Also wohl doch lieber öffentlich...

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen zum Thema Cookies finden Sie hier und in unserer Datenschutzerklärung

  • Also wohl doch lieber öffentlich...

    TL; DR:
    Falls die Administratorin dieses Forums nicht innerhalb von 48 Stunden eine Timeline mitteilt wann das Sicherheitsproblem behoben ist (aka das Upgrade durchgeführt) oder falls dieser Post wieder zensiert wird werde ich das an das Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen weitergeben (siehe Spoiler).


    Vor etwas mehr als einer Woche habe ich hier einen Post geschrieben in dem ich mehrere Sicherheitsprobleme das Forum betreffend angesprochen habe.

    Dieser Post wurde innerhalb kürzester Zeit versteckt und ich wurde von @MonsterAsyl angeschrieben, dass man den Post versteckt hätte "um andere Nutzer nicht zu beunruhigen".

    Das sicherheitstechnisch mit Abstand größte Problem ist, dass die genutzte Forumsversion 4.1.x bereits seit mehr als 1,5 Jahren end-of-life (EOL) ist.
    Das bedeutet der Support ist eingestellt, es werden keine Sicherheitsupdates mehr angeboten und "Hacker" haben leichtes Spiel.

    Es ist absolut unverantwortlich ein öffentliches Forum mit EOL Software zu betreiben und das setzt eure Nutzer einer unkalkulierbaren und völlig unnötigen Gefahr aus!

    Auf meine erneute Nachfrage über email für wann das Upgrade geplant ist wurde mir kein Zeitraum genannt und es wurde klar gemacht, dass man mit mir darüber nicht mehr reden möchte und dass ich das Forum doch verlassen soll wenn mir das nicht passt.

    Ein Sicherheitsproblem welches seit 1,5 Jahren besteht und sogar 1 Jahr vorher bereits angekündigt wurde sollte man Ernst nehmen und nicht zensieren um es unter den Tisch zu kehren.



    @MonsterAsyl
    Da du mit mir ja privat nicht mehr "diskutieren" willst muss ich dir wohl öffentlich antworten:

    Es gibt im Internet ein allgemein anerkanntes Verfahren wie man ein sicherheitskritisches Problem meldet und auch wie man als Administrator damit umgeht und ihr habt auf ganzer Linie versagt.
    Inzwischen wäre ich nicht einmal mehr überrascht wenn ihr in der Vergangenheit sogar schon gehackt wurdet und das damals auch nur vertuscht hättet.
    Die einzig ansatzweise positive Tatsache war, dass ihr schnell ein Lebenszeichen auf meinen Post gegeben habt.

    Nein, nicht ich setze euch unter Druck.

    Es war seit dem 13.01.2019 klar wann BurningBoard 4.1.x EOL erreicht und das wurde den betroffenen Administratoren vom Hersteller wahrscheinlich sogar über einen langen Zeitraum immer wieder direkt mitgeteilt.

    Ihr hattet 2,5 Jahren Zeit für das Upgrade also geht es offenbar nur mit Druck.

    Sobald Software EOL ist, ist sie nicht mehr sicher und ihr als Administratoren habt eine Verantwortung euren Nutzern gegenüber.
    Diese Verantwortung ist sogar gesetzlich festgeschrieben.

    Da das Upgrade ja angeblich schon geplant ist sollte es ja kein Problem sein hier euren Nutzern jetzt den Zeitrahmen zu nennen?
    (Die Aussage "Das Upgrade kommt, wir sagen euch aber nicht wann ..." ist unzureichend.)


    Konversation mit dem Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen:
    Spoiler anzeigen

    Frage:

    [snip]

    ist es möglich eine Beschwerde einzureichen wenn ein Forum eine Softwareversion nutzt, die seit mehreren Jahren vom Hersteller nicht mehr unterstützt wird oder muss zuerst eine Datenschutzpanne auftreten?

    [snip]

    Antwort:

    [snip]

    Gerne können Sie bei uns Beschwerde einreichen, falls der Betreiber des Forums in NRW ansässig ist.

    Für die Bearbeitung Ihrer Beschwerde benötigen wir eine kurze Schilderung des Sachverhalts, sowie die Angabe des Beschwerdegegners gerne per E-Mail, Fax oder auf dem Postweg.
    Sie können aber auch gerne unser Beschwerdeformular verwenden, welches Sie auf unserer Website unter ldi.nrw.de/mainmenu_Aktuelles/…e/Beschwerdeformular.html finden.

