Outdoorseiten.net wurde gehackt - Macht eure Accounts sicher!

[Wander Schaf 526]

Ja Mensch... nirgends ist man mehr sicher.  Nicht einmal mehr im Internet.

[derray 1.003]

Wir sind wieder online!!! WOOHOO! 

Neue Forumssoftware, mehr Sicherheit, mehr Möglichkeiten, noch nicht perfekt in der kurzen Zeit, aber es läuft! 

mfg

der Ray 

[Jens 164]

vor 4 Stunden schrieb derray:

Wir sind wieder online!!! WOOHOO! 

Neue Forumssoftware, mehr Sicherheit, mehr Möglichkeiten, noch nicht perfekt in der kurzen Zeit, aber es läuft! 

mfg

der Ray 

 

Ich weiß nicht, wer außer Dir noch weiter für ods, bzw. für die Aktuallisierung der Software verantwortlich ist, sich in seiner Freizeit hinsetzt und unzählige Stunden investiert, "nur" dass WIR alle uns miteinander austauschen können. Mir ist auch rätselhaft, wie man das mit seinen 24 Stunden, vollgepackt mit Job, Familie, Haushalt kombinieren kann. 

Interessieren würde es mich aber doch schon mal...

Aus diesem Grund einen riesigen Dank an Dich und alle anderen, die ods (und auch dieses Forum!) ohne irgendwelche materiellen Hintergründe weiterhin am Laufen halten. Denn ohne den Einsatz von Leuten wie Euch gäbe es das alles nicht. 

Also, bleibt gesund und genießt nach all der Programmierzeit vor dem PC Eure Ausflüge an der frischen Luft,

Jens

Bearbeitet 14. Dezember 2020 von Jens
Der Schreibfehler hat ja richtig wehgetan... :)

[derray 1.003]

Hallo Jens!

Danke für das Kompliment! Hab es mal an die anderen Update-Verantwortlichen weitergeleitet. 

outdoorseiten.net wird von einem gemeinnützigen Verein betrieben (daher auch werbefrei und unabhängig). Dazu gibt es eine Hand voll ehrenamtlicher Admins, ehrenamtliche Moderatoren und sonstige Freiwillige. 
In diesem Fall gilt das Lob unserem Technik-Vorstand und den Admins.

Aber natürlich geht es in jedem Forum um die User und deren Content. Ohne den würde sich die ganze Arbeit ja gar nicht lohnen.
Also Danke zurück! 

mfg
der Ray

[Ziz 235]

Am 20.11.2020 um 16:00 schrieb BorisG:

md5 gilt aber auch erst seit ca 2005 als unsicher  

Hey, sorry für die Latenz, irgendwie hatte ich die letzte Zeit echt viel in einem anderen Board zu tun.

Aber das will ich so nicht stehen lassen, als hätten wir unsere Nutzer da bewusst seit 1,5 Jahrzehnten ins offene Messer rennen lassen.

Dazu einmal aus der Wiki: https://de.wikipedia.org/wiki/Message-Digest_Algorithm_5#Kollisionsresistenz

Zitat

Derzeit ist MD5 nur bezüglich der Kollisionsangriffe gebrochen.

Was bedeutet das? Wenn ein Angreifer euer PW schon kennt (!), ist er in der Lage, ein zweites Passwort zu generieren, dass den selben md5-hash hat. Für diese Art von Angriff muss man das Original kennen (und das Salt, aber ignorieren wir das mal). Wo ist das relevant? Nicht bei Passwörtern, aber bei der Verifizierung von Downloads. Die wurden oft mit einer md5sum versehen, die man lokal nachprüfen kann. Hier ist es jetzt idT so, dass ein Angreifer (der ja auch Zugriff auf den öffentlichen Originaldownload hat!) euch mit relativ wenig Aufwand einen Download unterjubeln kann, der die gleiche md5sum erzeugt, damit ihr denkt, es sei der richtige Download.

Ganz ehrlich: Es ist schade um euer supertolles Passwort, dass bei dem Einbruch definitiv entwertet wurde. Aber die persönlichen Daten auf ODS wurmen mich mehr und ich kann nur hoffen, dass das ein vollautomatischer Angriff blieb, der sich "nur" auf Mailadressen und Passwörter beschränkte.

Nichtsdestotrotz: Die aktuelle Forenversion nutzt afaik Argon, definitiv nicht md5sum.

[lima.sierra 43]

Am 30.12.2020 um 00:07 schrieb Ziz:

Für diese Art von Angriff muss man das Original kennen (und das Salt, aber ignorieren wir das mal).

Das ist leider nur bedingt richtig. Siehe e.g. Seiten wie https://md5decrypt.net/, aus md5-Summen kann man durchaus mit einer gewissen Wahrscheinlichkeit das ge-saltede Original wiedererlangen. Maßgeblich für die Schadensbilanz ist denke ich in diesem Fall, wie gut euer Salting war. Ich würde das ODS-Passwort jedenfalls nicht bei "wichtigeren" Logins auf anderen Webseiten weiterverwenden wollen