Gehe zu Seite: Erste Letzte |nächste|

HTTPS für das gesamte Forum

+A -A
Autor
Beitrag
tehabe
Ist häufiger hier
#1 erstellt: 21. Aug 2018, 19:49
Ich würde es sehr begrüßen, wenn das gesamte Forum über HTTPS laufen würde und nicht nur login.hifi-forum.de.

For allem jetzt wo Browser beginnen, HTTP allgemein als unsicher zu kennzeichnen.
Noneatme
Ist häufiger hier
#2 erstellt: 23. Aug 2018, 22:08
Begrüße diesen Vorschlag sehr.
Mittlerweile bekommt man ja sehr gute Zertifikate mittlerweile Kostenlos, von daher ist es eigentlich nur eine Sache der Verwaltung und Mühe.

LG
George_Lucas
Inventar
#3 erstellt: 03. Sep 2018, 11:07
Muss nicht seit dem 25. Mai jede Website, die persönliche Nutzerdaten abfragt, über eine sichere SSL-Verbindung verfügen?
Ist das auf Hifi-Forum.de etwa nicht der Fall?
Saber-Rider
Stammgast
#4 erstellt: 13. Sep 2018, 08:44
GT und dann noch lmgtfy
voicescrambler
Gesperrt
#5 erstellt: 13. Sep 2018, 08:44
Was soll denn bei einem Forum außer dem Login durch tls abgesichert werden?

https dient der Verschlüsselung des Datenverkehrs, um ein Auslesen unterwegs zu verhindern. Bei einem Forum macht das überhaupt keinen Sinn, weil die Informationen erstens sowieso öffentlich sind, und zweitens steht die URL im Klartext da und jedermann kann dieser folgen und lesen.
Dadof3
Moderator
#6 erstellt: 13. Nov 2018, 21:09
Man kann das Ergebnis des Postings lesen, aber man kann nicht ablesen, von welcher IP aus ein Beitrag verfasst wurde.
Noch dazu gibt es PNs.

Insofern ist das Verschlüsseln durchaus sinnvoll.
George_Lucas
Inventar
#7 erstellt: 13. Nov 2018, 21:17
Hier mal die Antwort des Datenschutzbeauftragten des Hifi-Forums, die ich freundlicherweise per E-Mail erhalten habe, zum Thema.


(…) die DSGVO fordert lediglich die Einhaltung von Sicherheitsstandards. Einzelne Maßnahmen wie SSL-Verschlüsselung sind indessen nicht explizit vorgeschrieben.

Der Login-Prozess auf Hifi.de ist durch eine SSL-Verbindung gesichert, so dass insbesondere Ihr Passwort nur verschlüsselt übertragen wird. Soweit aber öffentlich einsehbare Daten übertragen werden, etwa Forenbeiträge von Ihnen, erfolgt noch keine SSL-Verschlüsselung. Die Anforderungen an die Sicherheit sind hier niedriger, da diese Daten ja ohnehin veröffentlicht werden. Die Umstellung des gesamten Dienstes auf SSL-Verschlüsselung ist jedoch bereits begonnen worden.
(…)
netleader
Ist häufiger hier
#8 erstellt: 22. Mai 2019, 00:35
Gibts zu dem Thema was neues ist ja nun schon eine Weile her?
Noneatme
Ist häufiger hier
#9 erstellt: 23. Mai 2019, 08:05
Ich glaube das Forum wird selbst im Jahr 2033 wenn alle Browser keine HTTP-Verbindungen mehr zulassen noch kein Zertifikat besitzen.
Hüb'
Moderator
#10 erstellt: 23. Mai 2019, 08:32
Hallo zusammen,

dazu muss der Betreiber sich melden. Ich habe ihn auf den Thread hingewiesen.

Viele Grüße
Frank
-Moderation Hifi-Forum-
dan_oldb
Inventar
#11 erstellt: 14. Aug 2019, 22:24
Gibt es dazu etwas Neues? In 2019 ist das wirklich nicht mehr zeitgemäss; abseits dessen würde das Forum auch bessere Rankings z.B. von google erhalten, bzw. verliert im Ranking durch das Fehlen von SSL Verschlüsselung.

Ciao, Daniel
matze275
Ist häufiger hier
#12 erstellt: 04. Sep 2019, 00:23
Das ist mein erster Beitrag hier. Ich bin Informatiker und eine Art Sicherheitsfanatiker (nichts Ernstes, keine Krankheit). Ich werde mal den Vorgang des Logins und des Betretens dieser Seite mit Wireshark unter die Lupe nehmen und mich bald zurück melden.

