SSF und SSL?

Nein, ist bei mir auch weiß. Wieso ist das überhaupt aktiv?
 
Bei mir ist die auch weiß. Vielleicht gehört die für die Administration? Habe dieses Forum bisher noch nie über https aufgerufen.
 
Noch immer kein SSL

Noch immer funktioniert das Forum nicht mit SSL. Stattdessen kommt eine "Apache2 Ubuntu Default Page". Da das Zertifikat aber soweit in Ordnung ist (sonst würde der Browser ja meckern), abgesehen davon, dass es mit dem unsicheren SHA-1 signiert,SSLv3 und RC4 noch aktiv ist: Warum wird das Forum selbst nicht über SSL erreicht?

Lohnt es sich nicht, weil die Forensoftware sowieso voll mit Sicherheitslücken ist :D (Scherz), oder was ist der Grund dafür?
 
Wozu SSL? Wegen des Sicherheit gegen das Abfangen der Logins? Damit die Inhalte immer unverändert ankommen?
So relevant dürfte das eher nicht sein, denke ich.
 
SSL (oder vielmehr TLS, wie es seit geraumer Zeit eigentlich heißt) sollte heutzutage eigentlich Standard sein, insbesondere für Seiten, wo Logins benötigt werden.

Oder administriert Ihr Eure Server noch immer über Telnet statt SSH (über das offene Internet)? Falls nein: Warum sollte die Verschlüsselung dort besser sein als HTTPS anstelle von HTTP?
 
Wie üblich geht selbstverständlich das SSF als Forum für Serverspezialisten mal wieder den richtigen Weg vor. Während geschätzt jedes 2. Haustier- und Katzenforum auf unserem Freehosting nur von 4096bit/256bit HTTPS mit PFS und ECDHE geschützt wird so ist das SSF natürlich http-only erreichbar.
Zumal bei Foren mit enormem Benutzerandrang im 6-stelligen Bereich - oder höher - pro Tag kann man diese Entscheidug ja natürlich verstehen, schließlich kostet hybride Verschlüsslung enorm Rechenkapazitäten - insbesondere da AES nur in der CPU moderner Hardware vorhanden ist.
Bei anderen Forenbetreiber würden mangelhafte Backup-Strategien, nicht ausreichende Raid-Kenntnisse, Probleme mit dem verrufenen Plesk zur Konklusion: "nimm dir ein verdammtes Webspace" führen. Nicht aber bei solchen Linux-Profis wie hier, wir können es ja schließlich besser als die Anderen. Immer


Disclaimer:
Dieser Beitrag ist zur allgemeinen Belustigung und Datenbank-Benchmarking Zwecken verfasst und stellt keine Kritik an lebenden oder toten Personen dar. Ausser den Teil über HTTPS. Der zählt
 
Danke d4f, dein Beitrag hat mir den Abend versüßt... :D

Zum Thema:
In dem von marce verlinkten Beitrag werden doch einige Gründe genannt, die auch hier im SSF für SSL sprechen sollten. Sei es die Abwertung durch Google bei fehlender Verschlüsselung oder die Möglichkeit, Malware oder Ähnliches huckepack einzuschleusen. Da dürften mitgelesene Logins sicher das geringste Problem sein.
Schwierigkeiten könnte es möglicherweise mit externen Inhalten (Werbung) geben, wenn die unverschlüsselt bereitgestellt werden.
 
Last edited by a moderator:
Bei dem Artikel gibt es eine ganz klare Aussage. Die Verschlüsselung soll unter anderem auch gewährleisten, dass das gesendete vom Server auch unverändert beim Benutzer ankommt.

Ob das jetzt unbedingt auch auf dieses Forum zutrifft.... nein ich denke nicht. Warum sollte man das tun und wenn, mit welchen Informationen hier?
 
Schwierigkeiten könnte es möglicherweise mit externen Inhalten (Werbung) geben, wenn die unverschlüsselt bereitgestellt werden
Click to expand...
Das wir wohl der springende Punkt sein, sonst gibt es ja Mecker vom Onkel Browser so von wegen unsicherer Inhalte.
 
es gibt fast keinen "vernünftigen Werbehoster" (ok, bitte nicht darüber diskutieren :-) der https nicht anbietet.
 
HTTPS ist ein Industriestandard und schützt Zugangsdaten.
Solange das Forum nicht auf Digest-Authentisierung setzt, werden private Informationen bei der Authentisierung übermittelt bei denen man ein berechtigtes Recht auf Geheimhaltung hat - sei es gegenüber der NSA, Proxy auf dem Arbeitsplatz oder dem Skriptkiddy mit Firesheep am Nebentisch.

Nun könnte man nur die Authentisierung absichern aber was für einen Zweck hätte das? Solange man nicht HSTS einsetzen will/kann ist HTTPS bei MitM-Angriffen trivial umgehbar und somit zumindest bei Normalsterblichen Endnutzer kritisch. Solange auch nur 1 Benutzer des Forums ein identisches Passwort für andere Zwecke einsetzt, bspw Email-Konten, ist dessen Sicherheit durch und wegen Nutzung eben dieses Forums stark gefärdet - unabhängig davon ob es ursprünglich "Schuld" ist das Passwort gewählt zu haben. Zusätzlich gibt es noch das Problem der Cookies welche eine Übernahme von Sessionen mit leicht erhältlichen Tools wie o.g. Firesheep bei HTTP-Verbindungen erlauben.

Auf der Gegenseite haben wir eine billige (wenige Euronen/Jahr bis hin zu kostenfrei - siehe StartCom oder Cloudflare) und technisch trivial implementierbare Lösung um all diese Probleme zu umgehen. Die Systembelastung ist nur marginal höher dafür aber die Sicherheit im worst-case Abhörungszenario unermesslich. Das soll einem Sicherheit doch wert sein, oder etwa nicht?


Das wir wohl der springende Punkt sein, sonst gibt es ja Mecker vom Onkel Browser so von wegen unsicherer Inhalte.
Click to expand...
Die üblichen Verdächtigen mit ihrer sch...önen Werbung hier sollten in der Lage sein https-Quellen an zu bieten. Ansonsten würde ich mir doch Sorgen um deren Know-How machen.
 
Die üblichen Verdächtigen mit ihrer sch...önen Werbung hier sollten in der Lage sein https-Quellen an zu bieten. Ansonsten würde ich mir doch Sorgen um deren Know-How machen.
Click to expand...
Da hast Du auch wieder Recht.
 
Neben den schon genannten Argumenten sehe ich auch noch einen psychologischen Effekt, der SSL hier sinnvoll erscheinen lassen dürfte.
Wenn ein (potentieller) SSF-User ein spezifisches Problem mit Verschlüsselung hat, warum sollte er in einem Fachforum nachfragen, daß diesen Standard selber nicht anbietet...:rolleyes:
 
Spätestens mit dem neuen IT-Sicherheitsgesetz wird das SSF entweder schliessen oder sowohl TLS einführen als auch nahezu den kompletten Softwarestack wechseln müssen.

Also lasst Thorsten die kurze verbleibende Zeit um die notwendige Migration einzuleiten oder den geordneten Rückzug zu organisieren.



Dieser Schritt steht auch vielen SSF-Nutzern bevor, viel Spass ;)
 
Joe, du hast den Sarkasmus diesmal wohl sehr tief versteckt, ich finde ihn nicht. Zu erwarten dass die Regierung ein durchdachtes Gesetz herausbringt, und auch noch in sowas neumodischem wie dem Internet, grenzt an den Glauben an den Coca-Cola(R) Weihnachtsmann(TM).
Die Kinder spielen mit den Gesetzen, und die Erwachsenen/IT'ler dürfen den ganzen Spaß bezahlen. In die Ecke gestellt und vergessen wird die Spielsache aber eh wieder schnell (Vorratsdatenspeicherung).
 
Der Sarkasmus steckt im letzten Halbsatz, also wirklich versteckt, sorry ;)


Ernsthaft, das IT-Sicherheitsgesetz wird kommen, da die grösste/einzige Angriffsfläche der versteckten Voratsdatenspeicherung mitlerweile entsorgt ist. Der Rest des Gesetzes ist durchaus sinnvoll und teilweise längst überfällig. Darüberhinaus wird das Gesetz wohl eher kurz vor Feierabend rasch durchgewunken, statt lang und breit diskutiert zu werden, schliesslich wollen sich unsere Politiker nicht unnötig tief ins Neuland begeben.


Einfach mal den aktuellen Gesetzentwurf selbst lesen statt irgendwelchen falschen Gerüchten Glauben zu schenken.



PS: Dieser Post ist frei von Sarkasmus.
 
You must log in or register to reply here.
Back
Top