www.novarock.at





Aktuelle Zeit: 23.10.2017, 15:13
Foren-Übersicht » NOVA ROCK FORUM » Sonstiges


Ein neues Thema erstellen Auf das Thema antworten  [ 9 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Verschlüsselung Novarock
BeitragVerfasst: 01.06.2017, 23:06 


Offline

Registriert:
01.06.2017, 22:37
Beiträge:
3
Liebes Novarockeam,

leider musste ich gerade feststellen, dass der Login (sowohl zum Bestellen von Tickets als auch zum Forum) unverschlüsselt ist. Das ist datenschutztechnisch sehr kritisch, da jeder somit persönliche Daten (Nutzernamen, Passowörter, etc) bei der Übertragung auslesen kann. Bitte sorgt dafür, dass diese Seite SSL-Verschlüsselt wird, um die Sicherheit eurer Kunden garantieren zu können.

Mit freundlichen Grüßen
Max


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 02.06.2017, 11:22 


Offline
Benutzeravatar

Registriert:
21.05.2010, 11:08
Beiträge:
554
Wohnort:
Südburgenland
Interessant.

Es werden hier direkt auf der Seite Tickets verkauft und ich muss mich einloggen zum Ticketskaufen?

_________________
Ja, ich bin nachtragend...


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 02.06.2017, 12:02 


Offline

Registriert:
01.06.2017, 22:37
Beiträge:
3
Tickets werden hier natürlich direkt auf der Seite verkauft (http://novarock.at/tickets)und das man sich dafür einloggen muss ist auch klar.
Nur dieses Einloggen muss verschlüsselt sein, damit niemand unter anderem Passwörter und Nutzernamen auslesen kann.
Das gleiche gilt für den Loginvorgang hier im Forum.
Am besten sollte eigentlich die komplette Seite verschlüsselt sein, damit niemand per MITM eine falsche Seite ausliefern kann...


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 03.06.2017, 11:13 


Offline
Benutzeravatar

Registriert:
21.05.2010, 11:08
Beiträge:
554
Wohnort:
Südburgenland
morbatex hat geschrieben:
Tickets werden hier natürlich direkt auf der Seite verkauft (http://novarock.at/tickets)und das man sich dafür einloggen muss ist auch klar.
Nur dieses Einloggen muss verschlüsselt sein, damit niemand unter anderem Passwörter und Nutzernamen auslesen kann.
Das gleiche gilt für den Loginvorgang hier im Forum.
Am besten sollte eigentlich die komplette Seite verschlüsselt sein, damit niemand per MITM eine falsche Seite ausliefern kann...


Ich bin mir nicht sicher, ob ich deinem Gedankengang folgen kann.

Auch dein Link führt nur zum eingebundenen Angebot von Öticket und zu keinem direkten Verkauf (auf) dieser Seite, somit bezweifle ich noch immer, dass wie Betreiber diese Website Öticket vorgeben können, wie dort was gemacht werden soll.
Dass man sich einloggen muss ist nicht "auch klar". Warum sollte ich auch? Ich kann einen Gastzugang ohne Passwort nutzen.
Ich hätte gedacht, dass zumindest die Ticketbestellung über Öticket läuft.

Aber ich kenn mich technisch auch ned aus, somit haben meine Behauptungen natürlich weniger Aussagekraft. Da kennst du dich wahrscheinlich besser aus, da du dieses Thema ansprichst.
Ich habe auch nicht gewusst, dass MITM Angriffe so einfach sind.

Vielleicht meldet sich bald jemand von der Technikabteilung und klärt uns auf.

_________________
Ja, ich bin nachtragend...


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 03.06.2017, 11:51 


Offline
Administrator
Benutzeravatar

Registriert:
10.02.2006, 00:52
Beiträge:
6643
Wohnort:
hinterm keyboard
nunja, morbatex möchte halt ssl haben - auf websiten ist das dann "https" statt http.

soweit kann ich es verstehen ... aber:
zertifikat f. das forum ist wohl eher ein overkill - hier kann nichts grossartiges passieren sollte jemand wirklich daten abgreifen (können/wollen) ... ausser ein paar blöde postings die ein user gar nicht selbst erstellt hat :wink:
http://www.novarock.at hat auch nichts drauf was ssl rechtfertigen würde - das meiste dort sind verlinkungen (zB. ticketshop's, facebook,, ...) - diese seiten selbst haben äh ihr ssl.

und öticket hat AB der anmeldung die umleitung auf ssl - ergo auch nicht weiter gefährlich :besserwisser:



lg & danke für die idee/den denkanstoss

_________________
"Ich glaube an den Gott des Gemetzels!"

kill 'em all!

Nutze die SUCHE!


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 05.06.2017, 14:52 


Offline

Registriert:
01.06.2017, 22:37
Beiträge:
3
Cliff Burton hat geschrieben:
zertifikat f. das forum ist wohl eher ein overkill - hier kann nichts grossartiges passieren sollte jemand wirklich daten abgreifen (können/wollen) ... ausser ein paar blöde postings die ein user gar nicht selbst erstellt

Ja, hier im Forum kann niemand damit groß was machen. Aber es gibt genug User, welche überall das selbe Passwort und den selben Nutzernamen/die selbe E-Mail Addresse haben. Diese werden durch einen unverschlüsselten Login gefährdet.

Cliff Burton hat geschrieben:
http://www.novarock.at hat auch nichts drauf was ssl rechtfertigen würde - das meiste dort sind verlinkungen (zB. ticketshop's, facebook,, ...) - diese seiten selbst haben äh ihr ssl.


Da kann man drüber diskutieren :D Per Man-in-the-Middle-Angriff kann man "relativ" einfach die Links austauschen ohne das jemand etwas davon mitbekommt / wie bei der Ticketbestellung den ifram verändern. Der folgende Screenshot ist das Ergebnis eines innerhalb von 5 Minuten durchgeführten MitM-Angriff auf mich selbst.

Bild

Ein echter Angreifer würde dort nun nicht etwas so offensichtliches platzieren. Mit SSL Verschlüsselung wäre es durch die Authentifizierung des Servers über das Zertifikat größtenteils unmöglich dies zu tun. Wie groß die Gefahr wirklich ist, ist recht schwer abzuschätzen, aber ihr solltet euch mal Gedanken darüber machen, ob es nicht trotzdem lohnt (vor allem da Zertifikate recht günstig geworden sind)

Mit freundlichen Grüßen
morbatex

edit: imgur gegen pic-upload getauscht, da das Forum imgur anscheinend nicht mag


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 06.06.2017, 11:51 


Offline
Benutzeravatar

Registriert:
04.04.2012, 22:45
Beiträge:
171
Zum Ersten Punkt:

Da sehe ich es eher so das der Betreiber von dem Forum nicht für die Dummheit anderer verantwortlich sein kann. Überall das selbe Passwort nehmen ist so schlau wie 1234567.

Den zweiten Punkt kann ich da schon eher nachvollziehen. Das könnte man schon mal angehen (meiner Meinung nach)


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 06.06.2017, 13:00 


Offline
Benutzeravatar

Registriert:
21.05.2010, 11:08
Beiträge:
554
Wohnort:
Südburgenland
rene.witura hat geschrieben:
Zum Ersten Punkt:

Da sehe ich es eher so das der Betreiber von dem Forum nicht für die Dummheit anderer verantwortlich sein kann. Überall das selbe Passwort nehmen ist so schlau wie 1234567.

Den zweiten Punkt kann ich da schon eher nachvollziehen. Das könnte man schon mal angehen (meiner Meinung nach)


Woher kennst du mei Passwort?!

_________________
Ja, ich bin nachtragend...


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Verschlüsselung Novarock
BeitragVerfasst: 06.06.2017, 13:50 


Offline
Benutzeravatar

Registriert:
04.04.2012, 22:45
Beiträge:
171
Thymm hat geschrieben:
rene.witura hat geschrieben:
Zum Ersten Punkt:

Da sehe ich es eher so das der Betreiber von dem Forum nicht für die Dummheit anderer verantwortlich sein kann. Überall das selbe Passwort nehmen ist so schlau wie 1234567.

Den zweiten Punkt kann ich da schon eher nachvollziehen. Das könnte man schon mal angehen (meiner Meinung nach)


Woher kennst du mei Passwort?!


Weil ich das gleiche hab :-)


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 9 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Uebersetzung von phpBB.de