Ha ha!
Das beweis' erstmal...!
:Cheese: :dresche :Lachanfall:

Falsch. Lässt sich aber auch leicht überprüfen (Einfach mal den Netzwerkverkehr bei einem Login anschauen.). Das Passwort wird MD5 gehasht übertragen. :Blumen:

Geht mal weg von den Sicherheitsthemen:
HTTPS wird von Google im Ergebnis Ranking belohnt.

(Weiter oben in der Liste = mehr Besucher = mehr Klicks = mehr Werbeeinblendungen= mehr Werbeieinnahmen = mehr Geld = mehr geiles Carbonmaterial = mehr schnell = Hawaii Quali!)

Tatsächlich ist es nicht viel Aufwand wenn man einmal Zugriff auf den Server hat. Der Prozess lässt sich automatisieren. Dann werden dem Angreifer Logins und Passwörter schön als XML aufbereitet zum Download bereitgelegt. Damit kann man dann ein Dictionary aufbauen, das bei anderen Diensten oder geklauten Passwort-Datenbanken durchprobiert wird. Im Prinzip kann man mit einem Tastendruck hunderte oder tausende Systeme gleichzeitig angreifen. Der Aufwand existiert nur initial.

Im Normalfall wird der Angreifer hoffentlich nicht der Hoster sein, aber so ein Server ist schnell gehackt, wenn der Admin etwas schlampig ist. Wenn ich jetzt sage, dass ich weiß, wovon ich rede, hört sich das aber auch wieder blöd an. ;)

Ich kann es natürlich nicht belegen, aber es würde mich nicht wundern, wenn z.B. 5% der Triathlon-Szene Nutzer das gleiche Login und Passwort auch bei anderen Diensten verwenden. Vielleicht sollte man da mal eine Umfrage machen. :Lachen2:

Das kann in dieser Konsequenz keine/r von uns wirklich wollen, da es nur Arne (be-)treffen würde und damit die Hawaiinacht flachfiele.

Ist wie eine Diskussion über Powermeter, natürlich geht ein Leben auch ohne.
Es spricht aber einfach nichts (mehr) gegen Verschlüsselung (früher war das mit Last etc. vllt noch etwas anders).

Und ob der Aufwand, es auf die ganze TS Plattform zu auszuweiten so groß ist, kann ich nicht einschätzen.

Hier ist eine ganz gute Abhandlung darüber:
https://www.keycdn.com/blog/http-to-https/

(gebe zu, die Auswahlmöglichkeiten bei der Umfrage sind etwas "übertrieben" kann sie leider nicht mehr ändern :Blumen: .

A

Gerade mal nachgestellt.
Als Paswort "test" gewählt.
Übertragen wird "098f6bcd4621d373cade4e832627b4f6".
Einfache google Suche nach dem Hash ergibt wieder das ursprünglich gewählte Passwort.

--> Einfaches Hashen von Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen.

Stichworte hierzu: Rainbow table

Lösung: Salted hash.

A

Okay, das macht es ein klein wenig schwieriger. Aber in diesem Fall liefert man z.B. eine geänderte Fassung der Login-Seite aus, in der der md5hash()-Aufruf ersetzt ist. Oder kümmert sich halt im Nachgang mit brute force oder einer anderen, geschickteren Strategie darum. Man hat ja dann Zeit. :)

Außerdem klappt das Client-seitige Hashen nur mit eingeschaltetem Javascript. Was aber kein wirkliches Gegenargument ist; ohne geht ja heutzutage fast gar nichts mehr. ;)

Neben dem besseren Ranking spricht inzwischen auch für eine https-Unterstützung das sowohl Google als auch Modzilla planen https als Standardverbindung in ihren Browsern zu implementieren. D.h. es wird dann erst auf https versucht und dann kommt möglicherweise ein prominenter Hinweis das man dabei ist eine unsichere Verbindung aufzubauen.
Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde. Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten.

Gegen verschlüsselte Verbindungen spricht eigentlich nur der höhere CO2 Ausstoss :-P