Beiträge von cltrmx

Du hast Recht, den Passwordsafe nutzt man freiwillig. Das war vielleicht kein gut gewähltes Beispiel meinerseits.

Es ist doch trotzdem zu differenzieren, ob du als Anbieter IP-Adressen/User-Agent-basierte Daten bei fremden Firmen ablegst (durch Einbinden von Grafiken/JavaScript/...) oder ob du sensiblere Daten weitergibst.

Auch du wirst mir zustimmen, dass es bestimmt ein Unterschied wäre, wenn Netcup Schriftarten aus der Google Font API einbinden würde versus wenn Netcup deine Passwörter an Google weitertragen würde. Ich verstehe bei deiner Argumentation schlichtweg nicht, wieso du nicht zwischen "generischen Daten" und "sicherheitskritsichen Daten" unterscheiden kannst.

mainziman IMO macht es immer noch einen gewaltigen Unterschied, ob man "nur" ein Grafiken und JavaScript von extern einbindet oder aber beispielsweise Passwörter im Google Passwordsafe ablegt.

Da kannst du auch noch zehn mal hier schreiben, dass es keinen Unterschied macht :-).

P.S.: Sollte ich dich missverstanden haben, so kläre mich bitte auf ...

Zitat von mainziman

entweder man bindet generell NICHTs von Dritten ein, oder man akzeptiert das auch bei dieser Thematik;

und das was Du als kritische Nutzerdaten bezeichnest, hast Du quantitiativ z.B. bei sowas im HTML-Code bei eeiner Seite (nur schematisch)

Ich versteh das "Schwarz/Weiss"-Denken an dieser Stelle nicht. Ist doch wohl ein erheblicher Unterschied, ob ich ein externes Bild in einer Webseite einbinde oder **sicherheitskritische** Informationen an eine externe Firma weitergebe.

Soweit ich das richtig verstanden habe, ging es in diesem Post nicht (nur) darum, dass kein externes Bild eingebunden werden soll, sondern, dass das 2FA-Secret nicht nach außen weitergegeben werden soll.

Gern! Um so besser, dass es jetzt funktioniert :-).

Ach so, verstehe! Je nach System liegt die Datei normalerweise in `/etc/nginx/sites-available/default`. Hier bietet es sich aber je nach dem an, für verschiedene Seiten/Domains unterschiedliche Konfigurationsdateien anzulegen.

Ich vermute bei dir fehlt die Index-Angabe in der Konfiguration. Ein einfaches Beispiel könnte dieses hier sein:

server {
    listen        80;
    server_name    beispiel.de;
    access_log    off;
    location / {
                root   /usr/share/nginx/html;
                index  index.html index.htm;
    }
}

Was möchtest du denn genau tun (also abstrakt gesehen)? Hast du ein Repository bei Github, in welches du Änderungen deiner Webseite pusht und dieses Projekt soll sie automatisch auf deinen Webserver deployen?

Generell: Einen SSH-Key kannst du meines Wissens nach nur verwenden um dich über ssh bei Repos zu authentifizieren (und nicht mit https).

Stimme janxb zu. Passwörter sollten gehasht gespeichert werden, aber nicht verschlüsselt. Letzteres würde ja erlauben, dass jemand mit Zugriff auf den Schlüssel alle Passwörter im Klartext bekommt. Das darf **nie** möglich sein.

Zitat von RaHa

Wo ist das Problem? Die E-Mail-Passwörter liegen in der Plesk-Datenbank auf dem Server. Mit root-Zugriff auf den Server kann man mail_auth_view starten welches die Daten aus der DB ausliest.

Gedanken würde ich mir machen bei SSH root-Passwörtern wie 1234. Außerdem kann man SSH Zugriffe via Firewall sperren bzw. nur für eine feste IP zulassen. Gedanken könnte/sollte man sich auch machen, dass Netcup diese Passwörter z.B. bei einem Root-Server selbst festlegt und per E-Mail versendet.

Das Problem dabei ist, dass Passwörter eigentlich immer als Hash gespeichert werden sollten, niemals als Klartext oder habe ich das gerade falsch im Kopf? Soweit mir bekannt, gilt das auch für Datenbanken von Mail-Systemen.

Beim letzten Punkt stimme ich dir zu! Aus diesem Grund würde ich auch jedem empfehlen, gemietete Server mit einem eigenen Image neu zu installieren.

Zitat von RaHa

Mit SSH am Plesk-Server anmelden.

Der Befehl /usr/local/psa/admin/bin/mail_auth_view gibt alle E-Mail-Adressen mit Passwort aus.

/usr/local/psa/admin/bin/mail_auth_view > /var/www/vhost/meinedomain.de/meineemails.txt schreibt alles in die angegebene Datei.

Ich hoffe doch ganz stark, dass die Passwörter **nicht** im Klartext gespeichert/abrufbar sind.

Wie lange ist entsprechendes (vermutlich Webhosting-)Paket denn schon aktiv? Solange der Login mit dem Webmailer nicht funktioniert, wird er auch nicht in anderen Clients funktionieren.

Von welcher "Anleitung" schreibst du denn?

Stimme den anderen hier zu: Synapse kannst du praktisch auf jedem vServer/Root-Server installieren. Ich selbst verwende eine Instanz auf einem RS500 (älterer Generation) inkl. Lets Encrypt Zertifikat, Postgres-Datenbank, (Co-)Turn-Server, Element als Webclient, Synapse-Admin (kann ich dir auch nur empfehlen für das Usermanagement) und Bots. Das Ganze läuft als ein großer Docker-Compose Stack, was die Wartung relativ einfach macht.

Zusätzlich zu der Empfehlung des Förderationstesters empfehle ich dir noch einen kostenlosen Account bei matrix.org, damit du die Förderation auch komplett ausprobieren kannst inkl. Voice-Chat etc.

Zitat von geekmonkey

war nur ein Bsp für die unzähligen totps ? Ich persönlich nutze die Funktion nicht. bzw. hatte sie einmal testweise für Nintendo ausprobiert.

Hab das schon verstanden :-). Ich würde nur *unabhängig der Anwendung* nicht beides im gleichen System hinterlegen.

Zitat von geekmonkey

Mittlerweile kommt ja sogar bitwarden mit totp daher, allerdings in der premium version für ich glaube 10€/Jahr. Die Lizenz lässt sich auch in die self hosted Version importieren

Da stellt sich mir aber die Frage, ob ich totp und Passwort in der gleichen Anwendung ablegen möchte -> Widerspricht ja der Idee hinter 2FA oder?

Hat jemand eine Liste (möglichst aller) Microsoft-Mail-Domains? Ich meine an irgendeiner Stelle hier im Forum mal gelesen zu haben, dass jemand eine umfassende Liste zusammen gestellt hat.

Hintergrund: Will im eigenen Mailserver jetzt alle eingehenden Mails von MS rejecten.

Das Webhosting 1000 unterstützt Aliase. Diese können einfach in der Verwaltungsoberfläche zu jedem Postfach hinzugefügt werden.

Habe aktuell drei vServer bei Netcup - keiner der drei war nicht erreichbar in den letzten sieben Tagen (laut meinem Monitoring). Vielleicht war "nur" ein Netzsegment betroffen?

Zitat von OliverN

Sorry. Habe den Beitrag zu früh abgesendet und kann ihn nicht mehr bearbeiten.

Ich werde mir sicherlich mal traefik anschauen da ich dort schon mal vor einer weile etwas drüber gelesen habe.

Mit der Verwaltung habe ich vor einiger Zeit mal eine Anleitung mit "jwilder/nginx-proxy" gesehen, habe es aber relativ schnell wieder verworfen da ich lieber das offizielle Image von nginx vrrwendet hätte was immer aktualisiert wird.

Ich verwende privat auch das Image von jwilder als reverse proxy, da es eine sehr schöne (automatische!) Integration mit Lets Encrypt gibt. Aktualisiert wird dieses Image moderat oft, dahinter kannst du aber immer noch einen aktuellen nginx betreiben.

Zur Aufklärung für alle (und zukünftige) Interessierten:

Es lag an einem eigenen MX-Eintrag mit niedriger Priorität. Diesen hatte ich vorher gesetzt, um im Fall eines Ausfalls seitens Netcup trotzdem Mails mit einem vServer (konfigurierter Postfix relay) annehmen und später zustellen zu können. Laut Aussage des Supports ist das nicht möglich, da immer nur ein Mail-System in der Domain konfiguriert werden darf.

Ich gehe davon aus, dass dies allerdings eine technische Einschränkung seitens des Netcup-Hostings ist, da ich mit solch einem (Backup-)Setup außerhalb des Netcup-Systems schon längere Zeit erfolgreich unterwegs bin.

Hallo,

ich werfe auch noch mal die Frage in die Runde, was für CI / CD ihr verwendet und ob ihr intensiv mit Container Registries arbeitet. Git "an sich" ist mMn. eher nicht sehr aufwendig.