78 Beiträge

Haber hat geschrieben:jetzt aktuell kommt ja nen hinweis den ich bisher ned hatte, das das forum bei der anmeldung unsicher isch.
das ist neu.


Das könnte eventuell daran liegen, dass nicht die allerneueste Version läuft. Vielleicht hast du irgendeine Browsererweiterung laufen, die sowas checkt. Heißt aber nicht, dass irgendwas kompromittiert ist.

Oder die Meldung sagt dir, dass der Datenverkehr hier unverschlüsselt ist, also die Beiträge, die man schreibt, unverschlüsselt übermittelt werden – und auch die Details bei der Anmeldung. Heißt auch nicht, dass es unsicher ist – nur setzt sich langsam die Auffassung durch, dass man alle solche Websites über https laufen haben sollte, nicht über das herkömmliche http.


Monitor hat geschrieben:Beim Einloggen erscheint heute

Bild

:bleich:


Siehe oben – die Formulierung sagt mir, dass das eine Warnung ist, die sich auf die Übertragungsweise der Login-Details bezieht. Welchen Browser benutzt ihr, und gab es da ein Update? Resp. Antiviren-Software?

Die Meldung klingt drastisch, es handelt sich aber zunächst mal nur um zwei simple Fakten: diese connection war noch nie “secure”, und eure Login-Details konnten theoretisch schon immer kompromittiert werden – So wie auf Milionen anderen Websites auch.

Euch ist vielleicht aufgefallen, dass zum Beispiel die URLs von Twitter und Facebook seit einiger Zeit mit https:// anfangen, nicht mit http:// – früher kannte man https nur beim Online-Banking oder von Shops wie Amazon etc. Kann man in den meisten Browsern auch an einem kleinen Vorhängeschloss erkennen, das irgendwo angezeigt wird.

Bedeutet, dass der Server authentifiziert ist und dass alles, was ihr dort eingebt, verschlüsselt übertragen wird. Hier im Forum werden die Details unverschlüsselt übertragen. Unverschlüsselt ist immer unsicherer als verschlüsselt, das heißt aber nicht gleich, dass hier irgendwas kaputt ist, oder dass sich in den letzten Tagen irgendwas geändert hat. Ist auch gar nicht so doof, die Leute darauf hinzuweisen, dass ihr Passwort unverschlüsselt übertragen wird.

Man sollte das ganze Ding mal auf https umstellen, rein aus Prinzip. Ist auch einfacher und billiger als früher – ich notiere mir das.

Monitor
Benutzeravatar
Granadaseggl
@nice

Danke für die Antwort.

Diese Meldung hatte ich davor noch nie so "deutlich".

Die Meldung klingt drastisch, es handelt sich aber zunächst mal nur um zwei simple Fakten: diese connection war noch nie “secure”, und eure Login-Details konnten theoretisch schon immer kompromittiert werden – So wie auf Milionen anderen Websites auch.


Nix ist mehr sicher.

OT

http://globalnews.ca/news/3293936/smart ... ks-report/
I could write several novels about what I do not know.


Monitor hat geschrieben:@nice

Danke für die Antwort.

Diese Meldung hatte ich davor noch nie so "deutlich".


Das kam nun innerhalb von ein paar Tagen von Haber und von dir. Deshalb und wegen des Wortlauts gehe ich davon aus, dass ihr beide eine Software laufen habt, die sich vor kurzem dazu entschieden hat, die User darauf hinzuweisen, dass die Login-Daten über eine herkömmliche http-Verbindung übermittelt werden. Ist kein Anlass zur Panik.


Monitor hat geschrieben:Nix ist mehr sicher.

OT

http://globalnews.ca/news/3293936/smart ... ks-report/


Kommentar von Experten dazu: http://blog.erratasec.com/2017/03/some- ... ault7.html

Grundsätzlich: es ist leicht Daten abzugreifen, aber schwer bis unmöglich, verschlüsselte Daten zu entschlüsseln. Deshalb verlangen viele Regierungen auch Backdoors von den Herstellern der Geräte (töricht, saugefährlich und bürgerrechtlich hochproblematisch) oder wollen die Verschlüsselung von Daten für Privatleute am liebsten ganz verbieten (skandalös).

Die Schwachstelle ist natürlich immer das Interface, denn du brauchst ja selbst Zugang zu deinen eigenen Daten, und das natürlich unverschlüsselt. Wer in dein Gerät reinkommt, hat dann Zugang.

Auswurf
Benutzeravatar
Grasdaggl
Monitor hat geschrieben:Beim Einloggen erscheint heute

Bild

:bleich:



Du loggst Dich jedesmal manuell ein? :shock:


firefox warnt mich seit neuestem bei einigen seiten völlig überflüssiger weise
eben aus jenem grund

Deshalb und wegen des Wortlauts gehe ich davon aus, dass ihr beide eine Software laufen habt, die sich vor kurzem dazu entschieden hat, die User darauf hinzuweisen, dass die Login-Daten über eine herkömmliche http-Verbindung übermittelt werden. Ist kein Anlass zur Panik.
das ist doch keine Musik

Monitor
Benutzeravatar
Granadaseggl
Bücherwurm hat geschrieben:http://globalnews.ca/news/3293936/smart-tvs-and-cars-could-be-used-for-spying-wikileaks-report/


In Toronto isch aber scheißkalt...... :bleich:[/quote]

Minus Zwölf

Andererseits hoffe ich ausnahmsweise, dass es an der Westküste noch einige Zeit so ungewöhnlich winterlich bleibt.

@Auswurf, was hat die Frage mit der Meldung zu tun?
I could write several novels about what I do not know.



Auswurf
Benutzeravatar
Grasdaggl
Monitor hat geschrieben:
@Auswurf, was hat die Frage mit der Meldung zu tun?


wahrscheinlich nichts
Ich wundere mich nur und fragte mich oder jetzt Dich,
ob Du das aus sicherheitsgründen machst.
Mir wäre das viel zu stressig und ich würde mir auch kein relevanten gewinn an sicherheit versprechen,
was auch daran liegen mag, dass ich von sowas keine ahnung habe und nur die mir gängigsten sicherheitstipps befolge.
Bei mir gibt's auch nichts an wichtigen daten zu klauen,
Mann könnte nur meinen rechner lahmlegen, was jetzt aber auch nichts mit passwörtern zu tun hat.
das ist doch keine Musik

Auswurf hat geschrieben:Bei mir gibt's auch nichts an wichtigen daten zu klauen


In euren User-Accounts im Forum ist natürlich nicht sooo viel interessantes zu finden. Aber:

ALLE PERSÖNLICHEN DATEN SIND WICHTIG

Bevor ich jemandem Zugang zu meinem Computer gebe, projiziere ich eher meine Kreditkartendaten in fünf Meter hoher Schrift an die Wand der Stadtbibliothek. Denn das ist mit einem Anruf erledigt. Allein die Urlaubsfotos vom Backup wiederherzustellen dauert länger.

Ich sperre mich automatisch alle halbe Stunde aus meinem eigenen Computer aus, egal wie nervig das ist. Ist einfach viel zu wichtig.


Auswurf hat geschrieben:Mann könnte nur meinen rechner lahmlegen


Aber nicht aus der Ferne mit dem Passwort aus’m Segglforum. Es sei denn du benutzt für deinen Rechner das selbe Passwort. Und selbst dann wären noch ein paar weitere Schritte nötig.


Zum Eingeloggt-Bleiben wäre folgendes zu sagen: das Passwort wird beim Einloggen unverschlüsselt übertragen, ist aber in der Datenbank verschlüsselt gespeichert. Man könnte also argumentieren, dass es sicherer ist, eingeloggt zu bleiben – falls jemand euren Datenverkehr abgreift. Andererseits hat natürlich jeder von eurem Gerät aus Zugriff auf euren Account, solange ihr eingeloggt seid – das ist ja klar.

Es gibt auch praktische Gründe: wenn man bei “eingeloggt bleiben” kein Häkchen macht, fliegt man gerne mal raus – das passiert, wenn die Verbindung zwischen eurem Gerät und dem Server vorübergehend abbricht. Eingeloggt bleiben ist also bequemer.

Also: wenn ihr euren Computer mit Mitbewohnern oder abtrünnigen Familienmitgliedern teilt, würde ich sagen: eingeloggt bleiben (Häkchen), aber manuell ausloggen, wenn ihr nicht selbst im Forum seid. Wenn ihr volle Kontrolle über euer Gerät habt und da niemand rangeht, könnt ihr auch ständig eingeloggt bleiben.


Grundsätzliches zum Thema Hacken: wer eure Kreditkartendaten will, bricht nicht in euer Gerät ein, sondern in einen Shop, der eure Daten gespeichert hat. Die wollen ja nicht einen Datensatz, sondern ein paar Millionen. Regierungen und Geheimdienste wollen alles – die wollen in euren Rechner rein, die wollen alles was reingeht und rauskommt, und die wollen das, was Banken und Konzerne über euch gespeichert haben. Ein Arbeitskollege, der euch nicht leiden kann, will euer Facebook-Passwort.

Datenschutz geht damit los, dass man sich was von einem Hersteller kauft, von dem man zumindest annimmt, dass er das Thema ernst nimmt. Ist Vertrauenssache, ausschließen kann an da letztendlich nix. Geht aber damit weiter, dass man nicht den Mädchennamen der Mutter als Sicherheitsfrage und -antwort nimmt: sonst ruft euer Nachbar, mit dem ihr Streit habt, mal eben beim Online-Shop an, wo ihr euer Klopapier bestellt, ändert euer Passwort, und dann habt ihr plötzlich vier Waschmaschinen gekauft und kommt auch nicht mehr in den Account rein. Angriffe können also von überall herkommen, und zum “Hacken” verwendet man nicht zwangsläufig einen Computer.


Sodele. Ob ständig eingeloggt oder nicht, das Forum ist so sicher wie alle anderen Foren dieser Art – daran hat sich nix geändert. Ich gucke bei der nächsten Überholung mal, ob ich die ganze Kiste über https zum Laufen kriege, das wäre dann noch besser.

Ein paar Tips zum Thema Passwörter: viewtopic.php?f=9&t=40

Die Experten halten Passwort-Manager für eine gute Lösung, zum Beispiel https://1password.com Man kann seine Passwörter auch vom Betriebssystem speichern lassen– das gilt ebenfalls als sicher, soll aber keine Empfehlung sein: so tief stecke ich in dem Thema nicht drin.

Auswurf
Benutzeravatar
Grasdaggl
ja danke für den beitrag.
Ich habe keine sensiblen daten auf'm rechner, aber alle wichtige mucke und bilder auf ner externen festplatte.
Dass dies nicht der regelfall ist, denk ich mir schon

was jetzt phishing oder sonstige geschäftsvorgänge zu meinen lasten anbetrifft,
verstehe ich die rechtslage so,
dass man nur bei grober fahrlässigkeit haftet
das ist doch keine Musik

Gibts des
Benutzeravatar
Halbdaggl
Mal was anderes. Ihr könnt mich ( zu recht) für plöte halten, aber offenbar hat mich die Misere des VfB dermaßen mitgenommen, das ich mein Zugangspasswort zum neuen MacBook vergessen habere.
Jemand nen Tipp?
Ist ein echter Notfall.

Öcher
Benutzeravatar
Granadaseggl
meldest du dich da mit der Apple-ID an? bzw. ich glaube über deiner Apple ID kannst du sowas zurücksetzen lassen, spätestens an der genious bar, bin aber nur ein iphone nutzer gewesen, kein macbook.
always nai dahanne

Spätzlesboi
Benutzeravatar
Seggl
Beim Bootvorgang, bevor der Apfel erscheint, CMD+R gedrückt halten. Das startet das Apple-Äquivaltent zum Microsoft Safe Mode.
Dann über Utilities -->Terminal
Dann Eingabe: "resetpassword" + Enter ( natürlich ohne "")
Dann wählst du den entsprechenden User Account und kannst dein Passwort neu setzen. Im Anschluss reboot.

@ Öcher,
AnmeldePW beim Mac hat nix mit der Apple ID am Hut
Zuletzt geändert von Spätzlesboi am 11. Februar 2019 09:59, insgesamt 1-mal geändert.
*What ain't no country I've ever heard of! They speak English in What?*


*English, Motherfucker, do you speak it?*



Spätzlesboi
Benutzeravatar
Seggl
Starten Sie den Mac erneut, und halten Sie sofort Befehlstaste-R oder eine der anderen Tastenkombinationen der macOS-Wiederherstellung gedrückt, bis das Apple-Logo bzw. der rotierende Globus erscheint.

Wenn Sie das Fenster "macOS-Wiederherstellung" sehen, wählen Sie in der Menüleiste die Option
"Dienstprogramme" > "Terminal".

Geben Sie im Fenster "Terminal" resetpassword ein, und drücken Sie anschließend auf die Eingabetaste, um den Assistenten zum Zurücksetzen des Passworts, wie oben abgebildet, zu öffnen.

Wählen Sie "Mein Passwort funktioniert bei der Anmeldung nicht", klicken Sie auf "Weiter", und befolgen Sie die Anweisungen für Ihren Benutzeraccount auf dem Bildschirm.
*What ain't no country I've ever heard of! They speak English in What?*


*English, Motherfucker, do you speak it?*





Bundes-Jogi
Benutzeravatar
Grasdaggl
So, jetzt erscheint folgendes:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@gridhost.co.uk and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.
„Selbst das wildeste Tier kennt doch des Mitleids Regung“ – „Ich kenne keins und bin deshalb kein Tier“ (Richard III).

Rufus
Granadaseggl
Aufgepasst liebe Jungs und Mädels (und Mappus)! (ich hoffe das war jetzt richtig gegendert :mrgreen:)
Aber Spaß beiseite, jetzt wirds ernst:
Es geht um Banking-Betrug :!:
Ich habe vor einer Woche einen Fall bei "Aktenzeichen XY ungelöst" gesehen, der mich ziemlich schockiert hat:
Es gibt in Deutschland 9 Fälle von Banking-Betrug (2 in Freiburg, daneben jeweils 1 Fall in KA, S, LB, HN und Neckarsulm, daneben noch jeweils 1 Fall in NRW und im Berliner Raum):

Ein Mann schafft es, nur mit einem gefälschten Personalausweis, OHNE EC-Karte, jeweils mehrere 10.000 Euro bei einer Bank sofort in bar ausgezahlt zu bekommen.
Bei dem Filmfall hatte ein Geschäftsmann 125.000 Euro auf dem Tagesgeldkonto. Der Mann wollte 80.000.
Die Bankmitarbeiterin hat sich natürlich den Ausweis zeigen lassen, er musste auch die Corona-Maske herunternehmen. Sie hat auch ihren Chef angerufen, der im Hinterzimmer saß. Dieser hat es auch abgewunken.
Dann hat sie die 80.000 auf das Girokonto überwiesen.
Insgesamt war der Mann über 15 Minuten in der Bank, hat das Geld aber schlußendlich bar bekommen.

Als am nächsten Tag der echte Geschäftsmann beim Filialleiter angerufen hat, ist der aus allen Wolken gefallen.
Leider wurde nicht erwähnt, bei welcher/n Bank(en) das passiert ist.
Wahrscheinlich hat sich die Bande die Daten im darknet besorgt.

Ich bin dann zu meinen zwei Banken hin (Zwei wegen privat und geschäftlich) und wollte wissen, ob bei denen so was auch möglich ist:
Bank 1:
"Nein", ohne EC-Karte gehen maximal 1000 Euro. Mit EC-Karte müssen hohe Beträge (über 10.000) vorher telefonisch angemeldet werden. Das kann dann 1-3 Tage bis zur Auszahlung dauern.
Hört sich nicht ganz so schlecht an.

Bank 2:
"Ja" aber alle Mitarbeiter sind extrem darauf geschult worden, gefälschte Ausweise erkennen zu können.
Sorry das reicht mir nicht. Ich habe dann mein Tagesgeldkonto in ein Sparbuch (mit Kennwort) umgewandelt.
Allerdings gibt es auch da einen kleinen Haken:
Wenn man, mit Sparbuch, aber ohne richtiges Kennwort, aber mit einem gefälschten Ausweis kommt, klappt es doch.
Aber dazu müsste man ja das Sparbuch haben.

BTW:
Manche Banken setzen die 2-Faktor-Authorisierung die es ja seit einiger Zeit gibt, rigoroser um, als andere:
Sprich bei manchen (hoffentlich bei den meisten) ist das bei jedem Login der Fall (also z.B. wie bei mir, login per username/pwd und dann per PushTan oder Tan-Generator) aber ich weiß, dass es Banken gibt, bei denen die zweite Authorisierung nur alle paar Wochen durchgeführt werden muss.

Hier zur Info noch ein Link:
Leider ist das Video auf der ZDF-Seite nicht mehr da (wohl nur 1 Woche vorhanden)
https://bnn.de/karlsruhe/karlsruhe-stad ... trugsserie

@Plan B und @CZ:
In der Schweiz ist so was wahrscheinlich nicht möglich. Deswegen lacht ihr euch jetzt kaputt aber das hier ist leider kein Witz :!:

P.S.:
Ich hoffe, dieser Beitrag passt hier rein, ansonsten einfach melden, oder selber verschieben.
Zuletzt geändert von Rufus am 23. Mai 2021 18:32, insgesamt 1-mal geändert.