Server Support Forum
SSF und SSL?

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 26.11.2012, 23:57
Benutzerbild von Fusl
Fusl Fusl ist offline
Registered User
 
Registriert seit: 06.2010
Beiträge: 1.768
SSF und SSL?

Hallo,

bei mir kommt unter https://serversupportforum.de/ nur eine weiße Seite. Bin ich der einzige, der dieses Problem hat oder gibts hier auch noch andere?
__________________
Looking Glass
Mit Zitat antworten

  #2  
Alt 27.11.2012, 00:19
Benutzerbild von DeaD_EyE
DeaD_EyE DeaD_EyE ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 35
Beiträge: 1.802
DeaD_EyE eine Nachricht über ICQ schicken
Nein, ist bei mir auch weiß. Wieso ist das überhaupt aktiv?
__________________
>>> join('white', 'red', 'yellow', 'black')
'freedom'
Mit Zitat antworten
  #3  
Alt 27.11.2012, 07:15
HonkXL HonkXL ist offline
Registered User
 
Registriert seit: 01.2005
Beiträge: 100
Bei mir ist die auch weiß. Vielleicht gehört die für die Administration? Habe dieses Forum bisher noch nie über https aufgerufen.
Mit Zitat antworten
  #4  
Alt 17.12.2014, 07:55
mobafan mobafan ist offline
Registered User
 
Registriert seit: 11.2012
Beiträge: 11
Noch immer kein SSL

Noch immer funktioniert das Forum nicht mit SSL. Stattdessen kommt eine "Apache2 Ubuntu Default Page". Da das Zertifikat aber soweit in Ordnung ist (sonst würde der Browser ja meckern), abgesehen davon, dass es mit dem unsicheren SHA-1 signiert,SSLv3 und RC4 noch aktiv ist: Warum wird das Forum selbst nicht über SSL erreicht?

Lohnt es sich nicht, weil die Forensoftware sowieso voll mit Sicherheitslücken ist (Scherz), oder was ist der Grund dafür?
Mit Zitat antworten
  #5  
Alt 17.12.2014, 09:33
Thorsten Thorsten ist offline
Moderator
 
Registriert seit: 07.2003
Alter: 46
Beiträge: 15.975
Hallo!

Für wie sicher hälst du aktuell SSL?

mfG
Thorsten
Mit Zitat antworten
  #6  
Alt 17.12.2014, 09:35
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 2.999
Wozu SSL? Wegen des Sicherheit gegen das Abfangen der Logins? Damit die Inhalte immer unverändert ankommen?
So relevant dürfte das eher nicht sein, denke ich.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #7  
Alt 17.12.2014, 10:30
marce marce ist offline
Registered User
 
Registriert seit: 10.2009
Ort: Dettenhausen
Alter: 43
Beiträge: 1.392
Auch wenn das vielleicht nicht die "beste" Quelle zu dem Thema ist, ein grober Rundumschlag an Infos findet sich aber "recht kompakt zusammengefasst":

http://www.golem.de/news/netzverschl...12-111188.html
Mit Zitat antworten
  #8  
Alt 17.12.2014, 12:51
mobafan mobafan ist offline
Registered User
 
Registriert seit: 11.2012
Beiträge: 11
SSL (oder vielmehr TLS, wie es seit geraumer Zeit eigentlich heißt) sollte heutzutage eigentlich Standard sein, insbesondere für Seiten, wo Logins benötigt werden.

Oder administriert Ihr Eure Server noch immer über Telnet statt SSH (über das offene Internet)? Falls nein: Warum sollte die Verschlüsselung dort besser sein als HTTPS anstelle von HTTP?
Mit Zitat antworten
  #9  
Alt 17.12.2014, 19:27
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.323
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Wie üblich geht selbstverständlich das SSF als Forum für Serverspezialisten mal wieder den richtigen Weg vor. Während geschätzt jedes 2. Haustier- und Katzenforum auf unserem Freehosting nur von 4096bit/256bit HTTPS mit PFS und ECDHE geschützt wird so ist das SSF natürlich http-only erreichbar.
Zumal bei Foren mit enormem Benutzerandrang im 6-stelligen Bereich - oder höher - pro Tag kann man diese Entscheidug ja natürlich verstehen, schließlich kostet hybride Verschlüsslung enorm Rechenkapazitäten - insbesondere da AES nur in der CPU moderner Hardware vorhanden ist.
Bei anderen Forenbetreiber würden mangelhafte Backup-Strategien, nicht ausreichende Raid-Kenntnisse, Probleme mit dem verrufenen Plesk zur Konklusion: "nimm dir ein verdammtes Webspace" führen. Nicht aber bei solchen Linux-Profis wie hier, wir können es ja schließlich besser als die Anderen. Immer


Disclaimer:
Dieser Beitrag ist zur allgemeinen Belustigung und Datenbank-Benchmarking Zwecken verfasst und stellt keine Kritik an lebenden oder toten Personen dar. Ausser den Teil über HTTPS. Der zählt
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #10  
Alt 17.12.2014, 21:09
Benutzerbild von nexus
nexus nexus ist offline
Registered User
 
Registriert seit: 06.2011
Beiträge: 1.460
Danke d4f, dein Beitrag hat mir den Abend versüßt...

Zum Thema:
In dem von marce verlinkten Beitrag werden doch einige Gründe genannt, die auch hier im SSF für SSL sprechen sollten. Sei es die Abwertung durch Google bei fehlender Verschlüsselung oder die Möglichkeit, Malware oder Ähnliches huckepack einzuschleusen. Da dürften mitgelesene Logins sicher das geringste Problem sein.
Schwierigkeiten könnte es möglicherweise mit externen Inhalten (Werbung) geben, wenn die unverschlüsselt bereitgestellt werden.

Geändert von nexus (17.12.2014 um 21:12 Uhr)
Mit Zitat antworten
  #11  
Alt 17.12.2014, 21:44
Benutzerbild von DeaD_EyE
DeaD_EyE DeaD_EyE ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 35
Beiträge: 1.802
DeaD_EyE eine Nachricht über ICQ schicken
Bei dem Artikel gibt es eine ganz klare Aussage. Die Verschlüsselung soll unter anderem auch gewährleisten, dass das gesendete vom Server auch unverändert beim Benutzer ankommt.

Ob das jetzt unbedingt auch auf dieses Forum zutrifft.... nein ich denke nicht. Warum sollte man das tun und wenn, mit welchen Informationen hier?
Mit Zitat antworten
  #12  
Alt 17.12.2014, 21:52
rolapp rolapp ist offline
Fan vom SSF
 
Registriert seit: 07.2011
Ort: Erlensee, Hessen
Beiträge: 665
Zitat:
Schwierigkeiten könnte es möglicherweise mit externen Inhalten (Werbung) geben, wenn die unverschlüsselt bereitgestellt werden
Das wir wohl der springende Punkt sein, sonst gibt es ja Mecker vom Onkel Browser so von wegen unsicherer Inhalte.
__________________
Gruß
Steffen
Mit Zitat antworten
  #13  
Alt 17.12.2014, 21:54
marce marce ist offline
Registered User
 
Registriert seit: 10.2009
Ort: Dettenhausen
Alter: 43
Beiträge: 1.392
es gibt fast keinen "vernünftigen Werbehoster" (ok, bitte nicht darüber diskutieren :-) der https nicht anbietet.
Mit Zitat antworten
  #14  
Alt 17.12.2014, 22:03
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.323
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
HTTPS ist ein Industriestandard und schützt Zugangsdaten.
Solange das Forum nicht auf Digest-Authentisierung setzt, werden private Informationen bei der Authentisierung übermittelt bei denen man ein berechtigtes Recht auf Geheimhaltung hat - sei es gegenüber der NSA, Proxy auf dem Arbeitsplatz oder dem Skriptkiddy mit Firesheep am Nebentisch.

Nun könnte man nur die Authentisierung absichern aber was für einen Zweck hätte das? Solange man nicht HSTS einsetzen will/kann ist HTTPS bei MitM-Angriffen trivial umgehbar und somit zumindest bei Normalsterblichen Endnutzer kritisch. Solange auch nur 1 Benutzer des Forums ein identisches Passwort für andere Zwecke einsetzt, bspw Email-Konten, ist dessen Sicherheit durch und wegen Nutzung eben dieses Forums stark gefärdet - unabhängig davon ob es ursprünglich "Schuld" ist das Passwort gewählt zu haben. Zusätzlich gibt es noch das Problem der Cookies welche eine Übernahme von Sessionen mit leicht erhältlichen Tools wie o.g. Firesheep bei HTTP-Verbindungen erlauben.

Auf der Gegenseite haben wir eine billige (wenige Euronen/Jahr bis hin zu kostenfrei - siehe StartCom oder Cloudflare) und technisch trivial implementierbare Lösung um all diese Probleme zu umgehen. Die Systembelastung ist nur marginal höher dafür aber die Sicherheit im worst-case Abhörungszenario unermesslich. Das soll einem Sicherheit doch wert sein, oder etwa nicht?


Zitat:
Das wir wohl der springende Punkt sein, sonst gibt es ja Mecker vom Onkel Browser so von wegen unsicherer Inhalte.
Die üblichen Verdächtigen mit ihrer sch...önen Werbung hier sollten in der Lage sein https-Quellen an zu bieten. Ansonsten würde ich mir doch Sorgen um deren Know-How machen.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #15  
Alt 17.12.2014, 22:26
rolapp rolapp ist offline
Fan vom SSF
 
Registriert seit: 07.2011
Ort: Erlensee, Hessen
Beiträge: 665
Zitat:
Die üblichen Verdächtigen mit ihrer sch...önen Werbung hier sollten in der Lage sein https-Quellen an zu bieten. Ansonsten würde ich mir doch Sorgen um deren Know-How machen.
Da hast Du auch wieder Recht.
__________________
Gruß
Steffen
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
ssf, ssl


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu


SSF und SSL?
SSF und SSL?
SSF und SSL? SSF und SSL?
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2018 DragonByte Technologies Ltd.