Datensicherheit im Astrotreff

    Ich möchte die Admins fragen ob es noch Zeitgemäß ist die Datensicherheit zu vernachlässigen.
    Sind es Kostengründe? Oder liegt es an der Rechentechnik?




    Mein Rechner (WIN10) ist zwar weitestgehend geschützt. Aber nicht jeder kann oder will oder weiss wie man sich vor den Tücken des Internet schützen kann.
    Auf erklärende Antworten freut sich


    Reiner


    <font color="limegreen">Aus dem Einsteigerforum verschoben von Caro</font id="limegreen">


    <font color="limegreen">Betreff "Frage an die Admins" präzisiert. Stathis</font id="limegreen">

    Reiner,
    die Foren-Software, die derzeit verwendet wird, ist schon etwas älter. Mit ihr lassen sich verschlüsselte Verbindungen/Sessions nicht realisieren, ohne dass man tief ins System eingreifen muss. Es ist schon seit einiger Zeit geplant auf eine neue Forensoftware umzusteigen. Frag' mich allerdings nicht, wann dies soweit ist.


    Bis dahin kann ich nur sagen: Beachte die allgemeinen Grundssätze ...
    Insbesondere nutze niemals auf mehreren Webseiten das gleiche Passwort (weil das Astrotreff-Passwort für jeden, der die Internetverbindung zu Deinem Rechner mithören kann sichtbar ist (in WLAN-Hotspots, Firmennetz, am Router einer Wohngemeinschaft etc.).


    PS:
    Und vergiss alle sog. (Merk-)Regeln zum Erzeugen eines Passwortes. Heutzutage ist nur ein per Zufall generiertes Passwort hinreichender Länge/Vielfalt sicher.


    z.B. wird immer noch empfohlen, dass man sein Passwort aus Anfangsbuchstaben eines Satzes generiert: aus z.B. "Alles wird gut!" wird so: "Awg!". Ich gehe inzwischen davon aus, dass selbst diese Kombinationen als Wörter in einschlägigen Passwort-Hack-Wörterbücher aufgelistet sind (gerade weil, dies so öffentlich empfohlen und somit von einigen genutzt wird). Nebenbei: Das Passwort wäre zu kurz und ohne Ziffern auch nicht vielfältig genug.


    PPS:
    Zufall: Kartenspiel mit Buchstaben/Ziffern (26+10 Blatt) und Buchstabe für Buchstabe das Passwort generieren. Per Würfel jedesmal Groß/Kleinschreibung festlegen. Bei den Ziffern die Sonderzeichen der Tastatur als Großbuchstaben. Es gibt auch Passwortmanager, Generatoren im Netz. Nur traue ich keiner Software, die ich nicht kenne. Also: Auf eigene Gefahr. [;)]

    Hallo Kalle66


    Mir ist schon klar wie ich mich verhalten muß. Ich schrieb ja auch das ich alle Register (Stealth-Modus usw.) anwende. Aber wenn ich sehe das immer noch viele mit dem Win-XP ins Netz gehen und eventuell unbeabsichtigt Sachen verbreiten die keiner haben will.....??
    Aber wenn es an der alten Software liegt ok. Die fällt ja nicht kostenlos vom Himmel. Ich kenne das aus meinem Autoforum, da wurde auch umgestellt. War am ersten Tag Chaos, aber jeder hat sich dran gewöhnt.


    Danke und einen schönen Tag wünscht Reiner

    Hallo Rainer,


    Du schreibst, daß Du sehr erfahren bei der Sicherung von PCs bist. Kannst Du für mich als normalen User da ein paar gute Tips/Anleitungen/Tutorials geben? Was wird in dem Kontext als 'Stealth-Modus' bezeichnet? Ich bin hautpsächlich bei Win7 und Linux.


    Clear Skies,
    Gert

    Gert,
    ein Add-on/Modus für den Firefox-Browser, der Cookies blockt, die History-Funktion abschaltet (Browser wird sozusagen vergesslich, welche Webseiten du besucht hast), Daten nicht im lokalen Cache vorhält etc. (https://support.mozilla.org/t5…-gespeicherten/ta-p/13310). Damit wird es Datenkraken wie Facebook erschwert, herauszufinden, welche anderen Webseiten du besuchst. Wer auf Drittseiten allerdings das Facebook-Like regelmäßig nutzt, für den lohnt es sich nicht. Und Oberkrake Google ist auf vielen Webseiten schon vertreten (per Google-Analytics), so dass ein Privatmodus da nicht mehr viel hilft.


