Gruenes-Herz
Boardcrew
Jetzt nicht mehr, war ein verlinktes Bild, welches nicht mehr angezeigt wurde.
gruss Andreas
gruss Andreas
-
Hallo TT-Modellbahner, schön, dass du zu uns gefunden hast. Um alle Funktionen nutzen zu können, empfehlen wir dir, dich anzumelden. Denn vieles, was das Board zu bieten hat, ist ausschließlich angemeldeten Nutzern vorbehalten. Du benötigst nur eine gültige E-Mail-Adresse und schon kannst du dich registrieren. Deine Mailadresse wird für nichts Anderes verwendet als zur Kommunikation zwischen uns. Die Crew des TT-Boardes
Bugs und andere Unannehmlichkeiten beim Serverumzug 2010
- Ersteller Lokwolf
- Erstellt am
Christian82
Foriker
Keine Ahnug ob ich hier im Thema richtig bin - ich habe eine handvoll abonnierte Themen u.a. auch mein Bastelthema: http://www.tt-board.de/forum/showthread.php?t=31006&page=73&highlight=molkerei
Irgendwie ist es aber nun aus der Liste entschwunden. Trotz erneuter Abonnierung kam es nicht wieder auf die Liste. Bin ich zu doof oder gibt es systemimmanente Probleme?
Irgendwie ist es aber nun aus der Liste entschwunden. Trotz erneuter Abonnierung kam es nicht wieder auf die Liste. Bin ich zu doof oder gibt es systemimmanente Probleme?
Ich habe dein Thema gerade abonniert. Ohne Probleme. Erzeigt allerdings das Thema im Kontrollzentrum nicht an,wenn es keine neuen Themen gibt.
Du kannst es dir aber auflisten lassen.
Also, kein generelles Problem wie es scheint.
Gruß vom Rhein
Lokwolf
Du kannst es dir aber auflisten lassen.
Also, kein generelles Problem wie es scheint.
Gruß vom Rhein
Lokwolf
Christian82
Foriker
Heute ging es wieder - vermutlich wie immer, 99% der Fehler sitzen immer vor dem Rechner
RonaldK
Will nicht mehr "on board" sein
- Beiträge
- 193
Heartbleed
Hallo,
Ich habe eben mal die Server abgeklappert, bei denen ich einen
passwortgeschützten Zugang habe. Dabei fiel auch das TT-Board
als verwundbar auf. Nachdem ich hier per SSL einsteige wäre es
mir recht, wenn der Betreiber 1&1 auf seine Pflichten gegenüber
den Kunden hingewiesen werden würde.
Nebenbei bemerkt bin ich einigermassen irritiert darüber, dass
sich einer der größten Anbieter in DE eine solche Blösse gibt.
Ronald.
Hallo,
Ich habe eben mal die Server abgeklappert, bei denen ich einen
passwortgeschützten Zugang habe. Dabei fiel auch das TT-Board
als verwundbar auf. Nachdem ich hier per SSL einsteige wäre es
mir recht, wenn der Betreiber 1&1 auf seine Pflichten gegenüber
den Kunden hingewiesen werden würde.
Nebenbei bemerkt bin ich einigermassen irritiert darüber, dass
sich einer der größten Anbieter in DE eine solche Blösse gibt.
Ronald.
RonaldK
Will nicht mehr "on board" sein
- Beiträge
- 193
Heartbleed
Es sind zwei Wochen vergangen, es hat sich nichts getan. Die
bekannten Heartbleed-Testseiten melden das TT-Board immer-
noch als verwundbar. Ich möchte vorsichtig andeuten, dass
man mit den Angriffstools beliebige Speicherinhalte auslesen
kann. Es sind also alle Nutzer betroffen, auch die, die SSL
nicht nutzen.
Ronald.
Es sind zwei Wochen vergangen, es hat sich nichts getan. Die
bekannten Heartbleed-Testseiten melden das TT-Board immer-
noch als verwundbar. Ich möchte vorsichtig andeuten, dass
man mit den Angriffstools beliebige Speicherinhalte auslesen
kann. Es sind also alle Nutzer betroffen, auch die, die SSL
nicht nutzen.
Ronald.
ttfan61
Foriker
Was soll das? Stimmungsmache? SSL-verschlüsselte Internetseiten sind durch https:// gekennzeichnet, z.B. https://banking.spk.. . Das Board hat nur http, ist also nicht verschlüsselt.
Thorsten
Foriker
Immer mit der Ruhe und keine voreiligen Schlüsse ziehen... Hast du es schon mal mit https versucht?
Thorsten
ttfan61
Foriker
Gerade getestet. Die LogIn-Seite kann man über https erreichen, nach der Anmeldung erscheint aber trotzdem http://www.tt-board.de, also unverschlüsselt!
Thorsten
Foriker
... was Ronalds Aussage bestätigt. Allerdings gibt es einen Zertifikatefehler.
Thorsten
chap
Foriker
Das solltest du besser wissen. SSL funktioniert, aber nicht konsequent, mit selbst signiertem Zertifikat, an einigen Stellen... eben ein Bisschen
Das ist aber prinzipiell auch egal, denn sämtliche Benutzer und Anmeldedaten sind über die nicht-verschlüsselte Verbindung eh im Klartext für jederman mitlesbar.
Wenn du behauptest SSL nicht eingeschaltet zu haben, dann solltest du Port 443 vom Apache deaktivieren, dann würde ich das unterschreiben.
Leute, wollt ihr wirklich, dass wir Serverdetails in der Öffentlichkeit diskutieren?
Ich will das nicht und werde das nicht.
Ich weiß wie SSL funktioniert, ich weiß aber auch, wofür es hier nicht eingesetzt wird.
Da ich die letzten Wochen nicht in der Antarktis war, habe ich ebenfalls das Heartbleed-Thema verfolgt.
Ich sehe keine Gefährdung, da der Server gepatcht und SSL bisher nicht für die Funktion des Boardes benötigt wurde.
Ich kann gern drüber nachdenken, ein Zertifikat zu kaufen und die Traffic auf SSL zu schalten. Benötigt wird es nicht. Auch Passwörter werden nicht im Klartext übertragen, sondern verschlüsselt. Aber das hat nichts mit SSL zu tun.
Und weiter lasse ich mich jetzt nicht aus.
Gruß Lokwolf
Ich will das nicht und werde das nicht.
Ich weiß wie SSL funktioniert, ich weiß aber auch, wofür es hier nicht eingesetzt wird.
Da ich die letzten Wochen nicht in der Antarktis war, habe ich ebenfalls das Heartbleed-Thema verfolgt.
Ich sehe keine Gefährdung, da der Server gepatcht und SSL bisher nicht für die Funktion des Boardes benötigt wurde.
Ich kann gern drüber nachdenken, ein Zertifikat zu kaufen und die Traffic auf SSL zu schalten. Benötigt wird es nicht. Auch Passwörter werden nicht im Klartext übertragen, sondern verschlüsselt. Aber das hat nichts mit SSL zu tun.
Und weiter lasse ich mich jetzt nicht aus.
Gruß Lokwolf
ghost-mike
Foriker
Das ist ja mal wieder zum schießen hier, wie in jedem anderen beliebiegen Fred mit den selbsternannten Experten und Besserwissern. 
Es wird keine gezwungen das Board zu benutzen, wenn es Euch zu unsicher scheint, lasst es einfach.
Der Dummschwätzer gibt es hier schon viel zu viele und täglich werden es mehr!
Es wird keine gezwungen das Board zu benutzen, wenn es Euch zu unsicher scheint, lasst es einfach.
Der Dummschwätzer gibt es hier schon viel zu viele und täglich werden es mehr!
chap
Foriker
Bist du jetzt eingeschnappt?
Hier hat keiner das Gegenteil behauptet?
Dann lassen wir es dabei... beerdige den Vorschlag der Abschaltung einfach.
Gestatte meine Frage: Was hast du jetzt zum Thema beigetragen?
ghost-mike
Foriker
Auch nicht mehr als alle anderen, außer der Chef.
Aber ich lass den Knut wenigsten in Ruhe "seine" Arbeit machen, anstatt hier nur abzunerven!
Aber ich lass den Knut wenigsten in Ruhe "seine" Arbeit machen, anstatt hier nur abzunerven!
Nö, bin ich nicht.
Ich möchte nur nicht öffentlich Serverinternas diskutieren. Das kann doch nicht so schwer zu verstehen sein.
Hinweise bekomme ich manchmal per PN, die nehme ich auch gern auf und habe daraufhin schon das Eine oder Andere geprüft oder geändert.
Das läuft dann aber nicht-öffentlich. Ich halte nichts davon, mögliche Schwachstellen laut zu diskutieren. Wenn man das am Beispiel des Wohnungsschlüssel erklärt, verstehts komischerweiser jeder...
Port 443 wird benötigt, aber eben nicht fürs Board.
Und für alle: Danke für die Unterstützung auch mit Hinweisen. Man kann selbst nicht alles sehen und mitbekommen, aber zukünftig bitte wieder privat und es gibt keinen Grund, sich deshalb zu streiten.
Gruß vom Rhein
Lokwolf
V180-Oli
Foriker
Da hätte ich mal ne Frage zu gelöschten Profilnachrichten.
