https für triathlon-szene
Hallöchen,
hoffe hier im richtigen Bereich gelandet zu sein. Wäre es ein großer Aufwand, für triathlon-szene.de (und alle CNAMEs die so verwendet werden) ein SSL/TLS Zertifikat bereit zu stellen? Wenn man derzeit auf https://triathlon-szene.de geht, landet man auf https://mac-tv.de Bei https://letsencrypt.org/ bekommt man mittlerweile sogar kostenlose Zertifikate, die von Browsern als trusted bestätigt werden. Danke :Blumen: |
Muss ich mal nachfragen. Warum brauchst Du das? :Blumen:
|
Zitat:
Außerdem mag es Leute geben, die nicht wollen, dass jeder der zwischen der Person und eurem Webserver die Daten zu sehen bekommt sich ein Bild machen kann, was man hier so treibt. Früher gab es noch das Argument, Verschlüsselung kostet Rechenpower, in der heutigen Zeit soltle das aber kein wirkliches Argument mehr sein. Prinzipiell will ich, dass am besten jede Kommunikation im Internet verschlüsselt ist. Stichwort: Snowden A Siehe auch: http://mashable.com/2011/05/31/https-web-security/ |
Zitat:
|
Hm, die Kommunikation in einem Forums ist abgesehen von wenigen Ausnahmen ohnehin öffentlich. Da sehe ich sehr wenig Sinn in Verschlüsselung.
|
Zitat:
Verschlüsselung sollte nicht der Ausnahmefall sein, sondern die Regel. Alles was Überwachung für die Überwacher teurer macht, und dazu gehört eben auch, herauszufinden, ob in der verschlüsselten Übertragung irgendwelche interessanten Inhalte sind, sollte man einsetzen wenn es mit wenig Aufwand verbunden ist. Wenn jemand ein berechtigtes Interesse daran hat, dann muss er sich eben mit dem Betreiber in Verbindung setzen und kann nicht einfach alles heimlich auf der Leitung abgreifen. |
Zitat:
Nächstes Argument: HTTPS zu nutzen verhindert (zumindest teilweise) Phishing, d.h. wenn du eine Seite präsentiert bekommst, auf der Triathlon-szene.de steht, kannst du verifizieren, dass auch Triathlon-szene.de dahinter steht. Last but not least: Manche Suchmaschinen honorieren das nutzen von HTTPS mit besseren Rankings. A https://www.washingtonpost.com/news/...probably-wont/ http://www.wired.com/2014/04/https/ |
Zitat:
Und dann postet er am Ende unter deinem Namen, schaut die Videos auf deine Rechnung und überholt dich im nächsten Wettkampf. Spaß beiseite - Verschlüsselung ist wichtig |
Hi Arne, gibt es hierzu irgendwas neues?
:Blumen: |
Heise macht es auch und sagt warum. :Blumen:
|
Ich weiß, dass das Thema hier nicht hoch im Kurs steht und andere Dinge Vorrang haben, aber bekanntlich höhlt steter Tropfen den Stein. :Cheese:
Heise Newsticker: HTTPS-Verschlüsselung im Web erreicht erstmals 50 Prozent |
Auch Google bewertet HTTPS als positives Signal für die Suchmaschinenergebnisse:
https://webmasters.googleblog.com/20...ng-signal.html A |
Umfrage!!!
|
Zitat:
|
Habe mal ine Umfrage erstellt.
Mir ist noch aufgefallen, unter https://tv.triathlon-szene.de geht doch sogar schon TLS. Bzw: https://www.ssllabs.com/ssltest/anal...hideResults=on Arneeeeeee |
Sehr viele HTTPS-Seiten sind bei uns in der Arbeit (Citrix-System) nicht zugänglich, bzw. enden mit Fehlermeldungen. Keine Ahnung, warum das so ist. Hängt wahrscheinlich irgendwie mit der Weitergabe von Zertifikaten zwischen Workstations und Server zusammen.
Dropbox, onedrive, verschiedene Googleservices z.B. funktionieren nicht. Ebay, online-Banking, Instagram wo es ja auch einen via https-verschlüsselten Code gibt funktioniert dagegen. Vor diesem Hintergrund würde ich den unverschlüsselten Zugang befürworten, da es sich auf dem Smartphone so schlecht tippt. P.S.: die Umfrage ist, so tendenziös wie die Antworten formuliert sind, BS! ;-) |
Zitat:
Beim Verbindungsaufbau wird ausgehandelt, was benutzt wird. Prinzipiell möchte man die Übertragung möglichst sicher haben. Das wird erreicht, indem modernere Systeme keine unsicheren Algorithmen anbieten. Der Nachteil dabei ist, dass so u.U. keine "sichere" Kommunikation mit älteren Systemen möglich ist. Also nimmt man vielleicht doch ein paar leichter angreifbare Verfahren dazu. Irgendwo muss man aber die Grenze ziehen, ansonsten kann man seine Bankdaten gleich unverschlüsselt übertragen. :) Zitat:
|
Ich bin ganz erhlich wenn ich sage ich habe überhaupt keine Ahnung, wovon hier die Rede ist. Könnte mir jemand erklären um was genau es hier geht? Bzw. was sind die Vor- / Nachteile?
Das Forum funktioniert bei mir auf dem PC und dem Handy eigentlich immer problemlos. Ich sehe also, unter Berücksichtigung meiner nicht vorhandenen IT Kenntnisse, keinen Grund etwas daran zu ändern. :Huhu: |
Zitat:
Dirtyharry |
Zitat:
Beim einfachen HTTP kann jeder, der zwischen Dir und dem Server sitzt, auf dem die Website gespeichert ist, die Du Dir anschaust - also der WLAN-Hotspot-Betreiber, der Hacker am Nebentisch, der Internet Service Provider und jeder weitere Knoten auf dem Übertragungsweg alles sehen, was hin- und hergeschickt wird: Bilder, öffentliche Texte die Du bearbeitest, private Nachrichten, Passwörter - ALLES! Deswegen ist es auch enorm wichtig, unter keinen Umständen Dein Triathlon-Szene Passwort für andere Dienste zu verwenden. Du musst davon ausgehen, dass es nicht nur Dir und Arne bekannt ist! Dein Triathlon-Szene-Benutzername und Kennwort werden im Klartext übertragen. Wenn man das nicht möchte, z.B. weil nicht jeder das Passwort fürs Online-Banking und den Kontostand kennen soll, setzt man HTTPS ein. Dann kann - im Normalfall - niemand zwischen Dir und dem Zielsystem sehen, was übertragen wird. Hört sich toll an, warum macht man das nicht immer? Weil mehr Rechenleistung notwendig ist, um zu ver- und entschlüsseln und auch die Menge übertragener Daten steigt. Dieser sogenannte "Overhead", enthält keine Nutzdaten (Bilder, Texte), sondern dient nur der Verschlüsselung. Früher waren Rechenleistung und Bandbreite sehr kostbar, deswegen hat man nur im Ausnahmefall verschlüsselt. Mittlerweile sind aber Rechenleistung und Bandbreite fast umsonst aber die Anzahl der Leute, die Deine Übertragung überwachen können und Böses im Schild führen hat stark zugenommen. Deswegen schlägt das Pendel immer weiter in Richtung Sicherheit aus. Ich hoffe, das war halbwegs einleuchtend. Zum Zwecke der Verdaulichkeit ziemlich vereinfacht. Und vollständig natürlich auch nicht. :) PS: Dass ich meine Meinung wegen der Umfrage vielleicht ändere, war natürlich ein Spaß. ;) PPS: Ein weiterer Nachteil für den Betreiber des Servers ist, dass die Umstellung einer relativ großen Website wie Triathlon-Szene auf HTTPS mit ziemlichem Aufwand verbunden ist, wenn nicht dauernd abschreckende Warnmeldungen im Browser kommen sollen. Deswegen kann ich sehr gut nachvollziehen, dass Arne es damit nicht wahnsinnig eilig hat. |
Zitat:
|
Zitat:
:Huhu: :Blumen: |
Zitat:
Das war der "vereinfachte" Teil. Du bist aber auch nicht das Sicherheitsrisiko bei diesem Thema. :Blumen: PS: Man verzeihe mir bitte diese Dramatisierung zum Zwecke der Veranschaulichung. ;) |
@schnodo: Wirklich vielen, vielen Dank für die Aufklärung!:Blumen:
Wenn ich das also richtig verstehe, ist das Problem einerseits, dass bei der bisherigen Version die Sicherheitslücke zu groß ist und andererseits der Aufwand die gesammelten Beiträge, Usernamen, usw. in die neue Version, sprich HTTPS, zu "verschieben" einen zu großen Aufwand darstellt? Leuchtet mir als Laie das dann so weit richtig ein? Also Schnodos vereinfachte Version nochmal "vereinfachter" wiedergegeben... |
Zitat:
Da wir schon so weit sind, will ich noch mit einflechten, was Hafu vermutlich plagt. Dazu wähle ich eine Fahrrad-Analogie, die in einem Triathlon-Forum auf nicht allzuviel Unverständnis stoßen dürfte. :Cheese: Stell Dir vor, Du kaufst ein Fahrrad. Und Du lebst in einer Welt, in der Fahrradschlösser nicht einzeln verkauft werden. Man kann sein Fahrrad also nur dann abschließen, wenn man das Schloss gleich mit dem Fahrrad gekauft hat. Es wird aber keiner gezwungen, ein Fahrrad mit Schloss zu kaufen, dann stellt man es einfach so ab und hofft auf das Beste. Arne (sorry! :Blumen:) hat einen Exklusivvertrag und ist Fahrradhändler für die Marke HTTP. Er verkauft nur Räder ohne Schloss. Schlösser werden bei ihm nicht oft nachgefragt, deswegen lohnt sich die Einrichtung eines Lagers für Schlösser nicht. Andere Fahrradhändler haben Räder der Marke HTTPS vorrätig, die immer mit Zahlenschloss ausgeliefert werden. Es sind aber nicht alle Schlösser gleich: Manche haben 3, andere 4, wieder andere 5 Stellen. Dazu gibt es noch unterschiedliche Stärken für das Stahlseil. Hafu würde nun gerne den 21. Rennboliden für die Familie erwerben. Der soll aber auch besonders diebstahlsicher abgestellt werden können. Er geht also zu einem Händler, der Räder mit 5-stelligen Schlössern mit besonders dickem Seil anbietet. Allerdings ist Hafu beruflich immer so im Stress, dass er sich nur 2 Stellen (sorry! :Blumen:) merken kann. Mit so leicht zu knackenden Schlössern werden die Geschosse aber leider nicht verkauft. Deswegen kann er das tolle Rad der Marke HTTPS nicht kaufen, geht frustriert nach Hause und ist froh, dass er überhaupt eine Zeitfahrmaschine der Marke HTTP bekommt, auch wenn er immer Angst hat, dass die geklaut wird, weil sie nicht abgeschlossen auf der Straße steht. :Lachen2: An die, denen ich gerade eben mit meinen Albernheiten die Zeit gestohlen habe: Entschuldigung! :Huhu: Die anderen haben vielleicht eine bessere Idee davon bekommen, was die verschiedenen Algorithmen (Stellenzahl) und Schlüssellängen (Seildicke) bedeuten. |
Zitat:
|
Zitat:
Es wäre aber prinzipiell aus Datenschutzsicht wünschenswert wenn die Details meiner Interaktion mit TS, inklusive der Übertragung meiner Kontodaten bei Erneuerung des Abos, nur für Arne :Blumen: und mich sichtbar blieben. :) |
Zitat:
Wenn ich recht informiert bin mit MD5. Da muss man schon einigen Aufwand betreiben. |
... oder als Provider halt den ganzen http-Verkehr seiner Kunden aufzeichnen und auswerten, da es erst nach dem Eintreffen auf dem Server gehashed wird.
|
Zitat:
|
Zitat:
|
Soviel Aufwand für ein forenpasswort?
Wozu sollte das gut sein? |
Zitat:
Das beweis' erstmal...! :Cheese: :dresche :Lachanfall: |
Zitat:
Geht mal weg von den Sicherheitsthemen: HTTPS wird von Google im Ergebnis Ranking belohnt. (Weiter oben in der Liste = mehr Besucher = mehr Klicks = mehr Werbeeinblendungen= mehr Werbeieinnahmen = mehr Geld = mehr geiles Carbonmaterial = mehr schnell = Hawaii Quali!) |
Zitat:
Im Normalfall wird der Angreifer hoffentlich nicht der Hoster sein, aber so ein Server ist schnell gehackt, wenn der Admin etwas schlampig ist. Wenn ich jetzt sage, dass ich weiß, wovon ich rede, hört sich das aber auch wieder blöd an. ;) Ich kann es natürlich nicht belegen, aber es würde mich nicht wundern, wenn z.B. 5% der Triathlon-Szene Nutzer das gleiche Login und Passwort auch bei anderen Diensten verwenden. Vielleicht sollte man da mal eine Umfrage machen. :Lachen2: |
Zitat:
|
Ist wie eine Diskussion über Powermeter, natürlich geht ein Leben auch ohne.
Es spricht aber einfach nichts (mehr) gegen Verschlüsselung (früher war das mit Last etc. vllt noch etwas anders). Und ob der Aufwand, es auf die ganze TS Plattform zu auszuweiten so groß ist, kann ich nicht einschätzen. Hier ist eine ganz gute Abhandlung darüber: https://www.keycdn.com/blog/http-to-https/ (gebe zu, die Auswahlmöglichkeiten bei der Umfrage sind etwas "übertrieben" kann sie leider nicht mehr ändern :Blumen: . A |
Zitat:
Als Paswort "test" gewählt. Übertragen wird "098f6bcd4621d373cade4e832627b4f6". Einfache google Suche nach dem Hash ergibt wieder das ursprünglich gewählte Passwort. --> Einfaches Hashen von Paswörtern ist nahezu genauso gut, wie das Passwort gleich im Klartext zu übertragen. Stichworte hierzu: Rainbow table Lösung: Salted hash. A |
Zitat:
Außerdem klappt das Client-seitige Hashen nur mit eingeschaltetem Javascript. Was aber kein wirkliches Gegenargument ist; ohne geht ja heutzutage fast gar nichts mehr. ;) |
Zitat:
Das Einrichten von https dauert je nach verwendetem Webserver/Proxy (vermutlich ist Apache oder nginx im Einsatz) doch keine halbe Stunde. Die Kosten für das Zertifikat können natürlich stark schwanken. Inzwischen ist in vielen neuen Webhosting-Paketen wenigstens ein SSL-Zertifikat mit enthalten. Gegen verschlüsselte Verbindungen spricht eigentlich nur der höhere CO2 Ausstoss :-P |
Alle Zeitangaben in WEZ +2. Es ist jetzt 00:06 Uhr. |
Powered by vBulletin Version 3.6.1 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.