https?

[Oldy62]

Jo, dann sind es nun 92%.
Und wie sicher das gesichterte Facebook ist, liest man ja allenthalben. Was soll der Hinweis mit der WLan-Verbindung? Das ist doch etwas ganz anderes.
Was ist mit den externe Links und woher weisst du, dass alle nachgeschalteten Knoten genauso gesichert sind, wie die Hauptseite?

Das Banken, Versandhäuser und E_Mail-Provider gesicherte Verbindungen nutzen, ist schon ewig so.
Die Zahl der gesicherten Seiten mag zunehmen, aber die Zahl der täglich neu hinzukommenden, ungesicherten Seiten übertrifft diese Zahl um ein Mehrfaches.

 

[sou]

warum sollte man nacht dem login wieder auf unverschlüsselt schalten wenn doch alles schon eingerichtet ist?

Entscheidend ist die verschlüsselte Übertragung des Anmeldevorgangs, damit Benutzername und Passwort nicht im Klartext durch das Internet gehen. Alles andere ist optional.

das macht ja noch weniger sinn als gleich darauf zu verzichten.

Welchen Sinn sollte es haben öffentliche Themen bzw. Beiträge á la "Was gab es heute in der Kantine?" verschlüsselt zu übertragen?

 

[mpeg]

einen brief stecke ich auch komplett in den umschlag und schreib nicht die anrede und mfg aussen drauf.

 

[Finivain]

Der Login erfolgt gar nicht über eine verschlüsselte Verbindung. Nur das PW wird verschlüsselt. Ein HTTPS Zertifikat kostet halt Geld. Andernfalls bekommt jeder User eine Warnung das der Seite nicht zu trauen ist etc.. Das ist für die meinsten unbedarften User sicher eine größere Abschreckung als HTTP.

 

[Gast_294084]

... Welchen Sinn sollte es haben öffentliche Themen bzw. Beiträge á la "Was gab es heute in der Kantine?" verschlüsselt zu übertragen?

Das macht den Sinn, daß niemand in einem fremden Namen was schreiben kann, wenn man Pech hat, kann sonst vielleicht die Polizei vor der Tür stehen, das finde ich ist ein sehr guter Grund für eine Verschlüsselung!

 

[sou]

Der Login erfolgt gar nicht über eine verschlüsselte Verbindung.

Genau darum geht es ja.

Ein HTTPS Zertifikat kostet halt Geld.

Nein. Es gibt sogar kostenlose Zertifikate, denen die üblichen Browser bereits ab Werk vertrauen.

 

[sou]

Das macht den Sinn, daß niemand in einem fremden Namen was schreiben kann, wenn man Pech hat, kann sonst vielleicht die Polizei vor der Tür stehen, das finde ich ist ein sehr guter Grund für eine Verschlüsselung!

Wenn die Anmeldedaten verschlüsselt übertragen werden müsste ein Angreifer diese erst abgreifen, entschlüsseln und sich mit diesen Daten anmelden, damit er im Namen Dritter etwas schreiben kann.

 

[Finivain]

Genau darum geht es ja.

Dem TO geht es erstmal um seine Daten. Und er dachte wie Du zitiert hast das es so wäre oder nicht? Zumindest lese ich das aus dem Zitat raus.

Generell wäre Https schon besser dagegen sag ich ja nichts

 

[sou]

Dem TO geht es erstmal um seine Daten. Und er dachte wie Du zitiert hast das es so wäre oder nicht? Zumindest lese ich das aus dem Zitat raus.

Was wäre wie? Der Startbeitrag ist m.E. eindeutig.

 

[mpeg]

ich würde es begrüssen wenn die verbindung grundsätzlich verschlüsselt wäre.
ich wollte einfach nur von den admins oder betreibern mal hören ob da was geplant ist bzw mal zum nachdenken anregen.

wie immer gibts 2 gruppen von usern. die paranoiden wie mich und die die nichts zu verbergen haben und gerne überwacht werden.

 

[sou]

ich würde es begrüssen wenn die verbindung grundsätzlich verschlüsselt wäre.

Mir würde es schon reichen wenn die Anmeldedaten verschlüsselt übertragen werden.

wie immer gibts 2 gruppen von usern. die paranoiden wie mich und die die nichts zu verbergen haben und gerne überwacht werden.

Ob so oder so. Das Zugangsdaten nicht im Klartext durch die Leitungen gehen sollten daber sind wir uns einig, denke ich.

 

[cyberdok]

Genau darum geht es ja.



Nein. Es gibt sogar kostenlose Zertifikate, denen die üblichen Browser bereits ab Werk vertrauen.

Wo? Das würde ich gerne sehen?

EDIT: danke

 

[sou]

Wo? Das würde ich gerne sehen?

http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html

 

[Krötenwanderung]

AUTSCH TUT DAS NICHT WEH ?

Stichwort Öffentliches Forum

Der Versuch, Dinge ins Lächerliche zu ziehen, nur weil man nicht verstanden hat, worum es geht, wirkt selten lustig sondern meist eher debil.

Es ist heute Stand der Technik, eine gesicherte Verbindung zumindest überall dort anzubieten, wo persönliche Daten übertragen werden. Das gilt also durchaus auch für Foren, die neben öffentlichen Bereichen auch private Kommunikationskanäle anbieten, in denen dann ggf. Bankdaten für Verkäufe oder sonstwas vergleichbares transportiert wird.

Andererseits ist es selbstverständlich auch zu akzeptieren, wenn der Betreiber das nicht möchte - als Nutzer entscheide ich ja letztlich selber, was ich in diesem Forum tue. Wer auf Sicherheit wert legt, nutzt dann die PNs zur Weitergabe einer E-Mail Adresse und wickelt weitere private Kommunikation dann darüber ab.

cv

 

[mpeg]

danke

 

[sou]

Es ist heute Stand der Technik, eine gesicherte Verbindung zumindest überall dort anzubieten, wo persönliche Daten übertragen werden.

Beispiele sind die Registrierung, die Anmeldung, die PNs und das Kontrollzentrum.

 

[b8d]

Zumindest ein Login über eine verschlüsselte Verbindung sollte heute Standard sein und auch hier im Forum würde ich es mir wünschen.

Dein eigener Provider weiss das sowie so.

Nein.

 

[leministredupoudre]

ssl ist "teuer" und "unsicher", daher sollte man sich 3x überlegen, was man damit erreichen will.

primärer Aspekt einer Zertifkats-basierend Verschlüsselung ist neben der Datenintegrität (Daten werden beim Transport nicht verändert), Datenvertraulichkeit (keiner kann mitlesen), vorallem die Datenauthentizität. D.h. die Sicherstellung, dass ich wirklich mit DSLR-Forum.de verbunden bin und nicht mit jemandem, der sich als solches ausgibt. Diese Überprüfung der Authentizität durch eine vetrauenswürdige Stelle ist imho der wichtigste Aspekt und der kostet mitunter richtig Schotter, je nach Grad der Überprüfung deiner Identität. Bei kostenlosen Zertifikaten wird meines Wissens nach keine Identität überprüft. Bringt ja nichts wenn ich nicht sicher bin, mit wem ich verbunden bin Die Identität wird von den sog Root-CA's überprüft, die die Zertifikate austellen. Die Zertifikate der Root-CA sind in den Browsern hinterlegt. D.h. wenn du der Root-CA vertraust, dann vertraust du auch den Seiten mit Zertifikaten, die von den Root-CA's signiert sind. Leider gehen immer wieder Root-CA Zertifikate "verloren" (Comodo, KPN, Microsoft, etc), es gibt einen Haufen unseriöser (Root-)CA's und das Firefox Team hat vor einiger Zeit einige Root-CA Zertifikate aus dem Browser entfernt, die niemandem zugeordnet werden konnten und wo niemand weiß, wie die in den Firefox gekommen sind. Dh. diese ganze Vertrauensgeschichte für die Authentizität steht auf hölzernen Füssen. Weiterhin ist es mit relativ geringem technischen Aufwand möglich eine SSL-Verbindung aufzusplitten, um die Daten wieder mitzulesen, ohne dass der Benutzer davon etwas merkt. Demgegenüber steht ein erhöhter administrativer und organisatorischer Aufwand beim Betreiber der Webseite, außerdem kostet Verschlüsselung richtig Rechenpower, die der Betreiber einer größeren Seite auch erst mal aufbringen muss.

Trotz der Tatsache, dass das SSL-/HTTPS Konstrukt auf wackeligen Füssen steht, bzw angreifbar ist, ist es natürlich besser als nix, wenn man sich dann aber den Overhead für den Betreiber ansieht, bedarf es meiner Meinung nach schon trifftiger Gründe SSL-Verschlüsselung einzusetzen. Auf kommerziellen Seiten sehe ich diese Gründe als gegeben an, für ein Forum wirds dann aber schon eng.

 

[Finivain]

Was wäre wie? Der Startbeitrag ist m.E. eindeutig.

Den meinte ich nicht. aber das Zitat war wohl aus dem Zusammenhange gerissen

 

[b8d]

@leministredupoudre:
Nur weil es keine 100%ige Sicherheit gibt, ganz auf Verschlüsselung verzichten? Sehe ich anders. Außerdem stellst Du es geradezu so dar, als wäre es ein Kinderspiel eine SSL-Verschlüsselung zu umgehen. Das ist natürlich nicht zutreffend. SSL als unsicher darzustellen, ist meiner Meinung nach nicht richtig.

Die Kostenfrage ist da schon eher ein Argument. Für mich ist eine Verschlüsselung (zumindest im Anmeldebereich etc.) einfach eine Schritt, den man als Seitenbetreiber machen muss, genau so wie man Server mieten muss, etc. Dass das derjenige, der die Kosten tragen muss, anders sehen kann ist mir aber auch klar.