• Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2025
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
    "Upscreen", "Screenleaf", BROTECT" und "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Mitmachen beim DSLR-Forum Fotowettbewerb August 2025.
    Thema: "Kurven"
    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum August-Wettbewerb hier!

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • Nicht erreichbare Adressen im Benutzerkonto
    Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
    als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
    Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
    Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
    Danke!
WERBUNG

SSL Verschlüsselung des Webservers

Status
Für weitere Antworten geschlossen.

urbi2

Themenersteller
Hallo Support,

warum verschlüsselt ihr nicht den Datenstrom zwischen Webserver und Clients dauerhaft durch Umstellung auf https/SSL?

Die Authentifizierung über eine unverschlüsselte Verbindung ist meiner Meinung nicht mehr zeitgemäß.
 
Und viele der Beiträge gingen dann auch mit dem zweiten Datenverlust verloren.

Jedenfalls hat sich scorpio nie dazu geäußert, weshalb es nicht eingesetzt wird, soweit ich weiß...
 
Pecos schrieb:
Jedenfalls hat sich scorpio nie dazu geäußert, weshalb es nicht eingesetzt wird, soweit ich weiß...
Zum Vergrößern anklicken....

Doch - er hat die einfache Frage gestellt, welche der hier übermittelten - und im wesentlichen anonymen Daten - denn eines besonderen Schutzes bedürfen. Und diese Frage ist ihm - meines Wissens - nie plausibel beantwortet worden.

LG Steffen
 
Steffen Rentsch schrieb:
Doch - er hat die einfache Frage gestellt, welche der hier übermittelten - und im wesentlichen anonymen Daten - denn eines besonderen Schutzes bedürfen. Und diese Frage ist ihm - meines Wissens - nie plausibel beantwortet worden.
Zum Vergrößern anklicken....

Ach ja?

mpeg schrieb:
wie schauts mit einer geschützten verbindung aus?
ist da was geplant?
Zum Vergrößern anklicken....
scorpio schrieb:
Wozu soll das hier im Forum gut sein?
Zum Vergrößern anklicken....
mpeg schrieb:
vielleicht das nicht jeder provider nach belieben daten sammeln wer was liest oder macht.
Zum Vergrößern anklicken....
scorpio schrieb:
Welcher Provider sammelt hier wie welche Daten?
Zum Vergrößern anklicken....

Weiter hat er sich nicht geäußert.

Und die Frage, was denn geschützt werden soll, wurde auch mehrfach beantwortet:

sou schrieb:
Damit die Zugangsdaten während des Logins nicht im Klartext übertragen werden. Danach kann es wie gewohnt unverschlüsselt weitergehen.
Zum Vergrößern anklicken....

Krötenwanderung schrieb:
Es ist heute Stand der Technik, eine gesicherte Verbindung zumindest überall dort anzubieten, wo persönliche Daten übertragen werden. Das gilt also durchaus auch für Foren, die neben öffentlichen Bereichen auch private Kommunikationskanäle anbieten, in denen dann ggf. Bankdaten für Verkäufe oder sonstwas vergleichbares transportiert wird.
Zum Vergrößern anklicken....

b8d schrieb:
Zumindest ein Login über eine verschlüsselte Verbindung sollte heute Standard sein und auch hier im Forum würde ich es mir wünschen.
Zum Vergrößern anklicken....

wiesenbiber schrieb:
Eine verschlüsselte und über ein Zertifikat abgesicherte Anmeldung fände ich schon schön.
Zum Vergrößern anklicken....

FaxMax schrieb:
Also ich würde mich auch für eine Verschlüsselte Anmeldung aussprechen[...]
Zum Vergrößern anklicken....

lichtbildle schrieb:
Verschlüsselung ist sicher wünschenswert. Überall, wenn möglich.
Zum Vergrößern anklicken....
 
Inwieweit ist denn ein selbst gewählter Benutzernamen (Alias - oft anonym) und ein selbst gewähltes Kennwort - dass man jederzeit ändern kann - ein schützenswertes Gut im Sinne des Datenschutzes (personenbezogene Daten)?

Mehr wird beim Einloggen nicht übermittelt. Ich sehe da keine personenbezogene Daten, die in irgendeiner Weise gefährdet sind, wenn man sie nicht verschlüsselt.

Selbstverständlich sollte man die Kombination aus Benutzernamen und stets gleichbleibendem Passwort nicht mehrfach im Web benutzen und in einem solchen Fall ggf. ändern.

