Hallo,
seit einiger Zeit fallen mir folgende zwei Dinge besonders unangenehm auf.
1. Bei der Anmeldung wird das Passwort im Klartext per GET übertragen. Das hat zur Folge, dass man das PAsswort in der Adresszeile kurz sehen kann. Dies ist sehr bedenklich, da ein "Passant" das Passwort sehen kann, wenn er in der Nähe steht. Dieser gravierende FEhler muss schnellsten beseitigt werden. Erste Abhilfe wäre es das Passwort per POST zu versenden, da so nur sehr geringe Änderungen an der Anmelderoutine vorzunehmen sind. Diese Änderungen benötigen im Normalfall etwa 5 min. Bearbeitungszeit.
2. Ich weiß nicht ob folgendes PRoblem schon immer bestand, aber zumindest nervt es mich derzeit sehr:
Wenn ich, ohne eingeloggt zu sein, zu einem Artikel gehe und mich dann einlogge werde ich immer wieder zur Startseite zurück befördert (also beim Klick auf den Button), wenn ich mich erfolgreich eingeloggt habe. Es wäre besser wenn man mich genau dahin zurückbefördern würde, wo ich hergekommen bin, also zu dem Artikel. Dies ist ebenfalls technisch kein Problem.

Viele Grüße

Björn

Nun wollen wir mal die Kirche im Dorf lassen, hier gehts doch nicht um kritische Daten. Außerdem gebe ich zu bedenken, dass der Umstieg auf POST die Daten trotzdem unverschlüsselt senden würde... Schlimmer finde ich, dass MTN so viele Cooies verwendet, statt das mit nur einem zu machen, den man als Referenz auf einen User-Record in der Datenbank benutzen könnte...

M.

Bitte bedenkt, dass die Registrierung nachträglich "aufgepflanzt" wurde und mtn anfangs ohne Registrierung geplant war (das würde z.B. die Cookie-Geschichte erklären.. das komplett umzubauen ist ordentlich Arbeit).

Ansonsten stimm ich mit planetexpress überein... von einer Sicherheitslücke würd ich hier jetzt nicht reden. Ist ja kein Online-Banking.

Grundsätzlich ließe sich das Login auf MTN sicherer umsetzen, das stimmt. Möglicherweise würde auch HTTPS zum Einloggen genügen. Aber im schlimmsten Fall postet hier jemand unter unserem Namen. Es sind keine wichtigen Daten der User zum Klauen oder Beschädigen hier.

Selbst eBay bietet HTTPS nur optional an zum Einloggen. Das normale Einloggen läuft dort über HTTP. Und bei eBay kann jemand im Namen des Users einkaufen und verkaufen, Bewertungen abgeben usw. Dort ist finanzieller Schaden möglich. Auf MTN wüßte ich dagegen nicht, was geschützt werden müßte (für mich).

da magst du recht habern macmark, spioniert jemand mein MTN passwort aus kann er auf diese seite wohl weniger schaden anrichten. doch glaube ich kaum das ein user für jede seite wo er sich anmeldet ein eigenes passwort hat, viele user, eingeschlossen mich, benutzen wohl ein masterpasswort für alle seiten, also ist das problem wohl doch weitgreiffender.

ich weiß das das eher das problem des user ist, jedoch bedenkenswert.
abhilfe schafft die verlängerung des passwortes auf wichtigen seiten wie ebay etc. , z.B. durch ergänzung einer zahlenkombination oder ähnliches.

Hallo,
schön, dass es hier doch einige Leute gibt, die sich etwas mit dieser Problematik beschäfftigen. Doch muss ich euch klar sagen, dass man für alles irgendwelche Ausflüchte finden kann. Klar das PW wird unverschlüsselt gesendet, aber um das auszuspionieren gehört etwas mehr, als sich einfach den Bildschirm und (falls Ihr das vergessen habt) den Verlauf anzuschauen. Nur weil es so oder so nicht (sher) sicher ist, heißt das noch lange nicht, dass man gleiche ein Eingangsschild im XXL-Format aufhängt.
Grundsätzlich ist das Vorgehen ein PW über GET zu versenden schlampig. Ich weiß zwar nicht, wie hier das PW verglichen wird, aber grundsätzlich ist nur im Formular auf POST umzustellen und im PHP-Script die GET-Abfrage der Variablen in eine POST-Abfrage zu verändern, sorry, das sind echt nur wenige Minuten Arbeit.
Warum wird so was denn nicht gemacht oder an so was gedacht?!

Björn

don:
lol;-)

blöd wenn die Oma ihren Enkeln zur Weihnachtszeit Geld per Post schickt und es kommt nie was an

djapple2
Ja, sollte sie es etwa über mtn per GET schicken?


Gruss
camaso

whiskeytumbler
Das ist natürlich ein gravierendes Problem Klar, kein Mensch kann sich einen Flohzirkus von Kennwörtern in der Art von Uio8%3i_1 merken, aber die Unsitte für alles und jeden Zugang das gleiche Kennwort zu verwenden ist meiner Ansicht nach einfach fahrlässig.

"Früher" habe ich folgendes System verwendet: ich hatte einen Stamm von 4 Kennwörtern. Das eine habe ich nur für sehr wichtige Sachen verwendet, z.B. den Root-Zugang auf meiner FreeBSD-Kiste zuhause. Dieses Kennwort habe ich niemals, niemals, nieniemals irgendwo eingetippt, wo die Daten im Klartext über's Netz gegangen sind. Nicht mal dort, wo ich mich jenseits des lokalen Netzes remote eingeloggt habe. Das zweite habe ich für meinen persönlichen Login an meinen eigenen Rechnern verwendet, sofern kein Windows drauf war. Für das habe ich das dritte verwendet Und das vierte habe ich für wichtige Seiten im Internet verwendet, bei denen zur Anmeldung HTTPS benutzt wurde. Alle drei Kennwörter verwende ich sogar heute - nach Jahren - noch, ich verziere diese Kennwörter, die natürlich in keinem Wörterbuch stehen dürfen, noch durch eine Ziffernfolge. Manchmal kombiniere ich auch zwei dieser Stammkennwörter.

Das ist zwar auch keine extrem sichere Methode, aber man muß sich nur eine kleine Anzahl von Kennwörtern merken. Man sollte nur immer ein Auge darauf haben, daß man diese Kennwörter nicht ungesichert übers Netz verschickt. Und keinen Zettel unter die Tastatur kleben

Für den Rest, also solche Sachen wie MTN, hatte ich mir die Kennwörter einfach aufgeschrieben, schließlich geht die Welt nicht unter, falls diese Kennwörter wirklich mal abhanden gekommen wären.

Heute nehme ich für jede Anmeldung (wie bei MTN) ein anderes Kennwort. Warum denn nicht? Wo siehst du denn ein Problem? Ab in den Schlüsselbund und fertig, ich muß mich kein zweites Mal an dieses Kennwort erinnern. Nur das Masterkennwort des Schlüsselbundes sollte natürlich wieder "gut" sein. Und den automatischen Login am Rechner habe ich natürlich deaktiviert. Und bei Beenden des Bildschirmschoners kommt die Kennwortabfrage. Und die ganz wichtigen "Kernkennwörter" stehen nicht im Schlüsselbund...

Man sollte sich nicht verrückt machen, wir sind alle nicht Fort Knox, aber mit ein klein wenig Umsicht erreicht man schon sehr viel.

Das Theater hatten wir doch schonmal, zwei User "streiten" um einen Nickname (macdolph). Ein sicherheitsrelevanter Schaden ist wahrscheinlich keinem entstanden aber ärgerlich ist es allemal.

Unsicheres als Post zur Weihnachtszeit gibt es in meinen Augen nicht…
<br>
<br>(sick)