Meinung: Geht Boerse.to weiter auf Sendung?

Artikel ansehen

Kommentar von webdev247:
Einige Dinge die der deines Sachkundigen widerspricht ist folgendes:

Boerse.bz benutzte vBulletin, Börse.to nutzt XenForo, das sind 2 verschiedene Forensysteme die beide zwar Hashen, jedoch gehört dazu auch der sogenannte Salt, der benutzt wird um die gehashten Passwörter sicherer zu machen.
XenForo: sha1(username) . sh512(password)
vBulletin: md5(md5(password)salt)

Das macht es schwer möglich die Passwörter zu übernehmen und da SHA nunmal sicherer ist als MD5, hat man sich entschieden das Passwort Hashing nicht umzubauen. (Meine Theorie)

Die Forensoftware selbst hat nicht geloggt, das kann ich daraus schließen, dass ich einen Teil-Dump über eine API Schnittstelle bekommen habe, die etwas verbuggt war.

Das soll keinesfalls eine Rechtfertigung sein, jedoch sind das Fakten die so belegbar sind und die nunmal mit einem Netzwerktechniker schlecht beweisbar sind :wink:

Kommentar von Sepp:
Ergo: Finger weg! Und das sollte einem gesunden Userverstand einleuchten nach der BBZ Geschichte.

Kommentar von tarnkappe:
Hätte es kein Tool gegeben um die Übernahme der Passwörter einfacher zu gestalten? Dann gäbe es auch keinen Grund für solche Spekulationen.

Kommentar von GrauesHaar:
3 Minuten googlen bietet jede Menge Tools und Tuts zu dieser Problemstellung…

Kommentar von Long:
Ne das haben die gemacht wegen dem CMS du kannst das nicht für jeden User übernehmen und schon garnicht mit einem Tool da löscht man lieber das Password von jedem Acc aus der DB und per Password vergessen wird ein neues erstellt

Kommentar von Hartmut:
Also soweit ich mich noch erinnern kann, hat man auf .bz den „Umzugsbutton“ drücken müssen, sein PW eingegeben/oder ggf. auch ein Neues und war damit bei .to angemeldet.
Und die meisten Leute haben das wohl auch so gemacht.
Bedeutet ja, dass wenn eine komplette .bz-Datenbank, bei den Behörden vorliegt, kann man sich jetzt munter mit Nicks+PW, bei .to durchprobieren und erhält direkten Zugang, bei einzelnen Usern!
(Dann kann man ja noch viel Einfacher nachweisen, wer geladen und wer hochgeladen hat)

Die Wenigsten nehmen doch eine neue Mailadresse+PW!
Von daher sind kritische Fragen dort, auch sehr unerwünscht!

Ich kenne Boards, wo man sich einfach komplett einer Neuanmeldung unterziehen musste, wenn man umzog oder sich die Boardsoftware geändert hat, und fertig!
Die .to Geschichte stinkt einfach bis zum Himmel und da wird es den nächsten großen Knall geben.
Dann, wenn man auch den „Leechern“ so richtig an die Karre pissen kann. Da legt man mal so richtig los und lässt die Abmahndrucker abklühen, versetzt jedem Nutzer einen richtigen Denkzettel und schon kehrt dann richtig Ruhe ein. Das hat eine viel größere Wirkung, als die ganze Zeit dem Uploader auf die Schliche zu kommen. (Uploader gibt es ja bekanntlich weniger aber bei einem Board, mit 2,7 Millionen Usern, wo doch die Masse zu den Leechern zählt, da kann man ja mal ein richtiges Zeichen setzen!)

Dann heißt es nicht mehr auf dem Schulhof.„Hol ich mir bei BZ.to kostenlos!“ sondern „Alter, meine letzte Rechnung habe ich BZ.to zu verdanken und was ich jetzt bezahlen muss, hätte gereicht, den halben Mediamarkt zu kaufen!“

Kommentar von webdev247:
Wie gesagt, man kann auf das andere Hashing Verfahren umstellen, aber das ist schwächer. Vielleicht war es eine Sicherheitsentscheidung.
Es ist möglich, ja. Sollte man das tun, wenn man an Sicherheit denkt, nein.

Kommentar von webdev247:
Auch gilt MD5 seit vielen Jahren als unsicher, weshalb seit 1996 die ersten Sicherheitsforscher begannen die Verwendung besserer Verfahren zu empfehlen.

Kommentar von The Best:
Und wieder Fiktion!!!

„webdev247“ hat da vollkommen Recht. Man könne da noch weiter ausschweifen, aber dies wäre zuviel des Guten.

Zitat:
Darum bin ich die einzelnen Szenarien gestern mit einem Techniker aus der Praxis eines Rechenzentrums durchgegangen.

Diesem Techniker müßte dies wissen!

Kommentar von mario:
boerse.bz oder .to loggen IP’s. das war doch schon immer klar! die haben auch schon (wissentlich und gewollt) geloggt, wo noch alles cool war. die frage ist nur, WIESO?

Kommentar von const:
Hi,

mal ne Idee wie ich an die Uploader IP komme würde, ich baue mir einen Imagehoster, suche mir Angebote eines Uploaders raus und poste selber Angebote mit einem passenden Angebotsbild von meinem Imagehoster. („Gleiche Releases sind unbedingt zusammenzufassen.“)

Da nur Bots und Uploader häufig die gleichen Angebote aufrufen, muss ich nur gucken, welche IP häufig meine platzierten Bilder aufgerufen hat. Angebote sind ja auch ab und an down…

Den Forenumzug hätte ich genauso gemacht, 99% kennen die Seite ja noch nicht also erstmal ne Mail raus schicken, um ein paar User zu aktivieren :wink:

Kommentar von pixelloop:
Das bto IPs loggt ist seit dem Hack im Oktober auf bto bekannt.

Kommentar von Samuel & Kimble:
Schon mal dran gedacht, dass ein Mod sich einfach die Daten gezogen und weitergereicht hat? :slight_smile:

Kommentar von Samuel & Kimble:
Wieso? Damit sie Spammer und Trolle besser rauswerfen können. Auf IP-Logging ist man halt angewiesen, wenn man als Basis nur ein drittklassiges Fertigforum betreibt.

Kommentar von Samuel & Kimble:
Gesunder Userverstand? LOL!

Kommentar von pixelloop:
BTO war lange sql injection anfällig, was mein Link unten darlegt. Es gibt nach wie vor viele Möglichkeiten wie die an die IPs und die DB hätten kommen können. Ein normaler MOD hätte über das Backend jedoch wahrscheinlich nicht die Zugangberichtigungen um einen DB Extrakt durchzuführen.

Kommentar von Samuel & Kimble:
Für die Benutzung von Tools sind die Börseleute doch aber viel zu blöd.

Kommentar von Samuel & Kimble:
Für Geschwätz von einem unwissenden Noob mal wieder…

  1. BTO war lange anfällig? BTO ist ja schon sooo lange online :slight_smile:
  2. Anfällig != anzapfbar.
  3. Ein Mod kann im untersten Level schon die IPs der User sehen.

Kommentar von Samuel & Kimble:
Lol, der Hack den es nie gegeben hat. Da hat lediglich ein Scriptkiddie rumgespielt und bringt irgendwelche DB-Strukturen als Beweis für den angeblichen „Hack“ :slight_smile: