Die Sicherheit bezieht sich halt zumindest darauf, dass wir die aktuellsten Sicherheitsupdates einspielen und darauf schauen, dass im selbst gebauten Code keine Sicherheitsluecken enthalten sind. Einen 100%igen Schutz gibt es aber nirgends. Was ist wenn heute eine grosse vBulletin-Sicherheitsluecke bekannt wird, und ein Angreifer diese Luecke in der naechsten Stunde auf onpsx ausnuetzt? Ich habe gar nicht die Reaktionszeit um entsprechende Updates einzuspielen.
Sollte onpsx jemals gehackt werden (was vor 5 Jahren schonmal passiert ist, weil unsere damalige Forensoftware wbb2 eine Sicherheitsluecke hatte), dann sind zumindest keine Realnamen/Addressen und Kreditkarteninfos betroffen wie bei Sony, weil wir sowas ja nicht speichern. Bedenklich und fuer Angreifer interessant waere es wahrscheinlich nur wegen den E-Mail-Adressen. Aber bei 7400 Usern lohnt sich das vom Aufwand her wohl nur bedingt.
Ich mache die ganze Sache unentgeltlich und in meiner Freizeit d.h. ich habe auch nur fuer die notwendigsten Sachen Zeit, und ich versuche halt das bzgl. Sicherheit zu machen was mein momentaner Kenntnisstand zulaesst. Ich moechte euch nur darauf aufmerksam machen, dass man im Internet allgemein immer damit rechnen muss, dass eine Seite in irgendeiner Form gehackt werden kann, und da koennen die Sicherheitsmassnahmen noch so gut sein. Es koennen auch auf basis menschliches Versagens oder Social Hackings Angriffe durchgefuehrt werden.
Ich kann mir z.B. durchaus Szenarien vorstellen, wenn jemand Zugriff auf den Login von einem Redakteur erlangt, dass er dann Zugriff zu durchaus sensitiven Daten haben kann, und wenn jemand technisch etwas kreativ ist, die ganze Seite auslesen kann.
Das ist aber auch ein allgemeines Problem auf vielen Seiten, und nicht nur auf OnPSX bezogen. Redakteure bestimmen bei uns den Inhalt der Seite und haben damit vollen Zugriff was die Veraenderbarkeit der Seite anbelangt. Aus Sicherheitstechnischer Sicht gibt es hier durchaus Angriffspunkte, die man nur beheben koennte, wenn man die Moeglichkeiten von Redakteuren einschraenkt. (z.B. dass diese keinen HTML-Code posten koennen, denn sobald du HTML-Code posten kannst, kannst du XSS-Angriffe durchfuehren)
Genaugenommen sollte man auch aufpassen, dass man keine persoenlichen Informationen per PM verschickt. Viele Leute tauschen ueber PM ihre Kontodaten aus wenn sie in den Kleinanzeigen handeln. Wenn jetzt jemand die Seite angreift und Vollzugriff auf die Forendatenbank erlangt, kann dieser eure Kontodaten auslesen. Wenn man jetzt ganz paranoid waere, sind also PMs eigentlich kein richtiges Mittel um Kontodaten auszutauschen, weil das von dritten ausgelesen werden koennte. Aber das Problem hat man auch bei E-Mails, ICQ, Facebook etc. In allen diesen Faellen koennten dritte die Informationen mitlesen, und bei Angriffen auf die jeweiligen Server auch unberechtigte Leute darauf Zugriff bekommen.
Der richtige Weg um sensitive Daten auszutauschen waere eigentlich per GPG/PGP verschluesselte E-Mails/Texte, aber das macht heutzutage eigentlich fast keiner...
Wie dem auch sei. Ich wuerde mich beim Thema Sicherheit nicht auf andere verlassen. Ich rechne immer damit, dass irgendwelche Seiten auf denen ich bin gehackt werden koennen. Desshalb empfehle ich:
a) Auf jeder Website ein komplett anderes und sicheres Passwort verwenden. Dazu gibt es Passwortmanager wie z.B. 1Password, welche auch sichere und lange Passwoerter generieren und verwalten. Man muss sich dann nur ein Masterpasswort merken.
b) Sensitive Daten wie Kontodaten oder Kreditkarteninfos etc. nicht unbedingt ueberall speichern... ich persoenlich bevorzuge aus dem Grund eigentlich eher immer Paypal-Zahlungen...
Meine Meinung zum Thema Sicherheit. Das Thema wird uns in der digitalen Welt die naechsten Jahrzehnte sicher immer wieder verfolgen.
Sollte onpsx jemals gehackt werden (was vor 5 Jahren schonmal passiert ist, weil unsere damalige Forensoftware wbb2 eine Sicherheitsluecke hatte), dann sind zumindest keine Realnamen/Addressen und Kreditkarteninfos betroffen wie bei Sony, weil wir sowas ja nicht speichern. Bedenklich und fuer Angreifer interessant waere es wahrscheinlich nur wegen den E-Mail-Adressen. Aber bei 7400 Usern lohnt sich das vom Aufwand her wohl nur bedingt.
Ich mache die ganze Sache unentgeltlich und in meiner Freizeit d.h. ich habe auch nur fuer die notwendigsten Sachen Zeit, und ich versuche halt das bzgl. Sicherheit zu machen was mein momentaner Kenntnisstand zulaesst. Ich moechte euch nur darauf aufmerksam machen, dass man im Internet allgemein immer damit rechnen muss, dass eine Seite in irgendeiner Form gehackt werden kann, und da koennen die Sicherheitsmassnahmen noch so gut sein. Es koennen auch auf basis menschliches Versagens oder Social Hackings Angriffe durchgefuehrt werden.
Ich kann mir z.B. durchaus Szenarien vorstellen, wenn jemand Zugriff auf den Login von einem Redakteur erlangt, dass er dann Zugriff zu durchaus sensitiven Daten haben kann, und wenn jemand technisch etwas kreativ ist, die ganze Seite auslesen kann.
Das ist aber auch ein allgemeines Problem auf vielen Seiten, und nicht nur auf OnPSX bezogen. Redakteure bestimmen bei uns den Inhalt der Seite und haben damit vollen Zugriff was die Veraenderbarkeit der Seite anbelangt. Aus Sicherheitstechnischer Sicht gibt es hier durchaus Angriffspunkte, die man nur beheben koennte, wenn man die Moeglichkeiten von Redakteuren einschraenkt. (z.B. dass diese keinen HTML-Code posten koennen, denn sobald du HTML-Code posten kannst, kannst du XSS-Angriffe durchfuehren)
Genaugenommen sollte man auch aufpassen, dass man keine persoenlichen Informationen per PM verschickt. Viele Leute tauschen ueber PM ihre Kontodaten aus wenn sie in den Kleinanzeigen handeln. Wenn jetzt jemand die Seite angreift und Vollzugriff auf die Forendatenbank erlangt, kann dieser eure Kontodaten auslesen. Wenn man jetzt ganz paranoid waere, sind also PMs eigentlich kein richtiges Mittel um Kontodaten auszutauschen, weil das von dritten ausgelesen werden koennte. Aber das Problem hat man auch bei E-Mails, ICQ, Facebook etc. In allen diesen Faellen koennten dritte die Informationen mitlesen, und bei Angriffen auf die jeweiligen Server auch unberechtigte Leute darauf Zugriff bekommen.
Der richtige Weg um sensitive Daten auszutauschen waere eigentlich per GPG/PGP verschluesselte E-Mails/Texte, aber das macht heutzutage eigentlich fast keiner...
Wie dem auch sei. Ich wuerde mich beim Thema Sicherheit nicht auf andere verlassen. Ich rechne immer damit, dass irgendwelche Seiten auf denen ich bin gehackt werden koennen. Desshalb empfehle ich:
a) Auf jeder Website ein komplett anderes und sicheres Passwort verwenden. Dazu gibt es Passwortmanager wie z.B. 1Password, welche auch sichere und lange Passwoerter generieren und verwalten. Man muss sich dann nur ein Masterpasswort merken.
b) Sensitive Daten wie Kontodaten oder Kreditkarteninfos etc. nicht unbedingt ueberall speichern... ich persoenlich bevorzuge aus dem Grund eigentlich eher immer Paypal-Zahlungen...
Meine Meinung zum Thema Sicherheit. Das Thema wird uns in der digitalen Welt die naechsten Jahrzehnte sicher immer wieder verfolgen.
Zuletzt editiert: