ag-meinungsfindungstool AT lists.piratenpartei.de
Betreff: Ag-meinungsfindungstool mailing list
Listenarchiv
- From: Martin Stolze <pirate.martin AT stolze.cc>
- To: jagd.2 AT budich.org, AG MFT <ag-meinungsfindungstool AT lists.piratenpartei.de>
- Subject: Re: [Ag Meinungsfindungstool] technisch Sicherheit: BEO+Co.
- Date: Wed, 27 Aug 2014 15:10:58 +0200
- List-archive: <https://service.piratenpartei.de/pipermail/ag-meinungsfindungstool>
- List-id: <ag-meinungsfindungstool.lists.piratenpartei.de>
Hallo Thomas,
Hab mich nach der letzten Umfrage das gleiche gefragt. CAPTCHA ist für gewöhnlich das Mittel der Wahl.
Ein kleines Delay kann auch Wunder bewirken.
IP ranges blacklisten ist gemein weil es im Zweifel den Falschen trifft, bei IPv4 haben die meisten eine Dynamische IP. Besser wäre eine White List aber das geht aus dem gleichen Grund nicht. Im Prinzip ist es nicht zu schwer einfach random Logins zu sperren wenn du über die Anmelde versuche gehst. Sprich, ich Spam einfach falsche Passwörter für alle möglichen Logins.
Mehr Sicherheit geht zumeist auf Kosten der Usability.
Das eigentliche Problem das ich sehe ist das die Datenbank mittelfristig geleakt wird und wir den ganzen Kladderadatsch online finden und jeder für den Rest seines Lebens gebrandmarkt ist. Wobei ich davon ausgehe das wir bei dem Tool sowieso nicht den Anspruch der Anonymität haben?
Was funktionieren kann ist ein Blockchain Model wobei einfach jeder bei der Verifizierung anonyme Token bekommt. Das Ganze ist dann voll transparent wie Bitcoin. Aber ich glaube so weit sind wir noch nicht.
--Martin Hab mich nach der letzten Umfrage das gleiche gefragt. CAPTCHA ist für gewöhnlich das Mittel der Wahl.
Ein kleines Delay kann auch Wunder bewirken.
IP ranges blacklisten ist gemein weil es im Zweifel den Falschen trifft, bei IPv4 haben die meisten eine Dynamische IP. Besser wäre eine White List aber das geht aus dem gleichen Grund nicht. Im Prinzip ist es nicht zu schwer einfach random Logins zu sperren wenn du über die Anmelde versuche gehst. Sprich, ich Spam einfach falsche Passwörter für alle möglichen Logins.
Mehr Sicherheit geht zumeist auf Kosten der Usability.
legitime und identifizierte Piraten werden (und müssen) keine anonymen- oder Server- oder proxy-Adressen verwenden??? Excusez moi? In Deutschland ohne VPN ins Internet zu gehen ist für mich wie ein One-Night-Stand ohne Kondom. Not worth the Risk.
Das eigentliche Problem das ich sehe ist das die Datenbank mittelfristig geleakt wird und wir den ganzen Kladderadatsch online finden und jeder für den Rest seines Lebens gebrandmarkt ist. Wobei ich davon ausgehe das wir bei dem Tool sowieso nicht den Anspruch der Anonymität haben?
Was funktionieren kann ist ein Blockchain Model wobei einfach jeder bei der Verifizierung anonyme Token bekommt. Das Ganze ist dann voll transparent wie Bitcoin. Aber ich glaube so weit sind wir noch nicht.
2014-08-27 11:18 GMT+02:00 Herr T.B. <jagd.2 AT budich.org>:
Guten Morgen!
Man meint das das BEO-System u.a.mittels "brute force (hash) Attacke" angreifbar und verwundbar ist.
Kann man solche und ähnliche Angriffe nicht durch das simple System der Beschränkung von Anmeldeversuchen im Zeitraum-X lösen?
Dito kann man diverse bekannte/verdächtige angreifende IP-Adressen auch aussperren. Denn legitime und identifizierte Piraten werden (und müssen) keine anonymen- oder Server- oder proxy-Adressen verwenden. Nach meiner Erfahrung kommen eben gerade von solchen und aus den Netzen (.ua .ru diverse-usa, asien, afrika, ...) Angriffe.
--
Mit freundlichen Gruessen Thomas
--
Ag-meinungsfindungstool mailing list
Ag-meinungsfindungstool AT lists.piratenpartei.de
https://service.piratenpartei.de/listinfo/ag-meinungsfindungstool
- [Ag Meinungsfindungstool] technisch Sicherheit: BEO+Co., Herr T.B., 27.08.2014
- <Mögliche Wiederholung(en)>
- Re: [Ag Meinungsfindungstool] technisch Sicherheit: BEO+Co., Martin Stolze, 27.08.2014
- Re: [Ag Meinungsfindungstool] technisch Sicherheit: BEO+Co., _Thomas B., 28.08.2014
- Re: [Ag Meinungsfindungstool] technisch Sicherheit: BEO+Co., Martin Stolze, 28.08.2014
- Re: [Ag Meinungsfindungstool] technisch Sicherheit: BEO+Co., _Thomas B., 28.08.2014
- Re: [Ag Meinungsfindungstool] technisch Sicherheit: BEO+Co., pa . rei, 28.08.2014
Archiv bereitgestellt durch MHonArc 2.6.19.