fhem - Forum -> https

Begonnen von Elektrolurch, 16 Juni 2015, 21:39:45

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten 1 2 3 4 Alle
Benutzer-Aktionen

Elektrolurch

#45
04 August 2015, 13:23:12
Zitat:
Ja, der Trend, alles zu Verschlüsseln, ist eindeutig. Google, Mozilla und co haben da was angestoßen :)

Die Idee dahinter ist ja:
Jede Verschlüsselung ist knackbar, aber mit Aufwand. Wenn jetzt alles verschlüsselt wird, muß der Angreifer auch alles entschlüsseln um an relevante Daten zu kommen. Da dabei eben auch die Uninteressanten ,....

Das Sicherheitsproblem ist halt nicht nur lokal als "Sicherheitskonzept für ein System" zu betrachten (old school), sondern  auch global.

Das ist genau der Grund, warum ich diesen "tret" hier aufgemacht habe. Leider gibt es aber Leute, die die Ignoranz haben, das als "Unsinn" zu bezeichnen und anders denkende somit zu beleidigen.

Das die Verwendung von Verschlüsselung einen gewissen Mehraufwand darstellt, habe ich gerade vor fünf Minuten wieder mal erfahren dürfen.
Einer unserer  Admins hatte sich gemeldet, weil ein Kundebeim Aufruf einer unserer Webseiten eine Fehlermeldung (Hinweis auf Sicherheitslücke) bekommen hatte.
Ursache war folgende Einstellung am Webserver:

    Cipher    : EDH-RSA-DES-CBC3-SHA

Der Einsatz von Verschlüsselung auf dem Webserver des Forums wird sicher auch einen erhöhten Pflegeaufwand mit sich bringen, um bekannt gewordene Sicherheitslücken zu patchen.
configDB und Windows befreite Zone!

Rince

#46
04 August 2015, 20:53:32
ZitatDas kann ich an einem einfachen Beispiel erläutern: Wer sich hier um seine Zugangsdaten Sorgen macht, tut das vermutlich nicht, weil er glaubt, jemand anders könnte in seinem Namen eine falsche Anleitung posten. Sondern weil er dieselben Daten aus purer Bequemlichkeit irgendwo anders noch einmal verwendet hat. Das aber ist heute eines der wesentlichen Sicherheitsrisiken - und das wird nicht ausgeschaltet, indem ein Portal auf https umgestellt wird.

Möchte mal Konrad Adenauer zitieren:
ZitatNehmen Sie die Menschen, wie sie sind, andere gibt's nicht.

Sicher ist https nicht die ultimative Lösung.

Nun möchte ich Laotse zitieren:
ZitatAuch der längste Marsch beginnt mit dem ersten Schritt.


Conclusio:
Sicher wäre es schlauer den Menschen beizubringen unterschiedliche Passwörter für jeden Dienst zu nutzen. Bis wir damit fertig sind, fangen wir halt mal mit https an wo es geht. :)
Wer zu meinen Posts eine Frage schreibt und auf eine Antwort wartet, ist hiermit herzlich eingeladen mich per PN darauf aufmerksam zu machen. (Bitte mit Link zum betreffenden Thread)

Prof. Dr. Peter Henning

#47
04 August 2015, 21:41:12
Der Ersteller des Threads behauptet aber, damit "globalen Trends" zu folgen und "Zeichen zu setzen". No ja, wenn eine kleine Eidechse unbedingt behaupten möchte, mütterlicherseits ein Dinosaurier zu sein - lassen  wir ihr den Spaß.

LG

pah

Elektrolurch

#48
05 August 2015, 00:03:15
Zitat:
Der Ersteller des Threads behauptet aber, damit "globalen Trends" zu folgen und "Zeichen zu setzen". No ja, wenn eine kleine Eidechse unbedingt behaupten möchte, mütterlicherseits ein Dinosaurier zu sein - lassen  wir ihr den Spaß.
(tret hatte ich geschrieben, weil pah so gerne "tret"en tut)
Lieber Prof. Dr. Peter Henning,

wenn jemand in einem Forum schon mit seinem Titel wirbt, sollte er sich auch entsprechend der akademischen Gepflogenheiten benehmen und nicht hier mit absolut unqualifizierten Beiträgen den anständigen Leuten auf die Nerven gehen.
Ich finde es nicht statthaft, dass Du, lieber Prof. Dr. Peter Henning, hier im Forum absolute Spitzenentwickler wegen Fehler im Englisch ihrer Modulbeschreibung (Multimedia) angehest, noch das Du andere Mitglieder dieses Forums in anderen Beiträgen über Dinge meinst belehren zu müssen, die a) noch nicht mal richtig von Dir dargestellt wurden b) so abgefasst waren, als wären alle anderen die Deppen (z.B. diese als "Unsinn" zu bezeichnen) und Du der einzige Held auf dieser Welt bist. Suche Dir doch bitte eine andere Plattform für Deine Selbstdarstellung.
Ich habe jetzt mal durchgeschaut, was Du so hierim Forum von Dir gegeben hast....
...meist wenig erhellend, aber immer sehr belehrend und schon im Bereich desKindergarten anzusiedelen.
Dabei hast Du mit Deinen Beiträgen viele Leute vor den Kopf geschlagen und negative Kritik geerntet. Sollte Dir das nicht mal zu denken geben?

Da dies Forum ja öffentlich ist und auch über Suchmaschinen gefunden wird, werden auch Deine Beiträge möglicherweise von Deinen Studenten, falls Du überhaupt Lehre praktizierst, gelesen.

Zitat:
wenn ein  kleiner Professor unbedingt behaupten möchte, mütterlicherseits ein großer Gelehrter zu sein - lassen  wir ihm den Spaß und ignorieren wir seine Beiträge.




configDB und Windows befreite Zone!

betateilchen

#49
14 September 2015, 12:44:24
Und immerhin haben kleine Eidechsen schon so manches große Bauprojekt in die Knie gezwungen - ganz im Gegensatz zu den Dinosaurieren...
-----------------------
Mach es möglichst simpel und mach es richtig,
dann wird es auch funktionieren.
-----------------------
Lesen gefährdet die Unwissenheit!

ritchie

#50
19 September 2015, 16:58:51 Letzte Bearbeitung: 21 September 2015, 19:37:26 von ritchie
Hallo Zusammen,

ZitatUnd ich schlage vor, keine Umfrage zu machen. Dein Vorschlag ist platziert und Punkt. Lass die Leute, die das Forum hier bereitstellen, sich in Ruhe überlegen, ob sie das wollen.
Da es sich ja hier um einen kostenlosen Dienst handelt, kann man hier nur den Betreiber einen Gedankenanstoß geben. Ich würde persönlich mindestens eine sichere Übertragung von Kennworten erwarten und das obwohl ich viele verschiedene Kennworte verwendet. Aber die Menge der erfassten Daten gibt die Möglichkeit auf andere Kennworte zu kommen. Es sei denn man verwendet einen Kennwortgeneration und hat dann ein Master-Kennwort lokal. Nur gibt man dann plötzlich einem Programm die gesamte Information über seine Zugriffsberechtigung (lohnendes Angriffsziel).

Wie man die technische Sachlage  sieht, liegt natürlich im Auge des Betrachters immer anders.

So ist z.B. die Sache mit "pah"
ZitatDa dies Forum ja öffentlich ist und auch über Suchmaschinen gefunden wird, werden auch Deine Beiträge möglicherweise von Deinen Studenten, falls Du überhaupt Lehre praktizierst, gelesen.
Hier schützt "pah" die Menge der Einträge über Ihn im Internet (aktive und bekannte Personen haben entsprechend viele Einträge, da werden Suchergebnisse des Forums wenn überhaupt auf der X ten Seite angezeigt und interessieren eigentlich niemand) vor den nicht immer ganz geglückten Einträge hier im Forum (es sind auch gute Sachbeträge vorhanden und ja ich beobachte selber die Art der Antworten). Welche Auswirkungen ein finden solcher Einträge für pah hätte, muss er selber abschätzen.

An diesem Beispiel kann man sehen, das die Menge der Daten, eine entsprechende Auswertung schwer macht, aber nicht unmöglich.

Was die Verschlüsselung angeht, würde ich aber die Kennworte  mindestens  gesichert übertragen, da diese Art der Programmierung nicht mehr "State of the Art" ist, aber leider immer noch praktiziert wird.

Viele Grüße
R.


Edit: Beispiel der Datenmenge besser verdeutlich.

IPU662  Ipfire & Fhem (Homematic + MAX) - Produktiv
Cubietruck (1Wire - USB) - Produktiv
Raspberry PI (1Wire - USB) - Testsystem
Drucken
Nach oben Seiten 1 2 3 4 Alle
Benutzer-Aktionen