Problem bei FTP-Zugriff

  • VB.NET

Es gibt 36 Antworten in diesem Thema. Der letzte Beitrag () ist von Samus Aran.

    Gut, mach mal ein Programm, was etwas auf deinen Webspace hochlädt.
    Innerhalb von 2 Minuten (oder weniger), hat jeder der etwas erfahrung hat, deine FTP Daten.
    Bei PHP werden keine Userdaten benutzt. Deshalb bringt das sniffen auch mal rein gar nichts, "Angriffe" (Ich versteh darunter jetzt mal unbefugtes uploaden über die upload php) kann man mit ein paar Sicherheitskeys unterbinden.
    FTP verschickt meines Wissen das Passwort unverschlüsselt, das heißt so viel, wie wenn jemand die FTP Verbindung snifft, hat er auch die Zugangsdaten...
    Bei SFTP geht das wiederum nicht...
    PHP ist sogesehen auch nur sicherer, wenn man damit nur bestimmte Sachen zulässt vorher alles überprüft und am besten auch eine Verschlüsselte Verbindung aufbaut...
    Ich wollte auch mal ne total überflüssige Signatur:
    ---Leer---
    Interessant.
    Das heißt, wennich mittm DateiBrowser was hochlade, kann einer sniffen und kriegt mein arcor-benutzerkonten-passwort?

    Komisch, dassesdann überhaupt legal ist, was anneres als SFTP zu verwenden.

    Ich hätte ja erwartet, wennich .NetworkCredentials angeben muß, dass da drinne iwas verkapselt ist, dasses dann auch über eine sichere Verbindung abgewickelt wird.
    Weil das ist doch wirklich direkte Förderung von Computerkriminalität.

    Auch bei Mails ist die Übertragung des Passworts häufig noch unverschlüsselt, bei den meisten Internetseiten mit normaler Login-Funktion ebenfalls, das wird dann meistens erst in der Datenbank als Hash gespeichert und auch erst Serverseitig in einen Hash umgewandelt um es zu überprüfen...
    Ich wollte auch mal ne total überflüssige Signatur:
    ---Leer---
    Wenn ich deine Meinung ein bisschen weiter ausbaue, sollten Messer verboten werden, weil man damit Leute erstechen kann?
    Man kann die Leute nicht in Watte packen. Wenn die schlichtweg zu dumm sind, ihr Zeug zu schützen, ist das deren Schuld.

    ErfinderDesRades schrieb:

    Das heißt, wenn ich mittm DateiBrowser was hochlade, kann einer sniffen und kriegt mein arcor-benutzerkonten-passwort?
    Also wenn du z.B. was mit Filezilla was von deinem Computer was hochlädst, kann es nicht gesnifft werden (es ist aber möglich, dafür müsste man aber in nem Netzwerk uns so weiter sein). Wenn aber z.B. dein Programm, auf einem PC eine Datei hochlädt, können die Daten gesnifft werden.

    Wenn ich deine Meinung ein bisschen weiter ausbaue, sollten Messer verboten werden, weil man damit Leute erstechen kann?
    Das ist etwas übertrieben. Es würde keinen stören, wenn nurnoch über sftp übertragen wird (außer vll. diejenigen die das pw sniffen wollen). Beim Messer sieht das schon anders aus, wie schneiden oohne eins?

    Samus Aran schrieb:

    Wenn die schlichtweg zu dumm sind, ihr Zeug zu schützen, ist das deren Schuld.

    nein.
    Das ist derselbe beschissene Zynismus, mit dem man Leuten begegnet, die beklaut werden: "pass doch auf deine Sachen auf". (Und vergewaltigte Frauen? Sind die jetzt auch wieder selber schuld?)

    IMO sollte's doch technisch möglich sein, dass ein Server Authentifizierungs-Anfragen überhaupt nur per Ssl entgegennimmt.
    Und das kann man auch gesetzlich durchsetzen - du lieber himmel!
    Das muß einfach technischer standard sein, der verlangt wird (die verlangen glaub noch ganz annere Sachen vonne Serverbetreiber). Ich mein, bei allen möglichen Produkten gibtsn TÜV, dass man drauf vertrauen kann, sich und annere durchs Produkt nicht in Gefahr zu bringen.

    mittm ungeschützten webspace isses ja auch so, damit gefährde ich mich selbst noch am wenigsten: Ich denk mir nur, der wird iwie als Basis-Station für Spammer, Spyware und Virenschleudern okkupiert etc..

    Und die Leute, die sich nicht schützen können, sind nicht schuld daran.
    Webspace wird an jederman verkauft, also auch an noobs, und das ist auch i.O..
    Schuld sind zunächstmal die Täter, die die Sicherheitslücken ausnutzen, aber auch die, die die Sicherheitslücken nicht schließen. Und auch die, dies nicht verpflichtend machen, dasse geschlossen werden.