    Viele Einstellungen (wie Autofill, Browser-Historie, Cache) sind aber auch dann "sicher", wenn man keine Dritten an den Rechner lässt. Die Daten sind ja nur lokal auf Deinem Rechner. Und falls ein Rechner entwendet wird, hilft nur eine Vollverschlüsselung der Festplatte gegen Datendiebstahl (z.B. Bitlocker von Microsoft in den Windows-Pro-Versionen). Der Modus schützt nicht vor Viren oder Keyloggern, die die Tastatur/Maus "belauschen". Also immer auch den Rechner virenfrei halten ...


    Die "private Modus" verhindert nicht, dass das Passwort des Astrotreffs z.B. in öffentlichen WLANs (Hotspot-Anbindung z.B. im Hotel, Cafe, Flughafen, Zug und außerhalb der eigenen vier Wände) für andere sichtbar ist (und zum Mitlauschen in öffentlichen WLANs braucht man keine Spezialkenntnisse). Das kann man nur verhindern, wenn man das Websurfen per VPN "tunnelt". Dabei baut die VPN-Software über das Internet eine gesicherte Verbindung zu einem dritten Rechner (z.B. ein VPN-Homeserver) auf. Erst dieser Rechner leitet die Daten ins Interent. Dritte, die im WLAN mithören, sehen nur die verschlüsselten VPN-Tunnel-Daten.


    Reiner hat insoweit recht, dass es heutzutage Standard ist, dass Webseiten nicht mehr per HTTP sondern nur noch per HTTPS ausgeliefert werden sollten.


    Wer in öffentlichen WLANs meint, er surft "privat" ist einfach nur naiv. Das ist so privat, wie eine Postkarte, die man einem Wildfremden gibt mit der Bitte, sie in den nächsten Briefkasten zu einzuwerfen.

    Danke Reiner für den Einwand.


    So wertvoll der Astrotreff für die Szene ist, so suspekt ist mir die Astrotreff Software - nicht nur in Punkto Sicherheit, sondern inzwischen in so ziemlich JEDER Hinsicht veraltet.


    Ich verwende das Passwort nur hier und ändere es ab und zu. Sollte es gehakt werden, ist der Schaden wenigstens auf den Astrotreff begrenzt.


    ...in der Hoffnung, dass diese Zeilen den Druck noch ein Bisschen weiter aufbauen, damit die seit nunmehr vielen Jahren angekündigte neue Software endlich war wird.

    Hallo!


    Ist es denn überhaupt schon einmal vorgekommen, dass im Astrotreff ein Account gehackt und dann missbräuchlich verwendet wurde? Ich denke jetzt mal nicht, dass man hier unbedingt im stealth-Tarnmantel posten muss. Absolute Sicherheit wird es wohl nie geben, obwohl ich mit HTTPS im Astrotreff schon ein bisserl besseres Gefühl hätte.


    Salü, Volker.

    Deep Sky visuell, Mond und Sonne im Weißlicht mit 10" f/5 Dobson auf Selbstbau Birke-Multiplex  :dizzy:

    <blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">Zitat:<hr height="1" noshade id="quote"><i>Original erstellt von: Kalle66</i>
    <br />Gert,
    ein Add-on/Modus für den Firefox-Browser, der Cookies blockt, die History-Funktion abschaltet (Browser wird sozusagen vergesslich, welche Webseiten du besucht hast), Daten nicht im lokalen Cache vorhält etc. (https://support.mozilla.org/t5…-gespeicherten/ta-p/13310). Damit wird es Datenkraken wie Facebook erschwert, herauszufinden, welche anderen Webseiten du besuchst. Wer auf Drittseiten allerdings das Facebook-Like regelmäßig nutzt, für den lohnt es sich nicht. Und Oberkrake Google ist auf vielen Webseiten schon vertreten (per Google-Analytics), so dass ein Privatmodus da nicht mehr viel hilft.<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
    Google-Analytics läuft als "skript" im Hintergrund, übrigens auch hier im Astrotreff. In anderen Foren war die Begründung, "Google-Analytics" wäre nur eine Vereinfachung für die Webseitenersteller und die Software wäre ok, weil alle Software öffentlich sichtbar wäre. Ich glaube aber nicht an diese Auslegung.

    Beim Firefox hilft dagegen das Addon "no skript", ist anfangs jedoch sehr beschwerlich die ganzen Ausnahmen erst mal zu zulassen. Und bei einigen Betreiber von Webseiten laufen über 30zig skript im Hintergrund, da bleibe ich dann ganz weg.

    Wolfgang,
    Google-Analytics ist nur ein Beispiel und im Grunde eher harmlos, weil recht gut dokumentiert.


