In der Einlog-Maske gibt es ein Feld
Login-Daten im Browser merken: [x]
Dieses Feld ist standardmäßig aktiviert. Unter dem Aspekt der Datensicherheit fände ich es sinnvoller, wenn es standardmäßig inaktiv wäre:
Login-Daten im Browser merken: [ ]
Oder wird nur der Name ohne Paßwort gespeichert?
Man kann es mit der Datensicherheit auch übertreiben.
Wir sind eben das Land der Bedenkenträger...
Da bin ich mir nicht so sicher! Zumindest wäre neben der Meinung des Admins auch eine sachdienliche Antwort (Daten) nicht schlecht gewesen.
Ich habe mich mit dem neuen Forum noch nicht so beschäftigt, aber:
Gerade bei einer neu installierten Forums-Soft sollte man am Anfang genauer hinsehen. Sonst geht es einem wie z. B. mit dem I.E. mit am Anfang sämtlichen "Nützlichkeiten" aktiviert (Aktiv-X, alles mit Java, Passwörter merken), die man dann garnicht schnell genug deaktivieren kann, wenn wöchentlich neue Sicherheitslücken bekannt werden u. manchmal der Patch auch nicht funktioniert (ja, ja wir wissen es, Mozilla - aber bitte mit den richtigen Umlauten!!!).
Wenn der Admin versichern kann, dass die Forums-Soft KEINEN Fehler hat, keine Daten versteckt sammelt, virenresistent ist usw. (u. er bei jedem entdecktem Fall bereit wäre, 10 TEUR an den Verein zu zahlen
) könnte ich mich mit der bisherigen Antwort anfreunden. Bis dahin ist es aber nur eine unbekannte Software, deren Sourcecode wir nicht haben, die auf einem Server läuft, den die meisten von uns nicht kennen u. auf den wir keinen Zugriff haben...
Die Vorsilbe "AUGE" bedeutet ja (noch) nicht vollkommen, sonst gäbe es ja keinen Spam über AUGE-Mailadressen.
Bernd Eckert (M4528) schrieb:
> Da bin ich mir nicht so sicher! Zumindest wäre neben der
> Meinung des Admins auch eine sachdienliche Antwort (Daten)
> nicht schlecht gewesen.
Eine detaillierte Antwort hätte mehr Zeit erfordert. Eine genaue Untersuchung wurde aber mangels Dringlichkeit zurückgestellt. Man sollte die Kirche im Dorf lassen, hier geht es "nur" um das Login für ein Forum, nicht um persönliche Daten. Wer fragt schon bei eBay, Amazon und Co. was mit den Benutzerdaten passiert, die jeder dort freizügig einträgt? Dort wären Bedenken wohl eher angebracht.
> Ich habe mich mit dem neuen Forum noch nicht so beschäftigt,
> aber:
> Gerade bei einer neu installierten Forums-Soft sollte man am
> Anfang genauer hinsehen. Sonst geht es einem wie z. B. mit dem
> I.E. mit am Anfang sämtlichen "Nützlichkeiten" aktiviert
> (Aktiv-X, alles mit Java, Passwörter merken), die man dann
> garnicht schnell genug deaktivieren kann, wenn wöchentlich neue
> Sicherheitslücken bekannt werden u. manchmal der Patch auch
> nicht funktionier.
Wir haben das Forum durchaus getestet und sind uns halbwegs sicher, daß da keine versteckten Trojaner drin sind.
> (ja, ja wir wissen es, Mozilla - aber bitte
> mit den richtigen Umlauten!!!).
Genau!
Übringens hat sich das Problem mit den Umlauten auch auf einen Mangel in der alten Forum-Software zurückführen lassen und sollte nicht mehr auftreten.
> Wenn der Admin versichern kann, dass die Forums-Soft KEINEN
> Fehler hat, keine Daten versteckt sammelt, virenresistent ist
> usw.
Versichern kann man bei Software gar nichts, aber was man vernünftigerweise tun kann, wurde getan. Trotzdem ist das hier wie bei der Ziehung der Lottozahlen: Ohne Gewähr!
> (u. er bei jedem entdecktem Fall bereit wäre, 10 TEUR an
) könnte ich mich mit der bisherigen
> den Verein zu zahlen
> Antwort anfreunden.
