+ Antworten
Seite 1 von 5 1 2 3 4 5 LetzteLetzte
Ergebnis 1 bis 10 von 45

Thema: Die 10 Todsünden eines Webseiten-Admins

  1. #1
    Hat hier eine Zweitwohnung Avatar von timkeller
    Registriert seit
    15.12.2009
    Ort
    Südschweden(also nördl. der Elbe)
    Beiträge
    1.687
    Bedankte sich
    63
    Erhielt 460 Danksagungen
    in 430 Beiträgen

    Ausrufezeichen Die 10 Todsünden eines Webseiten-Admins

    Die 10 Todsünden eines Webseiten-Admins



    oder



    wie ich 100% gehackt werde (ist nur die Frage wann)



    • Als Administrator muss ich natürlich auch mit dem entsprechenden Administrator-Benutzerkonto im Internet surfen, schließlich bin ich der Boss!
      Wer mit dem Kontotyp Administrator surft brauch sich über das Ausspähen von Passwörtern keine Sorge mehr machen, irgendwann landet schon ein Spionageprogramm auf seinem PC! Wenn der Rechner mit dem Internet verbunden ist sollte sich der Rechner immer in einem eingeschränkten Benutzerkonto befinden. In einem eingeschränkten Konto können keine Programme somit auch keine Schädlinge (Viren, Trojaner …) installiert werden. Ab Vista müssen im Administratorkonto zwar alle Aktivitäten die Administratorechte erfordern extra bestätigt werden, doch der normale User neigt doch schnell aus Gewohnheit blind auf bestätigen zu klicken. Daher ist auch unter Vista/Win7 dringend zu empfehlen getrennte Konten anzulegen. Administratorkonten sollten nur verwendet werden wenn Änderungen am System vorzunehmen sind z.B. Installation von Programmen. Mehr zuhr Benutzerkonten gibt es hier!
    • Die einzelnen Benutzerkonten auf meinem Rechner brauchen keine Passwörter.
      Ob es Sohnemann und Töchterlein dann wohl interessiert ob das Konto nun eingeschränkt ist oder nicht! An öffentlich zugänglichen PCs gehört sich schon aus Datenschutz und Privatsphäre-Gründen ein Passwortschutz. Zum Thema Passwörter kommen wir später.
    • Ich brauche immer die neusten Programme und am Besten umsonst!
      Mal ganz abgesehen von der Illegalität solcher Torrent- und Sharing-Angebote, befinden sich in vielen dieser Downloads diverse fiese kleine versteckte Skripte die nur einen Sinn haben: Nämlich Schaden anzurichten! Mal sollen Passwörter, Kontodaten und Co ausgespäht werden ein anderes Mal befindet sich ein Rootkit mit im Paket. Wer da nur einen Virus erwischt gefährdet zwar sein System, bleibt aber meist vor größerem Schaden bewahrt. Oftmals wird mit solchen Installationen ein Trojaner auf den Rechner geschleust der die eigentlichen Schädlinge erst nachlädt und es den Kriminellen hinter diesen ermöglicht im Prinzip alles auf den Rechner zuladen und diesen dann komplett fernzusteuern. Wer glaubt auf den Tauschbörsen wimmelt es nur von Samaritern, die den Armen gebeutelten Usern die Software umsonst zuschustern für die man ansonsten nicht bereit ist das Geld auszugeben, dem ist kaum noch zu helfen.
    • Ein guter Virenschutz ist teuer und etwas für Computerlaien, außerdem besuche ich keine schlüpfrigen Webseiten.
      Guten Basis-Virenschutz bekommt man auch schon umsonst, so ist z.B. Avira und AVG kostenlose Virenscanner für Privatanwender. Zwar ist für einen besseren Virenschutz ein gewisser Obolus zu zahlen, doch wer begibt sich in die Tropen ohne sich gegen gewisse Krankheiten zu impfen. Was die schlüpfrigen Seiten angeht. Viren und die lieben anderen Gemeinheiten werden oft über unscheinbare Seiten die einfach nur gehackt wurden (da sind wir wieder bei uns) verbreitet, und finden vielleicht auch so wieder den Weg auf unsere Webseite. Wer den schon ein Virenscanner hat sollte den auch aktuell halten (möglichst durch automatisches Update) und diesen dann auch regelmäßig einsetzen (auch hier möglichst automatisch)
    • Cool wie ich bin administriere ich meine Webseite auch von unterwegs!
      Wer an fremden PCs sich Zugang zu seinen Administrator-Verzeichnissen und ins Backend verschafft handelt äußerst Leichtsinnig. Wie soll man wissen wann der PC-Eigner den letzten Virenscan durchgeführt hat ob auf seinem Rechner nicht ein Keylogger versteckt ist. Tödlicher wäre höchstens noch das speichern der Passwörter und das anschließende nicht löschen vom Internetverlauf.
    • Ich bin extrem vergesslich und speichere meine Passwörter auf dem Rechner immerhin sind die ja unsichtbar unter den runden Bobbels versteckt.
      Mal abgesehen davon das jeder der meinen Benutzernamen kennt bzw. bei eingeschalteter Autovervollständigung auch nur mal sämtliche Anfangsbuchstaben und Zahlen eingibt und zweimal auf Enter klickt sich unverzüglich einloggen kann, gibt es auch diverse Programme die die Passwörter unter den Boobles sichtbar machen. So kann der Nutzer eines solchen Programms in Zukunft überall ins Backend deiner Webseite. 5min Kaffee holen ohne den Rechner zu sichern und mein lieber Kollege mit dem USB-Stick mit dem entsprechenden Programm hat all meine Passwörter. Leichter gehts nimmer? Doch! Beim Firefox-Browser ist es möglich noch leichter an die Passwörter zu kommen, indem man sie sich einfach anzeigen lässt!
    • Mein Passwort ist sicher!
      Das man nicht den Namen seiner Freundin, Katze oder das Geburtsdatum als Passwort verwenden sollte, hat sich hoffentlich schon herumgesprochen. Auch Wörter die Standardmäßig im (Duden) vorkommen sind mit entsprechenden Programmen ziemlich leicht geknackt. So ist es mir einmal gelungen von 56 Benutzern meiner alten Homepage (bevor einer schreit, gab’s nur noch als Sicherung lokal auf meinem Rechner) 14 Passwörter innerhalb von knapp 90 Minuten mithilfe eines Selbstgeschriebenen Javascripts zu knacken. Dazu verwendete ich ein so genanntes Wörterbuch (Hier könnt ihr euch einen kleinen Ausschnitt als Textdatei herunterladen und einfach mal in einem Texteditor die Suchfunktion benutzen und schauen ob eure Passwörter in der Liste sind). Hier gibt es mehr zum Thema sichere Passwörter und ein hier einen Passwortcheck.
    • „Wie immer“
      Lautet die geheime Frage für den Fall des vergessenen Passworts. Dies ist kein Scherz sondern in meinem Bekanntenkreis leider gang und gäbe. Das Schlimmste dabei ist noch nicht einmal die Frage sondern die Tatsache das diejenigen wirklich für Alles ob beim Email-Konto, beim Benutzerkonto (wenn vorhanden), bei Youtube, bei Facebook und Co, und in jedem Forum und Downloadportal dieselben Benutzernamen und Passwörter haben. Hätte ich jetzt z.B. eine Forenseite oder Downloadseite die nur vorgibt der großen Mildtäter zu sein, hätte ich in Nullkommanix das komplette Leben derjenigen im Griff. Frei wie sie sind teilen sie mir in Ihrem Profil auf meiner Seite, E-Mail-Adresse, ICQ-Konto, wo sie überall sind und auch Ihre Webseite mit. Auf dieser probiere ich doch schnell mal aus und ach siehe da das Adminpasswort ist „Wie immer“.
    • Zugespitzt
      Nun kann man das bei seiner Joomlaseite noch etwas auf die Spitze treiben. Indem man für die Datenbank den gleichen Benutzernamen und dasselbe Passwort nimmt. Wobei das im Grunde keine Rolle spielt bin ich erstmal im Backend kenne ich auch die Datenbankzugangsdaten und umgekehrt. Viel gravierender sind diejenigen die dann auch noch im Frostend mit ihrem Superadminzugang rumwurschteln und dieses dann auch noch über „Wer ist online“-Module verkünden oder mit dem Zugang Beiträge in Gästebüchern/Foren oder im Content verzapfen und als Autornamen dann ihr Adminzugangsnamen anzeigen lassen. Schön für mich und mein Programm aus Punkt.7
    • Finale.
      Damit kommen wir zum Finalen Todesstoß und zu den allgemeinen Sicherheitsregeln von und zu Joomla. Dazu muss ich mir aber nichts mehr abkneifen das hat Lacki hier im Forum in der FAQ erstklassig zusammengetragen.

    Bleibt mir nur zu sagen: Viel Spaß beim unbeschwerten Umgang mit dem Internet! Bis zum nächsten Hack!
    Geändert von timkeller (26.01.2010 um 20:41 Uhr) Grund: Link gändert

    Helft uns Euer Leben zu retten!
    Besorgt Euch die Rettungskarte für euer Fahrzeug.
    Denn Zeit ist Euer größter Feind!


  2. Erhielt Danksagungen von:


  3. #2
    Moderator Avatar von jamfx
    Registriert seit
    06.04.2006
    Ort
    Berlin
    Beiträge
    3.671
    Bedankte sich
    303
    Erhielt 824 Danksagungen
    in 774 Beiträgen

    Standard

    Hi,
    Ich brauche immer die neusten Programme und am Besten umsonst!
    Oder nehme die Freewarealternativen von www.nik-o-mat.de

    Ansonsten, genau so geht's
    Gruß
    JamFX
    www.nik-o-mat.de -> Freie Software, Joomla-Tipps & Übersetzungen
    www.akeebabackup.de ->AkeebaBackup Joomla Umziehen, Sichern, Wiederherstellen [Videoanleitung]
    nik-o-mat bei Twitter | Google+ | Facebook

  4. #3
    Gute Seele des Boards Avatar von keraM
    Registriert seit
    12.03.2006
    Beiträge
    13.190
    Bedankte sich
    202
    Erhielt 3.285 Danksagungen
    in 2.999 Beiträgen

    Reden 11.

    • Never touch a running system!
      Ich hab mich so abgemüht bei der Erstellung meiner Site, da setze ich den Erfolg doch nicht durch irgendwelche Updates auf's Spiel.
    Ich leiste hier keinen Support mehr.

  5. Erhielt Danksagungen von:


  6. #4
    Hat hier eine Zweitwohnung Avatar von timkeller
    Registriert seit
    15.12.2009
    Ort
    Südschweden(also nördl. der Elbe)
    Beiträge
    1.687
    Bedankte sich
    63
    Erhielt 460 Danksagungen
    in 430 Beiträgen

    Standard 11 b.

    Zitat Zitat von keraM Beitrag anzeigen
    • Never touch a running system!
      Ich hab mich so abgemüht bei der Erstellung meiner Site, da setze ich den Erfolg doch nicht durch irgendwelche Updates auf's Spiel.
    • Ich hab keine Zeit für Updates!
      Wer erst mal gehackt worden ist wird merken wie kostbar die paar Minuten für ein Update gewesen wären, wenn er mangels vernünftigen Backups (dafür war natürlich erst recht keine Zeit) die nächtsten Nächte damit verbringt die Seite wieder aufzubauen und Entschuldigungsmails an seine User verschickt da der größte Teil des Content futsch ist und alle neue Passwörter brauchen.

    Helft uns Euer Leben zu retten!
    Besorgt Euch die Rettungskarte für euer Fahrzeug.
    Denn Zeit ist Euer größter Feind!


  7. #5
    Abenteurer & Moderator Avatar von reservoir Dog
    Registriert seit
    09.09.2008
    Ort
    auf diesem Planeten
    Beiträge
    2.192
    Bedankte sich
    40
    Erhielt 330 Danksagungen
    in 283 Beiträgen

    Standard

    Gute Zusammenfassung! Liest sich zudem schön.

    Meine persönliche 11.Todsünde: Der falsche Browser.

    Gruß, reservoir Dog
    Gibt der Klügere immer nach,herrscht die Diktatur der Dummen. - Wo Unrecht zu Recht wird,wird Widerstand zur Pflicht. - Doch: Das Einzige das einen davon abhalten kann die Wahrheit zu finden,ist zu denken man kenne sie bereits.
    ERLEBE ABENTEUER e.V.

  8. Erhielt Danksagungen von:


  9. #6
    Gute Seele des Boards Avatar von keraM
    Registriert seit
    12.03.2006
    Beiträge
    13.190
    Bedankte sich
    202
    Erhielt 3.285 Danksagungen
    in 2.999 Beiträgen

    Standard

    Wobei man fairerweise anmerken sollte, daß es seit dem 21.01. von Microsoft einen Patch für die dort genannte Lücke gibt.

    Ich persönlich bin der Meinung, daß es nicht *den* falschen Browser gibt.
    In allen Browsern gab es bereits Sicherheitslücken, und es wird auch immer wieder welche geben.
    Ich leiste hier keinen Support mehr.

  10. Erhielt Danksagungen von:


  11. #7
    Abenteurer & Moderator Avatar von reservoir Dog
    Registriert seit
    09.09.2008
    Ort
    auf diesem Planeten
    Beiträge
    2.192
    Bedankte sich
    40
    Erhielt 330 Danksagungen
    in 283 Beiträgen

    Standard

    Hallo KeraM,

    ja, danke, das sollte erwähnt werden. Hatte angenommen es würde in einem anderen Thread erwähnt werden wo einige "IE-Fans" zugegen waren und ich sie darum gebeten hatte.

    Den falschen Browser gibt es auch meiner Meinung nach nicht. Der Browser kann ja nichts für seine Entwickler und Hacker. Ich hoffe nur das sich die Entwickler insgesamt der Entwicklung anpassen und sich auf mehr allgemein gültige Standards einigen. Wäre doch schön, wenn eine Handvoll Browser angepasst werden und nicht ettliche Millionen Websites.

    Ja, einen 100 %ig sicheren Browser gibt es nicht - nichts im Leben ist sicher, außer (noch?) der Tod. In der Vergangenheit war der IE allerdings der unsicherste Browser. Natürlich wünschenswert das sich dies ändert. Bisher ist er einfach auch das attraktivste Ziel der Hacker da er eng mit dem Betriebssystem verbunden ist und eben am häufigsten genutzt wird.

    Gruß, reservoir Dog
    Gibt der Klügere immer nach,herrscht die Diktatur der Dummen. - Wo Unrecht zu Recht wird,wird Widerstand zur Pflicht. - Doch: Das Einzige das einen davon abhalten kann die Wahrheit zu finden,ist zu denken man kenne sie bereits.
    ERLEBE ABENTEUER e.V.

  12. #8
    Gute Seele des Boards Avatar von keraM
    Registriert seit
    12.03.2006
    Beiträge
    13.190
    Bedankte sich
    202
    Erhielt 3.285 Danksagungen
    in 2.999 Beiträgen

    Standard

    Zitat Zitat von reservoir Dog Beitrag anzeigen
    In der Vergangenheit war der IE allerdings der unsicherste Browser.
    Woran machst Du das fest?
    An der Gesamtzahl der gefunden Lücken?
    Am Verhältnis Nutzerzahl zu Gesamtzahl der Lücken?
    Oder sollte man auch noch die Zeit einbringen, seit der es den Browser überhaupt gibt (Google Browser ist ziemlich neu und hatte auch schon einige böse Schwächen)?
    Um die Verwirrung komplett zu machen, kann man in diesem Zusammenhang vielleicht auch noch Zeitdauer vom Bekanntwerden der Lücke bis zum Patch in Betracht ziehen?

    Edit: Wie weit reicht die Vergangeheit zurück? Bis zu der Zeit, als der Netscape noch das Maß aller Dinge war?
    Ich leiste hier keinen Support mehr.

  13. #9
    Abenteurer & Moderator Avatar von reservoir Dog
    Registriert seit
    09.09.2008
    Ort
    auf diesem Planeten
    Beiträge
    2.192
    Bedankte sich
    40
    Erhielt 330 Danksagungen
    in 283 Beiträgen

    Standard

    Wieso der IE für Hacker am interessantesten ist habe ich ja bereits angesprochen.
    Den Google-Browser würde ich persönlich aus ganz anderen Gründen nicht nutzen.

    Ein Profi wie du kann sich die gestellten Fragen doch selbst beantworten. Jeder andere mittels Recherche ebenfalls.
    Wäre schade, wenn dieser Thread sich ähnlich entwickelt wie der andere von mir angesprochene.

    Klar ist die angesprochen Lücke ist geschlossen und 100 % sichere Browser gibt es nicht.
    Welchen Browser man nutzt ist im Idealfall eine bewusste Entscheidung jedes Einzelnen.

    Gruß, reservoir Dog
    Gibt der Klügere immer nach,herrscht die Diktatur der Dummen. - Wo Unrecht zu Recht wird,wird Widerstand zur Pflicht. - Doch: Das Einzige das einen davon abhalten kann die Wahrheit zu finden,ist zu denken man kenne sie bereits.
    ERLEBE ABENTEUER e.V.

  14. #10
    Gesperrt
    Registriert seit
    15.04.2005
    Ort
    Oberhausen Rhld.
    Beiträge
    2.669
    Bedankte sich
    69
    Erhielt 56 Danksagungen
    in 45 Beiträgen

    Standard

    Hi,

    am einfachsten wäre es wohl nen Text Browser zu nutzen Der dürfte wesentlich unanfälliger sein...

+ Antworten
Seite 1 von 5 1 2 3 4 5 LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein