#1  (Permalink
Alt 16.05.2003, 18:02
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Private Nachrichten "abhörsicher"?

Ich betreibe selbst ein kleines PHPBB 2.03 Forum und da ist mir bei einem DB-Backup aufgefallen,dass in der Database ALLE gespeicherten PN (Privaten Nachrichten) der registrierten User als Text lesbar sind.

Es würde mich nun interessieren,ob das beim vBulletin 2.2.6 ( das Ok.de ja nutzt) ebenso ist?

Haben die Forum-Admins,die ja Zugriff auf die Database des Forums haben, somit auch (im Prinzip) uneingeschränkten Zugang auf die
(in der Database) gespeicherten PN's der User?
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
  #2  (Permalink
Alt 16.05.2003, 19:02
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard

Ich kenn zwar die Software persönlich nicht, aber ich sag mal: wie denn sonst?
Wenn das Board die Messages verschlüsseln würde, müsste es die Passwörter im Klartext haben; was wär dir lieber?
Mit Zitat antworten
  #3  (Permalink
Alt 16.05.2003, 19:15
Benutzerbild von mindbreaker1
mindbreaker1 mindbreaker1 ist offline
Senior Mitglied
 
Registriert seit: 24.02.2003
Alter: 41
Beiträge: 2.746
Bandbreite: 116800 / 46720 kbps
Standard

Man kann doch die PWer codiert speichern, indem man die Hashwerte speichert und den Hashwert der PW - Eingabe berechnet und vergleicht. Klartext ist nicht doch dann nicht notwendig.
Oder per base64() verschlüsselt. Ist zwar nicht supersicher, aber gegen den ersten Blick hilft es
Mit Zitat antworten
  #4  (Permalink
Alt 16.05.2003, 19:25
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard

Ich nehm an die Passwörter werden nur als hash gespeichert, aber in dem Moment bringt mir doch das ganze nichts mehr.

Die Messages müssten mit irgendeiner Verschlüsselung gespeichert werden, bei der dann die passphrase der hash vom passwort ist.

... und wenn der admin dann noch nicht mal hinbekommt den hash aus der Datenbank zu ziehen und damit das Ding (dann auch automatisiert und komplett) zu entschlüsseln, gute Nacht
Mit Zitat antworten
  #5  (Permalink
Alt 16.05.2003, 19:40
Benutzerbild von Jens
Jens Jens ist offline
Administrator - jdu
 
Registriert seit: 01.02.1999
Ort: Karlsdorf-Neuthard
Alter: 42
Beiträge: 8.570
Provider: Vodafone (Unitymedia BW)
Bandbreite: 550Mbit / 50Mbit
Standard Re: Private Nachrichten "abhörsicher"?

Zitat:
Original geschrieben von Webmicky
Ich betreibe selbst ein kleines PHPBB 2.03 Forum und da ist mir bei einem DB-Backup aufgefallen,dass in der Database ALLE gespeicherten PN (Privaten Nachrichten) der registrierten User als Text lesbar sind.
...was bei eigendlich jedem Forum so ist

Zitat:
Es würde mich nun interessieren,ob das beim vBulletin 2.2.6 ( das Ok.de ja nutzt) ebenso ist?
yup, ist es

Zitat:
Haben die Forum-Admins,die ja Zugriff auf die Database des Forums haben, somit auch (im Prinzip) uneingeschränkten Zugang auf die
(in der Database) gespeicherten PN's der User?
Forum-Admins haben darauf kein Zugriff. Nur die Personen, die direkten Zugriff auf die MySQL Datenbank haben, können theoretisch die Private Messages lesen. Du kannst allerdings davon ausgehen, dass die Personen, die den entsprechenden Zugriff darauf haben, die Privatsphäre der User entsprechend wahren und die PMs *nicht* lesen.

cu
Jens

PS: @Raphael Pala - unverschlüsselte Passwörter wie früher beim UBB?
__________________
Adam Savage, Mythbuster: "I reject your reality and substitute my own"
« Eigene Projekte: dein-ip-check.de, kostenloses iPhone App und Mein Blog»
Mit Zitat antworten
  #6  (Permalink
Alt 16.05.2003, 20:18
Benutzerbild von CodeCrusader
CodeCrusader CodeCrusader ist offline
Senior Mitglied
 
Registriert seit: 01.02.1999
Alter: 40
Beiträge: 1.018
Standard

Mal ganz davon abgesehen, dass es auch kein Schwein interessiert, was hier per private Nachricht ausgetauscht wird... Ich denk ma, hier hat jeder was besseres zu tun!

mfg
cc
Mit Zitat antworten
  #7  (Permalink
Alt 16.05.2003, 20:23
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard

Wer hier im Forum stöbert wird merken, dass es manchmal die berechtigten Admins sehr wohl interessiert(e) was da so an PNs durchs Board flatterte....
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
  #8  (Permalink
Alt 16.05.2003, 20:36
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Re: Private Nachrichten "abhörsicher"?

Zitat:
Original geschrieben von jeti-power


Forum-Admins haben darauf kein Zugriff. Nur die Personen, die direkten Zugriff auf die MySQL Datenbank haben, können theoretisch die Private Messages lesen. Du kannst allerdings davon ausgehen, dass die Personen, die den entsprechenden Zugriff darauf haben, die Privatsphäre der User entsprechend wahren und die PMs *nicht* lesen.

Zumindest für das PHPBB stimmt das so nicht.
Ich habe dort als Admin im Admininterface jederzeit die Möglichkeit ein Backup der SQL-Database auf meinen Rechner runterzuladen,dazu genügt ein Mausklick.

Mit einem einfachen Texteditor kann ich dann die SQL-Datei durchforsten.
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
  #9  (Permalink
Alt 17.05.2003, 02:12
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard Re: Re: Re: Private Nachrichten "abhörsicher"?

Zitat:
Original geschrieben von Webmicky


Zumindest für das PHPBB stimmt das so nicht.
Ich habe dort als Admin im Admininterface jederzeit die Möglichkeit ein Backup der SQL-Database auf meinen Rechner runterzuladen,dazu genügt ein Mausklick.

Mit einem einfachen Texteditor kann ich dann die SQL-Datei durchforsten.
Für phpBB gibt es einen Hack, der dem Admin eine Liste der Private Messages liefert und er dann sogar die Möglichkeit hat, die Messages einzusehen. Der Hack wird sogar auf einer der größeren phpBB-Seiten angeboten.
Sollte mich nicht wundern, wenn es derartige Hacks auch für andere gängigen Boards gibt

Ich selbst bin auch Admin in einem Forum. Private messages gehen mich NICHTS an und ich respektiere die Privatsphäre anderer! Mal abgesehen davon, dass es mich nichts angeht was andere privat untereinander bereden, interessiert es mich auch nicht die Bohne
Mit Zitat antworten
  #10  (Permalink
Alt 17.05.2003, 11:07
Ehemalige Benutzer Ehemalige Benutzer ist offline
Sammelaccount für Beiträge aufgelöster Benutzeraccounts
 
Registriert seit: 01.02.1999
Beiträge: 0
Standard

Zitat:
Original geschrieben von Edguy
Wer hier im Forum stöbert wird merken, dass es manchmal die berechtigten Admins sehr wohl interessiert(e) was da so an PNs durchs Board flatterte....
ich erinnere mich da auch noch an einen Vorfall bei dem die vertraulichkeit von PMs in diesem Forum massivst kompromittiert wurde....
__________________
Dieser Beitrag stammt von einem Account, der aufgelöst wurde.
Mit Zitat antworten
 
Anzeige
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Fritz.Box: "Sie haben neue Nachrichten in Ihrer Mailbox (Internettelefonie)." Jackie78 VoIP-Technik 7 09.11.2007 15:15
Frage zu Tarifoption "Entgangene Anrufe", "Anruferinnerung per SMS"und "Rückrufbitte" df1kf Mobilfunk- und Festnetz-Technik 6 05.10.2007 06:47
Verunsicherung: "Reseller DSL für ISDN" "Wegfall" / Neuauftrag bei TCOM DerWobi ADSL und ADSL2+ 0 08.06.2007 13:28
"Bild ab" schaltet "Num Lock" an/aus, Taste "6" löscht Heiko_Heider Hardware 1 06.08.2006 12:05
Speedstream 4100 macht "nur" 8 anstatt "bis zu 24" Mbps? Abe-Spimpson Arcor [Archiv] 13 05.06.2006 20:37


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:46 Uhr.


Basiert auf vBulletin®
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.