aber das Jahr 2030 haben wir ja noch nicht mit dieser Weltneuheit erreicht :Lachen2:

cool danke :Blumen:

:Blumen: Sehr gut! (war auch höchste Zeit)

Ich kenne mich da zwar nicht aus, aber verschlüsselt klingt doch immer gut :Lachen2:

Fiel mir die letzten Tage auf, dass wir jetzt eine https-Verbindung zum Webserver haben. Prima. Ist das Zertifikat mit Kosten verbunden?

Ja, es ist ein kommerzielles Zertifikat, kein selbst-signiertes. Unsere Identität wurde dafür überprüft. Ich kann also mit Sicherheit sagen, dass wir wir sind.

Alle vier Bereiche (Home, Mediathek, Live-TV, Forum) nehmen daran teil und haben entsprechende Zertifikate.

Die alte Domain x-athlon.de nimmt daran nicht teil, diese sollte automatisch umleiten zu www.triathlon-szene.de. Wer noch eine x-athlon-Domain in seinen Bookmarks hat, sollte diese ändern.

Ja, es ist ein kommerzielles Zertifikat, kein selbst-signiertes. Unsere Identität wurde dafür überprüft. Ich kann also mit Sicherheit sagen, dass wir wir sind.

Denkt mal darüber nach, ein kostenloses von Let's Encrypt (https://community.letsencrypt.org/) zu nehmen. Funktioniert einwandfrei.

Ja, es ist ein kommerzielles Zertifikat, kein selbst-signiertes. Unsere Identität wurde dafür überprüft. Ich kann also mit Sicherheit sagen, dass wir wir sind.

Alle vier Bereiche (Home, Mediathek, Live-TV, Forum) nehmen daran teil und haben entsprechende Zertifikate.



Danke für die Erläuterung.

Gibt es irgendwelche Bugs?
Eventuell steht es mit den Umstellungsarbeiten in Zusammenhang ...

"Wer ist online" führt seit ein paar Tagen unter "Ort" nahezu ausschließlich "Betrachtet die Startseite".
Da muß was faul sein ... :8/

Und was ist dadurch besser für den einzelnen User?

@Flow
Danke für den Hinweis, ich werde der Sache mal nachgehen.

Und was ist dadurch besser für den einzelnen User?

Manche Browser, Virenscanner oder auch Firmennetzwerke zicken rum wenn man nicht zertifizierte Websites anwählt (nicht dass jemand in der Firma auf triathlon-szene geht nein :Cheese: )

Wie gesagt es ist sicher, dass du auch wirklich bei der Website bist und nicht auf einer gefälschten, kopierten Seite.

Wobei der Schaden hier für den User eher klein wäre.

@Flow
Danke für den Hinweis, ich werde der Sache mal nachgehen.
Prima.

Falls du im Arbeitsfluß noch etwas Zeit für Kosmetik hast :
"Wer hat geschrieben" finde ich recht unhandlich formatiert.
Es geht in einem kleinen, prinzipiell wohl ausreichenden Fenster auf. Die Tabelle ist aber, wohl auf Grund der darüberliegenden (und an dieser Stelle eigentlich unnötigen) Menü-Leiste und des Banners sehr breit, so daß man das Fenster auch immer erst sehr breit ziehen muß, um "alles" sehen zu können.

Grüße ... :Huhu:

Und was ist dadurch besser für den einzelnen User?

Das kommt auf den Benutzer an. Grob gesagt: Wenn es jemandem nichts ausmacht, dass seine Post zuerst vom Nachbarn gelesen wird oder man vertrauliche Dokumente auch mal vor der Haustür liegen lässt, dann wird man der Verschlüsselung nichts abgewinnen können. Wenn man jedoch der Meinung ist, dass Privates am besten privat bleibt und derjenige, der darauf Zugriff haben möchte, vorher fragen sollte, dann mag man Verschlüsselung. :)

Im Thread https für triathlon-szene (https://www.triathlon-szene.de/forum/showthread.php?t=38165) wurden etliche Argumente für und wider den Einsatz von HTTPS ausgetauscht, falls es Dich interessiert.

Nun ja. Ich würde mal damit anfangen, keine "vertrauliche Dokumente" in einem öffentlichen Forum zu posten, Verschlüsselung hin oder her.

Der Gewinn für das Forum ist relativ gering. Dies ist jedoch eine Formulierung, die zu einer endlosen Debatte mit Nerds führen wird, deswegen distanziere ich mich ausdrücklich und empört davon!

Der größte Nutzen besteht vermutlich darin, dass bei der Eingabe des Forums-Passworts ein sicherer "Tunnel" zwischen Deinem Browser und der Website eingerichtet wird, in den keiner hineinblicken kann. Bisher wäre es mit einem gewissen Aufwand möglich, dass jemand in die Leitung hineinhorcht und dieses Forums-Passwort mitbekommt.

Die Frage ist, wie gefährlich das wäre? Für die Postings wäre es nicht gefährlich. Erstens sind sie ohnehin öffentlich, zweitens wäre ein Missbrauch auch schnell entdeckt und beseitigt.

Aber beispielsweise könntest Du bei Amazon die exakt gleiche Kombination aus Username/Passwort verwenden, und dann könnte sich ein Angreifer damit bei Amazon einloggen. Es gibt also ein gewisses Gefahrenpotential. Aber z.B. Online-Banking ist in aller Regel wiederum anders gesichert, und das bedeutet, dass ein Angreifer mit diesen Daten beim Online-Banking nichts anfangen könnte. Kurz: Es gibt ein gewisses Gefahrenpotential, dieses ist aber begrenzt.

Im TV-Bereich bei Triathlon-Szene wurden vom ersten Tag an alle Account-Daten verschlüsselt übertragen. Dies ist auch eine Erfordernis der Banken, mit denen wir ja kommunizieren müssen, wenn wir z.B. ein Abo abrechnen möchten. Es ist Vorschrift. Diese Verschlüsselung der Zahlungsdaten läuft nochmal über ein anderes Zertifikat und eine andere Infrastruktur, über die ich jedoch keine Auskunft gebe. Es handelt sich um das "Neueste vom Neuesten", sozusagen A+.

Es gibt viele Missverständnisse bei Verschlüsselung, beispielsweise ob die Daten oder nur der Transportweg verschlüsselt sind und wer die Schlüssel besitzt. Letztlich muss man dem Betreiber der Webseite vertrauen. Als Programmierer kann ich alle Beschränkungen umgehen. Daraus folgt: Auch eine per Zertifikat gesicherte Webseite kann Dich beklauen, denn letztlich kann sich jeder ein Zertifikat besorgen. Für mich wäre es kein Problem, Eure gesamten Daten und jeden Klick umzuleiten auf einen Server in Honolulu, ohne dass es jemand merken würde. Programmierer können sowas.

Eine gute Analogie ist Eure Bank/Sparkasse. Auch wenn die Daten super gesichert sind, kann die Bank dennoch alle Eure Transaktionen sehen. Vielleicht kommen Hacker von außen nur schwer heran, aber ein Mitarbeiter der Bank könnte die Daten veruntreuen. Letzten Endes kommt man ohne Vertrauen nicht aus.

...Wenn es jemandem nichts ausmacht, dass seine Post zuerst vom Nachbarn gelesen wird ...

Ah cool, mein Nachbar kann meine Posts hier nun nicht (mehr) lesen?
Das ist ein echter Gewinn, denn das geht den ja mal absolut nix an und ich hatte schon ewig den Verdacht, dass er hier mitliest!
Ein Hoch auf die Verschlüsselung!

https://cheesebuerger.de/images/smilie/musik/g015.gif https://cheesebuerger.de/images/smilie/froehlich/a040.gif https://cheesebuerger.de/images/smilie/froehlich/e016.gif

Danke, Jörn, für die viele Mühe und Arbeit über die Weihnachtstage!
:Blumen:

Ah cool, mein Nachbar kann meine Posts hier nun nicht (mehr) lesen?
Das ist ein echter Gewinn, denn das geht den ja mal absolut nix an und ich hatte schon ewig den Verdacht, dass er hier mitliest!...]

doch, kann er noch. Teste mal selber ohne Anmeldung...:Huhu: :Blumen:

Ich hab' aber vorhin mit dem Nachbarn telefoniert, und er meinte, er verrät es keinem.

Ich hab' aber vorhin mit dem Nachbarn telefoniert, und er meinte, er verrät es keinem.

