SSL ist kaputt?!

 
sbreit
 
Avatar
 
Betreff:

SSL ist kaputt?!

 · 
Gepostet: 29.03.2016 - 10:11 Uhr  ·  #1
Benutzer
Avatar
Geschlecht:
Herkunft: Kurpfalz
Beiträge: 219
Dabei seit: 10 / 2006
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 29.03.2016 - 10:40 Uhr  ·  #2
Woher hast Du die Info, daß es ein SSL-Zugang funktionieren sollte?
sbreit
 
Avatar
 
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 29.03.2016 - 10:43 Uhr  ·  #3
Zitat geschrieben von martin_d

Woher hast Du die Info, daß es ein SSL-Zugang funktionieren sollte?


Ach, hier gibt es gar kein SSL?
*rotfl* Ohmann, das ist ja echt übelst...
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 29.03.2016 - 19:25 Uhr  ·  #4
ich weiß, dass das viele anders sehen, aber hier soll es nicht den Eindruck der falschen Sicherheit geben.
Dieses Forum ist einfach öffentlich, an die Datenbanken können schon einige Menschen heran. Bei unseren Themen könnte der eine oder andere sonst meinen, die Daten oder gar Bank-Protokolle wären hier sicher abgelegt.
SEO ist eine andere Sache, aber da warte ich erstmal ab, bis die Initiativen sich richtig etabliert haben.
Gruß
Raimund
sbreit
 
Avatar
 
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 31.03.2016 - 15:37 Uhr  ·  #5
Das ist eine - bestenfalls - höchst fragwürdige Sichtweise. Da möchte ich dann auch kein Mitglied von sein - egal mal in welcher Form. Wie kann ich mein Account wieder löschen (lassen)? Ich habe dazu in der FAQ nichts gefunden...
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 31.03.2016 - 19:23 Uhr  ·  #6
nun, ich hab dazu eine andere Meinung. Insbesondere hat die Verschlüsselung zu einer starken Verbreitung von Schadsoftware geführt, die dann nur noch über "Tricks" mit ebenfalls zweifelhaftem Methoden von Sicherheitsprogrammen gefunden wird. Das wird von Experten inzwischen auch als Nachteil gesehen.
Alles hat irgendwie zwei Seiten und ich kann beide verstehen.
Ich löschen deinen Zugang, die Forensoftware kann es leider nicht.
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 07.11.2016 - 13:10 Uhr  ·  #7
da nun Mobile-first Indexing von Google ausgerollt wird - https://webmasters.googleblog….exing.html
vielleicht sollte neben evtl. Vorbereitung/Prüfungen des Servers/Foren-Software nun auch SSL/https und IPv6 aktiviert werden (viele Pages haben dies zwischenzeitlich gemacht).
Google: Mehr als die Hälfte der via Chrome geladenen Websites nutzt HTTPS dort wird bspw. auch https://letsencrypt.org/ bzw. https://www.cloudflare.com/de/ssl/ wobei letztere zwischenzeitlich auch öfters für DDoS-Abwehr eingesetzt wird
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 08.11.2016 - 07:39 Uhr  ·  #8
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 09.11.2016 - 17:30 Uhr  ·  #9
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 28.11.2016 - 12:37 Uhr  ·  #10
Zitat
Firefox soll offensiver vor Webseiten mit unverschlüsselter Verbindung warnen
In einer kommenden Version soll der Webbrowser Nutzer auf HTTP-Webseiten direkt in Formularen warnen.

https://www.heise.de/security/…05996.html
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 28.11.2016 - 16:41 Uhr  ·  #11
ja, der neue Server wird gerade getestet und dann werden wir auch ssl anbieten.
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 95
Dabei seit: 05 / 2009
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 10.08.2017 - 12:43 Uhr  ·  #12
Zitat
nun, ich hab dazu eine andere Meinung. Insbesondere hat die Verschlüsselung zu einer starken Verbreitung von Schadsoftware geführt, die dann nur noch über "Tricks" mit ebenfalls zweifelhaftem Methoden von Sicherheitsprogrammen gefunden wird. Das wird von Experten inzwischen auch als Nachteil gesehen.


Ich finde nicht das man die Verschlüsselung auf allen Ebenen verallgemeinern kann, das ist so wie Äpfel mit Birnen zu vergleichen.

Eine Website über einen verschlüsselten Tunnel aufzurufen, ist etwas ganz anderes als eine verschlüsselte Zip Datei die Schadsoftware enthält.

Btw. wie sieht es mit SSL aus ?

grüße fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 10.08.2017 - 19:33 Uhr  ·  #13
noch läuft das Forum auf dem alten Server, hier passiert nichts mehr.
Ich versteh allerdings das Argument nicht, ich spreche ja nicht von verschlüsselten Zip-Dateien, sondern es geht mir um Webinhalte selbst.
Die allgemeine Verschlüsselung der Browser-Datenübertragung führt dazu, dass Daten nicht mitgelesen werden können. OK, das ist der Sinn. Aber jeder muss zugeben, dass dadurch auch die Verbreitung von Schadprogrammen und Scripten unterstützt wird, die dadurch bis zum potentiell verletzlichen Browser "durchstoßen" können.
Entweder ist der Browser gut abgesichert - oder ein Virenscanner hängt sich zwischen Server und Browser und entschlüsselt den Datenstrom. Ein gezielter Angriff aber - und dazu ist ein Forum wirklich geeignet, lässt sich damit gut durchführen. Ein verschlüsseltes Forum, bei dem der Upload erlaubt ist, erlaubt auch die Verbreitung von Schadsoftware.
Argument 2:
Hier in unserem Forum sollte nichts intimes stehen und eine Verschlüsselung bringt offensichtlich viele leichtgläubige Menschen dazu, hier eine Sicherheit zu vermuten, die es nicht gibt.
Verschlüsselung ist schön für wirklich schützenswerte Dinge, aber ich finde es zweischneidig.
Ein Argument lasse ich gelten: Es geht meinen Provider und allen dazwischen wenig an, welche Seiten ich besuche und was ich dort anschaue. Aber ich glaub nicht, dass wir dies für unser Thema überbewerten müssen.
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 95
Dabei seit: 05 / 2009
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 22.11.2017 - 10:15 Uhr  ·  #14
Da gehe ich mit dir nicht so ganz konform, da es die Verantwortung einer gut abgesicherten Webumgebung auf die Applikationsebene abwälzt.

Das ist meiner Meinung nach der falsche Ansatz.

Und das viele Virenscanner sozusagen eine Man in the Middle Attack ausführen da fehlen einem der ein bißchen sich mit Sicherheit auskennt die Worte.

grüße fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 22.11.2017 - 12:26 Uhr  ·  #15
Was würde durch SSL denn auf auf der Webebene sicherer - außer dass man als User den Server identifizieren kann, sehe ich kaum echte Sicherheits-Vorteile und halt auch einige Nachteile.
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 08 / 2015
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 25.11.2017 - 22:00 Uhr  ·  #16
Hallo Raimund,

ich finde diese Hysterie absolut übertrieben! Einzig und allein sehe ich die Übermittlung des Passwors (beim Anmelden) etwas kritisch. Die Daten werden ja bei http:// im Klartext übermittelt. Doch man sollte ja eh für jede Website, für jeden Zugang ein
eigenes Kennwort verwenden. Unser (ehemaliger) User sbreit übertreibt es ein wenig. Die Inhalte die ich hier lese und/oder übermittel kann jeder ja sowieso durch den Besuch des Forums mitlesen. Für echte Webseiten, bei denen Kreditkarteninfos
oder gar Bankdaten übermittelt werden ist es eh verpflichtend https:// zu verwenden. Es macht ganz klar die Zertifikatsherausgeber vermögend :-))

Gruß
Michael
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 08.12.2017 - 16:21 Uhr  ·  #17
PSW hat im Wege des Tests der banking4-App auch das Forum unter die Lupe genommen:
Zitat
Sehr traurig ist die Tatsache, dass das Online-Banking-Forum nicht durch Verschlüsselung geschützt ist. Bedenken Sie dies bitte beim Nutzen und geben Sie Acht, welche persönlichen Daten Sie sowohl in Ihrer Registrierung als auch im Forum direkt angeben. Ihre Daten sind nicht geschützt! Das gilt auch für Ihre Zugangsdaten. Überlegen Sie sich also doppelt und dreifach, ob Sie dieses ungeschützte Forum nutzen möchten – das Abgreifen von (Login-) Daten wäre ein Leichtes!
Quelle

Zitat
Eine Stolperfalle lauert dann ausgerechnet beim Support: Wer das Online-Banking-Forum nutzt, um in Kontakt mit den Machern der App zu treten, sollte bedenken, dass dieses nicht durch Verschlüsselung geschützt ist. „Bei Nutzung des Forums sollten Anwender unbedingt Acht geben, welche persönlichen Daten sie sowohl in der Registrierung als auch im Forum direkt angeben. Diese Daten sind nicht geschützt! Das gilt im Übrigen auch für die Zugangsdaten – was das Abgreifen von Daten leider sehr leicht macht!“, weist Christian Heutger hin.
Quelle2
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 08.12.2017 - 17:36 Uhr  ·  #18
Ja, das ist völlig richtig, Danke für die Info, infoman.
Meine Meinung habe ich ja schon geschrieben, mit einer Verschlüsselung wäre, bis auf Scheinsicherheit und ein paar Punkte bei der SE-Bewertung, wenig gewonnen. Wer hier postet, soll das wissen und erkennen können und hier gehören nunmal keine schützenswerte Daten hinein.
Genauso ist es nicht gut, hier bei uns irgendwelche Zugangsdaten zu verwenden, die eine Relevanz außerhalb des Forums haben. Wir sind eben ein Onlinebanking-Forum - aber halt kein Onlinebanking.
Gruß
Raimund
juk
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 04 / 2018
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 27.04.2018 - 13:32 Uhr  ·  #19
Hier gehören keine schützenwerten Daten hinein. Soso. Leider war ich gezwungen zur Anmeldung ein Passwort zu hinterlegen, sowie eine E-Mail Adresse.

Wie verträgt sich das Verhalten des Admins eigentlich mit der DSGVO?

Mit Let's Encrypt ist doch wirklich kinderleicht ein Zertifikat zu erstellen.
Naja, ist ja alles nur Hysterie. Der alte Geisterfahrer-Witz ("Ein Geisterfahrer!? Hunderte!!!!11elf") scheint mir hier sehr passend. ;-)
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 27.04.2018 - 15:09 Uhr  ·  #20
Wäre wirklkich mal interessant, wie das mit DSGVO vereinbar ist. Denn es wird ja niemand gezwungen, sich auf einer Website, die unverschlüsselt ausliefert, anzumelden.

Wer datenschutz-hysterisch ist, der sollte doch lieber gleich von einer Anmeldung absehen. Oder gleich von einem Aufruf irgendwelcher Seiten, denn das hinterläßt ja alles Spuuuuuuren.... huuuuu!
Gewählte Zitate für Mehrfachzitierung:   0