Anmelden

Vollständige Version anzeigen : https für triathlon-szene


deralexxx
14.01.2016, 09:33
Hallöchen,

hoffe hier im richtigen Bereich gelandet zu sein.
Wäre es ein großer Aufwand, für triathlon-szene.de (und alle CNAMEs die so verwendet werden) ein SSL/TLS Zertifikat bereit zu stellen?

Wenn man derzeit auf https://triathlon-szene.de geht, landet man auf https://mac-tv.de

Bei https://letsencrypt.org/ bekommt man mittlerweile sogar kostenlose Zertifikate, die von Browsern als trusted bestätigt werden.

Danke

:Blumen:

Klugschnacker
14.01.2016, 09:40
Muss ich mal nachfragen. Warum brauchst Du das? :Blumen:

deralexxx
14.01.2016, 11:04
Muss ich mal nachfragen. Warum brauchst Du das? :Blumen:

Gibt allgemein keine Gründe, nicht zu verschlüsseln, zusätzlich sind hier sicher einige, die in der Firma oder in einem offenen WLAN auf triathlon-szene zugreifen, und der Login z.b. geht im Klartext über die Leitung.

Außerdem mag es Leute geben, die nicht wollen, dass jeder der zwischen der Person und eurem Webserver die Daten zu sehen bekommt sich ein Bild machen kann, was man hier so treibt.

Früher gab es noch das Argument, Verschlüsselung kostet Rechenpower, in der heutigen Zeit soltle das aber kein wirkliches Argument mehr sein.

Prinzipiell will ich, dass am besten jede Kommunikation im Internet verschlüsselt ist. Stichwort: Snowden

A

Siehe auch:

http://mashable.com/2011/05/31/https-web-security/

schnodo
14.01.2016, 11:20
Prinzipiell will ich, dass am besten jede Kommunikation im Internet verschlüsselt ist. Stichwort: Snowden

Genau. Auch wenn man nichts zu verbergen hat, sollte man den Überwachern nicht alles frei Haus liefern. Wenn man seine Rechte nicht nutzt, verfallen sie.

LidlRacer
14.01.2016, 13:59
Hm, die Kommunikation in einem Forums ist abgesehen von wenigen Ausnahmen ohnehin öffentlich. Da sehe ich sehr wenig Sinn in Verschlüsselung.

schnodo
14.01.2016, 14:22
Hm, die Kommunikation in einem Forums ist abgesehen von wenigen Ausnahmen ohnehin öffentlich. Da sehe ich sehr wenig Sinn in Verschlüsselung.

Das sehe ich nicht so; der Großteil ist nicht öffentlich. Nur das Resultat der Interaktion mit der Forumssoftware ist öffentlich, nicht der ganze Verlauf, Session-Daten, Zeitpunkt des Aufrufs, Verweildauer auf einzelnen Seiten, private Nachrichten, Entwürfe für Posts, verworfene Posts etc.

Verschlüsselung sollte nicht der Ausnahmefall sein, sondern die Regel. Alles was Überwachung für die Überwacher teurer macht, und dazu gehört eben auch, herauszufinden, ob in der verschlüsselten Übertragung irgendwelche interessanten Inhalte sind, sollte man einsetzen wenn es mit wenig Aufwand verbunden ist.
Wenn jemand ein berechtigtes Interesse daran hat, dann muss er sich eben mit dem Betreiber in Verbindung setzen und kann nicht einfach alles heimlich auf der Leitung abgreifen.

deralexxx
14.01.2016, 14:27
Hm, die Kommunikation in einem Forums ist abgesehen von wenigen Ausnahmen ohnehin öffentlich. Da sehe ich sehr wenig Sinn in Verschlüsselung.

Das was du schreibst, ja. Das was du dir anschaust, was du per PN schreibst, wie dein Username / Passwort sind sollten aber nicht öffentlich sein oder?

Nächstes Argument: HTTPS zu nutzen verhindert (zumindest teilweise) Phishing, d.h. wenn du eine Seite präsentiert bekommst, auf der Triathlon-szene.de steht, kannst du verifizieren, dass auch Triathlon-szene.de dahinter steht.

Last but not least: Manche Suchmaschinen honorieren das nutzen von HTTPS mit besseren Rankings.

A

https://www.washingtonpost.com/news/the-switch/wp/2013/12/11/news-sites-could-protect-your-privacy-with-encryption-heres-why-they-probably-wont/
http://www.wired.com/2014/04/https/

mcbert
14.01.2016, 20:49
Hm, die Kommunikation in einem Forums ist abgesehen von wenigen Ausnahmen ohnehin öffentlich. Da sehe ich sehr wenig Sinn in Verschlüsselung.

Glaub damit war eher gemeint, dass dadurch ein unbekannter 3. weiß wer du bist und was du schreibst. Ansonsten sieht dein IT Admin nur, dass du hier warst aber er weiß nicht als wer /ob du schreibst. Wobei das ob evtl. noch aus dem Log ersichtlich ist.
Und dann postet er am Ende unter deinem Namen, schaut die Videos auf deine Rechnung und überholt dich im nächsten Wettkampf.

Spaß beiseite - Verschlüsselung ist wichtig

deralexxx
30.03.2016, 17:33
Hi Arne, gibt es hierzu irgendwas neues?

:Blumen:

schnodo
26.09.2016, 10:02
Heise macht es auch (https://www.heise.de/newsticker/meldung/Verschluesselung-heise-online-und-Heise-Onlinedienste-per-HTTPS-erreichbar-3331421.html) und sagt warum. :Blumen:

schnodo
17.10.2016, 09:50
Ich weiß, dass das Thema hier nicht hoch im Kurs steht und andere Dinge Vorrang haben, aber bekanntlich höhlt steter Tropfen den Stein. :Cheese:

Heise Newsticker: HTTPS-Verschlüsselung im Web erreicht erstmals 50 Prozent (https://www.heise.de/newsticker/meldung/HTTPS-Verschluesselung-im-Web-erreicht-erstmals-50-Prozent-3351173.html)

deralexxx
21.10.2016, 09:53
Auch Google bewertet HTTPS als positives Signal für die Suchmaschinenergebnisse:

https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

A

Rocket-Racoon
21.10.2016, 15:03
Umfrage!!!

Voldi
21.10.2016, 15:06
Umfrage!!!

Für Umfragen empfehle ich SurveyMonkey ... wäre übrigens auch https :Cheese:

deralexxx
09.11.2016, 16:11
Habe mal ine Umfrage erstellt.

Mir ist noch aufgefallen, unter https://tv.triathlon-szene.de geht doch sogar schon TLS.

Bzw:

https://www.ssllabs.com/ssltest/analyze.html?d=triathlon-szene.de&hideResults=on

Arneeeeeee

Hafu
09.11.2016, 16:20
Sehr viele HTTPS-Seiten sind bei uns in der Arbeit (Citrix-System) nicht zugänglich, bzw. enden mit Fehlermeldungen. Keine Ahnung, warum das so ist. Hängt wahrscheinlich irgendwie mit der Weitergabe von Zertifikaten zwischen Workstations und Server zusammen.

Dropbox, onedrive, verschiedene Googleservices z.B. funktionieren nicht. Ebay, online-Banking, Instagram wo es ja auch einen via https-verschlüsselten Code gibt funktioniert dagegen.

Vor diesem Hintergrund würde ich den unverschlüsselten Zugang befürworten, da es sich auf dem Smartphone so schlecht tippt.

P.S.: die Umfrage ist, so tendenziös wie die Antworten formuliert sind, BS! ;-)

schnodo
09.11.2016, 17:07
Sehr viele HTTPS-Seiten sind bei uns in der Arbeit (Citrix-System) nicht zugänglich, bzw. enden mit Fehlermeldungen. Keine Ahnung, warum das so ist. Hängt wahrscheinlich irgendwie mit der Weitergabe von Zertifikaten zwischen Workstations und Server zusammen.

Das generelle Problem ist, dass es in Sachen Effizienz und Sicherheit gute und weniger gute Verschlüsselungsalgorithmen gibt; außerdem unterschiedliche Schlüssellängen. Je länger der Schlüssel, desto mehr Rechenleistung braucht man.

Beim Verbindungsaufbau wird ausgehandelt, was benutzt wird. Prinzipiell möchte man die Übertragung möglichst sicher haben. Das wird erreicht, indem modernere Systeme keine unsicheren Algorithmen anbieten. Der Nachteil dabei ist, dass so u.U. keine "sichere" Kommunikation mit älteren Systemen möglich ist.

Also nimmt man vielleicht doch ein paar leichter angreifbare Verfahren dazu. Irgendwo muss man aber die Grenze ziehen, ansonsten kann man seine Bankdaten gleich unverschlüsselt übertragen. :)

P.S.: die Umfrage ist, so tendenziös wie die Antworten formuliert sind, BS! ;-)

Ich bin zwar für HTTPS, wäre aber fast geneigt aufgrund der enorm unausgewogenen Umfrage meine Meinung zu revidieren. ;)

Mattes87
09.11.2016, 17:17
Ich bin ganz erhlich wenn ich sage ich habe überhaupt keine Ahnung, wovon hier die Rede ist. Könnte mir jemand erklären um was genau es hier geht? Bzw. was sind die Vor- / Nachteile?

Das Forum funktioniert bei mir auf dem PC und dem Handy eigentlich immer problemlos. Ich sehe also, unter Berücksichtigung meiner nicht vorhandenen IT Kenntnisse, keinen Grund etwas daran zu ändern.


:Huhu:

Dirtyharry
09.11.2016, 17:23
Ich bin ganz erhlich wenn ich sage ich habe überhaupt keine Ahnung, wovon hier die Rede ist. Könnte mir jemand erklären um was genau es hier geht? Bzw. was sind die Vor- / Nachteile?

Das Forum funktioniert bei mir auf dem PC und dem Handy eigentlich immer problemlos. Ich sehe also, unter Berücksichtigung meiner nicht vorhandenen IT Kenntnisse, keinen Grund etwas daran zu ändern.


:Huhu:

:Blumen:

Dirtyharry

schnodo
09.11.2016, 17:58
Ich bin ganz erhlich wenn ich sage ich habe überhaupt keine Ahnung, wovon hier die Rede ist. Könnte mir jemand erklären um was genau es hier geht? Bzw. was sind die Vor- / Nachteile?

HTTP und HTTPS sind Übertragungsprotokolle, die Dein Webbrowser versteht. Das "S" in HTTPS steht für "secure", d.h. es ist eine sichere Variante von HTTP.

Beim einfachen HTTP kann jeder, der zwischen Dir und dem Server sitzt, auf dem die Website gespeichert ist, die Du Dir anschaust - also der WLAN-Hotspot-Betreiber, der Hacker am Nebentisch, der Internet Service Provider und jeder weitere Knoten auf dem Übertragungsweg alles sehen, was hin- und hergeschickt wird: Bilder, öffentliche Texte die Du bearbeitest, private Nachrichten, Passwörter - ALLES!

Deswegen ist es auch enorm wichtig, unter keinen Umständen Dein Triathlon-Szene Passwort für andere Dienste zu verwenden. Du musst davon ausgehen, dass es nicht nur Dir und Arne bekannt ist! Dein Triathlon-Szene-Benutzername und Kennwort werden im Klartext übertragen.

Wenn man das nicht möchte, z.B. weil nicht jeder das Passwort fürs Online-Banking und den Kontostand kennen soll, setzt man HTTPS ein. Dann kann - im Normalfall - niemand zwischen Dir und dem Zielsystem sehen, was übertragen wird.

Hört sich toll an, warum macht man das nicht immer? Weil mehr Rechenleistung notwendig ist, um zu ver- und entschlüsseln und auch die Menge übertragener Daten steigt. Dieser sogenannte "Overhead", enthält keine Nutzdaten (Bilder, Texte), sondern dient nur der Verschlüsselung.

Früher waren Rechenleistung und Bandbreite sehr kostbar, deswegen hat man nur im Ausnahmefall verschlüsselt. Mittlerweile sind aber Rechenleistung und Bandbreite fast umsonst aber die Anzahl der Leute, die Deine Übertragung überwachen können und Böses im Schild führen hat stark zugenommen. Deswegen schlägt das Pendel immer weiter in Richtung Sicherheit aus.

Ich hoffe, das war halbwegs einleuchtend. Zum Zwecke der Verdaulichkeit ziemlich vereinfacht. Und vollständig natürlich auch nicht. :)

PS: Dass ich meine Meinung wegen der Umfrage vielleicht ändere, war natürlich ein Spaß. ;)

PPS: Ein weiterer Nachteil für den Betreiber des Servers ist, dass die Umstellung einer relativ großen Website wie Triathlon-Szene auf HTTPS mit ziemlichem Aufwand verbunden ist, wenn nicht dauernd abschreckende Warnmeldungen im Browser kommen sollen. Deswegen kann ich sehr gut nachvollziehen, dass Arne es damit nicht wahnsinnig eilig hat.

Brazzo
09.11.2016, 17:59
Ich bin ganz erhlich wenn ich sage ich habe überhaupt keine Ahnung, wovon hier die Rede ist. Könnte mir jemand erklären um was genau es hier geht? Bzw. was sind die Vor- / Nachteile?

Das Forum funktioniert bei mir auf dem PC und dem Handy eigentlich immer problemlos. Ich sehe also, unter Berücksichtigung meiner nicht vorhandenen IT Kenntnisse, keinen Grund etwas daran zu ändern.


:Huhu:

+1 seh ich auch so

Klugschnacker
09.11.2016, 18:15
Dein Triathlon-Szene Passwort … Du musst davon ausgehen, dass es nicht nur Dir und Arne bekannt ist!

Entschuldigung, mir sind die Passwörter der Forenuser nicht bekannt.
:Huhu: :Blumen:

schnodo
09.11.2016, 18:21
Entschuldigung, mir sind die Passwörter der Forenuser nicht bekannt.
:Huhu: :Blumen:

Da musst Du nur Deinen Hoster fragen. :Lachen2:

Das war der "vereinfachte" Teil. Du bist aber auch nicht das Sicherheitsrisiko bei diesem Thema. :Blumen:

PS: Man verzeihe mir bitte diese Dramatisierung zum Zwecke der Veranschaulichung. ;)

Mattes87
09.11.2016, 20:50
@schnodo: Wirklich vielen, vielen Dank für die Aufklärung!:Blumen:

Wenn ich das also richtig verstehe, ist das Problem einerseits, dass bei der bisherigen Version die Sicherheitslücke zu groß ist und andererseits der Aufwand die gesammelten Beiträge, Usernamen, usw. in die neue Version, sprich HTTPS, zu "verschieben" einen zu großen Aufwand darstellt? Leuchtet mir als Laie das dann so weit richtig ein?

Also Schnodos vereinfachte Version nochmal "vereinfachter" wiedergegeben...

schnodo
09.11.2016, 22:13
Wenn ich das also richtig verstehe, ist das Problem einerseits, dass bei der bisherigen Version die Sicherheitslücke zu groß ist und andererseits der Aufwand die gesammelten Beiträge, Usernamen, usw. in die neue Version, sprich HTTPS, zu "verschieben" einen zu großen Aufwand darstellt? Leuchtet mir als Laie das dann so weit richtig ein?

Ich denke, Du hast das schon richtig erfasst. Der Aufwand für Arne wäre vermutlich enorm.

Da wir schon so weit sind, will ich noch mit einflechten, was Hafu vermutlich plagt. Dazu wähle ich eine Fahrrad-Analogie, die in einem Triathlon-Forum auf nicht allzuviel Unverständnis stoßen dürfte. :Cheese:

Stell Dir vor, Du kaufst ein Fahrrad. Und Du lebst in einer Welt, in der Fahrradschlösser nicht einzeln verkauft werden. Man kann sein Fahrrad also nur dann abschließen, wenn man das Schloss gleich mit dem Fahrrad gekauft hat. Es wird aber keiner gezwungen, ein Fahrrad mit Schloss zu kaufen, dann stellt man es einfach so ab und hofft auf das Beste.

Arne (sorry! :Blumen:) hat einen Exklusivvertrag und ist Fahrradhändler für die Marke HTTP. Er verkauft nur Räder ohne Schloss. Schlösser werden bei ihm nicht oft nachgefragt, deswegen lohnt sich die Einrichtung eines Lagers für Schlösser nicht.

Andere Fahrradhändler haben Räder der Marke HTTPS vorrätig, die immer mit Zahlenschloss ausgeliefert werden.
Es sind aber nicht alle Schlösser gleich: Manche haben 3, andere 4, wieder andere 5 Stellen. Dazu gibt es noch unterschiedliche Stärken für das Stahlseil.

Hafu würde nun gerne den 21. Rennboliden für die Familie erwerben. Der soll aber auch besonders diebstahlsicher abgestellt werden können. Er geht also zu einem Händler, der Räder mit 5-stelligen Schlössern mit besonders dickem Seil anbietet. Allerdings ist Hafu beruflich immer so im Stress, dass er sich nur 2 Stellen (sorry! :Blumen:) merken kann. Mit so leicht zu knackenden Schlössern werden die Geschosse aber leider nicht verkauft.

Deswegen kann er das tolle Rad der Marke HTTPS nicht kaufen, geht frustriert nach Hause und ist froh, dass er überhaupt eine Zeitfahrmaschine der Marke HTTP bekommt, auch wenn er immer Angst hat, dass die geklaut wird, weil sie nicht abgeschlossen auf der Straße steht. :Lachen2:

An die, denen ich gerade eben mit meinen Albernheiten die Zeit gestohlen habe: Entschuldigung! :Huhu:
Die anderen haben vielleicht eine bessere Idee davon bekommen, was die verschiedenen Algorithmen (Stellenzahl) und Schlüssellängen (Seildicke) bedeuten.

sybenwurz
09.11.2016, 22:27
Dein Triathlon-Szene-Benutzername und Kennwort werden im Klartext übertragen.

Wenn man das nicht möchte, z.B. weil nicht jeder das Passwort fürs Online-Banking und den Kontostand kennen soll, setzt man HTTPS ein.

Jetzt erklär doch noch bitte, wieso mein PW fürs Onlinebanking und mein Kontostand in Gefahr sind, weil TS.DE nur auf HTTP läuft?

schnodo
09.11.2016, 22:33
Jetzt erklär doch noch bitte, wieso mein PW fürs Onlinebanking und mein Kontostand in Gefahr sind, weil TS.DE nur auf HTTP läuft?

Sind sie nicht. Das sind zwei unterschiedliche Anwendungsfälle (vielleicht mit "wenn man das nicht möchte" von mir sprachlich ungeschickt getrennt) - es sei denn, Du benutzt dasselbe Passwort. ;)

Es wäre aber prinzipiell aus Datenschutzsicht wünschenswert wenn die Details meiner Interaktion mit TS, inklusive der Übertragung meiner Kontodaten bei Erneuerung des Abos, nur für Arne :Blumen: und mich sichtbar blieben. :)

Mauna Kea
09.11.2016, 22:48
Da musst Du nur Deinen Hoster fragen. :Lachen2:

Das war der "vereinfachte" Teil. Du bist aber auch nicht das Sicherheitsrisiko bei diesem Thema. :Blumen:

PS: Man verzeihe mir bitte diese Dramatisierung zum Zwecke der Veranschaulichung. ;)

Auch der weiss das nicht. Die Passwörter sind verschlüsselt in der Datenbank.
Wenn ich recht informiert bin mit MD5.
Da muss man schon einigen Aufwand betreiben.

Thorsten
09.11.2016, 22:55
... oder als Provider halt den ganzen http-Verkehr seiner Kunden aufzeichnen und auswerten, da es erst nach dem Eintreffen auf dem Server gehashed wird.

schnodo
09.11.2016, 22:56
Auch der weiss das nicht. Die Passwörter sind verschlüsselt in der Datenbank.
Wenn ich recht informiert bin mit MD5.
Da muss man schon einigen Aufwand betreiben.

Ich will mich jetzt nicht zu weit aus dem Fenster lehnen, aber die Passwörter müssen ja erst mal übertragen werden bevor sie mit den gehashten in der Datenbank verglichen werden. Um sie nicht im Klartext zu übertragen müsste eine Codierung auf dem Client z.B. per Javascript abgewickelt werden; das hat aber nicht jeder aktiviert. Deswegen tippe ich darauf, dass die Übertragung im Klartext stattfindet.

schnodo
09.11.2016, 22:57
... oder als Provider halt den ganzen http-Verkehr seiner Kunden aufzeichnen und auswerten, da es erst nach dem Eintreffen auf dem Server gehashed wird.

Darauf wollte ich hinaus.

Mauna Kea
10.11.2016, 09:02
Soviel Aufwand für ein forenpasswort?
Wozu sollte das gut sein?

sybenwurz
10.11.2016, 09:16
Entschuldigung, mir sind die Passwörter der Forenuser nicht bekannt.
:Huhu: :Blumen:

Ha ha!
Das beweis' erstmal...!
:Cheese: :dresche :Lachanfall:

anneliese
10.11.2016, 09:17
Deswegen tippe ich darauf, dass die Übertragung im Klartext stattfindet.

Falsch. Lässt sich aber auch leicht überprüfen (Einfach mal den Netzwerkverkehr bei einem Login anschauen.). Das Passwort wird MD5 gehasht übertragen. :Blumen:

Geht mal weg von den Sicherheitsthemen:
HTTPS wird von Google im Ergebnis Ranking belohnt.

(Weiter oben in der Liste = mehr Besucher = mehr Klicks = mehr Werbeeinblendungen= mehr Werbeieinnahmen = mehr Geld = mehr geiles Carbonmaterial = mehr schnell = Hawaii Quali!)

schnodo
10.11.2016, 09:19
Soviel Aufwand für ein forenpasswort?
Wozu sollte das gut sein?

Tatsächlich ist es nicht viel Aufwand wenn man einmal Zugriff auf den Server hat. Der Prozess lässt sich automatisieren. Dann werden dem Angreifer Logins und Passwörter schön als XML aufbereitet zum Download bereitgelegt. Damit kann man dann ein Dictionary aufbauen, das bei anderen Diensten oder geklauten Passwort-Datenbanken durchprobiert wird. Im Prinzip kann man mit einem Tastendruck hunderte oder tausende Systeme gleichzeitig angreifen. Der Aufwand existiert nur initial.

Im Normalfall wird der Angreifer hoffentlich nicht der Hoster sein, aber so ein Server ist schnell gehackt, wenn der Admin etwas schlampig ist. Wenn ich jetzt sage, dass ich weiß, wovon ich rede, hört sich das aber auch wieder blöd an. ;)

Ich kann es natürlich nicht belegen, aber es würde mich nicht wundern, wenn z.B. 5% der Triathlon-Szene Nutzer das gleiche Login und Passwort auch bei anderen Diensten verwenden. Vielleicht sollte man da mal eine Umfrage machen. :Lachen2:

sybenwurz
10.11.2016, 09:20
(Weiter oben in der Liste = mehr Besucher = mehr Klicks = mehr Werbeeinblendungen= mehr Werbeieinnahmen = mehr Geld = mehr geiles Carbonmaterial = mehr schnell = Hawaii Quali!)

Das kann in dieser Konsequenz keine/r von uns wirklich wollen, da es nur Arne (be-)treffen würde und damit die Hawaiinacht flachfiele.

deralexxx
10.11.2016, 09:46
Ist wie eine Diskussion über Powermeter, natürlich geht ein Leben auch ohne.
Es spricht aber einfach nichts (mehr) gegen Verschlüsselung (früher war das mit Last etc. vllt noch etwas anders).

Und ob der Aufwand, es auf die ganze TS Plattform zu auszuweiten so groß ist, kann ich nicht einschätzen.

Hier ist eine ganz gute Abhandlung darüber:
https://www.keycdn.com/blog/http-to-https/

(gebe zu, die Auswahlmöglichkeiten bei der Umfrage sind etwas "übertrieben" kann sie leider nicht mehr ändern :Blumen: .

A

deralexxx
10.11.2016, 09:55
Falsch. Lässt sich aber auch leicht überprüfen (Einfach mal den Netzwerkverkehr bei einem Login anschauen.). Das Passwort wird MD5 gehasht übertragen. :Blumen:


Gerade mal nachgestellt.
Als Paswort "test" gewählt.
Übertragen wird "098f6bcd4621d373cade4e832627b4f6".
Einfache google Suche nach dem Hash ergibt wieder das ursprünglich gewählte Passwort.

--> Einfaches Hashen von Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen.

Stichworte hierzu: Rainbow table

Lösung: Salted hash.

A

schnodo
10.11.2016, 10:08
Falsch. Lässt sich aber auch leicht überprüfen (Einfach mal den Netzwerkverkehr bei einem Login anschauen.). Das Passwort wird MD5 gehasht übertragen. :Blumen:

Okay, das macht es ein klein wenig schwieriger. Aber in diesem Fall liefert man z.B. eine geänderte Fassung der Login-Seite aus, in der der md5hash()-Aufruf ersetzt ist. Oder kümmert sich halt im Nachgang mit brute force oder einer anderen, geschickteren Strategie darum. Man hat ja dann Zeit. :)

Außerdem klappt das Client-seitige Hashen nur mit eingeschaltetem Javascript. Was aber kein wirkliches Gegenargument ist; ohne geht ja heutzutage fast gar nichts mehr. ;)

Erftbiker
10.11.2016, 10:40
Falsch. Lässt sich aber auch leicht überprüfen (Einfach mal den Netzwerkverkehr bei einem Login anschauen.). Das Passwort wird MD5 gehasht übertragen. :Blumen:

Geht mal weg von den Sicherheitsthemen:
HTTPS wird von Google im Ergebnis Ranking belohnt.

(Weiter oben in der Liste = mehr Besucher = mehr Klicks = mehr Werbeeinblendungen= mehr Werbeieinnahmen = mehr Geld = mehr geiles Carbonmaterial = mehr schnell = Hawaii Quali!)

Neben dem besseren Ranking spricht inzwischen auch für eine https-Unterstützung das sowohl Google als auch Modzilla planen https als Standardverbindung in ihren Browsern zu implementieren. D.h. es wird dann erst auf https versucht und dann kommt möglicherweise ein prominenter Hinweis das man dabei ist eine unsichere Verbindung aufzubauen.
Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde. Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten.

Gegen verschlüsselte Verbindungen spricht eigentlich nur der höhere CO2 Ausstoss :-P

schnodo
10.11.2016, 10:56
Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde.

Ich denke, das Problem dabei sind Daten aus verschiedenen Quellen. Dann tauchen im Browser schnell mal Warnungen auf, dass auch unsichere Inhalte auf der Seite vorhanden sind und ähnliches. "Hier passieren furchtbare Dinge. Trotzdem weitermachen?" kommt vielleicht unprofessionell rüber, was man vermeiden will. :)

Außerdem ist der Server unter verschiedenen Domainnamen zu erreichen, so dass die Abgrenzung und Bestückung mit entsprechenden Zertifikaten zumindest nicht trivial ist wenn man das nicht dauernd macht.

Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten.

Das hingegen ist kein Problem. Let’s Encrypt (https://letsencrypt.org/) bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!

Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.

Erftbiker
10.11.2016, 11:20
Das hingegen ist kein Problem. Let’s Encrypt (https://letsencrypt.org/) bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!

Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.

Kannte ich noch nicht. Gut zu wissen, danke für den Tipp!

Thorsten
10.11.2016, 12:57
--> Einfaches Hashen von einfachen Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen.

Stichworte hierzu: Rainbow table

Lösung: Salted hash.
Ich habe es mal ergänzt ;).

Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?

deralexxx
10.11.2016, 16:21
Ich habe es mal ergänzt ;).

Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?

Richtig, Rainbow Tables werden dadurch deutlich erschwert (unmöglich ist es nicht, geht dann aber in Richtung unendlich aufwändig in Bezug auf Zeit und oder Rechenleistung)

https://crackstation.net/hashing-security.htm:


In a Web Application, always hash on the server!

If you are writing a web application, you might wonder where to hash. Should the password be hashed in the user's browser with JavaScript, or should it be sent to the server "in the clear" and hashed there?

Even if you are hashing the user's passwords in JavaScript, you still have to hash the hashes on the server. Consider a website that hashes users' passwords in the user's browser without hashing the hashes on the server. To authenticate a user, this website will accept a hash from the browser and check if that hash exactly matches the one in the database. This seems more secure than just hashing on the server, since the users' passwords are never sent to the server, but it's not.

The problem is that the client-side hash logically becomes the user's password. All the user needs to do to authenticate is tell the server the hash of their password. If a bad guy got a user's hash they could use it to authenticate to the server, without knowing the user's password! So, if the bad guy somehow steals the database of hashes from this hypothetical website, they'll have immediate access to everyone's accounts without having to guess any passwords.

This isn't to say that you shouldn't hash in the browser, but if you do, you absolutely have to hash on the server too. Hashing in the browser is certainly a good idea, but consider the following points for your implementation:
...

(unterstrichen durch mich)

Wobei das Salting normal durch die Board Software geschehen sollte.
Was man mit einem Auszug an (auch gesalzenen) Hashes machen kann (die in dem Fall von der gleichen Software wie auf TS stammen) anstellen kann:

https://www.troyhunt.com/data-breaches-vbulletin-and-weak/

A

schnodo
10.11.2016, 16:55
Weil es gerade aktuell ist: OpenSSL 1.1.0c (https://www.openssl.org/source/) ist seit heute draußen.

Wer eine ältere 1.1.0-Version benutzt (https://www.openssl.org/news/secadv/20161110.txt), sollte updaten. :)

Thorsten
10.11.2016, 22:46
Das clientseitige salting & hashing verhindert so zumindest weitgehend, dass man mit dem abgefangenen Hash den erfolgreichen Versuch unternehmen kann, sich mit diesem Password über die normale Anmeldemaske an einer anderen Seite anzumelden.

tandem65
11.11.2016, 10:57
Hi Hafu,

Vor diesem Hintergrund würde ich den unverschlüsselten Zugang befürworten, da es sich auf dem Smartphone so schlecht tippt.

ich verstehe den Zusamenhang zwischen https & dem Tippen auf demSmartphone nicht.:Blumen:

Thorsten
11.11.2016, 12:02
http = Nutzung über Büro-PC möglich
https = Nutzung über Büro-PC nicht möglich (wegen Cytrix usw.), also nur über Handy -> und da tippt es sich eher schlecht als recht

schnodo
11.11.2016, 12:32
also nur über Handy -> und da tippt es sich eher schlecht als recht

Ich will nicht vom Thema ablenken und das jetzt auch nicht als Alternative vorschlagen, aber wer wirklich viel tippt und aus welchen Gründen auch immer nur mit dem Handy online sein kann, sollte mal darüber nachdenken, sich eine faltbare Bluetooth-Tastatur zuzulegen. Für alte Säcke wie mich ist das deutlich komfortabler und schneller als die Wischerei auf dem Smartphone.

Ich brauche sie zwar tatsächlich so gut wie nie, habe aber diese hier von EC Technology (http://www.iectechnology.com/product/best-ultra-slim-mini-wireless-foldable-bluetooth-keyboard.html), die für die kompakte Bauform gar nicht schlecht ist:

https://images-eu.ssl-images-amazon.com/images/I/51lvz2gf47L._SY300_QL70_.jpg

Thorsten
11.11.2016, 14:33
Wenn man beim Arbeiten schon nicht (halbwegs unauffällig und nebenbei) am PC surfen kann und schon das Handy nehmen muss, dann sollte man nicht auch noch eine Tastatur davor ausrollen ;).

schnodo
11.11.2016, 15:08
Wenn man beim Arbeiten schon nicht (halbwegs unauffällig und nebenbei) am PC surfen kann und schon das Handy nehmen muss, dann sollte man nicht auch noch eine Tastatur davor ausrollen ;).

Ach so. Ja, wenn ich es heimlich machen müsste, würde ich es vielleicht doch eher bleiben lassen. ;)

Ich dachte eigentlich nur an die Fälle, wo man es guten Gewissens tun kann. :)

DocTom
11.01.2017, 18:21
dachte, das macht heuer soundso jeder Boardbetreiber...

Aber stimmt, hier kommt noch kein https:\\ vorangestellt.

Thomas

Foxi
19.05.2017, 19:52
Ich weiß, dass das Thema hier nicht hoch im Kurs steht und andere Dinge Vorrang haben, aber bekanntlich höhlt steter Tropfen den Stein. :Cheese:

Heise Newsticker: HTTPS-Verschlüsselung im Web erreicht erstmals 50 Prozent (https://www.heise.de/newsticker/meldung/HTTPS-Verschluesselung-im-Web-erreicht-erstmals-50-Prozent-3351173.html)

Ich schicke auch noch ein paar Tropfen zu dem Thema (nein keine Regentropfen, obwohl es reichlich davon gibt).

Aktueller Anlass ist eine Fehlermeldung in einem öffentlich zugänglichen Netzwerk:

Darin wurde ausdrücklich darauf hingewiesen, dass dies keine sichere Verbindung sei. Ich musste ausdrücklich bestätigen, dass ich auf diese Seite zugreifen will und die Adresse explizit in die Liste der (unsicheren) Ausnahmen aufnehmen.

www.triathlon-szene.de verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für folgende Namen: www.mac-tv.de, mac-tv.de (Fehlercode: ssl_error_bad_cert_domain)

Wenn Sie wissen, warum dieses Problem auftritt, können Sie Firefox anweisen, der Identifikation dieser Website zu vertrauen. Selbst wenn Sie der Website vertrauen, kann dieser Fehler bedeuten, dass jemand Ihre Verbindung manipuliert.

Fügen Sie keine Ausnahme hinzu, außer Sie wissen, dass es einen guten Grund dafür gibt, warum diese Website keine vertrauenswürdige Identifikation verwendet.

Das sollte m.E. nicht so bleiben...

deralexxx
21.06.2017, 08:25
Entschuldigung, mir sind die Passwörter der Forenuser nicht bekannt.
:Huhu: :Blumen:

Hallo Arne,

1,5 Jahre sind nun gut ins Land gegangen, wollte mal fragen ob es was Neues gibt.

Alex

redeagle
21.06.2017, 09:28
Ich schicke auch noch ein paar Tropfen zu dem Thema (nein keine Regentropfen, obwohl es reichlich davon gibt).

Aktueller Anlass ist eine Fehlermeldung in einem öffentlich zugänglichen Netzwerk:

Darin wurde ausdrücklich darauf hingewiesen, dass dies keine sichere Verbindung sei. Ich musste ausdrücklich bestätigen, dass ich auf diese Seite zugreifen will und die Adresse explizit in die Liste der (unsicheren) Ausnahmen aufnehmen.



Das sollte m.E. nicht so bleiben...

die Seite hat halt kein sll-Zertifikat, aus von Arne beschriebenen Gründen.
wenn du die seite ohne https aufrufst kommt die Meldung natürlich nicht...

deralexxx
21.06.2017, 11:03
die Seite hat halt kein sll-Zertifikat, aus von Arne beschriebenen Gründen.
wenn du die seite ohne https aufrufst kommt die Meldung natürlich nicht...

? Arne hat genau zwei Posts in dieses Thema geschrieben:

Muss ich mal nachfragen. Warum brauchst Du das? :Blumen:

und

Entschuldigung, mir sind die Passwörter der Forenuser nicht bekannt.
:Huhu: :Blumen:

Wo genau sind da Gründe genannt?

A

redeagle
21.06.2017, 14:01
ah, sorry :Blumen:
ich meinte dass ich mal was gelesen hatte bezüglich SSL von Arne.
(Kosten, Indexierungsprobleme, und noch ein Problem mit SSL)

Grüße Guido

schnodo
06.07.2017, 22:24
Vielleicht für den einen oder anderen interessant: Ich hatte ja mal Let's Encrypt (https://letsencrypt.org/) erwähnt, eine non-profit Organisation, die kostenlose SSL-Zertifikate anbietet. Ab Januar 2018 erstellen die auch Wildcard-Zertifikate (https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html).

Da braucht man nicht für jede Subdomain ein eigenes Zertifikat (a.schnodo.com, b.schnodo.com, c.schnodo.com...), sondern es gibt eines (*.schnodo.com) für alle denkbaren Subdomains.

Manch einen, der mit ein paar Subdomains zu kämpfen hat, wird das sicher freuen. :)

deralexxx
30.08.2017, 11:48
Ein weiterer Grund:
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

as part of a long-term plan to mark all HTTP sites as non-secure.

Bzw. https://www.wired.com/story/google-is-about-to-make-your-browser-more-paranoid/

A

deralexxx
11.01.2018, 11:15
Muss ich mal nachfragen. Warum brauchst Du das? :Blumen:

So bald hat das Thema seinen zweiten Geburtstag. Bis dato immer noch nur zwei Beiträge von El Klugschnacker

:confused:

Thorsten
11.01.2018, 20:26
Aus dem Vergehen von Zeit erwächst vermutlich nicht automatisch ein Anspruch auf Antworten ;).

deralexxx
09.02.2018, 11:08
https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html

Ab Juli wäre Triathlon-szene also für Chrome offiziell "nicht sicher"

A

deralexxx
30.04.2018, 09:31
Nicht ganz SSL, aber GDPR ist ja am Horizont: https://www.fellowshipproductions.co.uk/make-your-website-gdpr-compliant/ vllt interessiert sich der dann benannte Datenschutzbeauftragte von Triathlon Szene ja für SSL

schnodo
30.04.2018, 10:02
Nicht ganz SSL, aber GDPR ist ja am Horizont: https://www.fellowshipproductions.co.uk/make-your-website-gdpr-compliant/ vllt interessiert sich der dann benannte Datenschutzbeauftragte von Triathlon Szene ja für SSL

:Cheese:

Das Ganze ist allerdings leider nur Augenwischerei. Man tut seitens des Gesetzgebers nun so als sei man um die Privatsphäre der Bürger besorgt, während man hintenrum alle nur erdenklichen Schritte am Rande der Legalität und darüber hinaus unternimmt um dessen Daten abzuschnorcheln, siehe Vorratsdatenspeicherung oder dubiose Praktiken des BND.

schnodo
29.06.2018, 14:46
Gerade bin ich im heise Newsticker über das hier gestolpert:

DSGVO: 8500 Euro Schadensersatz für fehlende SSL-Verschlüsselung? Die Hintergründe (https://www.heise.de/newsticker/meldung/DSGVO-8500-Euro-Schadensersatz-fuer-fehlende-SSL-Schluesselung-Die-Hintergruende-4094585.html)

Was wie eine Räuberpistole klingt, gibt es tatsächlich: Abmahnungen, in denen von Händlern fünfstellige Summen als Schadensersatz für eine nicht vorhandene SSL-Verschlüsselung bei der Übersendung der Inhalte eines Kontaktformulars geltend gemacht werden. heise online liegt nun ein solches Schreiben vor.

Momentan nicht weiter dramatisch aber generell kommen die Einschläge näher. :Blumen:

deralexxx
05.07.2018, 13:37
Mal wieder was zum lesen:
https://www.ncsc.gov.uk/blog-post/serve-websites-over-https-always

https für triathlon-szene scheint eher eine LD als ein Sprint zu sein, aber mit geht so schnell nicht die Ausdauer aus.

A

schnodo
24.07.2018, 15:17
Und täglich grüßt das Murmeltier. :Lachen2:

SSL wird Pflicht: Chrome-Browser warnt vor unverschlüsselten Verbindungen (https://www.heise.de/newsticker/meldung/SSL-wird-Pflicht-Chrome-Browser-warnt-vor-unverschluesselten-Verbindungen-4118009.html)

Der Teufel steckt oft im Detail
Betroffen sind vor allem Admins und Webmaster kleinerer Webseiten. Zwar ist die Umstellung auf verschlüsselte Verbindungen, vor allem mit Let's Encrypt, theoretisch mit relativ wenig Aufwand verbunden, in der wirklichen Welt ergeben sich allerdings immer wieder Fallstricke. Schon die Umstellung eines kleineren, selbst-gehosteten WordPress-Blogs kann schon mal ein ganzes Wochenende in Anspruch nehmen. Denn trotz der automatischen Konfigurationsmöglichkeiten finden sich immer wieder Links auf vergessene URLs, die umgestellt werden müssen, oder Plug-Ins, bei denen die Umstellung auf HTTPS unvorhergesehene Probleme hervorruft. Auch die Verlängerung eines Zertifikates kann ungeahnte Schwierigkeiten mit sich bringen.

deralexxx
30.07.2018, 09:18
So, Triathlon-Szene jetzt lt Google Chrome wirklich "Nicht sicher"

sybenwurz
30.07.2018, 14:28
Ich nehm FF oder Safari, da ists nicht nicht sicher...:Cheese:

schnodo
30.07.2018, 14:38
Ich nehm FF oder Safari, da ists nicht nicht sicher...:Cheese:

Zu Safari kann ich nichts sagen aber beim Firefox solltest Du mal auf das eingekringelte "i" links neben der Adresse klicken. Da erwartet Dich eine Überraschung. :Cheese:

sybenwurz
30.07.2018, 19:48
Nope. Keine Überraschung.
Ich wollte damit nur ausdrücken, dass ich trotz Googles Sorge über meine Internetsicherheit noch immer selbst entscheide, welche Seiten ich öffne und nutze.
Zumal es ja nicht einer gewissen Ironie entbehrt, dass ausgerechnet Google als Datenkrake schlechthin sich um Sicherheit und Privatsphäre kümmern will...:Lachanfall:

deralexxx
26.10.2018, 15:59
@ Arne, gibt es vllt ein SSL Zertifikat, welches es umsonst gibt zu Weihnachten?

Sonst ist es irgendwann: Triathlon-szene | Europas unsicherstes Thriathlon Forum

Scherz beiseite, würde mich einfach mal freuen hier eine Antwort von dir zu lesen.

Danke

Thorsten
26.10.2018, 17:08
1&1 gibt mir für mein Webhosting-Paket ein Zertifikat gratis/inbegriffen. Habe meine Websites-Struktur dann halt von mehreren Sub-Domains auf die Haupt-Domain mit entsprechenden Pfaden umgestellt, damit ich überall https habe. 5 € oder so pro Sub-Domain und Monat war es mir dann doch nicht wert.

schnodo
26.10.2018, 17:28
1&1 gibt mir für mein Webhosting-Paket ein Zertifikat gratis/inbegriffen. Habe meine Websites-Struktur dann halt von mehreren Sub-Domains auf die Haupt-Domain mit entsprechenden Pfaden umgestellt, damit ich überall https habe. 5 € oder so pro Sub-Domain und Monat war es mir dann doch nicht wert.

Bei Let's Encrypt (https://letsencrypt.org/) gibt es Zertifikate ohne Mengenbeschränkung kostenlos, auch für Wildcard-Domains (Spenden werden gerne genommen). Klappt einwandfrei.

Man muss nur die Zertifikat-Aktualisierung automatisieren (https://github.com/Neilpang/acme.sh), was in etwas Gefrickel ausarten kann. Alle 90 Tage von Hand mag sich das niemand antun. ;)

deralexxx
09.01.2019, 09:15
Na - wer hats gemerkt? TS ist jetzt "sicher"

Sehr schön und vielen Dank Jörn & Arne

Klugschnacker
09.01.2019, 09:39
Sehr schön und vielen Dank Jörn & Arne

Danke. Es ist zu 99,9% Jörns Arbeit gewesen. :Blumen:

locker baumeln
09.01.2019, 10:19
Na - wer hats gemerkt? TS ist jetzt "sicher"

Sehr schön und vielen Dank Jörn & Arne

:Blumen:

schnodo
09.01.2019, 10:57
Auch von mir an dieser Stelle noch einmal vielen Dank! Da steckt jede Menge Arbeit dahinter! :Blumen:

Matze8
09.01.2019, 22:56
+1 :Danke: