HTTPS für das gesamte Forum

+A -A
Autor
Beitrag
tehabe
Ist häufiger hier
#1 erstellt: 21. Aug 2018, 19:49
Ich würde es sehr begrüßen, wenn das gesamte Forum über HTTPS laufen würde und nicht nur login.hifi-forum.de.

For allem jetzt wo Browser beginnen, HTTP allgemein als unsicher zu kennzeichnen.
Noneatme
Ist häufiger hier
#2 erstellt: 23. Aug 2018, 22:08
Begrüße diesen Vorschlag sehr.
Mittlerweile bekommt man ja sehr gute Zertifikate mittlerweile Kostenlos, von daher ist es eigentlich nur eine Sache der Verwaltung und Mühe.

LG
George_Lucas
Inventar
#3 erstellt: 03. Sep 2018, 11:07
Muss nicht seit dem 25. Mai jede Website, die persönliche Nutzerdaten abfragt, über eine sichere SSL-Verbindung verfügen?
Ist das auf Hifi-Forum.de etwa nicht der Fall?
Saber-Rider
Stammgast
#4 erstellt: 13. Sep 2018, 08:44
GT und dann noch lmgtfy
voicescrambler
Gesperrt
#5 erstellt: 13. Sep 2018, 08:44
Was soll denn bei einem Forum außer dem Login durch tls abgesichert werden?

https dient der Verschlüsselung des Datenverkehrs, um ein Auslesen unterwegs zu verhindern. Bei einem Forum macht das überhaupt keinen Sinn, weil die Informationen erstens sowieso öffentlich sind, und zweitens steht die URL im Klartext da und jedermann kann dieser folgen und lesen.
Dadof3
Moderator
#6 erstellt: 13. Nov 2018, 21:09
Man kann das Ergebnis des Postings lesen, aber man kann nicht ablesen, von welcher IP aus ein Beitrag verfasst wurde.
Noch dazu gibt es PNs.

Insofern ist das Verschlüsseln durchaus sinnvoll.
George_Lucas
Inventar
#7 erstellt: 13. Nov 2018, 21:17
Hier mal die Antwort des Datenschutzbeauftragten des Hifi-Forums, die ich freundlicherweise per E-Mail erhalten habe, zum Thema.


(…) die DSGVO fordert lediglich die Einhaltung von Sicherheitsstandards. Einzelne Maßnahmen wie SSL-Verschlüsselung sind indessen nicht explizit vorgeschrieben.

Der Login-Prozess auf Hifi.de ist durch eine SSL-Verbindung gesichert, so dass insbesondere Ihr Passwort nur verschlüsselt übertragen wird. Soweit aber öffentlich einsehbare Daten übertragen werden, etwa Forenbeiträge von Ihnen, erfolgt noch keine SSL-Verschlüsselung. Die Anforderungen an die Sicherheit sind hier niedriger, da diese Daten ja ohnehin veröffentlicht werden. Die Umstellung des gesamten Dienstes auf SSL-Verschlüsselung ist jedoch bereits begonnen worden.
(…)
netleader
Ist häufiger hier
#8 erstellt: 22. Mai 2019, 00:35
Gibts zu dem Thema was neues ist ja nun schon eine Weile her?
Noneatme
Ist häufiger hier
#9 erstellt: 23. Mai 2019, 08:05
Ich glaube das Forum wird selbst im Jahr 2033 wenn alle Browser keine HTTP-Verbindungen mehr zulassen noch kein Zertifikat besitzen.
Hüb'
Moderator
#10 erstellt: 23. Mai 2019, 08:32
Hallo zusammen,

dazu muss der Betreiber sich melden. Ich habe ihn auf den Thread hingewiesen.

Viele Grüße
Frank
-Moderation Hifi-Forum-
dan_oldb
Stammgast
#11 erstellt: 14. Aug 2019, 22:24
Gibt es dazu etwas Neues? In 2019 ist das wirklich nicht mehr zeitgemäss; abseits dessen würde das Forum auch bessere Rankings z.B. von google erhalten, bzw. verliert im Ranking durch das Fehlen von SSL Verschlüsselung.

Ciao, Daniel
matze275
Ist häufiger hier
#12 erstellt: 04. Sep 2019, 00:23
Das ist mein erster Beitrag hier. Ich bin Informatiker und eine Art Sicherheitsfanatiker (nichts Ernstes, keine Krankheit). Ich werde mal den Vorgang des Logins und des Betretens dieser Seite mit Wireshark unter die Lupe nehmen und mich bald zurück melden.

Bei einem öffentlich einsehbaren Forum ist https tatsächlich nicht zwingend. Die SSL-Geschichte beim Login hingegen schon, genauso wie die Speicherung der Passwörter in vorzugsweise "gesalzenen" Hashtables. In die Datenbank kann ich nicht hinein blicken aber ob meine Login-Daten verschlüsselt über das Netz gehen sehe ich auch mit Wireshark. In den deutschen IT-Infrastrukturen gibt es leider zu viele Datenbänke, die die Passwörter im Klartext speichern. Da kann man gleich auf Passwörter verzichten.
dan_oldb
Stammgast
#13 erstellt: 04. Sep 2019, 11:02
Da brauchst du kein Wireshark für, schau dir den Quelltext des Login-Formulars an. Wird alles verschlüsselt an https://login.hifi-forum.de/index.php geschickt:


Request URL: https://login.hifi-f...eadId=0&userAction=0
Request Method: POST
Status Code: 200 OK
Remote Address: 91.250.74.60:443


Die gilt allerdings nicht für die Formulare zum Rücksetzen des Passworts, oder für die Registrierung. Die Daten gehen unverschlüsselt raus.

Auch das man ein Passwort im Klartext per Mail bekommt ist seit vielen Jahren nicht mehr Stand der Technik, viele werden dieses Passwort einfach beibehalten.

Ciao, Daniel
matze275
Ist häufiger hier
#14 erstellt: 04. Sep 2019, 11:54
Ok. Das ist nicht gut. Ich habe selbst einige https-Verbindungen eingerichtet. ein Glaubwürdiges Zertifikat ist da schon Pflicht, dann muss der Webserver auf https-rewrite konfiguriert werden und evtl. noch einige Sachen. Das war allerdings meine Infrastruktur.

Sofern ich das http für den Normalbetrieb hier akzeptieren kann, ist die unverschlüsselte Übertragung der Daten bei PW-Reset wirklich übel und muss schnell geändert werden.

Neue Passwörter in unverschlüsselter E-Mail sind nicht soooo tragisch, denn das erste was man danach tut, ist das Passwort zu ändern. Das darf jedoch kein Klartext mehr sein.
dan_oldb
Stammgast
#15 erstellt: 23. Dez 2019, 01:26

Noneatme (Beitrag #9) schrieb:
Ich glaube das Forum wird selbst im Jahr 2033 wenn alle Browser keine HTTP-Verbindungen mehr zulassen noch kein Zertifikat besitzen. :X


Damit könntest du recht haben, auch wenn ich glaube das die Browser schon wesentlich (!) früher keine http Verbindungen mehr erlauben werden.

Wirklich schade das hier nichts passiert.

Ciao, Daniel
netleader
Ist häufiger hier
#16 erstellt: 21. Mrz 2020, 16:47
Wieder 3 Monate rum, gibts schon was neues?
Hüb'
Moderator
#17 erstellt: 21. Mrz 2020, 16:58
Nein - zumal in diesen Zeiten.
netleader
Ist häufiger hier
#18 erstellt: 21. Mrz 2020, 17:05
Okay dann frage ich in 3 Monaten nochmal.
dan_oldb
Stammgast
#19 erstellt: 21. Mrz 2020, 17:38

Hüb' (Beitrag #17) schrieb:
Nein - zumal in diesen Zeiten.
:prost


Das man seit einigen Wochen anderes und besseres zu tun hat steht völlig ausser Frage. Das dieses Thema seit Jahren verschlafen wurde und der Betreiber überhaupt nichts dazu verlauten lässt kann man aber auch nicht von der Hand weisen.

Ciao, Daniel
George_Lucas
Inventar
#20 erstellt: 22. Mrz 2020, 13:02

dan_oldb (Beitrag #19) schrieb:


(…) der Betreiber überhaupt nichts dazu verlauten lässt kann man aber auch nicht von der Hand weisen.

Dann lies bitte noch mal Beitrag #7.
heini_001
Ist häufiger hier
#21 erstellt: 29. Mrz 2020, 23:51

George_Lucas (Beitrag #20) schrieb:

Dann lies bitte noch mal Beitrag #7.
;)



#7 erstellt: 13. Nov 2018, 21:17


2018 ...
das waren noch Zeiten ...

Nun, 2020, ist Port 80 obsolete!

Wer heute, 2020, seinem Router/Netzwerk noch ausgehend Port 80 erlaubt, der/die sollte sich das ganz ganz genau überlegen!

Selbst Updateserver für Betriebssysteme sind via https, also Port 443, erreichbar.

Leider muss ich ab und zu, nur um hier zu posten, ausgehend Port 80 öffnen.

Schön ist das nicht!
ManwithDog
Stammgast
#22 erstellt: 18. Apr 2020, 17:05

heini_001 (Beitrag #21) schrieb:

Leider muss ich ab und zu, nur um hier zu posten, ausgehend Port 80 öffnen.

Schön ist das nicht!
:(

Ja, leider etwas sehr Oldschool. Hat der Betreiber denn kein Interesse an seinem Google Ranking? Das wird ja deswegen auch schlechter - nur mal so angemerkt.
heini_001
Ist häufiger hier
#23 erstellt: 19. Apr 2020, 19:28

ManwithDog (Beitrag #22) schrieb:

Ja, leider etwas sehr Oldschool. Hat der Betreiber denn kein Interesse an seinem Google Ranking?


Die Werbung wird doch ausgeliefert, soweit man das (per Router) nicht unterdrückt ... und im Proxy noch sieht und dort ebenfalls nicht unterdrückt.

Nix gegen Werbung, aber bitte nicht über externe URLs!

Was aber interessant ist, ist das Zertifikat für https!

https://hifi-forum.de/

Da hat doch jemand gepennt.

https://login.hifi-forum.de
und
https://hifi.de

funktiionieren doch.

ManwithDog
Stammgast
#24 erstellt: 20. Apr 2020, 07:42

heini_001 (Beitrag #23) schrieb:

Die Werbung wird doch ausgeliefert, soweit man das (per Router) nicht unterdrückt ... und im Proxy noch sieht und dort ebenfalls nicht unterdrückt.

Nix gegen Werbung, aber bitte nicht über externe URLs!

Das wirst Du nicht verhindern können wenn Platz für Werbung verkauft wird. Aber man kann da ja mit einem Pi-Hole was dagegen machen. Gehört m. E. sowieseo zur guten Netzhygiene dazu
heini_001
Ist häufiger hier
#25 erstellt: 23. Apr 2020, 18:52

ManwithDog (Beitrag #24) schrieb:
Das wirst Du nicht verhindern können wenn Platz für Werbung verkauft wird. Aber man kann da ja mit einem Pi-Hole was dagegen machen. Gehört m. E. sowieseo zur guten Netzhygiene dazu :)


Ich denke eher der Router* sollte das unterdrücken!

Hast du dir mal den Source-Code von Pi-Hole angeguckt?


* DNS-Filter

Wenn du ne "Plastetebox" aus Berlin oder gar einen Router von deinem ISP einsetzt ist das natürlich ein Problem.

Aber einfach zu sagen "Pi-Hole" einsetzen ist auch sehr fragwürdig!

K.A. warum der Betreiber von "hifi-forum.de" kein SSL, im Gegensatz zu "hifi.de" einsetzt ...

Evtl. wird seine Werbung nicht ausgeliefert?


[Beitrag von heini_001 am 23. Apr 2020, 18:54 bearbeitet]
ManwithDog
Stammgast
#26 erstellt: 24. Apr 2020, 08:16

heini_001 (Beitrag #25) schrieb:
Aber einfach zu sagen "Pi-Hole" einsetzen ist auch sehr fragwürdig!

Was ist an Pi Hole fragwürdig?


[Beitrag von ManwithDog am 24. Apr 2020, 08:17 bearbeitet]
HeliOsophist
Schaut ab und zu mal vorbei
#27 erstellt: 16. Mai 2020, 12:17
Der Betreiber wird einfach ne Menge Geld mit dieser Plattform verdienen, das ist alles.
Schaut euch doch an was uMatrix und uBlock rauswerfen. Sämtliche genannten Produkte in allen Freds sind mit den ganz "Großen" verknüpft". Jeder der hier mit macht und schreibt trägt im Wesentlichen dazu bei, bei den Großen sein Profil zu erweitern. So gerne man sich auch öffnet und Dinge teilt... ich kann nur davon abraten hier allzu persönliche Dinge zu posten.
Wer nochmal wissen will was https bringt, schaut hier nach https://www.eff.org/pages/tor-and-https
Bei Tor sieht das dann nochmal anders aus.
heini_001
Ist häufiger hier
#28 erstellt: 20. Mai 2020, 23:44

ManwithDog (Beitrag #26) schrieb:

Was ist an Pi Hole fragwürdig?


Die eigenen DNS-Server.

Guck dir mal die "Panik-Verkäufe" der Lancom 178x an.

Nur weil diese kein VDSL können heißt das noch lange nicht das sie dir dein (zweites) Netzwerk via xDSL nicht schützen können.

dns-filter funktioniert auch hier mit z.B.:

*.*-track.*


Da nutze ich doch lieber einen Router von Lancom, für ca. 40 Euro (mit aktueller Firmware), als sekundäres Gateway.
ManwithDog
Stammgast
#29 erstellt: 23. Mai 2020, 17:53
[quote="heini_001 (Beitrag #28)"][quote="ManwithDog (Beitrag #26)"]
Was ist an Pi Hole fragwürdig?[/quote]

[b]Die eigenen DNS-Server.[/b]/quote]
Sorry, aber das verstehe ich nicht. Ich nutze die DNS von Digitalcourage und CCC
Suche:

Anzeige

Aktuelle Aktion

Partner Widget schließen

  • beyerdynamic Logo
  • DALI Logo
  • SAMSUNG Logo
  • TCL Logo

Forumsstatistik Widget schließen

  • Registrierte Mitglieder884.861 ( Heute: 24 )
  • Neuestes MitgliedAtze081284
  • Gesamtzahl an Themen1.475.261
  • Gesamtzahl an Beiträgen20.051.313