• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

NGB PasswortManager

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Was zum.... Was will er?
.. viele kennen vermutlich LastPass, an sich ein recht guter Dienst - aber wer weiß was die mit unseren Daten wirklich machen.
Nur welche Alternativen gibt es?
Wir hatten vor einiger Zeit genau diese Diskussion auch hier im NGB - in abgewandelter Form (Wie kann ich einer dritten Partei ein vertrauliches Passwort zur Verfügung stellen ohne das die Vertraulichkeit verloren geht).

Eine richtig gute, kostenfreie und leicht zu bedienende Lösung ist dabei nicht rum gekommen.
Vorteil an LastPass ist meiner Meinung nach die nahtlose Integration die diverse Browser und somit das Ausfüllen von Formularfeldern auf Wunsch mit einem Klick passiert.
Die Passwörter werden zentral abgelegt und stehen somit "überall" zur Not auch ohne Browser-Erweiterung zur Verfügung.

Hier kommt der NGB PasswortManager ins Spiel.
Die Idee ist ein OpenSource-Produkt zu entwickeln das jeder auf einem Webspace / Server etc. selber hosten kann.
Bei der Entwicklung sollten vor allem im Bereich der Verschlüsselung bekannte und bereits auditierte Libs verwendet werden.
Es bietet sich eventuell an sich Beispiel an vorhandenen Programmen zu nehmen welche einen Teil der Zielfunktionen abbilden:




Wir haben hier im Forum leute die sich mit Programmierung auskennen, welche die was von Verschlüsselung und Sicherheit verstehen.

Somit:
Wer hätte Lust sich an so einem Projekt zu beteiligen / mit welchen Fähigkeiten?


Ich würde - wenn sich kein anderer findet der das machen möchte - die Projektverwaltung / Moderation übernehmen sowie mit an der Oberfläche und evtl. Serverseitigem Code arbeiten.
Das NGB an sich tritt als Platform für Support, evtl. hosting der Scripte usw. auf.

Was nun?
... raus mit euren Gedanken, Ideen und Vorschlägen!
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Wir hatten vor einiger Zeit genau diese Diskussion auch hier im NGB - in abgewandelter Form (Wie kann ich einer dritten Partei ein vertrauliches Passwort zur Verfügung stellen ohne das die Vertraulichkeit verloren geht).
Stinkt nach den üblichen DRM Implementierungen.

Was hat man sich also dabei Gedacht?
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #3
DRM? wie meinen bzw. wer hat sich was gedacht? verstehe den Zusammenhang gerade nicht.
 

darksider3

NGBler

Registriert
18 Sep. 2013
Beiträge
393
Ort
/dev/sda
Ich denke er spielt darauf an, wie im Zitat beschrieben, wie man einem externen Dienst Daten übermitteln kann ohne das der externe Dienst jedoch wirklich die Daten kennt -> DRM. Denke ich. O_o
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Ich hatte zur Verfügung stellen eher so verstanden das die Partei auch Zugriff darauf hat. Sonst ist das ein ebenso alter Hut aber ein gelöstes Problem.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #7
Nein der alte Thread ging darum das ein IT-Dienstleister für einen neuen Kunden ein System aufsetzt >> 20 Administrative Passwörter hat und diese dem Kunden zugänglich machen möchte + selber darauf Zugriff haben muss (da unter Wartung) - das ganze natürlich Sicher. Und vermutlich hat man nicht nur einen Kunde.

Der Thread war aber mehr nur der Auslöser... - darum geht es hier schlicht überhaupt nicht.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
Also grundsätzlich bin ich persönlich immer offen für neue Ideen, ich seh es allerdings so:

Bei einem Webinterface muß sichergestellt sein, das es sicher ist, heißt mindestens ein Passwortschutz, Logging von Zugriffen und Sperren/Vermeidung von BruteForce Angriffen.
Eine mögliche Hemmschwelle die mir einfällt, die Verwendung von Javascript um Inhalte dynamisch zu erstellen, versus Hardgecodete HTML Formularfelder zum Beispiel, weil Javascript schlecht emuliert werden kann von maschinellen Lösungen.
Dann könnte eventuell die Eingabe eines selbst-gehosteten(!) Captchas auch dafür sorgen, das zumindest maschinell nicht so viel unfug mit dem Login getrieben werden kann, wenn zum Beispiel etwas aus dem Javascript herausgelesen werden können sollte.

Zusätzlich sollte eine Benutzerverwaltung da sein, heißt, es gibt keinen Standarduser, sondern Kombinationen aus eigenem "unbekanntem Username" + "Passwort" ( +- Captcha). Eventuell auch Benutzergruppen.

Dann wäre die Frage, zeigt man alles Passwörter nach einem Login in einer Übersicht, oder können diese zusätzlich durch weitere Passwörter abgesichert werden? (Vielleicht auch too much....)

Was und wie man das am besten implementieren kann, hängt wohl von den verwendeten Sprachen ab.

Im weiteren müsste man überlegen wie zum Beispiel ein BrowserAddon auf eine frei konfigurierbare URL Zugreifen kann und Daten verschlüsselt abrufen kann, die dann zum Beispiel über das Addon entschlüsselt werden, dann zum Beispiel in Formularfelder übertragen werden können.
Genauso mit dem Eintragen von URLs (Hauptdomains +- Subdomains) wie es zum Beispiel Secure Login macht in Firefox - um Daten an das System zu senden und für eine Domain verfügbar zu halten, hier müsste sich zum Beispiel auch auf die Feldnamen bezogen werden,, würde ich meinen, damit die Daten nicht wahllos in anderen Inputfelder landen können, was ja zur Sicherheit des Users beiträgt.

Hier müsste man sich schlau machen, welche Libs zu ver/entschlüsslung es auf Seiten des Browsers gibt, die man in ein Add-On Bundlen kann - auch um sicherzustellen das keine Plain Passwort Daten übertragen werden an das System bzw. empfangen werden.

Außerdem sollte das Projekt so flexibel sein, das gewisse "Standardurls" wegfallen was das Login-Interface oder andere Schnittstellen anbelangt, heißt "nicht!" "admin/wp-admin.php" sondern frei konfigurierbar bzw. dynamisch und sich diese Pfade merken so das random Access auf sensible Dateien unterbunden wird. Also auch irgend nen "random" Hauptordner zum Beispiel in dem die Daten liegen. Vielleicht mit Setup Wizard / Installation ähnlich wie Wordpress es handhabt.

Dann sollte auch eine htaccess dafür sorgen, das gewissen Ordner grundsätzlich nicht erreichbar sind bzw. Fehlermeldungen schmeißen als ob die Ordner/Seiten nicht existieren - aber da kenne ich mich weniger mit aus. Die Erstellung/Generierung könnte von einem Wizard übernommen werden.

Im weiteren sollten Checks implementiert sein von wo aus zugegriffen wird - Webinterface/Plugin in Browser XY mit Kennung was auch geloggt wird, Datum und Uhrzeit, vermutlich will niemand IPs mitloggen lassen.... BrowserAgent-String oder ähnliches was zumindest ansatzweise identifiziert.

Dann das (evtl. optinale) Mailen an einem Admin, wenn ein UserAgent sich ändert/von einem neuen Gerät zugegriffen wird, zum Beispiel wie es Google handhabt oder Gog.com oder andere. Und auch eine Email an den betreffenden User.
Eventuell kann man sogar soweit gehen, das neue Geräte die nicht "aktiviert" sind für diesen Account - über das Webinterface freigeschaltet werden sollen, bevor sie genutzt werden können, zum Beispiel für das Browser-Addon.
So ne Art "Identify my current setup/browser"... - andere Zugriffsoptionen sollten verwaltet werden können, durch den User selbst, also alte BrowserStrings entfernen, Geräte entfernen oder ähnliches. Eventuell wäre auch ein "zusätzliches Passwort" über das Addon, der einfache Weg einen Agent "freizuschalten" - aber wer weiß wie leicht man so etwas auch automatisieren kann.

Sind so meine spontanen Gedanken für euer vorhaben.... und ist mit Sicherheit nicht vollständig :)
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
In dem Kontext ist das aber durchaus wieder interessant und lösbar. Weil er keine Du darfst es sehen aber doch nicht Klausel beeinhaltet.

Das Problem mit DRM ist ja die kognitive Dissonanz im Anforderungsprofil. Weswegen haltbare Modelle da schon lange nicht mehr auf künstliche verkomplizierung setzen mit der permanenten Gradwanderug überhaupt noch zu funktionieren. Weil man obfusctaion dafür über Stabilität im Anfeorderungsprofil setzen muss.

Wenn man das verstanden hat, sind sichere Konzepte leicht umzusetzen. Geradeim kommerziellen Umfeld klkann man ja viele Angriffe per Paywall verhindern. Jeder Kunde bekommt eine Clientauthorisierung die bei missbrauch wie im Vertrag festgelegt ungültig gemacht wird. Banken fahren damit seit Jahrzehnten super. Ich rede von den Smartcards. Aber dazu braucht man keine Hardware, ein dickes Zertifikat reicht.

Deswegen reicht ein 4 stelliger numerischer PIN um über Bankkonten zu Verfügen. Weil nur der zuständige Authorisierte Client nur eine Hand voll versuche hat. Man muss das selbe Konzept nur übertragen. Dann kann man sogar gewisse historische Beschränkungen aufheben wie "4 Stellen Numerisch". Das Prinzip ist nur eine 2 Faktor Authentifizeierung mit entpsrechendem Sicherheitsbewusstsein der Nutzer.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #10
Das ist schon mal umfangreich @theSplit, wichtig ist ob / mit was / wer dazu beitragen wollen würde.
Was zu beachten ist und wie man das dann organisiert kann das *Team* denke ich erst mal gut klären. Durchaus öffentlich und jeder der nicht mit Entwickelt vom NGB soll selbstverständlich trotzdem Kommentieren.

Ich denke nur man muss so etwas Stück für Stück und geregelt angehen sonst Diskutiert man 10 Seiten über ein "Problem" das eventuell gar keines ist - oder erst später geklärt werden kann.

Allgemein arbeitet z.B. LastPass ja mit E2E-Verschlüsselung - das heißt eine Datei wird innerhalb des Browsers per Javascript ver/entschlüsselt mit dem gegebenen Passwort. Somit findet keine Übertragung persönlicher Daten zum Hoster statt und das Backend am Server muss "weniger" gesichert sein.
Was nicht heißt das man nicht darauf achtet - das Schutzniveau ist aber denke ich ein anderes wenn das maximale was ein Angreifer bekommen kann eine vollverschlüsselte Datei ist.

Statt Captcha würde ich eher auf 2-Faktor wie Google-Authenticator gehen.

@alter_Bekannter - schön :D
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
@drfuture: Google-Authenticator sagt mir per se jetzt nichts, vielleicht kannst du dazu ja noch etwas schreiben ;) - aber so lange da keine Dienste (Captcha-Solve zum Beispiel) dritter in das System eingebunden werden, wäre ich per se dafür. Es geht ja (mir nur) darum dass das System für sich aus arbeitet, ohne irgendwo hin zu verbinden, wo es gar nicht hin verbinden sollte bzw. das es keine "Lebenszeichen zeigt". Daher würde ich spontan auch nicht so ein nerviges "I am not a robot" von Google einbinden in so etwas. Aber das wäre meine Herangehensweise.

Die Captcha Idee sollte ja nur verhindern, das ein maschineller Angriff (ist natürlich nicht auszuschließen) gefahren wird, um das System bei bekannter URL - schnell zu knacken. ;)
Aber da hat @alter_bekannter auch recht, man könnte das System einen User aussperren lassen, nach 10 falschen Login Attempts in 5-15 Minuten für die Dauer von mehrere Stunden, Tage, Permanent (auf Freischaltung durch selbst-angelgten Admin-Account/Namen, falls möglich)... ;)

Ansonsten, geb ich dir Recht, man kann mit Sicherheit nicht alles von vornherein berücksichtigen, aber gerade was mögliche Optionen sind, sollte man diese ausleuchten, also was für Libs/Bibliotheken gibt es, was sind mögliche Vorteile / Nachteile... und dann klar, ist es damit überhaupt so umsetzbar.