    [snip]
  • Unglaublich.
    Wir haben dein Posting geprüft, es entsprechend berücksichtigt und dir mitgeteilt, dass bei einem bereits geplanten Umzug ein Update gemacht wird. Im übrigen haben wir an ein paar Stellen nachjustiert, was einigen Usern aufgefallen ist, dir offenbar nicht. Doch auch davor gab es kein schwerwiegendes Problem.
    Es ist unsere Entscheidung, welche Software wir verwenden.
    Und um es ganz klar zu sagen: Es besteht kein Sicherheitsrisiko!
    Dass kein Suport mehr für die von uns verwendete Software angeboten wird, heißt nicht, dass automatisch Nutzerdaten offenliegen oder dieses Forum ein "offnes Buch" ist.
    Und wann wir hier Updates fahren, liegt ganz allein in unserem Entscheidungsspielraum - wir sind dir keinerlei Rechenschaft schuldig.
    Du beteiligst dich in einem einzigen Spielethread, zeigst davon abgesehen null Interesse für dieses Forum und setzt jetzt hier als selbst ernannter Aktivist das Team unter Druck in einer Art und Weise, die absolut nicht tragbar ist.
    Im übrigen hast du in deinem ersten Posting mitgeteilt, dass wenn du die technischen Mittel hättest, du einen sogenannten Pentest machen würdest - offenbar ohne Kenntnis, das dies, sofern kein Auftrag des Betreibers vorliegt, strafbar ist.
    Einen solchen Pentest haben wir selbst gemacht - alles im grünen Bereich!
    Wenn es dir hier zu "unsicher" ist, dann steht es dir frei, dieses Forum nicht mehr zu besuchen.
    Betreiber auf mögliche Sicherheitsrisiken aufmerksam zu machen ist ein positives Anliegen. Aber wie immer im Leben macht der Ton die Musik.
    Wir haben reagiert, alles okay. Mehr gibt es dazu nicht zu sagen.
  • Was genau ist jetzt Deine Intention? Wie kommst Du auf dieses kleine Board, in dem eine kleine Gruppe User sich einfach nur austauschen und Spaß haben wollen und das für Hacker wahrscheinlich eher uninteressant ist. Du sorgst nur dafür, daß es am Ende dicht gemacht werden muß. Gratuliere!
  • Ich kann mich dem Posting von @Sylphida nur voll und ganz anschließen!
    Wir sind Dir keinerlei Rechenschaft schuldig, wir haben extra einen Pentest machen lassen - von jemandem, dem wir vertrauen und der uns mit Nachweis versichert hat, es liege kein Sicherheitsrisiko vor!
    Was willst Du also?
    Uns hier fertigmachen um jeden Preis?
    Du tust nichts anderes, als uns Vorhaltungen machen, das jetzt bereits seit über einer Woche, wir haben darauf reagiert, was noch?
    Du spielst andererseits nur DDF-Zitateraten, hast keinerlei Interesse am "Hörgrusel" - was soll das?
    Musst Du hier die "Daten" anderer (vermeintlich!!) "schützen" - obwohl Dich von denen keiner darum gebeten hat??
  • Hallo Administrator :D

    Sylphida schrieb:

    Es ist unsere Entscheidung, welche Software wir verwenden.

    Und um es ganz klar zu sagen: Es besteht kein Sicherheitsrisiko!
    Dass kein Suport mehr für die von uns verwendete Software angeboten wird, heißt nicht, dass automatisch Nutzerdaten offenliegen oder dieses Forum ein "offnes Buch" ist.
    Und wann wir hier Updates fahren, liegt ganz allein in unserem Entscheidungsspielraum - wir sind dir keinerlei Rechenschaft schuldig.
    Du hast natürlich völlig recht dass EOL Software nicht automatisch Sicherheitsrisiko bedeutet und das hab ich auch immer so kommuniziert.

    Das Grundsatzproblem habe ich in meinem ersten Post bereits angesprochen.
    Ihr nutzt proprietäre Software daher weißt du als Administrator nicht wann ein Sicherheitsrisiko besteht und ein Pentest ist immer nur eine Momentaufnahme.

    Proprietäre Software ist grundsätzlich nicht mehr sicher sobald sie EOL erreicht, ganz egal wie viele Pentests du machen lässt.

    Das wird mir jetzt wieder als unfreundlich ausgelegt werden aber wenn du ein guter Administrator wärst dann wüsstest du das.

    Bei Open-Source Software kannst du als Administrator den Quellcode selbst auf Fehler prüfen.

    Also entweder:
    - Open-Source Software selbst geprüft und als sicher befunden (egal wie alt)
    ODER
    Proprietäre Software nicht EOL.

    Aber nicht proprietäre Software EOL!

    Es ist richtig dass ihr mir nicht Rechenschaft schuldig seid aber hättet ihr ein echtes Interesse an guter Kommunikation mit euren Nutzern würdet ihr die technischen Gegebenheiten nicht Im Hintergrund halten.

    Mich würde der Pentest trotzdem interessieren.
    Könntest du mir den bitte übermitteln?

    Dass ich für den Rest des Forums angeblich kein Interesse habe ist für dieses Thema hier sekundär.

    Agatha schrieb:

    Was willst Du also?
    Einen Termin.
    Das sage ich jetzt zum vierten Mal...
  • Sylphida schrieb:

    @computerfreak Na sicher. Und du schickst mir bitte deine Kontoauszüge und Gehaltsnachweise. Nein, ich übermittele dir den Test nicht, da dir jede Berechtigung fehlt, diesen einzusehen.
    Ist okay.
    Dann stehen die Chancen 50:50 dass ihr nie einen Pentest gemacht habt, erwartet aber von euren Nutzern dass die euch das glauben.

    Einen Termin für das notwendige Upgrade wissen wir jetzt immer noch nicht und da redet ihr ständig drumherum.
  • Richtig, da wirst du mir entweder glauben oder nicht.
    Und der Termin fürs Upgrade wird zeitnah zum selbigen bekannt gegeben, für dich und die anderen, in deren Namen du sprichst.
    Deine Anliegen hast du kommuniziert. Wenn du eine offizielle Beschwerde einreichen willst, tu das.
    Wer seinen Account löschen lassen möchte aus Angst, dieses "unsichere" Forum zu nutzen, Nachricht ans Team.
    Allen anderen weiterhin viel Freude im Hörgrusel.
    :hutheb:
  • computerfreak schrieb:

    Falls die Administratorin dieses Forums nicht innerhalb von 48 Stunden eine Timeline mitteilt wann das Sicherheitsproblem behoben ist (aka das Upgrade durchgeführt) oder falls dieser Post wieder zensiert wird werde ich das an das Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen weitergeben (siehe Spoiler).
    Vor etwas mehr als einer Woche habe ich hier einen Post geschrieben in dem ich mehrere Sicherheitsprobleme das Forum betreffend angesprochen habe.
    Dieser Post wurde innerhalb kürzester Zeit versteckt und ich wurde von @MonsterAsyl angeschrieben, dass man den Post versteckt hätte "um andere Nutzer nicht zu beunruhigen".
    Das sicherheitstechnisch mit Abstand größte Problem ist, dass die genutzte Forumsversion 4.1.x bereits seit mehr als 1,5 Jahren end-of-life (EOL) ist.
    Das bedeutet der Support ist eingestellt, es werden keine Sicherheitsupdates mehr angeboten und "Hacker" haben leichtes Spiel.
    Es ist absolut unverantwortlich ein öffentliches Forum mit EOL Software zu betreiben und das setzt eure Nutzer einer unkalkulierbaren und völlig unnötigen Gefahr aus!
    Dies ist leider Blödsinn! Nur weil eine Software EOL ist, bedeutet dies nicht das diese ein Sicherheitsproblem hat! Solange es keine entsprechenden Lücken(CVE's) gibt.(Letztes CVE dazu btw in 2015!) Darüber hinaus ist es durchaus möglich und üblich Webapplikationen virtuell zu patchen, zum Beispiel über eine Web Application Firewall. Da Du leider überhaupt keine Ahnung davon hast welche Technologien hier zum Einsatz kommen, ist deine Behauptung schon eine ziemlich grobe Verleugnung! Darüber hinaus geht es Dich auch gar nix an, welche Technologien zum Einsatz kommen


    computerfreak schrieb:

    Auf meine erneute Nachfrage über email für wann das Upgrade geplant ist wurde mir kein Zeitraum genannt und es wurde klar gemacht, dass man mit mir darüber nicht mehr reden möchte und dass ich das Forum doch verlassen soll wenn mir das nicht passt.
    Ein Sicherheitsproblem welches seit 1,5 Jahren besteht und sogar 1 Jahr vorher bereits angekündigt wurde sollte man Ernst nehmen und nicht zensieren um es unter den Tisch zu kehren.
    Gerne wiederhole ich mich an dieser Stelle, EOL ist kein Sicherheitsproblem, eine Sicherheitslücke ist ein Sicherheitsproblem. Solange diese Lücke nicht durch andere Technologien gedeckelt werden. Und Du kannst gerne so viel Nachfragen wie Du möchtest, es geht Dich schlicht nix an, was und welche Technologien hier zum Einsatz kommen. Oder wann irgendwelche Updates eingespielt werden.


    computerfreak schrieb:

    @MonsterAsyl
    Da du mit mir ja privat nicht mehr "diskutieren" willst muss ich dir wohl öffentlich antworten:
    Es gibt im Internet ein allgemein anerkanntes Verfahren wie man ein sicherheitskritisches Problem meldet und auch wie man als Administrator damit umgeht und ihr habt auf ganzer Linie versagt.
    Inzwischen wäre ich nicht einmal mehr überrascht wenn ihr in der Vergangenheit sogar schon gehackt wurdet und das damals auch nur vertuscht hättet.
    Die einzig ansatzweise positive Tatsache war, dass ihr schnell ein Lebenszeichen auf meinen Post gegeben habt.
    Nein, nicht ich setze euch unter Druck.
    Welches Sicherheitskritische Problem genau meinst Du den? EOL einer Software ist jedenfalls keins!



    computerfreak schrieb:

    Es war seit dem 13.01.2019 klar wann BurningBoard 4.1.x EOL erreicht und das wurde den betroffenen Administratoren vom Hersteller wahrscheinlich sogar über einen langen Zeitraum immer wieder direkt mitgeteilt.
    Ihr hattet 2,5 Jahren Zeit für das Upgrade also geht es offenbar nur mit Druck.
    Sobald Software EOL ist, ist sie nicht mehr sicher und ihr als Administratoren habt eine Verantwortung euren Nutzern gegenüber.
    Diese Verantwortung ist sogar gesetzlich festgeschrieben.
    Nochmal EOL ist kein Sicherheitsproblem, es gibt andere Mittel und Wege eine Webapplikation zu schützen. Wo genau steht den bitte in einem Gesetz das EOL Software "unverantwortlich" ist? Zumal Du wie gesagt überhaupt keinen technischen Einblick hast, weißt Du ob hier ein Docker läuft mit einer WAF die das Forum schützt? weißt Du in wie weit das Forum auf OWASP getestet wird - gut dann komm mal langsam wieder runter


    computerfreak schrieb:

    Da das Upgrade ja angeblich schon geplant ist sollte es ja kein Problem sein hier euren Nutzern jetzt den Zeitrahmen zu nennen?
    (Die Aussage "Das Upgrade kommt, wir sagen euch aber nicht wann ..." ist unzureichend.)
    Es geht Dich schlicht und ergreifend einfach nix an, was und wie der Verein hier etwas plant oder nicht

    computerfreak schrieb:

    Konversation mit dem Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen:

    Spoiler anzeigen

    Frage:

    [snip]

    ist es möglich eine Beschwerde einzureichen wenn ein Forum eine Softwareversion nutzt, die seit mehreren Jahren vom Hersteller nicht mehr unterstützt wird oder muss zuerst eine Datenschutzpanne auftreten?

    [snip]

    Antwort:

    [snip]

    Gerne können Sie bei uns Beschwerde einreichen, falls der Betreiber des Forums in NRW ansässig ist.

    Für die Bearbeitung Ihrer Beschwerde benötigen wir eine kurze Schilderung des Sachverhalts, sowie die Angabe des Beschwerdegegners gerne per E-Mail, Fax oder auf dem Postweg.
    Sie können aber auch gerne unser Beschwerdeformular verwenden, welches Sie auf unserer Website unter ldi.nrw.de/mainmenu_Aktuelles/…e/Beschwerdeformular.html finden.

    [snip]

    Nochmal worüber GENAU möchtest Du Dich beschweren? EOL =! unsicher, Du hast auch nicht zu fordern das dieses Forum "vom Netz genommen wird".
  • Genau das ist das Problem.

