Seite 1 von 4

Software - Sicherheit und Spam

Verfasst: Sa 23. Jan 2021, 00:43
von Kermit98
Hallo Leute

Ich weiß, ich bin der Neue, nicht mal ne Woche hier und ich will auch nicht klugscheißen, aber mir sind trotzdem einige Ungereimtheiten in Sachen Forensoftware aufgefallen.

Ich muss dazu sagen das ich seit über 20 Jahren Foren erstellt und betreut habe und ein wenig Ahnung von der Technik und auch den rechtlichen Hintergründen habe. Auch wenn ich die meisten dieser Foren in andere Hände abgegeben habe betreue ich noch das Z-Forum als Co-Admin.

Zuerst mal zu der Frage die ein Kollege hier stellte, das sein Browser das Forum als "nicht sicher" tituliert. Das liegt daran das es sich um eine "http"-Seite handelt und nicht um eine "https". HTTPS-Seiten haben ein zusätzliches (kostenpflichtiges) Zertifikat mit dem die Authentizität der Seite bestätigt wird. Ist ganz wichtig bei Seiten die mit sensiblen Daten arbeiten, z.B. Webshops bei denen man Kontonummern oder Kreditkarten benutzt oder auch nur seine Adresse und Telefonnummer angeben muss. Da dieses Forum hier mit ausschließlich freiwilligen und unsensiblen Daten arbeitet ist so ein Zertifikat auch nicht zwingend notwendig, warum also Geld ausgeben. Der Browser stuft diese Seite zwar automatisch als "unsicher" ein, das kann man hier aber getrost ignorieren. Bei allen anderen Seiten sollte man mit seinen sensiblen Daten sehr vorsichtig sein wenn es keine HTTPS-Seite ist.

Vielen hier geht der Spam auf die N*sse, klar. Ich muss sagen ich habe selten eine so einfache Anmeldung gesehen - Username und Passwort, Captcha eintippen und Zack, voller Schreibzugriff. Da moderne Spamsoftware inzwischen auch die Standard-Captchas wie diesen hier knacken kann ist es für automatisierte Bots einfach hier herein zu kommen und Quatsch zu machen (Bei diesen Bildern wo man Ampeln oder Busse anklicken kann beißen sich die Automaten "noch" die Zähne aus) Bei allen anderen Foren muss ich beim Anmelden entweder meine Emailadresse durch einen Link per Mail verifizieren (ist inzwischen aber auch schon automatisch zu verarbeiten) ODER besser ein Admin bzw Moderator prüft die Anmeldung und schaltet den User erst dann frei, ggf. mit beschränkten Schreibvollmachten, z.B. nur im Vorstellungsbereich. Schaut mal wieviele Facebook-Gruppen heute ohne Überprüfung durch Admin nicht nutzbar sind. Auch wenn das Forum sich als "Internationaler KLX-Treffpunkt" darstellt, ein User aus Liberia wie der Letzte heute hier der den Admin sprechen will (ich vermute es geht um die 10 Millionen Dollar aus der Erbmasse des verstorbenen Prinzen :lol: ) würde da mit großer Wahrscheinlichkeit nicht durch rutschen. Und soviel Arbeit ist das Freischalten nicht - ist ja nicht das Lady Gaga-Fanforum oder Motortalk.de wo sich täglich zwischen 100 und 500 neue Mitglieder anmelden. Hier ist es wohl recht überschaubar.

Das wäre mal der allererste Schritt zum Thema Sicherheit und lässt sich normalerweise in den Grunddaten der Forensoftware einstellen. Ich habe zwar mit phpBB noch nicht gearbeitet aber die meiste Software die es heute noch gibt basiert aus ähnlichen Grundkonzepten.

Wenn ich so zwischen den Zeilen lese hat der Admin wenig/keine Zeit. Das ist soweit ja ok, schließlich ist es auch "nur" ein Hobby - aber dieses Hobby kann plötzlich ganz schnell ganz teuer werden wen z.B. so ein Eindringling Schaden verursacht, massenhaft Spammails verschickt oder einen anstößigen oder kriminellen Text postet. In diesem Fall ist der Forenbetreiber in der privaten Haftung und ganz schnell einige tausend Euro los wenn's hart auf hart kommt. Hier müsste dringend ein Stellvertreter als Moderator bzw. Co-Admin mit ins Boot der neue User überprüfen und freischalten und auch Beiträge löschen kann. Es gibt doch bestimmt in dieser Clique einen oder zwei vertrauenswürdige User die den Admin vielleicht auch persönlich kennen (die KLX-Szene scheint sehr überschaubar zu sein) die sich dieser Aufgabe stellen würden.
Ich bin gerne bereit bei der Technik zu helfen - wie gesagt ich hab bisher nur mit 2 Konkurrenzprodukten gearbeitet aber die Unterschiede sind nicht so riesengroß.

Achja, bei dieser Gelegenheit sollte auch dringend so ein nerviger "Ich bin mit der Verarbeitung von Cookies und der Speicherung meiner Daten einverstanden"-Schalter rein. Im Impressum reicht das heute nicht mehr und auch das kostet viel Geld wenn ein Abmahnanwalt sich damit befasst.

Wie gesagt, kein Klugscheißen beabsichtigt, aber ich kenne ein, zwei Ex-Adminkollegen die sich wegen Strafzahlungen keine Hobbies mehr leisten können..

Schönes Wochenende euch allen

Re: Software - Sicherheit und Spam

Verfasst: Di 26. Jan 2021, 21:16
von schrauber21
Kermit98 hat geschrieben:
Sa 23. Jan 2021, 00:43
Ich weiß, ich bin der Neue, nicht mal ne Woche hier und ich will auch nicht klugscheißen, aber mir sind trotzdem einige Ungereimtheiten in Sachen Forensoftware aufgefallen.
sehe ich genauso,mittlerweile wird das Forum ja schon wieder mit spam überschwemmt.
Sehr schade scheint aber irgendwie keinen zu interessieren,war damals ähnlich und der Anfang vom Ende.

Re: Software - Sicherheit und Spam

Verfasst: Mi 27. Jan 2021, 13:04
von KGL
Das ist schon nervig.
Ich bin einigen Foren unterwegs und hier ist das erste in dem dass so ist!?

Grüße

Re: Software - Sicherheit und Spam

Verfasst: Mi 27. Jan 2021, 13:35
von Kermit98
Ja, gerade heute wieder...... erstellt ein Thema mit dem Text "wie erstelle ich ein Thema" auf Englisch und Russisch/Kyrillisch - Herkunft "Vatikan City" :? Ich dachte immer die reden Italienisch oder Latein dort :lol:

Re: Software - Sicherheit und Spam

Verfasst: So 7. Feb 2021, 22:18
von honney
Moinmoin! Danke für deinen Beitrag... ich schreibe einfach mal immer was zu deinen Anmerkungen dazu ...
Kermit98 hat geschrieben:
Sa 23. Jan 2021, 00:43
Hallo Leute

Ich weiß, ich bin der Neue, nicht mal ne Woche hier und ich will auch nicht klugscheißen, aber mir sind trotzdem einige Ungereimtheiten in Sachen Forensoftware aufgefallen.

*** immer her mit dem klugen Scheiss ;-) ... gerne lerne ich.

Ich muss dazu sagen das ich seit über 20 Jahren Foren erstellt und betreut habe und ein wenig Ahnung von der Technik und auch den rechtlichen Hintergründen habe. Auch wenn ich die meisten dieser Foren in andere Hände abgegeben habe betreue ich noch das Z-Forum als Co-Admin.

*** endlich jemand mit Ahnung, dann weiß ich an wen ich mich wenden kann!!! kennst du noch Günni vom Z-Forum? er hieß bei uns immer Z-magger und ich glaube so war er sicher auch im Z-Forum früher mal unterwegs ...

Zuerst mal zu der Frage die ein Kollege hier stellte, das sein Browser das Forum als "nicht sicher" tituliert. Das liegt daran das es sich um eine "http"-Seite handelt und nicht um eine "https". HTTPS-Seiten haben ein zusätzliches (kostenpflichtiges) Zertifikat mit dem die Authentizität der Seite bestätigt wird. Ist ganz wichtig bei Seiten die mit sensiblen Daten arbeiten, z.B. Webshops bei denen man Kontonummern oder Kreditkarten benutzt oder auch nur seine Adresse und Telefonnummer angeben muss. Da dieses Forum hier mit ausschließlich freiwilligen und unsensiblen Daten arbeitet ist so ein Zertifikat auch nicht zwingend notwendig, warum also Geld ausgeben. Der Browser stuft diese Seite zwar automatisch als "unsicher" ein, das kann man hier aber getrost ignorieren. Bei allen anderen Seiten sollte man mit seinen sensiblen Daten sehr vorsichtig sein wenn es keine HTTPS-Seite ist.

**** okay, also kein kostenpflichtiges Zertifikat ...verstanden, haben auch wirklich keine sensiblen Daten hier drin.

Vielen hier geht der Spam auf die N*sse, klar. Ich muss sagen ich habe selten eine so einfache Anmeldung gesehen - Username und Passwort, Captcha eintippen und Zack, voller Schreibzugriff. Da moderne Spamsoftware inzwischen auch die Standard-Captchas wie diesen hier knacken kann ist es für automatisierte Bots einfach hier herein zu kommen und Quatsch zu machen (Bei diesen Bildern wo man Ampeln oder Busse anklicken kann beißen sich die Automaten "noch" die Zähne aus) Bei allen anderen Foren muss ich beim Anmelden entweder meine Emailadresse durch einen Link per Mail verifizieren (ist inzwischen aber auch schon automatisch zu verarbeiten) ODER besser ein Admin bzw Moderator prüft die Anmeldung und schaltet den User erst dann frei, ggf. mit beschränkten Schreibvollmachten, z.B. nur im Vorstellungsbereich. Schaut mal wieviele Facebook-Gruppen heute ohne Überprüfung durch Admin nicht nutzbar sind. Auch wenn das Forum sich als "Internationaler KLX-Treffpunkt" darstellt, ein User aus Liberia wie der Letzte heute hier der den Admin sprechen will (ich vermute es geht um die 10 Millionen Dollar aus der Erbmasse des verstorbenen Prinzen :lol: ) würde da mit großer Wahrscheinlichkeit nicht durch rutschen. Und soviel Arbeit ist das Freischalten nicht - ist ja nicht das Lady Gaga-Fanforum oder Motortalk.de wo sich täglich zwischen 100 und 500 neue Mitglieder anmelden. Hier ist es wohl recht überschaubar.

*** habe es gerade erstmal so geändert, dass man sich verifizieren muss, erstmal abwarten ... ansonsten kann man da noch aussuchen, dass der Admin freischaltet wenn es gar nicht anders geht

Das wäre mal der allererste Schritt zum Thema Sicherheit und lässt sich normalerweise in den Grunddaten der Forensoftware einstellen. Ich habe zwar mit phpBB noch nicht gearbeitet aber die meiste Software die es heute noch gibt basiert aus ähnlichen Grundkonzepten.

*** muss mir das nochmal genauer ansehen

Wenn ich so zwischen den Zeilen lese hat der Admin wenig/keine Zeit. Das ist soweit ja ok, schließlich ist es auch "nur" ein Hobby - aber dieses Hobby kann plötzlich ganz schnell ganz teuer werden wen z.B. so ein Eindringling Schaden verursacht, massenhaft Spammails verschickt oder einen anstößigen oder kriminellen Text postet. In diesem Fall ist der Forenbetreiber in der privaten Haftung und ganz schnell einige tausend Euro los wenn's hart auf hart kommt. Hier müsste dringend ein Stellvertreter als Moderator bzw. Co-Admin mit ins Boot der neue User überprüfen und freischalten und auch Beiträge löschen kann. Es gibt doch bestimmt in dieser Clique einen oder zwei vertrauenswürdige User die den Admin vielleicht auch persönlich kennen (die KLX-Szene scheint sehr überschaubar zu sein) die sich dieser Aufgabe stellen würden.
Ich bin gerne bereit bei der Technik zu helfen - wie gesagt ich hab bisher nur mit 2 Konkurrenzprodukten gearbeitet aber die Unterschiede sind nicht so riesengroß.

**** unser lange-koeln ... den Christian habe ich gerade zum Modrator ernannt und ihm das gesimst ;-) ... seines Zeichens auch schon immer Forenanwalt gewesen ...

Achja, bei dieser Gelegenheit sollte auch dringend so ein nerviger "Ich bin mit der Verarbeitung von Cookies und der Speicherung meiner Daten einverstanden"-Schalter rein. Im Impressum reicht das heute nicht mehr und auch das kostet viel Geld wenn ein Abmahnanwalt sich damit befasst.

***** wie funktioniert das? einfach ein Popup wie diese nervigen Werbeeinblendungen?

Wie gesagt, kein Klugscheißen beabsichtigt, aber ich kenne ein, zwei Ex-Adminkollegen die sich wegen Strafzahlungen keine Hobbies mehr leisten können..

**** hatte sowas ähnliches mit kopierten Handbüchern...da hat mir ein FReund geholfen ... aber dann würde ich das gerne ändern

Schönes Wochenende euch allen

***danke!

Wie geil, jetzt kann ich in anderer Leute Beiträge rumpfuschen. Gruß aus Köln. ;)

Re: Software - Sicherheit und Spam

Verfasst: So 7. Feb 2021, 22:24
von lange-koeln
Werden mir das die Tage mal am PC näher anschauen. Vom Tablett aus zu klein alles.

Re: Software - Sicherheit und Spam

Verfasst: Mo 8. Feb 2021, 07:28
von Kermit98
Moin
honney hat geschrieben:
So 7. Feb 2021, 22:18
***** wie funktioniert das? einfach ein Popup wie diese nervigen Werbeeinblendungen?
Genau.... oder leider :shock:

Google mal unter "phpbb cookie hinweis" da kommst du aufs phpbb-Forum und die Diskussionen wo das Ganze eingestellt wird.

Ich weiß, nervt, aber muss wegen DSGVO

Viele Grüße

Re: Software - Sicherheit und Spam

Verfasst: Mo 8. Feb 2021, 12:17
von honney
kaum hatte ich das Forum installiert und alle Farben eingestellt etc ... dann kamen die ersten Beiträge .... da kam auch schon die Meldung, dass es eine neue Version gibt ... habe ich aber bisher nicht installiert weil ich bissl Angst hatte, dass ich auch wieder Farben etc. neu einstellen muss.

Re: Software - Sicherheit und Spam

Verfasst: Mo 8. Feb 2021, 13:33
von Kermit98
Das Problem ist halt das die Entwickler auf Bedrohungen reagieren und somit die Sicherheit immer wieder verbessern. Hier nicht zu reagieren wäre ähnlich wie Updates von Windows oder dem Virenscanner zu verbieten....

Normalerweise wird die Farbeinstellung und dein Design in einer speziellen Datei gespeichert. Diese (config?) Datei müsstest du im Verzeichnis suchen - wo kann ich dir leider mangels Zugriffsmöglichkeiten nicht sagen, kann man aber im phpBB-Forum rausfinden - und bei dir auf dem Rechner sichern und/oder einen Schreibschutz einstellen. Wenn jetzt ein Update deine Optik überarbeitet kannst du einfach die Datei wieder rüber schieben und dein Design ist wieder da.

Dafür hab ich nur Basis-Ahnung von Baustatik ;)

Re: Software - Sicherheit und Spam

Verfasst: Di 9. Feb 2021, 07:22
von Kermit98
Ich sagte ja das es nicht reicht sich nur auf den Anmeldungs-Automatismus des Forums zu verlassen.... diese Autobots knacken inzwischen auch die Email-Verifizierung.

Bei einem Forum dieser überschaubaren Größen muss einfach jede Neuanmeldung über den Admin, einen Moderator oder Co-Admin freigeschaltet werden und ich gehe jede Wette ein das ein Username wie der Neuste, der ein Potenzmittel im Namen hat NICHT freigeschaltet werden würde.