Wie ist der Stand mit der Passwort Verschlüsselung? 
Autor: Martin R.
Besucht 2077,
Followers 2,
Geteilt 0
Gepostet am
Guten Tag Martin,
danke für Ihre Nachricht.
Ich habe erneut überprüft, es gibt aber leider noch keine Neuheiten zum Thema, es tut mir leid. Ich halte Sie auf dem laufenden, sollten es mehr Informationen zur Verfügung stehen.
Danke! Mit freundlichen Grüßen.
Autor
Hallo Elisa,
danke für die Antwort. Grundsätzlich bin ich ein Fan von Website X5, in diesem Punkt allerdings fehlt mir jedes Verständnis.
Auf der Homepage wird mit einem DSGVO konformem Programm geworben:
"Sicherheit und DSGVODer mit WebSite X5 generierte Code wurde überprüft und ist konform mit der europäischen Datenschutz-Grundverordnung. Sie erhalten alles Benötigte, einschließlich der neuen Regeln für Nutzer bei der Erstellung von Passwörtern. Nun müssen Sie nur noch Ihre Website korrekt konfigurieren"
Das ist es definitiv nicht! Die Anwender wiegen sich möglicherweise in Sicherheit ohne zu wissen das ein großes Risiko besteht. Aktuell wurde das erste Bußgeld in Höhe von 20.000€ verhängt, begründet auf die Speicherung von Passwörtern im Klartext.
Aufgrund des Metatag Generators lassen sich betroffene Seiten schnell aufspüren, es gibt Agenturen die für große Abmahnkanzleien arbeiten und Provision für solche Treffer erhalten.
Ich würde erwarten das Sie die Anwender über dieses Risiko aufklären.
Den META Tag Generator kann man ausblenden wenn man will!
Aber dies wurde ja bereits als Wunsch hier reingestellt und wenn die Entwickler die Priorität auf dieses Sache richten, dann wird sie auch kommen.
Außerdem kann man diese Knuddelsseite nicht mit einer kleinen Vereinshomepage vergleichen!
Nun es geht ja allgemein um Datenschutz. Wie der André G. schon hier gezeigt hat sind trotz der Werbung DSGVO sicher usw. alle E-Mail Adressen und Passwörter in der Datenbank komplett sichtbar. Und genau das soll ja nicht mehr sein.
Genau das darf nicht sein..
Autor
@Andreas S. "Außerdem kann man diese Knuddelsseite nicht mit einer kleinen Vereinshomepage vergleichen!"
Interessant, kannst du mir das näher erklären?
Ich kann im Artikel 32 (1) a der DSGVO keine Einstufung nach Größe finden?!
Eine Vereinshomepage oder ein kleiner Onlineshop ist nicht Knuddels, richtig.
"Im Zuge der Ermittlung ergab sich, dass das Unternehmen Passwörter im Klartext, d.h. unverschlüsselt und nicht verfremdet (gehasht) gespeichert hatte. Dies stellt wiederum einen Verstoß gegen Art. 32 DSGVO, nämlich die Datensicherheit dar."
Quelle
Und Knuddels ist nicht Facebook!
Welcher europäische Richter vermag da wohl die Grenze setzen wollen?
Auch wenn man Benutzer in der Zugangsverwaltung anlegt, werden die Daten und Passwörter im Klartext in einer Datei auf dem Server gespeichert.
@RAiner das ist richtig! War schon immer so schon sein 15 Jahren und keinem hat es gekümmert bis jetzt 2018!
@Martin
Ja, das meinte ich , aber es geht hier nicht um die Größe, sondern und die Wichtigkeit! Ein sogenannter "Abmahnanwalt" wird nicht eine Vereinshomepage oder einen kleinen Onlineshop klagen der nur ein paar registrierte Kunden hat.
@Andre ...und wieder hast du mal eine hilfreiche Antwort gegeben...
@Andreas S.,
Ich habe keinen Einfluss auf die "Däumchen" meiner Posts.
Aber jemand scheint ebenfalls meiner Meinung zu sein, dass es nicht sein darf, dass die Software von Incomedia zum ausspionieren von Kennwörtern missbraucht werden kann.
Und diese Information finde ich persönlich für sehr nützlich!! Da ich aktuell die Benutzerverwaltung für gefährlich erachte und kein Risiko einer vorsätzlichen Straftat eingehe.
Dazu könnte man auch sagen, ausspähen von Kennwörtern.
Und wenn das schon immer so war und alle Beteiligten bewusst die Kennwörter ihrer Benutzer einsehen können, dann haben Die bewusst das Vertrauen der Benutzer ausgenutzt. Oder wissen die Benutzer, dass ihre Kennwörter sichtbar sind??????
Mit der Kombination aus Email und Passwort ist es jedem Seitenbetreiber möglich, diese Daten zweckzuentfremden um z.B. illegale Einkäufe zu tätigen.
Oder ist dies nicht richtig?
Ich könnte noch viele weitere Argumente hervorbringen, doch ich bin es Leid, meine Zeit am Pranger zu verbringen.
Sicherlich ist auch dies richtig.
Aber dann zeig mir mal wie ein Otto Normalverbraucherdie Email und Passwort aus der Datei oder Datenbank auslesen kann. (wenn du keinen FTP-Zugang hast zum Server) Da kämen nur die Handvoll Personen in Frage die sich auf diese Daten zugreifen können. Selbst Abmahnanwälte wissen nicht wie das geht und müssen auf externe (illegale) Mittel zurückgreifen.
@Andre ich weis wir sind in dieser Sache anderer Meinung und deshalb können wir das hier abschließen, denn wenn INCO es für wichtig hält, dann wird es auch geändert.
@Andreas S.,
Glaub mal, Anwälte wissen mehr als du glaubst! und wenn nicht, involvieren sie IT-Spezialisten für solche Aufgaben.
Fakt ist, jeder der mit Datenbanken arbeitet kann diese Informationen einfach einsehen, das sind Anmeldung + 2 Klicks.
Denn um die Datenbank verwenden zu können muss sich ohnehin auf der PHPmyAdmin Oberfläche anmelden um den Datenbanknamen anzulegen, oder wird er automatisch erstellt?
Wie dem auch sei, Wer Datenbankdaten verarbeiten kann, kann auch Daten auch einsehen.
Und die Menschen, die Hintergedanken an solchen Aktivitäten haben, wissen genau was zu tun ist.
Davon gibt es leider genug.
Aber wenn ich als Nutzer der Software "Website X5" für jemanden eine Seite erstelle oder auch für mich selber, liegt es in meinem eigenen Interesse und zu meinem persönlichen Schutz, dass alles ordnungsgemäß funktioniert.
Ich möchte auf diesem Wege auch gleich klarstellen, dass ich hier niemanden angreifen oder verurteilen möchte. Ich vertrete lediglich meine persönliche Meinung (Auch wenn sich der eine oder andere angegriffen fühlt). Und Andreas S., besonders die "Otto Normalverbraucher", die keine Ahnung haben, gerade die muss man doch schützen oder?! Das ist Aufgabe von Incomedia und dafür werben sie!
Es mag vielleicht noch nichts passiert sein, aber was glaubst du was lost ist, wenn tatsächlich mal Daten zweckentfremdet werden und wirklich ein existentieller Schaden entsteht. Wer ist zu haften? Ich sicherlich nicht!
- Wenn der eine oder andere hiervon genervt ist, entschuldige ich mich dafür! -
Autor
Abmahnanwälte klagen nicht, sie mahnen (teuer) ab!
Und das nur wenn es sich lohnt. Bei der Gewissheit das sämtlich X5 Websiten rechtswidrig sind sofern eine Zugangsverwaltung vorhanden ist, lohnt sich das schon.
Nicht nur mittels Algorythmen sind diese leicht findbar, auch hier werden sie auf dem Tablett serviert.
An der Rechtslage besteht ja wohl kein Zweifel hoffe ich, Fakt ist damit das jeder gegen geltendes Recht verstößt der mit Website X5 die Zugangsverwaltung einsetzt.
@Andre G. Da gibt es nichts zu entschuldigen, es ist die Wahrheit! Auch wenn die der ein oder andere hier sie nicht wissen will oder nicht versteht.
Frage: Den META Tag Generator ausblenden, wie geht das ? b.z.w Was muss ich tun ?
Gleich nach dem Start des Programms unter "Einstellungen"! Aber nur in der Professional Version!
Habe die Pro, finde aber nichts ?! geht es vieleicht etwas genauer ?
@M
Noch einen Schritt vorher, direkt nach dem Start wenn im Hauptfenster die Werbung kommt
rechts in der Toolbar unter Einstellungen den Auto MetaTAG "Generator" austellen.
@Martin R.
Ein größeres Problem als die DSVGO sind die Auto Bots von bestimmten Quellen, die gezielt die php Dateien austesten. Schau mal in diesem Community Post: Robot sends Spam Mail via contact page . Schau auch mal ab und zu in die Server Log Dateien und kontrolliere das root directory vom Server auf Dateien mit einem Zeitstempel nach dem letzem X5 Upload. Im Moment aktuell angesagt sind, gzip/base64 encoded mass mailer scripts wie z.B. ris.php mit 0x.jpg Dateien von Damen die Kontakt suchen.
In der standard Konfiguration von X5 mit automatischer Zugriffsverwaltung über SQL, ist das einzige Klartext Passwort das des WebPanelAdmin in ..\res\access.inc.php. Natürlich wäre es wichtig und richtig solche Daten zu kodieren, aber noch wichtiger ist die php runtime Version zu aktualisieren und solche Attacken direkt zu blocken.
So schaut es aus!
