Anzeigen
logo
... die Triathlon TV-Sendung!
https für triathlon-szene - Seite 6 - triathlon-szene.de | Europas aktivstes Triathlon Forum
Zurück   triathlon-szene.de | Europas aktivstes Triathlon Forum > Offtopic > Internes

Umfrageergebnis anzeigen: Hättest du gerne SSL / TLS für Triathlon-Szene
Ja und ich würde dafür sogar einen Obulus bezahlen 7 7,22%
Ja! 57 58,76%
Nein - Privatsphäre ist mir nicht wichtig 15 15,46%
was ist SSL / TLS? 18 18,56%
Teilnehmer: 97. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
Themen-Optionen Thema durchsuchen
Alt 10.11.2016, 10:56   #41
schnodo
Szenekenner
 
Benutzerbild von schnodo
 
Registriert seit: 28.10.2011
Ort: Karlsruhe
Beiträge: 5.487
Zitat:
Zitat von Erftbiker Beitrag anzeigen
Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde.
Ich denke, das Problem dabei sind Daten aus verschiedenen Quellen. Dann tauchen im Browser schnell mal Warnungen auf, dass auch unsichere Inhalte auf der Seite vorhanden sind und ähnliches. "Hier passieren furchtbare Dinge. Trotzdem weitermachen?" kommt vielleicht unprofessionell rüber, was man vermeiden will.

Außerdem ist der Server unter verschiedenen Domainnamen zu erreichen, so dass die Abgrenzung und Bestückung mit entsprechenden Zertifikaten zumindest nicht trivial ist wenn man das nicht dauernd macht.

Zitat:
Zitat von Erftbiker Beitrag anzeigen
Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten.
Das hingegen ist kein Problem. Let’s Encrypt bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!

Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.
__________________
Nothing is impossible for the man who doesn't have to do it himself.
A. H. Weiler
schnodo ist gerade online   Mit Zitat antworten
Alt 10.11.2016, 11:20   #42
Erftbiker
Szenekenner
 
Benutzerbild von Erftbiker
 
Registriert seit: 30.11.2009
Ort: NRW
Beiträge: 213
Zitat:
Zitat von schnodo Beitrag anzeigen
Das hingegen ist kein Problem. Let’s Encrypt bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!

Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.
Kannte ich noch nicht. Gut zu wissen, danke für den Tipp!
Erftbiker ist offline   Mit Zitat antworten
Alt 10.11.2016, 12:57   #43
Thorsten
Szenekenner
 
Benutzerbild von Thorsten
 
Registriert seit: 03.03.2007
Ort: Wetterau
Beiträge: 14.775
Zitat:
Zitat von deralexxx Beitrag anzeigen
--> Einfaches Hashen von einfachen Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen.

Stichworte hierzu: Rainbow table

Lösung: Salted hash.
Ich habe es mal ergänzt .

Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?
__________________
Würde ich dieses Leben ernst nehmen, käme es sich verarscht vor.
Thorsten ist gerade online   Mit Zitat antworten
Alt 10.11.2016, 16:21   #44
deralexxx
Szenekenner
 
Registriert seit: 29.10.2012
Beiträge: 380
Zitat:
Zitat von Thorsten Beitrag anzeigen
Ich habe es mal ergänzt .

Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?
Richtig, Rainbow Tables werden dadurch deutlich erschwert (unmöglich ist es nicht, geht dann aber in Richtung unendlich aufwändig in Bezug auf Zeit und oder Rechenleistung)

https://crackstation.net/hashing-security.htm:

Zitat:
In a Web Application, always hash on the server!

If you are writing a web application, you might wonder where to hash. Should the password be hashed in the user's browser with JavaScript, or should it be sent to the server "in the clear" and hashed there?

Even if you are hashing the user's passwords in JavaScript, you still have to hash the hashes on the server. Consider a website that hashes users' passwords in the user's browser without hashing the hashes on the server. To authenticate a user, this website will accept a hash from the browser and check if that hash exactly matches the one in the database. This seems more secure than just hashing on the server, since the users' passwords are never sent to the server, but it's not.

The problem is that the client-side hash logically becomes the user's password.
All the user needs to do to authenticate is tell the server the hash of their password. If a bad guy got a user's hash they could use it to authenticate to the server, without knowing the user's password! So, if the bad guy somehow steals the database of hashes from this hypothetical website, they'll have immediate access to everyone's accounts without having to guess any passwords.

This isn't to say that you shouldn't hash in the browser, but if you do, you absolutely have to hash on the server too. Hashing in the browser is certainly a good idea, but consider the following points for your implementation:
...
(unterstrichen durch mich)

Wobei das Salting normal durch die Board Software geschehen sollte.
Was man mit einem Auszug an (auch gesalzenen) Hashes machen kann (die in dem Fall von der gleichen Software wie auf TS stammen) anstellen kann:

https://www.troyhunt.com/data-breach...etin-and-weak/

A
deralexxx ist offline   Mit Zitat antworten
Alt 10.11.2016, 16:55   #45
schnodo
Szenekenner
 
Benutzerbild von schnodo
 
Registriert seit: 28.10.2011
Ort: Karlsruhe
Beiträge: 5.487
Weil es gerade aktuell ist: OpenSSL 1.1.0c ist seit heute draußen.

Wer eine ältere 1.1.0-Version benutzt, sollte updaten.
__________________
Nothing is impossible for the man who doesn't have to do it himself.
A. H. Weiler
schnodo ist gerade online   Mit Zitat antworten
Alt 10.11.2016, 22:46   #46
Thorsten
Szenekenner
 
Benutzerbild von Thorsten
 
Registriert seit: 03.03.2007
Ort: Wetterau
Beiträge: 14.775
Das clientseitige salting & hashing verhindert so zumindest weitgehend, dass man mit dem abgefangenen Hash den erfolgreichen Versuch unternehmen kann, sich mit diesem Password über die normale Anmeldemaske an einer anderen Seite anzumelden.
__________________
Würde ich dieses Leben ernst nehmen, käme es sich verarscht vor.
Thorsten ist gerade online   Mit Zitat antworten
Alt 11.11.2016, 10:57   #47
tandem65
Szenekenner
 
Benutzerbild von tandem65
 
Registriert seit: 21.08.2010
Ort: 69493 Hirschberg
Beiträge: 5.866
Hi Hafu,

Zitat:
Zitat von Hafu Beitrag anzeigen
Vor diesem Hintergrund würde ich den unverschlüsselten Zugang befürworten, da es sich auf dem Smartphone so schlecht tippt.
ich verstehe den Zusamenhang zwischen https & dem Tippen auf demSmartphone nicht.
__________________
PB
07.08.2011 2:10:31 Summertime Tri Karlsdorf KD
10.06.2012 5:03:16 Challenge Kraichgau MD
08.07.2012 10:38:13 IM FfM
27.09.2015 3:18:37 Ulm M
12.03.2017 1:30:55 Bienwald HM


2017
12.03 42:40 Bienwald 10K
12.03 1:30:55 Bienwald HM
10.09 12:03:49 IM Wales!
29.10 3:15:05 M FfM
tandem65 ist gerade online   Mit Zitat antworten
Alt 11.11.2016, 12:02   #48
Thorsten
Szenekenner
 
Benutzerbild von Thorsten
 
Registriert seit: 03.03.2007
Ort: Wetterau
Beiträge: 14.775
http = Nutzung über Büro-PC möglich
https = Nutzung über Büro-PC nicht möglich (wegen Cytrix usw.), also nur über Handy -> und da tippt es sich eher schlecht als recht
__________________
Würde ich dieses Leben ernst nehmen, käme es sich verarscht vor.
Thorsten ist gerade online   Mit Zitat antworten
Antwort


Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge anzufügen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu

Alle Zeitangaben in WEZ +1. Es ist jetzt 22:06 Uhr.

Anzeige:

Powered by vBulletin Version 3.6.1 (Deutsch)
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.