1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…
  6. T…

Ich kann den Hintergrund sogar verstehen ...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: divStar 10.09.18 - 19:37

    Man hätte das gehashte und gesaltete Passwort übermitteln und Client-seitig vergleichen können. Ist nicht super-sicher, aber besser als Klartext. Viele Minderjährige auf Knuddels sind für Passwortweitergaben leider sehr empfänglich.

  2. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 10.09.18 - 20:18

    Wie stellst du dir das denn vor? Etwa so:
    Der mailt da mit haufenweisen Kindern um vielleicht mal irgendwo in der Nähe eines zu finden? Und dann hinterlässt er extra all diese Spuren, damit er das Kind (ebenso wie ein wild fremdes!) von der Straße fangen kann?
    Und in der Zwischenzeit wird er auch nicht verhaftet... oder dabei... oder sonstwann, in Anbetracht der gigantischen Spur?

    Das ist so weit hergeholt, ich weiß gar nicht, wie ich richtig dagegen argumentieren soll. Es ist einfach zu absurd.

  3. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Aluz 11.09.18 - 10:28

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Wie stellst du dir das denn vor? Etwa so:
    > Der mailt da mit haufenweisen Kindern um vielleicht mal irgendwo in der
    > Nähe eines zu finden? Und dann hinterlässt er extra all diese Spuren, damit
    > er das Kind (ebenso wie ein wild fremdes!) von der Straße fangen kann?
    > Und in der Zwischenzeit wird er auch nicht verhaftet... oder dabei... oder
    > sonstwann, in Anbetracht der gigantischen Spur?
    >
    > Das ist so weit hergeholt, ich weiß gar nicht, wie ich richtig dagegen
    > argumentieren soll. Es ist einfach zu absurd.

    Es geht um das absichern, dass ein Kind kein Passwort im Chat sendet, nicht um das durchwuehlen des Leaks. Bitte etwas genauer das Gespraech verfolgen und nicht schwaddeln.

    Der Taeter meldet sich bei Knuddels an, gewinnt das Vertrauen von lokalen Teenagern, findet herraus x ist mit y zusammen. Ueberredet x ihm das Passwort zu geben, wie auch immer.
    Gibt sich gegenueber seiner Freundin y als x aus. "Wir treffen uns da und da"

    Als ein Beispiel. Wenn die Kinder schon einem Fremden aus dem Internet nicht vertrauen, dann tun sie es zu 100% wenn es ein Schulkamerad ist. So ist Identitaetsdiebstahl ein dickes Problem.

    Und so etwas sollte die "Sicherheitsfunktion" verhindern. Sprich: Die Sinnhaftigkeit fuer solch eine Funktion ist gegeben, die Umsetzung allerdings ist schrecklich, da es eben nun 2 mio Accounts direkt gefaehrdet hat.

  4. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Eheran 11.09.18 - 11:25

    >Gibt sich gegenueber seiner Freundin y als x aus. "Wir treffen uns da und da"
    Wo wäre der Unterschied ggü. einer wild fremden Person? Ganz ohne alle diese Umstände, einfach irgendwo? Ist ja auch nicht so, das man genau so aussieht wie der Freund und sie zu einem rennt, um ein Küsschen zu bekommen...

    >So ist Identitaetsdiebstahl ein dickes Problem.
    Abgesehen von absurden Szenarien, von denen ich in der Realität auch noch nie gehört habe*, habe ich jetzt noch kein ernsthaftes Problem gesehen. Wenn jemand Kinder verschleppen will, dann schnappt er sie sich von der Straße. Das passiert leider tatsächlich.
    Dritten sein Passwort zu geben und daraus zu lernen, dass man hinterher seine begehrten "Knuddels" nicht mehr hat, ist ein sehr geringes Lehrgeld für so eine Dummheit.


    *Vermutlich, weil niemand mit ausreichender Intelligenz soetwas machen würde. Ohne Intelligenz klappt es aber gar nicht, da das ein nicht ganz so simpler Plan ist, bei dem immerhin 2 Personen verarscht werden müssen mit ganz viel Glück was den kompletten Mangel anderer Kommunikationswege angeht.

  5. Re: Ich kann den Hintergrund sogar verstehen ...

    Autor: Lanski 11.09.18 - 15:07

    Slartie schrieb:
    --------------------------------------------------------------------------------
    > burzum schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nein, das ist einfach nur eine saublöde Ausrede um sich aus der
    > > Verantwortung zu ziehen. Wäre das der wahre Grund, dann hätte man auch
    > > einfach auf das Hashen der Passwörter verzichten können anstelle sie -
    > > komplett schwachsinnig - geshasht und im Klartext zu speichern!
    >
    > Da wäre ich mir nicht so sicher. Das hier riecht nach einem klassischen
    > Fall von "Checkbox-Ticking". Irgendwer stellt die Anforderung "Passwörter
    > müssen gehasht gespeichert werden" weil er gelesen hat dass man das
    > heutzutage so macht, und dann geht jemand hin und implementiert das strikt
    > nach Vorgabe - Checkbox kann abgehakt werden, Anforderung erfüllt, alles
    > tutti. Dann kommt der zweite Typ her, der diesen lustigen Textfilter
    > verantwortet, und krakeelt, dass diese Änderung seinen Kram bricht. Als
    > Abhilfe kopiert er sich die alte Passwort-Tabellenspalte irgendwo anders
    > hin, deklariert sie von "password" zu "textfilter" um, klebt noch ein
    > zusätzliches INSERT in den Account-Erstellungs-Prozess und - tada! - sein
    > Scheiß funktioniert ohne größere Investition von Hirnschmalz weiterhin. Die
    > Checkbox "Passwörter müssen gehasht gespeichert werden", die für die
    > nächste Version zwingend abgehakt sein muss, bleibt natürlich nach wie vor
    > abgehakt - denn das, was da jetzt unverschlüsselt gespeichert ist, sind ja
    > keine "Passwörter", nein nein, das sind "Textfilter-Strings", sagt doch
    > schon der Spaltenname!

    Exakt das hab ich mir auch gedacht ... wäre jedenfalls typisch.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Allianz Versicherungs-AG, München Unterföhring
  2. Haufe Group, Freiburg im Breisgau
  3. Hays AG, Nürnberg
  4. BARMER, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. Apple iPad Air 10,9 Zoll Wi-Fi 64GB für 632,60€, Apple iPad Air 10,9 Zoll Cellular 64GB für 769...
  2. 57,90€ statt 69,90€
  3. 2.399€ (inkl. 400€ Cashback - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da