Bei einem öffentlich einsehbaren Forum ist https tatsächlich nicht zwingend. Die SSL-Geschichte beim Login hingegen schon, genauso wie die Speicherung der Passwörter in vorzugsweise "gesalzenen" Hashtables. In die Datenbank kann ich nicht hinein blicken aber ob meine Login-Daten verschlüsselt über das Netz gehen sehe ich auch mit Wireshark. In den deutschen IT-Infrastrukturen gibt es leider zu viele Datenbänke, die die Passwörter im Klartext speichern. Da kann man gleich auf Passwörter verzichten.
dan_oldb
Inventar
#13 erstellt: 04. Sep 2019, 11:02
Da brauchst du kein Wireshark für, schau dir den Quelltext des Login-Formulars an. Wird alles verschlüsselt an https://login.hifi-forum.de/index.php geschickt:


Request URL: https://login.hifi-f...eadId=0&userAction=0
Request Method: POST
Status Code: 200 OK
Remote Address: 91.250.74.60:443


Die gilt allerdings nicht für die Formulare zum Rücksetzen des Passworts, oder für die Registrierung. Die Daten gehen unverschlüsselt raus.

Auch das man ein Passwort im Klartext per Mail bekommt ist seit vielen Jahren nicht mehr Stand der Technik, viele werden dieses Passwort einfach beibehalten.

Ciao, Daniel
matze275
Ist häufiger hier
#14 erstellt: 04. Sep 2019, 11:54
Ok. Das ist nicht gut. Ich habe selbst einige https-Verbindungen eingerichtet. ein Glaubwürdiges Zertifikat ist da schon Pflicht, dann muss der Webserver auf https-rewrite konfiguriert werden und evtl. noch einige Sachen. Das war allerdings meine Infrastruktur.

Sofern ich das http für den Normalbetrieb hier akzeptieren kann, ist die unverschlüsselte Übertragung der Daten bei PW-Reset wirklich übel und muss schnell geändert werden.

Neue Passwörter in unverschlüsselter E-Mail sind nicht soooo tragisch, denn das erste was man danach tut, ist das Passwort zu ändern. Das darf jedoch kein Klartext mehr sein.
dan_oldb
Inventar
#15 erstellt: 23. Dez 2019, 01:26

Noneatme (Beitrag #9) schrieb:
Ich glaube das Forum wird selbst im Jahr 2033 wenn alle Browser keine HTTP-Verbindungen mehr zulassen noch kein Zertifikat besitzen. :X


Damit könntest du recht haben, auch wenn ich glaube das die Browser schon wesentlich (!) früher keine http Verbindungen mehr erlauben werden.

Wirklich schade das hier nichts passiert.

Ciao, Daniel
netleader
Ist häufiger hier
#16 erstellt: 21. Mrz 2020, 16:47
Wieder 3 Monate rum, gibts schon was neues?
Hüb'
Moderator
#17 erstellt: 21. Mrz 2020, 16:58
Nein - zumal in diesen Zeiten.
netleader
Ist häufiger hier
#18 erstellt: 21. Mrz 2020, 17:05
Okay dann frage ich in 3 Monaten nochmal.
dan_oldb
Inventar
#19 erstellt: 21. Mrz 2020, 17:38

Hüb' (Beitrag #17) schrieb:
Nein - zumal in diesen Zeiten.
:prost


Das man seit einigen Wochen anderes und besseres zu tun hat steht völlig ausser Frage. Das dieses Thema seit Jahren verschlafen wurde und der Betreiber überhaupt nichts dazu verlauten lässt kann man aber auch nicht von der Hand weisen.

Ciao, Daniel
George_Lucas
Inventar
#20 erstellt: 22. Mrz 2020, 13:02

dan_oldb (Beitrag #19) schrieb:


(…) der Betreiber überhaupt nichts dazu verlauten lässt kann man aber auch nicht von der Hand weisen.

Dann lies bitte noch mal Beitrag #7.
heini_001
Ist häufiger hier
#21 erstellt: 29. Mrz 2020, 23:51

George_Lucas (Beitrag #20) schrieb:

Dann lies bitte noch mal Beitrag #7.
;)



#7 erstellt: 13. Nov 2018, 21:17


2018 ...
das waren noch Zeiten ...

Nun, 2020, ist Port 80 obsolete!

Wer heute, 2020, seinem Router/Netzwerk noch ausgehend Port 80 erlaubt, der/die sollte sich das ganz ganz genau überlegen!

Selbst Updateserver für Betriebssysteme sind via https, also Port 443, erreichbar.

Leider muss ich ab und zu, nur um hier zu posten, ausgehend Port 80 öffnen.

Schön ist das nicht!
ManwithDog
Stammgast
#22 erstellt: 18. Apr 2020, 17:05

heini_001 (Beitrag #21) schrieb:

Leider muss ich ab und zu, nur um hier zu posten, ausgehend Port 80 öffnen.

Schön ist das nicht!
:(

Ja, leider etwas sehr Oldschool. Hat der Betreiber denn kein Interesse an seinem Google Ranking? Das wird ja deswegen auch schlechter - nur mal so angemerkt.
heini_001
Ist häufiger hier
#23 erstellt: 19. Apr 2020, 19:28

ManwithDog (Beitrag #22) schrieb:

Ja, leider etwas sehr Oldschool. Hat der Betreiber denn kein Interesse an seinem Google Ranking?


Die Werbung wird doch ausgeliefert, soweit man das (per Router) nicht unterdrückt ... und im Proxy noch sieht und dort ebenfalls nicht unterdrückt.

Nix gegen Werbung, aber bitte nicht über externe URLs!

Was aber interessant ist, ist das Zertifikat für https!

https://hifi-forum.de/

Da hat doch jemand gepennt.

https://login.hifi-forum.de
und
https://hifi.de

funktiionieren doch.

ManwithDog
Stammgast
#24 erstellt: 20. Apr 2020, 07:42

heini_001 (Beitrag #23) schrieb:

Die Werbung wird doch ausgeliefert, soweit man das (per Router) nicht unterdrückt ... und im Proxy noch sieht und dort ebenfalls nicht unterdrückt.

Nix gegen Werbung, aber bitte nicht über externe URLs!

Das wirst Du nicht verhindern können wenn Platz für Werbung verkauft wird. Aber man kann da ja mit einem Pi-Hole was dagegen machen. Gehört m. E. sowieseo zur guten Netzhygiene dazu
heini_001
Ist häufiger hier
#25 erstellt: 23. Apr 2020, 18:52

ManwithDog (Beitrag #24) schrieb:
Das wirst Du nicht verhindern können wenn Platz für Werbung verkauft wird. Aber man kann da ja mit einem Pi-Hole was dagegen machen. Gehört m. E. sowieseo zur guten Netzhygiene dazu :)


Ich denke eher der Router* sollte das unterdrücken!

Hast du dir mal den Source-Code von Pi-Hole angeguckt?


* DNS-Filter

Wenn du ne "Plastetebox" aus Berlin oder gar einen Router von deinem ISP einsetzt ist das natürlich ein Problem.

Aber einfach zu sagen "Pi-Hole" einsetzen ist auch sehr fragwürdig!

K.A. warum der Betreiber von "hifi-forum.de" kein SSL, im Gegensatz zu "hifi.de" einsetzt ...

Evtl. wird seine Werbung nicht ausgeliefert?


[Beitrag von heini_001 am 23. Apr 2020, 18:54 bearbeitet]
ManwithDog
Stammgast
#26 erstellt: 24. Apr 2020, 08:16

heini_001 (Beitrag #25) schrieb:
Aber einfach zu sagen "Pi-Hole" einsetzen ist auch sehr fragwürdig!

Was ist an Pi Hole fragwürdig?


[Beitrag von ManwithDog am 24. Apr 2020, 08:17 bearbeitet]
HeliOsophist
Schaut ab und zu mal vorbei
#27 erstellt: 16. Mai 2020, 12:17
Der Betreiber wird einfach ne Menge Geld mit dieser Plattform verdienen, das ist alles.
Schaut euch doch an was uMatrix und uBlock rauswerfen. Sämtliche genannten Produkte in allen Freds sind mit den ganz "Großen" verknüpft". Jeder der hier mit macht und schreibt trägt im Wesentlichen dazu bei, bei den Großen sein Profil zu erweitern. So gerne man sich auch öffnet und Dinge teilt... ich kann nur davon abraten hier allzu persönliche Dinge zu posten.
Wer nochmal wissen will was https bringt, schaut hier nach https://www.eff.org/pages/tor-and-https
Bei Tor sieht das dann nochmal anders aus.
heini_001
Ist häufiger hier
#28 erstellt: 20. Mai 2020, 23:44

ManwithDog (Beitrag #26) schrieb:

Was ist an Pi Hole fragwürdig?


Die eigenen DNS-Server.

Guck dir mal die "Panik-Verkäufe" der Lancom 178x an.

Nur weil diese kein VDSL können heißt das noch lange nicht das sie dir dein (zweites) Netzwerk via xDSL nicht schützen können.

dns-filter funktioniert auch hier mit z.B.:

*.*-track.*


Da nutze ich doch lieber einen Router von Lancom, für ca. 40 Euro (mit aktueller Firmware), als sekundäres Gateway.
ManwithDog
Stammgast
#29 erstellt: 23. Mai 2020, 17:53
[quote="heini_001 (Beitrag #28)"][quote="ManwithDog (Beitrag #26)"]
Was ist an Pi Hole fragwürdig?[/quote]

[b]Die eigenen DNS-Server.[/b]/quote]
Sorry, aber das verstehe ich nicht. Ich nutze die DNS von Digitalcourage und CCC
SLC
Ist häufiger hier
#30 erstellt: 30. Jul 2020, 14:04
Mir ist heute auch aufgefallen, dass dieses Forum die einzige Webseite ist, von den vielen, die ich seit vielen Monaten besuche, die noch kein HTTPS nutzt.

Sorry aber damit ist dieses Forum für mich gestorben.
Damit reit sich diese Webseite in die immer kleiner werdende Gruppe "dubioser Webseiten" ein, die keine vollständige Verschlüsselung nutzen.

Ich nutze mittlerweile überall entsprechende "Blocker", die mich garnicht erst auf HTTP Seiten mehr lassen und musste diese hier erstmal entblocken. Dadurch ist mir das auch sofort aufgefallen. Denn diese Warnung sehe ich wie gesagt wenn überhaupt nur alle par Monate einmal.



Ihr wisst aber schon, dass ihr damit die Privatsphäre eurer User preisgebt? Das Foren "ohnehin öffentlich sind", ist doch garkeine Ausrede! Die ForenUser sind hier nämlich ansonsten größtenteils anonym unterwegs.

Stellt euch mal folgendes praktisches Beispiel vor: Ein Forenuser sitzt in einem Caffee und nutzt dort das WLAN um den wertvollen mobilen Traffic zu sparen. Ein Fremder der das WLAN übernommen hat oder auch der Betreiber selbst (evtl. sogar ein Honeypot von einem Hacker eingerichtet) können ganz einfach alle unverschlüsselten Daten mitlesen. Private Nachrichten, das Profil, die eMailadresse und noch vieles mehr (je nachdem was dort alles preisgegeben wurde). Das anonyme Forenprofil kann jetzt der realen Person dahinter zugeordnet werden.
Theoretisch kann man auf diese Weise auch automatisiert ein Bewegungsprofil erstellen, in dem verfolgt wird, in welchen Netzwerken oder wann sich der entsprechende Hifi-Account einloggt, solange dieser, weil unverschlüsselt immer wieder erkannt werden kann (selbst wenn sich die IP oder das Gerät mit dem gesurft wird ändert).

Zweites Beispiel: Wenn Hacker sich in Firmennetzwerken einklinken wollen, wenden sie immer häufiger das sogenannte Social-Profiling ein. Die Mitarbeiter werden überwacht und Daten gesammelt, soweit dies denn möglich ist, um mit ihnen in Kontakt zu treten und sie dazu zu bringen, unbewusst Schadcode auf dem Firmenrechner zu installieren. Wenn die Interessen eines Mitarbeiters bekannt sind, können diese missbraucht werden. Der wird dann z.B. per Mail oder über dieses Forum entsprechend angeschrieben und bemerkt die List garnicht.
In Gang getreten wurde das dann z.B. weil der Mitarbeiter dessen Leitung überwacht wurde, sich in diesem Forum angemeldet hat und der Hacker plötzlich aufgrund der fehlenden Verschlüsselung alles mitlesen konnte. Über eine Firma eine unsichere Webseite wie diese hier aufzurufen ist ein Sicherheitsrisiko
für Firmennetzwerke. Weil viele Arbeitnehmer sich mit Cybersecurity nicht auskennen, ist denen das fast egal welche Webseiten sie von Firmenrechnern ansteuern ("ist ja das Hifi-Forum, dem vertraue ich...").

Das sind halt auch Beispiele dafür, dass der Spruch "ich hab ja nichts zu verbergen" einfach nur unglaublich dumm ist.

Wer seine eigene Privtsphäre nicht schützt, gefährdert in der heutigen Zeit damit auch viele andere, was z.B. in Firmenstrukturen schnell zu millionen Schäden wegen Werksspionage führen kann. Oder bestes privates Beispiel: Whatsapp, wo die Realnamen, Geburtsdaten etc. Anderer (Freunde, Famile) ohne deren Einwilligung großen Konzernen und Werbenetzwerken verraten werden, obwohl diese selber Whatsapp garnicht nutzen.

Ausserdem ist dieses Forum damit generell ein potentieller Tummelplatz für angehende Pentester oder halt schlimmeres. Sowas kann man in der heutigen Zeit einfach nicht mehr bringen. Und wenn dieses Forum schon nichtmal komplett verschlüsselt ist, wer weiß was hier noch für Lücken warten, die man missbrauchen kann, weil auch diese verschlafen wurden. Zumindest schadet es dem Ruf dieses Forums, zumindest bei denjenigen, für die das Internet kein völliges Neuland ist.

Sorry, aber ihr verschlaft dieses Forum kaputt, wenn ihr nicht bald was tut.





[Beitrag von SLC am 30. Jul 2020, 14:32 bearbeitet]
dan_oldb
Inventar
#31 erstellt: 23. Aug 2020, 02:01
Vorgestern feierte dieser Thread seinen zweiten Geburtstag. Die letzte Reaktion des Betreibers ist 21 Monate her. Getan hat sich seitdem: nichts.
elidor
Ist häufiger hier
#32 erstellt: 25. Aug 2020, 09:05
Eigentlich wurde hier ja schon alles gesagt, aber ich melde mich trotzdem nochmal hier zu um zu zeigen, dass es noch mehr Leute gibt, die das Forum gerne mit Zertifikat nutzen möchten.
Meinetwegen kann das auch eins von LetsEncrypt sein, aber wir haben 2020. Eine unverschlüsselte Webseite ist einfach nicht mehr zeitgemäß.

Das Problem mit dem Ausliefern von Werbung trotz https hat eigentlich jede Seite inzwischen irgendwie gelöst. auch auf hifi.de ist das Problem augenscheinlich gelöst.

2018 hat der Datenschutzbeauftragte doch folgendes geschrieben:


Die Umstellung des gesamten Dienstes auf SSL-Verschlüsselung ist jedoch bereits begonnen worden.


Wo liegt das Problem?
Graf_Hinkelstein
Hat sich gelöscht
#33 erstellt: 25. Aug 2020, 11:39

elidor (Beitrag #32) schrieb:
Wo liegt das Problem?


Am leeren Sparschwein...
ak2
Community Support
#34 erstellt: 28. Aug 2020, 10:57
Hallo!

Die vollständige Umstellung auf SSL wird auf jeden Fall in absehbarer Zeit erfolgen, was noch unklar ist, ist der Zeitpunkt.

LG Andreas
beagle_lisa_49
Hat sich gelöscht
#35 erstellt: 20. Sep 2020, 14:58
Ich würde mich auch freuen, wenn die 15! website übergreifenden tracker, die duckduckgo glücklicher Weise blockiert, nicht mehr zum Einsatz kämen.
Für mich ein no go.
Alles Gute
heini_001
Ist häufiger hier
#36 erstellt: 03. Okt 2020, 22:02

ak2 (Beitrag #34) schrieb:
Hallo!

Die vollständige Umstellung auf SSL wird auf jeden Fall in absehbarer Zeit erfolgen, was noch unklar ist, ist der Zeitpunkt.

LG Andreas
:prost


Ist dir das, mit der Aussage, nicht peinlich ?

Wir haben den 03.10.2020.

Erinnert mich irgendwie an den BER.

Egal ob ihr jetzt einen Apache2 oder Nginx einsetzt.

Sie liefern alles was ihr haben wollt.

Für was noch die ganzen externe Tracker?

Ich bitte um Klärung!
dan_oldb
Inventar
#37 erstellt: 31. Okt 2020, 01:04
Liebe Leute. Wir haben in den vergangen grob 10 Jahren, die ich in meiner jetzigen IT Firma arbeite, grob 100-200 Kunden (mit jeweils 1-50 Webauftritten) auf HTTPS umgestellt. In den letzten Jahren natürlich weniger, denn das ist mittlerweile ein uralter Hut, ein Nobrainer, eine Selbstverständlichkeit. Diese Umstellungen dauern typischerweise 30 Minuten, manchmal 2 Stunden, bei ganz schlecht programmierter eigener Software und sehr seltsamen Rahmenbedingungen auch mal einen Tag. Aber dann ist das Thema durch, erledigt, aus der Welt geschaffen.
Und ihr schafft es nicht in 2 Jahren nachdem dieser Wunsch aufkam das umzusetzen, sondern arbeitet daran seit Monaten/Jahren? Es geht mich nichts an, aber vielleicht könnt ihr ein wenig Glaubwürdigkeit herstellen wenn ihr kurz beschreibt warum das bei einem Forum so ein Akt ist. Vielleicht wendet ihr euch aber auch an einen Dienstleister der das für euch übernimmt, dann seit ihr damit demnächst durch.
*soundOFmusic*
Ist häufiger hier
#38 erstellt: 17. Dez 2020, 23:59
Hatte leider übersehen, dass es hier schon einen Oldie-Thread zur Verschlüsselung der Website gibt, mein gerade erstellter Thread wurde daher (verständlicherweise) gelöscht, mit dem Hinweis ich soll mich hier (bei Bedarf) anhängen.

Was ich mal mach, auch wenns wahrscheinlich nichts ändert

Lg
*noname123*
Stammgast
#39 erstellt: 27. Dez 2020, 13:12
Ich hab grad mal just4fun einen logout + login gemacht und den chromium debugger nebenbei laufen lassen.
Da ist _nichts_ mit SSL Verschlüsselung. Oders anders formuliert: der Betreiber der Seite verstösst gegen die DSGVO.
*soundOFmusic*
Ist häufiger hier
#40 erstellt: 27. Dez 2020, 15:33
Das Login erfolgt über ein Javascript, welches auf einem externen verschlüsselten Server liegt.

Ich kenn mich da leider überhaupt nicht aus, aber sofern die Logindaten grundsätzlich auf dem Betreiberserver gespeichert werden, müssen diese ja auch wieder von dem externen Server mit dem Betreiberserver abgeglichen werden und das würde doch wieder über http laufen?


[Beitrag von *soundOFmusic* am 27. Dez 2020, 15:34 bearbeitet]
dan_oldb
Inventar
#41 erstellt: 27. Dez 2020, 15:48
Das Login erfolgt über ein Formular das einen ganz klassischen Post an https://login.hifi-forum.de/ schickt, und das ist auch korrekt verschlüsselt. Ob das Logout auch verschlüsselt erfolgt habe ich nicht getestet, ist aber auch nicht sonderlich relevant weil dabei keine sensiblen Daten übertragen werden.
Der Login-"Server" steht auch nicht extern, sondern hat nur eine andere Subdomain als das Forum, es ist aber der gleiche Server bzw. hat die gleiche IP.
Es werden aber zusätzlich diverse Informationen zum Tracking an weitere Server übermittelt, z.B. an google Analytics, aber auch jede Menge detailierte Informationen zum Standort des Anschluss des Benutzers oder Details über den Browser etc. an ioam.de, was zu https://www.infonline.de/ gehört. Die werden aber auch explizit in der Datenschutzerklärung aufgeführt.

DSGVO-konform ist das Forum trotzdem nicht, da in der Datenschutzerklärung mehrfach u.A. auf das US Privacy Shield Abkommen verwiesen wird, welches seit fast einem halben Jahr für ungültig erklärt ist: https://de.wikipedia.org/wiki/EU-US_Privacy_Shield. Die Weitergabe von Daten an US Dienstleister ist daher so nicht gesetzeskonform möglich.
*noname123*
Stammgast
#42 erstellt: 27. Dez 2020, 16:47
stimmt, mich hatte der code irritiert:
<form action="index.php?action=login_ssl&mode=verify&forumId=0&threadId=0&userAction=0" method="post" name="login">

weil dort nichts von https://... steht sondern auf die aktuelle url verwiesen wird, welche im falle von www.hifi-forum.de eben nicht ssl geschuetzt ist.
aber login.hifi-forum ist https, daher ist das ausfuehren des logins auch verschluesselt
heini_001
Ist häufiger hier
#43 erstellt: 27. Dez 2020, 21:42
Was kommt eher, Verfügbarkeit für allgemeinen Impfstoff gegen Covid-19 (SARS-CoV-2) für die Menschheit oder SSL für "hifi-forum.de" ?

Ich würd ja lachen, wenns nicht so traurig wäre ...

Nach den ganzen Trackern hier im Forum ...

Nein, man muss noch "funding choices messages" einbauen ...

Gehts noch!
MBurock
Stammgast
#44 erstellt: 28. Dez 2020, 23:11
Es gibt einfach keine Ausrede mehr, warum man ssl nicht zur Verfügung stellt.
Es folgt eine ganze Reihe problematischer Dinge aus diesem Verhalten:
- PM werden im Klartext übertragen, in einem Shared Medium wie WiFi unter "normalen Umständen" (also WPA2 ohne weitere innere Verschlüsselung) kann also jeder Nutzer vollkommen problemlos die PM mitlesen
- Inhalte können auf dem Weg verändert werden. SSL schützt nicht nur die Übertragung vor dem Einblick anderer, sondern auch vor der Veränderung. Es ist also vollkommen problemlos, mir einfach irgendetwas unterzuschieben, was der Seiten"betreiber" nicht vorsieht
- Kein Schutz vor Phishing. Wenn jemand meinen DNS beeinflusst merke ich das unter Umständen nicht einmal. Das betrifft schlimmstfall dann auch den Login-Bereich, denn der Nutzer ist die Warnung auf dieser Webseite ja leider schon gewohnt und ignoriert sie schlimmstenfalls auch noch bei der Passworteingabe. Wenn der Angreifer nicht auch das Zertifikat gestohlen hat, bekäme ich unter normalen Umständen (ja, https ist der normale Umstand heute) eine Warnung meines Browsers.

Und das sind nur die wichtigsten. Viele Firmennetzwerke gewähren den Zugriff auf derlei Seiten zurecht nicht mehr. Der Verlust des Google-Rankings ist auch vollkommen gerechtfertigt. Das Zusenden des Initialpassworts im Klartext ist auch wirklich nicht mehr Zeitgemäß, wenn darauf nicht eine zwingende (!!) Änderung des Passworts beim ersten Login erfolgt. Vollkommener Wahnsinn dieses Verhalten. Man sollte jedem die Rechte entziehen eine Webseite zu betreiben, der das so handhabt. Wie können diese 30 Minuten Umstellung ein Problem darstellen? Kosten sind damit auch keine mehr verbunden. Woran also scheitert es? An Engstirnigkeit oder Desinteresse? Mehr Gründe, außer wirklich die blankste Form der Inkompetenz, fallen mir nicht ein.


[Beitrag von MBurock am 28. Dez 2020, 23:15 bearbeitet]
tomtiger
Administrator
#45 erstellt: 28. Dez 2020, 23:40
Hi,

unabhängig allfällig anderer Kritik ist das einfach falsch:


MBurock (Beitrag #44) schrieb:
- PM werden im Klartext übertragen, in einem Shared Medium wie WiFi unter "normalen Umständen" (also WPA2 ohne weitere innere Verschlüsselung) kann also jeder Nutzer vollkommen problemlos die PM mitlesen


selbstverständlich sind in per IEEE 802.11i (WPA2) geschützten Netzen die Übertragungen verschlüsselt. Das war schon per WEP so, nur dass man durch Aufzeichnen größerer Datenmengen die Schlüssel erraten konnte und danach die Daten entschlüsseln konnte.

Zar gab es auch schon Lücken in WPA2 Implementierungen, aber grundsätzlich verläuft der Funkdatenaustausch immer verschlüsselt.

Siehe: https://de.wikipedia.org/wiki/WPA2


LG Tom
*noname123*
Stammgast
#46 erstellt: 28. Dez 2020, 23:50
soweit ich weis kann man sehr wohl traffic mit sniffen in einem regulaeren wifi netz.
ausprobieren waere relativ simpel (nur leider habe ich kein wlan :D)
wireshark installieren, wpa2 key hinzufuegen, ins netz verbinden und happy sniffing

sehe da ehrlich gesagt kein problem. bei firmennetzen mag das nochmal anders sein (radius server etc.), aber bei standard wpa2 sehe ich kein problem den traffic mitzulesen.

https://wiki.wireshark.org/HowToDecrypt802.11


[Beitrag von *noname123* am 28. Dez 2020, 23:51 bearbeitet]
MBurock
Stammgast
#47 erstellt: 29. Dez 2020, 00:05
[quote]
Hi,

unabhängig allfällig anderer Kritik ist das einfach falsch:

selbstverständlich sind in per IEEE 802.11i (WPA2) geschützten Netzen die Übertragungen verschlüsselt. Das war schon per WEP so, nur dass man durch Aufzeichnen größerer Datenmengen die Schlüssel erraten konnte und danach die Daten entschlüsseln konnte.

Zar gab es auch schon Lücken in WPA2 Implementierungen, aber grundsätzlich verläuft der Funkdatenaustausch immer verschlüsselt.

Siehe: https://de.wikipedia.org/wiki/WPA2


LG Tom
[/quote]


Ja, vor Außenstehenden. Der Schlüssel in WPA2 ist aber für alle Teilnehmer gleich. Das heißt jeder im Netzwerk kann mitlesen. Der verlinkte Artikel wäre da nicht der schlechtmöglichste Startpunkt um sich zu informieren.^

edit: mir ist unklar, warum das Zitat nicht funktioniert. Evtl ein dead char drin?


[Beitrag von MBurock am 29. Dez 2020, 00:23 bearbeitet]
Uwe_Mettmann
Inventar
#48 erstellt: 29. Dez 2020, 08:07

MBurock (Beitrag #47) schrieb:
edit: mir ist unklar, warum das Zitat nicht funktioniert. Evtl ein dead char drin?

Wenn du "Bearbeiten" anklickst, das Häckchen ins Kästchen "HF-Code aktivieren" setzt und den Beitrag abschickst, wird es funktionieren.

Der HF-Code wird dekaktiviert, wenn im HF-Code ein Fehler ist. Es reicht dann nicht denn Fehler zu beseitigen, sondern man muss zusätzlich den HF-Code wieder aktivieren.


Gruß

Uwe
tomtiger
Administrator
#49 erstellt: 31. Dez 2020, 03:40
Hi,


MBurock (Beitrag #47) schrieb:
Ja, vor Außenstehenden. Der Schlüssel in WPA2 ist aber für alle Teilnehmer gleich. Das heißt jeder im Netzwerk kann mitlesen. Der verlinkte Artikel wäre da nicht der schlechtmöglichste Startpunkt um sich zu informieren.^


hmmm ..... mag sein, aber nicht in Echtzeit, also man muss den Datenaustausch aufzeichnen und die jeweiligen Schlüssel auslesen.


Ich kenne das Problem nicht, weil ich mit OpenWRT mehrere SSIDs habe, mit unterschiedlichen Schlüsseln.

LG Tom
MBurock
Stammgast
#50 erstellt: 31. Dez 2020, 10:18
Nein, vollkommen in Echtzeit. Absolut problemlos. Man muss lediglich den promiscuous mode gehen mit dem Adapter. Vor anderen Teilnehmern des selben Netzes sind die Pakete schlicht ungeschützt.


[Beitrag von MBurock am 31. Dez 2020, 11:10 bearbeitet]
*noname123*
Stammgast
#51 erstellt: 31. Dez 2020, 11:42
Ist die Frage was mit Echtzeit gemeint ist.
Niedrige Latenz (was nichts mit "Echtzeit" in der IT zu tun hat) oder absolute Genauigkeit zu wissen, wann etwas berechnet werden sein wird - letzteres ist eigentlich mit "Echtzeit" gemeint. Theoretisch kann also etwas auch in "Echtzeit" berechnet werden, wenn es 5 Tage dauert. Wenn man genau sagen kann, es wird 5 Tage dauern.

Aber wie MBurock schon sagte: es kann beides mit "Ja" beantwortet werden.
Wenn der Key vorhanden ist, ist das entschlüsseln eine Sache von absolut deterministischer Zeit (wenige Millisekunden danks AES in Hardware) und in extrem kurzer Zeit machbar.
Hab es gerade getestet.
OpenWRT hat uebrigens paar coole Luci Addons für so ähnliche Zwecke, zb. darkstat, netify etc. - dort passiert nichts anderes.
Man hinterlegt den WPA key und das ganze wird on-the-fly (denke das meinen die meisten anstelle von "Echtzeit") entschlüsselt.
Beispiel: https://www.cloudshark.org/captures/d4eb5c817b38

Ich verstehe nicht was du meinst mit "Datenaustausch aufzeichnen" und "Schlüssel auslesen".
Ja klar, man braucht den Key, den man in jedem WLan bekommt wenn man zb. im McDonalds sitzt (oder sonst wo, wo eben "public wifi" angeboten wird).
Oder wenn man in einer Familie ist und Zugriff auf das Wifi hat.
Den Datenaustausch braucht man nicht aufzeichnen, man kann das auch genau vorher filtern.
Man kann sagen: filter mir nur http traffic wenn es sich um einen POST mit body content handelt. Schon ist verkackt... damit dürfte man alle HTTP Formulare die ausgefüllt werden erhalten (zb. wenn man an jemand eine message schickt)


[Beitrag von *noname123* am 31. Dez 2020, 11:46 bearbeitet]
Suche:
Gehe zu Seite: Erste Letzte |nächste|

Anzeige

Aktuelle Aktion

Partner Widget schließen

  • beyerdynamic Logo
  • DALI Logo
  • SAMSUNG Logo
  • TCL Logo

Forumsstatistik Widget schließen

  • Registrierte Mitglieder904.430 ( Heute: 17 )
  • Neuestes MitgliedSTAHLFOTO
  • Gesamtzahl an Themen1.508.821
  • Gesamtzahl an Beiträgen20.701.851