Ist WOT (Web of Trust) selbst vertrauenswürdig????

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

01.12.2009 - 15:22

Hallo zusammen!

Nutze schon seit langem WOT als Addon zu Firefox. An sich ja ne echt tolle Idee.
Gestern lief aber wieder mal 'Das Netz' im Fernsehen und heute kam mir dann plötzlich ein wenig die 'Panik':
WOT fragt ja jede x-beliebige URL auf nem Server an (schätze ich mal). Ich persönlich arbeite sehr viel auf 'Geheimen' Seiten. Soll heissen: Links in's Intranet, Admin-Oberflächen, etc.. Die brauchen eigentlich keinen Schutz weil die URL niemals jemand ausfindig machen kann.
ABER WAS IST MIT WOT?
Die können theoretisch ja alles mögliche speichern und oder verwerten/auswerten.

Was meint ihr dazu?

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

01.12.2009 - 15:37

ansich reichts wennst HTTPS verwendest. nur weil die URL "geheim" ist, ists ja nicht geschützt. weißt du was ich meine?

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

01.12.2009 - 15:40

Ich weiß nicht was ER meint..!? O.o

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15864

01.12.2009 - 15:44

seine geheimen urls, er hat halt angst das WOT auch mal draufschaut und dann sieht: geil, da gibts hardware umsonst oder pr0n usw.
die internen urls tangieren sie wohl kaum

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

01.12.2009 - 15:47

Ah verstehe! Er vertraut dem Web of Trust ned...

Bzw. den Betreibern von selbigem.

Verständlich...würd auch wildfremden Menschen ned vertrauen, wobei ich ebenfalls ned denke, dass sich irgendwer in dem Wirrwarr von hundertausenden URLs für irgendwelche speziellen interessiert.
Mit Internen fangens eh nix an...wie auch!?

edit: also z.B. dem Webinterface deiner internen E-Mail-Plattform (OWA oder so), oder deine Admin-Weboberflächen für Router, Switches, Sharepoint, whatever....

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

01.12.2009 - 15:49

Zitat von EvilGohan
Mit Internen fangens eh nix an...wie auch!?

Und für externe (ausschließlich) auf "Security" by Obscurity zu vertrauen ist eher suboptimal

Bearbeitet von jives am 01.12.2009, 15:52

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2423

01.12.2009 - 15:53

wenn dein intranet von extern ohne schutz erreichbar ist, solltest eh über das security-konzept nochmal nachdenken

wenns eh nur innerhalb des (geschützten) intranets bestimmte urls sind bringens den betreibern von WOT auch nix.

btw. was hat das mit world events zu tun :confused:

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

01.12.2009 - 15:56

beispiel: ich hab ne php-anbindung zu unserer artikel-datenbank gemacht damit ich unterwegs übers handy schnell mal einkaufspreise checken kann. der server ist also auch von extern ansprechbar wenn man die url weis!

was die mit den daten machen könnten?
zb. in koop mit google oder so mal vergleichen welche der URL's öffentlich bekannt sind. alle 'unbekannten' wären dann ja theoretisch interessant.

anderes beispiel: man kann ja zb. auch username und passwort in einer URL mit übergeben. die site selbst wäre zwar geschützt, aber die login daten wären WOT bekannt.
klar ist das nicht der richtige weg über die url. wäre aber kein problem wenn keiner 'mit liest'.

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

01.12.2009 - 15:58

nachtrag @enforcer: wusste nicht wohin mit dem thread. passt aber schon irgendwie zu world events eher als offtopic. imho

das intranet selbst ist mit hard und software firewall geschützt. aber ich hab auch nen apache server laufen der von aussen zugänglich sein muss. das ist alles mögliche demo und testzeugs von firmenkunden drauf. mein entwicklungs-server sozusagen.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

01.12.2009 - 16:00

aber genau das ist die gefahr bei mobilen anwendungen. wer sagt, dass der nächste benutzer nicht hergeht und die gleiche abfrage per wlan-hotspot macht?

du musst unbedingt eine authentifizierung einbaun. am besten noch https verschlüsselt, auch fürs "handy" (oder doch eher smartphone?).

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

01.12.2009 - 16:03

Zitat von Bogus
beispiel: ich hab ne php-anbindung zu unserer artikel-datenbank gemacht damit ich unterwegs übers handy schnell mal einkaufspreise checken kann. der server ist also auch von extern ansprechbar wenn man die url weis!

anderes beispiel: man kann ja zb. auch username und passwort in einer URL mit übergeben. die site selbst wäre zwar geschützt, aber die login daten wären WOT bekannt.
klar ist das nicht der richtige weg über die url. wäre aber kein problem wenn keiner 'mit liest'.

Ad 1) Wenns um sensible Daten geht und man da ohne weitere Sicherheitsmaßnahmen nur über die Kenntnis der URL zugreifen kann ist das ein schwerer Designfehler.

Ad 2) Sensible (Zugangs-)Daten unverschlüsselt durchs Internet zu jagen ist ebenfalls eine große Sicherheitslücke (egal ob per GET, POST, oä.)

Mir scheint das WoT für ordentlich designte Systeme schon vertrauenswürdig zu sein, zumindest unter diesem Aspekt.

Bearbeitet von jives am 01.12.2009, 16:08

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2423

01.12.2009 - 16:04

full ack @ smut

https MUSS in dem fall fast schon sein. stell dir nur vor jemand sitzt bei mc donalds im wlan und snifft n bissl mit. einer deiner kunden wählt sich da beim mittagessen ein und der pöhse sniffer hat alle daten da - einfach so, ohne aufwand, war ja nix verschlüsselt.

wer ist jetzt schuld wenn die sachen deines firmenkunden alle weg/geändert/ausgelesen/whatever sind? aus sicht des kunden sicherlich du.

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

01.12.2009 - 21:02

die sicherheit meiner sites ist die eine sache....aber darum geht es mir ja nicht in diesem thread.

ich möchte vielmehr hinterfragen was ihr von WOT haltet bzw. ob ihr euch missbrauch vorstellen könntet.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15864

01.12.2009 - 21:28

überall da wo menschen sind ist missbrauch möglich _._

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

02.11.2016 - 10:06

Web of Trust (WOT) sammelt und verkauft deinen Browserverlauf: https://www.kuketz-blog.de/wot-addo...tzer-ausspaeht/

Ironischerweise installiert man WOT, um sich vor Betrügern im Internet zu schützen...

Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	01.12.2009 - 15:22 Hallo zusammen! Nutze schon seit langem WOT als Addon zu Firefox. An sich ja ne echt tolle Idee. Gestern lief aber wieder mal 'Das Netz' im Fernsehen und heute kam mir dann plötzlich ein wenig die 'Panik': WOT fragt ja jede x-beliebige URL auf nem Server an (schätze ich mal). Ich persönlich arbeite sehr viel auf 'Geheimen' Seiten. Soll heissen: Links in's Intranet, Admin-Oberflächen, etc.. Die brauchen eigentlich keinen Schutz weil die URL niemals jemand ausfindig machen kann. ABER WAS IST MIT WOT? Die können theoretisch ja alles mögliche speichern und oder verwerten/auswerten. Was meint ihr dazu?
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	01.12.2009 - 15:37 ansich reichts wennst HTTPS verwendest. nur weil die URL "geheim" ist, ists ja nicht geschützt. weißt du was ich meine?
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	01.12.2009 - 15:40 Ich weiß nicht was ER meint..!? O.o
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15864	01.12.2009 - 15:44 seine geheimen urls, er hat halt angst das WOT auch mal draufschaut und dann sieht: geil, da gibts hardware umsonst oder pr0n usw. die internen urls tangieren sie wohl kaum
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	01.12.2009 - 15:47 Ah verstehe! Er vertraut dem Web of Trust ned... Bzw. den Betreibern von selbigem. Verständlich...würd auch wildfremden Menschen ned vertrauen, wobei ich ebenfalls ned denke, dass sich irgendwer in dem Wirrwarr von hundertausenden URLs für irgendwelche speziellen interessiert. Mit Internen fangens eh nix an...wie auch!? edit: also z.B. dem Webinterface deiner internen E-Mail-Plattform (OWA oder so), oder deine Admin-Weboberflächen für Router, Switches, Sharepoint, whatever....
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	01.12.2009 - 15:49 Zitat von EvilGohan Mit Internen fangens eh nix an...wie auch!? Und für externe (ausschließlich) auf "Security" by Obscurity zu vertrauen ist eher suboptimal Bearbeitet von jives am 01.12.2009, 15:52
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2423	01.12.2009 - 15:53 wenn dein intranet von extern ohne schutz erreichbar ist, solltest eh über das security-konzept nochmal nachdenken wenns eh nur innerhalb des (geschützten) intranets bestimmte urls sind bringens den betreibern von WOT auch nix. btw. was hat das mit world events zu tun
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	01.12.2009 - 15:56 beispiel: ich hab ne php-anbindung zu unserer artikel-datenbank gemacht damit ich unterwegs übers handy schnell mal einkaufspreise checken kann. der server ist also auch von extern ansprechbar wenn man die url weis! was die mit den daten machen könnten? zb. in koop mit google oder so mal vergleichen welche der URL's öffentlich bekannt sind. alle 'unbekannten' wären dann ja theoretisch interessant. anderes beispiel: man kann ja zb. auch username und passwort in einer URL mit übergeben. die site selbst wäre zwar geschützt, aber die login daten wären WOT bekannt. klar ist das nicht der richtige weg über die url. wäre aber kein problem wenn keiner 'mit liest'.
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	01.12.2009 - 15:58 nachtrag @enforcer: wusste nicht wohin mit dem thread. passt aber schon irgendwie zu world events eher als offtopic. imho das intranet selbst ist mit hard und software firewall geschützt. aber ich hab auch nen apache server laufen der von aussen zugänglich sein muss. das ist alles mögliche demo und testzeugs von firmenkunden drauf. mein entwicklungs-server sozusagen.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	01.12.2009 - 16:00 aber genau das ist die gefahr bei mobilen anwendungen. wer sagt, dass der nächste benutzer nicht hergeht und die gleiche abfrage per wlan-hotspot macht? du musst unbedingt eine authentifizierung einbaun. am besten noch https verschlüsselt, auch fürs "handy" (oder doch eher smartphone?).
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	01.12.2009 - 16:03 Zitat von Bogus beispiel: ich hab ne php-anbindung zu unserer artikel-datenbank gemacht damit ich unterwegs übers handy schnell mal einkaufspreise checken kann. der server ist also auch von extern ansprechbar wenn man die url weis! anderes beispiel: man kann ja zb. auch username und passwort in einer URL mit übergeben. die site selbst wäre zwar geschützt, aber die login daten wären WOT bekannt. klar ist das nicht der richtige weg über die url. wäre aber kein problem wenn keiner 'mit liest'. Ad 1) Wenns um sensible Daten geht und man da ohne weitere Sicherheitsmaßnahmen nur über die Kenntnis der URL zugreifen kann ist das ein schwerer Designfehler. Ad 2) Sensible (Zugangs-)Daten unverschlüsselt durchs Internet zu jagen ist ebenfalls eine große Sicherheitslücke (egal ob per GET, POST, oä.) Mir scheint das WoT für ordentlich designte Systeme schon vertrauenswürdig zu sein, zumindest unter diesem Aspekt. Bearbeitet von jives am 01.12.2009, 16:08
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2423	01.12.2009 - 16:04 full ack @ smut https MUSS in dem fall fast schon sein. stell dir nur vor jemand sitzt bei mc donalds im wlan und snifft n bissl mit. einer deiner kunden wählt sich da beim mittagessen ein und der pöhse sniffer hat alle daten da - einfach so, ohne aufwand, war ja nix verschlüsselt. wer ist jetzt schuld wenn die sachen deines firmenkunden alle weg/geändert/ausgelesen/whatever sind? aus sicht des kunden sicherlich du.
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	01.12.2009 - 21:02 die sicherheit meiner sites ist die eine sache....aber darum geht es mir ja nicht in diesem thread. ich möchte vielmehr hinterfragen was ihr von WOT haltet bzw. ob ihr euch missbrauch vorstellen könntet.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15864	01.12.2009 - 21:28 überall da wo menschen sind ist missbrauch möglich _._
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	02.11.2016 - 10:06 Web of Trust (WOT) sammelt und verkauft deinen Browserverlauf: https://www.kuketz-blog.de/wot-addo...tzer-ausspaeht/ Ironischerweise installiert man WOT, um sich vor Betrügern im Internet zu schützen...

Ist WOT (Web of Trust) selbst vertrauenswürdig????

Forum Index > Digital Life > Internet & Provider

Bogus

Smut

EG

userohnenamen

EG

jives

enforcer

Bogus

Bogus

Smut

jives

enforcer

Bogus

userohnenamen

Luka