1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…
  6. T…

Ich kann den Hintergrund sogar verstehen ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: divStar 10.09.18 - 19:37

    Man hätte das gehashte und gesaltete Passwort übermitteln und Client-seitig vergleichen können. Ist nicht super-sicher, aber besser als Klartext. Viele Minderjährige auf Knuddels sind für Passwortweitergaben leider sehr empfänglich.

  2. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 20:18

    Wie stellst du dir das denn vor? Etwa so:
    Der mailt da mit haufenweisen Kindern um vielleicht mal irgendwo in der Nähe eines zu finden? Und dann hinterlässt er extra all diese Spuren, damit er das Kind (ebenso wie ein wild fremdes!) von der Straße fangen kann?
    Und in der Zwischenzeit wird er auch nicht verhaftet... oder dabei... oder sonstwann, in Anbetracht der gigantischen Spur?

    Das ist so weit hergeholt, ich weiß gar nicht, wie ich richtig dagegen argumentieren soll. Es ist einfach zu absurd.

  3. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Aluz 11.09.18 - 10:28

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Wie stellst du dir das denn vor? Etwa so:
    > Der mailt da mit haufenweisen Kindern um vielleicht mal irgendwo in der
    > Nähe eines zu finden? Und dann hinterlässt er extra all diese Spuren, damit
    > er das Kind (ebenso wie ein wild fremdes!) von der Straße fangen kann?
    > Und in der Zwischenzeit wird er auch nicht verhaftet... oder dabei... oder
    > sonstwann, in Anbetracht der gigantischen Spur?
    >
    > Das ist so weit hergeholt, ich weiß gar nicht, wie ich richtig dagegen
    > argumentieren soll. Es ist einfach zu absurd.

    Es geht um das absichern, dass ein Kind kein Passwort im Chat sendet, nicht um das durchwuehlen des Leaks. Bitte etwas genauer das Gespraech verfolgen und nicht schwaddeln.

    Der Taeter meldet sich bei Knuddels an, gewinnt das Vertrauen von lokalen Teenagern, findet herraus x ist mit y zusammen. Ueberredet x ihm das Passwort zu geben, wie auch immer.
    Gibt sich gegenueber seiner Freundin y als x aus. "Wir treffen uns da und da"

    Als ein Beispiel. Wenn die Kinder schon einem Fremden aus dem Internet nicht vertrauen, dann tun sie es zu 100% wenn es ein Schulkamerad ist. So ist Identitaetsdiebstahl ein dickes Problem.

    Und so etwas sollte die "Sicherheitsfunktion" verhindern. Sprich: Die Sinnhaftigkeit fuer solch eine Funktion ist gegeben, die Umsetzung allerdings ist schrecklich, da es eben nun 2 mio Accounts direkt gefaehrdet hat.

  4. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 11.09.18 - 11:25

    >Gibt sich gegenueber seiner Freundin y als x aus. "Wir treffen uns da und da"
    Wo wäre der Unterschied ggü. einer wild fremden Person? Ganz ohne alle diese Umstände, einfach irgendwo? Ist ja auch nicht so, das man genau so aussieht wie der Freund und sie zu einem rennt, um ein Küsschen zu bekommen...

    >So ist Identitaetsdiebstahl ein dickes Problem.
    Abgesehen von absurden Szenarien, von denen ich in der Realität auch noch nie gehört habe*, habe ich jetzt noch kein ernsthaftes Problem gesehen. Wenn jemand Kinder verschleppen will, dann schnappt er sie sich von der Straße. Das passiert leider tatsächlich.
    Dritten sein Passwort zu geben und daraus zu lernen, dass man hinterher seine begehrten "Knuddels" nicht mehr hat, ist ein sehr geringes Lehrgeld für so eine Dummheit.


    *Vermutlich, weil niemand mit ausreichender Intelligenz soetwas machen würde. Ohne Intelligenz klappt es aber gar nicht, da das ein nicht ganz so simpler Plan ist, bei dem immerhin 2 Personen verarscht werden müssen mit ganz viel Glück was den kompletten Mangel anderer Kommunikationswege angeht.

  5. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Lanski 11.09.18 - 15:07

    Slartie schrieb:
    --------------------------------------------------------------------------------
    > burzum schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nein, das ist einfach nur eine saublöde Ausrede um sich aus der
    > > Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch
    > > einfach auf das Hashen der Passwörter verzichten können anstelle sie -
    > > komplett schwachsinnig - geshasht und im Klartext zu speichern!
    >
    > Da wäre ich mir nicht so sicher. Das hier riecht nach einem klassischen
    > Fall von "Checkbox-Ticking". Irgendwer stellt die Anforderung "Passwörter
    > müssen gehasht gespeichert werden" weil er gelesen hat dass man das
    > heutzutage so macht, und dann geht jemand hin und implementiert das strikt
    > nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles
    > tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter
    > verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als
    > Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders
    > hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein
    > zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein
    > Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die
    > Checkbox "Passwörter müssen gehasht gespeichert werden", die für die
    > nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor
    > abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja
    > keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch
    > schon der Spaltenname!

    Exakt das hab ich mir auch gedacht ... wäre jedenfalls typisch.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SCHOTT AG, Mitterteich
  2. Deutsches Elektronen-Synchrotron DESY, Hamburg
  3. h.a.l.m. elektronik gmbh, Frankfurt am Main
  4. eQ-3 AG, deutschlandweit, idealerweise Mitteldeutschland

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. GeForce RTX 3070 TUF O8G 8192 MB GDDR6 für 677,30€)
  2. (u. a. Zotac Geforce RTX 3070 Twin Edge 8 GB (ZT-A30700E-10P) für 799€)
  3. ab 499€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Logistik: Hamburg bekommt eine Röhre für autonome Warentransporte
Logistik
Hamburg bekommt eine Röhre für autonome Warentransporte

Ein Kölner Unternehmen will eine neue Elbunterquerung bauen, die nur für autonom fahrende Transporter gedacht ist.
Ein Bericht von Werner Pluta

  1. Intelligente Verkehrssysteme Wenn Autos an leeren Kreuzungen warten müssen
  2. Verkehr Akkuzüge sind günstiger als Brennstoffzellenzüge
  3. Hochgeschwindigkeitszug JR Central stellt neuen Shinkansen in Dienst

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


    CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
    CalyxOS im Test
    Ein komfortables Android mit einer Extraportion Privacy

    Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
    Ein Test von Moritz Tremmel

    1. Alternatives Android im Test /e/ will Google ersetzen