SSL ist kaputt?!

 
mz5
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 19
Dabei seit: 10 / 2017
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 15.05.2018 - 18:47 Uhr  ·  #21
Zitat geschrieben von msa
Wer datenschutz-hysterisch ist, der sollte doch lieber gleich von einer Anmeldung absehen. Oder gleich von einem Aufruf irgendwelcher Seiten, denn das hinterläßt ja alles Spuuuuuuren.... huuuuu!

Was für eine Arroganz ...
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 15.05.2018 - 18:49 Uhr  ·  #22
Jaha, und womit? Mit Recht! :devil:
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 16.05.2018 - 00:04 Uhr  ·  #23
Naja, spätestens seit LetsEncrypt gibt es eigentlich keine Grund mehr keine Verschlüsselung anzubieten. Ob diese Seite hier unter DSGVO fällt oder nicht, ist halt die Frage die sich derzeit auch viele andere Leute mit "privaten Websites" stellen. Allerdings wird das Thema stark überbewertet, eine SSL-Pflicht existierst eigentlich schon seit dem Telemediengesetz. Das betrifft den Großteil der DSGVO, das Thema wird derzeit völlig überbewertet. Die meisten Bestandteile der DSGVO waren hier schon lange Pflicht und wurden einfach ignoriert. Keine Ahnung wieso erst jetzt Panik geschoben wird, wahrscheinlich aufgrund der Beiträge in den Medien zu den Thema.
juk
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 04 / 2018
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 17.05.2018 - 12:26 Uhr  ·  #24
Zitat geschrieben von Raimund Sichmann

ja, der neue Server wird gerade getestet und dann werden wir auch ssl anbieten.
Gruß
Raimund


Wow, es wird nun schon über 1 1/2 Jahre getestet. Mangelnde Gründlichkeit kann dir/euch niemand vorwerfen! ;-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 08 / 2015
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 18.05.2018 - 10:43 Uhr  ·  #25
Hallo @Juk und die @anderen Kritiker

warum hast Du Dich denn dann hier überhaupt registriert, wenn Deine E-Mail Adresse so schützenswert ist? Hast doch vorher schon in der Adresszeile gesehen, dass das "onlinebanking-forum.de"
http verwendet?! Und Du nutzt doch bestimmt als "Datenschutz-Freak" für jede Website ein anderes, mindestens 20 stelliges, kryptisches Passwort. Wo liegt denn Dein Problem oder auch das Problem
der anderen Kritiker hier was ssl betrifft? Wie haben die Leute eigentlich vor dem 25. Mai 2018 gelebt und das Internet genutzt? Bis vor 2 Jahren waren kaum Internetseiten ssl transportverschlüsselt! Oder?

Lasst doch einfach mal die Kirche im Dorf und dankt Raimund für dieses hervorragende Forum!

Let's encrypt setzt auch eine Unterstützung des Hostings voraus, denn bekanntlich muss das Zertifikat in geringen Zeitabständen verlängert werden. Ohne Automatismus ein umständliches Unterfangen.

@Juk: Du versendest doch bestimmt nur PGP verschlüsselte Mails, Dein VoIP ist sowohl SIP als auch RTP verschlüsselt und Du hast natürlich alle RFID Chipkarten inkl. ePersonalausweis deaktiviert
oder zerstört? Dein Autoschlüssel mit RFID lagerst Du in einer sicheren Box ... Jaja ...
mz5
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 19
Dabei seit: 10 / 2017
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 18.05.2018 - 19:37 Uhr  ·  #26
Auch wenn ich mich nur indirekt angesprochern fühle:

Zitat geschrieben von pingpong
Hast doch vorher schon in der Adresszeile gesehen, dass das "onlinebanking-forum.de"
http verwendet?!

Was nicht zwangsläufig heißt, dass der Login auch unverschlüsselt erfolgt.

Zitat
Und Du nutzt doch bestimmt als "Datenschutz-Freak" für jede Website ein anderes, mindestens 20 stelliges, kryptisches Passwort. Wo liegt denn Dein Problem oder auch das Problem

So ungefähr. Spezifische Mailadresse für jedes Forum, Passwörter i.d.R. zwischen 10 und 16 Stellen. Das heißt aber nicht, dass es keine anderen angemeldeten Mitglieder gibt, die nur eine einzige Mailadresse nutzen.

Zitat
Wie haben die Leute eigentlich vor dem 25. Mai 2018 gelebt und das Internet genutzt? Bis vor 2 Jahren waren kaum Internetseiten ssl transportverschlüsselt! Oder?

Mit dieser Argumentation wären wir heute noch mit Pferdekutschen unterwegs.

Zitat
Let's encrypt setzt auch eine Unterstützung des Hostings voraus, denn bekanntlich muss das Zertifikat in geringen Zeitabständen verlängert werden. Ohne Automatismus ein umständliches Unterfangen. Ohne Automatismus ein umständliches Unterfange

Das bieten mittlerweile auch schon Massenhoster (wie all-inkl.com) an.

Im Übrigen ist Dein Sarkasmus völlig kontraproduktiv.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 18.05.2018 - 19:42 Uhr  ·  #27
Naja, ist das ewige Wiederkäuen dieses uralten Themas hier produktiv?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 19.05.2018 - 15:42 Uhr  ·  #28
Eine temporäre Rückkehr zu all-inkl wäre durchaus eine Überlegung. Dort startete das Forum als homebanking-hilfe.de und den Account und Domäne habe ich noch. Muss ich mal etwas drüber nachdenken, womöglich ist das eine gute Zwischenlösung, damit ich am alten Server nichts basteln muss.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 52
Dabei seit: 10 / 2013
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 21.05.2018 - 20:17 Uhr  ·  #29
Schön ist das jedenfalls nicht, wenn bei Änderung der E-Mailadresse kurz danach der SPAM-Ordner voll ist.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 22.05.2018 - 08:09 Uhr  ·  #30
Durch eine Anmeldung hier? Das ist doch sehr unwahrscheinlich.
Wir erlauben übrigens anonyme Mailanmeldungen über Wegwerfadressen. Scheint mir sinnvoller.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 52
Dabei seit: 10 / 2013
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 22.05.2018 - 21:34 Uhr  ·  #31
Nun ja. Aufgrund dieses Threads habe ich mal nachgesehen und festgestellt, dass ich meine Hauptmailadresse verwendet hatte. Ups, ich lade auch unter https nicht alles herunter, aber dass in einem online-banking-Forum die Adresse sichtbar übertragen wird - hatte ich nicht mit gerechnet. Klar, my fault aber um zum Punkt zu kommen, die geänderte Adresse wurde anschließend zugemüllt. Also eher wahrscheinlich. Zumal, aufgrund meines Surfverhaltens mein Spamordner fast immer leer ist. Wenn`s dich nichts kostet hätte ich das bitte gern geändert. Ich habe kein Problem damit wenn der admin eines Forums mich "kennt". Aber Hinz und Kunz muß nicht sein. Das hat imho mit Scheinsicherheit nichts zu tun.
P.S.
Wenn ich eine Wegwerfadresse nehme und die auch wegwerfe, bekomme ich noch nicht einmal die Benachrichtigung über deine Antwort.
juk
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 04 / 2018
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 23.05.2018 - 09:50 Uhr  ·  #32
Zitat geschrieben von pingpong

Und Du nutzt doch bestimmt als "Datenschutz-Freak" für jede Website ein anderes, mindestens 20 stelliges, kryptisches Passwort.


In der Tat. Nicht zwingend 20-stellig aber stets individuell. Mit pwdhash leicht zu bewerkstelligen. Für dieses Forum habe ich darauf verzichtet. Sicherheit spielt hier keine Rolle, daher habe ich ein leicht zu erratendes Passwort gewählt.

Ich war so naiv zu glauben, dass gerade in einem Onlinebanking-Forum Sicherheit eine große Rolle spielt und man als Forumsbetreiber hier mit Vergnügen eine Vorbildrolle spielt. Stattdessen kommen seltsame Ausreden, warum es nicht geht / sinnvoll ist / oder gerade nicht passt. Wenn es an eigenem Wissen mangelt, ist das doch kein Problem. Zu speziellen Serverthemen gibt es auch entsprechen Foren und Wikis.

Naja, früher haben wir auch ohne SSL in den Wald gek*ckt. Kein Grund irgendwas zu ändern! :D
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 08 / 2015
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 23.05.2018 - 16:21 Uhr  ·  #33
Zitat geschrieben von fujisan

Ups, ich lade auch unter https nicht alles herunter, aber dass in einem online-banking-Forum die Adresse sichtbar übertragen wird - hatte ich nicht mit gerechnet.