PS: Ahso, es muß ja keine Datei übertragen werden, reicht ja wenn die Daten in den RAM abelegt werden, glaube ich. :)
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Was ist falsch an KeeWeb?

Gibt auch Alternativen dazu.

Bitte das Rad nicht neu erfinden, sondern lieber einen "ngb Summer of Code" starten und sich eines vorhandenen FOSS-Projektes annehmen.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #13
KeeWeb:
- liest / schreibt Keepass-Container, läd diese jedoch entweder von Dropbox, Onedrive remote oder Datei mit passwörtern muss auf USB-Stick oder sonst wo mitgeführt / vorgehalten werden. Somit zusätzliche Abhängigkeit, Fremdanbieter, Zungangsdaten etc.
- Es gibt keine Browser-Integration, schlichte Passwort-Manager gibt es reichlich und sehr gute - nicht zuletzt natürlich Keepass. Für den Surf-Alltag finde ich diese jedoch nicht praktikabel.

Alternativen... Wie oben geschrieben habe ich mir die durchaus angesehen.
Bzw. habe ich oben sogar auf 2 verlinkt die man weiterentwickeln kann - von "Rad vollständig neu erfinden" war gar nicht die Rede.
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Ich habe ganz zu Anfang KeeFox für KeePass verwendet, ein firefox Addon. Aber irgendwie fand ich dann, dass ich meinen Passwortsafe nicht irgendeinem dahergelaufenen firefox Addon anvertrauen möchte.
Ist das ein Vorurteil? Sind die Plugin-Systeme von Browsern überhaupt sicher genug, um einen solchen Weg einzuschlagen?
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
@BurnerR: Frage an dich, wie sollte eine Webseite mit einem Add-on kommunizieren? + Bei dem das Addon nicht genau dafür ausgelegt ist? :)
 
Zuletzt bearbeitet:

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #16
Es ist dann nicht sicher wenn das Addon Felder ohne Nachfrage befüllt (am besten auch noch unsichtbare Felder....)
An sich laufen solche Addons aber als Javascript in einer insofern abgeschotteten Umgebung das das js nur mit den geöffneten Webseiten und dem Internet kommunizieren kann, wobei meines Wissens die Seite keinen Zugriff auf das Addon hat - nur das Addon auf die Webseite.

Den Punkt sollte man aber sicher noch mal validieren.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Ich habe ganz zu Anfang KeeFox für KeePass verwendet, ein firefox Addon. Aber irgendwie fand ich dann, dass ich meinen Passwortsafe nicht irgendeinem dahergelaufenen firefox Addon anvertrauen möchte.

Joke's on you, der Code von Keefox ist FOSS ;)

Aber recht hast du trotzdem, Keefox ist unsicher. Das haben auch die Entwickler bemerkt:
Serious security problems found in the current KeeFox 1.x add-on will still be fixed at least until version 2.0 is released and possibly beyond. Support for any version lower than 2.0 beyond the end of 2017 is uncertain but would likely be dependent on other KeeFox users offering time to help and maintain the old 1.x version.

Siehe auch: https://github.com/kee-org/browser-addon/issues/1

Vielleicht helfen wir einfach an dieser Stelle aus? Zu KeePass kompatible Software zu entwickeln oder zu verbessern fände ich sinnvoll, da ich selbst das Format nutze und es schon viele Apps etc. dafür gibt.
 

cokeZ

Aktiver NGBler

Registriert
14 Juli 2013
Beiträge
4.435
Ich könnte den Qualitätsmanager machen :D Zu mehr als HTML / Basic reichts beim Progr!mmieren leider nicht :/ (immerhin eine 1 auf dem Abgangszeugnis in Informatik gehabt :D)
 

Roin

Freier Denker

Registriert
22 Juli 2013
Beiträge
581
Ich lese erstmal ne Runde mit.
Sonst kann ich vielleicht PHP / JavaScript / C++ beitragen - jenachdem, wohin die Reise geht...
Allerdings kenne ich mich mit Browser-Addons beispielsweise gar nicht aus.
 
Oben