Abgelaufen

Kein HTTPS und keine Sicherheit bei mydealz

52
eingestellt am 30. Okt 2014
Kann mir irgendjemand schlüssig erklären, warum mydealz weder auf HTTPS setzt, noch zulässt, dass man ein sicheres Kennwort nutzt?

Ich habe bereits mehrfach den Admin angeschrieben - eine Reaktion kam nie. Das finde ich sehr schade.. Es will mir einfach nicht in den Kopf, weshalb man heutzutage noch zulässt, dass Kennwörter unsicher und damit für jeden problemlos einsehbar übermittelt werden.

Außerdem ergibt es keinen Sinn, dass ich nicht mal ein annähernd sicheres Kennwort wählen kann.

Wieso?

  1. Diverses
Gruppen
  1. Diverses
Beste Kommentare

Fonsastill

Itschie22

Was seid ihr denn für Vögel?
Das ist doch eine ganz normale Frage. Auf fast jeder anderen Seite in der Größenordnung von MyDealz ist eine Verbindung über HTTPS zumindest beim Login vollkommen normal. Eine Verschlüsselung bei der Übertragung jeglicher Passwörter sollte doch wohl Pflicht sein.
Ich verstehe nicht wie man das mit solchen schwachsinnigen Argumenten verharmlosen kann. Die sichere Übertragung des Passworts nach aktuellen WebStandards, die nur einen minimalen Mehraufwand bedeuten, sollte doch wohl normal sein und nicht ein unverhältnismäßiger Mehraufwand.
Man sollte Sicherheit beim besten Willen nicht nur an der Brisanz der Daten fest machen. Ich zumindest wäre schon sehr begeistert davon zu wissen, dass meine Accountdaten (ich versende/empfange private Daten per PN (zB Bankverbindung)) nicht von ScriptKiddie XYZ ausgelesen werden können.

doneone

zu 2.: Das ist empfohlen und vermutlich machen es einige. Allerdings denke ich nicht, dass die breite Masse das macht. Es wäre daher ein netter Service, wenn ein sicheres Anmelden standardmäßig angeboten würde.


Ist das so?
Dann müsste ich auch ne stichsichere Weste tragen, wenn ich abends U-Bahn fahre. Wenn nicht, habe ich es nicht besser verdient, abgestochen zu werden.

Es kann doch ein Service sein, dass man Sicherheit anbietet.

admin

Nein, er meinte, dass %& und sowas im Passwort nicht geht. Das liegt an der Datenbankstruktur, wenn ich mich richtig erinnere. Nachdem ganzen hin und her hoffe ich allerdings, dass eh jeder für jede Webseite ein anderes Passwort benutzt.

Seit wann braucht man zum Speichern von Passwort-Hashs %& etc.? Oder stehen die Paswörter etwa alle im Klartext in der DB? Auch wenn man für jeden Dienst ein eigenes Passwort verwendet, so hat doch jeder ein System. Und die abgegriffenen Daten von mehreren Diensten reichen bei vielen User aus, um ihre Passwörter für andere Dienste zu erahnen.
52 Kommentare

weil alles im Rahmen der Verhältnismäßigkeit liegen sollte?

nutzt du Facebook, Twitter&co? Falls ja kannst du deinen thread löschen...du hast dann ganz andere sorgen....

Hää? Wer hindert dich daran, bei der Registrierung ein sicheres Passwort mit Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen zu verwenden? Haste bei Mydealz deine Banddaten inkl. PIN hinterlegt?

Itschie22

Hää? Wer hindert dich daran, bei der Registrierung ein sicheres Passwort mit Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen zu verwenden? Haste bei Mydealz deine Banddaten inkl. PIN hinterlegt?


Es geht mehr darum, dass selbst dein 50 Stelliges PW mit allen möglichen Zeichen auslesbar übertragen wird.

Itschie22

Hää? Wer hindert dich daran, bei der Registrierung ein sicheres Passwort mit Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen zu verwenden? Haste bei Mydealz deine Banddaten inkl. PIN hinterlegt?


Er meint, dass es sich nicht lohnt, weil es nicht verschlüsselt übertragen wird.

@TE: Ich vermute Unwissenheit oder Faulheit.

Fonsastill

Itschie22

Was seid ihr denn für Vögel?
Das ist doch eine ganz normale Frage. Auf fast jeder anderen Seite in der Größenordnung von MyDealz ist eine Verbindung über HTTPS zumindest beim Login vollkommen normal. Eine Verschlüsselung bei der Übertragung jeglicher Passwörter sollte doch wohl Pflicht sein.
Ich verstehe nicht wie man das mit solchen schwachsinnigen Argumenten verharmlosen kann. Die sichere Übertragung des Passworts nach aktuellen WebStandards, die nur einen minimalen Mehraufwand bedeuten, sollte doch wohl normal sein und nicht ein unverhältnismäßiger Mehraufwand.
Man sollte Sicherheit beim besten Willen nicht nur an der Brisanz der Daten fest machen. Ich zumindest wäre schon sehr begeistert davon zu wissen, dass meine Accountdaten (ich versende/empfange private Daten per PN (zB Bankverbindung)) nicht von ScriptKiddie XYZ ausgelesen werden können.

Inreressant, noch nie drüber nachgedacht...

Es ist wahrscheinlich auch eine Performance Frage. SSL kostet Zeit, die Roundtrips steigen gewaltig.

Und wo überhaupt soll jemand Dein Passwort abgreifen?

Itschie22

Hää? Wer hindert dich daran, bei der Registrierung ein sicheres Passwort mit Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen zu verwenden? Haste bei Mydealz deine Banddaten inkl. PIN hinterlegt?



Halt dich doch bitte einfach geschlossen, wenn du nichts sinnvolles beizutragen hast!

@TE:

hukd.mydealz.de/login

Edith:
geht natürlich nur, wenn du ausgeloggt bist

Verfasser

Fonsastill

weil alles im Rahmen der Verhältnismäßigkeit liegen sollte? nutzt du Facebook, Twitter&co? Falls ja kannst du deinen thread löschen...du hast dann ganz andere sorgen....


Nein, nutze ich nicht.

Itschie22

Hää? Wer hindert dich daran, bei der Registrierung ein sicheres Passwort mit Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen zu verwenden? Haste bei Mydealz deine Banddaten inkl. PIN hinterlegt?


Bevor hier rumgeschrien wird:

Das Problem ist, dass man eben KEIN sicheres Passwort wählen kann! "Nimm ausnahmsweise mal ein Passwort, welches nur aus Buchstaben und/oder Zahlen besteht." Das ist die Meldung, die kommt, wenn man ein komplexes Kennwort eingeben möchte.

Und selbst WENN ich ein vernünftiges Passwort wählen könnte, würde es unsicher übertragen - dolle Leistung.

Was dieser pampige Ton hier soll, verstehe ich nicht. Ich habe eine legitime Frage gestellt.

Was an deinen/meinen/unseren Daten ist denn hier so brisant schützenswert? Mehr als eine Email Adresse kannst du eh nicht abgreifen, wenn du meinen Account hier übernimmst. Verstehe die Paranoia nicht.

Admin

Nein, er meinte, dass %& und sowas im Passwort nicht geht. Das liegt an der Datenbankstruktur, wenn ich mich richtig erinnere. Nachdem ganzen hin und her hoffe ich allerdings, dass eh jeder für jede Webseite ein anderes Passwort benutzt.

hukd.mydealz.de/login

Nur zur Info, wir speichern/haben keine auch nur annährend attraktive Daten über euch - die Emailadresse - thats it. Keine Bankdaten, keine Adressdaten oder oder oder.

Dass kein https unterstützt wird, ist für eine Seite mit derart vielen Nutzern echt ein Armutszeugnis. Auf gehts Admin, so schwer ist das nicht!

Bruns

..



Meine Antwort bezog sich eher auf deine Frage "Außerdem ergibt es keinen Sinn, dass ich nicht mal ein annähernd sicheres Kennwort wählen kann."

Entschuldigung wenn es etwas pampig rüberkommt. Wollt ich nicht.

Verfasser

Übrigens finde ich es sehr interessant, dass die, die hier am lautesten schreien, offenbar grundsätzlich kein sicheres PW nutzen. Sonst wäre ihnen ja aufgefallen, dass weder Sonderzeichen, noch einfache Satzzeichen aktzeptiert werden. Nichtmal ein PUNKT wird akzeptiert. Und ihr wollt mir was von überflüssiger Datensicherheit erzählen?

Admin

quellcode

Dass kein https unterstützt wird, ist für eine Seite mit derart vielen Nutzern echt ein Armutszeugnis. Auf gehts Admin, so schwer ist das nicht!


Wer will, der kann:
hukd.mydealz.de/login

Admin

P.S. Wem das wichtig ist, empfehle ich einen VPN mit SSL. Dann hat man all überall eine verschlüsselte Übertragung.

finde es hier auch total unnötig

Mal abgesehen von https:

o9465k.jpg

1rq3ch.jpg

admin

P.S. Wem das wichtig ist, empfehle ich einen VPN mit SSL. Dann hat man all überall eine verschlüsselte Übertragung.


Genau. Und um das ganze noch sicherer zu machen, nimmt man am besten noch Tor dazu. Also SSL über VPN durch Tor sollte doch jeden beruhigen.

Bin da der gleichen Meinung wie der TE! Das Passwörter hier unverschlüsselt übertragen werden ist ein Unding! MyDealz ist schließlich keine kleine Hobbyseite, sondern ein Angebot eines eigentlich seriös wirkenden Unternehmens!

Auch meiner Meinung nach sollte hier sofort gehandelt werden, die Umsetzung sollte nun wirklich nicht das Problem sein.

Falls das aus Performancetechnischen Gründen nicht gehen sollte, dann wäre auch eine 2-Faktor Authorisierung eine denkbare Option.

Diese löst zwar nicht das Problem der unsicheren und abhörbaren Verbindung, schützt die User jedoch (z.B. durch ein Einmalpasswort, welches ihm per SMS übermittelt wird) vor der Entwendung des Accounts.

Verfasser

quellcode

Dass kein https unterstützt wird, ist für eine Seite mit derart vielen Nutzern echt ein Armutszeugnis. Auf gehts Admin, so schwer ist das nicht!


Hmm, ist das neu? Oder war ich echt so blind? Na wenns geht, freu ich mich. Jetzt noch nen sicheres PW und schick is.

doneone

@TE: Ich vermute Unwissenheit oder Faulheit.


Haste dich auf den Schlips getreten gefühlt?
War nicht persönlich gemeint. Ist nur meine Erfahrung bei ner Menge Seiten.

Und wer hier meint, dass es bei der Seite nicht wichtig ist, weil es egal ist, wenn der Account gehackt wird, weil 1. keine wichtigen Daten außer E-Mail-Adresse und man ohnehin 2. auf jeder Seite ein anderes Passwort verwenden sollte:

zu 1.: Eine E-Mail-Adresse kann schon recht wichtig sein. Es benutzt ja nicht jeder mehrere E-Mail-Adressen. Und aus eigener Erfahrung weiß ich, dass ich ohne mich irgendwo einzuschreiben, irgendwann Spam kommt. Und das auf der E-Mail-Adresse, die ich extra für solche Subscriptions eingerichtet habe.

zu 2.: Das ist empfohlen und vermutlich machen es einige. Allerdings denke ich nicht, dass die breite Masse das macht. Es wäre daher ein netter Service, wenn ein sicheres Anmelden standardmäßig angeboten würde.

Eine Frage noch: Melden sich denn Mods und Admins grundsätzlich sicher an? Deren Passwörter könnten schon ein wenig interessanter sein. Und sei es nur, dass man hier Unfug treiben will.

Tim

[quote=doneone]@TE: Ich vermute Unwissenheit oder Faulheit.



Hast PN.

doneone

zu 2.: Das ist empfohlen und vermutlich machen es einige. Allerdings denke ich nicht, dass die breite Masse das macht. Es wäre daher ein netter Service, wenn ein sicheres Anmelden standardmäßig angeboten würde.



Also wer heute immer noch mit nur einem Passwort im Internet unterwegs ist, hat es nicht besser verdient.

admin

https://hukd.mydealz.de/login



Der Rest ist aber leider weiterhin unverschlüsselt.

Nur zur Info, wir speichern/haben keine auch nur annährend attraktive Daten über euch - die Emailadresse - thats it. Keine Bankdaten, keine Adressdaten oder oder oder.



Abgesehen vom Votingverhalten und Kommentaren: Was ist mit PNs? Da dürfte so manch "attraktives" drin stehen.

doneone

zu 2.: Das ist empfohlen und vermutlich machen es einige. Allerdings denke ich nicht, dass die breite Masse das macht. Es wäre daher ein netter Service, wenn ein sicheres Anmelden standardmäßig angeboten würde.


Ist das so?
Dann müsste ich auch ne stichsichere Weste tragen, wenn ich abends U-Bahn fahre. Wenn nicht, habe ich es nicht besser verdient, abgestochen zu werden.

Es kann doch ein Service sein, dass man Sicherheit anbietet.

admin

Nein, er meinte, dass %& und sowas im Passwort nicht geht. Das liegt an der Datenbankstruktur, wenn ich mich richtig erinnere. Nachdem ganzen hin und her hoffe ich allerdings, dass eh jeder für jede Webseite ein anderes Passwort benutzt.

Seit wann braucht man zum Speichern von Passwort-Hashs %& etc.? Oder stehen die Paswörter etwa alle im Klartext in der DB? Auch wenn man für jeden Dienst ein eigenes Passwort verwendet, so hat doch jeder ein System. Und die abgegriffenen Daten von mehreren Diensten reichen bei vielen User aus, um ihre Passwörter für andere Dienste zu erahnen.

Fonsastill

weil alles im Rahmen der Verhältnismäßigkeit liegen sollte? nutzt du Facebook, Twitter&co? Falls ja kannst du deinen thread löschen...du hast dann ganz andere sorgen....



Facebook z.B. nutzt nur verschlüsselte Verbindungen. Hier geht es auch weniger um den Datenschutz, sondern mehr darum das Passwörter nicht abgefangen werden können.

Die werden nämlichen im _Klartext_ durch das Internet transportiert wenn keine Verschlüsselung aktiv ist.
Wer das alles mitlesen kann willst du garnicht wissen. ;P

admin

Nein, er meinte, dass %& und sowas im Passwort nicht geht. Das liegt an der Datenbankstruktur, wenn ich mich richtig erinnere. Nachdem ganzen hin und her hoffe ich allerdings, dass eh jeder für jede Webseite ein anderes Passwort benutzt.




Sehr guter Punkt!
Sonderzeichen (egal welcher Art!) dürfen kein Problem sein beim Passwort.

Passwörter sollen vor dem Speichern immer gehasht werden. Weil ein Hash aber nicht ausreicht muss noch ein Salt dazu der pro Nutzer unterschiedlich ist.
Ansonsten könnte man das Passwort anhand einer "Hashlist" (heißen die so?) nachschauen.

Wenn diese Sonderzeichen wirklich probleme machen, dann muss ich glaube ich mein Kennwort ändern...

doneone

Ist das so? Dann müsste ich auch ne stichsichere Weste tragen, wenn ich abends U-Bahn fahre. Wenn nicht, habe ich es nicht besser verdient, abgestochen zu werden. Es kann doch ein Service sein, dass man Sicherheit anbietet.



Naja, der Vergleich hinkt ein bisschen. Überall wurde und wird darauf
hingewiesen, unterschiedliche Passwörter zu verwenden. Wen jemand dafür
zu faul ist, kann er seine Faulheit nicht auf andere abwälzen.
Es gibt die Möglichkeit für https, Link steht oben.

Darf ich bei der Gelegenheit auch nochmal auf meinen Bugreport hinweisen? Bisher noch keine Antwort bekommen!

hukd.mydealz.de/bug…939

doneone

Ist das so? Dann müsste ich auch ne stichsichere Weste tragen, wenn ich abends U-Bahn fahre. Wenn nicht, habe ich es nicht besser verdient, abgestochen zu werden. Es kann doch ein Service sein, dass man Sicherheit anbietet.