Wenn das jemand ernsthaft verlangen wollte, dann würde das Forum umgehend stillgelegt und gelöscht.
> Bis dahin ist es aber nur eine unbekannte
> Software, deren Sourcecode wir nicht haben, die auf einem
> Server läuft, den die meisten von uns nicht kennen u. auf den
> wir keinen Zugriff haben...
Das ist so nicht richtig: Wir haben den Sourcecode der Software (Open Source mit PHP und mySQL, nennt sich Phorum) und den Server kennen wir auch, es ist unser eigener AUGE-Server! Das ist ja mit ein Grund für den Umstieg. Bei unserem alten Forum hätte ich die Bedenken schon eher teilen können.
> Die Vorsilbe "AUGE" bedeutet ja (noch) nicht vollkommen,
> sonst gäbe es ja keinen Spam über AUGE-Mailadressen.
Ah ja, das Thema SPAM. Das sollte besser ein eigener Thread werden...
Bernd Eckert (M4528) schrieb:
> Die Vorsilbe "AUGE" bedeutet ja (noch) nicht vollkommen,
> sonst gäbe es ja keinen Spam über AUGE-Mailadressen.
Das ist wohl wahr, daß auch bei uns nichts vollkommen ist, schon gar nicht Software (das wäre ja auch unmöglich).
Was das Thema SPAM angeht, gibt es dazu mehrere Dinge zu bemerken:
1. SPAM gibt es immer und überall, egal, ob man eine Email-Adresse beim AUGE e.V. oder anderswo benutzt.
2. An einem wirkungsvollen SPAM-Filter auf Server-Seite wird gearbeitet. Wir warten gespannt auf das Ergebnis (siehe letzte MV). Bis dahin sei der Einsatz eines SPAM-Filters lokal auf dem Client empfohlen.
3. Vor allem aber müssen die Email-Adressen so gut wie möglich geschützt werden. Da der Verein selbstverständlich niemals Adressen an Dritte weitergibt, hatten wir das alte Forum (bzw. dessen Betreiber) etwas in Verdacht. Das war ein weiterer Grund für den Umstieg.
Mein lieber Florian,
ich weiß nicht, warum ab und zu die Pferde mit Dir durchgehen und Du die Ebene der sachlichen Diskussion verläßt.
Bernd spricht mir aus der Seele. Es war meinerseits eine sachliche und durchaus ernst gemeinte Anfrage. Und wenn Du meinst, die Zeit reiche nicht für eine sachliche und fundierte Antwort, dann fände ich es auch OK, das so zu schreiben. Ohrfeigen finde ich deplatziert.
Zur Sache: Es gibt mehr und mehr Würmer etc., die bisweilen auch Daten auf der lokalen Platte ausspähen. Bisher habe ich meinen PC sauber halten können, aber wer will vorhersagen, was sich in diesem Bereich noch alles tun wird? Und wenn wir die Einlog-Prozedur schon durch ein Passwort schützen, dann kann man doch auch dieses Passwort schützen. Vielleicht könnte man es so machen, daß man die Abfrage "speichern oder nicht" an anderer Stelle (z.B. im Profil) hinterlegt. Dann müßte man sich nicht bei jedem Einlog-Vorgang über dieses blöde Häkchen Gedanken machen.
Nix für ungut!
Heinz
hrk schrieb:
> ich weiß nicht, warum ab und zu die Pferde mit Dir durchgehen
> und Du die Ebene der sachlichen Diskussion verläßt.
Sehe ich nicht so. Mein Beitrag mag eine kontroverse Meinung zum Ausdruck gebracht haben, aber unsachlich war er IMHO nicht. Unsachlich ist bestenfalls, wenn man von den Organisatoren dieses Forums - und sei es nur im Scherz - eine Haftung (10.000,- EUR für jeden Softwarefehler!?) verlangt...
Dennoch: Sollte ich irgendjemand mit meiner Antwort an den Karren gefahren haben: Nix für ungut, war nicht bös gemeint!
> Bernd spricht mir aus der Seele. Es war meinerseits eine
> sachliche und durchaus ernst gemeinte Anfrage. Und wenn Du
> meinst, die Zeit reiche nicht für eine sachliche und fundierte
> Antwort, dann fände ich es auch OK, das so zu schreiben.
Zur Erklärung: Wir haben zwar den Sourcecode (der ist OpenSource und steht jedermann zur Verfügung). Eine genau Analyse, wo und wie Passworte und Cookies verwendet werden, erfordert aber eine Menge Zeit, die im Moment niemand aufbringen kann/will. Da es sich aber um eine weit verbreitete Forum-Software handelt, die vielfach im Einsatz ist, sehe ich tatsächlich auch keinen dringenden Bedarf dafür.
> Zur Sache: Es gibt mehr und mehr Würmer etc., die bisweilen
> auch Daten auf der lokalen Platte ausspähen. Bisher habe ich
> meinen PC sauber halten können, aber wer will vorhersagen, was
> sich in diesem Bereich noch alles tun wird? Und wenn wir die
> Einlog-Prozedur schon durch ein Passwort schützen, dann kann
> man doch auch dieses Passwort schützen. Vielleicht könnte man
> es so machen, daß man die Abfrage "speichern oder nicht" an
> anderer Stelle (z.B. im Profil) hinterlegt. Dann müßte man sich
> nicht bei jedem Einlog-Vorgang über dieses blöde Häkchen
> Gedanken machen.
Änderungen im Sourcecode, falls wir diese vornehmen wollen, erfordern wiederum Zeit und erhöhen das Risiko, neue Fehler einzubauen. Das machen wir lieber nur, wenn es sein muß (wobei noch zu klären wäre, wer "wir" ist, d.h. wer hat die Zeit für umfangreiche Änderungen und Anpassungen?).
Dazu muß man sich fragen: Was ist denn hier so dringend schützenswert? Das Paßwort für das Einloggen im Forum ist sinnvollerweise ein Paßwort, daß nur hier und sonst nirgend verwendet wird. Dieses Paßwort ist von Haus aus nicht besonders sicher, schon allein deswegen, weil es offen über die Leitung geht. Das macht aber auch nicht viel, weil es keine besonders wichtigen Daten schützt, nur das Benutzerprofil hier im Forum, welches mit Verlaub relativ unkritisch ist. Wem das nicht gefällt, nun der braucht weder ein Profil anzulegen, noch muß er sich einloggen, das ist hier im Forum optional. Man verliert lediglich etwas Komfort, z.B. die Möglichkeit, Beiträge zu ändern (die wir ja im alten Forum auch nicht hatten).
Es sei angemerkt, daß man derartige Fragen normalerweise gar nicht hier im Forum diskutieren sollte, um keine Angriffspunkte zu bieten. Allein schon die Diskussion könnte Hacker ermuntern, die Paßworte knacken zu wollen
Viren oder Würmer bzw. das Ausspähen der lokalen Daten auf der Platte sind keine Gefahren, die von diesem Forum ausgehen - allenfalls über böswillige Links, die dort angegeben werden, so daß man natürlich dieselbe Vorsicht walten lassen muß, wie bei grundsätzlich allen fremden Internet-Seiten - das sollte aber klar sein. Viren- und Wurmscanner für Webseiten und Downloads sollten auch selbstverständlich sein.
Ich wiederhole - und ich hoffe, daß das niemand übel nimmt - meine Meinung, daß man in Fragen der Datensicherheit zwar Vorsicht walten lassen, sich aber auch vor übertriebener Paranoia hüten sollte.
Soweit ich das bisher in der Kürze der Zeit analysieren konnte, wird ein Cookie abgespeichert, wenn man das Feld ankreuzt. Das erhöht den Benutzerkomfort. Die Benutzerdaten selbst stehen in einer Datenbank auf dem Server.
Hallo,
ohne die vorangegangenen Beitraäge Neu aufzuwärmen stehe ich
voll hinter den Argumenten von Bernd und hrk
Ja, kein Programmierer wird von sich aus eine solche Haftung anbieten - und Du bist ja nicht mal der Programmierer (Programme mit einer Zeile Code können schon 3 Fehler beinhalten, wie wir alle wissen). Ich habe auch nicht verlangt, dass Du das machst, sondern kundgetan (oder tun wollen), dass ich vollstes Vertrauen in die Software hätte, wenn Du von Dir aus das anbieten würdest, weil auch Du 100%ig von Ihrer "Vollkommenheit" überzeugt wärest.
Ich habe mir mal nochmal die ersten paar Beiträge von Dir betr. "neue Forum-Software" angeschaut. Den Namen oder Quelle der Software habe ich nicht entdeckt; hatte ich die Brille nicht genügend geputzt? Auch der Link "Über dieses Forum" unten hilft da nicht weiter. Sicher werden doch ALLE Forumsnutzer einen Blick auf den Quellcode werfen wollen
"Datum: 10.09.2003 21:38
Eine Bitte an alle Forum-Benutzer: Feedback zum neuen Forum bitte nur hier im Forum posten und nicht per Email senden!"
Oder doch nicht "nur"?
Nun aber genug der ";-)"
Bernd Eckert (M4528) schrieb:
> Ich habe mir mal nochmal die ersten paar Beiträge von Dir
> betr. "neue Forum-Software" angeschaut. Den Namen oder Quelle
> der Software habe ich nicht entdeckt; hatte ich die Brille
> nicht genügend geputzt? Auch der Link "Über dieses Forum" unten
> hilft da nicht weiter. Sicher werden doch ALLE Forumsnutzer
> einen Blick auf den Quellcode werfen wollen
Steht ganz unten rechts in der Seite "Über diese Forum": Powered bei Phorum. Der Link lautet
Hallo Florian,
nun hast Du Dir aber viel Mühe gemacht, die Situation ausführlich zu erläutern.
Ich wäre auch durchaus mit weniger zufrieden gewesen.
Ich gebe ja zu, daß ich mangels Zeit nicht alle Artikel zum neuen Forum gelesen habe und mir insofern überhaupt keine Gedanken darüber gemacht habe, von wem diese Software stammt. Genauer gesagt: aufgrund früherer Diskussionen hatte ich angenommen, sie stamme aus unseren eigenen Reihen. - So kann man irren.
Das ich summa summarum von diesem neuen Forum begeistert bin, habe ich bereits oft genug erwähnt. Darauf brauche ich nicht weiter herumzureiten. Gleichwohl halte ich konstruktive Kritik für erlaubt. Ob und mit welchem Aufwand was umzusetzen ist, kann ich natürlich nicht beurteilen, da muß (und werde) ich mich auf Deine Aussage verlassen. Und ob und inwieweit Änderungsvorschläge akzeptabel sind, steht auch auf einem anderen Blatt. Auch da muß ich nicht (immer) meinen Kopf durchsetzen.
Nur mit den Watschen habe ich es nicht so.
OK - Thema erledigt!
CU
Heinz
Administrator schrieb:
> Wir sind eben das Land der Bedenkenträger...
...und derer die alles so kompliziert haben möchten wie geht.
Wenn ich mir da die Geschichte mit der Autobahnmaut anschaue.
Die Franzosen und die Italiener haben das schon lange - und es gibt sogar eine automatische Variante (zumindest in Italien), den TELEPASS.
Da muss der Fahrer nicht mehr Ticktes ziehen und dann wieder bei einem mehr oder weniger freundlichen Menschen abgegeben sondern ein (wie auch immer geartetes) elektronisches System registriert das Auto bei der Durchfahrt durch die Sperre (sowohl bei der Auf- als auch bei der Ausfahrt).
Und es scheint zu funktionieren.
Daimler Chrysler und die Telekom haben das Rad aber nochmal erfinden wollen/müssen und sind bisher daran gescheitert
Warum machen wir es denn nicht wie die Schweizer und die Österreicher?
Pickerl an die LKW-Scheibe und gut ist!
Gabs das nicht schon?
Und überhaupt: Macht das ganze nicht nur dann Sinn, wenn die volkswirtschaftlichen Schäden, den die LKW anrichten (Strassenreparaturen, Umweltverschmutzung) durch die Maut beglichen werden?
Es wird immer gesagt, das ein LKW die Strasse so stark belastet, wie 30000 PKW - müsste er dann nicht auch 30000x so viel an Strassenbenutzungsgebühr zahlen?
Ich kann mir nicht vorstellen, dass ein LKW, der z.B. von Livorno nach Como fährt 30000x mehr dafür zahlen muss, als ich es letztes Wochenende mit meinem Kombi getan habe (ca 20?).
Ciao
dirk