    Der Vergleich mittm Messer hinkt erheblich. Ein sicheres Messer kanns prinzipiell nicht geben - man will ja schneiden.
    Aber ein sicherer Passwortschutz - (ich sag nicht total sicher, aber gegen sniffer-Angriffe zB. 10000mal sicherer) - das ist technisch ühaupt kein Problem, ja das kostet nichtmal was (s.o.: 1 Zeile Code).

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „ErfinderDesRades“ ()

    (Und vergewaltigte Frauen? Sind die jetzt auch wieder selber schuld?)
    Das ist genauso überzogen wie mein Beispiel, und das weißt du auch. :D

    Und das kann man auch gesetzlich durchsetzen - du lieber himmel!
    Wenn sowas gesetzlich durchgesetzt wird, landen wir im totalen Chaos, da dann jeder kleinste Scheiß gesetzlich durchsetzbar wird.

    Und wenn man Software gegen Sniffer schützt, gibts immer noch die Decompiler (gut, dagegen kann man sich auch schützen, kostet aber ne Menge).
    Machs einfach per PHP und schlag dich nicht mit so nem Driss rum.

    Samus Aran schrieb:

    Das ist genauso überzogen wie mein Beispiel, und das weißt du auch.
    nein, das ist exakt das weitergedacht, was du ausgesagt hast: "Wer sich nicht schützen kann (ob aus Dummheit oder mangels Kampfkraft), ist selber schuld".

    Samus Aran schrieb:

    Wenn sowas gesetzlich durchgesetzt wird, landen wir im totalen Chaos, da dann jeder kleinste Scheiß gesetzlich durchsetzbar wird.
    Hä?
    Wie gesagt: Derzeit werden ja noch ganz andere Sachen durchgesetzt.
    Ich sehe überhaupt keinen Zusammenhang - einerseits die Internet-Sicherheit wesentlich erhöhen (und zwar fast kostenlos), andererseits "jeden kleinsten Scheiß durchzusetzen".
    Wenn das Passwort natürlich mit in den Code kommt ist PHP wirklich sicherer, denn dann kann man ja eine eigene Passwort Frage Einbauen(am besten noch Schlüsselaustausch) und zusätzlich das PW nur als Hash verschicken, dann haste 100% der Script Kiddies weg...xD
    Ich wollte auch mal ne total überflüssige Signatur:
    ---Leer---
    Wie gesagt: Derzeit werden ja noch ganz andere Sachen durchgesetzt.
    Und diese Sachen sind genauso bekloppt wie das, was du vorgeschlagen hast. Dieser Satz ist einer nach dem "Aber die anderen machen das doch auch"-Prinzip. :pinch:
    Und für die Sicherheit haben immer noch die Leute selbst zu sorgen.

    Samus Aran schrieb:

    Dieser Satz ist einer nach dem "Aber die anderen machen das doch auch"-Prinzip. :pinch:
    Sorry - so meinte ich das bestimmt nicht. Ich bin sicherlich der allerletzte "die anneren machen auch..." - Verfechter.
    Ich wollte damit sagen: Wo bleibt das totale Chaos, welches ja deiner Meinung nach ausbricht, wenn man eine höhere Internet-Sicherheit auch juristisch erzwingt? Es wird noch ganz annerer Käse verzapft (eben wirklich Käse), und wegen dem bricht das Chaos auch nicht aus - oder - anders gesehen: es ist eh schon sowas von ausgebrochen, das kann man einer geänderten Verordnung zum Betreiben von Webservern sicherlich nicht anlasten.

    Nein - die ganze Argumentation ist Käse: Wenn ein Gesetz gemacht wird, bedeutet das nicht, dass deswegen jeder Scheiß gemacht wird (als ob der Sch... andernfalls unterbliebe).

    Samus Aran schrieb:

    Und für die Sicherheit haben immer noch die Leute selbst zu sorgen.
    Ja, aber sie könnens doch nicht! Wie kann man dann sonen Stuß in den Raum stellen?

    Wie gesagt: Wenn man prinzipiell die Sicherheit nicht erhöhen könnte, oder wenn das iwie irre teuer wäre - das wären Argumente.
    Aber hier scheint mir, man kann die Sicherheit für total billig erheblich erhöhen - und das zu unterlassen kommt mir vor, wie zuzulassen, dass Balkone ohne Geländer gebaut werden ("für die Sicherheit haben immer noch die Leute selbst zu sorgen").
    Nein.
    Es gibt technische Standards, und die muß man verlangen. Vlt. muß man Standards auch erst einrichten - das ist meine Idee, ja.

    Kann auch gut sein, dasses auch triftige Gründe gibt, dass WebProvider an dem Punkt nicht zu höherer Sicherheit gezwungen sind, aber das ausbrechende Chaos und die Beklopptheit des Vorschlages kann ich nicht dazu zählen.
    Eben. So viel zu den tollen Standards.
    Edit:
    Ja, aber sie könnens doch nicht!
    Pech. Es gibt auch Abertausende Menschen, die nicht vernünftig Auto fahren können, OBWOHL das so vorgeschrieben ist (Straßenverkehrsordnung). Und?