:Cheese: :Cheese:

Danke Jörn für die gute Arbeit!

Nun ja. Ich würde mal damit anfangen, keine "vertrauliche Dokumente" in einem öffentlichen Forum zu posten, Verschlüsselung hin oder her.

Ich stehe auf dem Standpunkt, dass meine Interaktion mit der Forumssoftware vertraulich ist. Wenn die Administratoren in den Logs Kenntnis davon erlangen können, welchen Post-Entwurf ich wie oft und in welcher Art überarbeitet und geändert habe, um ihn dann letztendlich zu löschen, oder welche persönlichen Nachrichten ich erhalten und verschickt habe, ist das okay, weil ich bewusst darüber entschieden habe, Euch als Betreibern der Seite zu vertrauen. Ich möchte aber nicht, dass jeder, der auf dem Übertragungsweg sitzt, diese Information auch hat. Deswegen bevorzuge ich eine verschlüsselte Übertragung.

Ah cool, mein Nachbar kann meine Posts hier nun nicht (mehr) lesen?

Du weißst schon, dass die Post, die ich als vergleichendes Beispiel verwendet habe, nicht im Internet stattfindet? ;)

Dein Nachbar, wenn er clever ist, wird natürlich den Unfug ignorieren, den Du hier verzapfst. :Cheese:

Also nochmal: Ich bekomme z.B. ärztliche Befunde lieber im Brief als auf einer Postkarte. Manchen Leuten ist es egal ob der Postbote mitlesen kann und das Schloss am Briefkasten ist kaputt. Und so ist es mit der Verschlüsselung, die eine minimale Sicherheitsmaßnahme ist, ähnlich einem Briefkastenschloss oder einem Briefumschlag. Manche kümmert es, andere nicht.

doch, kann er noch. Teste mal selber ohne Anmeldung...:Huhu: :Blumen:

Ah geh...!?

Ich möchte mal kurz was posten, was mir seit der HTTPS Umstellung aufgefallen ist (danke nochmal dafür!):

Ich habe folgende URL gebookmarkt: triathlon-szene.de/forum/search.php?do=getdaily

Wenn ich diese URL aufrufe, dann kommt automatisch die Meldung bzgl. des 15 Sekunden-Limits bei der erneuerten Suche, sprich im Hintergrund führt er wohl zwei Mal eine Suche aus. Meine Vermutung, dass es am HTTP zu HTTPS Redirect liegt, ließe sich leider nicht bestätigen, bei folgender URL passiert das gleiche:

https://www.triathlon-szene.de/forum/search.php?do=getdaily

Browser ist übrigens Chrome :-)

Ich bekomme hier auf der Arbeit mit IE11 einen Zertifikatfehler.

Ich bekomme hier auf der Arbeit mit IE11 einen Zertifikatfehler.

Welche URL rufst Du dabei auf?
:8/

Ich bekomme hier auf der Arbeit mit IE11 einen Zertifikatfehler.

Welche URL rufst Du dabei auf?
:8/

Das liegt an der Arbeit... :Blumen:

vielen Dank für das Update!

ein Hinweis:

xathlon.de geht nicht mehr, :(

(Cert.-Fehler, resp. linked zu MacTV :))

m.

Ich bekomme hier auf der Arbeit mit IE11 einen Zertifikatfehler.

Ist bei mir genauso.

Kann mir die Seite seit der Umstellung auch nicht mehr auf der Arbeit aufrufen.

...naja, wird dann wohl jetzt genauso für mich gesperrt sein wie facebook, ebay und Co :)

Welche URL rufst Du dabei auf?
:8/

https://www.triathlon-szene.de/index.php

Ich kann aber dann trotzdem die Seite ganz normal sehen und auch nutzen.

xathlon.de geht nicht mehr, :(

Hoppla, ich wusste gar nicht, dass diese alte Domain noch existiert. Ok, ich habe nun eine Umleitung eingerichtet.

Allerdings sollten trotzdem alle, die noch solche alten Bookmarks verwenden, diese aktualisieren (macht ja keine Arbeit). Denn wir werden dieses Jahr noch einige Server-Umstellungen machen müssen, und ich glaube nicht, dass wir diese alten Sachen noch mitführen werden; jedenfalls gebe ich darauf keine Garantie.

Viel zu pimpem gibt es da nicht mehr. Das System gehört ins Museum und gehört von Grund auf neu aufgesetzt.
Auf dem Server läuft
als Webserver-Dienst: Apache 1.3 (letztes Update 2010!)
mit PHP4 (Support und Entwicklung wurden 2008 eingestellt).

Das Ganze (laut nmap-Trace) auf Mac OSX 10.4. Für die, die es nicht so mit Macs haben: Dieses OS kam 2005 auf den Markt. Inzwischen sind wir bei 10.14.

Ich administriere selbst Server und sehe mich ständig mit Attacken konfrontiert von Servern, die entweder gar nicht oder nur unzureichend gewartet werden. Naja, üblicherweise passiert da nur was, wenn man die Anbieter, bei denen die Server stehen, direkt kontaktiert. Insofern wundert es mich auch nicht, dass Arne auf meine private Mail, die ich vor ein paar Tagen in dieser Sache geschrieben habe, nicht mal reagiert hat.

Also wir reden hier nicht nur von quasi nicht vorhandener Verschlüsselung (FF warnt zB davor, dass die verwendeten Algorithmen schlecht sind), sondern auch davon, dass der Webdienst (und nicht zuletzt auch das Betriebssystem) vermutlich so alle Sicherheitslücken der letzten zehn bis 15 Jahren aufweist.

Immerhin scheint vBulletin aktuell zu sein...


Jetzt bleibt nur noch, alles so zu pimpen, dass der SSL-Labs-Report (https://www.ssllabs.com/ssltest/analyze.html?d=triathlon-szene.de) nicht mit F sondern A+ durchläuft, damit die Domain statt unter "recent worst" unter "recent best" gelistet wird. :)

Auf dem Server läuft
als Webserver-Dienst: Apache 1.3 (letztes Update 2010!)
mit PHP4 (Support und Entwicklung wurden 2008 eingestellt).

Das Ganze (laut nmap-Trace) auf Mac OSX 10.4. Für die, die es nicht so mit Macs haben: Dieses OS kam 2005 auf den Markt. Inzwischen sind wir bei 10.14................

Insofern wundert es mich auch nicht, dass Arne auf meine private Mail, die ich vor ein paar Tagen in dieser Sache geschrieben habe, nicht mal reagiert hat.

Und Du glaubst, dass Du Arne/Jörn irgendwas geschrieben hast, was er nicht vorher schon wusste?

Und Du glaubst, dass Du Arne/Jörn irgendwas geschrieben hast, was er nicht vorher schon wusste?

Also wenn ich sehe, dass eine Verschlüsselung, die den Namen quasi nicht verdient, in 2019 als Errungenschaft gefeiert wird, dann bin ich geneigt sowas zu glauben. So bitter es auch ist.

Versteht mich nicht falsch: Ich freue mich, dass es dieses Forum gibt und man sich hier austauschen kann. Ich verstehe allerdings nicht, wie man so fahrlässig mit dem Thema Sicherheit umgehen kann.

Chrome lässt mich das Forum nicht mehr öffnen, wegen Sicherheitsbedenken.

Chrome lässt mich das Forum nicht mehr öffnen, wegen Sicherheitsbedenken.

Ich habe es gerade mit Chrome überprüft: Das Forum lädt bei mir problemlos und meldet: "Verbindung ist sicher".
:Blumen:

Update ist in Planung: https://www.triathlon-szene.de/forum/showpost.php?p=1184569&postcount=3
:cool:

Neben den Sicherheitsthemen würde uns so ein update auch ins mobile Zeitalter werfen.

SSLtest (wurde ja schon gepostet) zeigt halt, wie sicher "sicher" so ist...
https://www.ssllabs.com/ssltest/analyze.html?d=triathlon-szene.de

Das Einzige, was dort grün ist: Das Zertifikat ist gültig. Immerhin. Es könnte auch von einer unbekannten CA sein (zB selbst signiert) und/oder abgelaufen.

Wie auch immer: Techniker ist informiert
https://www.buzzfeed.com/de/sebastianfiebrig/techniker-ist-informiert

Danke, ich habe mich lange nicht mehr sooo sicher gefühlt!

Wie auch immer: Techniker ist informiert
https://www.buzzfeed.com/de/sebastianfiebrig/techniker-ist-informiert

Ich hab das alles gelesen...
... und schmeiß mich weg... !!!
:Lachanfall: :Lachanfall: :Lachanfall:

Viel zu pimpem gibt es da nicht mehr. Das System gehört ins Museum und gehört von Grund auf neu aufgesetzt.
Auf dem Server läuft
als Webserver-Dienst: Apache 1.3 (letztes Update 2010!)
mit PHP4 (Support und Entwicklung wurden 2008 eingestellt).

Das Ganze (laut nmap-Trace) auf Mac OSX 10.4. Für die, die es nicht so mit Macs haben: Dieses OS kam 2005 auf den Markt. Inzwischen sind wir bei 10.14.

Ich administriere selbst Server und sehe mich ständig mit Attacken konfrontiert von Servern, die entweder gar nicht oder nur unzureichend gewartet werden. Naja, üblicherweise passiert da nur was, wenn man die Anbieter, bei denen die Server stehen, direkt kontaktiert. Insofern wundert es mich auch nicht, dass Arne auf meine private Mail, die ich vor ein paar Tagen in dieser Sache geschrieben habe, nicht mal reagiert hat.

Also wir reden hier nicht nur von quasi nicht vorhandener Verschlüsselung (FF warnt zB davor, dass die verwendeten Algorithmen schlecht sind), sondern auch davon, dass der Webdienst (und nicht zuletzt auch das Betriebssystem) vermutlich so alle Sicherheitslücken der letzten zehn bis 15 Jahren aufweist.

Immerhin scheint vBulletin aktuell zu sein...

Naja in der Theorie können solche Responses auf Scans auch gefaked sein oder Verwundbarkeiten mit z.b. einer WAF mitigiert werden.

:Blumen:

Das ist korrekt.
Und um das möglichst authentisch zu tun, setzt man auch gleich die Verschlüsselung herab. So kann man die Angreifer hart verarschen, hrhr.

Naja in der Theorie können solche Responses auf Scans auch gefaked sein oder Verwundbarkeiten mit z.b. einer WAF mitigiert werden.

:Blumen:

SSLtest (wurde ja schon gepostet) zeigt halt, wie sicher "sicher" so ist...
https://www.ssllabs.com/ssltest/analyze.html?d=triathlon-szene.de

Das Einzige, was dort grün ist: Das Zertifikat ist gültig. Immerhin. Es könnte auch von einer unbekannten CA sein (zB selbst signiert) und/oder abgelaufen.

Wie auch immer: Techniker ist informiert
https://www.buzzfeed.com/de/sebastianfiebrig/techniker-ist-informiert

Siehe auch hier (https://www.triathlon-szene.de/forum/showthread.php?t=46204).

Gruß Matthias

Vbulletin 3.6.1 ist übrigens von 2006, also nicht ganz so aktuell. ;)

Der Arbeitsaufwand für eine Aktualisierung der Softwarekomponenten dürfte recht hoch sein, weil man wahrscheinlich das Board neu anpassen / programmieren muss und man nicht einfach automatisch Updates laufen lassen kann. Solange die Systeme laufen, finde ich da kein Problem für mich als Nutzer, da es sich schliesslich ja nicht um Bankensoftware oder einen Shop handelt.

Da hast du natürlich Recht. Ich habe mich beim Abgleich irgendwie vertan. Hätte ich mir allerdings auch denken können, eine wenigstens halbwegs aktuelle Forensoftware ist im Leben nicht mehr mit PHP4 lauffähig.

Vbulletin 3.6.1 ist übrigens von 2006, also nicht ganz so aktuell. ;)

D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde. Und es wäre dir auch wurscht, wenn jmd. in deinem Namen hier Sachen postet. Komplette DB-Dumps, inkl. sämtlicher privaten Kommunikation, wären auch egal.
Kannst ja mal nach vbulletin und xss suchen. Da findet man nach 3.6.1 so einiges.

Aber schon klar: Ist ein Triathlonforum. Da kann ich nicht erwarten, dass die Benutzer eine Vorstellung von den zahlreichen Angriffsvektoren haben.

Der Arbeitsaufwand für eine Aktualisierung der Softwarekomponenten dürfte recht hoch sein, weil man wahrscheinlich das Board neu anpassen / programmieren muss und man nicht einfach automatisch Updates laufen lassen kann. Solange die Systeme laufen, finde ich da kein Problem für mich als Nutzer, da es sich schliesslich ja nicht um Bankensoftware oder einen Shop handelt.

D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde.
Ja, wäre es mir. Ich halte "das Internet" nicht für eine "sichere Welt", deswegen bin ich hier in einer VM unterwegs.

Und es wäre dir auch wurscht, wenn jmd. in deinem Namen hier Sachen postet. Komplette DB-Dumps, inkl. sämtlicher privaten Kommunikation, wären auch egal.
Ja, wäre es mir. Das mit den Beiträgen fällt schnell auf.
PNs in Foren schreibe ich so, dass ich damit nicht belastet werden kann.

Aber schon klar: Ist ein Triathlonforum. Da kann ich nicht erwarten, dass die Benutzer eine Vorstellung von den zahlreichen Angriffsvektoren haben.
Da unterschätzt Du das Forum und seine Benutzer. Die Anzahl der Nutzer mit entsprechenden Vorstellungen dürfte nicht besonders klein sein.

Als jemand der sich auskennt ist mir all das total egal.
Selbst dass hier quasi jeder mit seinem echten Namen zu finden ist, ist egal.
Was soll passieren außer dass man Ergebnisse findet?
Auf Facebook hinterlassen die meisten mehr Spuren.
Der User xxxxx postet dort regelmäßig Bilder seiner Familie inklusive kleiner Kinder.
Da hätte ich wesentlich mehr bedenken.

Wenn man TS aus einer VM aufruft so ist diese VM trotzdem im privaten Netz und einfach zu kompromittieren wenn man will.

Als jemand der sich auskennt ist mir all das total egal.
Selbst dass hier quasi jeder mit seinem echten Namen zu finden ist, ist egal.
Was soll passieren außer dass man Ergebnisse findet?
.

Jemand der sich „auskennt“ sollte eigentlich nicht mit der Argumentation „ist mir egal“ kommen. Als nächstes kommt ja schon die Stufe ich hab nichts zu verheimlichen hört mich ruhig ab. Der User der weniger Ahnung hat, überall einen identischen user/passwort hat usw. für den hat das evtl. andere Auswirkungen.

Imho kann man schon erwarten, dass zumindest halbwegs regelmäßig gepachted wird.
Im Fall der Fälle hat es evtl. sogar Konsequenzen für die Betreiber.

Denke hier muss man alles neu aufsetzen. Aber das ist die Hölle.
Und dann ist da ja auch noch das Portal (ich glaub Joomla)
Ich hätte da auch keine Lust zu, möchte da nicht mit Arne tauschen.

Bin gespannt, ob sich da mal irgendwann etwas tut.
Meine Frau schaut immer so von der Seite auf mein IPad und sagt dann: Das Forum vom Arne sieht auch immer noch gleich aus, ist schon son running gag bei uns. ;)

Denke hier muss man alles neu aufsetzen. Aber das ist die Hölle.
Und dann ist da ja auch noch das Portal (ich glaub Joomla)
Ich hätte da auch keine Lust zu, möchte da nicht mit Arne tauschen.


Evtl. einfach mal ein Angebot einholen, die Option mit User-Spenden stand ja auch mal im Raum.
Verstehe auch, dass da keiner seine Freizeit opfern will ... aussitzen verbessert die Situation aber auch nicht

D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde.

Wer möchte, kann hier klicken und nachsehen, ob von unserem Server Schadcode (Malware) ausgeht:
Google Transparency Report > triathlon-szene.de (https://transparencyreport.google.com/safe-browsing/search?url=https:%2F%2Fwww.triathlon-szene.de)

Selbstverständlich ist das nicht der Fall.
:Blumen:

Das war auch gar keine Unterstellung, dass das pauschal so ist. Nur erhöht man die Chance, dass etwas passiert, dadurch, dass man >10 Jahre (!) keine Updates einspielt, halt massivst. Die Möglichkeiten einen erfolgreichen Angriff zu landen sind ja auf allen Ebenen vorhanden (OS, PHP, Apache und vBulletin). Sowas wie den mysql-Port (3306) exponiert ins Netz zu hängen kommt dann halt noch on top. Es geht auch nicht nur darum, dass pot. Foren-Nutzer attackiert werden, sondern halt auch darum, dass solche Server gerne mal zu Teilnehmern von Botnetzen werden.

Aber gut, lassen wir das. Ich hab's verstanden, dass es dir egal ist und du das auch weiterhin aussitzen wirst. Wundere dich halt nicht, wenn der "Laden" früher oder später komplett kompromittiert ist und/oder Abuse-Mails via Plusline eintrudeln. Spätestens dann wird eh alles neu aufgesetzt werden müssen, weil nur durch das Zurückspielen eines hoffentlich vorhandenen Backups ja das eigentliche Problem nicht gelöst wird. Denn wenn ein "Pfad" mal erfolgreich beschritten wurde, dann kannst dir sicher sein, dass das immer wieder passieren wird.

Wer möchte, kann hier klicken und nachsehen, ob von unserem Server Schadcode (Malware) ausgeht:
Google Transparency Report > triathlon-szene.de (https://transparencyreport.google.com/safe-browsing/search?url=https:%2F%2Fwww.triathlon-szene.de)

Selbstverständlich ist das nicht der Fall.
:Blumen:

D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde. Und es wäre dir auch wurscht, wenn jmd. in deinem Namen hier Sachen postet. Komplette DB-Dumps, inkl. sämtlicher privaten Kommunikation, wären auch egal.
Kannst ja mal nach vbulletin und xss suchen. Da findet man nach 3.6.1 so einiges.

Aber schon klar: Ist ein Triathlonforum. Da kann ich nicht erwarten, dass die Benutzer eine Vorstellung von den zahlreichen Angriffsvektoren haben.

Ich weiss mich zu schützen. Mich wundert nur Dein Optimismus, aktuelle PHP- und vbulletin Systeme wären safe. :Lachen2:

Ich weiss mich zu schützen. Mich wundert nur Dein Optimismus, aktuelle PHP- und vbulletin Systeme wären safe. :Lachen2:

Meine Haustüre ist auch nicht 100% sicher, trotzdem hab ich mir eine zugelegt und mich nicht für den offenen Höhleneingang von damals entschieden. :confused:

Ich weiss mich zu schützen. Mich wundert nur Dein Optimismus, aktuelle PHP- und vbulletin Systeme wären safe. :Lachen2:

Stichwort Hürde höher legen.

Je älter desto höher Wahrscheinlichkeit.

Der Punkt mit den Botnetzen wurde ja schon genannt, die Erfahrung zeigt auch, dass viele User nach wie vor das gleiche Passwort für Online Dienste nutzen, hab ich also TS Datenbank kompromittiert, und oder den Code so geändert, dass ich User Passwörter bei Eingabe im Klartext mitlesen kann, nutz ich das Passwort um auch auf die Emails des Users zugreifen zu können.

Mag ja sein, dass einige aktive User "nix zu verheimlichen" oder "mit einer VM im Internet / auf TS.de" gehen - manche Leute vergleichen das aber auch gerne mit Impfen, wenn sich nicht 99 % sondern nur 90 % um Datenschutz / Sicherheit online kümmern, gefährdet das die restlichen, die es sich evtl. nicht leisten können oder die durch Online Probleme durchaus auch Probleme im realen Leben bekommen.

Der Aufwand, ein System von Version N auf Version M zu patchen wird sicherlich nicht geringer wenn die Anzahl der einzuspielenden Patches größer werden.

Alex

Der Punkt mit den Botnetzen wurde ja schon genannt, die Erfahrung zeigt auch, dass viele User nach wie vor das gleiche Passwort für Online Dienste nutzen,....
Ich habe für viele Dinge Verständnis und grundsätzlich würde ich mir ja auch wünschen, dass die Forensoftware, DB...... auf aktuellem Stand ist, aber bei Leuten, die seit 10 Jahren den Namen ihrer Katze bei Mail, Onlineshops und Foren nutzen hört mein Mitleid auf.


Der Aufwand, ein System von Version N auf Version M zu patchen wird sicherlich nicht geringer wenn die Anzahl der einzuspielenden Patches größer werden.Alex
Im vorliegenden Fall kommt man mit patchen wohl nicht mehr weiter. Die Versionen sind so alt, dass man alles neu installieren müsste und nur die Inhalte des Forums übernehmen könnte.

Eventuell steht es mit den Umstellungsarbeiten in Zusammenhang ...

"Wer ist online" führt seit ein paar Tagen unter "Ort" nahezu ausschließlich "Betrachtet die Startseite".
Da muß was faul sein ... :8/

@Flow
Danke für den Hinweis, ich werde der Sache mal nachgehen.
Ist im Übrigen immer noch so ... :Huhu:

......
Der Aufwand, ein System von Version N auf Version M zu patchen wird sicherlich nicht geringer wenn die Anzahl der einzuspielenden Patches größer werden.

Alex

In der jetzigen Forumssoftware sind Änderungen enthalten, die vermutlich bei einem Update des Forums neu zu programmieren sind, weil sie bei einem Update nicht automatisch in die neue Forumssoftware übernommen werden und über eine Konfiganpassung hinausgehen. Und eventuell braucht es auch Programmierscriptarbeit, um die Daten von der jetzigen DB dann in die neue DB zu bringen, da sich die DB-Struktur änderte, und man nicht einfach den bisherigen MySQL-DB-Dump einlesen kann. Also richtig viel Installations-, Konfigurations- und vor allem Scriptprogrammierungsarbeit, um aktuelle Softtwarekomponenten zu haben. Arne und Jörn haben sicher Ihre Gründe, weshalb sie den Update-Zeitraum so gross halten wie er gerade ist.

Egal ob aktuelle oder ältere Server-Software: Es ist sowieso nie zu empfehlen, für das Onlinebanking, Ebay oder Amazon usf. und seine Mailbox die gleichen Passwörter wie für ein Diskussionsforum zu verwenden. Manchmal machen auch Administratoren Server-Konfigurationsfehler (irren ist menschlich), z.B. bei Ebay und anderen auch sehr grossen Anbietern, und schon werden sensible Daten zugänglich.

sagt mein Firefox Browser

Firefox hat mit einem der letzten Updates die Verbindung als "nicht sicher" eingestuft. Dies hat mit dem Übergang von SSL auf TLS 1.2 zu tun. Wir verwenden SSL und TLS 1.2, also TSL 1.2 nicht exklusiv.

Wir verwenden die höchsten Sicherheitsmethoden, die unser Server-Betriebssystem derzeit ermöglicht. Dieses Betriebssystem ist jedoch schon recht alt. Für eine Modernisierung werden wir etwas später auf einen neuen Server umziehen, der sich besser aktualisieren lässt. Dadurch werden aktuellere Verschlüsselungsmethoden und der Apache-Webserver automatisch aktualisiert. Es lohnt sich nicht, für den alten Server noch größere Maßnahmen durchzuführen.

Unser Zahlungssystem für die Filme läuft bereits auf diesem aktuelleren Server. Die Zertifizierung durch eine Agentur der Sparkassen haben wir für diesen Server erfolgreich bestanden. Die Tests sind recht rigoros, und entweder man besteht sie oder nicht. Wir haben sie bestanden.

Die Verschlüsselung für das Forum betrifft vor allem die Angabe von Username und Passwort. Wer der Ansicht ist, diese Verschlüsselung oder die Speicherung von Username/Passwort wäre nicht sicher, kann sein Passwort jederzeit so ändern, dass es nur im Forum benutzt wird (und nicht zugleich fürs Online-Banking).

Ich würde den Thread gerne schließen, weil das Support-Forum für akute Hilfen gedacht ist und ich jedesmal einen Alarm auf meinem iPhone bekomme, wenn jemand darin postet, damit ich zur Hilfe eilen kann. Für Debatten ist es nicht gedacht; eröffnet dafür ggfs. einen anderen Thread. Besten Dank! :Blumen:

Ich würde den Thread gerne schließen, weil das Support-Forum für akute Hilfen gedacht ist

mach mal.
Wenn du das noch fixen könntest:
Eventuell steht es mit den Umstellungsarbeiten in Zusammenhang ...

"Wer ist online" führt seit ein paar Tagen unter "Ort" nahezu ausschließlich "Betrachtet die Startseite".
Da muß was faul sein ... :8/

@Flow
Danke für den Hinweis, ich werde der Sache mal nachgehen.