ANZEIGE
Ich weiß, dass eine Bereitstellung von HTTPS-Support mit etwas Arbeit für die Admins verbunden wäre. Davon abgesehen brächte es jedoch nur Vorteile und man könnte sich darüber freuen, nicht von NSA und co. abgehört zu werden.
Erledigt: Unterstützung für HTTPS
- Starter*in Redneck_First_Flyer
- Datum Start
ANZEIGE
Ich sehe gerade, dass es bereits einen Thread hierzu gibt. Ich wäre einem Mod dankbar, wenn er meinen obigen Beitrag mit dem existierenden Thread zusammenführen könnte.
Ich schließe mich übrigens dem dort genannten Argument an, dass eine HTTPS Webseite mit einem besseren Ranking in den Suchmaschinen verbunde wäre. Das wäre ein weiterer Grund neben dem Sicherheits- bzw. Privatsphäreaspekt.
Ich schließe mich übrigens dem dort genannten Argument an, dass eine HTTPS Webseite mit einem besseren Ranking in den Suchmaschinen verbunde wäre. Das wäre ein weiterer Grund neben dem Sicherheits- bzw. Privatsphäreaspekt.
Hab ich jetzt etwas verpasst?
Ich schreibe hier öffentlich in einem öffentlich zugänglichem Forum und freue mich wenn mein Geschreibsel von vielen gelesen wird.
Ein von NSA nicht anhörbarer Account um dann in aller Öffentlichkeit seine Meinung darzubieten...
Manche nehmen auch einen Kühlschrank mit zum Nordpol, damit das Bier nicht warm wird.
@Brainpool: Ich denke nicht, VFT ist der Ort, um derartige Grundsatzdiskussionen zu führen. Und ich vertrete hier keine tin-foil-hat Ansichten. Vielmehr ist es im IT-Bereich Konsens, dass auf http verzichtet werden sollte. Viele -- wenn nicht sogar die meisten -- der großen Onlinemedien und auch Foren bieten mittlerweile https an, es ist einfach der Stand der Technik.
Zuletzt bearbeitet:
Das Forum bliebe natürlich trotzdem für jeden öffentlich lesbar. Darum geht es bei https auch nicht.
Es geht vielmehr um sichere Kommunikation mit dem Forumserver, so dass z.B. niemand Deine Daten (echter Name, E-Mail-Adresse usw.) abgreifen kann oder dass niemand leichterdings Metadaten darüber sammeln kann, welche Threads Du liest, in welchen Du postest usw.
Zuletzt bearbeitet:
...und diese ganzen super duper verschlüsselungs Werkzeuge haben auch kein Hintertürchen für NSA, CIA, Homeland und wie sie alle heißen...
Bei dem was schon alles ans Licht gekommen ist, denke ich mir meinen Teil und behaupte das dort die richtigen Codes drinstecken um der NSA es leichter zu machen das Netz zu durchforsten.
Wenn du etwas vor dem Zugriff irgendwelcher Behörden verbergen willst:
Stück Papier, Bleistift und Klarschrift<----die brauchen Jahre um das zu entschlüsseln!
Bei dem was schon alles ans Licht gekommen ist, denke ich mir meinen Teil und behaupte das dort die richtigen Codes drinstecken um der NSA es leichter zu machen das Netz zu durchforsten.
Wenn du etwas vor dem Zugriff irgendwelcher Behörden verbergen willst:
Stück Papier, Bleistift und Klarschrift<----die brauchen Jahre um das zu entschlüsseln!
Also, lieber Brainpool: Ich habe oben bewusst sehr freundlich geantwortet. Nun muss ich jedoch etwas deutlicher werden.
Im Prinzip hast Du Dich oben doch selbst disqualifiziert, weil an Deinem Post deutlich wurde, dass Du nicht verstehst, was SSL-Verschlüsselung macht (Du dachtest, dadurch wird das Forum privat).
Und weil Dir das technische Verständnis fehlt, bastelst Du Dir eine kleine Verschwörungstheorie zusammen. Ich halte das für wenig produktiv. Leider kommt das immer öfter vor, siehe manche Republikaner in den USA, die den Klimawandel leugnen und wissenschaftliche Erkenntnisse dazu nicht anerkennen.
Ich antworte ebenfalls freundlich, daran soll es nunmal nicht scheitern.
Und ich habe an keiner Stelle behauptet dass das Forum durch die Verschlüsselung Privat wird.
Nur ist es doch etwas überflüssig, eine Verschlüsselungstechnik einzusetzen wenn man öffentlich postet...
Wenn es sich um Bankgeschäfte, Porno-Forum what ever handelt, bei dem man ganz klar nicht erkannt werden will oder seine Transaktionen beim Geld sichern will, bin ich ja auf deiner Seite.
Aber hier bespricht man in einem öffentlichen Forum offene Sachen, die keinerlei Geheimnisse bergen, warum also mit Tarnumhang zur Tafel schreiten?
Vielleicht sollte man schon jetzt die Usernamen schwärzen.
Auch mit https wird der Username dort stehen, wo er jetzt steht
Und ich habe an keiner Stelle behauptet dass das Forum durch die Verschlüsselung Privat wird.
Nur ist es doch etwas überflüssig, eine Verschlüsselungstechnik einzusetzen wenn man öffentlich postet...
Wenn es sich um Bankgeschäfte, Porno-Forum what ever handelt, bei dem man ganz klar nicht erkannt werden will oder seine Transaktionen beim Geld sichern will, bin ich ja auf deiner Seite.
Aber hier bespricht man in einem öffentlichen Forum offene Sachen, die keinerlei Geheimnisse bergen, warum also mit Tarnumhang zur Tafel schreiten?
Vielleicht sollte man schon jetzt die Usernamen schwärzen.
Auch mit https wird der Username dort stehen, wo er jetzt steht
Nun ja, dieses Forum wird ja übermässig viel besucht via Hotel-WLANs, die ja ohne Verschlüssung sind, sprich man kann die Passwörter relativ einfach mitlesen, sowie die weitere Kommunikation mit dem Forum. Tatsache ist auch, dass viele Leutchen nur ein oder ein paar Passwörter haben. Und sehr wenigen werden auf Reisen standard ein VPN aufbauen, die ja an sich (wenn vernünftig configuriert) auch Verschlüsselung anbietet.
Deswegen würde HTTPS das Forum sicherlich nicht schaden. Da sich mitterweile über Let's Encrypt das Zertifikat selbst umsonst beziehen lässt, ist die Aussage
nicht ganz falsch.
Das andere Argument ist wohl dass es ja durchaus auch private nachrichten in diesem Forum gibt... die will man dann im Hotel-WLAN nicht unbedingt abgegriffen haben. Generell muss man sagen: https ist stand der Technik wie schon erwähnt und sollte konsequent genutzt werden.
HTTPS kann bereits mit einem selbstsignierten Zertifikat genutzt werden. Einfach die URL von Hand mit HTTPS statt HTTP eingeben.
Wir arbeiten auch bereits daran, im Laufe des Jahres standardmäßig auf HTTPS umzustellen.
Wir arbeiten auch bereits daran, im Laufe des Jahres standardmäßig auf HTTPS umzustellen.
Ab April 2018 wird Chrome alle Seiten ohne TLS Transportverschlüsselung als unsicher brandmarken.
https://www.heise.de/security/meldu...tigsten-SSL-Seiten-das-Vertrauen-3962976.html
Gibt es bereits Bestrebungen das Forum per TLS standardmäßig bereitzustellen?
https://www.heise.de/security/meldu...tigsten-SSL-Seiten-das-Vertrauen-3962976.html
Gibt es bereits Bestrebungen das Forum per TLS standardmäßig bereitzustellen?
Auch von mir vielen Dank!
Alle (?) Links scheinen nun ja umgeschrieben zu sein auf HTTPS, allerdings gibt es keinen serverseitigen HTTPS Redirect und auch keine HSTS Header.
Somit sind Benutzer, die direkt auf www.vielfliegertreff.de navigieren und sich z.B. direkt auf der Homepage einloggen weiterhin ungeschützt. Auch bestimmte Arten von MITM-Angriffen sind weiterhin möglich, wenn auch eher ein theoretisches Problem...
Alle (?) Links scheinen nun ja umgeschrieben zu sein auf HTTPS, allerdings gibt es keinen serverseitigen HTTPS Redirect und auch keine HSTS Header.
Somit sind Benutzer, die direkt auf www.vielfliegertreff.de navigieren und sich z.B. direkt auf der Homepage einloggen weiterhin ungeschützt. Auch bestimmte Arten von MITM-Angriffen sind weiterhin möglich, wenn auch eher ein theoretisches Problem...
Endlich SSL per Default, aber die Konfiguration sollte noch optimiert werden. https://www.ssllabs.com/ssltest/analyze.html?d=vielfliegertreff.de
Hallo habe seit heute (07.07.2018) mit Firefox (Linux) beim Artikel verfassen folgendes Pr0blem:
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit www.vielfliegertreff.de trat ein Fehler auf. Die SSL-Gegenstelle meldet einen ungültigen Nachrichtenauthentifizierungscode. Fehlercode: SSL_ERROR_BAD_MAC_ALERT
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.
Wenn ich dann nochmals senden drücke, dann wird die Seite aufgerufen.
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit www.vielfliegertreff.de trat ein Fehler auf. Die SSL-Gegenstelle meldet einen ungültigen Nachrichtenauthentifizierungscode. Fehlercode: SSL_ERROR_BAD_MAC_ALERT
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.
Wenn ich dann nochmals senden drücke, dann wird die Seite aufgerufen.