Beiträge von Kalle66 im Thema „Datensicherheit im Astrotreff“

Wolfgang,
Google-Analytics ist nur ein Beispiel und im Grunde eher harmlos, weil recht gut dokumentiert.

Moderne Webseiten ohne Skripte sind die absolute Ausnahme inzwischen. Javaskript an sich ist auch kein "Bösewicht". Viel kritischer sind "alte" Verfahren, wenn z.B. per Adobe-Flash Medieninhalte eingebunden werden. Das Flash ist ziemlich fehlerträchtig und, wenn man es aktiviert, liefert es eine ganze Reihe von Angriffspunkten um Kontrolle über den Zielrechner zu gewinnen. Auch "Java" ist so ein Einfallstor, da es eine komplette Programmiersprachenumgebung bereitstellt. Java und Javaskript haben nichts miteinander gemeinsam außer den vier Buchstaben. Javaskript ist Standard für das WWW, so wie CSS und HTML5.

Viele Webseiten rufen neben Webskripte auch CSS-Inhalte (z.B. Zeichenfonts) auf Google-Server ab. Da bringt es nicht viel, wenn "Skripting" abgeschaltet ist. Google erfährt dann aber "nur", dass Du bestimmte Fonts etc. abrufst.

Eine typische Webseite interagiert mit diversen Webservern auf 10 bis 60 Kanälen gleichzeitig. Und was die Webserver wiederum machen, darüber hast Du auch keine Kontrolle als Seitenbesucher. Und wenn man via Google-Suche die Webseite aufruft (was in vielen Fällen Standard im Browser ist), ein Gmail-Account betreibt oder mal ein Youtube-Video anschaut, dann kommuniziert man direkt mit Google. Dito, wer ein Android-Smartphone nutzt. Android wurde von Google entwickelt (unter Nutzung des Linux-Kernels). Vergleichbares gilt für Whatsapp und Facebook.

Wer da Angst um seine Daten hat, der muss den Rechner und sein Smartphone ausschalten und muss sich die Informationen wie vor 30 Jahren über Zeitungen, Zeitschriften und Bücher besorgen. Und wer so restriktiv ist, der macht sich dann bei NSA etc. wiederum verdächtig. [:D]

Aus Sicherheitserwägungen ist das Login des Astrotreffs sicher ein Problem. Missbrauch wurde bislang nicht bekannt. Das Abschicken von Textbeiträgen ist ebenfalls einsehbar, aber unkritisch, da einmal gepostet eh für alle lesbar. Außerdem gibt es noch die Moderatoren. Ansonsten ist die Software aber einfach veraltet, bietet viele Funktionen nicht an, die wünschenswert wären.Ganz vorne auf meiner Wunschliste wäre ein besserer Seitenaufbau, der auch smartphonetauglich ist; neudeutsch Responsive Design, was faktisch überall mit Javaskript gelöst wird. [;)]

Gert,
ein Add-on/Modus für den Firefox-Browser, der Cookies blockt, die History-Funktion abschaltet (Browser wird sozusagen vergesslich, welche Webseiten du besucht hast), Daten nicht im lokalen Cache vorhält etc. (https://support.mozilla.org/t5…-gespeicherten/ta-p/13310). Damit wird es Datenkraken wie Facebook erschwert, herauszufinden, welche anderen Webseiten du besuchst. Wer auf Drittseiten allerdings das Facebook-Like regelmäßig nutzt, für den lohnt es sich nicht. Und Oberkrake Google ist auf vielen Webseiten schon vertreten (per Google-Analytics), so dass ein Privatmodus da nicht mehr viel hilft.

Viele Einstellungen (wie Autofill, Browser-Historie, Cache) sind aber auch dann "sicher", wenn man keine Dritten an den Rechner lässt. Die Daten sind ja nur lokal auf Deinem Rechner. Und falls ein Rechner entwendet wird, hilft nur eine Vollverschlüsselung der Festplatte gegen Datendiebstahl (z.B. Bitlocker von Microsoft in den Windows-Pro-Versionen). Der Modus schützt nicht vor Viren oder Keyloggern, die die Tastatur/Maus "belauschen". Also immer auch den Rechner virenfrei halten ...

Die "private Modus" verhindert nicht, dass das Passwort des Astrotreffs z.B. in öffentlichen WLANs (Hotspot-Anbindung z.B. im Hotel, Cafe, Flughafen, Zug und außerhalb der eigenen vier Wände) für andere sichtbar ist (und zum Mitlauschen in öffentlichen WLANs braucht man keine Spezialkenntnisse). Das kann man nur verhindern, wenn man das Websurfen per VPN "tunnelt". Dabei baut die VPN-Software über das Internet eine gesicherte Verbindung zu einem dritten Rechner (z.B. ein VPN-Homeserver) auf. Erst dieser Rechner leitet die Daten ins Interent. Dritte, die im WLAN mithören, sehen nur die verschlüsselten VPN-Tunnel-Daten.

Reiner hat insoweit recht, dass es heutzutage Standard ist, dass Webseiten nicht mehr per HTTP sondern nur noch per HTTPS ausgeliefert werden sollten.

Wer in öffentlichen WLANs meint, er surft "privat" ist einfach nur naiv. Das ist so privat, wie eine Postkarte, die man einem Wildfremden gibt mit der Bitte, sie in den nächsten Briefkasten zu einzuwerfen.

Reiner,
die Foren-Software, die derzeit verwendet wird, ist schon etwas älter. Mit ihr lassen sich verschlüsselte Verbindungen/Sessions nicht realisieren, ohne dass man tief ins System eingreifen muss. Es ist schon seit einiger Zeit geplant auf eine neue Forensoftware umzusteigen. Frag' mich allerdings nicht, wann dies soweit ist.

Bis dahin kann ich nur sagen: Beachte die allgemeinen Grundssätze ...
Insbesondere nutze niemals auf mehreren Webseiten das gleiche Passwort (weil das Astrotreff-Passwort für jeden, der die Internetverbindung zu Deinem Rechner mithören kann sichtbar ist (in WLAN-Hotspots, Firmennetz, am Router einer Wohngemeinschaft etc.).

PS:
Und vergiss alle sog. (Merk-)Regeln zum Erzeugen eines Passwortes. Heutzutage ist nur ein per Zufall generiertes Passwort hinreichender Länge/Vielfalt sicher.

z.B. wird immer noch empfohlen, dass man sein Passwort aus Anfangsbuchstaben eines Satzes generiert: aus z.B. "Alles wird gut!" wird so: "Awg!". Ich gehe inzwischen davon aus, dass selbst diese Kombinationen als Wörter in einschlägigen Passwort-Hack-Wörterbücher aufgelistet sind (gerade weil, dies so öffentlich empfohlen und somit von einigen genutzt wird). Nebenbei: Das Passwort wäre zu kurz und ohne Ziffern auch nicht vielfältig genug.

PPS:
Zufall: Kartenspiel mit Buchstaben/Ziffern (26+10 Blatt) und Buchstabe für Buchstabe das Passwort generieren. Per Würfel jedesmal Groß/Kleinschreibung festlegen. Bei den Ziffern die Sonderzeichen der Tastatur als Großbuchstaben. Es gibt auch Passwortmanager, Generatoren im Netz. Nur traue ich keiner Software, die ich nicht kenne. Also: Auf eigene Gefahr. [;)]