https
- hoernerfranz
- Beiträge: 107
- Registriert: Di 21. Jun 2011, 17:16
- Kontaktdaten:
https
Hallo Admins,
ich bin ja hier ein eher seltener Gast, aber gerade deswegen ist mir mal wieder aufgefallen,
dass es hier immer noch keinen SSL gesicherten Zugang gibt, was bedeutet, dass Passwörter bei jedem Login unverschlüsselt über die Leitung gehen.
Das ist heutzutage eigentlich niemandem mehr zuzumuten, da es ja inzwischen genügend Möglichkeiten gibt, eine Website mit einem kostenlosen Zertifikat abzusichern, z.B. von
https://letsencrypt.org/
- wollt Ihr das nicht mal angehen ?
ich bin ja hier ein eher seltener Gast, aber gerade deswegen ist mir mal wieder aufgefallen,
dass es hier immer noch keinen SSL gesicherten Zugang gibt, was bedeutet, dass Passwörter bei jedem Login unverschlüsselt über die Leitung gehen.
Das ist heutzutage eigentlich niemandem mehr zuzumuten, da es ja inzwischen genügend Möglichkeiten gibt, eine Website mit einem kostenlosen Zertifikat abzusichern, z.B. von
https://letsencrypt.org/
- wollt Ihr das nicht mal angehen ?
there is no home like 127.0.0.1
Im Moment ist die Personaldecke im Forum mehr als dünn. Seit ich meinen neuen Job habe, macht Uwe hier quasi alles alleine.
Aber wir nehmen deinen Hinweis erstmal zur Kenntnis, und sehen, was sich machen lässt.
Gruß
Rene
Aber wir nehmen deinen Hinweis erstmal zur Kenntnis, und sehen, was sich machen lässt.
Gruß
Rene
moin
[font=Comic Sans MS]Das Leben ist wie eine Ketchupflasche - erst kommt nichts und dann alles auf einmal.[/font]
[font=Comic Sans MS]Das Leben ist wie eine Ketchupflasche - erst kommt nichts und dann alles auf einmal.[/font]
- hoernerfranz
- Beiträge: 107
- Registriert: Di 21. Jun 2011, 17:16
- Kontaktdaten:
ok, schon klar dass das ein gewisser Aufwand ist.
hält sich aber durchaus in Grenzen, siehe z.B.
https://www.pcwelt.de/ratgeber/SSL-Zert ... 63268.html
Gruss
Werner
hält sich aber durchaus in Grenzen, siehe z.B.
https://www.pcwelt.de/ratgeber/SSL-Zert ... 63268.html
Gruss
Werner
there is no home like 127.0.0.1
- georg_horn
- Beiträge: 2972
- Registriert: Do 21. Sep 2006, 14:37
- Wohnort: Koblenz
- Kontaktdaten:
Naja, die Passworte sind jetzt viele Jahre lang unverschlüsselt übertragen worden und eh alle bei der NSA gespeichert.
Andererseits, WENN Hilfe bei der Serverbetreung gebraucht wird (nicht Moderator, da reicht mir das XJ Forum) könnte ich aushelfen.
Andererseits, WENN Hilfe bei der Serverbetreung gebraucht wird (nicht Moderator, da reicht mir das XJ Forum) könnte ich aushelfen.
Gruss,
Georg
Fahrt so schnell ihr könnt, so lange ihr noch könnt!
(Uli Peil im XJ-Forum)
Georg
Fahrt so schnell ihr könnt, so lange ihr noch könnt!
(Uli Peil im XJ-Forum)
- hoernerfranz
- Beiträge: 107
- Registriert: Di 21. Jun 2011, 17:16
- Kontaktdaten:
OMG, was ein Argumentgeorg_horn hat geschrieben:Naja, die Passworte sind jetzt viele Jahre lang unverschlüsselt übertragen worden und eh alle bei der NSA gespeichert.
- du kannst auch 10 Jahre mit Holzreifen rumfahren und sagen dass
das immer funktioniert hat und deswegen so bleiben muss.
btw., ich kann mich erinnern, da war mal ein Passwortklau grossen Stils hier im Forum,
worauf etliche User zugespammt wurden (ich auch).
Das muss nicht, könnte aber auch durch abgefangene Passwörter verursacht worden sein.
there is no home like 127.0.0.1
Da dies einen direkten Zu- und Eingriff in die Systemkonfiguration bedeutet kann das nur der Stephan machen. Wir sind zwar Admins der Daten aber nicht des kompletten Systems.
Allerdings muss ich dem Werner natürlich Recht geben, dass dies erheblich sicherer ist.
Eventuell wird das ja etwas, was mit dem Upgrade auf die neue Forumssoftware-Version erledigt werden kann.
Gruß Uwe
Allerdings muss ich dem Werner natürlich Recht geben, dass dies erheblich sicherer ist.
Eventuell wird das ja etwas, was mit dem Upgrade auf die neue Forumssoftware-Version erledigt werden kann.
Gruß Uwe
Mit einem Gruß aus dem Westen
*** Ein richtiges Motorrad braucht nur 2 Ventile. Eins am Vorder- und eins am Hinterrad. ***
*** Ein richtiges Motorrad braucht nur 2 Ventile. Eins am Vorder- und eins am Hinterrad. ***
- georg_horn
- Beiträge: 2972
- Registriert: Do 21. Sep 2006, 14:37
- Wohnort: Koblenz
- Kontaktdaten:
Ich habe nicht gesagt dass es so bleiben muss, es ist aber auch kein Grund jetzt auf einmal in Panik zu verfallen wo es schon immer so war. Die Jungs werden das schon regeln.du kannst auch 10 Jahre mit Holzreifen rumfahren und sagen dass das immer funktioniert hat und deswegen so bleiben muss.
Gruss,
Georg
Fahrt so schnell ihr könnt, so lange ihr noch könnt!
(Uli Peil im XJ-Forum)
Georg
Fahrt so schnell ihr könnt, so lange ihr noch könnt!
(Uli Peil im XJ-Forum)
ich wundere mich, dass der Admin noch immer nicht reagiert hat auf die Veränderungen im Web. Die Sicherheit sollte nie außer acht gelassen werden. Es wurden schon einige Foren gehackt. Dieses Forum ist wohl eins der Letzten, die auf https umstellen?
Gruß phoenix
Gruß phoenix
Martin B.Bj.41
<BR>4L0 Bj.81 verkauft
<BR>4L0 Bj.81 verkauft
Um eine wirkliche Bedrohung für die einzelnen User geht es hier in diesem Forum ja nicht wirklich. Dazu müssten ja schon einige Dinge zusammen kommen, die jeder einzelne für sich aber schon vermeiden kann.
* Das Abfangen eines Passworts kann nur an exponierte Stelle erfolgen. Also nur auch dem Transportweg des Pakets. Dazu ist ein Zugriff auf einen Router notwendig. (andere Möglichkeiten durch Phishing oder lokale Keylogger o.ä. mal außen vorgelassen, denn das kann auch https nicht verhindern)
Was kann der Angreifer damit tun?
* Keine Ahnung, aber jedenfalls kein Geld abkassieren und das ist doch wohl immer das größte Interesse eines Angreifers. Er käme auch nicht an Kontodaten oder Kreditkartendaten.
* Datendiebstahl? Hier sind nur die Anhänge geschützt und das sind keine Informationen die solch einen Aufwand lohnen.
Insofern dürfte die Wahrscheinlichkeit eins Hacks relativ gering sein. Das soll nicht heißen, dass man auf jegliche Sicherheit verzichten kann. Wir werden das auf jeden Fall im Auge behalten.
Wichtig für JEDEN User ist es aus meiner Sicht für JEDE Seite ein ANDERES Passwort zu verwenden. Denn das ist aus meiner Sicht das größte Problem. Ist das nicht der Fall und hat ein Angreifer nämlich einmal ein Passwort im Zugriff, dann ist ihm Tür und Tor geöffnet.
Gruß Uwe
* Das Abfangen eines Passworts kann nur an exponierte Stelle erfolgen. Also nur auch dem Transportweg des Pakets. Dazu ist ein Zugriff auf einen Router notwendig. (andere Möglichkeiten durch Phishing oder lokale Keylogger o.ä. mal außen vorgelassen, denn das kann auch https nicht verhindern)
Was kann der Angreifer damit tun?
* Keine Ahnung, aber jedenfalls kein Geld abkassieren und das ist doch wohl immer das größte Interesse eines Angreifers. Er käme auch nicht an Kontodaten oder Kreditkartendaten.
* Datendiebstahl? Hier sind nur die Anhänge geschützt und das sind keine Informationen die solch einen Aufwand lohnen.
Insofern dürfte die Wahrscheinlichkeit eins Hacks relativ gering sein. Das soll nicht heißen, dass man auf jegliche Sicherheit verzichten kann. Wir werden das auf jeden Fall im Auge behalten.
Wichtig für JEDEN User ist es aus meiner Sicht für JEDE Seite ein ANDERES Passwort zu verwenden. Denn das ist aus meiner Sicht das größte Problem. Ist das nicht der Fall und hat ein Angreifer nämlich einmal ein Passwort im Zugriff, dann ist ihm Tür und Tor geöffnet.
Gruß Uwe
Mit einem Gruß aus dem Westen
*** Ein richtiges Motorrad braucht nur 2 Ventile. Eins am Vorder- und eins am Hinterrad. ***
*** Ein richtiges Motorrad braucht nur 2 Ventile. Eins am Vorder- und eins am Hinterrad. ***
-
- Site Admin
- Beiträge: 430
- Registriert: Sa 10. Dez 2005, 01:00
- Wohnort: Bernried
- Kontaktdaten: