https?

[leministredupoudre]

@leministredupoudre:
Nur weil es keine 100%ige Sicherheit gibt, ganz auf Verschlüsselung verzichten? Sehe ich anders.

nein nein, das wollte ich ganz und gar nicht sagen! Habe ich mMn auch nicht. Man sollte nur hinterfragen, was man mit einer SSL-Verschlüsselung erreichen will und warum und dass das ganze nicht so sicher ist, wie man allgemein glaubt. Die Aussage "wir brauchen https, weil das sicherer ist" ist mir zu einfach und plakativ und stimmt nur bedingt.

natürlich gebe ich jedem Recht, das SSL-Verschlüsselung für sensible Datenübertragung Standard ist. Dem ist ja defacto so. Keiner würde auf den Gedanken kommen irgendwo Online-Shopping, -Banking, etc ohne Verschlüsselung zu machen. Bei einem privaten Forum sehe ich das jedoch noch etwas anders.

geht es nur um eine verschlüsselte Übertragung der Anmeldedaten, könnte man das sicherlich auch über nen bissl Javascript, Java, Ajax, CGI oder sowas hinbekommen.

als wäre es ein Kinderspiel eine SSL-Verschlüsselung zu umgehen

nun es braucht ein paar Voraussetzungen, aber die Hürde ist nicht wirklich hoch und es ist einfacher als man denkt und trotzdem nur sehr schwer zu entdecken.

 

[wiesenbiber]

Also wer von euch verwendet denn für den Zugang zu öffentlichen Foren die gleichen Zugangsdaten (name + passwort) wie für den Server mit den Betriebsgeheimnissen in der Firma ???

Hmmm, vielleicht doch mehr Leute als man denkt. Eine verschlüsselte und über ein Zertifikat abgesicherte Anmeldung fände ich schon schön. Zertifikate mit hinreichender Prüfung der Identität sind ja jetzt nicht soooo teuer im Vergleich zu den Betriebskosten.

Den kompletten Traffic zu verschlüsseln kostet dann schon wieder einiges mehr an CPU Power auf dem Server. Das halte ich persönlich nicht für notwendig (aber gut - mein Username/Passwort verwende ich auch nur hier).

Gruss, Klaus

 

[sou]

Zumindest ein Login über eine verschlüsselte Verbindung sollte heute Standard sein und auch hier im Forum würde ich es mir wünschen.

Dem stimme ich zu.

 

[Plany]

...
wie immer gibts 2 gruppen von usern. die paranoiden wie mich und die die nichts zu verbergen haben und gerne überwacht werden.

Also wenn ich was zu verbergen habe, und die Angst, dass ich überwacht werde, dann lass ichs halt einfach gut sein..
Wie schräg ist denn das?

Das einzige Pro sähe ich hier: in der Arbeit werden viele Domains vom Gateway gesperrt. Einfach dazu, dass man in der Arbeit nicht die Möglichkeit hat, auf FB herumzusurfen...
verwendet man allerdings https://www.face...., dann kann er die Domain nicht lesen, bzw, vielleicht liest er sie schon, kann sie aber nicht unter "Sperrenswürdig" einstufen, weil sie nicht in einer Liste steht...
Deswegen geht FB via https bei mir in der Arbeit.
DSLR-Forum geht auch ohne -s, deshalb also meinetwegen kein Handlungsbedarf.

Nur mal eben so am Rande.

LG, und schön Tag noch, Christoph.

 

[sou]

Das einzige Pro sähe ich hier: in der Arbeit werden viele Domains vom Gateway gesperrt. Einfach dazu, dass man in der Arbeit nicht die Möglichkeit hat, auf FB herumzusurfen...
verwendet man allerdings https://www.face...., dann kann er die Domain nicht lesen, bzw, vielleicht liest er sie schon, kann sie aber nicht unter "Sperrenswürdig" einstufen, weil sie nicht in einer Liste steht...

Deswegen geht FB via https bei mir in der Arbeit.
DSLR-Forum geht auch ohne -s, deshalb also meinetwegen kein Handlungsbedarf.

[ ] Du hast verstanden um was es hier geht.

 

[Oldy62]

Zumindest ein Login über eine verschlüsselte Verbindung sollte heute Standard sein und auch hier im Forum würde ich es mir wünschen.



Nein.

Ich welcher Welt lebst du eigentlich?
Dein Provider weiss alles, was er wissen will. Ob er die Daten wirklich abgreift, steht auf einem anderen Blatt.
Aber er kann, wenn er will (darf aber nicht!).
Woher hat wohl die Polizei ihrer Onlineinformationen, wenn es darum geht, Rechtsverstöße Einzelner im Internet nachzuweisen.

Uwe

 

[Steffen Rentsch]

Es kann doch nun nicht die Sorge eines Forenbetreibers sein, stets Möglichkeiten bereit zu stellen, um eine Blockierung durch diverse Firewalls - für die es auch betriebliche Gründe geben mag - zu umgehen.

Es steht nicht umsonst in unseren Nutzungsbedingungen:

"Es besteht zu keinem Zeitpunkt ein Anspruch auf die Verfügbarkeit des DSLR-Forum oder einzelner Themen, Beiträge und Funktionen."

Nur weil ich mich in einem Forum registriert habe, um seine Dienste unentgeltlich nutzen zu können entsteht dadurch doch kein Anspruch, dass das Forum auch hinter Firewalls mit hinterlegten Ausschlusslisten ständig verfügbar zu sein hat oder dass man dazu beizutragen hat, solche Sperren zu umgehen.

Wenn jemand wegen permanentem Surfen am Arbeitsplatz im Forum den selbigen verliert, muss der Betreiber ihn doch auch nicht aus der fatalen Situation heraushauen - oder?

LG Steffen

 

[b8d]

@Steffen
Das Argument mit der Firmenfirewall finde ich auch etwas merkwürdig. Zumal es da andere Möglichkeiten gibt.

Den Verweis auf die Nutzungsbedingungen verstehe ich aber nicht ganz. Natürlich hat hier keiner einen Anspruch auf irgendetwas. So war das vom TO ja auch nicht gemeint. Es geht um den Wunsch einiger Nutzer, der sicher nicht so weit hergeholt ist, wie hier einige tun.

Aber er kann, wenn er will (darf aber nicht!).

Na dann...

 

[ullid]

Das macht den Sinn, daß niemand in einem fremden Namen was schreiben kann, wenn man Pech hat, kann sonst vielleicht die Polizei vor der Tür stehen, das finde ich ist ein sehr guter Grund für eine Verschlüsselung!

Sollte man hier Bedenken haben dann wird man ja nicht gezwungen sich mit Realdaten anzumelden.

 

[FaxMax]

Also ich würde mich auch für eine Verschlüsselte Anmeldung aussprechen,
da ja das Password zu den Personenbezogenen Daten gehört dürfte das auch Sinn machen (was die Einhaltung des Datenschutz Gesetzes angeht).

Grüße Max

PS: scorpio falls deine Anmeldung auch unverschlüsselt ist könnte ja ein Böser Bösewicht auch "recht leicht" Böse ungewollte Dinge tun

 

[Oldy62]

da ja das Password zu den Personenbezogenen Daten gehört dürfte das auch Sinn machen (was die Einhaltung des Datenschutz Gesetzes angeht).

Das hätte ich gerne mal erklärt (mit Rechtsquellen bitte).

Na dann...

Argumentationsdefizit oder einfach nicht verstanden?

 

[Gast_345167]

Hallo mpeg,

nach langem überlegen habe ICH die LÖSUNG für dein kleines Problem !!!

Zieh den Stecker aus deinem Router bzw. schalte das W-Lan ab und schon bist du in absoluter 1000%iger SICHERHEIT

 

[b8d]

Argumentationsdefizit oder einfach nicht verstanden?

Ich diskutiere ungern mit Leuten, die ganz offensichtlich nicht wissen, wovon sie reden und trotzdem versuchen, einem die Welt zu erklären. Das was Du in dem von mir zitierten Beitrag geschrieben hast, ist schlicht falsch.

 

[Oldy62]

Ich diskutiere ungern mit Leuten, die ganz offensichtlich nicht wissen wovon sie reden und trotzdem versuchen, einem die Welt zu erklären. Das was Du in dem von mir zitierten Beitrag geschrieben hast, ist schlicht falsch.

1. Erklärs mir!

2. Ach wirklich?
Ich weiss das aus erster (allererster!) Quelle und du?
Du bist wirklich der Meinung, dass ein Provider die Daten oder den Datenverkehr seiner Kunden nicht auslesen kann?
Wirklich?
Jeder gute Admin bekommt das mit eine wenig Mühe hin und jeder versierte Hacker auch, sobald er eine offenen Port gefunden hat.
Von innen ist das gar kein Problem, weil es da schlicht keine Hürden gibt.

Ich versuche dir gar nichts zu erklären, weil es für diese Tatsache keinen Erklärungsbedarf gibt. Selbst Tante Google gibt da recht schnell Aufklärung.

 

[FaxMax]

Das hätte ich gerne mal erklärt (mit Rechtsquellen bitte).

de.wikipedia.org/wiki/Personenbezogene_Daten

Bayerisches Datenschutzgesetz

... für weitere Details bin ich zu faul zum suchen aber in meiner Ausbildung zum Fachinformatiker in der Fachrichtung Systemintegration wird mir lange und breit gepredigt (auch in der Berufsschule) dass Passwörter zu den Personenbezogenen Daten gehören.

 

[b8d]

offenen Port

Wovon sprichst Du jetzt? Das hat doch nichts mit der Verschlüsselung zu tun, die hier Thema ist.

Woher hat wohl die Polizei ihrer Onlineinformationen

Sicher zu mindestens 99% nicht durch Mitlesen des Datenverkehrs.

Erklärs mir!

Wenn es Dich wirklich interessiert, informiere Dich mal über asymmetrische Kryptosysteme (z.B. RSA) und hybride Verschlüsselungsverfahren, wie sie bei SSL/TLS eingesetzt werden.

Edit:
Hier findet man einige grundlegende Informationen:
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m05/m05066.html

 

[RSM]

Sicher zu mindestens 99% nicht durch Mitlesen des Datenverkehrs.

Sollte spätestens dann klar werden, wenn man statt mittelkomplizierter Mathematik ein (in eine SSL-ähnliche Form transformiertes)OTP annimmt.

Generell - wenn schon ein Schloss da ist, dann sollte das auch eine Tür sichern, rein aus dem Bereich Alltagserfahrung.

 

[lichtbildle]

Verschlüsselung ist sicher wünschenswert. Überall, wenn möglich.

An den Kosten für ein Zertifikat sollte das nicht scheitern, auch der Administrationsaufwand ist überschaubar. Ein größeres Problem ist aber die zusätzliche Last, die HTTPS auf dem Server erzeugt. Der muß ja jedes Datenpaket nochmal zusätzlich bearbeiten. Auf Clientseite (Webbrowser) ist das vernachlässigbar, nicht jedoch auf einem Server, der einen so großen Webservice wie dieses Forum bedient.

 

[sou]

Verschlüsselung ist sicher wünschenswert. Überall, wenn möglich.

So ist es.

Ein größeres Problem ist aber die zusätzliche Last, die HTTPS auf dem Server erzeugt. Der muß ja jedes Datenpaket nochmal zusätzlich bearbeiten. Auf Clientseite (Webbrowser) ist das vernachlässigbar, nicht jedoch auf einem Server, der einen so großen Webservice wie dieses Forum bedient.

Google z.B. hat nach Aktivierung von HTTPS festgestellt, das sie weder zusätzliche Server brauchten, noch das die Last der vorhandenen Server nennenswert angestiegen ist.

Wenn es ein Grund gibt es nicht zu aktivieren ist es Werbung. Beim Wechsel von HTTPS zu HTTP wird der Referrer nicht übertragen. Mit anderen Worten: die Werbepartner wüßten dann nicht mehr ob ihre Werbung zieht.

 

[fr@ntic]

Wenn es ein Grund gibt es nicht zu aktivieren ist es Werbung. Beim Wechsel von HTTPS zu HTTP wird der Referrer nicht übertragen. Mit anderen Worten: die Werbepartner wüßten dann nicht mehr ob ihre Werbung zieht.

Vollkommen richtig! Genau aus dem Grund werden meist "nur" Shopsysteme beim Bezahlvorgang über SSL geleitet. Der User an sich soll ja "verfolgbar" bleiben. Nebenbei angemerkt kosten qualifizierte SSL-Zertifikate auch richtig Geld.