DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

3999 readers

387 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 1 year ago

MODERATORS

Seven@feddit.org

Der_aus_Aux@feddit.org

Hätte Numa wie angekündigt mein Zimmer einfach kostenfrei storniert, als ich meinen Ausweis nicht teilen wollte, wäre ich nie auf anderer Leute Ausweisdaten gestoßen (marx.wtf)

submitted 1 week ago by copacetic@discuss.tchncs.de to c/dach@feddit.org

26 comments fedilink hide all child comments

you are viewing a single comment's thread
view the rest of the comments

[–] Arigion@feddit.org 16 points 1 week ago (11 children)

Genau. Sofern nicht anderweitig geschützt. Das ist das Problem, nicht die fortlaufende ID. Persönliche Daten hinter einer zufälligen ID zu verstecken statt hinter einem Zugriffsschutz ist "security by obscurity". Man kann immer noch mit Brute-Force die Daten bekommen. Der Zugriff ist immer noch möglich, nur dauert er eventuell länger.

Richtig wäre es gewesen jedem Link eine eindeutige Kennung zuzuordnen, die nur Zugriff auf die relevanten IDs hat.

Dieser Spinn "oh, ein Fehler, die IDs waren fortlaufend, passiert schon mal" verdeckt die beiden tatsächlichen Probleme:

Zugriff auf persönliche Daten ohne Authentifizierung
Unzulässige Erhebung von personenbezogenen Daten

[–] doktormerlin@feddit.org 14 points 1 week ago* (last edited 1 week ago) (8 children)

Anderweitig geschützt ist aber auch irgendwann nur obscurity. Bei einer normalen 16-stelligen Hexadezimalen zufalls-Id hast du 1.84x10^19 mögliche Kombinationen. Die Chance da jemals eine einzige gültige ID zu finden ist bei 500.000 Kunden nahe 0. Wenn du fortlaufende IDs hast und zB einen 6-stelligen TAN als zusätzlichen schutz ist die chance deutlich höher, dass du etwas findest. Die TAN wirkt sicherer, die Zufalls-ID ist aber sicherer.

Die TAN sichert dich 1:1.000.000 ab

Die Zufallsgenerierte ID sichert dich mit dem Faktor 1:37.000.000.000.000 ab.

Die zufallsgenerierte ID ist also 37 Millionen mal sicherer, als eine 6-stellige TAN, die schon als sehr sicher gilt.

[–] Arigion@feddit.org 5 points 1 week ago (6 children)

Im Prinzip richtig, nur hat halt niemand eine TAN erwogen ausser Dir gerade. Und den Grund hast Du ja auch gerade geliefert: bringt nicht so viel

Es wäre sinnvoller einem authentifizierten User ausschliesslich Zugriff auf seine Daten zu geben.

[–] doktormerlin@feddit.org 5 points 1 week ago* (last edited 1 week ago)

Ich habe TANs explizit genommen weil das bei so etwas wie Hotelbuchungen um die es hier geht der absolute Standard ist. Du rufst eine URL mit einer ID auf und bekommst daraufhin eine SMS mit einem 6-Stelligen Code. Einen "authenfizierten User" will niemand um seine Hotelbuchung zu verwalten, das wäre nur wieder ein Account der irgendwo rumschwirrt.

Der Code ist zwar nur 15 Minuten gültig, aber 15 Minuten reichen problemlos aus, um 1.000.000 Versuche zu machen. Außer natürlich es gibt Bruteforce Detection, aber die hilft bei der 16-stelligen ID genau so.

Ich will auch gar nicht sagen, dass andere Methoden nicht zum gleichen Ziel führen. Ich möchte nur unterstreichen wie extrem sicher zufalls-IDs bereits sind

load more comments (5 replies)

load more comments (6 replies)

load more comments (8 replies)