Warum nutzt das Forum eigentlich kein HTTPS, bzw. erlaubt das wenigstens?

Bisher ergibt ein Versuch, auf https://www.tabulose-huren.com/forum.php zuzugreifen, einen Fehler. Diese Adresse beantwortet der Server nicht.

Ohne HTTPS ist das so ähnlich, als schrieben wir hier alle Postkarten. Mitlesen leicht gemacht.
Jeder Durchleitende kann mitlesen. Durchleitende sind unter anderem:

* der eigene Router (kann bei entsprechender Konfiguration mitschneiden)
* ggfs. der WLAN-Betreiber (Cafe zum Beispiel)
* Internetanbieter auf Benutzer-Seite und Server-Seite
* Internet-Knotenpunkte vom Benutzer bis zum Server
* im Zweifelsfall auch dazu autorisierte (und nicht autorisierte) Behörden.

Für Durchleitende "in Server-Nähe" ist sogar für alle Benutzer festellbar, wer (welche IP-Adresse) was schreibt oder liest.
Ohne HTTPS ist Lauschen und Mitlesen übrigens auch für die Foren-Bereiche möglich, die eine Anmeldung erfordern.

Mit HTTPS können Durchleitende kaum erkennen, was übertragen wird.
Interessierte müssen zumindest aktiv die Web-Seite aufrufen, um Inhalte lesen zu können.
Schon das macht Überwachung teurer.

Und mit HTTPS ist es ausgesprochen schwierig bis unmöglich, festzustellen, wer was liest oder schreibt.
Außer, ein Angreifer bricht ein, in den Server, in interessierende Clients oder in die Übertragung, aber solche Fälle will ich gar nicht diskutieren.

HTTPS macht es nicht grundsätzlich unmöglich, die Kommunikation abzuhören, aber wesentlich aufwendiger und damit unwahrscheinlicher.
Natürlich kostet HTTPS einen gewissen Mehraufwand. Wenn jemand gar nix zu verlieren hat, nimmt er daher kein HTTPS.
Hier jedoch gibt es zumindest Privatsphäre zu verlieren.

Der Mehraufwand liegt meiner Erfahrung nach bei einigen Stunden Zeitaufwand, einmalig.
Dazu kommt eine evtl. höhere CPU- und RAM-Last des Servers, die kann ich nicht einschätzen.
Beides hängt von der Anwendung ab, es käme also auf einen Versuch an.
Für einen Versuch fände ich ein Test-Zertifikat akzeptabel.

Mir erscheint HTTPS für's Forum wünschenswert. Was meint Ihr?

Wünschenswert wäre es allemal. Nur ist es nicht ganz so einfach, wie du dir das vorstellst. Das Forum verwendet eine Out-of-the-box Software, leider auch nicht mehr die neuste Version. Hier müßte man est mal prüfen, ob eine Umstellung auf HTTPS überhaupt möglich ist. Ein selbsigniertes Test-Zertifikat wird es nicht tun, da die Clients es nicht annehmen werden

nicht ganz so einfach, wie du dir das vorstellst.
Ich habe doch gar nicht behauptet, dass es einfach geht. :) Ich schrieb "es hängt von der Anwendung ab, es käme auf einen Versuch an".


Das Forum verwendet eine Out-of-the-box Software, leider auch nicht mehr die neuste Version. Hier müßte man est mal prüfen, ob eine Umstellung auf HTTPS überhaupt möglich ist.
Unten steht ein Link auf die Software, und die Versionsnummer "vBulletin® (http://www.vbulletin-germany.com) Version 4.2.1 (Deutsch)".
Auf der Beschreibungs-Seite (http://www.vbulletin-germany.com/index.php?do=features) steht unter "Sicherheit": "SSL-kompatibel"


Ein selbsigniertes Test-Zertifikat wird es nicht tun, da die Clients es nicht annehmen werden
Ein für einen Test verwendetes Zertifikat muss ja nicht einmal selbstsigniert sein.
Mein Browser jedenfalls akzeptiert ungültige (Test-)Zertifikate durchaus, wenn ich im entsprechenden Dialog die richtigen Knöpfe drücke.
Aber sinnvoll wäre ein selbstsigniertes schon, für einen Test.

An einem Testlauf könnten evtl. zunächst nur die teilnehmen, die von Hand "https" eintippen oder auf einen entsprechenden Link klicken.

Also es ist so, daß wir in Kürze HTTPS unterstützen werden bzw. sogar ovn http auf https umleiten. Ich denke mal das die Umstellung bis Ende nächster Woche erledigt sein sollte.

Neo

ach so, und wir prüfen auch gerade ein Update auf die neue Version von vbulletin. Das Problem hier sind verschiedene Anpassungen die wir gemacht haben und die dann übernommen werden müssen. Aber das wäre dann gleich die neuste software und auch das tapatalk problem wäre gelöst.

Schönes Wochenende Euch allen

Neo

Danke für die Info. Welchen Anbieter hast du ausgewählt?

also das sslzertifikat von von rapidssl. Aber wir sind gerade am testen von vbulletin5 - das ist eine etwas grössere umstellung deshalb weiss ich noch nicht, ob das bis morgen klappt. Aber wir sind auf jeden Fall dran.

Neo

In der Ruhe liegt die Kraft, muss ja auch nicht bis morgen fertig werden.

Geht auch so.

Danke für den Einsatz und die vielen Stunden die Ihr damit verbringt.

Also SSL jetzt enabled und wir testen das jetzt mal.

https://tabulose-huren.com ist die Adresse.
Wir haben allerdings noch elemente, die noch nicht verschlüsselt sind (externe). Das bauen wir noch um und wenn das funktioniert werden wir von den http-Adressen eine Umleitung einbauen. Aber ganz grundsätzlich geht https schon mal.

Neo

https://tabulose-huren.com ist die Adresse.

Funktioniert wie erwartet, jedenfalls wenn man (genau wie von Dir angegeben) das "www." weglässt. Danke!

Aus gegebenem Anlass (http://www.heise.de/newsticker/meldung/Freak-Attack-SSL-Verschluesselung-von-Millionen-Webseiten-angreifbar-2566444.html): Hier kann man testen lassen, wie gut oder schlecht ein SSL-Server konfiguriert wurde: https://www.ssllabs.com/ssltest/

Für die relevanten Stellen ist SSL eine Fingerübung bzw. muss zum grossen Teil gar nicht mehr entschlüsselt werden, da die Stellen dort zugreifen wo noch keine oder keine Verschlüsselung mehr vorliegt.

Aus diesem Anlass, nur mal die Frage, warum mit dem Verweis auf HTTPS der TOR Zugriff nicht mehr als erforderlich angesehen wird und auch nicht klappt? Kann ich nicht nachvollziehen, wenn man bedenkt, was da sich aktuell an den Fronten der Dienste und Freiheitsliebenden abspielt. Bei dem aktuellen Stand der Aufrüstung, sollte man die Menschen gerade hier eher ermutigen, solche Wege zu gehen.
Davon mal abgesehen, dass Tor auch nicht der Weisheit letzter Schluss ist und ich da auch andere Mechanismen verwende. Aber ein Anfang ist es schon mal. Schützt ja nicht nur den Einzelnen sondern auch die Gruppe.


Na, bei diesem sog. SSL Test schneiden wir ja auch nicht gerade als Klassenbeste ab. Das entspricht schon eher den ersten PISA Egebnissen in Deutschland. Erschreckend auf den ersten Blick. Ich denke wir haben da alle noch erheblichen Lernbedarf.

Glaubt ihr wirklich, dass es im Zweifelsfall (Nutte schwanger / Frau bzw. Freundin misstrauisch / ...) soweit kommt, dass eine IP-Ermittlung o.ä. in die Wege geleitet wird?

Immerhin geht es hier nicht um so sensible Themen wie Einbruch in andere Systeme, Kreditkartenbetrug, Spionieren, ... wo ernomer Schaden entstehen kann bzw. Missbrauchspotential vorhanden ist.

Ich sehe diese Debatte in etwa so wie "mit Kanon auf Spatzen schießen".

Andere Meinungen & Korrekturen sind willkommen.

Nun es schadet doch erstmal nichts.

Hilft vielleicht auch etwas innerhalb ner Firma oder eben wo der router/netz mitlesen kann/koennte (auch nicht der vpn anbieter)
Vpn zusatz bzw tor ist sowieso sinnvoll

Für die relevanten Stellen ist SSL eine Fingerübung bzw. muss zum grossen Teil gar nicht mehr entschlüsselt werden, da die Stellen dort zugreifen wo noch keine oder keine Verschlüsselung mehr vorliegt. "Nicht mehr", das klingt so, als ob das neu wäre. *Nur* außerhalb der verschlüsselten Strecke zu lauschen erfordert einen Einbruch. Das ist heute genauso schwer oder leicht wie früher auch (eher schwerer). Ob ein Einbruch eine "Fingerübung" ist, ist Ansichtssache.


Aus diesem Anlass, nur mal die Frage, warum mit dem Verweis auf HTTPS der TOR Zugriff nicht mehr als erforderlich angesehen wird und auch nicht klappt? Wer sagt denn, dass VPN/TOR nicht sinnvoll sei? HTTPS ist nur wie ein Umschlag. VPN wie TOR sorgen zusätzlich dafür, dass unklar bleibt, wer mit wem kommuniziert. Und wer sagt, dass die grundsätzlich nicht zusammen verwendet werden können? Wenn alles richtig konfiguriert ist, dann sollte es gehen. Suche nach "HTTPS and TOR" findet sofort Treffer, zum Beispiel https://www.eff.org/pages/tor-and-https .

Vor einigen Tagen oder so wurde das Zertifikat gewechselt. Erstaunlich daran finde ich, dass das neue Zertifikat zu einem früheren Zeitpunkt abläuft als das alte. Wie kommt das? Ist die Gültigkeit der Zertifikate jetzt immer auf 6 Monate begrenzt?

Schade, dass es auf meinen letzten Post oben bisher keine Antwort gab. Mein Eindruck ist, dass das HTTPS-Zertifikat oft (alle paar Tage?) frisch erzeugt wird. Warum? Wenn das keine Absicht vom Server-Admin ist, könnte es sein, dass jemand mitliest.