    - Falsche Ansichten (Proprietäre Software im EOL ... kein Problem)
    - Seltsame Gewohnheiten ("ungewöhnliches" Handling ist ein Designelement aber sicher keine Inkompetenz)
    - Keine Informationspolitik (Wir machen immer alles richtig daher müssen wir auch nicht offen zu unseren Nutzern sein.)

    Alle drei Dinge zusammen sind ziemlich übel.

    Vielleicht habe ich ja jetzt ein paar Nutzer zum Nachdenken gebracht oder vielleicht ändert sich hier ja jetzt sogar was.

    Für mich hat sich die Sache für den Moment erledigt denn mich interessiert ja eh nur das Zitateraten, richtig? :winke:
  • computerfreak schrieb:

    Genau das ist das Problem.

    - Falsche Ansichten (Proprietäre Software im EOL ... kein Problem)
    - Seltsame Gewohnheiten ("ungewöhnliches" Handling ist ein Designelement aber sicher keine Inkompetenz)
    - Keine Informationspolitik (Wir machen immer alles richtig daher müssen wir auch nicht offen zu unseren Nutzern sein.)

    Alle drei Dinge zusammen sind ziemlich übel.

    Vielleicht habe ich ja jetzt ein paar Nutzer zum Nachdenken gebracht oder vielleicht ändert sich hier ja jetzt sogar was.

    Für mich hat sich die Sache für den Moment erledigt denn mich interessiert ja eh nur das Zitateraten, richtig? :winke:
    Du musst auch richtig lesen lernen. Es gibt Technologien Die schützen auch EOL Software, ist z.B. gang und gebe in der Industrie. Google mal nach "virtual Patching" um einen Einstieg in so ein Thema zu bekommen. Seltsame Informationspolitik ist auch etwas was Du exklusiv so siehst, was genau geht es Dich oder Andere an wie/wo und was der Verein und das Forum vorhaben oder wie es sich oder seine Applikationen schützt.


    Vielleicht denken ja auch ein paar Nutzer darüber nach nicht mit mit Dir Zitate raten zu wollen


    computerfreak schrieb:

    Für mich hat sich die Sache für den Moment erledigt denn mich interessiert ja eh nur das Zitateraten, richtig? :winke:
    Dann kann ja einer aus dem Team hier zu machen, dann ist ja Alles gesagt.
  • @computerfreak
    Was bitte schön nimmst Du dir hier eigentlich heraus???!!!
    Es ist ja sehr nett von Dir, das Team darauf aufmerksam zu machen, dass sie eine "EOL-Software" nutzen, die zu Problemen führen "könnte". Aber meinst Du nicht, dass das Team hier, die dieses Forum nicht erst seit gestern betreiben(!), darüber selbst im Bilde sind und sehr gut selber wissen, was und wann sie etwas unternehmen müssen?!
    Da hat mit Sicherheit niemand darauf gewartet, dass ein "kleiner Wichtigtuer", wie Du es bist, hier auftaucht und sie dermaßen unter Druck setzt!
    Ich empfinde es als eine absolute Frechheit, wie Du hier vorgehst!
    Ich habe noch nie in meinem Leben einen "User" persönlich angegriffen und mache mich vielleicht jetzt auch nicht unbedingt beliebt damit, aber jetzt muss ich meinem Ärger einfach mal Luft machen.

    Es geht mal gar nicht, dass Du hier mit Erpressung und Druck agierst und dazu noch alle anderen User vielleicht sogar dermaßen verunsicherst, dass sie überlegen, ob sie ihren Account hier löschen lassen sollen!!!

    Liebes Team und liebe Mit-User, lasst Euch bitte nicht von diesem Menschen fertig machen und verunsichern.
    Ich habe mich zu keiner Zeit jemals hier unsicher gefühlt und es ist ja auch nicht so, dass wir hier alle irgendwelche ach so wichtigen Daten aus unserem Leben hinterlegt hätten, für die es sich lohnen würde, dass diese Seite gehackt werden müsste.

    Also @computerfreak , wenn Du dich hier so unsicher und unwohl fühlst, dann lasse doch bitte deinen Account löschen und lasse uns alle hier weiterhin unserem Hobby nachgehen und hier einfach Spaß haben! Das hat vor Deinem Erscheinen sehr gut funktioniert und es wird auch nach Deinem Abgang weiterhin gut funktionieren!!! :hutheb:
  • Benutzer online 1

    1 Besucher