schopenhauer Posted April 17, 2013 Share Posted April 17, 2013 "Der ärgerliche, aber überschaubare Schaden geht auf unsere Kappe, da entgegen unserer Meldung von heute Morgen doch nicht völlig auszuschließen ist, dass eine uns von einem User gemeldete und bereits geschlossene Sicherheitslücke mitverantwortlich für das Problem war." Dieser Satz weckt meine Neugier - es gibt hier Sicherheitslücken die erst von Usern gemeldet werden müssen bevor sie auffallen? Link to comment Share on other sites More sharing options...
fatman Posted April 17, 2013 Share Posted April 17, 2013 Besser sie werden gemeldet, als dass dies nicht der Fall ist. Siehst doch, was sonst dabei rumkommt. Link to comment Share on other sites More sharing options...
Dr. Fu Man Chu Posted April 17, 2013 Share Posted April 17, 2013 Vielleicht wurde auch was selbst entdeckt was geprüft wird, kann man nur mutmaßen nach dieser News. Es bedeutet zumindest es wird oder wurde dran gearbeitet und drüber berichtet, weiter so! Link to comment Share on other sites More sharing options...
ac_ Posted April 17, 2013 Share Posted April 17, 2013 Wie soll eine Sicherheitslücke auffallen die beim Benutzer liegt? Es ist auch eine Sicherheitslücke sein Passwort auf die Stirn zu schreiben. Sicherheit ist immer relativ. Wer glaubt es gäbe die totale Sicherheit der irrt sich gewaltig. Die größte Unsicherheit sitzt zwischen Stuhllehne und Tastatur. Link to comment Share on other sites More sharing options...
Toni Posted April 18, 2013 Share Posted April 18, 2013 (edited) ... haben sich Gauner unberechtigten Zugriff zu einigen Accounts verschafft. ... Sicherheitslücke nicht auszuschließen ... Vorsichtsmaßnahme ... neues Passwort. Mein Dank zunächst mal an Bitcoin.de für die schnelle Reaktion. So ärgerlich solche Vorfälle sind, wird mein Vertrauen in Bitcoin.DE durch offenen Umgang und kompetente Reaktion nicht kleiner, sondern größer, ähnlich wie mein Vertrauen zu MtGox durch deren Umgang mit dem Hackerangriff von 2011 letztlich nicht gesunken, sondern gewachsen ist. __________ Es besteht heute weitgehend Konsens darüber, dass Sicherheit im Internet nur durch offenen Umgang mit auftretenden Problemen und nicht durch die früher übliche Verheimlichung von Details zu erreichen ist - Details, die irgendwann doch mit der Folge bekannt werden, dass die Sicherheit dann vollends ruiniert ist. Um mir selbst ein Urteil über die Qualität der Problemlösung erlauben zu können, bitte ich Bitcoin.DE um mehr Informationen zu der 'bereits geschlossenen Sicherheitslücke'. __________ Mit der 'Vorsichtsmaßnahme ... neues Passwort' fühle ich mich etwas unwohl, nachdem Bitcoin.de in einer früheren Information meinte, der aktuelle Hackerangriff würde über geknackte Email-Accounts gefahren, das 'neue Passwort' aber gerade über die bei Bitcoin.DE hinterlegte Email-Adresse angefordert werden muss. Wie soll man da ausschießen, dass es nicht der Konto-Inhaber, sondern der Hacker ist, der das 'neue Passwort' anfordert? - Gut, sobald der richtige Konto-Inhaber einzuloggen versucht, wird er merken, dass sein 'altes' Passwort nicht mehr funktioniert - Aber bis dahin könnten seine Bitcoins schon längst gestohlen oder anderer Unsinn angerichtet sein. Ist wenigstens sicher gestellt, dass vor Anforderung des 'neuen' Passwortes das 'alte' Passwort korrekt eingegeben werden muss? Wäre es unter diesen Umständen nicht sicherer, wenn Bitcoin.DE nochmal 0,01 € mit Prüf-Code an jedes verifizierte Bankkonto überweist und dieser Prüf-Code (nach Ablauf von zwei Tagen) nach dem Einloggen einmalig eingegeben werden muss? Edited April 18, 2013 by Toni Tippfehler korrigiert Link to comment Share on other sites More sharing options...
n4cer Posted April 18, 2013 Share Posted April 18, 2013 Mich würde vor allem interessieren, welche Informationen evtl. auch gestohlen werden konnten... Bankdaten? Link to comment Share on other sites More sharing options...
Vknwxudwbikr Posted April 18, 2013 Share Posted April 18, 2013 Mein Dank zunächst mal an Bitcoin.de für die schnelle Reaktion. Dem kann ich mich nur anschließen - es ist wichtig und auch sehr positiv, dass hier schnell und offen reagiert wird! Wie soll man da ausschießen, dass es nicht der Konto-Inhaber, sondern der Hacker ist, der das 'neue Passwort' anfordert? - Gut, sobald der richtige Konto-Inhaber einzuloggen versucht, wird er merken, dass sein 'altes' Passwort nicht mehr funktioniert - Aber bis dahin könnten seine Bitcoins schon längst gestohlen oder anderer Unsinn angerichtet sein. --> In diesem Kontext bitte ich dringend bitcoin.de, sich meine Idee bezüglich verbesserte Sicherheit der "Passwort vergessen"-Funktion zu überlegen (falls das wirklich auch ein Grund für die Angriffe war): https://forum.bitcoin.de/technik-entwicklung-sicherheit/694-vorschlag-fuer-mehr-sicherheit-gegenueber-hacker-phisher.html (NB: Bei einer Website, wo es direkt um Verwaltung von Geld geht, wie zB Online-Banking, ist es auch nicht mehr üblich/möglich, sich einfach per email ein neues PW zusenden zu lassen.) Link to comment Share on other sites More sharing options...
ne0phyte Posted April 18, 2013 Share Posted April 18, 2013 (edited) Dieser Satz weckt meine Neugier - es gibt hier Sicherheitslücken die erst von Usern gemeldet werden müssen bevor sie auffallen? Ein sehr großer Teil aller Sicherheitslücken und Fehler fällt erst beim Endbenutzer auf. Man kann sehr vieles mit entsprechender Software, einer sehr guten Unit-test Abdeckung (bei kritischen Dingen sowohl Positiv- als auch Negativtests) und natürlich einem Minimum von 2 Personen die Änderungen am Quellcode reviewen bevor sie ins Produktivsystem übernommen werden erreichen, aber alle Fehler und eventuelle Lücken findet man nicht. Allein schon weil Entwickler anders testen als Anwender. Oft sind es auch völlig blöde Umstände die zu Fehlern/Lücken führen die man bei der Entwicklung nicht mal in Betracht ziehen würde. Edited April 18, 2013 by ne0phyte Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now