Seite 1 von 1
https
Verfasst: Sa 25. Nov 2017, 11:27
von hoernerfranz
Hallo Admins,
ich bin ja hier ein eher seltener Gast, aber gerade deswegen ist mir mal wieder aufgefallen,
dass es hier immer noch keinen SSL gesicherten Zugang gibt, was bedeutet, dass Passwörter bei jedem Login unverschlüsselt über die Leitung gehen.
Das ist heutzutage eigentlich niemandem mehr zuzumuten, da es ja inzwischen genügend Möglichkeiten gibt, eine Website mit einem kostenlosen Zertifikat abzusichern, z.B. von
https://letsencrypt.org/
- wollt Ihr das nicht mal angehen ?
Verfasst: Sa 25. Nov 2017, 22:54
von StVOnix
Im Moment ist die Personaldecke im Forum mehr als dünn. Seit ich meinen neuen Job habe, macht Uwe hier quasi alles alleine.
Aber wir nehmen deinen Hinweis erstmal zur Kenntnis, und sehen, was sich machen lässt.
Gruß
Rene
Verfasst: So 26. Nov 2017, 08:56
von hoernerfranz
ok, schon klar dass das ein gewisser Aufwand ist.
hält sich aber durchaus in Grenzen, siehe z.B.
https://www.pcwelt.de/ratgeber/SSL-Zert ... 63268.html
Gruss
Werner
Verfasst: So 26. Nov 2017, 11:08
von georg_horn
Naja, die Passworte sind jetzt viele Jahre lang unverschlüsselt übertragen worden und eh alle bei der NSA gespeichert.
Andererseits, WENN Hilfe bei der Serverbetreung gebraucht wird (nicht Moderator, da reicht mir das XJ Forum) könnte ich aushelfen.
Verfasst: So 26. Nov 2017, 12:39
von hoernerfranz
georg_horn hat geschrieben:Naja, die Passworte sind jetzt viele Jahre lang unverschlüsselt übertragen worden und eh alle bei der NSA gespeichert.
OMG, was ein Argument
- du kannst auch 10 Jahre mit Holzreifen rumfahren und sagen dass
das immer funktioniert hat und deswegen so bleiben muss.
btw., ich kann mich erinnern, da war mal ein Passwortklau grossen Stils hier im Forum,
worauf etliche User zugespammt wurden (ich auch).
Das muss nicht, könnte aber auch durch abgefangene Passwörter verursacht worden sein.
Verfasst: So 26. Nov 2017, 12:52
von Kilroy
Da dies einen direkten Zu- und Eingriff in die Systemkonfiguration bedeutet kann das nur der Stephan machen. Wir sind zwar Admins der Daten aber nicht des kompletten Systems.
Allerdings muss ich dem Werner natürlich Recht geben, dass dies erheblich sicherer ist.
Eventuell wird das ja etwas, was mit dem Upgrade auf die neue Forumssoftware-Version erledigt werden kann.
Gruß Uwe
Verfasst: So 26. Nov 2017, 18:15
von georg_horn
du kannst auch 10 Jahre mit Holzreifen rumfahren und sagen dass das immer funktioniert hat und deswegen so bleiben muss.
Ich habe nicht gesagt dass es so bleiben muss, es ist aber auch kein Grund jetzt auf einmal in Panik zu verfallen wo es schon immer so war. Die Jungs werden das schon regeln.
Verfasst: Mo 27. Nov 2017, 07:28
von phoenix
ich wundere mich, dass der Admin noch immer nicht reagiert hat auf die Veränderungen im Web. Die Sicherheit sollte nie außer acht gelassen werden. Es wurden schon einige Foren gehackt. Dieses Forum ist wohl eins der Letzten, die auf https umstellen?
Gruß phoenix
Verfasst: Mo 27. Nov 2017, 12:00
von Kilroy
Um eine wirkliche Bedrohung für die einzelnen User geht es hier in diesem Forum ja nicht wirklich. Dazu müssten ja schon einige Dinge zusammen kommen, die jeder einzelne für sich aber schon vermeiden kann.
* Das Abfangen eines Passworts kann nur an exponierte Stelle erfolgen. Also nur auch dem Transportweg des Pakets. Dazu ist ein Zugriff auf einen Router notwendig. (andere Möglichkeiten durch Phishing oder lokale Keylogger o.ä. mal außen vorgelassen, denn das kann auch https nicht verhindern)
Was kann der Angreifer damit tun?
* Keine Ahnung, aber jedenfalls kein Geld abkassieren und das ist doch wohl immer das größte Interesse eines Angreifers. Er käme auch nicht an Kontodaten oder Kreditkartendaten.
* Datendiebstahl? Hier sind nur die Anhänge geschützt und das sind keine Informationen die solch einen Aufwand lohnen.
Insofern dürfte die Wahrscheinlichkeit eins Hacks relativ gering sein. Das soll nicht heißen, dass man auf jegliche Sicherheit verzichten kann. Wir werden das auf jeden Fall im Auge behalten.
Wichtig für JEDEN User ist es aus meiner Sicht für JEDE Seite ein ANDERES Passwort zu verwenden. Denn das ist aus meiner Sicht das größte Problem. Ist das nicht der Fall und hat ein Angreifer nämlich einmal ein Passwort im Zugriff, dann ist ihm Tür und Tor geöffnet.
Gruß Uwe
Verfasst: Di 12. Dez 2017, 21:17
von Stefan Philipp (M)
Hallo zusammen,
ich denke das mit der SSL-Verschlüsselung ist ein relevantes Thema, welches beachtet werden muss. Das Forum zieht demnächst auf einen anderen Server um, welches mir dies erleichtert.
Gruß, Stefan