Zweifelhafte "Sicherheitsmaßnahme" bei Registrierung

d4f

Kaffee? Wo?
Ich bin der Programmierer bzw. Scripter.
Dann sollte das Tool gewechselt werden

Gibt es deiner Meinung nach einen guten Anbieter, der das macht?
Generell kosten alle Anbieter welche SMS-IN erlauben soviel pro Monat wie ein gebrauchtes Android-Smartphone. Ich setze also auf ein eigenes SMS-Gateway welches die SMSe per HTTP und SMTP an den Server liefert und dieser führt die Validierung durch.
(In meinem Fall ein Acer Liquid, es kann also wirklich _alt_ sein, generell sollte die Firmware aber 2.x oder höher sein)
Für den Kunden läuft der Registrierungsprozess somit wie folgend ab:
- Normal registrieren
- SMS mit dem gezeigten Code (denkbar ist zusätzlich ein QR-Code zur Vereinfachung) an die angegebene Mobilfunk-Nummer schicken
- Warten bis die Validierung durchgeführt wurde, fertig.
Zusätzlich ist ein Fallback möglich wenn der Kunde kein SMS verwenden will oder kann, zB Freischaltung durch Administratoren oder Anruf auf eine Asterisk-Einheit mit gleichen Voraussetzungen (dank SipGate einfach realisierbar)

Theoretisch wäre es als Kunde möglich einen Free-SMS Anbieter zu verwenden um die SMS zu schicken, dies kann man aber fast komplett umgehen/blockieren indem der SMS-Absender inkl. Länder-Code VOR Absenden der SMS angegeben werden muss sowie der Inhalt nur den Code sowie Leerzeichen enthalten darf, da generell alle Free-Anbieter Werbung mitschicken.
 
Last edited by a moderator:

Joe User

Zentrum der Macht
Warum wird der Nutzer nicht über die Systemänderungen informiert, sondern absichtlich belogen (es genüge das Tool wieder zu entfernen)?
Warum wird gegen den Datenschutz verstossen, indem ungenehmigt persöhnliche Daten übertragen werden?
Warum enthält das Tool Payload-Funktionen?

Warum rund 9k Zeilen Code, wenn es fünf auch getan hätten?
 

Maurice

New Member
Ihr solltet lieber erstmal sämtlichste Wegwerf-Mailadressen Anbieter aussperren. Ich als Ubuntu Nutzer bin damit erstmal von euren Forum ausgesperrt, was wenn ich es wirklich nutzen möchte schade wäre. Nichts desto trotz wäre es vllt. sinnvoller euer Punkte-System zu überarbeiten (bspw. der Benutzer muss X-Posts erstellt haben damit die Punkte vergütet werden).

Wir haben sofern uns bekannte Wegwerfmailadressen gesperrt und das bleibt auch so ;)


Hast du dir schon gedanken zu alternativen gemacht?

Klar haben wir uns schon Gedanken dazu gemacht.

Wir finden selber, dass das Tool eine menge Mitglieder fernhält, aber das einzige was uns davon abhält ist momentan die Effektivität des Tools gegen "unerfahrene" Benutzer. Klar gibt es einige die VMs nutzen, aber in unseren Regeln steht auch, dass das verboten ist und auch erkannt werden "könnte".

Wir sehen uns das mit der SMS-Authentifizierung an, denn dies scheint wirklich unser Problem lösen zu können.

Außerdem habe ich nach einem "guten" Anbieter gefragt, nicht nach irgendeinem, denn die finde ich auch bei Google. Aber Google selber hat keine Erfahrungen mit diesen Anbietern. Also habe ich euch gefragt ;)
 

Fusl

Blog Benutzer
Außerdem habe ich nach einem "guten" Anbieter gefragt, nicht nach irgendeinem, denn die finde ich auch bei Google. Aber Google selber hat keine Erfahrungen mit diesen Anbietern. Also habe ich euch gefragt ;)

Für soetwas gibt es den Google PageRank ;-)
 

yago

Member
Der PageRank sagt nun wirklich garnichts darüber aus, wie gut der jeweilige Anbieter sein könnte :rolleyes:
 

sbr2d2

Registered User
Also ich für meinen teil muss erst mal sagen "Hut ab", dafür das Maurice hier klar Stellung bezieht zu dem was hier so alles steht über "sein Tool". Vielleicht wusste er es ja nicht besser oder was auch immer, warum sein Tool nun mehr Code hat als benötigt. Da ihm nun andere Möglichkeiten offenbart wurden, wird da wohl in absehbarer Zeit wohl auch was umgestellt werden.
Ich kann dir nun leider keine Tipps in Sachen Sms-auth geben, aber es wird sich bestimmt einer finden der Dir einen guten Anbieter/Service empfehlen kann.
 

DjTom-i

verifizierter Anbieter
verifizierter Anbieter
Habe mir den Thread mal (relativ unfreiwillig durch einen pm Hinweis) reingezogen.

Selten so gelacht. Ich habe wirklich noch nie eine blödere Idee gesehen eine Pseudo Authentifizierung zu machen als diese.

Sowas gibts wirklich "in the wild"?

rofl @ Maurice

Doppel sechs. Setzen.

PS: Persönliche Meinung.
 

gOOvER

New Member
AW: Zweifelhafte "Sicherheitsmaßnahme" bei Registrierung

...., aber das einzige was uns davon abhält ist momentan die Effektivität des Tools gegen "unerfahrene" Benutzer. ....

Dann müssen die Mods und Admins ja auch aufpassen; denn auf viele vom Team trifft unerfahren auch zu. ;)

Just my 2 Cents nach Erfahrungen mit diesem Dubiosen Board. ;)
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo!

@Maurice: Wieso wird jetzt parallel versucht mich unter Druck zu setzten? Warum soll der Thread Aufgrund des (für mich) Fadenscheinigen Vorwandes Urheberecht gelöscht werden?

Meie persönliche Meinung zu dem Programm: Es hat das (offenbar) die Möglichkeit (Schad-) code nachzuladen. Gerade als Foren Betreiber würde ich mich nicht der Gefahr aussetzten wollen, dass meine Mitglieder die Routinen analysieren und berechtigte Nachfragen zu den Funktionen stellen.

mfG
Thorsten
 

Joe User

Zentrum der Macht
@Maurice, bevor Du hier haltlose Drohungen verbreitest:

Hast Du gültige Lizenzen für die kommerzielle Nutzung der einkompilierten Bibliotheken in Dein Tool?

Kannst Du Deine Urheberrechte an dem Code nachweisen? Dürfte schwierig werden, denn es findet sich Prior-Art.

Möchtest Du Dich mit den Landesdatenschützern, insbesondere Hamburg und Schleswig-Holstein, auseinandersetzen?

Möchtest Du Dich wegen Computersabotage und Ausspähung von privaten Daten verantworten müssen?
 

Maurice

New Member
@Maurice, bevor Du hier haltlose Drohungen verbreitest:

Hast Du gültige Lizenzen für die kommerzielle Nutzung der einkompilierten Bibliotheken in Dein Tool?

Kannst Du Deine Urheberrechte an dem Code nachweisen? Dürfte schwierig werden, denn es findet sich Prior-Art.

Möchtest Du Dich mit den Landesdatenschützern, insbesondere Hamburg und Schleswig-Holstein, auseinandersetzen?

Möchtest Du Dich wegen Computersabotage und Ausspähung von privaten Daten verantworten müssen?

Das war keine Drohung!
Warum er sich unter Druck gesetzt gefühlt hat, weiss ich nicht.

Ich bat ihm lediglich darum, das Thema bzw. die Beiträge zu löschen, die den Quellcode über einen Link offenlegen. Da dieser Quellcode auch Code von mir beinhaltet und dieser unterliegt meinem Urheberrecht ;)

Was heißt Daten ausspähen, die Daten die zur Aufdeckung von Doppel-Accounts führen, sind per MD5-Verschlüsselt.
 
Last edited by a moderator:

Fusl

Blog Benutzer
@Maurice, warum sollte er den Post löschen? Den Quellcode hab ich mal eben fix abgeschrieben und daher habe ich ihn auch selber geschrieben. So, nun kannst Du nichts mehr dagegen tun ;)

/Edit: Und ja natürlich habe ich diese
Code:
        $login_inet = _inetgetsource("http://www.sponsor-board.de/reg_login_md5.php?catch=1&uid=" & $user & "&md5=" & md5("SPO" & $user & "BO-" & $output & "-" & $out_systemname) & "&virtual=" & $output & "&sn=" & $out_systemname)
Code:
                                MsgBox(16, "Fehler-Code: 5", "Sie erfüllen nicht unsere System-Vorraussetzungen um eine Aktivierung durchführen zu können. Bitte kontaktieren Sie uns per Mail (inkl. Fehler-Code 5) an: maurice@sponsor-board.de")
Code:
                                _inetgetsource("http://www.sponsor-board.de/reg_login_md5.php?catch=2&uid=" & $user & "&md5=" & md5("SPO" & $user & "BO-" & $output & "-" & $out_systemname) & "&virtual=" & $output & "&sn=" & $out_systemname)
Code:
                        MsgBox(16, "Fehler-Code: 4", "Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut oder kontaktieren Sie uns per Email(inkl. Fehler-Code 4) an: maurice@sponsor-board.de")
Zeilen Code, gegen etwas ähnlich aussehende getauscht.
 
Last edited by a moderator:

Thorsten

SSF Facilitymanagement
Staff member
Hallo!

Die Worte Schadenersatz und Anwalt beauftragen sollte das Thema nicht gelöscht werden sehe ich persönlich nicht mehr als freundlichen Hinweis.

Schade das es von Seiten des Anbieters keine Einsicht im Bezug auf die angebrachten Punkte gibt.

Ich denke, die Leute, denen hier ein Fehlverhalten vorgeworfen wird, stehen auch bei einem möglichen Verfahren wegen Urheberrechtsverletzungen zu ihrer Identität. Weiterhin gebe ich zu bedenken, dass hier lediglich Verweise (in Form von Links) existieren. Auf den Inhalt dieser Seiten habe ich keinen Einfluss.

Ich möchte dem Betreiber nochmals inständig ans Herz legen, auf den Einsatz der Software in ihrer jetzigen Form schnellstmöglich zu verzichten.

mfG
Thorsten
 

Joe User

Zentrum der Macht
Am Auslesen der MAC-Adressen und des Rechnernamens, am Bilden von MD5-Hashes über zwei Variablen, dem Anlegen/Manipulieren von Dateien, sowie dem Absetzen von GET-Requests hast Du garantiert kein Urheberrecht. Mehr macht nämlich Dein Codebeitrag nicht. Der meiste Code davon stammt zudem nahezu unverändert aus Tutorials/Büchern, ist also nicht von Dir.
Woran besitzt Du noch gleich das Urheberrecht?
 

Maurice

New Member
Ihr versteht das einfach nicht, es werden 2 System-Daten ausgelesen, auf unserem Server überprüft, damit sichergestellt werden kann, dass das Programm genutzt wurde, deswegen wird der MD5-Code mitgeliefert.

Wenn nun bestätigt wurde, dass das Programm genutzt wurde, dann werden die 2 Sytsem-Daten als MD5-Code gespeichert und auf Doppel-Accounts angewendet. Somit lässt sich prüfen, wenn zB. 2 Mitglieder die selben System-Daten als MD5-Code aufweisen... uns liegen dann letztenendes nur Statistiken offen, mehr nicht.

Es ist doch lediglich ein Fingerabdruck, ohne Hinweise auf die Identität der Person.
 
Top