triathlon-szene.de jetzt verschlüsselt!
 

Unsere feine Webseite ist seit ein paar Tagen verschlüsselt. Juhu!

Wer möchte, kann seine Bookmarks entsprechend ändern: Aus http wird https. Wer dazu zu faul ist, braucht nichts zu ändern, weil jeder Klick auf der Webseite automatisch zur verschlüsselten Version führt. Ein kleines Schloss-Symbol in der Adressleiste des Browsers zeigt an, dass man sich auf der verschlüsselten Webseite befindet.

Der TV-Bereich war schon immer verschlüsselt, was die Eingabe von Passwörtern oder Bankdaten anging. Aber nun ist auch die Startseite und das Forum und überhaupt alles verschlüsselt. Sogar die Verschlüsselung ist verschlüsselt.

Triathlon-Szene.de ist damit nicht nur eine der ersten Websites weltweit, die diese aufregende Technologie verwenden. Sondern wir haben diese Technologie sogar erfunden. Das ist schon lange her. Es war wohl kurz nachdem wir das Internet erfunden hatten. Die Sache geriet dann in Vergessenheit.

Eine weitere Neuerung: Die komplette Webseite ist nun in Farbe, auch auf älteren Geräten. (Ebenfalls eine Erfindung von uns.)

Gibt es irgendwelche Bugs? Das ist möglich. Wenn Ihr ein Forums-Posting lest, das Euch völlig nebulös und unsinnig vorkommt, ist es vielleicht verschlüsselt. Dann hilft eventuell ein Reload der Webseite. Wenn es danach noch immer unsinnig ist... naja, dann stammt das Posting vielleicht von mir. Falls alles nichts hilft, freue ich mich über sachdienliche Hinweise.

uuw++23ie87238&%677632/&764552

(Das bedeutet unverschlüsselt: Viel Spaß weiterhin!)

Herrje, hoffentlich kriegt Al Gore, der echte Schöpfer des Internet, das nicht mit! :Cheese:

Ansonsten herzlichen Glückwunsch zu den tollen technischen Leistungen und besonders dazu, dass triathlon-szene.de nun endlich verschlüsselt ist! :Blumen:

Jetzt bleibt nur noch, alles so zu pimpen, dass der SSL-Labs-Report nicht mit F sondern A+ durchläuft, damit die Domain statt unter "recent worst" unter "recent best" gelistet wird. :)

Und eine Handyversion ist noch offen. Aber das Jahr 2030 haben wir ja noch nicht mit dieser Weltneuheit erreicht :Lachen2:

cool danke :Blumen:

:Blumen: Sehr gut! (war auch höchste Zeit)

Ich kenne mich da zwar nicht aus, aber verschlüsselt klingt doch immer gut :Lachen2:

Fiel mir die letzten Tage auf, dass wir jetzt eine https-Verbindung zum Webserver haben. Prima. Ist das Zertifikat mit Kosten verbunden?

Ja, es ist ein kommerzielles Zertifikat, kein selbst-signiertes. Unsere Identität wurde dafür überprüft. Ich kann also mit Sicherheit sagen, dass wir wir sind.

Alle vier Bereiche (Home, Mediathek, Live-TV, Forum) nehmen daran teil und haben entsprechende Zertifikate.

Die alte Domain x-athlon.de nimmt daran nicht teil, diese sollte automatisch umleiten zu www.triathlon-szene.de. Wer noch eine x-athlon-Domain in seinen Bookmarks hat, sollte diese ändern.

Denkt mal darüber nach, ein kostenloses von Let's Encrypt zu nehmen. Funktioniert einwandfrei.

Danke für die Erläuterung.

Eventuell steht es mit den Umstellungsarbeiten in Zusammenhang ...

"Wer ist online" führt seit ein paar Tagen unter "Ort" nahezu ausschließlich "Betrachtet die Startseite".
Da muß was faul sein ... :8/

Und was ist dadurch besser für den einzelnen User?

@Flow
Danke für den Hinweis, ich werde der Sache mal nachgehen.

Manche Browser, Virenscanner oder auch Firmennetzwerke zicken rum wenn man nicht zertifizierte Websites anwählt (nicht dass jemand in der Firma auf triathlon-szene geht nein :Cheese: )

Wie gesagt es ist sicher, dass du auch wirklich bei der Website bist und nicht auf einer gefälschten, kopierten Seite.

Wobei der Schaden hier für den User eher klein wäre.

Prima.

Falls du im Arbeitsfluß noch etwas Zeit für Kosmetik hast :
"Wer hat geschrieben" finde ich recht unhandlich formatiert.
Es geht in einem kleinen, prinzipiell wohl ausreichenden Fenster auf. Die Tabelle ist aber, wohl auf Grund der darüberliegenden (und an dieser Stelle eigentlich unnötigen) Menü-Leiste und des Banners sehr breit, so daß man das Fenster auch immer erst sehr breit ziehen muß, um "alles" sehen zu können.

Grüße ... :Huhu:

Das kommt auf den Benutzer an. Grob gesagt: Wenn es jemandem nichts ausmacht, dass seine Post zuerst vom Nachbarn gelesen wird oder man vertrauliche Dokumente auch mal vor der Haustür liegen lässt, dann wird man der Verschlüsselung nichts abgewinnen können. Wenn man jedoch der Meinung ist, dass Privates am besten privat bleibt und derjenige, der darauf Zugriff haben möchte, vorher fragen sollte, dann mag man Verschlüsselung. :)

Im Thread https für triathlon-szene wurden etliche Argumente für und wider den Einsatz von HTTPS ausgetauscht, falls es Dich interessiert.

Nun ja. Ich würde mal damit anfangen, keine "vertrauliche Dokumente" in einem öffentlichen Forum zu posten, Verschlüsselung hin oder her.

Der Gewinn für das Forum ist relativ gering. Dies ist jedoch eine Formulierung, die zu einer endlosen Debatte mit Nerds führen wird, deswegen distanziere ich mich ausdrücklich und empört davon!

Der größte Nutzen besteht vermutlich darin, dass bei der Eingabe des Forums-Passworts ein sicherer "Tunnel" zwischen Deinem Browser und der Website eingerichtet wird, in den keiner hineinblicken kann. Bisher wäre es mit einem gewissen Aufwand möglich, dass jemand in die Leitung hineinhorcht und dieses Forums-Passwort mitbekommt.

Die Frage ist, wie gefährlich das wäre? Für die Postings wäre es nicht gefährlich. Erstens sind sie ohnehin öffentlich, zweitens wäre ein Missbrauch auch schnell entdeckt und beseitigt.

Aber beispielsweise könntest Du bei Amazon die exakt gleiche Kombination aus Username/Passwort verwenden, und dann könnte sich ein Angreifer damit bei Amazon einloggen. Es gibt also ein gewisses Gefahrenpotential. Aber z.B. Online-Banking ist in aller Regel wiederum anders gesichert, und das bedeutet, dass ein Angreifer mit diesen Daten beim Online-Banking nichts anfangen könnte. Kurz: Es gibt ein gewisses Gefahrenpotential, dieses ist aber begrenzt.

Im TV-Bereich bei Triathlon-Szene wurden vom ersten Tag an alle Account-Daten verschlüsselt übertragen. Dies ist auch eine Erfordernis der Banken, mit denen wir ja kommunizieren müssen, wenn wir z.B. ein Abo abrechnen möchten. Es ist Vorschrift. Diese Verschlüsselung der Zahlungsdaten läuft nochmal über ein anderes Zertifikat und eine andere Infrastruktur, über die ich jedoch keine Auskunft gebe. Es handelt sich um das "Neueste vom Neuesten", sozusagen A+.

Es gibt viele Missverständnisse bei Verschlüsselung, beispielsweise ob die Daten oder nur der Transportweg verschlüsselt sind und wer die Schlüssel besitzt. Letztlich muss man dem Betreiber der Webseite vertrauen. Als Programmierer kann ich alle Beschränkungen umgehen. Daraus folgt: Auch eine per Zertifikat gesicherte Webseite kann Dich beklauen, denn letztlich kann sich jeder ein Zertifikat besorgen. Für mich wäre es kein Problem, Eure gesamten Daten und jeden Klick umzuleiten auf einen Server in Honolulu, ohne dass es jemand merken würde. Programmierer können sowas.

Eine gute Analogie ist Eure Bank/Sparkasse. Auch wenn die Daten super gesichert sind, kann die Bank dennoch alle Eure Transaktionen sehen. Vielleicht kommen Hacker von außen nur schwer heran, aber ein Mitarbeiter der Bank könnte die Daten veruntreuen. Letzten Endes kommt man ohne Vertrauen nicht aus.

Ah cool, mein Nachbar kann meine Posts hier nun nicht (mehr) lesen?
Das ist ein echter Gewinn, denn das geht den ja mal absolut nix an und ich hatte schon ewig den Verdacht, dass er hier mitliest!
Ein Hoch auf die Verschlüsselung!

Danke, Jörn, für die viele Mühe und Arbeit über die Weihnachtstage!
:Blumen:

doch, kann er noch. Teste mal selber ohne Anmeldung...:Huhu: :Blumen:

Ich hab' aber vorhin mit dem Nachbarn telefoniert, und er meinte, er verrät es keinem.

:Cheese: :Cheese:

Danke Jörn für die gute Arbeit!

Ich stehe auf dem Standpunkt, dass meine Interaktion mit der Forumssoftware vertraulich ist. Wenn die Administratoren in den Logs Kenntnis davon erlangen können, welchen Post-Entwurf ich wie oft und in welcher Art überarbeitet und geändert habe, um ihn dann letztendlich zu löschen, oder welche persönlichen Nachrichten ich erhalten und verschickt habe, ist das okay, weil ich bewusst darüber entschieden habe, Euch als Betreibern der Seite zu vertrauen. Ich möchte aber nicht, dass jeder, der auf dem Übertragungsweg sitzt, diese Information auch hat. Deswegen bevorzuge ich eine verschlüsselte Übertragung.

Du weißst schon, dass die Post, die ich als vergleichendes Beispiel verwendet habe, nicht im Internet stattfindet? ;)

Dein Nachbar, wenn er clever ist, wird natürlich den Unfug ignorieren, den Du hier verzapfst. :Cheese:

Also nochmal: Ich bekomme z.B. ärztliche Befunde lieber im Brief als auf einer Postkarte. Manchen Leuten ist es egal ob der Postbote mitlesen kann und das Schloss am Briefkasten ist kaputt. Und so ist es mit der Verschlüsselung, die eine minimale Sicherheitsmaßnahme ist, ähnlich einem Briefkastenschloss oder einem Briefumschlag. Manche kümmert es, andere nicht.

Ah geh...!?

Ich möchte mal kurz was posten, was mir seit der HTTPS Umstellung aufgefallen ist (danke nochmal dafür!):

Ich habe folgende URL gebookmarkt: triathlon-szene.de/forum/search.php?do=getdaily

Wenn ich diese URL aufrufe, dann kommt automatisch die Meldung bzgl. des 15 Sekunden-Limits bei der erneuerten Suche, sprich im Hintergrund führt er wohl zwei Mal eine Suche aus. Meine Vermutung, dass es am HTTP zu HTTPS Redirect liegt, ließe sich leider nicht bestätigen, bei folgender URL passiert das gleiche:

https://www.triathlon-szene.de/forum...hp?do=getdaily

Browser ist übrigens Chrome :-)

Ich bekomme hier auf der Arbeit mit IE11 einen Zertifikatfehler.

Welche URL rufst Du dabei auf?
:8/

Das liegt an der Arbeit... :Blumen:

vielen Dank für das Update!

ein Hinweis:

xathlon.de geht nicht mehr, :(

(Cert.-Fehler, resp. linked zu MacTV :))

m.

Ist bei mir genauso.

Kann mir die Seite seit der Umstellung auch nicht mehr auf der Arbeit aufrufen.

...naja, wird dann wohl jetzt genauso für mich gesperrt sein wie facebook, ebay und Co :)

https://www.triathlon-szene.de/index.php

Ich kann aber dann trotzdem die Seite ganz normal sehen und auch nutzen.

Hoppla, ich wusste gar nicht, dass diese alte Domain noch existiert. Ok, ich habe nun eine Umleitung eingerichtet.

Allerdings sollten trotzdem alle, die noch solche alten Bookmarks verwenden, diese aktualisieren (macht ja keine Arbeit). Denn wir werden dieses Jahr noch einige Server-Umstellungen machen müssen, und ich glaube nicht, dass wir diese alten Sachen noch mitführen werden; jedenfalls gebe ich darauf keine Garantie.

Viel zu pimpem gibt es da nicht mehr. Das System gehört ins Museum und gehört von Grund auf neu aufgesetzt.
Auf dem Server läuft
als Webserver-Dienst: Apache 1.3 (letztes Update 2010!)
mit PHP4 (Support und Entwicklung wurden 2008 eingestellt).

Das Ganze (laut nmap-Trace) auf Mac OSX 10.4. Für die, die es nicht so mit Macs haben: Dieses OS kam 2005 auf den Markt. Inzwischen sind wir bei 10.14.

Ich administriere selbst Server und sehe mich ständig mit Attacken konfrontiert von Servern, die entweder gar nicht oder nur unzureichend gewartet werden. Naja, üblicherweise passiert da nur was, wenn man die Anbieter, bei denen die Server stehen, direkt kontaktiert. Insofern wundert es mich auch nicht, dass Arne auf meine private Mail, die ich vor ein paar Tagen in dieser Sache geschrieben habe, nicht mal reagiert hat.

Also wir reden hier nicht nur von quasi nicht vorhandener Verschlüsselung (FF warnt zB davor, dass die verwendeten Algorithmen schlecht sind), sondern auch davon, dass der Webdienst (und nicht zuletzt auch das Betriebssystem) vermutlich so alle Sicherheitslücken der letzten zehn bis 15 Jahren aufweist.

Immerhin scheint vBulletin aktuell zu sein...

Und Du glaubst, dass Du Arne/Jörn irgendwas geschrieben hast, was er nicht vorher schon wusste?

Also wenn ich sehe, dass eine Verschlüsselung, die den Namen quasi nicht verdient, in 2019 als Errungenschaft gefeiert wird, dann bin ich geneigt sowas zu glauben. So bitter es auch ist.

Versteht mich nicht falsch: Ich freue mich, dass es dieses Forum gibt und man sich hier austauschen kann. Ich verstehe allerdings nicht, wie man so fahrlässig mit dem Thema Sicherheit umgehen kann.

Chrome lässt mich das Forum nicht mehr öffnen, wegen Sicherheitsbedenken.

Ich habe es gerade mit Chrome überprüft: Das Forum lädt bei mir problemlos und meldet: "Verbindung ist sicher".
:Blumen:

Update ist in Planung: https://www.triathlon-szene.de/forum...69&postcount=3
:cool:

Neben den Sicherheitsthemen würde uns so ein update auch ins mobile Zeitalter werfen.

SSLtest (wurde ja schon gepostet) zeigt halt, wie sicher "sicher" so ist...
https://www.ssllabs.com/ssltest/anal...thlon-szene.de

Das Einzige, was dort grün ist: Das Zertifikat ist gültig. Immerhin. Es könnte auch von einer unbekannten CA sein (zB selbst signiert) und/oder abgelaufen.

Wie auch immer: Techniker ist informiert
https://www.buzzfeed.com/de/sebastia...ist-informiert