PCGH & SSL-Verschlüsselung

[lomex11]

AW: PCGH & SSL-Verschlüsselung

Das Passwort wird lediglich bei seiner Erstellung im Klartext verschickt, aber nicht im Klartext gespeichert. (Falls der E-Mail-Account kompromittiert ist, ist es egal, ob das Passwort im Klartext ausgelesen oder via Passwort-Vergessen-Funktion zurückgesetzt werden kann.) Die Passwörter für alle Nutzer-Accounts sind gesalzen und doppelt gehasht.

Vielen Dank für deine Rückmeldung. Genau darum ging es ja auch in meinem Post. Das Passwort sollte nicht als Klartext per E-Mail verschickt werden. Ich finde es schon erstaunlich, dass hierfür die Gründe, besonders in einem PC-Forum nicht offensichtlich sind.

1. Das Passwort liegt nun unverschlüsselt im Posteingang.
2. Das Passwort liegt unter Umständen lokal auf dem Rechner in Outlook/Thunderbird usw.
3. Man ist in einem Internetcafe oder z.B. Universität und es lässt sich nicht vermeiden, dass der Sitznachbar mitliest.
...

Besonders in dem Fall, dass der Nutzer sein Passwort auf mehreren Seiten verwendet, ist das besonders problematisch. Man kann natürlich nun, wie schon oft hier gemacht, argumentieren dass man das nicht machen soll. Allerdings ist es eher so das der GROSSTEIL der Nutzer einfache Passwörter verwendet und häufig auch das gleiche Passwort auf vielen Seiten. Durch das Ändern einer einzigen Codezeile könnt ihr dieses Problem lösen. Oder man diskutiert weiter herum dass es die Verantwortung des Nutzers ist. Aber wieso ein Sternchen (***) Feld wenn ihr danach das Passwort eh im Klartext rum schickt?

 

[ZAM]

AW: PCGH & SSL-Verschlüsselung

Die Passwörter für alle Nutzer-Accounts sind gesalzen und doppelt gehasht.

Es ist sogar auf noch anderen Ebenen abgesichert, aber das wären zu viele Details. ^^

Übrigens hier noch mal der Hinweis bzgl. des Mailings.
http://extreme.pcgameshardware.de/p...-bug-thread-vbulletin-4-a-72.html#post6229615

 

[marvinj]

SSL-Zertifikat

Morgen,
heute versuchte ich mal PCGH per veschlüsselter Verbindung aufzurufen. Allerdings stimmt da wohl was mit dem Zertifikat nicht, bzw. es wurde kein dediziertes für die PCGH-Website und die pcghx.de Domain hinterlegt. Wahrscheinlich ist dies gewollt, aber für die heutige Sicherheit . So ein Zertifikat von einer CA kostet n' Appl' und n' Ei


Oder ist der Plan, dass hier sowieso nichtkritische Inhalte widergegeben werden, und somit auf eine SSL/TLS Verschlüsselung verzichtet wird?
Gruß

 

[DKK007]

AW: SSL-Zertifikat

Selbst für den Login gibt es kein https.

Wenn der Webspace SSL unterstützt, kostet das Zertifikat nicht mal was: https://letsencrypt.org/

 

[keinnick]

AW: SSL-Zertifikat

Wurde hier schon mal thematisiert: http://extreme.pcgameshardware.de/p...-forum-/329684-pcgh-ssl-verschluesselung.html

Bilde sich jeder seine eigene Meinung. Einiges was dort steht ist schlichtweg falsch (Stichwort: dedizierte IP erforderlich > Lösung: SNI).

 

[marvinj]

AW: SSL-Zertifikat

Interessant zu lesen, habe ich wohl in der Suche übersehen. Dennoch ist das doch wirklich keine Lösung...