gemeinsam zwiften | youtube | forum heute
Trainingslager Südbaden
Triathlon Trainingslager Südbaden
Keine Flugreise
Deutschlands wärmste Gegend
Kilometer sammeln vor den Wettkämpfen
Traumhafte Trainingsstrecken
Training auf dem eigenen Rad
25.05.-02.06.2024
EUR 390,-
https für triathlon-szene - Seite 6 - triathlon-szene.de | Europas aktivstes Triathlon Forum
Zurück   triathlon-szene.de | Europas aktivstes Triathlon Forum > Offtopic > Internes
Registrieren Benutzerliste Suchen Heutige Beiträge

Umfrageergebnis anzeigen: Hättest du gerne SSL / TLS für Triathlon-Szene
Ja und ich würde dafür sogar einen Obulus bezahlen 7 7,07%
Ja! 58 58,59%
Nein - Privatsphäre ist mir nicht wichtig 15 15,15%
was ist SSL / TLS? 19 19,19%
Teilnehmer: 99. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
Themen-Optionen
Alt 10.11.2016, 11:56   #41
schnodo
Szenekenner
 
Benutzerbild von schnodo
 
Registriert seit: 28.10.2011
Ort: Karlsruhe
Beiträge: 8.970
Zitat:
Zitat von Erftbiker Beitrag anzeigen
Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde.
Ich denke, das Problem dabei sind Daten aus verschiedenen Quellen. Dann tauchen im Browser schnell mal Warnungen auf, dass auch unsichere Inhalte auf der Seite vorhanden sind und ähnliches. "Hier passieren furchtbare Dinge. Trotzdem weitermachen?" kommt vielleicht unprofessionell rüber, was man vermeiden will.

Außerdem ist der Server unter verschiedenen Domainnamen zu erreichen, so dass die Abgrenzung und Bestückung mit entsprechenden Zertifikaten zumindest nicht trivial ist wenn man das nicht dauernd macht.

Zitat:
Zitat von Erftbiker Beitrag anzeigen
Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten.
Das hingegen ist kein Problem. Let’s Encrypt bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!

Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.
__________________
🏊 Mein Kraul-Armzug-Video: EnglishEspañolDeutsch 🏊
schnodo ist offline   Mit Zitat antworten
Alt 10.11.2016, 12:20   #42
Erftbiker
Szenekenner
 
Benutzerbild von Erftbiker
 
Registriert seit: 30.11.2009
Ort: NRW
Beiträge: 217
Zitat:
Zitat von schnodo Beitrag anzeigen
Das hingegen ist kein Problem. Let’s Encrypt bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!

Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.
Kannte ich noch nicht. Gut zu wissen, danke für den Tipp!
Erftbiker ist offline   Mit Zitat antworten
Alt 10.11.2016, 13:57   #43
Thorsten
Szenekenner
 
Benutzerbild von Thorsten
 
Registriert seit: 03.03.2007
Ort: Wetterau
Beiträge: 16.226
Zitat:
Zitat von deralexxx Beitrag anzeigen
--> Einfaches Hashen von einfachen Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen.

Stichworte hierzu: Rainbow table

Lösung: Salted hash.
Ich habe es mal ergänzt .

Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?
__________________
Die meisten Radwegbeschilderungen wurden von Aliens erschaffen.
Sie wollen erforschen, wie Menschen in absurden Situationen reagieren.
Thorsten ist offline   Mit Zitat antworten
Alt 10.11.2016, 17:21   #44
deralexxx
Szenekenner
 
Registriert seit: 29.10.2012
Beiträge: 1.867
Zitat:
Zitat von Thorsten Beitrag anzeigen
Ich habe es mal ergänzt .

Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?
Richtig, Rainbow Tables werden dadurch deutlich erschwert (unmöglich ist es nicht, geht dann aber in Richtung unendlich aufwändig in Bezug auf Zeit und oder Rechenleistung)

https://crackstation.net/hashing-security.htm:

Zitat:
In a Web Application, always hash on the server!

If you are writing a web application, you might wonder where to hash. Should the password be hashed in the user's browser with JavaScript, or should it be sent to the server "in the clear" and hashed there?

Even if you are hashing the user's passwords in JavaScript, you still have to hash the hashes on the server. Consider a website that hashes users' passwords in the user's browser without hashing the hashes on the server. To authenticate a user, this website will accept a hash from the browser and check if that hash exactly matches the one in the database. This seems more secure than just hashing on the server, since the users' passwords are never sent to the server, but it's not.

The problem is that the client-side hash logically becomes the user's password.
All the user needs to do to authenticate is tell the server the hash of their password. If a bad guy got a user's hash they could use it to authenticate to the server, without knowing the user's password! So, if the bad guy somehow steals the database of hashes from this hypothetical website, they'll have immediate access to everyone's accounts without having to guess any passwords.

This isn't to say that you shouldn't hash in the browser, but if you do, you absolutely have to hash on the server too. Hashing in the browser is certainly a good idea, but consider the following points for your implementation:
...
(unterstrichen durch mich)

Wobei das Salting normal durch die Board Software geschehen sollte.
Was man mit einem Auszug an (auch gesalzenen) Hashes machen kann (die in dem Fall von der gleichen Software wie auf TS stammen) anstellen kann:

https://www.troyhunt.com/data-breach...etin-and-weak/

A
deralexxx ist offline   Mit Zitat antworten
Alt 10.11.2016, 17:55   #45
schnodo
Szenekenner
 
Benutzerbild von schnodo
 
Registriert seit: 28.10.2011
Ort: Karlsruhe
Beiträge: 8.970
Weil es gerade aktuell ist: OpenSSL 1.1.0c ist seit heute draußen.

Wer eine ältere 1.1.0-Version benutzt, sollte updaten.
__________________
🏊 Mein Kraul-Armzug-Video: EnglishEspañolDeutsch 🏊
schnodo ist offline   Mit Zitat antworten
Alt 10.11.2016, 23:46   #46
Thorsten
Szenekenner
 
Benutzerbild von Thorsten
 
Registriert seit: 03.03.2007
Ort: Wetterau
Beiträge: 16.226
Das clientseitige salting & hashing verhindert so zumindest weitgehend, dass man mit dem abgefangenen Hash den erfolgreichen Versuch unternehmen kann, sich mit diesem Password über die normale Anmeldemaske an einer anderen Seite anzumelden.
__________________
Die meisten Radwegbeschilderungen wurden von Aliens erschaffen.
Sie wollen erforschen, wie Menschen in absurden Situationen reagieren.
Thorsten ist offline   Mit Zitat antworten
Alt 11.11.2016, 11:57   #47
tandem65
Szenekenner
 
Benutzerbild von tandem65
 
Registriert seit: 21.08.2010
Ort: 69493 Hirschberg
Beiträge: 9.214
Hi Hafu,

Zitat:
Zitat von Hafu Beitrag anzeigen
Vor diesem Hintergrund würde ich den unverschlüsselten Zugang befürworten, da es sich auf dem Smartphone so schlecht tippt.
ich verstehe den Zusamenhang zwischen https & dem Tippen auf demSmartphone nicht.
__________________
PB
07.08.2011 2:10:31 Summertime Tri Karlsdorf KD
10.06.2012 5:03:16 Challenge Kraichgau MD
08.07.2012 10:38:13 IM FfM
12.03.2017 42:40 Bienwald 10K
12.03.2017 1:30:55 Bienwald HM
29.10.2017 3:15:05 FfM M


2022
08.05. 1:40:09 St. Wendel HM
31.07 Dresden MD cancelled
21.08 5:16:59 Breisgau Triathlon MD
02.10 12:57:47 Elbaman LD
tandem65 ist gerade online   Mit Zitat antworten
Alt 11.11.2016, 13:02   #48
Thorsten
Szenekenner
 
Benutzerbild von Thorsten
 
Registriert seit: 03.03.2007
Ort: Wetterau
Beiträge: 16.226
http = Nutzung über Büro-PC möglich
https = Nutzung über Büro-PC nicht möglich (wegen Cytrix usw.), also nur über Handy -> und da tippt es sich eher schlecht als recht
__________________
Die meisten Radwegbeschilderungen wurden von Aliens erschaffen.
Sie wollen erforschen, wie Menschen in absurden Situationen reagieren.
Thorsten ist offline   Mit Zitat antworten
Antwort


Themen-Optionen

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge anzufügen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu

Alle Zeitangaben in WEZ +2. Es ist jetzt 17:25 Uhr.

Durchbruch: Was wirklich schneller macht
Persönliche Tipps aus dem Training der Triathlon-Langstreckler Peter Weiss und Arne Dyck
Wettkampfpacing Rad
Nächste Termine
Anzeige:

triathlon-szene.de

Home | Impressum | Datenschutz | Kontakt | Forum

Social

Forum
Forum heute
Youtube
facebook
Instagram

Coaching

Individuelles Coaching
Trainingspläne
Gemeinsam zwiften

Trainingslager

Trainingslager Mallorca
Trainingslager Deutschland
Radtage Südbaden
Alle Camps

Events

Gemeinsamer Trainingstag
Gemeinsames Zeitfahrtraining
Trainingswochenende Freiburg
Trainingswochenende München
Zeitfahren Freiburg
Zwei-Seen-Tour München

TV-Sendung

Mediathek
Infos zur Sendung

Racewear

Trikot und Hose

Rechner

Trainingsbereiche und Wettkampftempo Rad
Trainingsbereiche und Wettkampftempo Laufen
Trainingsbereiche und Wettkampftempo Schwimmen
Profi-Pacing Langdistanz
Vorhersage erste Langdistanz
Altersrechner
Wettkampfpacing 100 km Lauf
Wettkampfgetränk selbst mischen
Powered by vBulletin Version 3.6.1 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.