HTTPS für das gesamte Forum

+A -A
Autor
Beitrag
*noname123*
Stammgast
#51 erstellt: 31. Dez 2020, 09:42
Ist die Frage was mit Echtzeit gemeint ist.
Niedrige Latenz (was nichts mit "Echtzeit" in der IT zu tun hat) oder absolute Genauigkeit zu wissen, wann etwas berechnet werden sein wird - letzteres ist eigentlich mit "Echtzeit" gemeint. Theoretisch kann also etwas auch in "Echtzeit" berechnet werden, wenn es 5 Tage dauert. Wenn man genau sagen kann, es wird 5 Tage dauern.

Aber wie MBurock schon sagte: es kann beides mit "Ja" beantwortet werden.
Wenn der Key vorhanden ist, ist das entschlüsseln eine Sache von absolut deterministischer Zeit (wenige Millisekunden danks AES in Hardware) und in extrem kurzer Zeit machbar.
Hab es gerade getestet.
OpenWRT hat uebrigens paar coole Luci Addons für so ähnliche Zwecke, zb. darkstat, netify etc. - dort passiert nichts anderes.
Man hinterlegt den WPA key und das ganze wird on-the-fly (denke das meinen die meisten anstelle von "Echtzeit") entschlüsselt.
Beispiel: https://www.cloudshark.org/captures/d4eb5c817b38

Ich verstehe nicht was du meinst mit "Datenaustausch aufzeichnen" und "Schlüssel auslesen".
Ja klar, man braucht den Key, den man in jedem WLan bekommt wenn man zb. im McDonalds sitzt (oder sonst wo, wo eben "public wifi" angeboten wird).
Oder wenn man in einer Familie ist und Zugriff auf das Wifi hat.
Den Datenaustausch braucht man nicht aufzeichnen, man kann das auch genau vorher filtern.
Man kann sagen: filter mir nur http traffic wenn es sich um einen POST mit body content handelt. Schon ist verkackt... damit dürfte man alle HTTP Formulare die ausgefüllt werden erhalten (zb. wenn man an jemand eine message schickt)


[Beitrag von *noname123* am 31. Dez 2020, 09:46 bearbeitet]
MBurock
Stammgast
#52 erstellt: 31. Dez 2020, 11:58
Echtzeit definiert sich in der Regel erntweder durch die genaue Kentniss der Rechenzeit, oder dadurch, dass die verarbeiteten Datenmengen je Zeiteinheit den einkommenden entsprechen. Das ist hier definitiv gegeben, da AES eben hardwareseitig entschlüsselt wird (wobei auch eine Softwareentschlüsselung auf moderner Hardware in Echtzeit möglich wäre, nur weniger effizient).

Wenn man sich mit einem WPA2-Wifi verbindet wird per 4way Handshake ein Schlüssel ausgehandelt.
Dieser Schlüssel ist für alle Geräte im Netzwerk der selbe und wird in der Regel in regelmäßigen Abständen (z.B. alle 30 Minuten) mit einem neuen Seed erzeugt. Das erschwert es ohne Schwachstellen wie KRACK als außenstehender die Pakete zu entschlüsseln, in der Regel ist das tatsächlich nicht möglich mit heutiger und in den nächsten Jahren erwarteter Rechenleistung, bezogen auf die Situation, dass man "früher" einmal berechtigt im Netzwerk war und es nun nicht mehr ist.

Wifi ist generell ein Shared Medium, das heißt, physikalisch bekommt jedes Gerät jedes Paket. Unserer WLAN-Adapter haben in der Regel drei Modi um damit umzugehen, diese sind softwareseitig implementiert und entscheiden, welche Pakete an den Netzwerkstack des Systems weiter gegeben werden:
non-promiscuous: nur Pakete, die an meine MAC addressiert sind werden verarbeitet
promiscuous: alle Pakete im selben Netz werden verarbeitet
monitor: alle Pakete im gewählten Frequenzband werden verarbeitet

Wenn man nun im promiscuous-mode Pakete der anderen im gleichen Netzwerk mitliest, sind diese genauso schnell oder nicht schnell entschlüsselt wie die Pakete, die man selbst nutzt. Defacto ist es also nichts anderes als eine Filterregel, dass man diese Pakete nicht ließt, die sich deaktivieren lässt.
Im Promiscous-mode mit tcp-dump oder einfachen tools wie WireShark oder das früher populäre Ettercap bedarf es keinerlei Fähigkeiten oder "Spezialwissen" die Pakete anderer zu lesen. Da http über tcp läuft, kann im data package einfach im Klartext so der html-code gelesen werden, wie ihn der Browser bekommt.