Das liegt aber eher auf der persönlichen Ebene und hat nichts mit dem Forum zu tun.

Ehrlich gesagt verstehe ich nicht, wieso man Kriterien, die für einen Shop mit diversen Zahlungsmethoden gelten mögen, völlig unkritisch auf eine öffentliche Diskussionsplattform zu übertragen sucht.

LG Steffen
 
Zuletzt bearbeitet:
DAS gehört in einen ganz privaten Mailverkehr, den man, je nach Paranoia, mehr oder weniger verschlüsseln kann.
 

Anhänge

  • Bildschirmfoto 2013-08-24 um 22.20.41.png
    Exif-Daten
    Bildschirmfoto 2013-08-24 um 22.20.41.png
    25,2 KB · Aufrufe: 166
Calm schrieb:
DAS gehört in einen ganz privaten Mailverkehr, den man, je nach Paranoia, mehr oder weniger verschlüsseln kann.
Zum Vergrößern anklicken....
Und viele User werden die Daten dennoch hier austauschen. (mal davon abgesehen, dass man beim Versenden von Emails an unbekannte auch nicht weiß, ob der Empfänger seine Mails auch mit SSL abruft. Und sich auf PGP einigen werden wohl die wenigsten)

Steffen Rentsch schrieb:
Selbstverständlich sollte man die Kombination aus Benutzernamen und stets gleichbleibendem Passwort nicht mehrfach im Web benutzen und in einem solchen Fall ggf. ändern.
Zum Vergrößern anklicken....
Und was meinst Du wie viele Leute das tatsächlich machen? Sicherlich ein paar, aber aus eigener Erfahrung würde ich vermuten, dass die Mehrzahl der User das nicht tun und sich nicht mit so etwas auseinandersetzen.
Ehrlich gesagt verstehe ich nicht, wieso man Kriterien, die für einen Shop mit diversen Zahlungsmethoden gelten mögen, völlig unkritisch auf eine öffentliche Diskussionsplattform zu übertragen sucht.
Zum Vergrößern anklicken....
Gehandelt wird auch hier. Und auch Zahlungsinformationen, Adressen, etc. ausgetauscht.

Nebenbei geht es ja auch nicht nur um die Abhörsicherheit, sondern auch darum, dass die Verbindung nicht manipulierbar ist. (Dem User Spyware unterzuschieben z.b., was hier ja nicht ganz unbekannt sein dürfte :evil:)


Aber ganz allgemein: Was spricht denn DAGEGEN?

Darauf habe ich jedenfalls auch noch keine Antwort gehört.
Das wäre doch zum Beispiel mal etwas, worauf scorpio antworten könnte. Schließlich scheint er es zu sein, der https hier nicht einrichten möchte, da muss er es doch auch irgendwie begründen können.
 
Pecos schrieb:
Und viele User werden die Daten dennoch hier austauschen. (mal davon abgesehen, dass man beim Versenden von Emails an unbekannte auch nicht weiß, ob der Empfänger seine Mails auch mit SSL abruft. Und sich auf PGP einigen werden wohl die wenigsten)
Zum Vergrößern anklicken....
Wessen Problem ist das letztendlich?

Ist der Briefträger für meine "Offenheit" verantwortlich, wenn ich eine Postkarte statt eines Briefs versende?
 
Darf der Briefträger deine Postkarte unbeaufsichtigt liegen lassen, sodass andere Leute sie lesen können?

Und sobald Daten abgegriffen werden, und User möglicherweise rechtliche Schritte gegen den Forenbetreiber anstreben, ist dies auch für ihn ein Problem...
 
Zuletzt bearbeitet:
Pecos schrieb:
Darf der Briefträger deine Postkarte unbeaufsichtigt liegen lassen, sodass andere Leute sie lesen können?
Zum Vergrößern anklicken....

Er muß sie doch nicht liegen lassen, er kann sie lesen und den Inhalt mißbrauchen - genau so, wie ein schlechter Mensch unverschlüsselte Kontodaten abfischen und nutzen kann. Nur weil der Sender zu naiv ist, eine besser geschützte Sendeform zu nutzen.

Ergo kann man weder die Post noch einen Forenbetreiber für die Naivität (fast hätte ich Blödheit geschrieben) verantwortlich machen.
 
