Thema SSL Verschlüsselung und NGINX

[NeverEndingStory]

Was für eine Forensoftware? Evtl. wäre es dann sinnvoll alle eingebundenen Inhalte wie Bilder lokal zu cachen/via HTTPS auszuliefern.
Problematisch kann hierbei die Haftung sein. Das ist aber ja so oder so ein Problem

 

[nexus]

Ach eines fällt mir noch ein. Es sol ja für Foren sein und da werden ja auch Bilder gepostet oder auch in die Signaturen eingebaut, die von fremden Servern (non ssl) stammen.

Jede halbwegs vernünftige Forensoftware bietet doch Content-Upload an. Alternativ könnte man einen kleinen eigenen Bilderhoster in ein Unterverzeichnis der Domain installieren.

 

[d4f]

Dabei geht es mir in erster Linie weniger um Sicherheit sondern vielmehr um den Bereich Marketing.

Solange die Cookies nicht verschlüsselt sind, ist das eher Lug und Trug als Marketing. Ein Angreifer kann problemlos das Cookie auslesen und damit
- Identitätsdiebstahl im Forum begehen
- private Daten und Einstellungen auslesen
- deine Daten manipulieren
- evtl sogar das Passwort ändern
Oder sind die allgemeinen Erinnerungen an Firesheep bereits wieder so weit verdrängt dass tatsächlich solche Sachen wieder Tagesnorm werden?

Problematisch kann hierbei die Haftung sein. Das ist aber ja so oder so ein Problem

Bei Auslieferung über den eigenen Server kann das eine Horror-Story für sich selber werden. Frage mich ob das einer der Gründe ist warum genau das SSF vollständig auf SSL verzichtet was die Verwendung in nicht-vertrauten Netzweren oder ohne VPN unmöglich macht.

 

[Unifex]

Also da ist ein Add on am Laufen dass allen externen Content lokal speichert.
Ausgenommen davon sind die Signaturen. Das dürfte echt ein Problem sein.
In die Signaturen basteln sich die Mitglieder in der Regel Ticker, die dynamisch sind. Also auf externen Seiten mit Daten gespeist werden und dann andere Werte anzeigen.
Würde ich die auch speichern, würden sich die Werte nie verändern.
Zugegeben ein recht spezielles Problem, was aber dem Thema des Forums geschuldet ist.
Bis mein eigenes Ticker System fertig ist, hätte ich also ein Problem.

Abgesehen vom Marketing gibt es aber auch eine technische Komponente, die mich an SSL reizt und zwar der Einsatz von SPDY 3.1.
Das geht ja nur mit SSL.

Eine Frage zu den Cookies. Wenn ich eine Seite verschlüssele, sind die Cookies nicht automatisch mit verschlüsselt?

 

[GwenDragon]

Eine Frage zu den Cookies. Wenn ich eine Seite verschlüssele, sind die Cookies nicht automatisch mit verschlüsselt?

Cookies sind immer Klartextdaten. Da werden keine Inhalte verschleiert/verschlüsselt. Das muss die Webanwendung leisten.

Oder meinst du dass die Cookies über SSL versandt werden?
Nur wenn beim Cookie die Eigenschaften HttpOnly und Secure gesetzt werden. Auch das muss in der Webanwendung geschehen.