|
You last visited: Today at 04:33
Advertisement
[Projekt] Sicheres, soziales Netz
Discussion on [Projekt] Sicheres, soziales Netz within the Web Development forum part of the Coders Den category.
04/15/2012, 02:13
|
#16
|
elite*gold: 44 
Join Date: May 2010
Posts: 2,053
Received Thanks: 1,747
|
Quote:
Originally Posted by PseudoPsycho
#update:
Nach zahlreichen Versuchen: Problem gelöst.
Habt also einen Blick hierdrauf:  
Passwort: Demo-Artikel |
Bei mir kommt nur wirres Zeug:
Quote:
|
オ→ᅧﲡ £ᅤソ﴿ソ瀿ﲿ︿ ソ£ǿ
|
Ich bin mir eigentlich ziemlich sicher den Schlüssel (mehrmals) korrekt eingegeben zu haben.
|
|
|
|
04/15/2012, 10:40
|
#17
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Quote:
Originally Posted by M@shkin
Bei mir kommt nur wirres Zeug
|
Ach ja, sorry.
Ich hatte etwas am System geändert, um einen Bug rauszukriegen...
Der Artikel funktioniert jetzt wohl nicht mehr.
Probier 'mal
Gerade online gestellt, müsste klappen.
|
|
|
|
|
04/15/2012, 19:19
|
#18
|
elite*gold: 0
Join Date: Dec 2007
Posts: 322
Received Thanks: 98
|
Hier einmal meine Fragen und Gedanken zu dem Projekt:
Grundsätzlich begrüße ich Projekte, die sich für Datenschutz und freie Kommunikation einsetzen. Ich habe mir daher einmal das Konzept aus dem ersten Post durchgelesen und mir die (Test-)Projektseite angesehen. Dort stellte ich allerdings einige meines Wissens nach falsche, recht schwammig formulierte oder widersprüchliche Textpassagen fest.
So wird der Login wie folgt beschrieben:
Quote:
|
Das bei der Registration angegebene Passwort soll via SHA256 in einen Hash umgewandelt und erst dann gespeichert werden. Dies macht das Auslesen per SQL-Injektion unmöglich, [...]
|
Die letzte Aussage ist falsch, denn der Passwort -Hash kann grundsätzlich immer ausgelesen werden, sobald ein Angreifer das System irgendwie kompromittiert. Es wird ihm jedoch erschwert an den Klartext des Kennwortes zu gelangen, insofern der Nutzer kein "schwaches" Kennwort gewählt hat, das anfällig gegen eine Wörterbuchattacke ist.
Quote:
Kommentare mit zusätzlicher Abfrage erhalten
einen eigenen, zufällig generierten Key, der einmalig dem Ersteller mitgeteilt, jedoch
nirgendwo gespeichert wird (hochgradige Verschlüsselung).
|
Hier liegt in meinen Augen der "kryptografische Single point of failure". Die Sicherheit der verschlüsselten Nachrichten hängt hier nur davon ab, dass der Server des Betreibers nicht kompromittiert ist oder gewollt Daten gespeichert und (beispielsweise an Ermittlungsbehörden) weitergegeben oder sogar selbst verwendet werden. Damit ist die Aussage, dass nicht einmal die Betreiber der Plattform die Möglichkeit hätten, Informationen auszulesen und zu veröffentlichen (vgl. Konzept.pdf, Zeile 8-9), hinfällig.
Außerdem müssten die User irgendwann riesige Kennwortlisten speichern, die alle Passwörter für all ihre verschlüsselten Kommentare beinhalten. Das halte ich nicht für benutzerfreundlich.
Weiterhin verstehe ich nicht recht, wie "anonyme" Kommentare (die in Wahrheit auch keine sind, weil jederzeit verfolgt werden kann, wer diese verfasst hat) und das Einbinden der "Like-", "+1"- und "Tweet"-Buttons in dieses Konzept passen.
Jeder User soll wohl ein Profil ähnlich wie bei Facebook erhalten, auf dem dann Kommentare veröffentlicht werden können. Wenn sich ein User nun entscheidet, einen Kommentar "anonym" zu veröffentlichen, wo wird dieser dann angezeigt? In einem öffentlichen Feed (bzw. "Timeline" in Twitter)?
Zum "Like-Problem": Wenn "Sec-Soc-Net"
Quote:
eine sichere und datenschutztechnisch-unbedenkliche
Alternative zu den bereits bestehenden sozialen Netzwerken
|
bieten soll, halte ich es im Bezug auf die Anonymität der User nicht für angebracht, diese über "nicht sichere" sozialen Netzwerke "Likes" geben zu lassen. Mal abgesehen davon habe ich z.B. auf Google Plus bisher noch keine Facebook-Buttons gesehen.
Ich stelle hiermit nicht das gesamte Konzept in Frage, aber ich würde als potenzieller Nutzer diesem Projekt in dieser Form kaum Vertrauen schenken.
|
|
|
|
|
04/15/2012, 20:46
|
#19
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Quote:
Originally Posted by mydoom
Hier einmal meine Fragen und Gedanken zu dem
Die letzte Aussage ist falsch, denn der Passwort-Hash kann grundsätzlich immer ausgelesen werden
|
Stimmt, was die Aussage nicht falsch macht.
Von einem Hash/Hmac kann man höchstens via Bruteforce noch auf das Passwort schließen.
Quote:
|
Hier liegt in meinen Augen der "kryptografische Single point of failure". Die Sicherheit der verschlüsselten Nachrichten hängt hier nur davon ab, dass der Server des Betreibers nicht kompromittiert ist oder gewollt Daten gespeichert und (beispielsweise an Ermittlungsbehörden) weitergegeben oder sogar selbst verwendet werden. Damit ist die Aussage, dass nicht einmal die Betreiber der Plattform die Möglichkeit hätten, Informationen auszulesen und zu veröffentlichen (vgl. Konzept.pdf, Zeile 8-9), hinfällig.
|
Klar, wenn man das System ändert, kann man mit dem neuen, ANDEREN System auch andere Bedingungen schaffen...
Quote:
|
Außerdem müssten die User irgendwann riesige Kennwortlisten speichern, die alle Passwörter für all ihre verschlüsselten Kommentare beinhalten. Das halte ich nicht für benutzerfreundlich.
|
System wurde längst auf benutzerdefinierte Passwörter umgestellt.
Quote:
|
Weiterhin verstehe ich nicht recht, wie "anonyme" Kommentare (die in Wahrheit auch keine sind, weil jederzeit verfolgt werden kann, wer diese verfasst hat) und das Einbinden der "Like-", "+1"- und "Tweet"-Buttons in dieses Konzept passen.
|
Schonmal mit der Maus drüber gefahren oder genau im Konzept nachgelesen?
Wegen der 2-Klick-Methode wird ohne Nutzereinwilligung keine Verbindung aufgebaut.
Quote:
|
Jeder User soll wohl ein Profil ähnlich wie bei Facebook erhalten, auf dem dann Kommentare veröffentlicht werden können. Wenn sich ein User nun entscheidet, einen Kommentar "anonym" zu veröffentlichen, wo wird dieser dann angezeigt? In einem öffentlichen Feed (bzw. "Timeline" in Twitter)?
|
Der Nutzer bekommt die URL des Kommentars mitgeteilt und hat optional die Möglichkeit, den Beitrag im Profil zu zeigen.
Wenn er dies nicht möchte, kann er SSN auch als "Informationsmedium" nutzen und den Link per Mail an die Leute schicken, die's lesen sollen.
Quote:
Zum "Like-Problem": Wenn "Sec-Soc-Net" [...]
bieten soll, halte ich es im Bezug auf die Anonymität der User nicht für angebracht, diese über "nicht sichere" sozialen Netzwerke "Likes" geben zu lassen.
|
s. oben
Quote:
|
Mal abgesehen davon habe ich z.B. auf Google Plus bisher noch keine Facebook-Buttons gesehen.
|
Es ist einfach eine Schnittstelle, um es Nutzern zu erleichtern, da wir die Plugins datenschutztechnisch akzeptabel eingebaut haben.
Google möchte natürlich nicht die Konkurrenz fördern;
wir sind nonkommerziell und wollen den Nutzer fördern, statt den Geldbeutel.
|
|
|
|
|
04/18/2012, 21:30
|
#20
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Namensvorschläge!!!
Hi!
Da sec-soc.net nun alles andere als "anziehend" klingt, sind wir gerade am Überlegen für einen neuen Namen...
Man könnte es zwar auch SSN abkürzen, hat dann jedoch Schwierigkeiten, eine geeignete Domain zu finden, da diese bereits registriert sind.
Unsere derzeit beste Überlegung wäre privynote.net, entsprechende Domain wäre ebenso wie die .de-Variante frei, sowohl mit wie auch ohne Bindestrich... 
Fällt einem von euch 'was besseres ein, wären wir über Kommentierung dankbar.
|
|
|
|
|
04/19/2012, 17:19
|
#21
|
elite*gold: 0
Join Date: Apr 2011
Posts: 351
Received Thanks: 57
|
Werden die Daten auch verkauft? 
SecString SecretNote SecretBook
|
|
|
|
|
04/19/2012, 17:29
|
#22
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Quote:
Originally Posted by qickly
Werden die Daten auch verkauft? |
Neeeiiin! Genau das ist ja der Sinn dahinter, nicht zu tun...
Quote:
|
SecString SecretNote SecretBook
|
Ok, danke. Da gefällt mir PrivyNote jedoch besser
|
|
|
|
|
04/19/2012, 17:47
|
#23
|
elite*gold: 0
Join Date: Apr 2011
Posts: 351
Received Thanks: 57
|
Das war ein Scherz mit den Daten.
Noch eine wichtige Frage: Warum sollte man gerade dein Social Network benutzten? Es gibt bestimmt auch andere Sichere.
|
|
|
|
|
04/19/2012, 18:19
|
#24
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Quote:
Originally Posted by qickly
Noch eine wichtige Frage: Warum sollte man gerade dein Social Network benutzten? Es gibt bestimmt auch andere Sichere.
|
Hab' schon gegoogelt, aber nichts gefunden, was meinen Ideen auch nur ansatzweise nahekommt...
Konzept gelesen? Dort sind nämlich auch einige Vorteile aufgeführt, die es in anderen Netzwerken so nicht gibt...
|
|
|
|
|
04/21/2012, 00:58
|
#25
|
elite*gold: 0
Join Date: Apr 2011
Posts: 351
Received Thanks: 57
|
Dann freue ich mich wohl mal auf gute Ergebnisse.
Hast du schon was zum Hosten?
|
|
|
|
|
04/21/2012, 12:58
|
#26
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Quote:
Originally Posted by qickly
Dann freue ich mich wohl mal auf gute Ergebnisse.
Hast du schon was zum Hosten?
|
Ja, bislang bin ich bei PHP-Friends.de, der andere Programmierer hat aber (wenn ich ihn richtig verstanden habe) schon 'nen vServer bestellt.
|
|
|
|
|
04/25/2012, 17:43
|
#27
|
elite*gold: 0
Join Date: Apr 2012
Posts: 36
Received Thanks: 6
|
anonetwork
|
|
|
|
|
04/25/2012, 18:39
|
#28
|
elite*gold: 2
Join Date: Jul 2009
Posts: 14,456
Received Thanks: 4,685
|
Hab jetzt nicht so viel über das Konzept gelesen, wollt aber mal anmerken, dass einmaliges Hashen einen vergleichweise geringen Schutz darstellt.
Es sollte zumindest für jeden User ein Salt angelegt werden, ansonsten wäre im falle eines db dumps nach kurzer zeit ein Großteil der Passwörter per rainbow tables entschlüsselt.
|
|
|
|
|
04/25/2012, 19:53
|
#29
|
elite*gold: 1715
Join Date: Dec 2011
Posts: 672
Received Thanks: 207
|
Quote:
Originally Posted by Damo-Development
anonetwork |
Welche URL? Ich finde da nur Seiten, die mir irgendwas verkaufen wollen... 
Quote:
|
Originally Posted by Lawliet!
Hab jetzt nicht so viel über das Konzept gelesen, wollt aber mal anmerken, dass einmaliges Hashen einen vergleichweise geringen Schutz darstellt.
Es sollte zumindest für jeden User ein Salt angelegt werden, ansonsten wäre im falle eines db dumps nach kurzer zeit ein Großteil der Passwörter per rainbow tables entschlüsselt.
|
Ist mir klar. Es handelt sich dabei um einen HMAC. Sprich: Salt und Key.
|
|
|
|
 |
|
Similar Threads
|
Sicheres Gold
09/29/2011 - World of Warcraft - 10 Replies
Ne frage hat jemand mit dieser Seite Erfahrung und sich schonmal dort WoW Gold gekauft?
Wow Gold,Wow Gold Kaufen,Billig Wow Gold bei Wowgoldor.de
|
"Google+" - Soziales Netzwerk steht nun allen offen
09/23/2011 - User Submitted News - 6 Replies
Es gibt ein neues Social Network, welches den Namen google+ trägt. Nachdem google+ nur für eingeladene Personen offen stand, wird die Open Beta des neuen Social Networks für jedem zugänglich sein.
Ein Sprecher hat dies nun bestätigt:
Nach dem Start des Dienstes im Juni konnten sich neue Nutzer bislang nur nach Einladung einen Account anlegen, dennoch sind Berichten zufolge schon 20 Millionen Nutzer angemeldet.
Games wie (Angry Birds), PopCap (Bejeweled Blitz) und EA (Dragon Age...
|
[WICHTIG] tut was Soziales!
03/30/2010 - Off Topic - 59 Replies
Hallöle,
Habe mal eine aussergwöhnliche Bitte. Im moment gibt es eine Abstimmung für einen Trimmy-Parkour für einen Kindergarten. Unser Kindergarten würde dringend so einen brauchen. Aber da wir aufm Dorf leben haben wir nicht allzu große chancen gegen Großstädte wie Berlin etc., darum bittet der Kindergarten Spatzennest Hövel um eure Stimme! ;-)
folgendes müsste ihr tun:
geht auf die Seite www.trimmy.de
-> "jetzt Stimme abgeben"
-> noch ma "jetzt Stimme abgeben"
-> bei Plz: 59846
|
[WoW]Handwerksfertigkeiten und Soziales
08/31/2004 - User Submitted News - 0 Replies
Das nenne ich doch einmal eine feine Sache.
Eine Europäsche Seite die mehr oder weniger Regelmässig mit News auftaucht.
Aber über den EU - Beta status verlieren sie auch kein Wort :(
|
All times are GMT +1. The time now is 04:34.
|
|
![[Projekt] Sicheres, soziales Netz](https://www.elitepvpers.com/forum/iconimages/web-development/projekt-sicheres-soziales-netz_ltr.gif){kind=small}
