Datensicherheit auf COLLECTORBASE.net

COLLECTORBASE.net, FAQ 22. Februar 2018 By No Response

englischFragen wie: „Wie leicht ist COLLECTORBASE.net zu hacken?“ oder „Sind meine Daten in der Sammeldatenbank sicher?“, sind bei einer riesigen Datenbank wie COLLECTORBASE.net verständlich und durchaus berechtigt.
Erst kürzlich kam von einem unserer Sammler folgende Frage:

„Wenn ich meine Sammlung auf COLLECTORBASE.net verwalte. Meinen Whisky, meine STAR WARS Sammlung und sonst einiges von Wert. Wie stellt ihr sicher, dass niemand meine Adresse herausfindet und bei mir zuhause einbricht?“

In diesem Beitrag werde ich Euch alles zur Sicherheit Eurer Daten und dem Schutz vor Datenraub erläutern – und dies so allgemeinverständlich wie möglich, da die wenigsten von Euch IT Profis sein werden.

Ihr habt sicher schon den einen oder anderen Film gesehen, in dem in einen hoch gesicherten Serverraum eingebrochen wird, um Daten auf ein Speichermedium zu laden und so zu stehlen. Warum sollte man das tun, wenn man eine Site hacken und sich die Daten im Wohnzimmer sitzend ebenso besorgen kann?

Die Antwort ist: Weil das Hacken einer Site bei einer verantwortungsvollen und umsichtigen Programmierung gar nicht möglich ist.

Ein Angriffvektor bei Webseiten sind die sogenannten „SQL Injektions„. Das bedeutet, dass die Eingabe von Zeichen in Formularfeldern ungefiltert verarbeitet wird und somit nicht gesichert ist. Wenn ein Hacker auf diesem Weg Schadcode eingibt, kann er auf die Datenbank zugreifen. Hat er Zugriff auf die Datenbank, kann er alle Daten auslesen und sie verändern, wie er will.

Um dem vorzubeugen verwenden wir in der Systemarchitektur von COLLECTORBASE.net eine Datenbankschicht, die alles, was ein Benutzer in Formularfelder eingibt verarbeitet und u.a. mit Hilfe von Prepared Statement sicherstellt, dass nur die Daten die wir erwarten, verarbeitet werden.

Das bedeutet im Klartext: Wo zum Beispiel ein Datum rein gehört, erwarten wir auch ein Datum und keinen Programmcode. Würde man alles eingegeben können was man möchte, dann wäre auch ein Programmcode möglich, der auf diese Art Zugriff auf unsere Datenbank ermöglichen würde.

Unsere/eure Passwörter sind „gehasht“ und „gesalted“ oder schlicht und ergreifend verschlüsselt und noch einmal durch den Zufallsgenerator geschickt.

Das erschwert ein Eindringen in die Datenbank über Passwörter erheblich. Aber selbst wenn dies gelingt, ist COLLECTORBASE.net deswegen noch nicht gehackt. Sollte ein einzelnes Konto gehackt werden, kann man nur auf dieses einzelne Konto zugreifen. Ob Euer Konto gehackt werden kann, liegt in Eurer eigenen Verantwortung. Je simpler euer Passwort ist „qwertz“ oder „^1234567890ß´“ umso schneller kann man per Brute-Force Methode euer Konto knacken.

Verwendet Ihr ein starkes Passwort, seid Ihr auf der sicheren Seite, denn die Bruth-Force Methode wird umso aufwendiger, je länger und komplizierter das Passwort ist. Wird ein Passwort geknackt, kann man deswegen nicht automatisch auf andere Passwörter rückschließen. Dafür haben wir die salt-Funktion.
Aber das wird jetzt schon zu technisch. An dieser Stelle sei gesagt, das die Verschlüsselung eines Passworts keinen Rückschluss auf die Verschlüsselung eines anderen Passworts zulässt.

Ihr seht, eure Daten sind bei uns sicher.

Das ist es, was in unserer Verantwortung liegt. Aber es gibt ein anderes Problem und das ist viel dringlicher!

MeltdownDank Spectre und Meltdown ist nachweislich das komplette Internet, angefangen bei den Hosting-Provider von Hinz-und-Kunz bis zu den global Playern wie Amazon AWS seit Jahren hoch angreifbar, sprichwörtlich offen wie ein Scheunentor. Das betrifft auch alle Banken, Kreditkarten bis hin zum Finanzamt. Genauso betrifft dieses Problem aber auch jeden PC den man zuhause stehen hat.

SpectreLaut Sicherheitsexperten sind diese gravierenden, kürzlich veröffentlichen Sicherheitslücken in der CPU-Architektur aller Chiphersteller der letzten Jahre aber nur die Spitze des Eisbergs. Wir wissen nicht welche Lücken es bei den Prozessoren sonst noch gibt. Wir können nur, wie der Rest der Welt hoffen, dass mit Updates irgendwann tatsächlich alle Lücken geschlossen sind. Sicher sein kann man sich aber nie.

Worauf Ihr Euch verlassen könnt: unser Provider hat alle Sicherheitsupdates installiert.

Lektorat: Textbau – Marion Anderle


0 Comment

Would you like to join the discussion? Feel free to contribute!

Write a Reply or Comment

STAR WARS – an … 9. Januar 2018 STAR WARS – AN VORDERSTER FRONT Affiliate Programm Unser Affiliate Progr… 26. Februar 2018