Loginpasswort wird im Klartext übertragen!

      Loginpasswort wird im Klartext übertragen!

      Hallo,

      da ich beim Browser mal wieder Cookies gelöscht habe, musste ich mich neu einloggen.
      Im Browser war kein HTTPS Zeichen zu erkennen. Das Loginfeld führt ja bei dem Forum nicht auf eine neue Seite, sondern wird nur eingeblendet.
      Ich habe zum Test Wireshark das Login mitschneiden lassen und siehe da, dass Passwort geht im Klartext durch.

      Könnt ihr das bitte Zeitnah anpassen? Ein Login sollte IMO immer zuvor auf eine HTTPS Seite führen.

      Danke

      Basti
      Also ich habe grad mal nen Evil Twin meines Routers erstellt. Das heißt über mein Notebook läuft jetzt sämtlicher Traffic.
      Wie meine Vorredner schon sagten, ich sehe hier schön aufbereitet meinen Nutzernamen und Passwort in KLARTEXT! Ändert das bitte. SSL und gut ist
      Viele Grüße,
      der Flo ^^

      Neu

      Ich will ja nur ungern den Paragraphenreiter raushängen lassen, aber genau genommen macht sich der Forenbetreiber strafbar/abmahnfähig wenn er die seit Mai geltende DSGVO ignoriert. Dort wird ganz klar gefordert daß personenbezogene Daten (wie zB die Emailadresse) nach dem Stand der Technik geschützt werden müssen.

      Vom Passwort will ich erst gar nicht reden; sowas geht ja gar nicht und macht einen superschlechten und unseriösen Eindruck.

      Meines Wissens nach muß auch eine zugeschnittene Datenschutzerklärung mit verlinkt werden, ab besten neben dem Impressum.

      Alles in allem ein sehr sehr dünnes Eis für den Betreiber.

      Neu

      Das mag ja rein rechtlich auch alles richtig sein, aber laß' doch mal die Kirche im Dorf! :P
      Bei einer Bankingseite oder einer Singlebörse macht das durchaus Sinn, aber was soll jemand mit deinen LogIn Daten vom LED Forum bitte anfangen können?
      Für die Jüngeren: Led Zeppelin ist KEIN beleuchtetes Luftschiff! :D

      Neu

      Superluminal schrieb:

      Das mag ja rein rechtlich auch alles richtig sein, aber laß' doch mal die Kirche im Dorf! :P
      Bei einer Bankingseite oder einer Singlebörse macht das durchaus Sinn, aber was soll jemand mit deinen LogIn Daten vom LED Forum bitte anfangen können?

      Als jemand der in der IT arbeitet kann ich Dir das sagen:
      Ich habe immer mal wieder Anrufe von Kunden, die Erpressungsspam bekommen mit Daten die Ihnen vertraut (aber oft veraltet) sind. Guckt man zB bei haveibeenpwned.com findet man meist raus, woher die kommen. Der eine oder andere zahlt wohl, sonst lohnt das ja nicht zu versenden.
      Mehr als einmal mußte ich Accounts sperren, weil Kunden Passwörter recyclen. Sprich, die nehmen ihr supertolles Passwort auch woanders. Hast Du nun eine Liste mit Benutzernamen/Emails/Passwörtern mußt Du nur ebay, Paypal, Amazon, etc durchzuprobieren und wirst garantiert fündig. Oder das Passwort funktioniert auch gleich beim Mailaccount, dann kannst Du Passwortresets von überall anfordern.
      Hier im Forum kannst Du sogar Waren erhalten. Suche vereinsamte Accounts raus, schicke über längere Zeit deren Coins zu einem Hauptaccount und bestelle an einen toten Briefkasten. 500 Coins sind ja etwa 10 Euro wert.

      Das Forum hat aktuell 53554 Mitglieder. Kannst Du garantieren daß obiges bei niemandem funktionieren wird?

      <Korinthenkacker>Auch wenn der Betreiber glaubt es sei alles maßlos übertrieben muß er es dennoch umsetzen. Gesetze sind nun einmal für alle verpflichtend</Korinthenkacker>

      Und es ist ja nicht so, als ob das eine Raketenwissenschaft sei. SSL drauf mit Umleitung, Datenschutzerkärung und Cookiehinweis erstellen und gut is.

      Und nebenbei: Theoretisch kann jeder, also auch ein Konkurrent, den Forenbetreiber kostenpflichtig abmahnen; und das ist schnell mal 4-5 stellig.