fhem - Forum -> https

Prof. Dr. Peter Henning · 31 Juli 2015, 05:11:42

Leute, Leute....

Erstens kostet ein selbst ausgestelltes Zertifikat Null Euro.

Zweitens ist es ja wohl leicht daneben, diesem Forum einen "wissenschaftlichen Anstrich" geben zu wollen.

Drittens sind die zu diesem Forum (darum ja auch "Forum", es lebe die klassische Bildung...) gehörenden Daten ungefähr so geheimhaltungsbedürftig wie der Benzinpreis.

Viertens: Es steht jedem frei, seine "Zeichen" zu setzen. https für dieses Forum zu verwenden wäre aber genauso wichtig, wie mit Kreide auf die Straße vor der amerikanischen Botschaft zu schreiben "NSA is doof". Inklusive der Rechtschreibung...

LG

pah

Elektrolurch · 31 Juli 2015, 09:34:35

Zitat:
Viertens: Es steht jedem frei, seine "Zeichen" zu setzen. https für dieses Forum zu verwenden wäre aber genauso wichtig, wie mit Kreide auf die Straße vor der amerikanischen Botschaft zu schreiben "NSA is doof". Inklusive der Rechtschreibung...

Wenn dies genügend Leute tun, dann wachen vielleicht auch die Verantwortlichen auf, spätestens dann, wenn es um die Wählerstimmen geht.
Vorratsdatenspeicherung, Abschaffung des Bargeldes.... und was kommt danach?
Meiner Meinung nach ist jeder verschlüsselte Datenverkehr im Internet auch ein Zeichen, sich das nicht gefallen zu lassen. Und es poppen ja auch schon wieder Diskussionen seitens der Politik hoch, Verschlüsselung ganz zu verbieten.

Elektrolurch

marvin78 · 31 Juli 2015, 09:53:56

Warum sollte es ein "Zeichen" sein, den Datenverkehr dieses öffentlich zugänglichen Forums zu verschlüsseln? Das leuchtet mir nicht ein. Es gibt sicher Stellen an denen man Zeichen setzen kann. Das hier gehört nicht dazu und der Aufwand lohnt wenig bis garnicht.

Virsacer · 31 Juli 2015, 10:33:32

Naja, ein Zeichen ist es bei diesem Forum wohl nicht, aber wie gesagt:
Forum (Threads, Posts) öffentlich
Benutzerkomunikation (Login, URL Requests, PMs) nicht öffentlich

Aufwand? 0 € + 10 Min...

traxanos · 31 Juli 2015, 10:56:32

Weil es eben nicht nur um den öffentlichen Inhalt geht. Es gibt ja auch Zugangsdaten die übermittelt werden, auch wenn ich für jede Seite ein extra Passwort habe.

Muschelpuster · 31 Juli 2015, 11:18:24

Ein selbst signiertes Zertifikat ist unprofessionell, denn jeder Besucher, der das Zertifikat nicht in seinen Browser importiert hat, bekommt eine Warnmeldung auf eine potentiell unsichere Seite. Und um die Login_Daten zu schützen, müssten alle ihre Login-Daten ändern und auf keiner anderen Seite die nur mit http arbeitet verwenden. Und was ist mit dem Komfort des Auto-Login?
Eine Möglichkeit wäre es, nur die Login-Seite mit SSL zu versehen, aber ob das die Forensoftware hergibt...
Ich denke, als Zeichen wäre das nicht schlecht, aber den professionellen Lauschern an der Leitung zwingt das wohl nicht einmal ein müdes Lächeln ab. Zudem besteht die Gefahr, dass man die Aufmerksamkeit der Ermittler erst auf sich zieht, weil man ja scheinbar was zu verbergen hat.
Ich würde lieber die Schnüffler an Daten ersticken lassen. Wenn man jede Mail, jeden Post so mit einer Signatur versehen könnte, dass die Alarmglocken schrillen, dann wird es lustig. Aber einfach mit Stichworten wie Bombe, Dschihad o.ä. wird man das vermutlich noch nicht schaffen, da muss man sich wohl cleverer anstellen.
Ich habe übrigens nichts dagegen, wenn die deutschen Geheimdienste schnüffeln - dafür sind sie da. Aber das sollen sie gefälligst professionell machen und sich nicht erwischen lassen. Zudem müssen sie gleichzeitig die Deutschen vor den Schnüfflern aus dem Ausland schützen - egal woher die kommen und nicht diese noch bei ihrer Tätigkeit unterstützen.
Die Kosten sind übrigens u.U. nicht das Problem. Wir haben in einem anderen Forum Forensupporter, die jährlich gesucht werden und sich reichlich melden. Diese tragen die Forenkosten mit einem selbst gewählten Anteil und bekommen den Rang eines Forensupporters für das entsprechende Jahr. Darüber hinaus ergeben sich aus dem Support keine weiteren Rechte und Pflichten. Sobald die Kosten für das kommende Jahr zusammen sind, ist die Suche nach Supportern für ein Jahr beendet. Das dauert immer 1-3 Tage, dann ist die Nummer durch.

offen finanzierte Grüße
Niels

Wuppi68 · 31 Juli 2015, 11:20:12

Zitat von: Virsacer am 31 Juli 2015, 10:33:32
Naja, ein Zeichen ist es bei diesem Forum wohl nicht, aber wie gesagt:
Forum (Threads, Posts) öffentlich
Benutzerkomunikation (Login, URL Requests, PMs) nicht öffentlich

Aufwand? 0 € + 10 Min...

Naja, Aufwand 10 Minuten

Nicht wirklich
bei der Größe des Forums sollte man schon ein wenig mehr Zeit investieren und die Lösung vielleicht auch vorher testen. Und dann muss die Änderung auch so sein, dass diese Updatefest ist ....

Virsacer · 31 Juli 2015, 14:45:23

ZitatUnd was ist mit dem Komfort des Auto-Login?

Funktioniert auch über SSL

ZitatEine Möglichkeit wäre es, nur die Login-Seite mit SSL zu versehen

Welchen Sinn soll Teilverschlüsselung haben?

Dann kann mans auch ganz lassen $:-\$

ZitatIch würde lieber die Schnüffler an Daten ersticken lassen.

Die haben genug Speicherplatz

ZitatNaja, Aufwand 10 Minuten

Nicht wirklich
bei der Größe des Forums sollte man schon ein wenig mehr Zeit investieren und die Lösung vielleicht auch vorher testen. Und dann muss die Änderung auch so sein, dass diese Updatefest ist ....

Ob da nun eine statische Seite, das Forum oder eine monster Anwendung läuft ist wurscht...
Also Zertifikat auf den Server, Standard-URL in der Foren-Config auf https ändern, ein paar Zeilen in die Apache-Config einfügen und fertig

Muschelpuster · 31 Juli 2015, 15:10:38

Zitat von: Virsacer am 31 Juli 2015, 14:45:23
Funktioniert auch über SSL

Zweifelsohne funktioniert Auto-Login auch mit SSL. Aber wie? Da wird ja ein leckerer Keks auf meiner Platte abgelegt. Und wenn ich überlege, was es schon alles für Aufregung über die (Un)Sicherheit von Cookies gab... Was wollte ich also schreiben? Mit dem Wunsch nach einer konsequent sicheren Kommunikation ist diese Funktion dahin!

Zitat von: Virsacer am 31 Juli 2015, 14:45:23
Welchen Sinn soll Teilverschlüsselung haben?

Absicherung der Zugangsdaten?!

