PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : HTTPS Zugang



Seiten : [1] 2

cane
05.01.14, 03:43
Hi Team,

spätestens seitdem bekannt ist das sämtliche Kommunikation systematisch überwacht wird wünsche ich mir dringend das alle Foren und Kommunikationsportale die ich nutze HTTPS verwenden.

Wir erreichen mit der Verwendung von HTTPS das
nicht jeder Übertragungspunkt in deinem Internetverkehr (WLAN Access Points...) deine Identität stehlen kann und in deinem Namen aktiv werden kann (Posts, PNs)
deine Nutzernamen und Passwörter nicht abgeschöpft und weiterbenutzt werden können
deine privaten Daten, private Nachrichten, Geburtsdaten, etc. pp. nicht abschöpft werden können
die Korrelationen mit Freunden und anderen Forenmitgliedern in globale Datenbanken nicht auf dem Übertragungsweg möglich ist


Ich habe einigen anderen Foren bereits SSL Zertifikate mit meinem privaten Geld gesponsort oder die Community hat diese getragen.

--> Besteht die Bereitschaft gleiches hier zu verwirklichen um das Internet für die Nutzer ein wenig sicherer zu machen?

mfg
cane

scorpius
05.01.14, 10:40
*klick* (http://t3n.de/news/nsa-gchq-ssl-verschlusselung-prism-492991/)
Klar, der Aufwand für die Hacker wäre größer und somit teurer. Die Geheimdienste werden aber ohnehin von von uns bezahlt und diesen Mehraufwand würde der Steuerzahler dann eben auch noch aufbringen müssen. Plus die Kosten für Zertifikate die die Kosten der Geheimdienste in die Höhe treiben.
Pervers, oder?

nopes
05.01.14, 12:44
Ändert aber nichts daran, dass ein verschlüsselter Zugang wünschenswert ist, gibt ja nicht nur Dickfische die man abhalten will - müsste nach meinen dafür halten noch nicht mal ein offizielles Zertifikat sein, bin aber bereit dafür ggf. auch die ein oder andere kleine Münze einzuwerfen.

Rain_maker
05.01.14, 13:20
- müsste nach meinen dafür halten noch nicht mal ein offizielles Zertifikat sein,

Wenn man mal kurz darüber nachdenkt, dann wäre das sogar die sicherere Lösung, sofern man z.B. einen Browser verwendet, der Zertifikate "pinnen" kann.

Die Validierung, daß es sich um das "richtige" Zertifikat handelt, könnte anhand der Fingerprints die Community dieses Forums übernehmen, die dann an möglichst verschiedenen Orten den Fingerprint zusätzlich bekannt machen.

Ja, das wäre "unbequemer" als ein fertiges Zertifikat von $"VERTRAUENSWÜRDIGER"(hüstel)_STELLE, aber es wäre sicherer als irgendwelchen CAs zu trauen, was -nicht erst seit Mitte letzten Jahres- bekannt sein dürfte.

Greetz,

RM

Newbie314
05.01.14, 17:39
Bin dabei. Die Zertifikate machen es den Geheimdiensten schwerer ihr Ziel "alles abzuscannen" zeitnah zu erreichen. Ich sehe das als passiven Widerstand bis die Demokratie "erwacht"und die Geheimdienste einer wirksamen demokratischen Kontrolle unterworfen werden.

Bei einem Linuxforum sehe ich die Chance ein Zertifikat ohne CA zu verwenden, bei "Feld-Wald-und Wiesenforen" eher nicht da Laien von der Warnmeldung wohl abgeschreckt würden.

Wäre noch die Frage an Netzmeister ob seine Hardware die Zusatzlast überhaupt verträgt- wenn ich mich richtig erinnere war das doch ein Hauptgrund warum so viele Websites "offen" sind...

cane
05.01.14, 17:44
Naja, an den paar Euro für ein wirkliches Zertifikat wird es nicht scheitern.

Eins dessen CA nicht im Browser bekannt ist ist denke ich schon zu abschreckend für neue Nutzer.

mfg
cane

Rain_maker
05.01.14, 20:06
Naja, an den paar Euro für ein wirkliches Zertifikat wird es nicht scheitern.

Darum geht es nicht.



Eins dessen CA nicht im Browser bekannt ist ist denke ich schon zu abschreckend für neue Nutzer.

Darauf würde es ich einfach mal ankommen lassen, wenn es in solch einem Forum nicht funktionieren kann, wo dann?

Und dann wäre da noch als brauchbare Alternative CAcert (http://www.cacert.org/),

Nur zur Verdeutlichung, der Löwenanteil bei wirklich dramatischen Problemen mit SSL/TLS lag in den letzten Jahren auf Seite der "vertrauenswürdigen" Stellen, die es teilweise auf erschreckend dilettantische Art und Weise (Diginotar anyone?) so verkackt haben, daß $DRITTER den Usern gefälschte Zertifikate mit "echter" Signatur der "vertrauenswürdigen" Stelle unterjubeln konnte.

Das hat im Zweifelsfall Leuten die Freiheit oder sogar das Leben gekostet (Iran/Syrien anyone?).

Auch wenn ich hier in Deutschland (zumindest noch) keine solch dramatischen Folgen befürchte, wieso sollte man solchen (häufig sogar staatlichen) Vollversagern auch nur einen Cent in den Rachen werfen für eine trügerische Sicherheit?

Dann lieber das Geld in die Infrastruktur des Forums investieren und ein Zertifikat eines nicht-kommerziellen Anbieters oder eben ein BayernMünchen-Zertifikat (=selbstsigniert, aka "Mia san mia!") nutzen.

Greetz,

RM

nopes
05.01.14, 20:56
...Darauf würde es ich einfach mal ankommen lassen, wenn es in solch einem Forum nicht funktionieren kann, wo dann?...so ist es und ein paar Plätze zum checken sollten sich ja wohl auftreiben lassen.

DrunkenFreak
05.01.14, 21:44
Darauf würde es ich einfach mal ankommen lassen, wenn es in solch einem Forum nicht funktionieren kann, wo dann?


Seh ich genauso. Abgesehen davon klicken 99% die Warnung sofort weg ohne sich darüber Gedanken zu machen, was der Fehler dahinter sein könnte.

Ich sehe allerdings kaum einen Vorteil für Verschlüsselung, außer bei der Anmeldung, für ein öffentliches Forum. Dass hier keine hochwichtigen Details ausgetauscht werden, weil es jeder sehen kann, dürfte weitläufig bekannt sein. Genauso wenig kann ich mir einen Reim daraus machen, was irgendjemand mit meinem unprivilegiertem Account hier will. Mehr als Spammen kann er eh nicht damit. Anders mag das bei Moderatoren sein, aber das ist nicht meine Sache. Die werden wohl wissen, wie sie mit ihrem Account umzugehen haben. Daher ist mein Standpunkt dazu neutral bzw. ich wäre nicht bereit dafür irgendwas zu geben. Ich kann gut ohne leben.

scorpius
05.01.14, 23:22
Naja, an den paar Euro für ein wirkliches Zertifikat wird es nicht scheitern.
[...]


Um welche Summe geht es da eigentlich?

nopes
06.01.14, 01:06
Nichts (http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html)*) bzw. ab ca. 15€ pro Jahr.

*) ist so eine Sache, siehe hier (https://www.startssl.com/?app=25#2)

[EDIT]Nachtrag: Die bedenken können hier weitestgehend ausgeräumt werden, wie beschrieben kann man ja seinen eigenen Schlüssel liefern.

TheDarkRose
06.01.14, 17:02
Ich sehe allerdings kaum einen Vorteil für Verschlüsselung, außer bei der Anmeldung, für ein öffentliches Forum. Dass hier keine hochwichtigen Details ausgetauscht werden, weil es jeder sehen kann, dürfte weitläufig bekannt sein. Genauso wenig kann ich mir einen Reim daraus machen, was irgendjemand mit meinem unprivilegiertem Account hier will. Mehr als Spammen kann er eh nicht damit. Anders mag das bei Moderatoren sein, aber das ist nicht meine Sache. Die werden wohl wissen, wie sie mit ihrem Account umzugehen haben. Daher ist mein Standpunkt dazu neutral bzw. ich wäre nicht bereit dafür irgendwas zu geben. Ich kann gut ohne leben.

Verschlüsselung ist immer wünschenswert! Egal ob brisante Daten übertragen werden oder nicht. Btw. sollte man halt auf ordentliche Algos setzen und nicht RC4, dann sollten sich aus NSA und Co. schwer tun. https://bettercrypto.org/static/applied-crypto-hardening.pdf

DrunkenFreak
06.01.14, 17:29
Meine Beiträge stehen hier öffentlich drin und jeder kann sie lesen. Mein Cookie wird vermutlich nicht sonderlich interessant. Mehr als Spam kann über meinen Account nicht kommen. Bleibt noch das Passwort für die Anmeldung. Wie jedem bekannt sein sollte, nutzt man Passwörter nur einmalig für Anmeldungen. Jetzt ergibt sich mir irgendwie nicht so ganz der Sinn, warum lf.de auch eine Verschlüsselung erhalten soll. Nur weil es jeder macht?

Was ist denn jetzt noch ein realistisches Szenario für den normalen Benutzer, dass die Übertragung unbedingt verschlüsselt sein muss?

nopes
06.01.14, 20:12
Hast schon irgendwie recht, auf der anderen Seite bist du aber auch für deine Beiträge verantwortlich bzw. kannst dafür verantwortlich gemacht werden - stell dir mal vor FB oder G+ wären unverschlüsselt. Daher finde ich es inzwischen eher obligatorisch (erst recht, wenn ich mal so drüber nachdenke, was sich die Leute anhören dürfen, die Sachen in der Art wie: "Ich habe mir gerade nen VServer gemietet, weiss aber nicht, wie man den Apache konfiguriert" fragen).

Und der unverschlüsselte Zugang, müsste ja nicht zwingend abgeschaltet werden.

DrunkenFreak
06.01.14, 20:19
Rechtlich gesehen müßte doch eher der Betreiber dafür verantwortlich sein bzw. im Falle eines Falles meine Daten rausgeben. Da der Betreiber nur eine E-Mail und eine IP von mir hat, wird es vermutlich schnell passieren, dass ein Betrug auffliegt.

nopes
06.01.14, 20:26
Ist das so? Ich denke man hätte reale Chancen, aber eben auch den Ärger...

Ist ja auch nicht entscheidend. Das Einrichten sollte doch kein großes Ding sein, die zusätzliche Last für den Server sollte auch nicht dramatisch sein. Das unterstellt, spricht doch nur noch "Faulheit" dagegen (was ich hier niemanden unterstellen will!!!) und das ist doch kein Argument ;)

DrunkenFreak
06.01.14, 20:33
Gab doch vor ein paar Jahren dieses Problem, dass der Forenbetreiber in erster Linie dafür verantwortlich ist, was in seinem Forum steht. Ein paar Foren haben daraufhin ihren Dienst eingestellt. Wie es heute ist, weiß ich allerdings nicht.

Unumstritten dürfte aber sein, dass meine bekannten Daten herausgegeben werden, wenn irgendwas mit meinem Account passiert. Das wäre dann Pech.

TheDarkRose
06.01.14, 22:11
Ich bin trotzdem dafür generell zu verschlüsseln. Die Serverlast dürfte nicht das Problem sein, wenn man auch noch http zulässt. Bin Prinzipbedingt dafür bei so vielen Verbindungen wie möglich es den Nachrichtendiensten schwerer zu machen. Wenn keiner verschlüsselt lachen die sich natürlich ins Fäustchen. Auch wenn es auf lf.de nur um Logindaten geht..

Perfect Forward Secrecy sollte dann natürlich Pflicht sein.

pibi
06.01.14, 22:22
Und ich haue in die Kerbe von DrunkenFreak;-) Ausser meinen Logindaten ist alles oeffentlich, was ich hier schreibe. Meine Beitraege enthalten kein subversives Gedankengut, enthalten keinerlei bahnbrechende Geheimnisse und interessieren die Geheimdienste einen feuchten Dreck. Wozu soll man das verschluesseln? Aus Prinzip? Weil es "modern" ist? Ich sehe das eher als "Spielerei" denn als Notwendigkeit.

Gruss Pit.

ThorstenHirsch
06.01.14, 23:00
Wozu soll man das verschluesseln?
Damit mehr Verschlüsseltes übertragen wird. Wenn du dann nämlich wirklich mal etwas wichtiges (nicht hier, sondern generell) per Internet übertragen willst, ist das um so sicherer, je mehr Verschlüsseltes übertragen wird.

Also bei mir sieht's wie folgt aus:

[ X ] SSL
[ X ] richtiges Zertifikat, das keine Warnung im Browser erzeugt*

Ich würde mich mit 10 Euro beteiligen.

* = Klar wäre für _uns_ auch ein unsigniertes ausreichend, aber wir sind hier nicht unter uns. Wir sind im Internet. Hier kommen ständig neue Leute vorbei. Und das erste, was die sehen sollen ist "diese Seite ist nicht sicher" - WTF? Und das bei einem "Experten"-Forum??? Das wäre eine riesen Lachnummer. Da können sich die CAs auch noch so dumm und unsicher anstellen, finde ich vollkommen egal, hier muss man einfach an den ersten Eindruck beim user denken. Und dem ist es egal ob die CAs Mist bauen oder nicht. Der sieht nur die Warnung "diese Seite ist nicht sicher". Das geht IMHO gar nicht.

nopes
06.01.14, 23:16
...WTF? Und das bei einem "Experten"-Forum??? Das wäre eine riesen Lachnummer...
Nicht so eine, wie ganz ohne :o

ThorstenHirsch
06.01.14, 23:27
In gewisser Weise doch! Genau das ist ja mein Punkt! Ganz ohne HTTPS gibt's keine Warnung. Und wenn man davon absieht, dass die Warnung bedeutet "jetzt ist's verschlüsselt" (was vielleicht so sein mag, aber das wird bei der Warnung so nicht gesagt), kann man die Sache auch so sehen: keine Warnung ist besser als eine Warnung.

Newbie314
06.01.14, 23:48
Ich schließe mich da ThorstenHirsch an, je mehr verschlüsselt übertragen wird, desto schneller laufen in Langley die Festplatten über.

Bis die Mehrzahl der "Normalbürger" begriffen hat was hier gespielt wird und das Ganze auf dem politischen Weg abstellt sollten wir so viele Knüppel wie möglich zwischen die Beine der Schnüffler werfen. Langfristig werden die einige davon aushebeln, aber kurzfristig erhöht das bei denen die Kosten. Und das sehe ich zur Zeit als Bürgepflicht.

Mit der Browserwarnung hat ThorstenHirsch leider auch Recht, die ersten Male bei denen ich auf unzertifizierte Zertifikate gestpßen bin habe ich auch dumm geguckt...

naraesk
07.01.14, 00:05
Noch ein weiterer Aspekt, der für die Verschlüsselung spricht: Auch bei einer Seite, die öffentlich einsehbar ist, kann bereits die Information, dass ich mir diese Seite anschaue, schützenswert sein.

Das derzeitige Verhalten der Browser mit eigenen Zertifikaten finde ich aus mehreren Gründen nicht gerade optimal, aber man muss halt damit leben.

Newbie314
07.01.14, 00:16
Habe ich was verpasst ? Auch unter ssl sieht ein Beobachter doch dass du auf Linuxforen unterwegs bist.. er sieht nur nicht was du tust / welche Threads du dir ansiehst.... oder habe ich da was verpasst ?

Jedenfalls hätte SSL neben den Nachteilen auch den Vorteil dass man dann jederzeit von einem öffentlichen Hotspot (Hotel, Cafe etc.) aus direkt in Linuxforen einloggen kann ohne mit VPNs zu arbeiten.

naraesk
07.01.14, 00:18
Ja, genauso wie du schreibst meinte ich es auch. "Seite" im Sinne einer konkreten html-Datei.

scorpius
08.01.14, 14:49
[...]

Ich würde mich mit 10 Euro beteiligen.
[...]

Ja, lasst uns den Schnüfflern die Arbeit schwer und teuer machen. Auch wenn das LF nur ein Tropfen auf dem heißen Stein ist.

Aber, da wir schon mal beim Thema Anonymität und Sicherheit im Internet sind: Ich fände es gut, wenn die Betreiber dafür (für https und auch generell zur Finanzierung des Forums) anonyme Zahlungen, etwa per paysafecard akzeptieren würden.

Wer möchte schon, dass seine Bankdaten bei so einem unverschämt, subversiven Forum bekannt sind? ;)
Ernsthaft: Wenn schon sicher und anonym, dann so gut wie möglich.

Rain_maker
08.01.14, 15:02
Also bei mir sieht's wie folgt aus:

[ X ] SSL

Dito


[ X ] richtiges Zertifikat, das keine Warnung im Browser erzeugt*

Nö, warum, habe ich schon geschrieben, von mir aus CAcert, aber nun gut.



* = Klar wäre für _uns_ auch ein unsigniertes ausreichend, aber wir sind hier nicht unter uns. Wir sind im Internet. Hier kommen ständig neue Leute vorbei. Und das erste, was die sehen sollen ist "diese Seite ist nicht sicher" - WTF? Und das bei einem "Experten"-Forum??? Das wäre eine riesen Lachnummer. Da können sich die CAs auch noch so dumm und unsicher anstellen, finde ich vollkommen egal, hier muss man einfach an den ersten Eindruck beim user denken. Und dem ist es egal ob die CAs Mist bauen oder nicht. Der sieht nur die Warnung "diese Seite ist nicht sicher". Das geht IMHO gar nicht.

Zwei Gegenargumente:

1) Deine Zielgruppe, die "WTF" denkt, kommt mit an Sicherheit grenzender Wahrscheinlichkeit nicht über SSL auf die Seite

2) Wenn für Dieter Dummchen eine Seite als Expertenseite gilt, dann doch wohl die des CCC (und zwar zu Recht, nicht, daß das hier falsch verstanden wird) und da war zumindest noch bis vor kurzem auch ein selbst signiertes Zertifikat am Start, Stand heute ist es eines von CAcert.

Wenn man dann noch eine Weiterleitung einbauen würde, die dem Nutzer kurz erklärt, warum die meisten CAs Dreck sind, dann könnte man sogar einen positiven Effekt erreichen.

Wie gesagt, das würde dann nur für die wenigen "Normaluser" gelten, die überhaupt per SSL auf die Seite kommen, der Löwenanteil wird weiterhin http://linuxforen.de nutzen.

Greetz,

RM

ThorstenHirsch
08.01.14, 15:19
Sobald wir uns die Frage stellen, ob wir SSL-only fahren und von http einen redirect auf https machen (was meiner Meinung nach letztlich das Ziel sein muss), kommt aber auch der Löwenanteil mit unserem Zertifikat in Berührung.

marce
08.01.14, 15:24
mal 'ne doofe, andere Frage: Untestützt VB überhaupt paralleles Nutzen von http und https ohne daß bei jedem 2. Click eine andere Warnung ("auf der Seite befinden sich unsichere Elemente") oder munteres hin- und hergewechsel zwischen http und https stattfindet? Auch heute ist noch nicht jede (und leider auch erst recht nicht jede proefessionelle) Software auf slche Dinge eingestellt...

... ansonsten - wenn dann bitte gleich rein https und man muss sich keine Gedanken mehr machen. Die Umleitung von http auf https ist an sich ja nicht das Problem - und wenn man es nicht grottenfalsch macht bleiben auch alle Google-Rankings und Artverwandte dabei erhalten...

Was die Serverlast angeht - ob das Ärger gibt hängt davon ab, wie "am Limit" die Kiste denn schon läuft und wie viele parallele Requests da so rein kommen, das weiß Netzmeister vermutlich besser wie wir, da brauchen wir also nicht spekulieren.