Ich denke, das Problem dabei sind Daten aus verschiedenen Quellen. Dann tauchen im Browser schnell mal Warnungen auf, dass auch unsichere Inhalte auf der Seite vorhanden sind und ähnliches. "Hier passieren furchtbare Dinge. Trotzdem weitermachen?" kommt vielleicht unprofessionell rüber, was man vermeiden will. :)

Außerdem ist der Server unter verschiedenen Domainnamen zu erreichen, so dass die Abgrenzung und Bestückung mit entsprechenden Zertifikaten zumindest nicht trivial ist wenn man das nicht dauernd macht.

Das hingegen ist kein Problem. Let’s Encrypt bietet kostenlose Zertifikate an und der Einrichtungsaufwand ist moderat. Kann ich nur empfehlen!

Ich empfehle auch eine Spende; die sind nicht profitorientiert und wären gerne unabhängiger von industriellen Sponsoren.

Kannte ich noch nicht. Gut zu wissen, danke für den Tipp!

Ich habe es mal ergänzt ;).

Wenn du es im Client salzt, müsstest du aber zumindest auch den Salt im Client und damit sichtbar halten. Würde aber zumindest den Gebrauch von Rainbow tables nutzlos machen, oder?

Richtig, Rainbow Tables werden dadurch deutlich erschwert (unmöglich ist es nicht, geht dann aber in Richtung unendlich aufwändig in Bezug auf Zeit und oder Rechenleistung)

https://crackstation.net/hashing-security.htm:

(unterstrichen durch mich)

Wobei das Salting normal durch die Board Software geschehen sollte.
Was man mit einem Auszug an (auch gesalzenen) Hashes machen kann (die in dem Fall von der gleichen Software wie auf TS stammen) anstellen kann:

https://www.troyhunt.com/data-breach...etin-and-weak/

A

Weil es gerade aktuell ist: OpenSSL 1.1.0c ist seit heute draußen.

Wer eine ältere 1.1.0-Version benutzt, sollte updaten. :)

Das clientseitige salting & hashing verhindert so zumindest weitgehend, dass man mit dem abgefangenen Hash den erfolgreichen Versuch unternehmen kann, sich mit diesem Password über die normale Anmeldemaske an einer anderen Seite anzumelden.

Hi Hafu,

ich verstehe den Zusamenhang zwischen https & dem Tippen auf demSmartphone nicht.:Blumen:

http = Nutzung über Büro-PC möglich
https = Nutzung über Büro-PC nicht möglich (wegen Cytrix usw.), also nur über Handy -> und da tippt es sich eher schlecht als recht

Ich will nicht vom Thema ablenken und das jetzt auch nicht als Alternative vorschlagen, aber wer wirklich viel tippt und aus welchen Gründen auch immer nur mit dem Handy online sein kann, sollte mal darüber nachdenken, sich eine faltbare Bluetooth-Tastatur zuzulegen. Für alte Säcke wie mich ist das deutlich komfortabler und schneller als die Wischerei auf dem Smartphone.

Ich brauche sie zwar tatsächlich so gut wie nie, habe aber diese hier von EC Technology, die für die kompakte Bauform gar nicht schlecht ist:

Wenn man beim Arbeiten schon nicht (halbwegs unauffällig und nebenbei) am PC surfen kann und schon das Handy nehmen muss, dann sollte man nicht auch noch eine Tastatur davor ausrollen ;).

Ach so. Ja, wenn ich es heimlich machen müsste, würde ich es vielleicht doch eher bleiben lassen. ;)

Ich dachte eigentlich nur an die Fälle, wo man es guten Gewissens tun kann. :)

dachte, das macht heuer soundso jeder Boardbetreiber...

Aber stimmt, hier kommt noch kein https:\\ vorangestellt.

Thomas

Ich schicke auch noch ein paar Tropfen zu dem Thema (nein keine Regentropfen, obwohl es reichlich davon gibt).

Aktueller Anlass ist eine Fehlermeldung in einem öffentlich zugänglichen Netzwerk:

Darin wurde ausdrücklich darauf hingewiesen, dass dies keine sichere Verbindung sei. Ich musste ausdrücklich bestätigen, dass ich auf diese Seite zugreifen will und die Adresse explizit in die Liste der (unsicheren) Ausnahmen aufnehmen.

Das sollte m.E. nicht so bleiben...

Hallo Arne,

1,5 Jahre sind nun gut ins Land gegangen, wollte mal fragen ob es was Neues gibt.

Alex

die Seite hat halt kein sll-Zertifikat, aus von Arne beschriebenen Gründen.
wenn du die seite ohne https aufrufst kommt die Meldung natürlich nicht...

? Arne hat genau zwei Posts in dieses Thema geschrieben:

und

Wo genau sind da Gründe genannt?

A

ah, sorry :Blumen:
ich meinte dass ich mal was gelesen hatte bezüglich SSL von Arne.
(Kosten, Indexierungsprobleme, und noch ein Problem mit SSL)

Grüße Guido

Vielleicht für den einen oder anderen interessant: Ich hatte ja mal Let's Encrypt erwähnt, eine non-profit Organisation, die kostenlose SSL-Zertifikate anbietet. Ab Januar 2018 erstellen die auch Wildcard-Zertifikate.

Da braucht man nicht für jede Subdomain ein eigenes Zertifikat (a.schnodo.com, b.schnodo.com, c.schnodo.com...), sondern es gibt eines (*.schnodo.com) für alle denkbaren Subdomains.

Manch einen, der mit ein paar Subdomains zu kämpfen hat, wird das sicher freuen. :)

Ein weiterer Grund:
https://security.googleblog.com/2016...ecure-web.html

as part of a long-term plan to mark all HTTP sites as non-secure.

Bzw. https://www.wired.com/story/google-i...more-paranoid/

A

So bald hat das Thema seinen zweiten Geburtstag. Bis dato immer noch nur zwei Beiträge von El Klugschnacker

:confused:

Aus dem Vergehen von Zeit erwächst vermutlich nicht automatisch ein Anspruch auf Antworten ;).

https://blog.chromium.org/2018/02/a-...e-to-stay.html

Ab Juli wäre Triathlon-szene also für Chrome offiziell "nicht sicher"

A

Nicht ganz SSL, aber GDPR ist ja am Horizont: https://www.fellowshipproductions.co...dpr-compliant/ vllt interessiert sich der dann benannte Datenschutzbeauftragte von Triathlon Szene ja für SSL

:Cheese:

Das Ganze ist allerdings leider nur Augenwischerei. Man tut seitens des Gesetzgebers nun so als sei man um die Privatsphäre der Bürger besorgt, während man hintenrum alle nur erdenklichen Schritte am Rande der Legalität und darüber hinaus unternimmt um dessen Daten abzuschnorcheln, siehe Vorratsdatenspeicherung oder dubiose Praktiken des BND.

Gerade bin ich im heise Newsticker über das hier gestolpert:

DSGVO: 8500 Euro Schadensersatz für fehlende SSL-Verschlüsselung? Die Hintergründe

Momentan nicht weiter dramatisch aber generell kommen die Einschläge näher. :Blumen:

Mal wieder was zum lesen:
https://www.ncsc.gov.uk/blog-post/se...r-https-always

https für triathlon-szene scheint eher eine LD als ein Sprint zu sein, aber mit geht so schnell nicht die Ausdauer aus.

A

Und täglich grüßt das Murmeltier. :Lachen2:

SSL wird Pflicht: Chrome-Browser warnt vor unverschlüsselten Verbindungen

So, Triathlon-Szene jetzt lt Google Chrome wirklich "Nicht sicher"

Ich nehm FF oder Safari, da ists nicht nicht sicher...:Cheese:

Zu Safari kann ich nichts sagen aber beim Firefox solltest Du mal auf das eingekringelte "i" links neben der Adresse klicken. Da erwartet Dich eine Überraschung. :Cheese:

Nope. Keine Überraschung.
Ich wollte damit nur ausdrücken, dass ich trotz Googles Sorge über meine Internetsicherheit noch immer selbst entscheide, welche Seiten ich öffne und nutze.
Zumal es ja nicht einer gewissen Ironie entbehrt, dass ausgerechnet Google als Datenkrake schlechthin sich um Sicherheit und Privatsphäre kümmern will...:Lachanfall:

@ Arne, gibt es vllt ein SSL Zertifikat, welches es umsonst gibt zu Weihnachten?

Sonst ist es irgendwann: Triathlon-szene | Europas unsicherstes Thriathlon Forum

Scherz beiseite, würde mich einfach mal freuen hier eine Antwort von dir zu lesen.

Danke

1&1 gibt mir für mein Webhosting-Paket ein Zertifikat gratis/inbegriffen. Habe meine Websites-Struktur dann halt von mehreren Sub-Domains auf die Haupt-Domain mit entsprechenden Pfaden umgestellt, damit ich überall https habe. 5 € oder so pro Sub-Domain und Monat war es mir dann doch nicht wert.

Bei Let's Encrypt gibt es Zertifikate ohne Mengenbeschränkung kostenlos, auch für Wildcard-Domains (Spenden werden gerne genommen). Klappt einwandfrei.

Man muss nur die Zertifikat-Aktualisierung automatisieren, was in etwas Gefrickel ausarten kann. Alle 90 Tage von Hand mag sich das niemand antun. ;)

Na - wer hats gemerkt? TS ist jetzt "sicher"

Sehr schön und vielen Dank Jörn & Arne

Danke. Es ist zu 99,9% Jörns Arbeit gewesen. :Blumen:

:Blumen:

Auch von mir an dieser Stelle noch einmal vielen Dank! Da steckt jede Menge Arbeit dahinter! :Blumen:

+1 :Danke: