Abo
  • Services:

Sicherheitsproblem bei BerliOS

Datei mit verschlüsselten Passwörtern war für jeden lesbar

Die vom Fraunhofer FOKUS betriebene Open-Source-Entwicklerplattform BerliOS hatte ein Problem mit der Sicherheit ihrer Passwörter: Eine Datei mit den verschlüsselten Passwörtern war vorübergehend für jeden lesbar abgelegt.

Artikel veröffentlicht am ,

Nard'/parasitical weist auf das von ihm entdeckte Problem hin, das mittlerweile behoben ist. Er fand auf dem Subversion-Server von BerliOS eine Datei mit den verschlüsselten Passwörtern der Nutzer, die für jeden einzusehen war. Als Verschlüsselung kam DES zum Einsatz, so dass zumindest ein Teil der verschlüsselten Passwörter leicht zu entschlüsseln war.

Nard'/parasitical kritisiert vor allem, dass das Fraunhofer FOKUS auf das Problem nicht öffentlich hinwies. Zwar hatte der BerliOS-Betreiber dafür gesorgt, dass die Datei nicht mehr öffentlich zugänglich war, benachrichtigt wurden jedoch nur Nutzer, deren Passwörter leicht zu knacken waren. Sofern diese Nutzer nicht reagierten, wurden die Passwörter zwangsweise geändert, um die Accounts vor Einbrüchen zu schützen. Anstatt von DES kommt nun der Hash-Algorithmus MD5 zum Einsatz, um künftig eine Entschlüsselung zu verhindern.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)

md5 18. Feb 2006

MD5 ist für jeden praktischen Zweck genauso sicher wie ein AES-basierter Hashwert. Auch...

:) 13. Feb 2006

Warscheinlich ist der Aufwand für Rainbow tables aber zu groß.

Raven 13. Feb 2006

Finde ich bei der gegebenen Gesetzeslage durchaus verständlich, viel zu leicht wird...


Folgen Sie uns
       


Probefahrt mit dem Audi E-Tron - Bericht

Golem.de hat den neuen Audi E-Tron auf einem Ausflug in die Wüste von Abu Dhabi getestet.

Probefahrt mit dem Audi E-Tron - Bericht Video aufrufen
WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
Vivy & Co.
Gesundheitsapps kranken an der Sicherheit

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

  1. Krankenkassen Vivy-App gibt Daten preis
  2. Krankenversicherung Der Papierkrieg geht weiter
  3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

    •  /