httpS möglich/nötig?

ANZEIGE

cpt.kork

Erfahrenes Mitglied
30.03.2009
518
46
ZRH
ANZEIGE
Ich sehe meine Frage als beantwortet. Das ganze Forum umzustellen belastet den Server zu sehr. Nur den Login zu schützen bringt wohl bei Firesheep nichts, siehe unten. Demnach bleibt alles beim alten, jeder User selbst verantwortlich.

Firesheep is a Firefox extension which makes it trivially easy to impersonate someone to the websites they log in to while on the same open Wi-Fi network. It kicks in when you login to a website (usually in a secure fashion, via HTTPS) and then the site redirects you to a non-secured page after login. Most sites that operate this way will save your login information in a browser cookie, which can be 'sniffed' by a nogoodnik on the same network segment; that's what Firesheep does automatically. With the cookie in hand, it's simple to present it to the remote site and proceed to do bad things with the logged-in account. Bad things could range from sending fake Twitter or Facebook messages all the way up to, potentially, buying things on ecommerce sites.
 

Fanta2k

Erfahrenes Mitglied
09.08.2010
324
0
INN
Ich sehe meine Frage als beantwortet. Das ganze Forum umzustellen belastet den Server zu sehr. Nur den Login zu schützen bringt wohl bei Firesheep nichts, siehe unten. Demnach bleibt alles beim alten, jeder User selbst verantwortlich.

Firesheep is a Firefox extension which makes it trivially easy to impersonate someone to the websites they log in to while on the same open Wi-Fi network. It kicks in when you login to a website (usually in a secure fashion, via HTTPS) and then the site redirects you to a non-secured page after login. Most sites that operate this way will save your login information in a browser cookie, which can be 'sniffed' by a nogoodnik on the same network segment; that's what Firesheep does automatically. With the cookie in hand, it's simple to present it to the remote site and proceed to do bad things with the logged-in account. Bad things could range from sending fake Twitter or Facebook messages all the way up to, potentially, buying things on ecommerce sites.

ja das wäre ein klassisches session bzw cookie hijacking. Man kommt damit zwar idr nicht an ein Passwort, aber man wäre eingeloggt und könnte im schlimmsten fall zb die e-mail adresse des kontos ändern und den account auch "entführen".
 

ckruetze

Erfahrenes Mitglied
09.07.2009
638
0
EDXK
Dir vielleicht, mir sicher nicht. Ehe ich über sowas nachdenke, will ich das dort ausprobieren, wo es schon läuft. Und sehen, dass dort alles weiterhin super funktioniert, etwa der Cache, Pfeil zurück, allg. Performance etc.
Bei modernen Browsern werden auch https Seiten ganz normal im Cache abgelegt. http oder https hat auch keinen Einfluss auf Pfeil zurück Tasten.

Wenn keine anderen vBulletin-Foren derlei anbieten, gibt mir das außerdem zu denken. Die Wahrscheinlichkeit, dass die gesamte Internet-Weltbevölkerung außer uns noch nicht auf die tolle Idee gekommen wäre, so etwas einzuführen, wenn es tatsächlich vollkommen problemlos ist und nur Vorteile bringt, halte ich nämlich für extrem gering. ;)
Ich kenne und benutze ein anderes Forum das nur per https zu erreichen ist. Wobei das Forum nur für einen geschlossenen Benutzerkreis zugänglich ist.
Nur Vorteile bring es ganz sicher nicht. Beim erstmaligen Aufruf einer Seite dauert es ein paar Hundert Millisekunden bis der Browser und der Webserver sich über die Verschlüsselung geeinigt haben. Auch braucht der Webserver marginal mehr Rechenleistung für das Verschlüsseln. Und es entstehen natürlich auch Kosten, für https muß man ein Zertifikat kaufen, das zwischen 50 und 100 Euro pro Jahr kostet (je nachdem wo man es kauft).

Zum Beispiel gibt es evtl. sogar Länder, Hotels und Zugänge, die gar kein https erlauben. Die Frage wäre dann, ob man beides einfach parallel laufen lassen kann. Nur was bringt das dann praktisch, wenn 98% der User weiterhin irgendwelche geheimen/wichtigen/persönlichen Daten unverschlüsselt abrufen und die böse Welt anscheinend mithört, um daraus Vorteile zu ziehen?
Wo ist das Problem, dort wo https nicht funktioniert benutzt man halt http oder man läßt es

Ich würde in einem Forum (das Wort deutet darauf hin, dass man hier Dinge öffentlich besprechen will) sicher niemals etwas posten, das keinefalls an die Öffentlichkeit geraten soll. Das sollte man wohl eher 9-fach verschlüsselt per E-Mail verschicken.
Wozu gibt es denn Teile des Forums die nicht öffentlich sind?
Und dieses Forum hat etwas das nennt sich "Private Nachrichten" (speziell das erste Wort deutet darauf hin, dass man hier Dinge nicht öffentlich besprechen will).
Aber grundsätzlich gebe ich dir schon recht, die meisten Inhalte auf vielfliegertreff.de sind eh öffentlich zugänglich und müssten nicht unbedingt verschlüsselt werden.

Um die komplette Webseite per https erreichbar zu machen braucht man kein vBulletin Modul, das kann man je nach Hosting Betreiber relativ einfach einstellen. Ich denke es wäre einfach nett wenn die Möglichkeit bestehen würde. Es könnte sich dann ja jeder selbst aussuchen welche der beiden Möglichkeiten benutzt werden.
 

Fanta2k

Erfahrenes Mitglied
09.08.2010
324
0
INN
Bei modernen Browsern werden auch https Seiten ganz normal im Cache abgelegt. http oder https hat auch keinen Einfluss auf Pfeil zurück Tasten.

um genau zu sein: :)

Html Seite - ja. (normalerweise bei https auch nicht aus dem cache)
Javascript Files - Nein -> werden bei https bei jedem aufruf komplett neu geladen
 

AHS

Erfahrenes Mitglied
07.10.2010
657
4
Ganz sinnvoll wäre meiner Meinung nach, wenn die Forensoftware auf die Angabe der Software-Version (hier 4.0.6) verzichten würde. So lässt sich sehr einfach feststellen, ob ein Forum die aktuellste Version nutzt oder gerade verwundbar ist. phpBB verzichtet darauf wohl aus diesem Grund seit einiger Zeit. Das wäre jedenfalls deutlich einfacher als https.
 

hlewen

Erfahrenes Mitglied
14.03.2009
763
3
45
Karlsruhe
Ganz sinnvoll wäre meiner Meinung nach, wenn die Forensoftware auf die Angabe der Software-Version (hier 4.0.6) verzichten würde. So lässt sich sehr einfach feststellen, ob ein Forum die aktuellste Version nutzt oder gerade verwundbar ist. phpBB verzichtet darauf wohl aus diesem Grund seit einiger Zeit. Das wäre jedenfalls deutlich einfacher als https.
Ich hätte jetzt gedacht dies sind unterschiedliche Probleme?!? Auf HTTPS zu wechseln sollte nicht vor vBulletin exploits schützen, und eine aktuelle Version der Forensoftware ändert nichts an der oben beschriebenen Sicherheitslücke?
 

AHS

Erfahrenes Mitglied
07.10.2010
657
4
Ich hätte jetzt gedacht dies sind unterschiedliche Probleme?!? Auf HTTPS zu wechseln sollte nicht vor vBulletin exploits schützen, und eine aktuelle Version der Forensoftware ändert nichts an der oben beschriebenen Sicherheitslücke?
Klar sind das unterschiedliche Themen, aber beides hat mit Sicherheitsaspekten zu tun. Beide Punkte bringen zusätzliche Sicherheit, wenn diese nötig sein sollte, nur dass https deutlich aufwändiger wäre (aber an anderer Stelle ansetzt, das ist klar).
 

flysurfer

Gründungsmitglied
Teammitglied
06.03.2009
26.005
62
www.vielfliegertreff.de
Kann mir bitte mal jemand sagen, wo es hier im Forum diese ganzen Geheiminfos gibt, wegen derer man hier Sicherheitssysteme wie bei einer Bank einführen sollte? Da ist anscheinend was an mir vorbeigegangen. :)

Zur Lösung der Problematik schlage ich vor, dass wir das Forum ab November für anonyme Gäste (= Mitleser) weitestgehend schließen, während gleichzeitig alle Mitglieder (nach erfolgreichem Postident-Verfahren oder vergleichbarer Verifikation) einen elektronischen TAN-Generator erhalten, mit dessen Hilfe sie dann einzelne Themen lesen oder Beiträge/PNs verfassen können – selbstverständlich alles mit https. Die Kosten für Geräte und Verwaltung buchen wir einfach von euren Kreditkarten ab, alternativ geht auch Vorkasse mit Paypal. :)
 

hippo72

Erfahrenes Mitglied
11.03.2009
13.062
7.182
Paralleluniversum
Zur Lösung der Problematik schlage ich vor, dass wir das Forum ab November für anonyme Gäste (= Mitleser) weitestgehend schließen, während gleichzeitig alle Mitglieder (nach erfolgreichem Postident-Verfahren oder vergleichbarer Verifikation) einen elektronischen TAN-Generator erhalten, mit dessen Hilfe sie dann einzelne Themen lesen oder Beiträge/PNs verfassen können –

Jaaaaa! =;(y)
Bitte pro Beitrag eine TAN verbrauchen. Dann wäre auch das fünft-Nick-Problem einigermaßen gelöst. :idea:

Wusste gar nicht, dass Du so gute Ideen hast! :kiss:
 
  • Like
Reaktionen: flysurfer

Monty_GER

Reagenzglaskellner
21.11.2010
1.383
3
44
Niederrhein
Nabend,

ich nutze bereits seit einiger Zeit immer das Firefox-Plugin https-everywhere. Damit dürften zumindest die gängigen Angriffspunkte (webmail, Facebook & Co., CMS-Logins, usw.) halbwegs gesichert sein. Der Aufwand, dieses zu nutzen ist ziemlich gering.

https://addons.mozilla.org/de/firefox/addon/229918/

Dass dies unter besonderen Bedingungen (Geschäftsdaten) natürlich nicht ausreichend ist und da u.U. stärkere Maßnahmen getroffen werden müssen, ist klar. Ich bin trotzdem immer wieder erstaunt wie oft die Leute Notebooks und Emails unverschlüsselt durch die Gegend tragen. Das allgemeine Sicherheitsbewußtsein ist in der Masse nicht sehr weit fortgeschritten.

S.