[ERLEDIGT] Loginpasswort wird im Klartext übertragen!

  • Hallo,


    da ich beim Browser mal wieder Cookies gelöscht habe, musste ich mich neu einloggen.
    Im Browser war kein HTTPS Zeichen zu erkennen. Das Loginfeld führt ja bei dem Forum nicht auf eine neue Seite, sondern wird nur eingeblendet.
    Ich habe zum Test Wireshark das Login mitschneiden lassen und siehe da, dass Passwort geht im Klartext durch.


    Könnt ihr das bitte Zeitnah anpassen? Ein Login sollte IMO immer zuvor auf eine HTTPS Seite führen.


    Danke


    Basti

  • Also ich habe grad mal nen Evil Twin meines Routers erstellt. Das heißt über mein Notebook läuft jetzt sämtlicher Traffic.
    Wie meine Vorredner schon sagten, ich sehe hier schön aufbereitet meinen Nutzernamen und Passwort in KLARTEXT! Ändert das bitte. SSL und gut ist

  • Ich will ja nur ungern den Paragraphenreiter raushängen lassen, aber genau genommen macht sich der Forenbetreiber strafbar/abmahnfähig wenn er die seit Mai geltende DSGVO ignoriert. Dort wird ganz klar gefordert daß personenbezogene Daten (wie zB die Emailadresse) nach dem Stand der Technik geschützt werden müssen.


    Vom Passwort will ich erst gar nicht reden; sowas geht ja gar nicht und macht einen superschlechten und unseriösen Eindruck.


    Meines Wissens nach muß auch eine zugeschnittene Datenschutzerklärung mit verlinkt werden, ab besten neben dem Impressum.


    Alles in allem ein sehr sehr dünnes Eis für den Betreiber.

  • Das mag ja rein rechtlich auch alles richtig sein, aber laß' doch mal die Kirche im Dorf! :P
    Bei einer Bankingseite oder einer Singlebörse macht das durchaus Sinn, aber was soll jemand mit deinen LogIn Daten vom LED Forum bitte anfangen können?

  • Das mag ja rein rechtlich auch alles richtig sein, aber laß' doch mal die Kirche im Dorf! :P
    Bei einer Bankingseite oder einer Singlebörse macht das durchaus Sinn, aber was soll jemand mit deinen LogIn Daten vom LED Forum bitte anfangen können?


    Als jemand der in der IT arbeitet kann ich Dir das sagen:
    Ich habe immer mal wieder Anrufe von Kunden, die Erpressungsspam bekommen mit Daten die Ihnen vertraut (aber oft veraltet) sind. Guckt man zB bei haveibeenpwned.com findet man meist raus, woher die kommen. Der eine oder andere zahlt wohl, sonst lohnt das ja nicht zu versenden.
    Mehr als einmal mußte ich Accounts sperren, weil Kunden Passwörter recyclen. Sprich, die nehmen ihr supertolles Passwort auch woanders. Hast Du nun eine Liste mit Benutzernamen/Emails/Passwörtern mußt Du nur ebay, Paypal, Amazon, etc durchzuprobieren und wirst garantiert fündig. Oder das Passwort funktioniert auch gleich beim Mailaccount, dann kannst Du Passwortresets von überall anfordern.
    Hier im Forum kannst Du sogar Waren erhalten. Suche vereinsamte Accounts raus, schicke über längere Zeit deren Coins zu einem Hauptaccount und bestelle an einen toten Briefkasten. 500 Coins sind ja etwa 10 Euro wert.


    Das Forum hat aktuell 53554 Mitglieder. Kannst Du garantieren daß obiges bei niemandem funktionieren wird?


    <Korinthenkacker>Auch wenn der Betreiber glaubt es sei alles maßlos übertrieben muß er es dennoch umsetzen. Gesetze sind nun einmal für alle verpflichtend</Korinthenkacker>


    Und es ist ja nicht so, als ob das eine Raketenwissenschaft sei. SSL drauf mit Umleitung, Datenschutzerkärung und Cookiehinweis erstellen und gut is.


    Und nebenbei: Theoretisch kann jeder, also auch ein Konkurrent, den Forenbetreiber kostenpflichtig abmahnen; und das ist schnell mal 4-5 stellig.

    • Offizieller Beitrag

    @Tonitoni


    Danke für Deinen kritischen und durchaus berechtigten Beitrag. Wir wollten schon direkt im Januar, nach dem Launch des Webshops 2018, auch hier auf LedStyles auf SSL umstellen, doch da war noch so viel zu klären bzw. Kompatibilität der Forenversion usw. usf.


    Nichts desto trotz haben wir das nun konsequent durchgezogen und das SSL-Zertifikat ist implementiert. Solltet Ihr hier oder da etwas finden, was nicht (mehr) funktionieren sollte, bitte umgehend Info, danke.


    Kommt gut durch die Woche!