PDA

View Full Version : Sicherheitshinweise



stefan
06.10.2011, 06:48 PM
Hi,

aus aktuellem Anlass eine kurze Anmerkung, wie hier im Forum Eure Passwörter gespeichert werden:

Leider ist es auch heutzutage nicht selbstverständlich, dass Passwörter nicht im Klartext abgespeichert werden:

Rewe- Einbruch (http://www.heise.de/security/meldung/Cyber-Angriff-auf-Rewe-Kundendaten-1280613.html)

und aktuell heute gemeldet:

Hetzner- Einbruch (http://www.heise.de/security/meldung/Web-Hoster-Hetzner-gehackt-1356501.html)

Die Forumsoftware, die wir hier einsetzen (vbulletin) speichert die Passwörter recht sicher:

Passwort = md5(Konkatenierung(md5('KlartextPasswort'), salt))

Passwörter werden auch nie im Klartext hier übertragen, sondern immer der md5 Hashwert davon.

Diese Informationen hat mir vor wenigen Minuten ein Support Mitarbeiter von vbulletin bestätigt.

Ich möchte deshalb noch einmal eindringlich an diesen Post hier erinnern, wie man ein sicheres Passwort wählt:

http://en.irfanview-forum.de/vb/showthread.php?8016-Password-policy-good-strong-passwords

Desweiteren ist hier noch eingestellt, dass ihr Euer Passwort nach 200 Tagen ändern müsst.

Ich denke also, dass zumindest auf dieser Seite Euer Passwort mehr als ausreichend sicher ist, wenn ihr die Passwortregeln befolgt. Auch solltest ihr unter keinen Umständen Euer Forumpasswort noch für eine andere Seite verwenden (im ungünstigten Fall ist das Passwort für Eure Mailadresse gleich dem Forumpasswort!)

Schöne Grüße,

Stefan

stefan
07.04.2012, 09:50 AM
Hallo,

ein kleines Update: Ab dem 7.April läuft das Forum standardmässig unter SSL, einem Verschlüsselungsprotokoll, dass eine sichere Datenübertragung ermöglicht.

Damit werden zum Beispiel Zugangsdaten (beim Anmelden) verschlüsselt übertragen.

Grüße,

Stefan

stefan
10.04.2012, 06:14 PM
Hallo,

ein weiteres Update: Ab 10.April werden keinerlei Logfiles geschrieben bzw. IP-Adressen mitgeloggt. Ebenfalls wird in der eingesetzen Forumssoftware auf das Speichern der IP-Adresse des Benutzers/Betrachters verzichtet!

Grüße,

Stefan

stefan
02.11.2012, 08:46 PM
Hallo,

ein weiteres Update: Ab heute wird der HTTP Strict Transport Security (http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security) Mechanismus unterstützt.

Sollten Probleme auftreten, diese bitte mir melden!

Stefan