https für triathlon-szene
 

Hallöchen,

hoffe hier im richtigen Bereich gelandet zu sein.
Wäre es ein großer Aufwand, für triathlon-szene.de (und alle CNAMEs die so verwendet werden) ein SSL/TLS Zertifikat bereit zu stellen?

Wenn man derzeit auf https://triathlon-szene.de geht, landet man auf https://mac-tv.de

Bei https://letsencrypt.org/ bekommt man mittlerweile sogar kostenlose Zertifikate, die von Browsern als trusted bestätigt werden.

Danke

:Blumen:

Muss ich mal nachfragen. Warum brauchst Du das? :Blumen:

Gibt allgemein keine Gründe, nicht zu verschlüsseln, zusätzlich sind hier sicher einige, die in der Firma oder in einem offenen WLAN auf triathlon-szene zugreifen, und der Login z.b. geht im Klartext über die Leitung.

Außerdem mag es Leute geben, die nicht wollen, dass jeder der zwischen der Person und eurem Webserver die Daten zu sehen bekommt sich ein Bild machen kann, was man hier so treibt.

Früher gab es noch das Argument, Verschlüsselung kostet Rechenpower, in der heutigen Zeit soltle das aber kein wirkliches Argument mehr sein.

Prinzipiell will ich, dass am besten jede Kommunikation im Internet verschlüsselt ist. Stichwort: Snowden

A

Siehe auch:

http://mashable.com/2011/05/31/https-web-security/

Genau. Auch wenn man nichts zu verbergen hat, sollte man den Überwachern nicht alles frei Haus liefern. Wenn man seine Rechte nicht nutzt, verfallen sie.

Hm, die Kommunikation in einem Forums ist abgesehen von wenigen Ausnahmen ohnehin öffentlich. Da sehe ich sehr wenig Sinn in Verschlüsselung.

Das sehe ich nicht so; der Großteil ist nicht öffentlich. Nur das Resultat der Interaktion mit der Forumssoftware ist öffentlich, nicht der ganze Verlauf, Session-Daten, Zeitpunkt des Aufrufs, Verweildauer auf einzelnen Seiten, private Nachrichten, Entwürfe für Posts, verworfene Posts etc.

Verschlüsselung sollte nicht der Ausnahmefall sein, sondern die Regel. Alles was Überwachung für die Überwacher teurer macht, und dazu gehört eben auch, herauszufinden, ob in der verschlüsselten Übertragung irgendwelche interessanten Inhalte sind, sollte man einsetzen wenn es mit wenig Aufwand verbunden ist.
Wenn jemand ein berechtigtes Interesse daran hat, dann muss er sich eben mit dem Betreiber in Verbindung setzen und kann nicht einfach alles heimlich auf der Leitung abgreifen.

Das was du schreibst, ja. Das was du dir anschaust, was du per PN schreibst, wie dein Username / Passwort sind sollten aber nicht öffentlich sein oder?

Nächstes Argument: HTTPS zu nutzen verhindert (zumindest teilweise) Phishing, d.h. wenn du eine Seite präsentiert bekommst, auf der Triathlon-szene.de steht, kannst du verifizieren, dass auch Triathlon-szene.de dahinter steht.

Last but not least: Manche Suchmaschinen honorieren das nutzen von HTTPS mit besseren Rankings.

A

https://www.washingtonpost.com/news/...probably-wont/
http://www.wired.com/2014/04/https/

Glaub damit war eher gemeint, dass dadurch ein unbekannter 3. weiß wer du bist und was du schreibst. Ansonsten sieht dein IT Admin nur, dass du hier warst aber er weiß nicht als wer /ob du schreibst. Wobei das ob evtl. noch aus dem Log ersichtlich ist.
Und dann postet er am Ende unter deinem Namen, schaut die Videos auf deine Rechnung und überholt dich im nächsten Wettkampf.

Spaß beiseite - Verschlüsselung ist wichtig

Hi Arne, gibt es hierzu irgendwas neues?

:Blumen:

Heise macht es auch und sagt warum. :Blumen:

Ich weiß, dass das Thema hier nicht hoch im Kurs steht und andere Dinge Vorrang haben, aber bekanntlich höhlt steter Tropfen den Stein. :Cheese:

Heise Newsticker: HTTPS-Verschlüsselung im Web erreicht erstmals 50 Prozent

Auch Google bewertet HTTPS als positives Signal für die Suchmaschinenergebnisse:

https://webmasters.googleblog.com/20...ng-signal.html

A

Umfrage!!!

Für Umfragen empfehle ich SurveyMonkey ... wäre übrigens auch https :Cheese:

Habe mal ine Umfrage erstellt.

Mir ist noch aufgefallen, unter https://tv.triathlon-szene.de geht doch sogar schon TLS.

Bzw:

https://www.ssllabs.com/ssltest/anal...hideResults=on

Arneeeeeee

Sehr viele HTTPS-Seiten sind bei uns in der Arbeit (Citrix-System) nicht zugänglich, bzw. enden mit Fehlermeldungen. Keine Ahnung, warum das so ist. Hängt wahrscheinlich irgendwie mit der Weitergabe von Zertifikaten zwischen Workstations und Server zusammen.

Dropbox, onedrive, verschiedene Googleservices z.B. funktionieren nicht. Ebay, online-Banking, Instagram wo es ja auch einen via https-verschlüsselten Code gibt funktioniert dagegen.

Vor diesem Hintergrund würde ich den unverschlüsselten Zugang befürworten, da es sich auf dem Smartphone so schlecht tippt.

P.S.: die Umfrage ist, so tendenziös wie die Antworten formuliert sind, BS! ;-)

Das generelle Problem ist, dass es in Sachen Effizienz und Sicherheit gute und weniger gute Verschlüsselungsalgorithmen gibt; außerdem unterschiedliche Schlüssellängen. Je länger der Schlüssel, desto mehr Rechenleistung braucht man.

Beim Verbindungsaufbau wird ausgehandelt, was benutzt wird. Prinzipiell möchte man die Übertragung möglichst sicher haben. Das wird erreicht, indem modernere Systeme keine unsicheren Algorithmen anbieten. Der Nachteil dabei ist, dass so u.U. keine "sichere" Kommunikation mit älteren Systemen möglich ist.

Also nimmt man vielleicht doch ein paar leichter angreifbare Verfahren dazu. Irgendwo muss man aber die Grenze ziehen, ansonsten kann man seine Bankdaten gleich unverschlüsselt übertragen. :)

Ich bin zwar für HTTPS, wäre aber fast geneigt aufgrund der enorm unausgewogenen Umfrage meine Meinung zu revidieren. ;)

Ich bin ganz erhlich wenn ich sage ich habe überhaupt keine Ahnung, wovon hier die Rede ist. Könnte mir jemand erklären um was genau es hier geht? Bzw. was sind die Vor- / Nachteile?

Das Forum funktioniert bei mir auf dem PC und dem Handy eigentlich immer problemlos. Ich sehe also, unter Berücksichtigung meiner nicht vorhandenen IT Kenntnisse, keinen Grund etwas daran zu ändern.


:Huhu:

:Blumen:

Dirtyharry

HTTP und HTTPS sind Übertragungsprotokolle, die Dein Webbrowser versteht. Das "S" in HTTPS steht für "secure", d.h. es ist eine sichere Variante von HTTP.

Beim einfachen HTTP kann jeder, der zwischen Dir und dem Server sitzt, auf dem die Website gespeichert ist, die Du Dir anschaust - also der WLAN-Hotspot-Betreiber, der Hacker am Nebentisch, der Internet Service Provider und jeder weitere Knoten auf dem Übertragungsweg alles sehen, was hin- und hergeschickt wird: Bilder, öffentliche Texte die Du bearbeitest, private Nachrichten, Passwörter - ALLES!

Deswegen ist es auch enorm wichtig, unter keinen Umständen Dein Triathlon-Szene Passwort für andere Dienste zu verwenden. Du musst davon ausgehen, dass es nicht nur Dir und Arne bekannt ist! Dein Triathlon-Szene-Benutzername und Kennwort werden im Klartext übertragen.

Wenn man das nicht möchte, z.B. weil nicht jeder das Passwort fürs Online-Banking und den Kontostand kennen soll, setzt man HTTPS ein. Dann kann - im Normalfall - niemand zwischen Dir und dem Zielsystem sehen, was übertragen wird.

Hört sich toll an, warum macht man das nicht immer? Weil mehr Rechenleistung notwendig ist, um zu ver- und entschlüsseln und auch die Menge übertragener Daten steigt. Dieser sogenannte "Overhead", enthält keine Nutzdaten (Bilder, Texte), sondern dient nur der Verschlüsselung.

Früher waren Rechenleistung und Bandbreite sehr kostbar, deswegen hat man nur im Ausnahmefall verschlüsselt. Mittlerweile sind aber Rechenleistung und Bandbreite fast umsonst aber die Anzahl der Leute, die Deine Übertragung überwachen können und Böses im Schild führen hat stark zugenommen. Deswegen schlägt das Pendel immer weiter in Richtung Sicherheit aus.

Ich hoffe, das war halbwegs einleuchtend. Zum Zwecke der Verdaulichkeit ziemlich vereinfacht. Und vollständig natürlich auch nicht. :)

PS: Dass ich meine Meinung wegen der Umfrage vielleicht ändere, war natürlich ein Spaß. ;)

PPS: Ein weiterer Nachteil für den Betreiber des Servers ist, dass die Umstellung einer relativ großen Website wie Triathlon-Szene auf HTTPS mit ziemlichem Aufwand verbunden ist, wenn nicht dauernd abschreckende Warnmeldungen im Browser kommen sollen. Deswegen kann ich sehr gut nachvollziehen, dass Arne es damit nicht wahnsinnig eilig hat.

+1 seh ich auch so

Entschuldigung, mir sind die Passwörter der Forenuser nicht bekannt.
:Huhu: :Blumen:

Da musst Du nur Deinen Hoster fragen. :Lachen2:

Das war der "vereinfachte" Teil. Du bist aber auch nicht das Sicherheitsrisiko bei diesem Thema. :Blumen:

PS: Man verzeihe mir bitte diese Dramatisierung zum Zwecke der Veranschaulichung. ;)

@schnodo: Wirklich vielen, vielen Dank für die Aufklärung!:Blumen:

Wenn ich das also richtig verstehe, ist das Problem einerseits, dass bei der bisherigen Version die Sicherheitslücke zu groß ist und andererseits der Aufwand die gesammelten Beiträge, Usernamen, usw. in die neue Version, sprich HTTPS, zu "verschieben" einen zu großen Aufwand darstellt? Leuchtet mir als Laie das dann so weit richtig ein?

Also Schnodos vereinfachte Version nochmal "vereinfachter" wiedergegeben...

Ich denke, Du hast das schon richtig erfasst. Der Aufwand für Arne wäre vermutlich enorm.

Da wir schon so weit sind, will ich noch mit einflechten, was Hafu vermutlich plagt. Dazu wähle ich eine Fahrrad-Analogie, die in einem Triathlon-Forum auf nicht allzuviel Unverständnis stoßen dürfte. :Cheese:

Stell Dir vor, Du kaufst ein Fahrrad. Und Du lebst in einer Welt, in der Fahrradschlösser nicht einzeln verkauft werden. Man kann sein Fahrrad also nur dann abschließen, wenn man das Schloss gleich mit dem Fahrrad gekauft hat. Es wird aber keiner gezwungen, ein Fahrrad mit Schloss zu kaufen, dann stellt man es einfach so ab und hofft auf das Beste.

Arne (sorry! :Blumen:) hat einen Exklusivvertrag und ist Fahrradhändler für die Marke HTTP. Er verkauft nur Räder ohne Schloss. Schlösser werden bei ihm nicht oft nachgefragt, deswegen lohnt sich die Einrichtung eines Lagers für Schlösser nicht.

Andere Fahrradhändler haben Räder der Marke HTTPS vorrätig, die immer mit Zahlenschloss ausgeliefert werden.
Es sind aber nicht alle Schlösser gleich: Manche haben 3, andere 4, wieder andere 5 Stellen. Dazu gibt es noch unterschiedliche Stärken für das Stahlseil.

Hafu würde nun gerne den 21. Rennboliden für die Familie erwerben. Der soll aber auch besonders diebstahlsicher abgestellt werden können. Er geht also zu einem Händler, der Räder mit 5-stelligen Schlössern mit besonders dickem Seil anbietet. Allerdings ist Hafu beruflich immer so im Stress, dass er sich nur 2 Stellen (sorry! :Blumen:) merken kann. Mit so leicht zu knackenden Schlössern werden die Geschosse aber leider nicht verkauft.

Deswegen kann er das tolle Rad der Marke HTTPS nicht kaufen, geht frustriert nach Hause und ist froh, dass er überhaupt eine Zeitfahrmaschine der Marke HTTP bekommt, auch wenn er immer Angst hat, dass die geklaut wird, weil sie nicht abgeschlossen auf der Straße steht. :Lachen2:

An die, denen ich gerade eben mit meinen Albernheiten die Zeit gestohlen habe: Entschuldigung! :Huhu:
Die anderen haben vielleicht eine bessere Idee davon bekommen, was die verschiedenen Algorithmen (Stellenzahl) und Schlüssellängen (Seildicke) bedeuten.

Jetzt erklär doch noch bitte, wieso mein PW fürs Onlinebanking und mein Kontostand in Gefahr sind, weil TS.DE nur auf HTTP läuft?

Sind sie nicht. Das sind zwei unterschiedliche Anwendungsfälle (vielleicht mit "wenn man das nicht möchte" von mir sprachlich ungeschickt getrennt) - es sei denn, Du benutzt dasselbe Passwort. ;)

Es wäre aber prinzipiell aus Datenschutzsicht wünschenswert wenn die Details meiner Interaktion mit TS, inklusive der Übertragung meiner Kontodaten bei Erneuerung des Abos, nur für Arne :Blumen: und mich sichtbar blieben. :)

Auch der weiss das nicht. Die Passwörter sind verschlüsselt in der Datenbank.
Wenn ich recht informiert bin mit MD5.
Da muss man schon einigen Aufwand betreiben.

... oder als Provider halt den ganzen http-Verkehr seiner Kunden aufzeichnen und auswerten, da es erst nach dem Eintreffen auf dem Server gehashed wird.

Ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber die Passwörter müssen ja erst mal übertragen werden bevor sie mit den gehashten in der Datenbank verglichen werden. Um sie nicht im Klartext zu übertragen müsste eine Codierung auf dem Client z.B. per Javascript abgewickelt werden; das hat aber nicht jeder aktiviert. Deswegen tippe ich darauf, dass die Übertragung im Klartext stattfindet.

Darauf wollte ich hinaus.

Soviel Aufwand für ein forenpasswort?
Wozu sollte das gut sein?

Ha ha!
Das beweis' erstmal...!
:Cheese: :dresche :Lachanfall:

Falsch. Lässt sich aber auch leicht überprüfen (Einfach mal den Netzwerkverkehr bei einem Login anschauen.). Das Passwort wird MD5 gehasht übertragen. :Blumen:

Geht mal weg von den Sicherheitsthemen:
HTTPS wird von Google im Ergebnis Ranking belohnt.

(Weiter oben in der Liste = mehr Besucher = mehr Klicks = mehr Werbeeinblendungen= mehr Werbeieinnahmen = mehr Geld = mehr geiles Carbonmaterial = mehr schnell = Hawaii Quali!)

Tatsächlich ist es nicht viel Aufwand wenn man einmal Zugriff auf den Server hat. Der Prozess lässt sich automatisieren. Dann werden dem Angreifer Logins und Passwörter schön als XML aufbereitet zum Download bereitgelegt. Damit kann man dann ein Dictionary aufbauen, das bei anderen Diensten oder geklauten Passwort-Datenbanken durchprobiert wird. Im Prinzip kann man mit einem Tastendruck hunderte oder tausende Systeme gleichzeitig angreifen. Der Aufwand existiert nur initial.

Im Normalfall wird der Angreifer hoffentlich nicht der Hoster sein, aber so ein Server ist schnell gehackt, wenn der Admin etwas schlampig ist. Wenn ich jetzt sage, dass ich weiß, wovon ich rede, hört sich das aber auch wieder blöd an. ;)

Ich kann es natürlich nicht belegen, aber es würde mich nicht wundern, wenn z.B. 5% der Triathlon-Szene Nutzer das gleiche Login und Passwort auch bei anderen Diensten verwenden. Vielleicht sollte man da mal eine Umfrage machen. :Lachen2:

Das kann in dieser Konsequenz keine/r von uns wirklich wollen, da es nur Arne (be-)treffen würde und damit die Hawaiinacht flachfiele.

Ist wie eine Diskussion über Powermeter, natürlich geht ein Leben auch ohne.
Es spricht aber einfach nichts (mehr) gegen Verschlüsselung (früher war das mit Last etc. vllt noch etwas anders).

Und ob der Aufwand, es auf die ganze TS Plattform zu auszuweiten so groß ist, kann ich nicht einschätzen.

Hier ist eine ganz gute Abhandlung darüber:
https://www.keycdn.com/blog/http-to-https/

(gebe zu, die Auswahlmöglichkeiten bei der Umfrage sind etwas "übertrieben" kann sie leider nicht mehr ändern :Blumen: .

A

Gerade mal nachgestellt.
Als Paswort "test" gewählt.
Übertragen wird "098f6bcd4621d373cade4e832627b4f6".
Einfache google Suche nach dem Hash ergibt wieder das ursprünglich gewählte Passwort.

--> Einfaches Hashen von Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen.

Stichworte hierzu: Rainbow table

Lösung: Salted hash.

A

Okay, das macht es ein klein wenig schwieriger. Aber in diesem Fall liefert man z.B. eine geänderte Fassung der Login-Seite aus, in der der md5hash()-Aufruf ersetzt ist. Oder kümmert sich halt im Nachgang mit brute force oder einer anderen, geschickteren Strategie darum. Man hat ja dann Zeit. :)

Außerdem klappt das Client-seitige Hashen nur mit eingeschaltetem Javascript. Was aber kein wirkliches Gegenargument ist; ohne geht ja heutzutage fast gar nichts mehr. ;)

Neben dem besseren Ranking spricht inzwischen auch für eine https-Unterstützung das sowohl Google als auch Modzilla planen https als Standardverbindung in ihren Browsern zu implementieren. D.h. es wird dann erst auf https versucht und dann kommt möglicherweise ein prominenter Hinweis das man dabei ist eine unsichere Verbindung aufzubauen.
Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde. Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten.

Gegen verschlüsselte Verbindungen spricht eigentlich nur der höhere CO2 Ausstoss :-P