• Seite:
  • 1
  • 2

THEMA: Passwörter und Zwei-Faktor-Authentifizierung

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 3 Wochen her #786653

Ich finde es gut, dass diese Funktion zur Option steht. Gibt ja sicher einige, die sie nutzen wollen.

Für mich persönlich ist der Nutzen den Aufwand aber nicht wirklich wert. Wer in meinem Proxer Profil herumschnüffeln will braucht nur auf mein Profil zu klicken, da erfährt man bereits alles was es über mich auf Proxer zu wissen gibt. Die Login-Daten zu kennen gibt daher auch nicht mehr Informationen preis.

Sich persönlich bereichern oder Schaden anrichten kann mit diesen Informationen auch niemand. Man gewinnt also nichts dadurch mein Proxer Passwort herauszufinden. Daher hätte auch niemand einen Grund sich die Mühe überhaupt zu machen, zumal man auf anderen Seiten deutlich mehr erreichen könnte.

Wie gesagt, ich finde die Funktion an sich gut und wäre froh wenn es sie auf anderen Seiten gäbe. Auf Proxer jedoch finde ich sie persönlich unnötig. Jedes mal das Handy nutzen zu müssen um mich einzuloggen ist mir da zu viel Aufwand für zu wenig Nutzen.
Team Rem <3
Team Onodera <3
Team RBA (AoT)

"Lizenziert" wird mit Z geschrieben!
Je mehr ich mich umsehe, desto mehr kommt es mir vor als gäbe es nur noch Leute von denen man die Welt besser befreien sollte.

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 2 Wochen her #787334

  • Sokker
  • Sokkers Avatar
  • Offline
  • Tastaturquäler
  • Tastaturquäler
  • RPG-Veteran
  • Beiträge: 250
  • Dank erhalten: 104
Da hat es sich doch mal gelohnt wieder ins Forum zu schauen, sehr sehr nice sache das es das jetzt auch auf Proxer gibt,
werd ich mir gleich mal anschalten.

@Dalaios bedenke bitte auch das wenn jemand in deinen Acc rein kommt das auch all deine PN (Nachrichten) lesbar sind,
heist es wäre ggf sogar möglich das da Echte Namen , Adressen , Teleponnummern oder andere Kontakt daten drinnen zu finden sind die warscheinlich nicht für anderer leute augen bestimmt sind.


Warnung: Spoiler! [ Zum Anzeigen klicken ]

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 6 Tage her #788125

Hört sich alles auf jeden Fall super an und scheint auch Sinnvoll zu sein es sich das einzurichten.
ABER, was ist wenn man den Zugang zum Google Authenticator aus welchen Gründen auch immer verliert (zb Handy verloren), dann hätte man theoretisch keinen Zugang mehr zum Proxer Account und was dann?

Kann man ne email an Proxer schreiben den Authenticator zurückzusetzen oder können die da nichts machen und das wars mit dem Account?
Und kann man dem Google Authenticator wieder problemlos deaktivieren oder muss man sich da durch den Dschungel bewegen?

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 6 Tage her #788126

  • Sokker
  • Sokkers Avatar
  • Offline
  • Tastaturquäler
  • Tastaturquäler
  • RPG-Veteran
  • Beiträge: 250
  • Dank erhalten: 104
@Dokgo

Wenn du den Autentifikator eingerichtet hast findest wenn du auf Profil
bearbeiten gehst http://proxer.me/ucp?s=edit#top in der Kategorie Kontaktinformationen,
im Abschnitt Zwei-Faktor-Authentifizierung unter Schritt 2. Konfikuration ,
eine Liste von Einweg-Notfall-Schlüssel mit diesen kannst du dich trotzdem dennoch
anmelden jedoch wird ein Code nach einmaligem gebrauch ungültig heist du kannst notfalls,
den Autentifikator wieder von deinem Proxer Konto trennen indem du im Selben abschnitt diesen wieder Deaktivirst.

Du erhälst genau 10 Einweg-Notfall-Schlüssel ich empfehle diese ganz altmodisch
auszudrucken und nicht Digital abzuspeichern.


Warnung: Spoiler! [ Zum Anzeigen klicken ]
Folgende Benutzer bedankten sich: genesis, Dokgo

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 6 Tage her #788127

Ich bin soweit zufrieden mit der Zwei-Faktor-Authentifizierung doch gibt es eine kleine Sache die mich stört, die ich gerne anmerken würde.
Normalerweise wird die 2FA einmal auf einen Gerät ausgeführt, dann nach gilt das Gerät als verifiziert und man muss die 2FA bei einer neuen Anmeldung auf dem Gerät nicht erneut durchführen.
Bei Proxer muss ich diese, aber immer wieder neu durch laufen, klar ist nicht der größte Aufwand, aber ich würde es gut heißen wenn man die 2FA für die einmalige Verifizierung nutzt, wie es eigentlich gedacht ist.
Mein Vorschlag wäre es, die Einstellungen der 2FA zu erweitern und zwar ob man eine einmalige Abfrage bei der ersten Anmeldung haben will, ob man sie bei jeder erneuten Anmeldung haben will oder man einen Zeitraum auswählen kann an dem das Gerät als verifiziert gilt.
Damit hätte man mehr Möglichkeiten mit der 2FA, sonst bin ich sehr zufrieden mit dem System und bin froh das Proxer den Schritt gewagt hat und die 2FA eingerichtet hat :)

Lg MrKingmustafa
Wer bereit ist zu schießen, sollte auch bereit sein erschossen zu werden. ~ Lelouch vi Britania

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 6 Tage her #788140

Auch wenn das natürlich eine Verbesserung ist, so sehe ich dennoch eine große Sicherheitslücke: die fehlende Verschlüsselung. Auch wenn Username, Passwort und der Auth-Code verschlüsselt übertragen werden, so kann ich dennoch die Identitätscookies relativ einfach mit einem Netzwerksniffer aus einer ungesicherten Verbindung auslesen.

Kleines Beispiel:
Warnung: Spoiler! [ Zum Anzeigen klicken ]


So kann man relativ einfach jede Authentifizierung umgehen, braucht dabei nicht mal das Passwort des Opfers und 2FA nutzt auch nichts, da man keinen Login macht.



P.S.: Ich weiß, dass der Proxer-Stream kein HTTPS unterstützt, jedoch könnte man diesen einfach auf eine externe Seite verschieben (jedoch keine Subdomain von proxer.me, da auch da die Cookies mitgesendet werden würden). Alternativ ist es zumindest in Chrome noch möglich, HTTP-Videos auf einer HTTPS-Seite einzubetten.
Folgende Benutzer bedankten sich: cuechan

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 5 Tage her #788210

  • genesis
  • genesiss Avatar Autor
  • Offline
  • Administrator
  • Administrator
  • ( ^-^)_旦””
  • Beiträge: 2184
  • Dank erhalten: 15308
Auch wenn das natürlich eine Verbesserung ist, so sehe ich dennoch eine große Sicherheitslücke: die fehlende Verschlüsselung. Auch wenn Username, Passwort und der Auth-Code verschlüsselt übertragen werden, so kann ich dennoch die Identitätscookies relativ einfach mit einem Netzwerksniffer aus einer ungesicherten Verbindung auslesen.

Du hast vollkommen recht. Das größte Problem ist tatsächlich jedoch nicht der Streamplayer, sondern die Werbung. Für die Streams hatte ich für SSL-Seiten bereits vor langer Zeit eine Lösung entwickelt, in der der Eingebettete Player einfach mit einem Link ersetzt wird.
Werbung ist heutzutage leider weiterhin oft nicht auf nicht-SSL Seiten möglich. Bei vielen Werbeunternehmen hat man diese Angelegenheit nach so vielen Jahren immernoch nicht auf die Reihe bekommen. Damit die Finanzierung von Proxer nicht gefährdet wird, war ich daher gezwungen eine interne Weiterleitung von SSL zu nicht-SSL durchgeführt, falls nicht explizit ein Plugin wie "HTTPS-Everywhere" installiert ist.

Ich habe selber etwas rumgetestet und stelle fest, wie idiotisch das war. Durch das Sniffen kann man sich auch ohne Passwort Zugang verschaffen. Ich hatte irgendwie implizit angenommen, dass Joomla Session-Cookies irgendwie intelligent zusätzlich schützt, was nicht der Fall ist. Und allgemein ist das Ganze im Nachheinein überlegt tatsächlich sehr idiotisch, da wir für registrierte Mitglieder ohnehin kaum Werbung anzeigen :/

Wir haben heute aus diesem Grunde folgende Änderungen durchgeführt:
- Mitglieder werden beim Schauen von Streams nicht mehr auf nicht-SSL umgeleitet. Ein eingeloggtes Nutzen von nicht-SSL Seiten wird unterbunden. Es existieren dadurch zukünftig keine eingeloggten Session Cookies für nicht-SSL. edit: es gab Probleme, weshalb ich das zurücksetzen musste ~_~ Wird aber wieder eingeführt.
- Remember-Me Cookies werden ausschließlich in SSL gespeichert, sodass ein automatisches Einloggen bei nicht-SSL nicht mehr möglich ist.
- Proxer-Streams öffnen nun aufgrund von mixed-content im neuen Tab, wenn man mit SSL unterwegs ist. Wir werden ein Einbetten der Proxer-Streams anvisieren. Abgeschlossen ^_^

Danke für deinen Hinweis! Wir wünschen weiterhin einen angenehmen Aufenthalt auf Proxer :)
Letzte Änderung: 3 Monate 5 Tage her von genesis.
Folgende Benutzer bedankten sich: cuechan, kaetzacoatl, Fuechschen

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 4 Tage her #788239

Das größte Problem ist tatsächlich jedoch nicht der Streamplayer, sondern die Werbung.
Wie wird denn die Werbung auf Proxer eingebunden? Wenn sie als passive content (img/video/object) eingebunden wird, sollte kein Sicherheitsrisiko entstehen. Bei aktive content (link/iframe) sieht das natürlich anders aus.
Zweite Frage: Benutzt Proxer secure cookies? Fuechschens Screenshot sieht ja so aus, als würden alle Cookies im Klartext über HTTP versendet werden. Das dürfte bei modernen Browsern eigentlich nicht passieren.

Edit: Ich habe kurz die Seite überflogen und sofort das Problem mit den Secure Cookies erkannt: Proxer setzt seine Cookies über HTTP und leitet erst danach auf HTTPS um. Eigentlich sollten HTTP und HTTPS keine gemeinsamen Cookies besitzen. Die Joomala Cookies selbst wurden bei mir nicht über HTTP übertragen, hatten aber auch kein gesetztes Secure Flag. Die Werbeelemente kann ich leider nicht finden. Mit großer Wahrscheinlichkeit werden die von meinem Browser standartmäßig blockiert (Firefox Mixed Content und Tracking Schutz). Was mir positive aufgefallen ist, sind die HTTPOnly Cookies. Dadurch sind sie zumindest vor Cross-Site-Scripting geschützt.
Warnung: Dieser Beitrag könnte nicht gekenzeichneten Sarkasmus sowie vermeintlich beleidigende Inhalte enthalten. Für Inhalte sowie Grammatik und Rechtschreibung wird keine Haftung übernommen. Sollten Sie einen Fehler finden, so wenden sie sich bitte per PM an mich.
Letzte Änderung: 3 Monate 4 Tage her von kaetzacoatl.

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 4 Tage her #788250

Erstmal muss ich hier ein großer Lob für die Administration und Technik aussprechen, dass ihr so schnell regiert habt. Daumen hoch!

Was mir noch zum Thema Werbung einfällt: Ich habe bereits einmal eine Seite mit unsicherer Werbung auf HTTPS umgezogen und hatte dabei ähnliche Probleme. Wir haben das ganze am Ende durch einen Nginx gelöst, der alles, was mit den Anzeigen zu tun hat auf HTTPS proxiet und auch unsichere Links in den Dokumenten auf sich selbst umschreibt. Wenn ihr wollt kann ich mal schauen ob ich die entsprechende Config noch habe.

@kaetzacoatl: Vor der Änderung war die Secure-Flag nicht gesetzt, daher sind Cookies von davor leider noch nicht sicher. Wenn du dich jetzt neu einlogst bekommst du einen Cookie mit gesetzter Secure-Flag.


P.S.: Mir ist noch aufgefallen, dass es im Forum nun Mixed-Content-Warnings nur so hagelt. Da wäre vl. oben genannter Proxy auch nicht ganz schlecht. Alternativ könntet ihr auch Cloudflares "HTTPS Rewrites" nutzen.

Passwörter und Zwei-Faktor-Authentifizierung 3 Monate 4 Tage her #788256

  • genesis
  • genesiss Avatar Autor
  • Offline
  • Administrator
  • Administrator
  • ( ^-^)_旦””
  • Beiträge: 2184
  • Dank erhalten: 15308
Mein Vorschlag wäre es, die Einstellungen der 2FA zu erweitern und zwar ob man eine einmalige Abfrage bei der ersten Anmeldung haben will, ob man sie bei jeder erneuten Anmeldung haben will oder man einen Zeitraum auswählen kann an dem das Gerät als verifiziert gilt.
Das würde die ganze 2FA aushebeln, und wäre ein unerwünschter Effekt :) Wer keinen zweiten Faktor bei der Anmeldung angeben möchte, kann wie erwähnt auch einfach ein sicheres Passwort nutzen und 2FA deaktivieren ^_^ Alternativ markiert man "Angemeldet bleiben", dadurch wird diese Funktion im Grunde impliziert :3 Auch das funktioniert nun um einiges besser, nachdem ein paar Verbesserungen durchgeführt wurden.
Wie wird denn die Werbung auf Proxer eingebunden?
Es handelt sich um active content ^_^
Benutzt Proxer secure cookies?
Bis zu meinem letzten Post, wurden Cookies teilweise auch unsicher abgespeichert. Nun werden alle Account-Relevanten Cookies sicher abgespeichert, sodass ein Accountzugriff über Sniffen nicht mehr möglich ist :) Es gab zwischendurch ein paar Problemchen beim Umstellen, diese sind nun jedoch behoben ^_^
Wenn ihr wollt kann ich mal schauen ob ich die entsprechende Config noch habe.
Wir wären dir sehr dankbar! Dann kann ich Zeit zum Einarbeiten zumindest sparen, wenn ich das irgendwann bei uns auch einbauen möchte ^_^
P.S.: Mir ist noch aufgefallen, dass es im Forum nun Mixed-Content-Warnings nur so hagelt.
Das liegt an den extern eingebundenen Bildern der Mitglieder. Es ist bereits geplant, einen Bilderupload für Bilder einzubinden, externe Bilder zu unterbinden, und nur noch das Einbinden von Proxer-Dateien zu erlauben. Dadurch sollte auch dieser Fall dann behoben sein :) Wir wollen den Datenschutz unserer Mitglieder schließlich auch vor externen Bilderuploadern bewahrt halten. Da führt kein anderer Weg vorbei, als die Bilder selber zu hosten.
Ich werde mir auch diese Cloudflare-Rewrites anschauen. Vielleicht kann man das temporär nutzen ^_^


Wünsche euch weiterhin einen angenehmen Aufenthalt!
Letzte Änderung: 2 Monate 4 Wochen her von genesis.
Folgende Benutzer bedankten sich: Freilli
  • Seite:
  • 1
  • 2
Moderatoren: ForummodLodrahilKnivesYuriko.Deviltoon
Powered by Kunena Forum