Also ich kenne das eigentlich nur so, dass man auf einen Link klickt und sein Passwort neu setzt.
Das längste Thema
- fLoo
- Unerledigt
-
-
-
Der Link wo man Sicht mit dem Temporären Passwort einloggen kann ist zwar besser als ein PW-reset-Link, hilft allerdings meiner Ansicht nach wenig, da ja „jeder“ den reset-Prozess anstoßen kann.
Angenommen ich habe als Angreifer die Möglichkeit den Mailverkehr mitzulesen.
Ob ich jetzt einen reset-Link anfordere und öffne oder beim anfordern noch ein temporäres Passwort setze, macht da nicht den Riesen Unterschied.
So lange nicht einfach nur ein neues Passwort gesetzt wird, dass dann für immer so bleibt und Klartext per Mail verschickt wird...
-
Es kann echt beruhigend sein, farbgleiche Klupen, die zur Farbe der Wäsche passen, beim Wäscheaufhängen zu benützen, oder nicht?
sag das 2mal, die Mode von heute könnte dann wen zum Ausrasten bringen, weil Klupen nix in der Farbe wie Klamoten im Handel
Also ich kenne das eigentlich nur so, dass man auf einen Link klickt und sein Passwort neu setzt.
ja die Variante kenne ich auch
Der Link wo man Sich mit dem Temporären Passwort einloggen kann ist zwar besser als ein PW-reset-Link, hilft allerdings meiner Ansicht nach wenig, da ja „jeder“ den reset-Prozess anstoßen kann.
nicht wirklich, die UserId muss bekannt sein; und als E-mail wird die verwendet, welche im System hinterlegt ist;
konkret habe diese eine Implementierung so gesehen: ich hatte mein Passwort vergessen,
also gings auf der Site zur Seite 'Anmeldung' mit temp. Passwort, bei der man zur UserId ein temp. Passwort angibt
und ein 2tes mal wiederholt;
dann kam ein Mail, mit einem Link, bei dem man zuerst das zuvor gesetzte temp. Passwort eingeben musste
und dann anschließend sein richtiges Passwort setzen konnte;
dann war ich wieder drin in dem System;
-
Definiere anderes Format, bitte: https://www.wolfssl.com/products/yassl/ DER und PEM... oder reden wir von der cipherllist?
https://bugs.mysql.com/bug.php?id=71271
YaSSL erwartet "PKCS#1" OpenSSL generiert aber ein "PKCS#8"
daher der Fehler
Hast Du das Letsencrypt-Cert cert.pem oder fullchain.pem genommen?
LetsEncrypt und MySQL/MariaDB ist keine Gute Idee - im schlimmsten Fall könnte sich jeder mit dem CA von Le Anmelden.
https://bugs.mysql.com/bug.php?id=75404
Es läuft!
OpenSSL 1.1.1 setzt unter Debian bekanntlich MinProtocol = TLSv1.2 in der /etc/ssl/openssl.cnf. Da die älteren Clients aber ausschließlich TLSv1.1 (oder gar nur TLSv1) unterstützen, schlägt der Verbindungsaufbau somit fehl. Durch eine Verkettung von anderen (selbst verursachten) Fehlern zeigte das Erlauben von TLSv1.1 in der Vergangenheit keine Wirkung. Das war nämlich meine allererste Vermutung.
Glückwunsch - habe mir nun auch MariaDB 10.1 von Debian mit OpenSSL 1.1 gebaut - Patch von Archlinux, damit habe ich weit aus weniger Probleme.
Aktuell baue ich für unsere Systeme Pakete welche statt mysqlnd in PHP, libmysqlclient/libmariadbclient verwenden.
Dort wird immer eine gescheite Verschlüsslung verwendet. mysqlnd scheint das Problem erst wirklich in PHP 7.2 im Griff zu haben.
-
Warum nutzt ihr nicht die Versionen von Mariadb?
-
Wusstet ihr das man bei nginx im server_name einen regex (mit Variable) verwenden kann?
Sehr interessante Funktion.
Dergestalt generische Hostnames sind insbesondere für virtuelle Domains eines Listservers (mailman, sympa, ...) recht praktisch.
Die Sache könnte aber auch nach hinten losgehen, wenn ein Fremder einen FQDN anlegt, der auf die Regex passt. Nginx ist bietet ja ein breites Spektrum an Funktionen, wie etwa Proxying, die sich nicht ausschließlich auf die Bereitstellung des HTTP*-Protokolls beschränken. Diese Funktion sollte man daher nur verwenden, wenn man sich genau überlegt hat, dass man damit vor hat und auch entsprechende Schutzmaßnahmen getroffen hat. Das sind meine 5 Cent Meinung dazu
-
Nein! https://futurezone.at/digital-…-gluehbirne-aus/400393874
Wäre hätte denn mit so etwas auch gerechnet?
-
und wenn damit dein LAN untergraben wird, hast was falsch gemacht ...
sprich: der smarte Unfug hat im WLAN von PC und Co nichts zu suchen ...
-
Nein! https://futurezone.at/digital-…-gluehbirne-aus/400393874
Wäre hätte denn mit so etwas auch gerechnet?
Wieso speichern die Glühbirnen denn die WLAN-Daten? Die Hue-Dinger zumindest kommunizieren über Zigbee mit einer Bride und erst die ist im LAN
-
und wenn damit dein LAN untergraben wird, hast was falsch gemacht ...
sprich: der smarte Unfug hat im WLAN von PC und Co nichts zu suchen ...
Der ganze smarte Unfug hat in meiner Wohnung überhaupt nichts zu suchen. Ich merke dann schon selbst, wenn die Birne nicht mehr funktioniert oder der Kühlschrank leer ist.
-
Ach ich finde das Zeugs zum spielen schon ganz lustig aber entweder da kommt gleich ne TASMOTA Firmware drauf und das ganze läuft über meine Server oder es muss sich per OpenHAb ansteuern lassen. Da redet dann nichts mehr mit China und gut ist.
Eckhard
-
Ecki genau so meinte ich eigentlich nicht; isoliertes Netz das weg ist vom Internet, wenn schon; wobei bis auf 2 LED Lampen die jeweils eine eigene Fernbedienung f. Ein/Aus/Farbe/Helligkeit haben gibts bei mir nur richtiges analoges Smart Home
deswegen hängt der FireTV-Stick im DMZ-WLAN, da kann er dann machen was er will, und kommt sicher nicht unkontrolliert ins LAN ...
(im LAN verabschiedet er sich regelmäßig, weil ich einiges gesperrt habe)
-
Hey Leute, hatte die letzten Tage Probleme mit nem DB Server in China (ca. 100k Accounts mit nahezu täglich Zugriff). Spiele mit dem Gedanken den nach DE auf nen RS 4k oder 8k zu verlagern. Würde gerne das Frontend zusätzlich mit fail2ban absicher, MariaDB ist eh nur via localhost erreichbar.
Sollte doch eigentlich nen local jail reichen oder? quasi mit Input aus dem nginx access.log der entsprechenden php. Oder übersehe ich was? -
weil ich es gerade wieder lese
-
weil ich es gerade wieder lese
Ich teile diese Ansicht und Schilderung und war mit dem Autor Hanno Böck auch im Zuge der Erstellung seines Newsletter-Beitrags vor ein paar Tagen in Kontakt. Siehe hierzu auch mein Beitrag hier vom Montag, 28.01.2019 : https://forum.netcup.de/sonstiges/smalltalk/1051-das-längste-thema/?postID=111291#post111291
-
Nein! https://futurezone.at/digital-…-gluehbirne-aus/400393874
Wäre hätte denn mit so etwas auch gerechnet?
Ich habe unzählige LIFX Dinger in meinem Zuhause installiert, die sind alle über einem seperaten WLAN-Netzwerk angebunden und mittels VLAN von meinem Netzwerk getrennt. Die LIFX können machen, was sie wollen.
-
mit nem DB Server in China ... Oder übersehe ich was?
aus welchem Eck der Welt kommt der meiste Zugriff?
evtl. an eine lange Leitung denken ...
-
phpmyadmin REMOVED from testing: https://tracker.debian.org/new…min-removed-from-testing/
Ja, voll gerechtfertigt. Aber trotzdem ärgerlich, weil man sich in Zukunft selber um Sicherheitsupdates kümmern muss.
-
Warum nutzt ihr nicht die Versionen von Mariadb?
da wir einige Server haben mit der Debian Version und auch die von MariaDB direkt nicht auf OpenSSL 1.1 basiert.
Da man einiges beachten muss, beim installieren via dem MariaDB repo.