NOVA ROCK FESTIVAL
http://forum.novarock.at/

Verschlüsselung Novarock
http://forum.novarock.at/viewtopic.php?f=8&t=23911
Seite 1 von 1

Autor:  morbatex [ 01.06.2017, 23:06 ]
Betreff des Beitrags:  Verschlüsselung Novarock

Liebes Novarockeam,

leider musste ich gerade feststellen, dass der Login (sowohl zum Bestellen von Tickets als auch zum Forum) unverschlüsselt ist. Das ist datenschutztechnisch sehr kritisch, da jeder somit persönliche Daten (Nutzernamen, Passowörter, etc) bei der Übertragung auslesen kann. Bitte sorgt dafür, dass diese Seite SSL-Verschlüsselt wird, um die Sicherheit eurer Kunden garantieren zu können.

Mit freundlichen Grüßen
Max

Autor:  Thymm [ 02.06.2017, 11:22 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

Interessant.

Es werden hier direkt auf der Seite Tickets verkauft und ich muss mich einloggen zum Ticketskaufen?

Autor:  morbatex [ 02.06.2017, 12:02 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

Tickets werden hier natürlich direkt auf der Seite verkauft (http://novarock.at/tickets)und das man sich dafür einloggen muss ist auch klar.
Nur dieses Einloggen muss verschlüsselt sein, damit niemand unter anderem Passwörter und Nutzernamen auslesen kann.
Das gleiche gilt für den Loginvorgang hier im Forum.
Am besten sollte eigentlich die komplette Seite verschlüsselt sein, damit niemand per MITM eine falsche Seite ausliefern kann...

Autor:  Thymm [ 03.06.2017, 11:13 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

morbatex hat geschrieben:
Tickets werden hier natürlich direkt auf der Seite verkauft (http://novarock.at/tickets)und das man sich dafür einloggen muss ist auch klar.
Nur dieses Einloggen muss verschlüsselt sein, damit niemand unter anderem Passwörter und Nutzernamen auslesen kann.
Das gleiche gilt für den Loginvorgang hier im Forum.
Am besten sollte eigentlich die komplette Seite verschlüsselt sein, damit niemand per MITM eine falsche Seite ausliefern kann...


Ich bin mir nicht sicher, ob ich deinem Gedankengang folgen kann.

Auch dein Link führt nur zum eingebundenen Angebot von Öticket und zu keinem direkten Verkauf (auf) dieser Seite, somit bezweifle ich noch immer, dass wie Betreiber diese Website Öticket vorgeben können, wie dort was gemacht werden soll.
Dass man sich einloggen muss ist nicht "auch klar". Warum sollte ich auch? Ich kann einen Gastzugang ohne Passwort nutzen.
Ich hätte gedacht, dass zumindest die Ticketbestellung über Öticket läuft.

Aber ich kenn mich technisch auch ned aus, somit haben meine Behauptungen natürlich weniger Aussagekraft. Da kennst du dich wahrscheinlich besser aus, da du dieses Thema ansprichst.
Ich habe auch nicht gewusst, dass MITM Angriffe so einfach sind.

Vielleicht meldet sich bald jemand von der Technikabteilung und klärt uns auf.

Autor:  Cliff Burton [ 03.06.2017, 11:51 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

nunja, morbatex möchte halt ssl haben - auf websiten ist das dann "https" statt http.

soweit kann ich es verstehen ... aber:
zertifikat f. das forum ist wohl eher ein overkill - hier kann nichts grossartiges passieren sollte jemand wirklich daten abgreifen (können/wollen) ... ausser ein paar blöde postings die ein user gar nicht selbst erstellt hat :wink:
http://www.novarock.at hat auch nichts drauf was ssl rechtfertigen würde - das meiste dort sind verlinkungen (zB. ticketshop's, facebook,, ...) - diese seiten selbst haben äh ihr ssl.

und öticket hat AB der anmeldung die umleitung auf ssl - ergo auch nicht weiter gefährlich :besserwisser:



lg & danke für die idee/den denkanstoss

Autor:  morbatex [ 05.06.2017, 14:52 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

Cliff Burton hat geschrieben:
zertifikat f. das forum ist wohl eher ein overkill - hier kann nichts grossartiges passieren sollte jemand wirklich daten abgreifen (können/wollen) ... ausser ein paar blöde postings die ein user gar nicht selbst erstellt

Ja, hier im Forum kann niemand damit groß was machen. Aber es gibt genug User, welche überall das selbe Passwort und den selben Nutzernamen/die selbe E-Mail Addresse haben. Diese werden durch einen unverschlüsselten Login gefährdet.

Cliff Burton hat geschrieben:
http://www.novarock.at hat auch nichts drauf was ssl rechtfertigen würde - das meiste dort sind verlinkungen (zB. ticketshop's, facebook,, ...) - diese seiten selbst haben äh ihr ssl.


Da kann man drüber diskutieren :D Per Man-in-the-Middle-Angriff kann man "relativ" einfach die Links austauschen ohne das jemand etwas davon mitbekommt / wie bei der Ticketbestellung den ifram verändern. Der folgende Screenshot ist das Ergebnis eines innerhalb von 5 Minuten durchgeführten MitM-Angriff auf mich selbst.

Bild

Ein echter Angreifer würde dort nun nicht etwas so offensichtliches platzieren. Mit SSL Verschlüsselung wäre es durch die Authentifizierung des Servers über das Zertifikat größtenteils unmöglich dies zu tun. Wie groß die Gefahr wirklich ist, ist recht schwer abzuschätzen, aber ihr solltet euch mal Gedanken darüber machen, ob es nicht trotzdem lohnt (vor allem da Zertifikate recht günstig geworden sind)

Mit freundlichen Grüßen
morbatex

edit: imgur gegen pic-upload getauscht, da das Forum imgur anscheinend nicht mag

Autor:  rene.witura [ 06.06.2017, 11:51 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

Zum Ersten Punkt:

Da sehe ich es eher so das der Betreiber von dem Forum nicht für die Dummheit anderer verantwortlich sein kann. Überall das selbe Passwort nehmen ist so schlau wie 1234567.

Den zweiten Punkt kann ich da schon eher nachvollziehen. Das könnte man schon mal angehen (meiner Meinung nach)

Autor:  Thymm [ 06.06.2017, 13:00 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

rene.witura hat geschrieben:
Zum Ersten Punkt:

Da sehe ich es eher so das der Betreiber von dem Forum nicht für die Dummheit anderer verantwortlich sein kann. Überall das selbe Passwort nehmen ist so schlau wie 1234567.

Den zweiten Punkt kann ich da schon eher nachvollziehen. Das könnte man schon mal angehen (meiner Meinung nach)


Woher kennst du mei Passwort?!

Autor:  rene.witura [ 06.06.2017, 13:50 ]
Betreff des Beitrags:  Re: Verschlüsselung Novarock

Thymm hat geschrieben:
rene.witura hat geschrieben:
Zum Ersten Punkt:

Da sehe ich es eher so das der Betreiber von dem Forum nicht für die Dummheit anderer verantwortlich sein kann. Überall das selbe Passwort nehmen ist so schlau wie 1234567.

Den zweiten Punkt kann ich da schon eher nachvollziehen. Das könnte man schon mal angehen (meiner Meinung nach)


Woher kennst du mei Passwort?!


Weil ich das gleiche hab :-)

Seite 1 von 1 Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/