    Moderne Webseiten ohne Skripte sind die absolute Ausnahme inzwischen. Javaskript an sich ist auch kein "Bösewicht". Viel kritischer sind "alte" Verfahren, wenn z.B. per Adobe-Flash Medieninhalte eingebunden werden. Das Flash ist ziemlich fehlerträchtig und, wenn man es aktiviert, liefert es eine ganze Reihe von Angriffspunkten um Kontrolle über den Zielrechner zu gewinnen. Auch "Java" ist so ein Einfallstor, da es eine komplette Programmiersprachenumgebung bereitstellt. Java und Javaskript haben nichts miteinander gemeinsam außer den vier Buchstaben. Javaskript ist Standard für das WWW, so wie CSS und HTML5.


    Viele Webseiten rufen neben Webskripte auch CSS-Inhalte (z.B. Zeichenfonts) auf Google-Server ab. Da bringt es nicht viel, wenn "Skripting" abgeschaltet ist. Google erfährt dann aber "nur", dass Du bestimmte Fonts etc. abrufst.


    Eine typische Webseite interagiert mit diversen Webservern auf 10 bis 60 Kanälen gleichzeitig. Und was die Webserver wiederum machen, darüber hast Du auch keine Kontrolle als Seitenbesucher. Und wenn man via Google-Suche die Webseite aufruft (was in vielen Fällen Standard im Browser ist), ein Gmail-Account betreibt oder mal ein Youtube-Video anschaut, dann kommuniziert man direkt mit Google. Dito, wer ein Android-Smartphone nutzt. Android wurde von Google entwickelt (unter Nutzung des Linux-Kernels). Vergleichbares gilt für Whatsapp und Facebook.


    Wer da Angst um seine Daten hat, der muss den Rechner und sein Smartphone ausschalten und muss sich die Informationen wie vor 30 Jahren über Zeitungen, Zeitschriften und Bücher besorgen. Und wer so restriktiv ist, der macht sich dann bei NSA etc. wiederum verdächtig. [:D]


    Aus Sicherheitserwägungen ist das Login des Astrotreffs sicher ein Problem. Missbrauch wurde bislang nicht bekannt. Das Abschicken von Textbeiträgen ist ebenfalls einsehbar, aber unkritisch, da einmal gepostet eh für alle lesbar. Außerdem gibt es noch die Moderatoren. Ansonsten ist die Software aber einfach veraltet, bietet viele Funktionen nicht an, die wünschenswert wären.Ganz vorne auf meiner Wunschliste wäre ein besserer Seitenaufbau, der auch smartphonetauglich ist; neudeutsch Responsive Design, was faktisch überall mit Javaskript gelöst wird. [;)]

    Hallo Beisammen,


    Danke für die interessanten Beiträge. Wo muss man denn in Betracht auf Forenbenutzung nun Datenschutzmäßig aufpassen?


    Geht es darum, daß von der Forensoftware, oder durch Daten, die vom Forumsystem in meinen PC übertragen werden um dort dargestellt zu werden, eine Gefahr für meinen PC ausgeht? (Man-in-the-middle) Da ich den Betreibern mal keine dunklen Ziel unterstelle, bleibt die (Man-in-the-middle) Variante. Wie wahrscheinlich ist das, und wie kann ich als Nutzer da aufpassen. (Tor-Browser in einer VM oder Knoppix DVD?)


    Oder darum, daß beliebige Dritte nun das Forum als Medium für illegale Inhalte nutzen? Das habe ich auch noch nicht gesehen. Wo sind denn die robo-posts vom ISIS die mich zum heiligen krieg rufen?


    Rein technisch würde mir in der Forensoftware er besserer Texteditor gefallen.


    Clear Skies,
    Gert

    Hallo Gert,


    Spammer, die sich im Forum angemeldet haben, um ihre Botschaften verbreiten zu können, gab es durchaus schon (angeboten wurden zum Beispiel gefälschte Pässe oder russische Schönheiten...). das wüird von uns aber natürlich sofort entsorgt und die Accounts dichtgemacht. Was regelmäßig versucht wird ist, Schadcode über Eingabeformulare zu schicken und somit an Adminpasswörter zu kommen. Das sind oft wahllose Versuche, ist immer wieder lustig zu sehen, wenn die ASP-basierte Forensoftware mit Code für php-basierte Foren bombardiert wird [:)]


    Die Primitivheit des Forums schützt die User in gewisser Weise auch. HTML ist absichtlich deaktiviert, und auch das Einbetten von Code aller Art wird unterbunden. Das heißt dann zwar zum Beispiel keine iframes für Youtube-Videos, aber umgekehrt auch nix gewollt Schadhaftes.


    De facto bleibt das Gefährlichste das Knacken oder Mitlesen des Passworts selber. Viele Leute benutzen bis heute dasselbe Passwort für alle Accounts, die sie so anlegen, und das versuchen Kriminelle dann natürlich auszunutzen.


    Viele Grüße
    Caro

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden