Neues Forum 2016 - Änderungswünsche, Fehler & Probleme

    Nun, wenn man schon ein Passwort wieder verwendet, was ich immer noch als grob fahrlässig finde, dann sollte man sich die Passworte in Gruppen Einteilen.


    Passwörter bei dennen man potentiell viel Geld und Reputation verlieren kann oder als Eintritt für andere Sachen gebraucht werden kann (Ricardo, Amazon, Bank, e-Mail, Google, Facebook, Krankenkasse etc). Diese müssen eineindeutig sein. Punkt. Basta. Aus. Schluss. Keine Diskussion.


    Sowie Passwörter für Seiten bei denen es egal ist, wie z.B. Töffforum. Wenn hier jemand Schindluder mit meinem Account treiben will dann who cares. Da ist echt nichts überlebenswichtiges dahinter. Wichtig ist auch, dass man für verschiedene Foren, verschieden Benutzernamen verwendet. Der RebelFazer benutze ich nur hier und sonst nirgendwo. In anderen Foren bin ich der HansJakobBueb oder der ChochUndChochlöffel.


    Aber selbst dort kann man Passwörter Eindeutig machen. BasisPasswort+Benutzername+SeitenMerkmal


    z.B.
    MeinPasswoertli15+KoefferliRebel14+ToeffForum13
    MeinPasswoertli15+FazerSchrauber14+FazerForum10
    MeinPasswoertli15+AuktionsKing12+Ricardo7
    MeinPasswoertli15+TrollAccount12+Golem5


    zu Lang?


    !Pass15KR14+TF13
    !Pass15FS14+FF10
    !Pass15AK12+R7
    !Pass15TA12+G5


    Wobei meine Passwörter eher so aussehen:
    maQj7pI7W5uY
    35tBvkkt0SCf



    PS: Wenn dir das immer noch nicht passt, dann brauch https://www.toeff-forum.ch , ignoriere, dass das Yertifikat nur mit SHA-1 signiert wurde, oder spendiere eine neues Zertifikat.

    PS: Ich bin ein DUMMSCHWÄTZER !!!

    Gefällt mir 1
    Zitat von RebelFazer

    spendiere eine neues Zertifikat

    Da gibt es heutzutage moderne Varianten wie zB https://letsencrypt.org/. Die Frage ist nur, ob
    - ein ServerAdmin Zeit und Musse findet dies zu tun
    - Die ForenSoftware oder der Proxy davor dies unterstützt


    Es wäre aber echt cool ein neueres SHA-2 Zertifikat zu haben damit sich auch die super modernen Browser wieder mit der Site arrangieren können :thumbup:

    Uih, ich find's schon lustig, dass ich jetzt schon panische Anrufe von Leuten habe die meinen ihr PC sei geknackt worden weil Firefox 52 jetzt warnt wenn man Daten in unverschlüsselt übertragene Formularfelder eingibt (allen voran Login-Daten).


    Kümmert ja keinen, dass vorher jahrelang in der Adresszeile vor unverschüsselter Übertragung gewarnt wurde und die Warnung nun einfach direkt ins Eingabefeld gewandert ist. Vorher war's voll OK seine Daten unverschlüsselt jedem interessierten Mithörer mitzuteilen.


    HTTPS unterstützt die Seite hier durchaus. Allerdings muss für jeden halbwegs modernen Browser eine Ausnahmeregelung erstellt werden weil die Seite ein Zertifikat mit veraltetem SHA-1 Hashing verwendet. Für Interessierte z.b. die aktuellste Entwicklung hier.


    Let's encrypt ist eine prima Option die auch mit modernen Browsern funktioniert. Dazu gehörte dann aber auch eine konsequente Umleitung von HTTP auf HTTPS damit auch der letzte die Seite verschlüsselt abfragt.


    Da das aktuelle Zertifikat sowieso im Juli 2017 komplett abläuft muss dann sowieso ein neues her und das wird dann sicher auch wieder von allen Browsern akzeptiert. Die HTTPS-Umleitung kann dann auch eingerichtet werden. Bis dahin kann jeder eine Ausnahmeregelung für das Töff-Forum definieren. Die Sicherheit ist dadurch nur moderat gefährdet. Ein Passwort-Unikat für jede Seite zu Verwenden ist natürlich sowieso anzuraten. Denn schliesslich weiss auch niemand hier wie sicher die Passwörter (Hash? Hash-Typ? Salt?) in der Datenbank beim Töff-Forum abgelegt werden. Ein Diebstahl der Datenbank oder der Benutzerdaten lässt sich nie ausschliessen, schon gar nicht wenn das Forum länger ohne Updates betrieben wird. Die meisten Leute unterschätzen dann was man mit so einem gestohlenen Passwort machen kann. Einfach mal mit den (geklauten) Töff-Forums Daten versuchen beim Mail-Anbieter einzuloggen, dann iTunes Passwort ausprobieren oder zurücksetzen (Mail hat man dann ja schon) und schon hat man ggf. Zugriff auf Online-Shops und möglicherweise sogar Kreditkartendaten und ähnliches. Dieses Bewusstsein ist leider selten vorhanden.


    Wer sich die Passwörter nicht merken kann soll sich Passwort-Manager wie PasswordSafe verwenden oder einfach den im Browser integrierten Passwortmanager für Webseiten-Logins. Dann aber bitte nicht vergessen ein Master-Passwort (Firefox => Menü => Optionen => Sicherheit => Master-Passwort) setzen. Sonst kann man Firefox auch die ganze unverschlüsselte Passwort-Datenbank stehlen und bekommt dann alle Passwörter auf dem Silbertablett. Mit Master-Passwort kann man die Datenbank zwar immer noch stehlen aber muss erst das Master-Passwort knacken.
    Von Cloud-basierenden Passwortdiensten wie 1Password rate ich eigentlich eher ab. Ist zwar bequem alle Passwörter bequem auf alle Geräte zu synchronisieren aber beim Gedanken, dass die ganze Sicherheit dann wieder beim über Internet erreichbaren Cloud-Anbieter liegt ist grauenhaft. Dann lieber eine verschlüsselte PasswordSafe Datenbank auf OneDrive oder GoogleDrive ablegen. Die kann ohne Master-Passwort auch Microsoft oder Google nicht öffnen.



    Als Schlusswort: Sicherheit gibt's nie gratis und geht meistens mit einem gewissen Komfortverlust einher. Ein Master-Passwort im Browser und eindeutige Passwörter für jede Webseite tut aber kaum nicht weh und erhöht die Sicherheit massiv.

    The Sky isn't the limit!


    Ich bin gerade etwas neben der Spur. Macht Spass!

    Gefällt mir 4

    DANKE!


    Und für alle jeweilen die sich nicht geachtet haben weil ja kein Fehler mehr eingeblendet wird....: Zumindest ich habe jetzt ein Let's encrypt Zertifikat auf der https Variante des Forums :top::thumbup::thumbsup:

    Mein Alzheimer entschuldigt mich. Ähm, was wollte ich gleich sagen? Ah ja, danke - für was weiss ich allerdings nicht mehr.

    Gibt wieder mal was neues:


    ich wurde schon öfters von Leute angesprochen Heyy wieso muss ich die Seite Neuladen um die Benachrichtigungen zu sehen bla bla.



    Ab Sofort bekommt ihr ohne das ihr die Seite neu laden müsst ein Benachrichtigungsfeld eingeblendet.

    .gdb-Dateien als Anhang zulassen :grinning_squinting_face:

    Wer glaubt, dass ich etwas von dem verstehe, worüber ich geschrieben habe, ist selber schuld. :wseufzer:


    http://www.youtube.com/watch?time_continue=3&v=bZ0SRgh3X9Q


    Für die Betroffenheitsmimosen: Ich äussere hier nur meine Meinung und möchte nicht den Eindruck erwecken, dass ich irgend jemanden den Ruf, ein ehrbarer Mensch zu sein, d.h. sich so zu benehmen, wie nach allgemeiner Anschauung ein charakterlich anständiger Mensch sich zu verhalten pflegt, absprechen möchte.

    Ich fände es cool wenn man Links von z.b. YT wieder in der Shutbox posten könnte. Also keine bilder von videos sondern nur der Link, und nur von YT damit man keine creepy seiten drin hat.

    Jene die glauben, ich würde was verstehen wovon ich schreibe, sind selber schuld. :heuldoch: