fhem - Forum -> https

[Elektrolurch]

Hallo pah,

was "pah" bedeutet, hat ja schon jemand hier im Forum bei wikipedia nachgeschlagen....
Leider scheint mein "englich" zu schlecht zu sein, so dass ich Deinen "tred" nicht verstehe:

Zitat:
Ihr könnt diesen Unsinn natürlich machen. Ich ziehe es vor, meine Aktivitäten für ein freies und sicheres Netz dort zu entfalten, wo sie etwas bewirken.

Wenn Du schon so überschlaue Sachen schreibst, könntest Du uns dann bitte auch an Deinem Wissen teilhaben lassen?
Handelt es sich dabei um ein "pah-extra-net"?

Mit dieser Aussage diskreditierst Du alle, die ihre Webseiten in den letzten Monaten auf Verschlüsselung umgestellt haben. Die scheinen alle auf der Autobahn auf der falschen Spur zu fahren, wenn man den Unsinn von Dir hier liest.

Verehrter Professor Peter Henning: Wenn Du etwas besser weiß, dann denke bitte daran, das ein Forum nicht zur Selbstdarstellung dient, sondern um Wissen zu teilen. Leider sind viele viele Beiträge von Dir hier aber eher in der Richtung: Ich weiß es besser, sag es aber nicht, aber die anderen sind die Deppen.
Ich werde daher zukünftig Deine Beiträge nicht mehr lesen, da bislang meist wenig hilfreich.

Zurück zum Thema:
Richtig trifftige Gründe das Forum über https zukünftig nicht anzubieten, habe ich bisher hier nicht gelesen, bis auf den möglichen Aufwand.
Schlage daher eine Umfrage vor.

Elektrolurch

[volschin]

Und ich schlage vor, keine Umfrage zu machen. Dein Vorschlag ist platziert und Punkt. Lass die Leute, die das Forum hier bereitstellen, sich in Ruhe überlegen, ob sie das wollen.

Ich sage an dieser Stelle mal ganz herzlichen Dank, was ihr als Betreiber an Zeit und Ressourcen investiert, um uns diesen Service bereitzustellen. Danke!

[Prof. Dr. Peter Henning]

Inkompetente Leute zeichnen sich dadurch aus, dass sie nicht über eine Sache diskutieren können - sondern als letzten Ausweg immer persönlich werden müssen.

LG vom Seeufer

pah

[Elektrolurch]

Zitat Beitrag 27
Ihr könnt diesen Unsinn natürlich machen. Ich ziehe es vor, meine Aktivitäten für ein freies und sicheres Netz dort zu entfalten, wo sie etwas bewirken.

Inkompetente Leute zeichnen sich dadurch aus, dass sie nicht über eine Sache diskutieren können - sondern als letzten Ausweg immer persönlich werden müssen.

Schön, vielleicht führt ja Selbsterkenntnis mal auch zur Besserung und jetzt ist Schluß mit dem Kindergarten.

[AitschPi]

Ich bin mir nicht sicher, wieviele von den hier SSL befürwortenden tatsächlich mit Webhosting zu tun haben. Das Zertifikat ist die geringste Hürde, aber dann folgen (mehr als 10min) Einrichtung, Wartung, zusätzliche technische Hürden wie einzelne IP pro Zertifikat, mehr Power bei vielen Zugriffen, mehr Aufwand bei der Fehlersuche,... So schön das für einige Sachen wie Webmailer oder so ist, hier halte ich es für vertretbar, wenn derjenige, der seine Kraft und Geld reinsteckt, das für sinnvoll erachtet.
Und noch 2 Argumente dagegen:
1. Von nicht jedem Hotspot wird das Protokoll https unterstützt (z.B. bei Hornbach- heute gerade festgestellt)
2. Mehr CPU Bedarf mehr Strom - client- und serverseitig. Mehr Strom ist unökologisch. Wollen wir das?


Gesendet von iPhone mit Tapatalk - Tippfehler sind gratis.

[AitschPi]

Offtopic, daher getrennt vom vorherigen Inhalt:
Nicht immer paranoid sein und jeden Tracker sofort ausblenden. Am Beispiel von heise.de sollte VG-Wort an bleiben. Denn über den Pixel werden die Zugriffe für die Autorenvergütung der VG Wort erfasst und ich selbst als Autor bin sauer, wenn Besucher meiner Seiten die Inhalte kostenlos konsumieren, mir dann aber auch die Vergütung über die Umlage der VG-Wort vermiesen...


Gesendet von iPhone mit Tapatalk - Tippfehler sind gratis.

[Prof. Dr. Peter Henning]

Eben. "Unsinn" bezieht sich auf die Sache, und wurde mit persönlicher Beleidigung beantwortet. Wer den Unterschied nicht versteht ...

@AitschPi:So sehr ich selbst von der VG Wort profitiere, so wenig toleriere ich diese Schnüffelei. Die übrigens nachweisbar leicht zu missbrauchen ist.

Weder den Energieverbrauch,noch die CPU-Last kann ich als Argumente so richtig ernst nehmen. Beides sind volartile Faktoren, die sehr schnell irrelevant werden. Der Killer ist eindeutig die fehlende Relevanz.

LG

pah

[Wernieman]

"fehlende Relevanz"

würde ich so nicht sagen. Das die Grundsätzliche Überlegung im Netz ist, ALLES zu Verschlüsseln, dürfte vielen aufgefallen sein.

Deshalb wäre eigentlich SSL für dieses Forum auch wichtig. Wenn nicht da die Arbeit des Einrichtens wäre.

Kurzgefasst:
meine Meinung ist: "fehlende Relevanz" ist ein Stammtischargument .. und das ist jetzt nicht positiv gemeint.

[Prof. Dr. Peter Henning]

Nein, das ist das Argument aus der professionellen Ecke - Stammtische besuche ich nicht.

Wenn ich ein Sicherheitskonzept für ein Unternehmen entwickele, steht am Anfang die Analyse: Was ist wie wichtig. Dann kommt die Frage, wer das wie gefährden kann. Und erst am Ende die notwendigen und hinreichenden Maßnahmen.

Eine pauschale Einstufung "alles verschlüsseln" ist wenig hilfreich, weil sie den klaren Blick auf die echten Gefahren verstellt.

Das kann ich an einem einfachen Beispiel erläutern: Wer sich hier um seine Zugangsdaten Sorgen macht, tut das vermutlich nicht, weil er glaubt, jemand anders könnte in seinem Namen eine falsche Anleitung posten. Sondern weil er dieselben Daten aus purer Bequemlichkeit irgendwo anders noch einmal verwendet hat. Das aber ist heute eines der wesentlichen Sicherheitsrisiken - und das wird nicht ausgeschaltet, indem ein Portal auf https umgestellt wird.

LG vom Seeufer

pah

[av3nger]

Ich bin mir nicht sicher, wieviele von den hier SSL befürwortenden tatsächlich mit Webhosting zu tun haben. Das Zertifikat ist die geringste Hürde, aber dann folgen (mehr als 10min) Einrichtung, Wartung, zusätzliche technische Hürden wie einzelne IP pro Zertifikat

Zumindest ich habe das tatsächlich. Wenn nur der Webserver abgesichert werden soll, mag die manuelle Einrichtung vielleicht mehr als 10 Minuten dauern, wenn man als Kunde nicht irgendwo gerade ein Interface ala Plesk zur Verfügung hat. Dürfte dennoch weniger als eine Stunde in Anspruch nehmen. Wartung? Eigentlich nur, wenn das Zertifikat abgelaufen ist, aber was fällt da sonst großartig für zusätzliche Wartung an? Und dank SNI werden separate IP-Adressen für Zertifikate nichts zwangsläufig benötigt. Zumindest Webserver unterstützen das, Client-seitig sehe ich da eigentlich auch keine Probleme.

[ChrisK]

Ich kann nicht beurteilen, wie wichtig den Betreibern des Forums hier die Suchmaschinensichtbarkeit ist.

Falls diese aber relevant ist, dann ist "fehlende Relevanz" kein Argument mehr, weder auf dem Stammtisch noch auf professionelem Niveau:
HTTPS as a ranking signal

[chris_z]

Viele Leite benutzen aus Bequemlichkeit das selbe Passwort für viele Webdienste. Statistisch muss man davon ausgehen das das 90% der Nutzer betrifft. Die Passwörter von aktuell 13801 Nutzern find ich ziemlich Relevant. Zumal bei 90% davon warscheinlich noch deutlich mehr Zugänge dran hängen als nur der zum fhem Forum.

[micomat]

Ich bin fuer Verschluesselung... +1

Markus
PS: ich frage mich gerade ob die Erfindung des Haustuerschlosses ebenso kontrovers "diskutiert" wurde... 

[Virsacer]

Die Zugangsdaten selbst stehen ja nicht im Cookie drin. Im Cookie selbst ist irgendein URL-encodiertes Objekt enthalten. Darin ist unter anderem die UserID und irgendein md5-Hash enthalten; es ist aber nicht der md5 vom Passwort. Vielleicht mit Salt? Keine Ahnung, wie die Forensoftware das standardmäßig macht. Ich bin auch nicht sicher, ob es funktionieren würde, den Cookie jetzt zu klauen und damit auf einem anderen System den Auto-Login durchzuführen. Dürfte aber ohne direkten Zugriff auf den Rechner egal sein, denn Cookies werden (wenn ich mich nicht täusche) ebenfalls verschlüsselt übertragen.

Genau. Wie die Daten im Cookie nun abgelegt werden, ist Sache der Webseite. Wenn man ein Cookie auf einen anderen PC kopiert, ist man auch dort eingeloggt. Auch wenn die Daten im Cookie normalerweise "unlesbar" gespeichert werden, werden sie unverschlüsselt übertragen (außer man verwendet SSL) und können dementsprechend abgefangen werden.

Ich bin mir nicht sicher, wieviele von den hier SSL befürwortenden tatsächlich mit Webhosting zu tun haben. Das Zertifikat ist die geringste Hürde, aber dann folgen (mehr als 10min) Einrichtung, Wartung, zusätzliche technische Hürden wie einzelne IP pro Zertifikat, mehr Power bei vielen Zugriffen, mehr Aufwand bei der Fehlersuche,...

Die Einrichtung ist einmalig und geht ruckzuck - die "Wartung" ist das Austauschen des (fast) abgelaufenen Zertifikats...
Und testen kann man alles hiermit: https://www.ssllabs.com/ssltest/index.html
Einzelne IP? Falls auf dem Server tatsächlich mehrere Seiten liegen (und das Zertifikat nicht für mehrere Domains ist), gibts immer noch SNI

1. Von nicht jedem Hotspot wird das Protokoll https unterstützt (z.B. bei Hornbach- heute gerade festgestellt)
2. Mehr CPU Bedarf mehr Strom - client- und serverseitig. Mehr Strom ist unökologisch. Wollen wir das?

Sollte aber selten sein, und wenn https geblockt wird, sollte einem das auch zu denken geben
Ich will nicht bestreiten, dass Verschlüsselung auch Rechenaufwand benötigt, aber wenn ich an http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=1541355&url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F10348%2F32912%2F01541355 denke, kann das jetzt auch nicht sooo viel sein...

Das die Grundsätzliche Überlegung im Netz ist, ALLES zu Verschlüsseln, dürfte vielen aufgefallen sein.

Ja, der Trend, alles zu Verschlüsseln, ist eindeutig. Google, Mozilla und co haben da was angestoßen

[Wernieman]

Ja, der Trend, alles zu Verschlüsseln, ist eindeutig. Google, Mozilla und co haben da was angestoßen

Die Idee dahinter ist ja:
Jede Verschlüsselung ist knackbar, aber mit Aufwand. Wenn jetzt alles verschlüsselt wird, muß der Angreifer auch alles entschlüsseln um an relevante Daten zu kommen. Da dabei eben auch die Uninteressanten ,....

Wenn dagegen, wie schon angesprochen, nur die Wichtigen Daten verschlüsselt werden ...... kann sich jeder die Folgen ausdenken ...