Ich hatte sie gelöscht, konnte aber dabei nicht den Haken aus dem Kästchen entfernen, welches bewirkt, dass die Hinweise zu gelöschten Profilnachrichten sichtbar bleiben. Wie kann ich das aufräumen?
Langsam füllt sich die Liste...
Wozu der Haken gut sein soll, versteh ich auch nicht.
Ich hatte sie gelöscht, konnte aber dabei nicht den Haken aus dem Kästchen entfernen, welches bewirkt, dass die Hinweise zu gelöschten Profilnachrichten sichtbar bleiben. Wie kann ich das aufräumen?
Langsam füllt sich die Liste...
Wozu der Haken gut sein soll, versteh ich auch nicht.
R.P.
Foriker
Ich habe die gelöscht, hat sich mit Lokwolfs Aktion überschnitten.
V180-Oli
Foriker
Ok, danke dir. Sie sind weg. Allerdings ohne mein Zutun.
Na mal schauen, was mit den nächsten passiert. Ob es dann geht.
Na mal schauen, was mit den nächsten passiert. Ob es dann geht.
RonaldK
Will nicht mehr "on board" sein
- Beiträge
- 193
Heartbleed
Gut, ich habs verstanden. Ich halte also mal fest: Es ist
nicht schlimm, wenn Hinz und Kunz die Passwörter der Nutzer
auslesen können. Dann wünsche ich viel Freude, wenn hier
mal einer die Identität eines langjährigen Nutzers annimmt
und randaliert, oder den Marktplatz für kriminelle Zwecke
benutzt. Weiterhin sollte man in einem Thread, der extra zur
Bekanntmachung von Bugs des Servers angelegt wurde, nicht
dazu benutzen, Bugs des Servers zu mitzuteilen. Nochdazu ist
die Nutzung von SSL Stimmungsmache.
Ich hatte die Absicht auf ein Problem hinzuweisen, für das
möglicherweise der Hoster, also 1&1, verantwortlich ist. Wenn
es nun Aufgabe des Admins ist, die Software aktuell zu halten,
dann gestaltet sich die Lösung recht einfach. Das Update hat
bei mir kaum 2 Minuten gedauert. Ich halte es weiterhin für
richtig, Sicherheitsprobleme öffentlich zu machen. Hätte man
den Programmierer, der den Heartbleed-Fehler eingebaut hat, im
Stillen aufgefordert ihn zu beheben, wäre vermutlich bis heute
nichts passiert. Die öffentliche Bekanntmachung hat dafür
gesorgt, dass er binnen eines Tages behoben wurde, bevor er
weiteren Schaden verursachen konnte.
Die Behauptung, das Board sei mit SSL nicht nutzbar, ist
einfach falsch. Ich tue das seit Monaten, dazu ist allerdings
die Hilfe von HTTPS-Everywhere erforderlich, weil die internen
Links immer auf HTTP ohne S umschalten. Ich halte das generell
für richtig, auch bei solchen vergleichsweise bedeutungslosen
Dingen wie dem Modellbahnhobby. Über die Gründe kann man sich
von einem Herrn Snowden aufklären lassen. Selbst mit einem
selbstgemachten Zertifikat ist es immernoch besser als unver-
schlüsselt. Die CA-Struktur ist sowieso kaputt, dafür braucht
man niemandem Geld in den Rachen zu werfen.
Ich sehe, es ist kein Problembewußtsein vorhanden. Statt eine
Lösung anzustreben, wird der Überbringer der schlechten Nach-
richt angefeindet. Ihr dürft nicht denken, daß mögliche
Nutzer dieses Fehlers nicht von selbst darauf kommen. Dafür
haben die Werkzeuge. Die Mühe, Forumsbereiche nach Hinweisen
auf Sicherheitslücken durchzulesen, machen die sich nicht.
Ich habe mich damals gefreut, daß das TT-Board die Möglich-
keit der verschlüsselten Kommunikation anbietet, allerdings
ist das nun zum Risiko geworden. Auf die logische Konsequenz
hat ghost-mike bereits hingewiesen.
Gut, ich habs verstanden. Ich halte also mal fest: Es ist
nicht schlimm, wenn Hinz und Kunz die Passwörter der Nutzer
auslesen können. Dann wünsche ich viel Freude, wenn hier
mal einer die Identität eines langjährigen Nutzers annimmt
und randaliert, oder den Marktplatz für kriminelle Zwecke
benutzt. Weiterhin sollte man in einem Thread, der extra zur
Bekanntmachung von Bugs des Servers angelegt wurde, nicht
dazu benutzen, Bugs des Servers zu mitzuteilen. Nochdazu ist
die Nutzung von SSL Stimmungsmache.
Ich hatte die Absicht auf ein Problem hinzuweisen, für das
möglicherweise der Hoster, also 1&1, verantwortlich ist. Wenn
es nun Aufgabe des Admins ist, die Software aktuell zu halten,
dann gestaltet sich die Lösung recht einfach. Das Update hat
bei mir kaum 2 Minuten gedauert. Ich halte es weiterhin für
richtig, Sicherheitsprobleme öffentlich zu machen. Hätte man
den Programmierer, der den Heartbleed-Fehler eingebaut hat, im
Stillen aufgefordert ihn zu beheben, wäre vermutlich bis heute
nichts passiert. Die öffentliche Bekanntmachung hat dafür
gesorgt, dass er binnen eines Tages behoben wurde, bevor er
weiteren Schaden verursachen konnte.
Die Behauptung, das Board sei mit SSL nicht nutzbar, ist
einfach falsch. Ich tue das seit Monaten, dazu ist allerdings
die Hilfe von HTTPS-Everywhere erforderlich, weil die internen
Links immer auf HTTP ohne S umschalten. Ich halte das generell
für richtig, auch bei solchen vergleichsweise bedeutungslosen
Dingen wie dem Modellbahnhobby. Über die Gründe kann man sich
von einem Herrn Snowden aufklären lassen. Selbst mit einem
selbstgemachten Zertifikat ist es immernoch besser als unver-
schlüsselt. Die CA-Struktur ist sowieso kaputt, dafür braucht
man niemandem Geld in den Rachen zu werfen.
Ich sehe, es ist kein Problembewußtsein vorhanden. Statt eine
Lösung anzustreben, wird der Überbringer der schlechten Nach-
richt angefeindet. Ihr dürft nicht denken, daß mögliche
Nutzer dieses Fehlers nicht von selbst darauf kommen. Dafür
haben die Werkzeuge. Die Mühe, Forumsbereiche nach Hinweisen
auf Sicherheitslücken durchzulesen, machen die sich nicht.
Ich habe mich damals gefreut, daß das TT-Board die Möglich-
keit der verschlüsselten Kommunikation anbietet, allerdings
ist das nun zum Risiko geworden. Auf die logische Konsequenz
hat ghost-mike bereits hingewiesen.
Jan
Boardcrew
Der Verlust der Fähigkeit des verstehenden Lesen scheint eine zunehmende Schwäche unserer Zeit zu sein.
Ist es denn so schwer einfach seine Bedenken per PN dem Boardbetreiber/Admin mitzuteilen?
Ist es denn so schwer einfach seine Bedenken per PN dem Boardbetreiber/Admin mitzuteilen?
Ronald, lies doch noch mal meine Zeilen und dann hör auf zu schmollen.
Nochmal für dich: Der Server ist gepatched.
Ich habe das dauerhafte SSL schon mal ausprobiert, das macht leider mit der Variante Software mehr Ärger als es nützt. Was du da nutzt, gaukelt dir eine Scheinsicherheit vor, die du nicht hast.
Passwörter werden nicht klar übertragen, aber das sagte ich bereits. Dafür bedarf es kein SSL.
Eine echte Sicherheit kann auch SSL in der Form nicht bieten, dafür bedarf es anderer Mittel. Ob es sich lohnt, diese in einem Hobbyforum einzusetzen, können wir gerne diskutieren.
Ich habe ebenfalls geschrieben, dass ich gern alle Hinweise auf Fehler oder Bedrohungen entgegen nehme und dies in der Vergangenheit schon getan habe. Ich möchte es nur nicht öffentlich tun. Das haben einige von sich aus verstanden und mir die Infos immer privat zukommen lassen. Andere brauchen eben die Rampe.
So und nun hör ich auf mich zu wiederholen.
Gruß vom Rhein
Lokwolf
Nochmal für dich: Der Server ist gepatched.
Ich habe das dauerhafte SSL schon mal ausprobiert, das macht leider mit der Variante Software mehr Ärger als es nützt. Was du da nutzt, gaukelt dir eine Scheinsicherheit vor, die du nicht hast.
Passwörter werden nicht klar übertragen, aber das sagte ich bereits. Dafür bedarf es kein SSL.
Eine echte Sicherheit kann auch SSL in der Form nicht bieten, dafür bedarf es anderer Mittel. Ob es sich lohnt, diese in einem Hobbyforum einzusetzen, können wir gerne diskutieren.
Ich habe ebenfalls geschrieben, dass ich gern alle Hinweise auf Fehler oder Bedrohungen entgegen nehme und dies in der Vergangenheit schon getan habe. Ich möchte es nur nicht öffentlich tun. Das haben einige von sich aus verstanden und mir die Infos immer privat zukommen lassen. Andere brauchen eben die Rampe.
So und nun hör ich auf mich zu wiederholen.
Gruß vom Rhein
Lokwolf
Ähnliche Themen
- Gesperrt
- Gesperrt