Ohne Passwortmanager ist es etwas schwer sich für jeden Dienst ein Passwort auszudenken und zu merken.
Ich habe z.B. vier Passwörter die je nach wichtigkeit des Dienstes eingesetzt werden (Je wichtiger desto komplexer).

MyDealZ ist da ziemlich weit unten und meine Mails ganz oben.
Trotzdem möchte ich nun nicht das irgendeines dieser Passwörter abhanden kommt.

admin

P.S. Wem das wichtig ist, empfehle ich einen VPN mit SSL. Dann hat man all überall eine verschlüsselte Übertragung.


Speichert ihr die Passwörter in der DB:
- im Klartext
- geshashed mit md5
- geshashed mit md5 + gesalzen
oder: anders/sicher?

Schwammi

Und wo überhaupt soll jemand Dein Passwort abgreifen?


Nicht nur Passwort, sondern auch private Nachrichten, die sensible Informationen enthalten können, werden im Klartext übertragen.

Verfasser

Offenbar scheinen ja doch einige an der Diskussion interessiert zu sein. Und die Kritiker sind auch schon ruhig - wunderbar.

Schwammi

Und wo überhaupt soll jemand Dein Passwort abgreifen?



Und wer hat darauf Zugriff? Oder hängt ihr alle an einem Hub im einem öffentlichen Netz?

Schwammi

Und wo überhaupt soll jemand Dein Passwort abgreifen?



Genau. Wieso lassen wir HTTPS nicht von jeder Seite verbannen? Wer hat schon Zugriff drauf?

Die Fehlermeldung bei der Registrierung mit einem Passwort mit %& ist aber auch interessant oO

"Nimm ausnahmsweise mal ein Passwort, welches nur aus Buchstaben und/oder Zahlen besteht."

SeeeD

Ohne Passwortmanager ist es etwas schwer sich für jeden Dienst ein Passwort auszudenken und zu merken. Ich habe z.B. vier Passwörter die je nach wichtigkeit des Dienstes eingesetzt werden (Je wichtiger desto komplexer). MyDealZ ist da ziemlich weit unten und meine Mails ganz oben. Trotzdem möchte ich nun nicht das irgendeines dieser Passwörter abhanden kommt.



Ich mache es grundsätlich so, das bei unwichtigen Seiten wie mydealz Passwörter grundsätzlich im Browser gespeichert werden. Ich muss es mir garnicht merken.
Zum Passwort ausdenken nutze ich immer identitysafe.norton.com/pas…or/

20-30 Passwörter generieren und ein schönes raus picken. Und ansonsten Passwörter ala "MeineFreundinhatdickeHupen" sind doch super.

Admin

Leute wir sind hier keine Bank und haben es auch nicht vor zu werden Ich behaupte mal, es wird hier ein wenig aus den Proportionen geblasen.
Wie gesagt, wer sich sicherer fühlt über https einzuloggen, kann dies tun.

Wir können keine anderen Sonderzeichen speichern, weil das einfach Legacy-Code ist und nicht so einfach umstellbar. Die Passwörter werden selbstverständlich nicht im Klartext gespeichert, sondern gehasht und gesalted.

Wer sich mehr Sicherheit wünscht, sollte generell wie bereits angesprochen einen eigenen VPN mit SSL nutzen. Nur so ist man in öffentlichen WLANs sicher und auch so mach ichs (ganz unabhängig von mydealz). Dafür gibt es immer wieder Deals - z.B. 12 Monate für 5€ oder oder oder.

P.S. Für die Moderatoren und Admins gibt es zusätzlich noch andere Sicherheitsmechanismem (httpd login etc.).

Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. Auf der Suche nache einem neuen Handyflat11
    2. Kopfkissen Empfehlung45
    3. Suche Gaming Notebook bis ca. 1200€511
    4. Rauchmelder gesucht, worauf muss ich achten?612

    Weitere Diskussionen