bamigoreng hat geschrieben:Im echten Leben verwendet Ihr hoffentlich auch nicht den gleichen Schlüssel für Wohnung, Auto, Goldschliessfach, Ferienwohnung, Fahrradschloss, pipapo
Ernsthaft?
Leute, ihr geht mit so einem Vorfall äußerst unprofessionell um.
Anstatt die User, wie es sich gehört über den Vorfall zu informieren, wird heruntergespielt, verharmlost und der schwarze Peter Usern mit evtl. unzureichendem Passwortmanagment zugeschoben. Aufklärung und Vertrauen schaffen sieht anders aus...
Die Frage ob die Passwörter nun geschützt waren, wurde auch noch nicht beantwortet...
Christopher hat geschrieben:Es ist schon bezeichnend, dass sich gerade die User hier äußern, deren Name man sonst noch nie erblickt hat.
Es tut mir leid, dass ich nicht öfters Schneeberichte oder sonstiges beigetragen habe.
Ich lese allerdings mit großem Interesse gerade die Schneeberichte vieler User und bin sehr dankbar dafür.
Des öfteren habe ich in meinen verschiedenen Skigruppen das Forum aktiv empfohlen und auch diese Leser sind froh über diese Seite und zumindest einer bringt sich auch ab und zu ein...
Was das jetzt aber konkret mit der gehackten Seite und dem Umgang mit damit zu tun hat oder ob ich nur Kritik äußern darf, wenn ich pro Jahr mindestens x Beiträge geschrieben habe, kannst du mir sicherlich erklären oder was daran "bezeichnend" sein soll.
Den meisten Usern, die sich hier aktiv beteiligen ist bewusst, dass hier alles nur auf ehrenamtlicher Basis läuft. Die Admins machen hier nen sehr guten Job und haben auch Kenntnis von dem, was sie tun. Aber es gibt nunmal auch Grenzen.
Christopher hat geschrieben:Den meisten Usern, die sich hier aktiv beteiligen ist bewusst, dass hier alles nur auf ehrenamtlicher Basis läuft. Die Admins machen hier nen sehr guten Job und haben auch Kenntnis von dem, was sie tun. Aber es gibt nunmal auch Grenzen.
Das ist schon klar, dennoch wäre es doch wohl kein Problem die User darüber zu Informieren. Z.b.
Hey Leute das ist passiert mit folgenden Auswirkungen. Es tut uns Leid bitte macht das und jenes.
Aber anstattdessen verheimlicht man alles und spielt alles nur herunter.
Das hat nichts mit Ehrenamt oder Job und Profi zu tun, sondern zeigt einfach nur von Professionalität oder nicht.
Das die Admins hier ingesamt n tollen Job machen und wir alle hier ein tolles Forum nutzen dürfen habe ich - oder auch andere - nie in Abrede gestellt.
Es geht hier nur speziell um den Umgang mit dem Hack und ich finde das läuft nach wie vor nicht rund bzw. läuft teilweise nicht sachlich.
...es zwingt doch niemand jemand von den Admins oder Moderatoren oder anderen Aktiven jemanden hier mitzumachen. Das " Maul" aufzureisen" wenn mal was schief läuft ist doch einfach.
Wer nichts macht, macht keine Fehler! Also lasst die in Ruhe, die hier im Ehrenamt ein Forum für die Allgemeinheit betreiben...und immer gibt es Schlaue(ere)...Besser Machen!!
Das OS, die Forumssoftware (phpbb) und Software ala mysql sollte man einfach aktuell halten - von außen kann man das nicht beurteilen ob das gemacht wurde- aber auf einem Linux Server ist das im Prinzip echt kein großer Aufwand. Sicherheitsupdates kann man meist in der Paketverwaltung auf automatisch stellen - Versionsupdates muss man halt noch manuell immer mal wieder einschieben. Dazu eine einfache Firewall und den Server etwas absichern - wenn man das nicht hinbekommt darf man einfach keinen root Servern haben sondern muss etwas mehr für einen managed server (ob jetzt dedicated oder shared ist egal) zahlen. Dass sowas auch nicht 100% Sicherheit bringt ist klar - aber "Skript-Kiddies" wehrt man da doch mit recht wenig Aufwand meist ab. Man darf halt etwa ein ubuntu LTS über den Supportzeitraum der Sicherheitsupdates benutzen. Lieber 6-12 Monate nach erscheinen der nächsten LTS Version auf diese wechseln. Blöd wirds halt wenn man Softwareanpassungen verwendet die man nicht easy portiert bekommt - aber glaub kaum dass die für ein Standardforum wie hier nötig sind - also sollte es echt kein riesiger Aufwand sein.
Von außen kann man dazu nix sagen - aber sehr gut finde ich das Verhalten hier jetzt nicht - kann aber auch einfach schwer sein weil Zuständigkeiten nicht klar vergeben sind, usw. Dass etwa 90% der User zumindest für alle Foren, was auch immer unwichtige Websites ein einziges Passwort verwenden ist mein Wissenstand. Da wäre es halt dann schon nett zu sagen - wir gehen davon aus dass die Datenbank nicht geklaut wurde, Passwörter sind als Hash (MD5, sha256+salt, oder was auch immer) und nicht als Passwort an sich gespeichert. Je nachdem wie kann es leichter oder schwerer geknackt werden. Wenn etwa Salt separat wo gespeichert wird - sprich auf anderem Server - dann ist es fast unmöglich (vom Rechenaufwand her) an die Passwörter per Brute-Force zu kommen.
Aber die Frage ist nicht - waren die Passwörter geschützt - sonder wie waren sie geschützt. Dann könnte man als User einschätzen ob es ein Hacker wenn der an die Datenbank rangekommen ist - schwer oder leicht hat. Gibt ja genug Börsen für Nutzerdaten im Dark Web.
Dass die Seite nicht per https abrufbar ist finde ich auch richtig blöd. Wird wohl dran liegen dass das Werbenetzwerk das nicht unterstützt? Weil einrichten von https ist echt kein Hexenwerk. Dank letsencrypt gibts kostenlose Certs, bzw ein einfaches Cert von anderen Anbietern ist inzwischen ja auch meist kostenlos oder kostet nicht über 10-15€ pro Jahr. Dank http2 braucht es auch nicht mehr Ressourcen - und http2 ist ja inzwischen nicht nur von nginx sondenr auch von apache ziemlich vollständig umgesetzt. Dass man wahrscheinlich Windows XP und Vista Nutzer aussperrt (zuindest jene mit Intenret Explorer) kann man nun wirklich verschmerzen.
ramon23 hat geschrieben:...es zwingt doch niemand jemand von den Admins oder Moderatoren oder anderen Aktiven jemanden hier mitzumachen. Das " Maul" aufzureisen" wenn mal was schief läuft ist doch einfach.
Wer nichts macht, macht keine Fehler! Also lasst die in Ruhe, die hier im Ehrenamt ein Forum für die Allgemeinheit betreiben...und immer gibt es Schlaue(ere)...Besser Machen!!
Ich bin mir jetzt nicht ganz sicher was du mit "Das Maul aufreißen" meinst, wenn man sachlich versucht auf etwas hinzuweisen was evtl. nicht richtig läuft. Nein, ich zumindest wurde nicht gezwungen hier mitzumachen, sondern ich mache das gerne bzw. nutze das Forum gerne. Allerdings habe ich den Betreibern dieser Seite auch Daten mit der Anmeldung anvertraut, und damit übernimmt man als Betreiber auch Verantwortung.
Ich kann nicht verstehen, warum auch du eher Anfeindungen von Dir gibst, anstatt etwas konstruktives zum Thema beizutragen.
extremecarver hat geschrieben:Dass die Seite nicht per https abrufbar ist finde ich auch richtig blöd. Wird wohl dran liegen dass das Werbenetzwerk das nicht unterstützt? Weil einrichten von https ist echt kein Hexenwerk. Dank letsencrypt gibts kostenlose Certs, bzw ein einfaches Cert von anderen Anbietern ist inzwischen ja auch meist kostenlos oder kostet nicht über 10-15€ pro Jahr. Dank http2 braucht es auch nicht mehr Ressourcen - und http2 ist ja inzwischen nicht nur von nginx sondenr auch von apache ziemlich vollständig umgesetzt. Dass man wahrscheinlich Windows XP und Vista Nutzer aussperrt (zuindest jene mit Intenret Explorer) kann man nun wirklich verschmerzen.
Das mit HTTPS war bisher so. Seit dem Update von gestern steht uns die Möglichkeit einer SSL Verbindung offen: https://alpinforum.com/forum/viewtopic. ... 6#p5120369
Bisher fehlt allerdings noch die Umleitung von HTTP -> HTTPS
Mit HTTP 2.0 muss man XP & Co. nicht zwangsläuftig aussperren. Man kann mit den gängigen Webservern parallel auch noch HTTP 1.1 anbieten.
HTTP 2.0 hätte auf jeden Fall den Charme, dass alle Requests über eine einzige TCP Verbindung laufen, was vor allem Mobil einen enormen Performancegewinn mitbringt
Ich weiß was "Ehrenamtlich" bedeutet und wenn das Forum mal gehackt wird mach ich kein "Fass" auf. Es gibt sicher schlimmeres als Internet, ich kann auch ohne leben. Ihr tut ja immer grad so, als wenn deshalb jemand ums Leben kommt. Es ist nichts passiert! Ich tue nur meine Meinung Kund, ebenso wie du. Ich kann eben die Betreiber hier verstehen und bin (mit meiner Auffassung) auf eigenes Risiko hier aktiv. Ich muss es aber nicht...
ramon23 hat geschrieben:Ich weiß was "Ehrenamtlich" bedeutet und wenn das Forum mal gehackt wird mach ich kein "Fass" auf. Es gibt sicher schlimmeres als Internet, ich kann auch ohne leben. Ihr tut ja immer grad so, als wenn deshalb jemand ums Leben kommt. Es ist nichts passiert! Ich tue nur meine Meinung Kund, ebenso wie du. Ich kann eben die Betreiber hier verstehen und bin (mit meiner Auffassung) auf eigenes Risiko hier aktiv. Ich muss es aber nicht...
Ich bin ebenfalls ehrenamtlich tätig und bin dennoch für Verbesserungsvorschläge und auch Kritik offen. Warum sollte sich das ausschließen?
Wie immer macht der Ton die Musik.
Noch einmal für dich: Es gibt (leider) viele Internetuser, die für Emailaccount und viele Dienste das gleiche Passwort benutzen.
Die Frage, ob Userdaten und Passwörter evtl. kompromittiert wurden sollte legitim sein.
Es geht hier nicht um "Leben und Tod" wohl aber um evtl. persönliche Daten und möglichen Zugang zu Weiteren bis hin zu Paypal über den Email-Account.
Der Zusammenhang mit "es gibt schlimmeres als Internet" und "ich kann auch ohne leben" erschließt sich mir leider nicht.
Das ist mir schon klar, das sich das dir nicht erschließt. Laut deiner Meinung hast du mit deiner Anmeldung ja allle "Rechte" an die (Ehrenamtlichen!) Betreiber hier abgetreten, die sich natürlich um alles kümmern müssen. Welche "hochsensiblen" Daten hast du denn mit deiner Anmeldung hier Preis gegeben? Bleibt doch mal locker, die Jungs machen das nebenbei. Verstehe echt nicht wo das Problem ist? Es ist nur Hobby oder?
Jobode hat geschrieben: Es gibt (leider) viele Internetuser, die für Emailaccount und viele Dienste das gleiche Passwort benutzen.
Aber das ist meiner Meinung nach nicht Problem des Forums. Wer's so macht hat Pech gehabt.
Ich stimme dir zu, so etwas ist äußert leichtsinnig.
Damit wären wir dann, zumindest teilweise, wieder am Anfang der Diskussion, dass eine kurze Info an alle User über den Hack wünschenswert wäre - vielleicht einfach aus reiner Nettigkeit...
Für die Leute mit schwachem Langzeitgedächtnis: das ist jetzt das 2. mal das hier sowas passiert (Details waswie genau übersteigen meinen Wissensstand von Forumssoftware).
Beim ersten Mal gabs die Info für alle was passiert ist und was man tun sollte.
Warum wird das jetzt nicht gemacht?
sehr gut mit https - eine permanently moved Umleitung wäre schon super - erst recht weil ihr ohne euch die google Rankings zerstört - je länger parallel desto blöder IMHO. Ihr habt auch keine www oder non www Umleitung - sind doch echt nur 3-4 einfache Zeilen. IMHO ist es einfach Zeit auf die Leute mit XP zu verzichten - das sind unter 1% und deren Rechner sind eine einzige Bedrohung.... Und Java 6 braucht man aucht nicht mehr. Dank http2 kostet es eben auch nicht mehr ressourcen - allerdings habt ihr bisher auf der https Version nur http 1.1 und kein spdy oder sonstiges... Dazu halt das Mixed Content problem bei Bildern... (bitte bite spielt den Patch für Lazy Loading bei bildern ein - das würde echt viel bringen - teils echt zach bei Bildlastigen Berichten).
ramon23 hat geschrieben:Das ist mir schon klar, das sich das dir nicht erschließt. Laut deiner Meinung hast du mit deiner Anmeldung ja allle "Rechte" an die (Ehrenamtlichen!) Betreiber hier abgetreten, die sich natürlich um alles kümmern müssen. Welche "hochsensiblen" Daten hast du denn mit deiner Anmeldung hier Preis gegeben? Bleibt doch mal locker, die Jungs machen das nebenbei. Verstehe echt nicht wo das Problem ist? Es ist nur Hobby oder?
Es tut mir leid wenn ich mich nicht verständlich genug ausgedrückt habe.
Ich habe aber auch nicht geschrieben, dass ich alle "Rechte" an die Betreiber abgegeben habe.
(Du meinst sicher, dass ich mit meinen Anmeldedaten den Betreibern Pflichten aufgebürdet hätte?)
Sagt Dir Account- und Passwortwiederherstellung über die Emailadresse etwas? Dies wurde -nicht nur von mir - hier jetzt mehrmals erläutert.
Ich verstehe schon wieder nicht, warum man hier polemisch werden muss...
ramon23 hat geschrieben:(Ehrenamtlichen!) Betreiber ...
In wie fern ehrenamtlich?
Sobald man auf einer Webseite Werbeflächen einbindet, liegt eine Gewinnerzielungsabsicht vor. Egal ob es 2€ im Monat sind um die Kosten etwas zu reduzieren, oder 500€.
Achso - wenn hier bisher wirklich noch phpbb 3.0.x lief - dann frag ich mich aber ehrlich wie der Rest ausschaut von der Software her. Weil da kam das letzte Update am 4. Mai 2015 raus (zumindest auf der offiziellen Schiene - weiß nicht ob da noch jemand backports irgendwie anders angeboten hat)! Supportende war dann wohl nicht viel später. ich frag mich auch warum dann jetzt nicht gleich auf 3.2 gewechselt werden konnte - 3.1 wird wohl auch nicht mehr alzu lange geupdated. Der Hack war also auch einfach abzusehen - dass kann nicht gutgehen.
Es ist einfach saugefährlich ein nicht mehr supportetest Open Source Programm zu verwenden. tut euch den gefallen und updated doch gleich auf 3.2 und php 7.x - die Performance von php 7 ist auch viel höher wie von 5.6 (nicht dass das Forum langsam wäre - ist es nicht . Aber mit php 7x spart ihr deutlich an Rechenleistung).
Dazu phpbb 3.1. dürfte Ende 2017 EOL haben. End of Support im Juni! https://www.phpbb.com/community/viewtop ... &t=2373966
Sprich spätestens im August/September sollte man IMHO dann alles was geht dransetzen um auf 3.2 oder dann gleich 3.3 upzugraden. Es ist einfach unverantwortlich nach EOL so wie jetzt mit 3.0. weiterzulaufen.
Ich hab auch einen root server - und ab und an nervt mich das mit den Updates - aber bei Kern Komponenten würde ich da echt kein Risiko eingehen. Auch wenn das ab und an dann mal 2-3 Tage mehr oder weniger durcharbieiten bedeutet um das vernünftig zum laufen zu bringen...
Zuletzt geändert von extremecarver am 09.04.2017 - 23:27, insgesamt 1-mal geändert.
Du darfst doch deine Meinung haben und wenn ich "alle Rechte" geschrieben habe, war das sicher überspitzt. Noch mal zu meinem Grundsatz: Ich bin freiwillig hier, schätze das Ehrenamt und den Zeitaufwand der Betreiber. Ich bin der Auffassung das mein Tun im Internet mein persönliches Risiko ist! Ich muss es ja nicht machen. Warum sollte ich jetzt bei einem "Hack" den Betreibern einen Vorwurf machen, wobei hier auch noch niemand geschrieben hat, das er tatsächlich Schaden genommen hat, außer, das die Seite nicht aufrufbar war...
ramon23 hat geschrieben:(Ehrenamtlichen!) Betreiber ...
In wie fern ehrenamtlich?
Sobald man auf einer Webseite Werbeflächen einbindet, liegt eine Gewinnerzielungsabsicht vor. Egal ob es 2€ im Monat sind um die Kosten etwas zu reduzieren, oder 500€.
Jo, es sind schon Deppen, die hier Werbung einbinden und Gewinn erziehlen. Hebi und Co sitzen mit ihrer Million sicher schon in der Südsee.
ramon23 hat geschrieben:(Ehrenamtlichen!) Betreiber ...
In wie fern ehrenamtlich?
Sobald man auf einer Webseite Werbeflächen einbindet, liegt eine Gewinnerzielungsabsicht vor. Egal ob es 2€ im Monat sind um die Kosten etwas zu reduzieren, oder 500€.
Ja und? Was Ehrenamt bedeutet ist dir vermutlich per Definition nicht klar oder? Ohne Geld gehts sicher nicht und auch Aufwandsendschädigungen sind keine Seltenheit.