Ich bin mittlerweile sprachlos, wenn ich das lese ... Was heißt sichtbar? Meinst ich kann mitlesen was Du da eintippst?

Du hast hast also bedenken, wenn Du Deine E-Mail Adresse auf einer nicht verschlüsselten Seite in Deinem Browser eintippst und Du bemängelst, dass JEDER die lesen könnte.
Wer soll denn das sein? Ob Deine E-Mail Adresse in Deinem Profil erscheint und damit für jeden im Forum lesbar ist hängt von Deinen Einstellungen im Forum ab und der Foren-
software.

Wie der Name ja eigentlich schon sagt, handelt es sich bei ssl um eine Transportverschlüsselung. Das heißt, die Daten zwischen Raimund seinem Server und Deinem Browser
werden auf dem Weg verschlüsselt übertragen. Erstrebenswertes Ziel, ganz klar. Um Deine E-Mail Adresse oder Passwort bei einer unverschlüsselten Übertragung mitschneiden
zu können, müsste der Angreifer sich in den Datenstrom einklinken. Ein Angreifer aus einem anderen Netz, auch schon am gleichen Switch kann dies nicht. Also kann man
das doch letztendlich vernachlässigen. Sinnvoll ist https:// natürlich, aber sollte auch keine Panik schieben bei einem öffentlichen Forum deren Inhalte sowieso öffentlich preisgegeben
werden. Absolut erforderlich wäre https:// bei einer nicht öffentlichen Website, bei der wirklich schützenswerte Daten ausgetauscht werden. Man soll dabei allerdings auch bei
ssl im Auge behalten, dass es immer Möglichkeiten gibt, auch verschlüsselte Dateninhalte mitlesen zu können (Thema Man-in-the-Middle, Geheimdienste wie NSA). Also einen
absoluten Schutz gibt es nicht ... Und die Geheimdienste lauschen an den Knotenpunkten, über die die Datenpakete allesamt laufen. Aber solche Daten haben wir ja alle nicht.

Und was Deine schützenswerte E-Mail Adresse betrifft :lol: Schau mal in Deinen E-Mail Header was Du wohl dort findest? Bei jeder Mail die Du versendest, egal ob verschlüsselt
oder nicht, steht Deine E-Mail Adresse im Header. Logisch, sonst könne kein Mailserver diese weiterleiten, wenn die Adresse des Ziels verschlüsselt wäre.

Diese Diskussion erinnert mich frappierend an meine Schwägerin, die mir Mitte der 80er Jahre eine Standpredigt gehalten hat, als ich sie für meine private Adressverwaltung nach
ihrer Kontonummer fragte. Sie meinte auch, das wäre sehr geheim. Dumm nur, dass zumindest bei der Postscheckamt Kontonummernbücher einmal nach Name => Kontonummer
und umgekehrt öffentlich ausgelegt waren.

Will damit sagen, es wird nie so heiß gegessen wie es gekocht wird. Ich habe seit Anfang des Internets eine E-Mail Adresse die ich öffentlich überall verwende und ich bekomme
kaum Spam herein.

Gruß
Michael
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 52
Dabei seit: 10 / 2013
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 23.05.2018 - 21:20 Uhr  ·  #34
Zitat geschrieben von pingpong

Will damit sagen, es wird nie so heiß gegessen wie es gekocht wird. Ich habe seit Anfang des Internets eine E-Mail Adresse die ich öffentlich überall verwende und ich bekomme
kaum Spam herein.
Gruß
Michael


Haha, ich bin nun nicht deine Schwägerin. Genau so gings mir mit meiner uralten E-Mailadresse eben auch und beim Ändern schwupp kam wieder Spam. Aber hast ja sicher gelesen. Keine Angst das habe ich im Griff.
Statt mich zu belehren solltest dir mal Gedanken machen, daß z.B. bei B4W der nahezu einzige Kritikpunkt der Support über ein unverschlüsseltes Forum ist.
Kontonummer kein Problem? Wenn Du dich mit der Nummer als Benutzername einloggen kannst, brauche ich nur ein paar mal ein falsches Passwort eingeben und Du kannst dich wieder freischalten lassen. Sorry aber Du laberst. Im Ernstfall gibst Du deine Passwörter eh freiwillig raus oder dein Auge oder die Finger. Keine Frage :ninja: :police:
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 23.05.2018 - 22:05 Uhr  ·  #35
Zitat geschrieben von fujisan
Statt mich zu belehren solltest dir mal Gedanken machen, daß z.B. bei B4W der nahezu einzige Kritikpunkt der Support über ein unverschlüsseltes Forum ist.
Kontonummer kein Problem? Wenn Du dich mit der Nummer als Benutzername einloggen kannst, brauche ich nur ein paar mal ein falsches Passwort eingeben und Du kannst dich wieder freischalten lassen. Sorry aber Du laberst. Im Ernstfall gibst Du deine Passwörter eh freiwillig raus oder dein Auge oder die Finger. Keine Frage :ninja: :police:

Statt so einen Schmarrn - sorry für den deutlichen bayerischen Ausdruck - zu schreiben, solltest Du Dich erst mal informieren.

B4-Support wird vom Hersteller geleistet - und zwar unter support@subsembly.com. Dies hier ist "nur" ein xbeliebiges Forum, wo Leute die - teils mehr teils weniger - Ahnung haben, ihren Senf dazugeben und Fragestellern zu helfen versuchen. Wem das hier zu unsicher ist, der ist absolut nicht gezwungen, sich dieser Gefahr auszusetzen und findet beim Hersteller den offiziellen und sicheren Support.

Und wenn ich Deinen letzten Satz lese und das von Dir gebrauchte Wort "labern" berücksichtige, dann würde ich sagen, wer im Glashaus sitzt, sollte nicht mit Steinen werfen.

Ich frage mich auch, wieso man heutzutage immer so eine Forderungshaltung hat. Warum muß man etwas, was andere kostenlos zur Verfügung stellen, nutzen, und dann dran rumkritisieren? Warum läßt man dann nicht einfach die Finger von dem bösen Zeug? Oder noch besser - zeigt dem Betreiber mit eigener Arbeit, wie es besser geht?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 52
Dabei seit: 10 / 2013
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 23.05.2018 - 22:52 Uhr  ·  #36
Zitat geschrieben von msa

Statt so einen Schmarrn - sorry für den deutlichen bayerischen Ausdruck - zu schreiben, solltest Du Dich erst mal informieren.

Brauchst dich nicht zu entschuldigen, ich bin nicht aus Zucker und sehe das gerade bei deinen Beiträgen auch nicht anders. Ich fordere gar nichts und Du verteigst hier Sachen, die einfach nicht zu verteigen sind. Habe schon gewußt, warum ich gerade auf deine "Argumente" nicht eingegangen bin, bzw. _nicht dir_ geantwortet habe. Austeilen, polemisch werden und nichts einstecken können. Hast dich angesprochen gefühlt? Aber beenden wir das, bevor es aus dem Ruder läuft.
Raimund betreibt ein sehr schönes Forum, nicht Du, und ich schrieb "Hätte ich gerne, wenn es nichts kostet" - und ist ja auch schon lange angekündigt. Ich denke nicht, daß Raimund sich da auf den Schlips getreten fühlt. Muß _er_ auch nicht. Für mich ist das Thema durch.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 24.05.2018 - 07:59 Uhr  ·  #37
Unser Forum ist ein Gemeinschaftsprojekt, es lebt in erster Linie durch die Beiträge aller hier und auch durch Diskussionen wie diese hier. Es darf auch mal etwas ruppiger werden, solange es im Rahmen bleibt und sich alle noch am Ende noch wohl fühlen können. Wenn ich sehe, was google da gerade fertig hat an Assistenten, sind doch wohl Emotionen auch (noch) ein Erkennungsmerkmal echter Menschen an der Tastatur. Bin gespannt, was uns da in Zukunft noch erwartet ("Hallo google, warum klappt mein Onlinebanking nicht?" - "Weiß ich auch nicht, lieber Mensch, aber ich frag mal in den Foren nach und melde mich morgen bei dir".)
Bei allen Argumenten für und gegen Verschlüsselung wäre der Wohlfühlaspekt auch mein Hauptgrund, das einzubauen, denn für mich gibt es genügend Sicherheitsargumente genau gegen Transportverschlüsselungen auf Seiten wie unseren.
Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 24.05.2018 - 09:49 Uhr  ·  #38
@Raimund: Mal interessehalber - ist es eventuell so, dass das Hosting des Servers, auf dem sich das Forum befindet, die Einrichtung von SSL nicht oder nur umständlich ermöglicht? Sprich: Dass es keine Möglichkeit gibt, freie Zertifikate wie Let's Encrypt zu verwenden sondern nur kostenpflichtige? Es gibt ja durchaus einige Hoster, bei denen man durchaus SSL machen könnte - aber eben zu unschönen Bedingungen - entweder weil die Zertifikate extra Geld kosten - oder weil der Hoster gar keine kunden-eigenen Zertifikate zulässt sondern ein kundenübergreifendes Wildcard-Zertifikat verwendet und dann der Hostname nicht zum CN des Zertifikates passt.

Worauf ich hinaus will: Wenn es prinzipiell technisch kein Problem wäre, freie Zertifikate zu nutzen und du entsprechenden Zugriff auf die Vhosts hast, dann könnte man ja auch beides anbieten. Also HTTP und HTTPS. Dann kann jeder User selbst entscheiden.

Unabhängig davon: Es gibt in der Tat auch Performance-Gründe, die den Einsatz von HTTPS u.U. schwierig machen können. HTTPS bedeutet mehr Last auf dem Server. Das Onlinebanking-Forum ist ja nun auch keine wenig besuchte Webseite. Ich kann mich noch erinnern, dass heise.de vor gar nicht langer Zeit erst auf HTTPS umgestellt hat - eben weil der Performance-Aspekt bei denen eine große Herausforderung war.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 08 / 2015
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 24.05.2018 - 09:54 Uhr  ·  #39
Zitat geschrieben von fujisan

Statt mich zu belehren solltest dir mal Gedanken machen, daß z.B. bei B4W der nahezu einzige Kritikpunkt der Support über ein unverschlüsseltes Forum ist.
Kontonummer kein Problem? Wenn Du dich mit der Nummer als Benutzername einloggen kannst, brauche ich nur ein paar mal ein falsches Passwort eingeben und Du kannst dich wieder freischalten lassen. Sorry aber Du laberst. Im Ernstfall gibst Du deine Passwörter eh freiwillig raus oder dein Auge oder die Finger. Keine Frage :ninja: :police:


Davon abgesehen, dass Dein Tonfall absolut daneben ist (... Du laberst ...). Dein Argument mit "paarmal Passwort falsch eintippen" und schon kann ich mich wieder freischalten lassen bezieht sich auf ein
Forum? Wenn ja, würde der Prozess mit oder ohne Transportverschlüsselung greifen. Also wo liegt der Vorteil von SSL in diesem, angenommenen Fall?

Aber egal, dann haben wir erfreulicherweise einmal unterschiedliche Meinungen zum Thema Transportverschlüsselung. Ich kann in diesem Forum sehr gut ohne leben, doch wenn es irgendwann technisch
umsetzbar ist, würde ich es begrüßen. Schädlich ist es nicht, aber es ist auch nicht das alleinige Heilmittel für alle möglichen Datenschutzaspekte.

Gruß
Michael
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 19
Dabei seit: 04 / 2014
Betreff:

Re: SSL ist kaputt?!

 · 
Gepostet: 24.05.2018 - 10:13 Uhr  ·  #40
Zitat geschrieben von pingpong

Schädlich ist es nicht, aber es ist auch nicht das alleinige Heilmittel für alle möglichen Datenschutzaspekte.

Eben .

Und genau diese Datenschutzaspekte beziehen sich alle auf personenbezogene Daten, welche in diesem Forum grundsätzlich nichts verloren haben, da es sich in erster Linie um ein reines Support-Forum handelt. Hier werden technische Informationen benötigt die nicht schützenswert sind.

Das einzige personenbezogene ist die Mail-Adresse und das ist auch Auslegungssache.

Wie von meinen Vorrednern schon geschrieben, wer Hilfe zu einem bereits bekannten Problem sucht kann diese hier finden.
Wer sein spezifisches Problem schildern möchte kann für sich abwägen ob er/sie auf eine Anmeldung wg. nicht vorhandenem SSL verzichtet oder nicht.

Aber sich der Tatsache bewusst zu sein das keine SSL-Verschlüsselung vorhanden ist und sich dann anmelden und sich darüber beschweren ...

Man kauft sich ja auch kein Messer und beschwert sich nachher beim Hersteller, dass man sich geschnitten hat weil es zu scharf war, man ist sich dieser Tatsache bewusst und passt auf.
Gewählte Zitate für Mehrfachzitierung:   0