Das nachträgliche Entschlüsseln ist nur dann notwendig, wenn man im monitor mode außerhalb des Netzwerkes die Pakete aufgezeichnet hat. Das ist allerdings in der Tat rechenaufwendig, letztendlich muss man das Passwort schlicht erraten. WPA3 ermöglicht es durch forward secrecy übrigens nicht mehr, Pakete im Nachhinein zu entschlüsseln.

Es gibt gegen das Mitlesen innerhalb von WPA2 natürlich Maßnahmen, der hier zuvor erwähnte Rados-Server ist eine davon. Letztendlich wird innerhalb des WPA2, also eine ebene tiefer nochmals eine "innere Verschlüsselung" angelegt, diese kann Nutzerindividuell sein. Das ist allerdings nicht Standard und meines Wissens mit einfacher Hardware wie einer FritzBox! auch nicht umsetzbar (mindestens ein rpi wäre dazu noch notwendig).

Festzuhalten ist am Ende: es ist einfach, es ist unsicher und https bzw ssl sind heute Pflicht.

Sollte die Forensoftware aus irgendwelchen Gründen das nicht unterstützen (wovon ich nicht ausgehe), kann man notfalls zumindest einen Reverse-Proxy davor legen.


[Beitrag von MBurock am 31. Dez 2020, 11:59 bearbeitet]
Benutzer2382457258
Schaut ab und zu mal vorbei
#53 erstellt: 19. Jan 2021, 17:24
Bin ein recht neuer User hier. Das erste was mir aufgefallen ist, ist das fehlende SSL.

Interessant, dass die Diskussion schon 2 Jahre anhält. Stehen die Gründe dafür hier irgendwo in den Posts, oder gibt's keine "offizielle Stellungnahme"?
matze275
Ist häufiger hier
#54 erstellt: 17. Mrz 2021, 15:08
Keine Ahnung woran das liegt. Ich betreibe selbst einen Server und verwende die Let's Encrypt Zertifikate. Noch sind sie kostenlos und werden halbjährlich automatisch erneuert. Https ist heute eigentlich schon DSGVO-Muss. Dieses Forum ist im Prinzip nichts anderes als eine Website mit einem kräftigen Backend. So sind heute die meisten Websites gestrickt und laufen mit https, vorzugsweise mit http2-Protkoll. Aber: Der Teufel steckt immer im Detail und die Details kennen wir leider nicht.
Noctem
Stammgast
#55 erstellt: 10. Apr 2021, 08:24
Ich war schon ein lange Zeit nicht mehr hier unterwegs. Heute mal wieder einen Post abgesetzt.
Leider musste ich mit "erschrecken" feststellen, dass das Forum weder auf https umgestellt wurde, noch das es eine mobile Ansicht gibt. Letzteres kann ich gerade noch so verkraften (ist aber trotzdem Mittelalter) aber das nach 2 Jahren Diskussion hier immer noch mit http gewerkelt wird, ist ein Unding! Mich wundert es, dass irgendeine eine lausige Anwaltskanzlei euch noch nicht abgemahnt hat!

Und die Ausrede vom DSGVO beauftragten, dass hier eh alles öffentlich ist, zieht nicht - das sind andere Blogs und Webseiten auch!


[Beitrag von Noctem am 10. Apr 2021, 08:26 bearbeitet]
dan_oldb
Inventar
#56 erstellt: 10. Apr 2021, 08:36
[quote="Noctem (Beitrag #55)"] Mich wundert es, dass irgendeine eine lausige Anwaltskanzlei euch noch nicht abgemahnt hat!
/quote]

Bei aller Liebe zu HTTPS und meinem Unverständnis darüber warum das nicht umgesetzt wird: Kannst du schlüssig darlegen warum hier abgemahnt werden könnte? In meinen Augen werden hier keine personenbezogenen Daten unverschlüsselt übertragen, und auch die Datenschutzerklärung wirkt erst einmal stimmig für mich.
Noctem
Stammgast
#57 erstellt: 10. Apr 2021, 08:54
Wie kann dieses Thema an einem Forumbetreiber vorbeigegangen sein. Und noch schlimmer, der DSGVO Beauftragte hat scheinbar keine Ahnung von seinem Job.

Besonders der Punkt 7 ist zu beachten.
http://www.gesetze-im-internet.de/tmg/__13.html


https://der-internet...stellen-ja-oder-nein
Zitat:
Liest man diese gesetzliche Anforderung genau, so steht dort, dass sämtliche geschäftsmäßige Webseiten, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen (also auch Cookies in jedweder Form verwenden, sei es auch zur einfachen Reichweitenmessung), der Aufforderung zur Anwendung von HTTPS nachkommen sollen.


[Beitrag von Noctem am 10. Apr 2021, 08:57 bearbeitet]
trudelsound
Neuling
#58 erstellt: 23. Jul 2021, 08:37
Hallo, hatte erst ein eigenes Thema dazu, aber nun hier angehängt:


"""
Das Forum hier hat ein Zertifikat, welches man über eine Ausnahmeregelung hinzufügen kann. Aber selbst dann wird man von HTTPS auf HTTP umgeleitet.

Mit manchen Browsereinstellungen ist die Site somit gar nicht mehr aufrufbar und es wäre doch schön, hier eine sicher Verbindung zu haben. Das macht auch einen viel besseren Eindruck insgesamt.
"""

Jetzt mal Allgemein, wenn ich die ganze Diskussion dazu sehe, so ein Zertifikat ist doch schnell eingerichtet und es kostet nicht - gibt aber mehr Sicherheit und ein gutes Gefühl und sieht gut aus...
Noctem
Stammgast
#59 erstellt: 23. Jul 2021, 11:04
Ich möchte keine Ausnahmegenehmigung sondern ein vertrauenswürdiges Zertifikat. Das ist Pflicht, beim Umgang mit persönlichen Daten!
trudelsound
Neuling
#60 erstellt: 23. Jul 2021, 12:13
Nunja, eine sichere Verbindung über ein selbst erstelltes Zertifikat ist besser als eine unverschlüsselte Verbindung ;-)

Wobei das nicht mein Vorschlag war, es sollte nur das merkwürdige Verhalten beschreiben, dass man von https auf http geleitet wird.

Ein Zertifikat selbst zu signieren ist sowieso mehr Aufwand als z.b. kurz den Certbot von Let's Encrypt drüber laufen zu lassen. Das dauert keine 10 Minuten..
höanix
Inventar
#61 erstellt: 23. Jul 2021, 12:18
Bei der Anmeldung und beim einloggen existiert doch ein Zertifikat, das wird alles über https abgewickelt.
Im öffentlichen Bereich ist doch sowieso alles für jeden sichtbar, ob angemeldet oder nicht.
Was mich stört ist das PNs unverschlüsselt übertragen werden, da könnten auch persönliche Daten enthalten sein.
Wenn sich da nicht bald was ändert werde ich das Forum auch nicht mehr nutzen.
Noctem
Stammgast
#62 erstellt: 23. Jul 2021, 12:25
Was ist an einem selbstsignierten sicher? Das kann jeder und sagt so ziemlich gar nichts über den Aussteller aus!
Das forum ist schon seit Jahren für mich gestorben. Hier ist alles in den 2000ern stehen geblieben.
dan_oldb
Inventar
#63 erstellt: 30. Okt 2021, 20:58

ak2 (Beitrag #34) schrieb:

Die vollständige Umstellung auf SSL wird auf jeden Fall in absehbarer Zeit erfolgen, was noch unklar ist, ist der Zeitpunkt.


Dieser Beitrag ist über ein Jahr alt. Wenn es nicht so traurig wäre könnte man fast darüber lachen.
visualXXX
Inventar
#64 erstellt: 09. Dez 2021, 12:22
da hat man nen bisschen das Gefühl, dass seit dem Betreiberwechsel das Forum nur noch ein lästiges Anhängsel ist.

Seit nun fast 3,5 Jahren schafft es ein Gewerblicher Anbieter nicht sein eigenes Forum auf HTTPS umzustellen geschweige denn mal ein vernünftiges Mobiles Design oder Tapatalk oder ähnliches zu integrieren.
subwuff
Schaut ab und zu mal vorbei
#65 erstellt: 28. Jan 2022, 13:10
Nutze dieses Forum kaum, aber mir ist direkt aufgefallen, dass hier ohne TLS gearbeitet wird. Was ein Unsinn. Da will wohl jemand aktiv zum Forensterben beitragen. Selbstmordkommando? Hat doch überhaupt keinen Sinn kein TLS zu nutzen. Immer mehr Browser zeigen Warnungen an, dass kein TLS vorhanden ist und das macht die Nutzererfahrung dieses Forums doch deutlich schlechter. Und dann äußert sich der Admin auch noch bzgl. irgendwelche Wifi Standards, anstatt endlich TLS einzuführen und auf die anderen Dinge einzugehen. Kann man sich nicht ausdenken.
Hüb'
Moderator
#66 erstellt: 28. Jan 2022, 13:55

Hüb' (Beitrag #10) schrieb:
Hallo zusammen,

dazu muss der Betreiber sich melden. Ich habe ihn auf den Thread hingewiesen.

Viele Grüße
Frank
-Moderation Hifi-Forum-
:prost

Galt 2019 genauso, wie es heute immer noch gilt...



[Beitrag von Hüb' am 28. Jan 2022, 13:56 bearbeitet]
subwuff
Schaut ab und zu mal vorbei
#67 erstellt: 28. Jan 2022, 16:30
Achso. Bin davon ausgegangen, dass der Admin auch gleich der Betreiber ist. Aber der Admin sollte doch Kontakt zum Betreiber haben und da ist es absurd, dass es bzgl. diesem Thema noch zu keiner Kommunikation kam.
Hüb'
Moderator
#68 erstellt: 28. Jan 2022, 16:49
Es ist naiv, anzunehmen, es habe dazu nicht bereits eine Kommunikation gegeben…

höanix
Inventar
#69 erstellt: 29. Jan 2022, 00:13
Ist es auch naiv hier eine kurze Rückmeldung dazu zu erwarten?
Hüb'
Moderator
#70 erstellt: 29. Jan 2022, 06:39
Nö. Nur können wir den Betreiber nicht dazu zwingen.
Wir Mods/Admins haben dazu keinerlei Kenntnisstand.



[Beitrag von Hüb' am 07. Jun 2022, 19:20 bearbeitet]
kangaroo72
Stammgast
#71 erstellt: 26. Feb 2022, 15:55
Ich hab grad 'ne Möglichkeit dazu gesucht, um das Thema aufzugreifen.
Echt unbegreiflich, dass da noch nichts passiert ist.
Über kurz oder lang werden sogar die Browser HTTP verweigern....

Ansonsten super Forum. Freue mich, dabei zu sein.

LG,

Tom
BlurCore
Stammgast
#72 erstellt: 12. Apr 2022, 12:25
Es ist doch recht einfach - hatte das vor langer Zeit registriert und mich gewundert. Jetzt den Thread gefunden; aus 2018! Peinlich. Aber gut, definitiv ein Fall für die DSGVO und das kann man ja durchaus auch melden 😁
Ich bin dafür ehrlicherweise zu faul und der geringste Widerstand wird die eine DSGVO-Anfrage sein. Geht diese Woche raus und dann werde ich die Löschung aller meiner Information, inklusive postings beantragen. Easy. Das machen mal 10 Personen und schon wird der Betreiber ggf. hellhörig … auch wenn der Glaube daran gering ist 🙂
HifiMark
Stammgast
#73 erstellt: 07. Jun 2022, 19:20
Wann wird dieses Forum aus Sicherheitsgründen wie es die DSGVO bereits seit Jahren vorschreibt, endlich SSL-Verschlüsselt, bzw. auf HTTPS umgestellt?

Ich bin in diversen Foren unterwegs, doch dieses Forum nimmt inzwischen die absolute Ausnahme bzgl. der nicht vorhandenen Verschlüsselung ein


[Beitrag von HifiMark am 07. Jun 2022, 19:48 bearbeitet]
HifiMark
Stammgast
#74 erstellt: 07. Jun 2022, 19:31
Offensichtlich interessiert es die Verantwortlichen nicht, denn ansonsten fällt mir kein Grund ein, weshalb dieses gesetzlich geforderte Sicherheitszertifikat, dass zudem kostenlos verfügbar ist, hier noch immer nicht aktiviert worden ist.

Ich warte noch einige Wochen ab und wenn dann nicht eine plausible Erklärung der Verantwortlichen kommt, werde ich um die Löschung meines Accounts bitten!


[Beitrag von HifiMark am 07. Jun 2022, 20:03 bearbeitet]
Navarone
Stammgast
#75 erstellt: 08. Jun 2022, 19:26

HifiMark (Beitrag #73) schrieb:
Wann wird dieses Forum aus Sicherheitsgründen wie es die DSGVO bereits seit Jahren vorschreibt, endlich SSL-Verschlüsselt, bzw. auf HTTPS umgestellt?

Meines Wissens fordert die DSGVO nach wie vor lediglich das, was in diesem Thread bereits erläutert wurde:

(Beitrag #7) schrieb:
(…) die DSGVO fordert lediglich die Einhaltung von Sicherheitsstandards. Einzelne Maßnahmen wie SSL-Verschlüsselung sind indessen nicht explizit vorgeschrieben.

Der Login-Prozess auf Hifi.de ist durch eine SSL-Verbindung gesichert, so dass insbesondere Ihr Passwort nur verschlüsselt übertragen wird. Soweit aber öffentlich einsehbare Daten übertragen werden, etwa Forenbeiträge von Ihnen, erfolgt noch keine SSL-Verschlüsselung. Die Anforderungen an die Sicherheit sind hier niedriger, da diese Daten ja ohnehin veröffentlicht werden. Die Umstellung des gesamten Dienstes auf SSL-Verschlüsselung ist jedoch bereits begonnen worden.
(…)

Gruß
Toni
höanix
Inventar
#76 erstellt: 09. Jun 2022, 07:59
Und außerdem:

ak2 (Beitrag #34) schrieb:
Die vollständige Umstellung auf SSL wird auf jeden Fall in absehbarer Zeit erfolgen, was noch unklar ist, ist der Zeitpunkt.

HifiMark
Stammgast
#77 erstellt: 09. Jun 2022, 16:28
Dass der Login-Prozess durch SSL-Verbindung gesichert ist, ist zumindest ein Anfang und wurde von mir übersehen, da mir der Browser bereits beim Öffnen der Seite einen Hinweis bzgl. fehlender Verschlüsselung gibt.

Dann hoffe ich, dass in naher Zukunft auch die gesamte Seite entsprechend umgestellt wird.


[Beitrag von HifiMark am 09. Jun 2022, 16:29 bearbeitet]
Uwe_Mettmann
Inventar
#78 erstellt: 09. Jun 2022, 21:04
@HifiMark

So, der von höanix zitierte Beitrag #34 ist doch ein Aufhänger, sich direkt an den Forenbetreiber zu wenden, denn der Forenbetreiber hat den Beitrag #34 verfasst. Du kannst dich also direkt über eine PM an ihn wenden.

Wenn du das machst, wäre es nett, wenn du uns mitteilst, was dabei rausgekommen ist.


Gruß

Uwe
Vesanius
Neuling
#79 erstellt: 03. Jul 2022, 18:00
Mein neuer Beitrag zum Missstand dazu wird mit dem Hinweis, dass man das "schon auf dem Schirm habe", wegmoderiert. In Zeiten wo sich Hinz und Kunz mit LetsEncrypt oder ZeroSSL über Nginx und Konsorten eine eigene verschlüsselte Webseite herschaffen können. Ein mal Swag per Docker-Compose starten, die Domain auf das Forum zielen lassen und ab gehts. Automatische Erneuerung der Zertifikate inklusive. Meine Fünf Rappen am Sonntag Abend, auch wenn es garantiert pure Zeitverschwendung war. Da geht's ums Prinzip.

EDIT: Wo kann ich die Löschung meines Kontos inkl. aller Beiträge beantragen?


[Beitrag von Vesanius am 03. Jul 2022, 18:05 bearbeitet]
Hüb'
Moderator
#80 erstellt: 03. Jul 2022, 18:13

Mein neuer Beitrag zum Missstand dazu wird mit dem Hinweis, dass man das "schon auf dem Schirm habe", wegmoderiert. I

Das ist nachweislich unwahr. Ich habe den Beitrag (Erföffnungsbeitrag eines neuen, redundanten Themas) mit dem Hinweis, diesen bitte hier anzuhängen, abgelehnt.

Deinen Account kannst du in deinem Profil löschen.

Viele Grüße
Frank
-Moderationsteam Hifi-Forum-


[Beitrag von Hüb' am 04. Jul 2022, 07:24 bearbeitet]
George_Lucas
Inventar
#81 erstellt: 04. Jul 2022, 07:21

Vesanius (Beitrag #79) schrieb:


EDIT: Wo kann ich die Löschung meines Kontos inkl. aller Beiträge beantragen?

Deine Beiträge werden nicht gelöscht, da du dem Forum dafür die zeitlich unbegrenzten Nutzungsrechte eingeräumt hast.
Roadfox
Stammgast
#82 erstellt: 10. Jul 2022, 08:54
Dieser Thread hat schon vier Jahre auf dem Buckel, aber mein Browser fragt mich immer noch, ob ich mir die potentiell unsicher Seite antun möchte . Langsam wird es doch Zeit, auf https umzustellen, bevor jeder aktueller Browser allgemein keine Weiterleitung mehr ermöglicht. Wenn das eintritt, ist der Zug abgefahren, da dann auch der Sinn geschalteter Werbung hinfällig wird (mit entsprechenden Plugins ist das schon lange kein Thema mehr ).
Buddy_Casino
Stammgast
#83 erstellt: 13. Jul 2022, 14:58
Caddy vorklemmen, fertig. Automatische Cert-Rotation, man muss sich um nix kümmern, kost nix, keine 3rd Party Skripte oder Tools. Zur Not mach ich euch das, ist wirklich nicht schwer.
Uwe_Mettmann
Inventar
#84 erstellt: 13. Jul 2022, 19:51

Buddy_Casino (Beitrag #83) schrieb:
Caddy vorklemmen, fertig. Automatische Cert-Rotation, man muss sich um nix kümmern, kost nix, keine 3rd Party Skripte oder Tools. Zur Not mach ich euch das, ist wirklich nicht schwer.

Das ist doch nett von dir, nur liest der Forenbetreiber vermutlich hier nicht regelmäßig mit. Sein letzter Beitrag war #34. Daher schreibe ihn doch einfach direkt per PM. Sicherlich wird man dir dankbar sein, wenn du das Problem tatsächlich einfach und schnell lösen kannst. In der Regel antwortet der Forenbetreiber auch zeitnah (innerhalb einer Woche) auf PMs, so meine persönliche Erfahrung.

Bitte berichte, was dabei rausgekommen ist.

Danke

Gruß


Uwe
dan_oldb
Inventar
#85 erstellt: 13. Jul 2022, 20:02

Caddy vorklemmen, fertig. Automatische Cert-Rotation, man muss sich um nix kümmern, kost nix, keine 3rd Party Skripte oder Tools. Zur Not mach ich euch das, ist wirklich nicht schwer.


Völlig wurscht ob man Caddy, nginx, Apache oder sonst etwas benutzt. Ich denke aber das man noch etwas rewriting einbauen muss da die Forensoftware irgendwas selbstgestricktes von kurz nach dem Mauerfall ist, da werden sicher eine Menge harte Links auf http vorhanden sein. Aber auch das ist kein Hexenwerk.


Daher schreibe ihn doch einfach direkt per PM. Sicherlich wird man dir dankbar sein, wenn du das Problem tatsächlich einfach und schnell lösen kannst.


Das kann ich mir kaum vorstellen, denn die Umsetzung bekommt wirklich jede Webbude um die Ecke hin. Es mangelt nicht an Leuten die soetwas können, sondern an der Bereitschaft des Betreibers dies umzusetzen oder zu beauftragen. So wie es hier auch sonst überall an jeglicher Bereitschaft fehlt irgendetwas zu verbessern. Und ich denke so lange die Werbepartner weiter buchen wird sich daran auch nichts ändern.
dan_oldb
Inventar
#86 erstellt: 28. Okt 2022, 22:59

ak2 (Beitrag #34) schrieb:
Die vollständige Umstellung auf SSL wird auf jeden Fall in absehbarer Zeit erfolgen, was noch unklar ist, ist der Zeitpunkt.


Ist den Verantwortlichen eigentlich bewusst das diese Aussage über zwei Jahre her ist?

Im Übrigen verstösst diese Seite ganz eindeutig doch gegen die DSGVO (anders als vom "Datenschutzbeauftragten" behauptet): denn u.A. und im Speziellen ist das Kontaktformular "http://www.hifi-forum.de/index.php?action=contact&mode=formular" nicht über SSL/TLS verschlüsselt: nicht der Aufruf und vor allem nicht das Abschicken an "http://www.hifi-forum.de/index.php?action=contact&mode=send"
Über manches andere mag man spitzfindig streiten, aber das ist ein ganz hartes No-Go und ein eklatanter Verstoss der durch nichts zu rechtfertigen ist, ausser Lustlosigkeit.

In der Hoffnung das sich dadurch vielleicht etwas bewegt habe ich gerade eine Beschwerde beim LDI NRW eingereicht, dann kommt hoffentlich etwas Schwung in die Angelegenheit.
dan_oldb
Inventar
#87 erstellt: 24. Jan 2023, 22:44
Um ein Update zu meiner Beschwerde zu geben:
Beim LDI in NRW arbeitet man offenbar ähnlich wie die Betreiber dieses Forums: Ausser einer Nachricht das man seit Jahren zu viel zu tun habe und man sobald man es schaffe sich zu kümmern sich melden wolle ist wohl bisher nichts unternommen worden. Ist ja auch erst fast 3 Monate her...
Passat
Inventar
#88 erstellt: 25. Jan 2023, 10:46

dan_oldb (Beitrag #85) schrieb:

Das kann ich mir kaum vorstellen, denn die Umsetzung bekommt wirklich jede Webbude um die Ecke hin.


Die Forensoftware ist nichts von der Stange, sondern ist ein Eigengewächs.
Daher meine Vermutung:
In der Forensoftware wurde bei der Programmierung arger Blödsinn gemacht und diverse Links wurden mit http: hardkodiert.
Eine Umstellung auf https ließe diese hardkodiertern Links dann ins Leere laufen.

Und deshalb kann es keine Hinterhofbude, sondern da müsste ein Programmierer an die Forensoftware ran.
Aber die gibt es anscheinend nicht mehr.

Anders kann ich mir diese extrem lange Verzögerung mit der Umsetzung nicht erklären.

Grüße
Roman


[Beitrag von Passat am 25. Jan 2023, 10:47 bearbeitet]
höanix
Inventar
#89 erstellt: 25. Jan 2023, 13:32

Passat (Beitrag #88) schrieb:
Und deshalb kann es keine Hinterhofbude, sondern da müsste ein Programmierer an die Forensoftware ran.
Aber die gibt es anscheinend nicht mehr.

Natürlich gibt es die noch, die sind aber nicht gerade billig.
Passat
Inventar
#90 erstellt: 25. Jan 2023, 13:39
Ich meinte:
Bei der Firma angestellte Programmierer.
Die gibt es anscheinend nicht mehr.

Grüße
Roman
höanix
Inventar
#91 erstellt: 25. Jan 2023, 13:51
Na gut, das war ein Mißverständnis, ich meinte freiberuflich Tätige die man mit sowas beauftragen kann.
dan_oldb
Inventar
#92 erstellt: 25. Jan 2023, 14:45

Passat (Beitrag #88) schrieb:

In der Forensoftware wurde bei der Programmierung arger Blödsinn gemacht und diverse Links wurden mit http: hardkodiert.
Eine Umstellung auf https ließe diese hardkodiertern Links dann ins Leere laufen.


Das ist durchaus möglich das so ein "Blödsinn" verzapft wurde. Aber dann kann man entweder einmal in der Datenbank alle "http://www.hifi-forum.de" Treffer durch "https://" ersetzen, oder man macht ein einfaches Rewriting im Webserver in dem alles was über http (Port 80) reinkommt auf https (Port 443).
Im Apache ein einfaches
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]
.

Mir ist klar das man dies einmal durchdenken muss, es gründlich getestet werden muss, und nicht in 10 Minuten erledigt ist. Aber es ist auch keine Raketenwissenschaft für die man ein fünfstelliges Budget und 3 Jahre Planung braucht.
dan_oldb
Inventar
#93 erstellt: 26. Jan 2023, 08:21
Ein Update vom Landesdatenschutzbeauftragten:

Ich weise darauf hin, dass wir Komplettverschlüsselungen von Websites nicht allgemein vorschreiben, wohl aber, wenn wie in dem vorliegenden Fall, personenbezogene Daten etwa über ein Bestell- oder Kontaktformular verarbeitet werden. Hier bestehen wir auf eine dem Stand der Technik entsprechende Verschlüsselungstechnik nach dem SSL/TLS-Protokoll. Ich bin an dem Sachverhalt auf jeden Fall dran, ich habe allerdings Ihre Beschwerde einem schon anhängigen Verfahren hinzugefügt.
Buddy_Casino
Stammgast
#94 erstellt: 26. Jan 2023, 10:17
Das beste wäre das Forum zu Open Sourcen, das Publikum hier ist ja eh technisch. Gibt sicherlich Leute die Lust hätten und PRs beisteuern könnten. Auf jeden Fall besser als die Codebasis verrotten zu lassen.


[Beitrag von Buddy_Casino am 26. Jan 2023, 10:18 bearbeitet]
Quetschi
Stammgast
#95 erstellt: 30. Mrz 2023, 11:15

Noneatme (Beitrag #9) schrieb:
Ich glaube das Forum wird selbst im Jahr 2033 wenn alle Browser keine HTTP-Verbindungen mehr zulassen noch kein Zertifikat besitzen. :X

2023 hätten wir schon mal


Der Grund für die Misere hier ist evtl. die veraltete Forensoftware vermutlich ein steinaltes PHP benötigt und das deswegen wohl auch die zugrunde liegende Serversoftware nicht auf einen Stand gebracht werden kann, mit dem dann ein vernünftiges Zertifikat genutzt werden kann.

Die Null-Info-Politik seitens des Betreibers ist dabei das, was wirklich schade ist. Ich bin ansonsten gerne hier in dem Forum, aber ohne verschlüsselter Übertragung ist es heutzutage schon echt grenzwertig.
dan_oldb
Inventar
#96 erstellt: 30. Mrz 2023, 11:31

Quetschi (Beitrag #95) schrieb:

Der Grund für die Misere hier ist evtl. die veraltete Forensoftware vermutlich ein steinaltes PHP benötigt und das deswegen wohl auch die zugrunde liegende Serversoftware nicht auf einen Stand gebracht werden kann, mit dem dann ein vernünftiges Zertifikat genutzt werden kann.


Dann kann man immernoch einen Proxy davorschalten der die TLS Verschlüsselung macht und "intern" unverschlüsselt spricht. Wo ein Wille ist auch ein Weg, aber ich sehe hier keinen Willen.

Leider ebenso wenig beim Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen von dem ich jetzt auch seit 2 Monaten nichts mehr gehört habe.
Passat
Inventar
#97 erstellt: 30. Mrz 2023, 12:32
Der Datenschutzbeauftragte sieht das Thema wohl als erledigt an, da ja die Loginseite https-verschlüsselt ist.
Aber auch nur die!

Ein Zertifikat muß also existieren.

Leider gibt es für den Rest des Forums und auch für die Registrierungsseite kein https.

Grüße
Roman
dan_oldb
Inventar
#98 erstellt: 30. Mrz 2023, 12:51
Nein, der LDI sieht das auch extrem kritisch u.A. wegen des nicht verschlüsselten Kontaktformulars, siehe mein Post #93. Und offenbar lag auch bereits eine Beschwerde einer anderen Partei vor.
Marvin-the-Robot
Ist häufiger hier
#99 erstellt: 30. Mrz 2023, 14:37
Sowas ist natürlich ein "wunderbares" Einfallstor für Stinkstiefel, die dem Forum ans Bein pinkeln wollen, z. B. aus irgendwelchen Rachegelüsten.
Mir geht diese Dramatisierung ehrlich gesagt ziemlich auf den Sack. "Ich habe ein Recht darauf, also los"... man ist hier anonym unterwegs und teilt 0 sensible Informationen. Folglich: was soll's?

Gut, andererseits selbst Schuld, wenn man eine solche Flanke offen lässt...
Gibt ja genug Blockwarte, die meinen, "ihr Recht" durchdrücken zu müssen, selbst wenn die Reaktion des Betreibers die sein könnt, diesem Projekt den Saft abzuklemmen. Aber dann hätte man ja immerhin Recht gehabt und bekommen...

*httpsmirwurscht*
der Marv
Quetschi
Stammgast
#100 erstellt: 31. Mrz 2023, 11:28

Marvin-the-Robot (Beitrag #99) schrieb:

Mir geht diese Dramatisierung ehrlich gesagt ziemlich auf den Sack. "Ich habe ein Recht darauf, also los"... man ist hier anonym unterwegs und teilt 0 sensible Informationen. Folglich: was soll's?


Also prinzipiell schau ich da auch schlicht, dass ich nichts von mir rausrücke von dem ich nicht will dass das öffentlich einsehbar ist. Allerdings verbietet sich dann hier auf jeden Fall die Nutzung von PNs, die unter anderem eigentlich auch dazu nützlich sein sollten, dass man eben solche Infos mal mit einzelnen teilt wie z.B. Adresse wg. Treffen, Bankdaten wg. Verkäufen und derlei Dinge. Insofern wäre heutzutage für so eine Plattform zumindest ein Letsencrypt schon das mindeste.

Rechtlich aktiv würd ich deswegen auch nicht werden wollen. Es ist aber halt vollkommen unverständlich, dass es nicht einfach längst gemacht wurde. Auch wenn die ganze Software usw. hier wohl ziemlich überholt ist, so würd sich dennoch mit Sicherheit eine Lösung mit wenig Aufwand finden (wie z.B. von @dan_oldb vorschlagen mit vorgelagertem Proxy) um hier safe unterwegs zu sein.
b098
Stammgast
#101 erstellt: 27. Dez 2023, 20:39
Verstößt nicht vorhandenes HTTPS nicht gegen die DSGVO? Es kann aufgrund der fehlenden Transportverschlüsselung nämlich nicht sichergestellt werden, dass die Daten (und dazu zählt schon die IP, mit der ich diesen Beitrag abschicke) auf dem Weg von meinem Browser zu den Servern vom HiFi-Forum von unbefugten abgegriffen werden. Ich finde es (in meiner Sicht als Informatiker und Kaufmann) mutig (und zugegebenermaßen auch peinlich) von einem Wirtschaftsunternehmen im Jahr 2023 kein HTTPS anzubieten. Aber ich denke das Zertifikat ist bei dieser hier verwendeten steinzeitlichen Forensoftware (und dazu vermutlich voller Sicherheitslücken) noch das geringste Problem. Offenbar hat die Hifi.DE GmbH gute Anwälte, denn das unternehmerische Risiko bei einem eventuellen Datenklau aufgrund der Sicherheitslücken ist enorm.

Hartkodierte URLs in der Forensoftware wären übrigens kein Problem, kann man mit Rewrite Regeln auf dem Webserver alles lösen. Das Deployment eines TLS-Zertifikats ist wirklich ein Kinderspiel und in weniger als 10 Minuten erledigt. Man kann es mit dem certbot sogar automatisieren.


[Beitrag von b098 am 27. Dez 2023, 20:48 bearbeitet]
Suche:

Anzeige

Aktuelle Aktion

Partner Widget schließen

  • beyerdynamic Logo
  • DALI Logo
  • SAMSUNG Logo
  • TCL Logo

Forumsstatistik Widget schließen

  • Registrierte Mitglieder925.513 ( Heute: 3 )
  • Neuestes Mitgliedemoryrascon
  • Gesamtzahl an Themen1.550.306
  • Gesamtzahl an Beiträgen21.521.546