Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde.
Ich denke, das Problem dabei sind Daten aus verschiedenen Quellen. Dann tauchen im Browser schnell mal Warnungen auf, dass auch unsichere Inhalte auf der Seite vorhanden sind und ähnliches. "Hier passieren furchtbare Dinge. Trotzdem weitermachen?" kommt vielleicht unprofessionell rüber, was man vermeiden will.
Außerdem ist der Server unter verschiedenen Domainnamen zu erreichen, so dass die Abgrenzung und Bestückung mit entsprechenden Zertifikaten zumindest nicht trivial ist wenn man das nicht dauernd macht.
Zitat:
Zitat von Erftbiker
Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten.
Das hingegen ist kein Problem. Let’s Encrypt bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!
Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.
--> Einfaches Hashen von einfachen Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen.
Stichworte hierzu: Rainbow table
Lösung: Salted hash.
Ich habe es mal ergänzt .
Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?
__________________
Die meisten Radwegbeschilderungen wurden von Aliens erschaffen.
Sie wollen erforschen, wie Menschen in absurden Situationen reagieren.
Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?
Richtig, Rainbow Tables werden dadurch deutlich erschwert (unmöglich ist es nicht, geht dann aber in Richtung unendlich aufwändig in Bezug auf Zeit und oder Rechenleistung)
If you are writing a web application, you might wonder where to hash. Should the password be hashed in the user's browser with JavaScript, or should it be sent to the server "in the clear" and hashed there?
Even if you are hashing the user's passwords in JavaScript, you still have to hash the hashes on the server. Consider a website that hashes users' passwords in the user's browser without hashing the hashes on the server. To authenticate a user, this website will accept a hash from the browser and check if that hash exactly matches the one in the database. This seems more secure than just hashing on the server, since the users' passwords are never sent to the server, but it's not.
The problem is that the client-side hash logically becomes the user's password. All the user needs to do to authenticate is tell the server the hash of their password. If a bad guy got a user's hash they could use it to authenticate to the server, without knowing the user's password! So, if the bad guy somehow steals the database of hashes from this hypothetical website, they'll have immediate access to everyone's accounts without having to guess any passwords.
This isn't to say that you shouldn't hash in the browser, but if you do, you absolutely have to hash on the server too. Hashing in the browser is certainly a good idea, but consider the following points for your implementation:
...
(unterstrichen durch mich)
Wobei das Salting normal durch die Board Software geschehen sollte.
Was man mit einem Auszug an (auch gesalzenen) Hashes machen kann (die in dem Fall von der gleichen Software wie auf TS stammen) anstellen kann:
Das clientseitige salting & hashing verhindert so zumindest weitgehend, dass man mit dem abgefangenen Hash den erfolgreichen Versuch unternehmen kann, sich mit diesem Password über die normale Anmeldemaske an einer anderen Seite anzumelden.
__________________
Die meisten Radwegbeschilderungen wurden von Aliens erschaffen.
Sie wollen erforschen, wie Menschen in absurden Situationen reagieren.
http = Nutzung über Büro-PC möglich
https = Nutzung über Büro-PC nicht möglich (wegen Cytrix usw.), also nur über Handy -> und da tippt es sich eher schlecht als recht
__________________
Die meisten Radwegbeschilderungen wurden von Aliens erschaffen.
Sie wollen erforschen, wie Menschen in absurden Situationen reagieren.