D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde. Und es wäre dir auch wurscht, wenn jmd. in deinem Namen hier Sachen postet. Komplette DB-Dumps, inkl. sämtlicher privaten Kommunikation, wären auch egal.
Kannst ja mal nach vbulletin und xss suchen. Da findet man nach 3.6.1 so einiges.
Aber schon klar: Ist ein Triathlonforum. Da kann ich nicht erwarten, dass die Benutzer eine Vorstellung von den zahlreichen Angriffsvektoren haben.
Ich weiss mich zu schützen. Mich wundert nur Dein Optimismus, aktuelle PHP- und vbulletin Systeme wären safe.
Ich weiss mich zu schützen. Mich wundert nur Dein Optimismus, aktuelle PHP- und vbulletin Systeme wären safe.
Stichwort Hürde höher legen.
Je älter desto höher Wahrscheinlichkeit.
Der Punkt mit den Botnetzen wurde ja schon genannt, die Erfahrung zeigt auch, dass viele User nach wie vor das gleiche Passwort für Online Dienste nutzen, hab ich also TS Datenbank kompromittiert, und oder den Code so geändert, dass ich User Passwörter bei Eingabe im Klartext mitlesen kann, nutz ich das Passwort um auch auf die Emails des Users zugreifen zu können.
Mag ja sein, dass einige aktive User "nix zu verheimlichen" oder "mit einer VM im Internet / auf TS.de" gehen - manche Leute vergleichen das aber auch gerne mit Impfen, wenn sich nicht 99 % sondern nur 90 % um Datenschutz / Sicherheit online kümmern, gefährdet das die restlichen, die es sich evtl. nicht leisten können oder die durch Online Probleme durchaus auch Probleme im realen Leben bekommen.
Der Aufwand, ein System von Version N auf Version M zu patchen wird sicherlich nicht geringer wenn die Anzahl der einzuspielenden Patches größer werden.
Der Punkt mit den Botnetzen wurde ja schon genannt, die Erfahrung zeigt auch, dass viele User nach wie vor das gleiche Passwort für Online Dienste nutzen,....
Ich habe für viele Dinge Verständnis und grundsätzlich würde ich mir ja auch wünschen, dass die Forensoftware, DB...... auf aktuellem Stand ist, aber bei Leuten, die seit 10 Jahren den Namen ihrer Katze bei Mail, Onlineshops und Foren nutzen hört mein Mitleid auf.
Zitat:
Zitat von deralexxx
Der Aufwand, ein System von Version N auf Version M zu patchen wird sicherlich nicht geringer wenn die Anzahl der einzuspielenden Patches größer werden.Alex
Im vorliegenden Fall kommt man mit patchen wohl nicht mehr weiter. Die Versionen sind so alt, dass man alles neu installieren müsste und nur die Inhalte des Forums übernehmen könnte.
......
Der Aufwand, ein System von Version N auf Version M zu patchen wird sicherlich nicht geringer wenn die Anzahl der einzuspielenden Patches größer werden.
Alex
In der jetzigen Forumssoftware sind Änderungen enthalten, die vermutlich bei einem Update des Forums neu zu programmieren sind, weil sie bei einem Update nicht automatisch in die neue Forumssoftware übernommen werden und über eine Konfiganpassung hinausgehen. Und eventuell braucht es auch Programmierscriptarbeit, um die Daten von der jetzigen DB dann in die neue DB zu bringen, da sich die DB-Struktur änderte, und man nicht einfach den bisherigen MySQL-DB-Dump einlesen kann. Also richtig viel Installations-, Konfigurations- und vor allem Scriptprogrammierungsarbeit, um aktuelle Softtwarekomponenten zu haben. Arne und Jörn haben sicher Ihre Gründe, weshalb sie den Update-Zeitraum so gross halten wie er gerade ist.
Egal ob aktuelle oder ältere Server-Software: Es ist sowieso nie zu empfehlen, für das Onlinebanking, Ebay oder Amazon usf. und seine Mailbox die gleichen Passwörter wie für ein Diskussionsforum zu verwenden. Manchmal machen auch Administratoren Server-Konfigurationsfehler (irren ist menschlich), z.B. bei Ebay und anderen auch sehr grossen Anbietern, und schon werden sensible Daten zugänglich.
Firefox hat mit einem der letzten Updates die Verbindung als "nicht sicher" eingestuft. Dies hat mit dem Übergang von SSL auf TLS 1.2 zu tun. Wir verwenden SSL und TLS 1.2, also TSL 1.2 nicht exklusiv.
Wir verwenden die höchsten Sicherheitsmethoden, die unser Server-Betriebssystem derzeit ermöglicht. Dieses Betriebssystem ist jedoch schon recht alt. Für eine Modernisierung werden wir etwas später auf einen neuen Server umziehen, der sich besser aktualisieren lässt. Dadurch werden aktuellere Verschlüsselungsmethoden und der Apache-Webserver automatisch aktualisiert. Es lohnt sich nicht, für den alten Server noch größere Maßnahmen durchzuführen.
Unser Zahlungssystem für die Filme läuft bereits auf diesem aktuelleren Server. Die Zertifizierung durch eine Agentur der Sparkassen haben wir für diesen Server erfolgreich bestanden. Die Tests sind recht rigoros, und entweder man besteht sie oder nicht. Wir haben sie bestanden.
Die Verschlüsselung für das Forum betrifft vor allem die Angabe von Username und Passwort. Wer der Ansicht ist, diese Verschlüsselung oder die Speicherung von Username/Passwort wäre nicht sicher, kann sein Passwort jederzeit so ändern, dass es nur im Forum benutzt wird (und nicht zugleich fürs Online-Banking).
Ich würde den Thread gerne schließen, weil das Support-Forum für akute Hilfen gedacht ist und ich jedesmal einen Alarm auf meinem iPhone bekomme, wenn jemand darin postet, damit ich zur Hilfe eilen kann. Für Debatten ist es nicht gedacht; eröffnet dafür ggfs. einen anderen Thread. Besten Dank!