[OT]

Zitat von: Virsacer am 31 Juli 2015, 14:45:23:-\Die haben genug Speicherplatz

Jo, das stimmt, aber alles was die Schnüffelprogramme letztendlich als relevant herausfiltern wird einem Menschen vorgelegt. Und dessen Arbeitskapazität ist endlich

[/OT]

krümlige Grüße
Niels

av3nger · 31 Juli 2015, 19:30:08

Zitat von: Muschelpuster am 31 Juli 2015, 15:10:38
Zweifelsohne funktioniert Auto-Login auch mit SSL. Aber wie? Da wird ja ein leckerer Keks auf meiner Platte abgelegt. Und wenn ich überlege, was es schon alles für Aufregung über die (Un)Sicherheit von Cookies gab... Was wollte ich also schreiben? Mit dem Wunsch nach einer konsequent sicheren Kommunikation ist diese Funktion dahin!
Absicherung der Zugangsdaten?!

Die Zugangsdaten selbst stehen ja nicht im Cookie drin. Im Cookie selbst ist irgendein URL-encodiertes Objekt enthalten. Darin ist unter anderem die UserID und irgendein md5-Hash enthalten; es ist aber nicht der md5 vom Passwort. Vielleicht mit Salt? Keine Ahnung, wie die Forensoftware das standardmäßig macht. Ich bin auch nicht sicher, ob es funktionieren würde, den Cookie jetzt zu klauen und damit auf einem anderen System den Auto-Login durchzuführen. Dürfte aber ohne direkten Zugriff auf den Rechner egal sein, denn Cookies werden (wenn ich mich nicht täusche) ebenfalls verschlüsselt übertragen.

volschin · 31 Juli 2015, 19:44:52

Zitat von: Muschelpuster am 31 Juli 2015, 11:18:24Wenn man jede Mail, jeden Post so mit einer Signatur versehen könnte, dass die Alarmglocken schrillen, dann wird es lustig.

Wenn Du es lustig findest, dass dann aufgrund deiner Metadaten irgendwo eine Drohne startet, die das Problem ohne Möglichkeit einer Rechtfertigung erledigt, OK!?

Elektrolurch · 31 Juli 2015, 21:00:09

Zitat:
Zitat von: Muschelpuster am Heute um 11:18:24
Wenn man jede Mail, jeden Post so mit einer Signatur versehen könnte, dass die Alarmglocken schrillen, dann wird es lustig.
Wenn Du es lustig findest, dass dann aufgrund deiner Metadaten irgendwo eine Drohne startet, die das Problem ohne Möglichkeit einer Rechtfertigung erledigt, OK!?

Und jeder der verschlüsselt überträgt macht sich auch noch verdächtig....

Liebe Leute, wenn alle verschlüsseln, sind alle verdächtig oder in welche "fremd kontrollierte" Zukunft wollen wir steuern, in der einige wenige von "vorgeblich demmokratisch legetimierten Regierungen" Geheimdienste unser Denken beeinflussen und kontrollieren.... Das "globale Dorf" Internet wird doch gerade echt durch genau die Abhöraktivitäten und die Angst davor aufzufallen kaputt gemacht.
Alleine schon davor Angst zu haben, dass wenn man seine Datenverbindungen im Internet verwschlüsselt, sich verdächtigt macht, ist doch NUR NOCH TRAURIG!!!

Vielleicht sollte man auch die Verwendung von Briefumschläge sanktionieren und nur noch Postkarten zulassen?
Webseiten verschlüsseln ist da meiner Meinung nach einfach ein Zeichen, wikipedia macht es doch vor....

Prof. Dr. Peter Henning · 31 Juli 2015, 21:03:17

Ihr könnt diesen Unsinn natürlich machen. Ich ziehe es vor, meine Aktivitäten für ein freies und sicheres Netz dort zu entfalten, wo sie etwas bewirken.

pah

andiw · 31 Juli 2015, 21:08:41

früher oder später wird sowieso alles https sein ....

http://www.heise.de/newsticker/meldung/Mozilla-will-HTTP-ausrangieren-2631303.html

LuckyDay · 31 Juli 2015, 21:17:53

Diese scheiß Tracker gehen stören mich viel mehr

mal das heise.de als Beispiel

fhem - Forum -> https

av3nger