-habe eine Änderung schon eingeplant
-stimmt, man sollte halt mehr als 4 Zeichen eingeben
-auch, wenn es bei mir immer problemlos funktioniert hat, werde ich das berücksichtigen
-SSL/TLS
-doch, am oberen Bildschirmrand; wird noch deutlicher dargestellt werden
-warum nicht?

1. Wird berücksichtigt
2. Einfach ins Feld klicken, Strg + A, Strg + C

Ich finde den Projekt-Namen und die Domain gut, sonst hätte ich sie nicht gewählt. Ich denke das ist Geschmackssache.

Mir war dein Projekt vorher nicht bekannt, aber es hat auch ein anderes Prinzip. Wenn ich das richtig verstanden habe, geht es bei dir um den reinen Versand von Einmal-Nachrichten, während es bei mir eher um die sichere Übertragung und Entschlüsselung nur mit Passwort geht.
Und ja, natürlich wird der verschlüsselte Text in der URL übergeben, da keine nutzerbezogenen Daten gespeichert werden, auch nicht verschlüsselt. Selbst wenn jemand den Link abfangen würde, wäre dieser ohne das richtige Passwort nutzlos.

Und ich wusste auch bzw. konnte es mir denken, dass es schon ähnliche Projekte gibt, jedoch ist das mein Hobby und ich sehe es nicht als Konkurrenzkampf an, wer den besseren Service anbietet und mehr Kohle macht.

Das könntest du mit JavaScript überprüfen bevor das Formular abgesendet wird, dann geht der Text nicht verloren (wenn man JS aktiviert hat).

Weil dieser Rot- und dieser Blauton nicht besonders gut zu einander passen.

Ja, da hab ich auch schon dran gedacht. Habe es aber soeben anders gelöst.

Die Farben werden dann später noch geändert.

Dankeschön!

Die Farben werden noch angepasst. Die Bilder fehlen noch, ich habe nur schonmal Platzhalter eingebaut. Den Footer finde ich eigentlich nicht allzu groß, aber ich denke, da der sowieso nicht so wichtig und am Ende der Seite ist, stört das nicht so sehr.

Ich denke so sollte das passen, oder? Kann man zumindest nicht mehr übersehen.

Nicht schlecht, fände es cool wenn man auch mehrere Zeilen machen könnte ggf. das Textfeld bisschen größer auch wäre .

LG
Karlo

Da gibt es leider noch ein paar Design-Probleme, werde aber schauen, was ich machen kann.

Natürlich ist der Projekt-Name zum Teil Geschmackssache, aber auch die Benutzerfreundlichkeit sollte beachtet werden. Wer hat schon Lust eine so lange Domain einzutippen oder sich diese genau zu merken, wenn es einfacher gehen könnte? Warum benutzt du englische Keywords für eine deutsche Webseite?

Die verschlüsselte Nachricht in der URL zu übergeben hat einen sehr großen Nachteil: Sie kann gespeichert werden, ohne das Passwort zu kennen und später dann unabhängig von deiner Seite geknackt werden (mit etwas Rechenleistung).

Deine Seite ist außerdem nicht gegen BruteForce-Attacken geschützt. Das Hash-Passwort aus der URL ist auch mit etwas Zeit und Rechenleistung sehr einfach zu knacken...

Wie soll der Nutzer die Passwortübergabe vornehmen? Direkt mit dem Link versenden? Bringt nur etwas, wenn man auch über einen anderen Kommunikationskanal kommuniziert oder die Person persönlich kennt.

Ich habe noch eine weitere Sicherheitslücke gefunden, mit der man Cookie-Stealing, Phishing usw. betreiben kann...

Der verschlüsselte Text aus der URL kann in heutiger Zeit nicht ohne das korrekte Passwort entschlüsselt werden. Als Verschlüsselungs-Algorithmus wird AES verwendet, der bis heute noch nicht geknackt wurde. Darüber hinaus habe ich noch weitere Sicherheitsmaßnahmen eingebaut, auf die ich hier nicht näher eingehen möchte.
Zudem könnte ich, wenn ich möchte, weitere Passwörter einbauen, mit denen verschlüsselt wird, die nur dem Server bekannt sind. Somit wäre die Entschlüsselung außerhalb von Crypto Message so gut wie unmöglich. Ich habe mich jedoch bewusst dagegen entschieden, damit der Text mit dem richtigen Passwort eben auch außerhalb von Crypto Message entschlüsselt werden kann.

Gegen Brute Force habe ich auch schon eine Lösung eingebaut, die allerdings noch verbessert werden muss. Starke Passwörter können aber dennoch nicht erraten werden.

Am sichersten kann Crypto Message benutzt werden, wenn Entschlüsselungs-URL und Passwort über zwei unterschiedliche Kanäle übertragen werden (am besten persönlich). Für Angreifer ist es immer schwieriger, zwei Kanäle zu überwachen als nur einen.

Zum Schluss: Würdest du mir deine gefundene Sicherheitslücke mal per PN mitteilen? Würde mir das dann mal anschauen.
//Edit: Aber wozu sollen diese Lücken gut sein? In den Cookies wird nichts Wichtiges gespeichert. Phishing kann man sowieso immer betreiben, auch bei PayPal etc.

Ja, habe die Meldung extra nicht geändert, da ich davon ausgehe, dass jeder "normale" Besucher einen Text eingibt.

Wer nutzt schon den IE?


Ich müsste nochmal was Wichtiges wissen:
Was würdet ihr bevorzugen?
-mehr Sicherheit; keine Kompatibilität mit anderer Software
oder
-weniger Sicherheit; dafür Kompatibilität mit anderer Software

Nach ewig langem Nachdenken finde ich ja nun doch ersteres besser, aber ich würde auch gern eure Meinung dazu hören.

Das tut mir leid, wenn ich einen falschen Eindruck vermittle.
Das Projekt/Produkt (wie auch immer) wurde von Anfang an auf hohe Sicherheit ausgelegt und das ist auch immer noch der Kerngedanke dahinter.
Daher habe ich mich auch für mehr Sicherheit, keine Kompatibilität mit anderer Software entschieden. Auch wenn es das vorher schon nicht war, sollte es jetzt noch weniger möglich sein, verschlüsselte Texte zu knacken.

Ich bin selbst von der Software überzeugt und würde es auch für eigene private Zwecke verwenden, um wichtige Informationen verschlüsselt zu speichern oder anderen Personen Wichtiges zukommen zu lassen.

Ich würde wetten, dass es keiner schafft, einen mit Crypto Message verschlüsselten Text zu knacken.
Drumherum sorgt die TLS-Verschlüsselung dafür, dass Text und Passwort bei der Verschlüsselung nicht mitgeschnitten werden können. Die TLS-Verschlüsselung verwendet ebenfalls AES und den DH-Schlüsselaustausch, womit in jeder Session andere Schlüssel zum Ver- und Entschlüsseln des Traffics verwendet werden. Somit ist es nicht möglich, mitgeschnittenen Traffic zu entschlüsseln, selbst wenn der private Schlüssel bekannt geworden ist.


Edit:
Die Open Beta ist beendet; es wurde genug Feedback gegeben! Es werden ab sofort noch letzte Verbesserungen vorgenommen, bis Crypto Message Montag Abend oder Dienstag offiziell veröffentlicht wird.

Respekt - du hast ein Script in 2 Tagen durch die OpenBeta gejagt und von mind. 3 Vorschlägen nur einen umgesetzt, wobei alle 3 wichtig sind...
Nehms mir nicht übel - aber das was du da gemacht hast ist nix - sowas schreibe ich in ner Stunde, sogar mit Datenbankanbindung und Textarea...

Schöner Scherz aber, dass du das Script in 2 Tagen "komplett" auf alle Fehler überprüft hast - mein CMS hat dafür 4 Monate gebraucht und war selbst danach nich fehlerfrei.

Ich habe nicht behauptet, dass das Produkt fehlerfrei ist. Jedoch ist es bereits jetzt sicher nutzbar. Die Beta habe ich beendet, sobald längere Zeit kein Feedback mehr kam.

Vor der Open Beta gab es zudem eine Closed Beta, in der ich auch wichtiges Feedback erhalten und berücksichtigt habe. Auch davor habe ich selbst das Produkt ausgiebig auf Fehler und Sicherheitslücken analysiert.

Du kannst mir nicht sagen, dass Crypto Message "unsicher" sei. Ich möchte wenn schon auch einen Beweis sehen und nicht nur stupide Behauptungen.
Meinetwegen kann ich für dich eine Nachricht verschlüsseln und wenn du es schaffst, mir den entschlüsselten Text zu liefern oder das Passwort herauszufinden, dann Respekt - ich werde das Projekt überarbeiten. Aber ansonsten möchte ich nicht immer niedergemacht werden, dass alles unsicher sei etc. Ich habe mir damit wirklich Mühe gegeben und Spaß an der Entwicklung gehabt - und werde es hoffentlich auch noch haben!

Zudem möchte ich noch gesagt haben, dass das Projekt eines Vorredners, nachricht.co, sicherlich auch nicht komplett sicher und fehlerfrei ist (es sei gesagt: ich möchte dieses Projekt keineswegs schlecht machen). Auch dieses Projekt hat seine Lücken, z. B. könnte der Einmal-Link von einem Angreifer abgefangen und geöffnet werden, sodass die Nachricht vom gedachten Empfänger nicht mehr gelesen werden kann.
Darauf ist z. B. noch niemand hier eingegangen, natürlich wird nur mein Projekt kritisiert (gut, hier geht es auch um mein Projekt, allerdings hat nachricht.co auch einen eigenen Thread. Dort wurde dieses Problem nicht angesprochen.)

Außerdem zwinge ich niemanden dazu, Crypto Message zu nutzen! Wer denkt, das Produkt sei unsicher, kann auch eine andere Software verwenden.
Ich persönlich bin aber von meinem Produkt überzeugt (und ich bin der einzige, der den Quelltext kennt und weiß, wie das Programm genau funktioniert) und würde es auch für meine eigenen Zwecke verwenden!

Und ich denke nicht, dass du eine "Kopie" meines Projekts innerhalb einer Stunde schreiben kannst. Nach außen hin wirkt das Produkt simpel und einfach, was es ja auch soll, hinter der Fassade verbergen sich allerdings haufenweise kryptografische Funktionen, aufwendige Verschlüsselungs-Algorithmen (neben AES) sowie doppelt und dreifache Überprüfungen der übertragenen Daten auf unterschiedlichsten Wegen.
Das Produkt ist keineswegs in ein paar Stunden (oder weniger) entstanden, die Entwicklung hat mich viel Zeit gekostet...

Bitte versteh mich nicht falsch, ich möchte dich nicht angreifen, aber ich habe es auch satt, immer nur Gemäkel zu hören, und am besten auch noch ohne Beleg. Ich versuche auch nicht, mich zu rechtfertigen, das habe ich nicht nötig, jedoch möchte ich der Öffentlichkeit meine Sichtweise näherbringen und erläutern. Ich lass es mir nämlich nicht gefallen, dass mein Projekt dauernd schlecht gemacht wird... Wenn jemand konstruktive Kritik zu äußern hat, stehe ich dafür sehr gern bereit, aber ich erwarte einen angemessenen Umgang und verständliche, grammatikalisch korrekt formulierte Belege (leider ist dies in Foren kaum möglich; es existiert auch eine Kontaktmöglichkeit per E-Mail!).


MFG

Warum hast du dann das Projekt hier vorgestellt? Aus Langeweile? Aus Spaß an der Freude?

DU möchtest das WIR DEIN Script AKTIV nutzen. Solltest du nicht auf das Feedback hören - Pech und wir sehen deine Domain sehr bald bei nem Domainreseller.

BTW: Deine Versionsnummer auf der Seite passt nicht. 1.0-prerelease ist noch vor OpenBeta. Wenn dann wäre richtig: 1.0.0-OpenBeta.

MfG

Tim Pasternak

Davon sieht und merkt man herzlich wenig. Wie deine Analyse nach Sicherheitslücken aussah, möchte ich gar nicht erst wissen, da momentan immer noch simpelste Lücken in deinem "Produkt" zu finden sind.

Ich werde dir keine Sicherheitslücken auf dem Silbertablett präsentieren, damit du dich eigenständig mit der Materie auseinander setzt und dich einarbeitest. Du verfügst offensichtlich nicht annähernd über das benötigte Wissen für solch ein Projekt (zumindest nicht um es ernsthaft) anbieten zu können.

In diesem Thread geht es um dein Projekt, nicht um meines. Um dennoch auf deinen Vorwurf einzugehen:

Ein Link kann abgefangen werden, wenn der Nutzer einen unsicheren Kommunikationskanal benutzt. Da ich als Betreiber von Nachricht.co keinen Einfluss auf den vom Nutzer gewählten Kommunikationskanal (wie Facebook, Email etc.) habe, kann ein Abfangen des Links durch Dritte nur durch den Verstand des Nutzers selbst verhindert werden, indem er einen sicheren Kommunikationskanal benutzt und nur der betreffenden Person den Link zukommen lässt. So auch in der Datenschutzerklärung von Nachricht.co angegeben (du hast nicht einmal eine).

Ich finde es wirklich lächerlich, wie du aus mangelnder Kritikfähigkeit versuchst, dich an jeder Stelle zu rechtfertigen.

//edit: Du machst dich aktuell Strafbar

• Impressum & Haftungsausschluss von eRecht24 ohne Quellenangabe
• Du benutzt ein Template von HTML5UP ohne Quellenangabe