Calm schrieb:
Er muß sie doch nicht liegen lassen, er kann sie lesen und den Inhalt mißbrauchen - genau so, wie ein schlechter Mensch unverschlüsselte Kontodaten abfischen und nutzen kann.
Zum Vergrößern anklicken....
In diesem Beispiel ist wohl scorpio (und alle anderen berechtigten Administratoren) der Briefträger. Das er die Nachrichten lesen kann lässt sich kaum vermeiden. Andere sollten dazu aber nicht die Möglichkeit haben.

Nur weil der Sender zu naiv ist, eine besser geschützte Sendeform zu nutzen.
Zum Vergrößern anklicken....

Den meisten Usern fehlt halt das Wissen dazu. Das kann man meiner Meinung nach nicht als Naivität werten.

Der Aufwand SSL einzurichten ist gering. Warum sollte man darauf verzichten?
 
Steffen Rentsch schrieb:
Inwieweit ist denn ein selbst gewählter Benutzernamen (Alias - oft anonym) und ein selbst gewähltes Kennwort - dass man jederzeit ändern kann - ein schützenswertes Gut im Sinne des Datenschutzes (personenbezogene Daten)?

Mehr wird beim Einloggen nicht übermittelt. Ich sehe da keine personenbezogene Daten, die in irgendeiner Weise gefährdet sind, wenn man sie nicht verschlüsselt.
Zum Vergrößern anklicken....

Steffen Rentsch schrieb:
Und inwieweit erhöht sich die Sicherheit dieser Angaben, wenn lediglich der Login SSL-verschlüsselt wird? Hmmh
Zum Vergrößern anklicken....

1. Der Benutzername ist oft ein Alias. Aber nicht immer! Auch Signatur, Postings, Eingestellte Fotos können gewollte oder ungewollte Rückschlüsse auf die Identität geben. Ebenso ist die vom User genutzte IP-Adresse sehr wohl höchstrichterlich ein persönliches Datum. Selbst wenn diese nicht gespeichert wird, ist sie doch für die Dauer der Verbindung präsent!!!

2. "Nur der Login verschlüsselt", das wäre totaler Quatsch. SSL wird - so wie ich es unter Linux und Confixx kenne - pro Server auf die komplette IP-Adresse bezogen. Man müßte also einen extra Loginserver aufsetzen, der.. ach, totaler Quatsch halt.. braucht man kein Wort drauf zu verschwenden.
denn:

3. Die PNs die User sich schicken, sind schützenswert. Sie enthalten oft privateste Infos. Der Klimmzug nur Logins zu verschlüsseln wäre äufwendiger als Totalverachlüsselung und würde eben keine PNs beeinhalten.

Last but not least:
Dass Forenbetreiber die möglichen Gefahren nicht sofort erkennen, ehrt sie einerseits. Denn es braucht schon kriminelle Energie oder Paranoia um sich Missbrauchsmöglichkeiten auszudenken. Das Problem ist aber andererseits halt: "Draussen" gibt es genug davon. Und hinterher, wenn das Kind im Brunnen ist ungläubig mit dem Kopf zu wackeln, hilft auch keinem mehr.

Aber: Zwar sind dank Snowden nun alle Menschen die zuvor als Paranoide galten, halbwegs rehabilitiert, und es wird ihnen ein wenig mehr Glauben geschenkt. Aber man muss auch sagen, dass es für Kriminelle oder NSA & Co womöglich bessere Ziele als das DSLR-Forum gibt.

Letzteres sollte jedoch nicht die Generalamnestie für vollständige Ignoranz des Themas sein.

Kurz: SSL ist wünschenswert und imho überfällig.
 
Zuletzt bearbeitet:
Sehe ich ähnlich. Und dank StartSSL z.B. sind die Kosten inzwischen auch kein Problem mehr. Da gibts das Zertifikat kostenlos und das wird inzwischen von den meisten Browser und mobilen Endgeräten akzeptiert.

Achso, und was die zusätzliche Last auf das System betrifft, so muss der SSL Offload ja nicht vom Webserver gemacht werden sonder kann von der vorgelagerten Web Application Firewall gemacht werden - dann hat der Server keine zusätzlichen Aufgaben.
 
Zuletzt bearbeitet:
Mapan schrieb:
Aber man muss auch sagen, dass es für Kriminelle oder NSA & Co womöglich bessere Ziele als das DSLR-Forum gibt.
Zum Vergrößern anklicken....

Für Geheimdienste vielleicht.
Aber für Kriminelle ist auch das Forum hier interessant. Die Userzahl ist ja nicht gerade klein. Und wenn dann noch schlecht geschützt wird, dann steigt da das Interesse.
 
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten