Pages:
Author

Topic: Alle Passwörter und Nachrichen können jetzt mitgelesen werden auf Bitcointalk (Read 696 times)

legendary
Activity: 1882
Merit: 1108
es gibt nur zwei Arten von Foren

Bedeutungslose und Geschützte.

Und da sich ja hier gerade alle so über Cloudflare aufregen, JEDER DDoS Schutz muss die Verschlüsselung aufbrechen. OHNE das kann er nicht entscheiden zwischen legitimen und angreifendem Traffic.

Also ist es scheiss egal, welchen Dienstleister man nutzt. Es sei den er bricht den Datenstrom NICHT auf, dann aber ist seine Effizienz locker halbiert. Nur die ganz idiotischen Syn-Flood von jugendlichen Scriptkiddys kann man so noch ausbremsen. Aber gleichzeitig würde jeder der sowas wie TOR oder Proxydienste nutzt um sich zu anonymisieren unter umständen als Angreifer rausfliegen. Weil man dann ja nur bestimmte Mengen an Anfragen pro IP zulassen will/kann. Blöde Umstände und man hat eine Zeitsperre und jammert dann das irgendwer zensiert und nicht zulässt das man das Forum/den Dienst nutzt.

Wobei ich nun auch einwerfen muss, das man auch Cloudflare so konfigurieren kann, das es NICHT mitlesen kann. Also wirklich nur anhand der IP und des zeitlichen Musters filtert ohne die Inhalte zu sehen. Es ist Sache der Person die das einrichtet, wie sie es einrichtet und welche Schutzhöhe sie will.

Pauschal zu sagen, das bitcointalk.org mitgelesen wird, können wir nicht. Wir können nur pauschal sagen, das es effizienter DDoS blockiert, wenn es mitlesen kann. Und zum Mitlesen muss der Betreiber sein Zertifikat übergeben, sonst knallt Zertifikat-pinning uns um die Ohren.

PS: der Seitenbetreiber weis dein Passwort IMMER, wenn er das will. Weil es zwar als Hash gespeichert wird, aber erstmal in einer verschlüsselten Verbindung zum Server geht, bevor der den Hashwert draus bastelt und dann mit dem gespeicherten Wert vergleicht. Würde der lokale Browser schon den Hashwert übermitteln, wäre die Hashwertspeicherung blödsinnig. Dann könnte man ja den hashwert den man erbeutet hat direkt zum einloggen nutzen. Deswegen meckert ja Firefox auch, wenn ohne HTTPS ein Passwortfeld bedient wird. Also muss man nur die Login-scripte etwas umbastelt und sich die Passwörter extrahieren vor dem Verarbeiten zum Hashwert. Man vertraut also dem Seitenbetreiber bereits und der überträgt das vertrauen an einen Dienstleister. Was meint ihr, wenns Hart auf Hart kommt wer fällt zuerst um, wenn er gerichtliche Verfügung bekommt?
hero member
Activity: 964
Merit: 509
Da gibts ein einfaches Mittel. Schreibt, was das Zeug hält. Je unsinniger und banaler, desto besser.
Im Ernst, diese Entscheidung von Theymos werde ich nie verstehen.

gibt es denn noch andere vernünftige cryptoforen?
vor allem im englischen bereich ist der nonsense anteiil so brutal, dass ich dort kaum noch vorbeischaue. Da macht einer einen Thread und dann kommt in 2h 30x die gleiche Antwort. Das ist mir schon seit jeher sehr negativ hier aufgefallen. Die meisten anderen cryptoforen die ich bisher entdeckt habe waren aber immer von irgendwelchen communities um einen selbsternannten guru den sie angebetet haben und davon halte ich reichlich wenig.

Es gibt noch coinforum.de dort ist allerdings auch nicht so viel los.
member
Activity: 252
Merit: 10
Da gibts ein einfaches Mittel. Schreibt, was das Zeug hält. Je unsinniger und banaler, desto besser.
Im Ernst, diese Entscheidung von Theymos werde ich nie verstehen.

gibt es denn noch andere vernünftige cryptoforen?
vor allem im englischen bereich ist der nonsense anteiil so brutal, dass ich dort kaum noch vorbeischaue. Da macht einer einen Thread und dann kommt in 2h 30x die gleiche Antwort. Das ist mir schon seit jeher sehr negativ hier aufgefallen. Die meisten anderen cryptoforen die ich bisher entdeckt habe waren aber immer von irgendwelchen communities um einen selbsternannten guru den sie angebetet haben und davon halte ich reichlich wenig.
hero member
Activity: 964
Merit: 509
Da gibts ein einfaches Mittel. Schreibt, was das Zeug hält. Je unsinniger und banaler, desto besser.
Im Ernst, diese Entscheidung von Theymos werde ich nie verstehen.

Das Probleme ist das die DDOS Angriffe immer heftiger wurden
und das nicht mehr in den Griff zu bekommen war ohne Cloudflare.
sr. member
Activity: 462
Merit: 254
Da gibts ein einfaches Mittel. Schreibt, was das Zeug hält. Je unsinniger und banaler, desto besser.
Im Ernst, diese Entscheidung von Theymos werde ich nie verstehen.
newbie
Activity: 30
Merit: 0
von Cloudflare einem Unternehmen aus dem USA . Was haltet ihr davon und war euch das bewusst? Smiley

The security implications are that Cloudflare can read everything you send to or receive from the server, including your cleartext password and any PMs you send or look at.

https://bitcointalksearch.org/topic/moving-to-cloudflare-2485318


Finde ich persönlich nicht gut.. vor allem es gibt ja recht viele Leute die auf verschiedenen Platformen das gleiche Passwort haben.. Also für mich auf jeden Fall ein Daumen nach unten..
member
Activity: 420
Merit: 11
Also nach einigen Jahren bei einem Amerikanischen Unternehmen, welches auch noch börsennotiert ist, kann ich über sowas echt nur schmunzeln.
Die Datensammelleidenschaft der Amerikaner ist echt wahnsinn.
newbie
Activity: 33
Merit: 0
Ist alles irgendwo schon etwas bitter.
Beim Bitcoin bestimmern die Größten Miner Farmen wo es lang geht.
Und hier bei Bitcointalk bestimmt 1 Admin was die beste lösung ist.


Hoffe bis ich Großvater bin kommt mal was richtig dezentales an die Macht.  Smiley


Hmm bestimmt ist da schon längst was in der Mache.Ein peer-to-peer Forum auf ner Blockchain Grin
sr. member
Activity: 532
Merit: 297
Ist alles irgendwo schon etwas bitter.
Beim Bitcoin bestimmern die Größten Miner Farmen wo es lang geht.
Und hier bei Bitcointalk bestimmt 1 Admin was die beste lösung ist.


Hoffe bis ich Großvater bin kommt mal was richtig dezentales an die Macht.  Smiley
full member
Activity: 532
Merit: 102
...wenn wir schon mal bei dem Thema sind was nutzt ihr für Password_Apps?
ich habe Password_Safe für PC und Smartphone. das synchronisieren läuft entweder über iTunes oder direkt über die App.
Man kann u.a eigene Kategorien anlegen und ein Passwortgenerator ist auch dabei.

KeePassX - open Source.
Und CryptoMator für Dokumente
full member
Activity: 350
Merit: 108
The World’s First Blockchain Core
von Cloudflare einem Unternehmen aus dem USA . Was haltet ihr davon und war euch das bewusst? Smiley

The security implications are that Cloudflare can read everything you send to or receive from the server, including your cleartext password and any PMs you send or look at.

https://bitcointalksearch.org/topic/moving-to-cloudflare-2485318


Das war mir schon klar, USA hat schon längst unser fingerabdruck 'durch Iphone' Unsere Geheimnisse 'f´Facebook' usw Smiley
newbie
Activity: 22
Merit: 0
War mir zwar nicht bewußt, aber ich nutze auch für jeden Dienst/Seite ein eigenes Passwort. Better safe than sorry Wink
jr. member
Activity: 43
Merit: 8
...wenn wir schon mal bei dem Thema sind was nutzt ihr für Password_Apps?
ich habe Password_Safe für PC und Smartphone. das synchronisieren läuft entweder über iTunes oder direkt über die App.
Man kann u.a eigene Kategorien anlegen und ein Passwortgenerator ist auch dabei.
full member
Activity: 218
Merit: 104
🥇🥉🎖
Das ist doch nichts neues...
Versucht mal etwas zu posten/via pn senden, dass einem SQL statement ähnelt Wink
Das wird direkt von cloudflare abgefangen (SQL Injection risiko). Ist mir schon vor einiger zeit aufgefallen, dass cloudflare nachrichten mitsnifft.
newbie
Activity: 40
Merit: 0
Lässt sich nun mal nicht vermeiden: Entweder ist das Forum andauernd down (DDoS sind günstig) oder Passwörter sind eben leichter abgreifbar.

Cloudflare hatte auch mal einen Bug: https://www.btc-echo.de/cloudflare-bug-bitcoin-boersen-neue-passwoerter/
newbie
Activity: 14
Merit: 0
Also ich nutze einen etablierten Passwortmanager und habe für jeden Dienst ein anderes Passwort. Dadurch hab ich weder Aufwand noch Sicherheitsstress.

Blöd nur, wenn dieser die Passwörter freigibt/exploited wird, aber das Risiko geh ich ein. Als Backup gibt es ja noch 2FA. Wink
newbie
Activity: 70
Merit: 0
Das ist ja so was wie ein Proxy und da geht es im Klartext drüber.
Empfohlen ist generell ein anderes PW.
SChwe aber mit Keepass und Browseraddins ist das möglich.
legendary
Activity: 2702
Merit: 1261
Ist schon immer klar. Aber wer, ausser ein paar verblödeten Shitcoinern, würde auch einm ranzigen Webforum vertrauen?!
legendary
Activity: 2483
Merit: 1482
-> morgen, ist heute, schon gestern <-
von Cloudflare einem Unternehmen aus dem USA . Was haltet ihr davon und war euch das bewusst? Smiley

Ja, mir ist das Bewußt!
Halten tue ich davon nichts, deshalb meide ich diesen Dienst wo es geht.
full member
Activity: 196
Merit: 102
DIWtoken.com Division Germany Sei Dabei
das ist natürlich nicht gut, insbesondere für Leute die auf vielen Seiten das gleiche Paswort nutzen.
Pages:
Jump to: