DREHSCHEIBE-Online 

Anzeige

HIER KLICKEN!

 01 - News 

  Neu bei Drehscheibe Online? Hier registrieren! Zum Ausprobieren und Üben bitte das Test-Forum aufsuchen!
News und aktuelles Betriebsgeschehen - Achtung: Werbung und Updatemeldungen für Websites werden gelöscht, bzw. ins Allgemeine Forum verschoben!
Links bitte mit kurzer Erklärung zum verlinkten Inhalt versehen, andernfalls werden diese entfernt.

DSO und Sicherheit

geschrieben von: Alfons Grünewald

Datum: 07.10.08 23:57

Liebe Nutzerinnen und Nutzer von Drehscheibe Online,

ich wollte euch eigentlich in diesen Tagen ohnehin einige Worte zum Thema Sicherheit schreiben. Aus aktuellem Anlass - dem heutigen Beitrag von User "Eisscholle" werde ich das vorziehen.

Zu dem heute angesprochenen Thema das wichtigste zuerst: Es ist KEINE Sicherheitslücke in der Forensoftware und es sind KEINE Benutzerdaten unkontrolliert im Umlauf.
Die im Beitrag angesprochenen Daten stammen aus einer teilweisen Kopie der Benutzerdatenbank, die durch einen zugegebenermassen höchst ärgerlichen Konfigurationsfehler zeitweise ohne Passwortschutz zugänglich war. Allerdings konnte man nur darüber stolpern, wenn man systematisch danach gesucht hat, da die Zugriffsmöglichkeit nirgendwo verlinkt gewesen ist. Der User "Eisscholle" hat als IT-Fachmann aus beruflich bedingter Neugier gesucht und die Daten gefunden.
Er hat uns - und dafür bin ich ihm sehr dankbar - unverzüglich darauf aufmerksam gemacht. Ich habe daraufhin diese Lücke sofort geschlossen. Jeder Zugriff auf diesem Weg wird auf dem Server protokolliert und ist nachvollziehbar. Ich hatte deshalb noch am selben Abend die Logdateien des Servers kontrolliert und kann deshalb nach bestem Wissen und Gewissen eines bestätigen:

Es gab keine weiteren unbefugten Zugriffe auf diese Daten.

Seit dem Bestehen dieser Lücke hat niemand, als der User "Eisscholle", der zufällig darauf gestossen ist, davon Gebrauch gemacht. Jeder dieser Zugriffe hätte Spuren hinterlassen - in der Form von Einträgen in einer Logdatei. Diese Daten sind also zu keinem anderen Zeitpunkt abgerufen worden. Auf anderen Wegen konnten diese Daten NICHT von Fremden abgerufen werden - außer der Provider hätte ein massives Sicherheitsproblem.

Auch in dem Fall, dass diese Userdaten in fremde Hände gelangt wären, hätte ein Datendieb als einzige wirklich interessante Information ein paar Tausend Mailadressen erbeutet. Im Übrigen haben lediglich etwa 20% der User die Option "Mailadresse verstecken" aktiviert. Bei allen anderen Usern kann jeder eingeloggte Nutzer von DSO die Mailadresse lesen. Dies ist auch von vielen Usern ausdrücklich so gewünscht.

Mit den Passwörtern hätte niemand viel Freude gehabt. "Eisscholle" hat bereits einen Link zu Wikipedia veröffentlicht, wo das Prinzip erklärt wird. Kurz zusammengefasst: Die Passwörter sind mit einer Einwegfunktion verschlüsselt, so dass sie niemand, auch wir nicht, wieder entschlüsseln kann. Deshalb bekommt auch kein User, der sein Passwort vergessen hat, dasselbe Passwort zurück, sondern ein neues Kennwort. Beim Einloggen wird das eingegebene Passwort wieder verschlüsselt. Wenn es korrekt war, ist das verschlüsselte Ergebnis mit dem in der Datenbank eingetragenen Passwort identisch und man kann sich im Forum betätigen.
Ein Datendieb könnte mit einem Programm hunderttausende von Wörtern durchprobieren, bis er das richte Wort erwischt. Dasselbe könnte es auch machen, indem er sich per Programm im Forum anzumelden versucht - mit geklauten Daten wäre es lediglich ein Stück unauffälliger und schneller.

Ich habe einzig aus dem Grund, dass die Daten keinem weiteren Dritten als "Eisscholle" zugänglich waren, die User nicht gewarnt, da dieses Leck zum Glück von niemand anderem bemerkt worden ist.
Ich wollte trotzdem eigentlich in Abstimmung mit "Eisscholle" noch ein Statement zu diesem Thema abgeben. Leider ist dies wegen meiner beruflichen Belastung in den letzten Wochen untergegangen. Mein Arbeitgeber, der bekannte Technologiekonzern mit Sitz in München, befindet sich derzeit, wie man aus vielen Medienberichten weiß, in einer Phase der Umstrukturierung, die mir ein enormes Arbeitspensum beschert. Aus diesem Grunde konnte ich mich in letzter Zeit nicht in diesem Ausmaß um DSO kümmern, wie ihr es eigentlich gewohnt seid. Dafür möchte ich mich ausdrücklich an dieser Stelle entschuldigen.

Noch mal zusammengefasst: Es gibt keinen Grund zur Beunruhigung und schon gar keinen Grund, den Benutzernamen zu ändern, bzw, einen neuen Account anzulegen. Diese Panne war ärgerlich und ihr könnt mir glauben, dass heute Abend nicht nur mir, sondern auch meinen Kollegen der Appetit etwas vergangen war. Es ist aber zum Glück nichts wirklich schlimmes passiert.

Viele Grüße

Alfons

PS:
Morgen kommt eine Fortsetzung mit allgemeinen Anmerkungen zum Thema "Sicherheit". Hier gehen zum Einen viele User recht leichtsinnig mit Daten um, während sich auf der anderen Seite viele Menschen unnütze Sorgen um nicht existierende Sicherheitsprobleme machen. Die Fachleute unter euch bitte ich schon mal im Voraus um Verzeihung, da ich mit Rücksicht auf die Tatsache, dass die große Mehrheit der User nicht aus der Branche ist, nicht allzuviele technische Details schreiben werde.

PPS:
Diesen Beitrag lasse ich bis übermorgen oben hängen. Bitte die Diskussion gegebenenfalls hier führen.


Alfons Grünewald

Re: DSO und Sicherheit

geschrieben von: fernbahner

Datum: 08.10.08 00:54

Moin,

Hier wird mal wieder viel Panikmache um eigentlich ziemlich wenig gemacht.

Die Daten waren Sicher also ist doch alles gut und da muß sich auch keine "Eisscholle" von vertreiben lassen oder was jetzt geschehen ist eine MEGADiskussion auslösen.

Wer damit ein Problem hat, der muß doch hier nicht schreiben.

In diesem Sinne..

Die ursprüngliche Signatur entspricht nicht unseren Vorgaben und wurde daher entfernt! Grafische Banner in Signaturen sollten maximal 120 Pixel hoch sein mit eventuell einer Textzeile darunter oder darüber. Textsignaturen sollten eine Höhe von 7 Zeilen nicht überschreiten. Banner und Links zu kommerziellen Webangeboten dürfen keine konkreten Produkte oder Dienstleitungen in Wort oder Bild bewerben. In Einzelfällen behalten wir uns das Recht vor Signaturen zu untersagen, die durch ihre Gestaltung oder ihren Inhalt nicht akzeptabel sind. Weitere Einzelheiten finden sich in den Foren-Tipps.




1-mal bearbeitet. Zuletzt am 2008:10:08:00:55:25.

Re: DSO und Sicherheit

geschrieben von: Michael Dittrich

Datum: 08.10.08 08:13

Hallo,

Alfons Grünewald schrieb:
-------------------------------------------------------
> Ich wollte trotzdem eigentlich in Abstimmung mit
> "Eisscholle" noch ein Statement zu diesem Thema
> abgeben. Leider ist dies wegen meiner beruflichen
> Belastung in den letzten Wochen untergegangen.
> Mein Arbeitgeber, der bekannte Technologiekonzern
> mit Sitz in München, befindet sich derzeit, wie
> man aus vielen Medienberichten weiß, in einer
> Phase der Umstrukturierung, die mir ein enormes
> Abeitspensum beschert. Aus diesem Grunde konnte
> ich mich in letzter Zeit nicht in diesem Ausmaß um
> DSO kümmern, wie ihr es eigentlich gewohnt seid.
> Dafür möchte ich mich ausdrücklich an dieser
> Stelle entschuldigen.

Wieso muss sich ein Mensch dafür entschuldigen, seinen Lebensunterhalt mit Arbeit zu verdienen?

Viele Grüße
Michael

http://www.michaeldittrich.de/images/mdbanner-2.gif http://www.strassenbahn-potsdam.de/images/banner-trampdm.jpg

Re: DSO und Sicherheit

geschrieben von: IceStorm

Datum: 08.10.08 09:14

fernbahner schrieb:
-------------------------------------------------------
> Moin,
>
> Hier wird mal wieder viel Panikmache um eigentlich
> ziemlich wenig gemacht.

Nein, ganz sicher nicht. Bloß weil glücklicherweise niemand an die Daten gelangt ist, heißt das nicht, dass die Sache nicht gefährlich war. Zwar stimmt es, dass die Passwörter nur "verschlüsselt" vorliegen - aber es stimmt auch, dass ein großer Teil der Internetnutzer zu "Universalpassworten" neigt - und dazu noch meist wenig komplexen. Und dort gibt es in der Tat Möglichkeiten, die Chancen eröffnen, dass Passwort zu rekonstruieren. Allein die Möglichkeit sollte den Nutzern klar sein: sie existiert und wird ausgenutzt.

Wer es nicht glaubt, möge doch mal nach Seiten suchen, die "Auskünfte" über die Passwortsicherheit eines eingegebenen Passworts geben. Und dann nachdenken, warum es solche Seiten wohl gibt.

Re: DSO und Sicherheit

geschrieben von: sandvik

Datum: 08.10.08 10:41

Nicht umsonst gibt es in großen Firmen mit guter IT-Abteilung Passwortvorgaben wie keins der letzten 5 PW, mindestens 8 Zeichen, klein und groß, mindestens 1 Sonderzeichen und maximal 28 Tage alt :)

Mein persönliches Fazit:

Danke an Alfons für das Statement und ich habe mal wieder (was man eigentlich öfter machen sollte) mein PW geändert und damit ist es sicherer geworden.


Gruß


Eric

Da wo die Logik aufhört, fängt die Bahn an!
https://www.bahn-im-alltag.de/touren/br103_003.gif

Danke für diese klärenden Worte, Alfons

geschrieben von: Joachim Leitsch

Datum: 08.10.08 10:46

und ie Frage von Michael Dittrich stelle ich mir auch!

edit Buchstamdreher :(

RUHRKOHLE - Sichere Energie




1-mal bearbeitet. Zuletzt am 2008:10:08:10:47:03.

Re: DSO und Sicherheit

geschrieben von: 1-er

Datum: 08.10.08 10:53

Hallo Alfons,

als Oftleser, aber Wenigschreiber kurz das: gute und plausible Erklärung, die mich als Nicht IT-ler überzeugt und beruhigt. Und bei dieser Gelegenheit: Dank für`s DSO!

Was ich unterstreichen möchte, ist Dein Hinweis auf potezielle Lücken bei Providern, und der gilt schließlich nicht nur für`s DSO sondern für`s gannze [www]. Diese Dimension ist ein Vielfaches der "paar" Anschlussdaten (17.000.000) bei der Telekom. Fazit muss ganz einfach sein, dass man sich bei ALLEN Daten VORHER genau überlegen muss, ob man sie rausgibt. Sind sie erstmal raus, ist`s vorbei, endgültig und auf immer. Man kann Datenbanken noch Jahre später abziehen und maschinell auswerten sowie mit anderen Datenbanken abgleichen.

An alle User: legt euch eine 2.Wahl-Mailadresse und ein mindestens 3-stufiges Sicherheitskonzept für Eure Passwörter zu (siehe Beitrag von Didi).

Grüße
1-er

Re: DSO und Sicherheit - Teil 2

geschrieben von: Alfons Grünewald

Datum: 08.10.08 19:15

Hallo,

wie in der letzten Nacht angedroht, kommen hier noch ein paar Gedanken zum Thema Sicherheit ;-).

Ich werde jetzt nicht auf den ganzen Komplex Sicherheit im Internet eingehen, denn dies würde den Rahmen eines normalen DSO-Beitrags sprengen. Deshalb beschränke ich mich auf DSO und einige grundlegende Dinge.

Erstens Datenschutz allgemein:
Wir geben die Daten unserer User grundsätzlich nicht weiter. Dies bedeutet, dass nicht einmal ein Redakteur der Printausgabe die Mailadresse eines Users bekommt, solange dieser seine Adresse nicht freigegeben hat. Personen, die bei uns anfragen, wie sie mit einem bestimmten User Kontakt aufnehmen können, bitten wir, sich bei DSO als Nutzer zu registrieren und dem Betreffenden eine PN zu senden. Ganz besonders geben keine Mailadressen an Vorgesetzte der User heraus, oder an Personen, die ihre Rechte durch einen Beitrag verletzt sehen. Sobald sich Polizei oder Staatsanwaltschaft einschalten, sind wir allerdings gemäß Telemediengesetz verpflichtet, angeforderte Daten herauszugeben. Insbesondere Mailadressen geniessen hier nicht den weitreichenden Schutz des Fernmeldegeheimnisses. Auskunftsersuchen von irgendwelchen Rechtsanwälten haben jedoch bei uns keine Chance. Diese Berufsgruppe hat wie alle Privatpersonen nach der geltenden Rechtslage keinen Anspruch auf Auskunftserteilung.
Mailadressen sind bei Drehscheibe Online für nicht angemeldete Besucher grundsätzlich nicht sichtbar. Dadurch können automatische Suchprogramme, sogenannte Spider, keine Mailadressen aus den Userprofilen auslesen. Wenn ein User seine Mailadresse im Profil als verdeckt kennzeichnet, ist sie auch für für registrierte User nicht sichtbar. Ob jemand seine Mailadresse verbirgt, ist seine persönliche Entscheidung. Es ist aber auf jeden Fall sicherer, die Adresse im Profil sichtbar zu schalten, als sie in Forenbeiträgen zu veröffentlichen. Dort findet sie nämlich jeder Spamversender.
Datensparsamkeit:
Wie verlangen von keinem User mehr Daten, als sie zur Registrierung unbedingt erforderlich sind. Dies wären Benutzername, Passwort und eine gültige Mailadresse. Weitere Angaben, wie der richtige Name sind freiwillig. Man sollte jedoch beachten, dass jeder Hinweis auf eine eigene Website jedem Dritten viel mehr Daten über den betreffenden User liefert, als man jemals ins Benutzerprofil von DSO eintragen könnte. Jedermann kann den Inhaber einer .de-Domain mit seiner vollständigen Anschrift abfragen.

Gestern wurde viel über Passwörter diskutiert. Teilweise wird - auch in den Medien - die Forderung erhoben, für jeden Zweck ein eigenes Passwort zu verwenden. Dies ist im Normalfall überzogen. Niemand kann sich etliche Dutzend sicherer Passwörter merken. Entweder verwendet man dann einen Passwort-Tresor - ein Programm auf einem USB-Stick, welches alle Passwörter gespeichert hat und den entsprechenden Anwendungen zur Verfügung stellt. Dieser Tresor ist selbst durch ein Master-Passwort gesichert. Wenn man dieses verliert hat man allerdings ein sehr viel größeres Problem. Oder man schreibt sich die Passwörter auf - mit den bekannten Sicherheitsrisiken, die auch im Privatbereich nicht hinnehmbar sind.
Im Normalfall kann man für mehrere Foren, Blogs usw. durchaus dasselbe Passwort verwenden. Grundsätzlich sollte man aber IMMER für Online-Banking, eBay, Online-Shops usw. eigene Kennwörter nehmen. Dasselbe gilt für das Rechner-Passwort im Netzwerk. Es ist auch ratsam, bei Online-Communities wie StudiVZ, Xing, Lokalisten usw. besondere Sorgfalt auf seine Passwörter zu legen, da man hier viel mehr persönliche Daten preisgibt, als in einem Forum.

Grundsätzlich sollten Passwörter keine einfachen Begriffe sein, die man in jedem Wörterbuch findet. Diese Kennungen sind mit legal erhältlichen Programmen in kurzer Zeit zu knacken. Ebenso ist es nicht verkehrt, seine Passwörter manchmal zu ändern.
Ganz gewiss sollte man seine Passwörter - weder freiwillig, noch auf Nachfrage - Dritten mitteilen. Ich erlebe sowohl in meiner beruflichen Praxis, als auch als Administrator von Drehscheibe Online immer wieder, dass Anwender in ihren Mails mit der Bitte um Hilfe bei irgendwelchen Problemen ihr Passwort gleich mitliefern :-/. Liebe Leute, ihr werdet doch hoffentlich auch nicht eure EC-Karten-PIN irgendwelchen angeblichen Bankangestellten am Telefon oder per Mail mitteilen - kopfschüttel ...

Ein einheitliches Passwort für alle möglichen Zwecke sollte man schon deshalb nicht verwenden, weil niemand sicherstellen kann, dass eure Daten irgendwo vertraulich behandelt werden. Unsere Passwörter bei DSO sind verschlüsselt. Allerdings würde es mich kaum fünf Minuten kosten, eure Anmeldedaten im Klartext mitzuprotokollieren. Und wer weiß, welcher Forenbetreiber auf der großen weiten Welt sowas tatsächlich macht - vermutlich vielzuviele.

In diesem Sinn möchte ich euch bitten, einerseits nicht in Panik auszubrechen. Die (Online-)Welt besteht wirklich nicht nur aus Spamversendern und Datendieben. Anderseits sollte man sich aber wirklich jedes Mal überlegen, was man von sich preis gibt. Einmal veröffentlichte Daten kann man nie mehr zurückholen.

In diesem Sinne wünsche ich euch noch einen schönen Abend.

Viele Grüße

Alfons


Alfons Grünewald

Re: DSO und Sicherheit

geschrieben von: bertrand

Datum: 08.10.08 20:23

hallo Zusammen,

> Nein, ganz sicher nicht. Bloß weil
> glücklicherweise niemand an die Daten gelangt ist,
> heißt das nicht, dass die Sache nicht gefährlich
> war. Zwar stimmt es, dass die Passwörter nur
> "verschlüsselt" vorliegen - aber es stimmt auch,
> dass ein großer Teil der Internetnutzer zu
> "Universalpassworten" neigt - und dazu noch meist
> wenig komplexen. Und dort gibt es in der Tat
> Möglichkeiten, die Chancen eröffnen, dass Passwort
> zu rekonstruieren. Allein die Möglichkeit sollte
> den Nutzern klar sein: sie existiert und wird
> ausgenutzt.

ich habe mal auf einem system das ich zur betreuung übernommen habe eine bruteforce-attacke gestartet, danach durften sich einige user ein neues pwd setzen ;-)
also auch wenn das pwd "nur" noch eine md5summe war; wenn dieses billig war, dann lässt sich das auch rekonstruieren.

dafür dass sich die user richtige passwörter setzen gibts übrigens die 'cracklib', die man auch für php-basierte webprojekte verwenden kann.

Gruß,

B.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://www.ping-timeout.de/sig/132.jpg
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://www.physik.uni-freiburg.de/~bremen/dso/tracker.gif

Re: DSO und Sicherheit

geschrieben von: kabelleger

Datum: 09.10.08 10:57

Waren die Passwörter mit Salt gespeichert oder nicht? Das macht im Falle von Offline-Crack-Versuchen einen erheblichen Unterschied...

Re: DSO und Sicherheit - Teil 2

geschrieben von: Das singende Cevapcici

Datum: 11.10.08 20:04

Alfons Grünewald schrieb:
-------------------------------------------------------
> Liebe Leute,
> ihr werdet doch hoffentlich auch nicht eure
> EC-Karten-PIN irgendwelchen angeblichen
> Bankangestellten am Telefon oder per Mail
> mitteilen - kopfschüttel ...

Hi,
ihr werdet lachen wie leichtsinnig manche Leute die PIN rausgeben: Kürzlich musste jemand hinter mir im Zug seine EC-Karte vorzeigen um damit sein Online-Ticket zu bestätigen. Zum Spaß meinte der Schaffner: "Und dann brauche ich noch die PIN." Ratet mal wer daraufhin seine PIN durch den Grossraumwagen plärrte! Dem Schaffner verschlugs die Sprache - so wie allen Fahrgästen drumherum!
Gruss
Bata

Re: DSO und Sicherheit - Teil 2

geschrieben von: Flachschieber

Datum: 15.10.08 20:05

Das singende Cevapcici schrieb:
-------------------------------------------------------
> Hi,
> ihr werdet lachen wie leichtsinnig manche Leute
> die PIN rausgeben: Kürzlich musste jemand hinter
> mir im Zug seine EC-Karte vorzeigen um damit sein
> Online-Ticket zu bestätigen. Zum Spaß meinte der
> Schaffner: "Und dann brauche ich noch die PIN."
> Ratet mal wer daraufhin seine PIN durch den
> Grossraumwagen plärrte! Dem Schaffner verschlugs
> die Sprache - so wie allen Fahrgästen drumherum!
> Gruss
> Bata

Erinnert mich auch an eine Begebenheit im Großraumwagen. Ich war gerade per UMTS Online mit dem Laptop am arbeiten, da plärrt 4 Sitze weiter einer drei mal ins Telefon sein EBay Zugang mit Passwort, da der Bekannte am anderen Ende des Telefons dringend für ihn was bieten sollte.
Hab den Zugang dann natürlich gleich mal ausprobiert. Mich hat es schon in den Fingern gejuckt, ein paar Sachen für ihn zu bieten (habe ich natürlich nicht gemacht).
So gehen leider viele mit den Daten um.
Gruß
Thomas

Re: DSO und Sicherheit

geschrieben von: Ulf Kutzner

Datum: 16.10.08 13:10

sandvik schrieb:
-------------------------------------------------------
> Nicht umsonst gibt es in großen Firmen mit guter
> IT-Abteilung Passwortvorgaben wie keins der
> letzten 5 PW, mindestens 8 Zeichen, klein und
> groß, mindestens 1 Sonderzeichen und maximal 28
> Tage alt :)


Jau, und dann hat der Mensch einen Schwung Onlineanwendungen, sagen wir:

DSO
DB
Arbeit
Reisebüro
Bibliothek
Bank
...

und verbraucht im Halbjahr 36 so gut wie unmerkbare Passwörter, die er aber nicht aufschreiben darf....

Gruß, ULF

Re: DSO und Sicherheit

geschrieben von: sandvik

Datum: 16.10.08 13:40

Och, Übung macht den Meister :)



Gruß

Eric

Da wo die Logik aufhört, fängt die Bahn an!
https://www.bahn-im-alltag.de/touren/br103_003.gif

Re: DSO und Sicherheit

geschrieben von: Tawa2

Datum: 16.10.08 20:05

Toll, habe überall meine Forumpasswörter geändert. Damit ich nicht zu durcheinander komme, sind die in sich sher ähnlich oder gleich. War viel Arbeit. Die Elektronik frißt uns noch alle auf.
Tippfehler beseitigt



1-mal bearbeitet. Zuletzt am 2008:10:17:18:06:36.

Forumspasswörter

geschrieben von: 218 447-1

Datum: 17.10.08 07:08

Tawa2 schrieb:
-------------------------------------------------------
> Toll, hae überall meine Forumpasswörter geändert,
> damti ich nciht zu durcheinander komme, sind die
> in sich sher ähnlich oder gleich. War viel Arbeit.
> Die Elektronik frisst uns noch alle auf.

Bei Passwörtern ist es im übrigen sehr wichtig, dass man Groß-, Klein- und auch Rechtschreibung beachtet, sonst werden die nicht angenommen!

*SCNR* ;-)

Gruß
Christian
---
Meine Beiträge im Historischen Forum: [www.drehscheibe-online.de]
-----
Wie wir damals das Hobby ausübten: [www.drehscheibe-online.de]

Re: Ergänzung aus gegebenem Anlass

geschrieben von: Alfons Grünewald

Datum: 25.12.08 18:43

Hallo liebe Nutzer von Drehscheibe Online,

es gibt immer wieder Fälle, in denen ein User bemerkt, dass ein Anderer unter seinem Nick schreibt. Dies hat seine Ursache darin, dass zwischen Benutzerkomfort und Sicherheit mitunter Kompromisse gemacht werden müssen.
Das im Internet zur Anforderung und zum Versand von Webseiten verwendete Protokoll HTTP ist "statuslos", dies bedeutet, dass ein Server nicht weiß, dass eine Anfrage (z.B. der Klick auf einem Link im Forum) vom selben User kommt, welcher sich vorher unter einem bestimmten Namen angemeldet hat. Deshalb muss der Browser des Benutzers diese Information irgendwie speichern und dem Server beim nächsten Mal wieder übermitteln. Dazu wird beim Einloggen eine sogenannte Session-ID erzeugt. Das ist eine Buchstaben-Zahlen-Kombination, welche in etwa so aussieht: "3bdcb984608b18195aa78ee8ff414c1a". Den Bandwurm muss der Browser sich merken, um ihn bei jeder Anfrage an den Server übermitteln zu können. Dies geschieht im Normalfall mittels Cookies. Infos zu Cookies siehe hier: [de.wikipedia.org]
Im Normalfall - wenn man also die DSO-Domains drehscheibe-online.de und drehscheibe-online.ist-im-web.de beim Internet-Explorer unter "Vertrauenswürdige Sites" hinzugefügt hat, bzw. beim Firefox, Safari oder Opera in die entsprecheden Sicherheitsoptionen eingetragen hat, bleiben diese Cookies auf dem Rechner gespeichert und man ist immer mit seinem Benutzernamen eingeloggt.

Es ist seit längerer Zeit bekannt, dass man Cookies nicht von allen beliebigen Webseiten erlauben sollte. Viele Anbieter setzen Cookies ein, um das Surf-Verhalten der Anwender zu verfolgen und für Werbezwecke auszunutzen. Deshalb kann man - wie oben gesagt, bei den gängigen Browsern für einzelne Webangebote explizit Cookies erlauben.
Wenn man - und das ist der Normalfall - Cookies dauerhaft speichern lässt, ist man beim Betreten des Forums mit denselben Einstellungen eingeloggt, wie man es beim letzten Mal verlassen hat. Falls man seinem Browser beigebracht hat, Cookies bei Sitzungsende - also beim Beenden des Browswers - zu löschen, funktioniert es genauso, allerdings mass man sich beim nächsten Mal neu einloggen. Ärgerlich ist es dagegen, wenn der Browser so tut, als ob er Cookies akzeptieren würde, aber sie umgehend löscht. In diesem Fall loggt man sich ein und wird beim nächsten Klick auf einen Link wieder zum "Niemand". Mit dieser Einstellung kann man nicht aktiv an den Foren teilnehmen.

Ein Browser kann auch so eingestellt werden, dass er Cookies von vornherein ablehnt. Dann muss die Session-ID anderweitig gespeichert werden. Sie landet in diesem Fall als Anhängsel an jedem Link im Forum. Somit wird sie trotz fehlender Cookies an den Server übermittelt. Dies hat in der Praxis folgende Auswirkung:
Beim Anklicken eines Links in der Navigationsleiste von DSO ist man ausgeloggt - hier ist ja selbstverständlich keine Session-ID hinterlegt. Dasselbe passiert bei Foren-Links, welche jemand in einem Beitrag veröffentlicht hat.

Und nun kommen wir zum potenziellen Sicherheitsproblem:
Wenn man als Cookie-loser Nutzer einen Foren-Link per Mail versendet, oder in irgendeinen Beitrag kopiert, hängt daran seine aktuelle Session-ID. Bei einem Leser, der selbst Cookies verwendet, ist dies ohne Belang. Der Server verwendet das vom Browser gesendete Cookie, um ihn zu identifizieren. In den - relativ seltenen - Fällen, in denen aber der Leser auch keine Cookies nutzt, versucht der Server, ihn mit der übermittelten ID einzuloggen. In den Fällen, wo sich der ursprüngliche Autor nicht abgemeldet hat und auch die Session noch nicht abgelaufen ist, übernimmt der Leser damit ohne eigenes Zutun die Identität des anderen Nutzers.

Dies ist mitunter ärgerlich, aber um es ganz zu verhindern, müssten wir Drehscheibe Online so konfigurieren, dass man sich beim Schreiben eines jeden Beitrags neu einloggen müsste. Damit hätten viele Nutzer Probleme.
Jeder User hat es aber selbst in der Hand, solche Überraschungen zu vermeiden: Am einfachsten erlaubt man seinem Browser für die Domains von DSO die Nutzung von Cookies (siehe oben). Damit ist die Nutzung der Foren ohnehin einfacher. Außerdem kann man so mit seiner Benutzerkennung Bilder in unserer Fotodatenbank hochladen und Kleinanzeigen veröffentlichen.
Wo dies nicht möglich ist, soll man sich vor dem Verlassen der Foren explizit ausloggen (Link "abmelden"). Damit wird die Session ungültig und kann von keinem Dritten mehr benutzt werden.

Viele Grüße

Alfons

PS:
Die Sicherheitsdiskussion wird bald vom oberen Rand abgehängt werden. Ich werde deshalb diesen Beitrag in den Forentipps verlinken.


Alfons Grünewald