Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 17

Thema: Zugang via HTTPS

  1. #1
    Power User
    Registriert seit
    28.04.2014
    Beiträge
    152
    Renommee-Modifikator
    3593

    Standard Zugang via HTTPS

    Warum nutzt das Forum eigentlich kein HTTPS, bzw. erlaubt das wenigstens?

    Bisher ergibt ein Versuch, auf https://www.tabulose-huren.com/forum.php zuzugreifen, einen Fehler. Diese Adresse beantwortet der Server nicht.

    Ohne HTTPS ist das so ähnlich, als schrieben wir hier alle Postkarten. Mitlesen leicht gemacht.
    Jeder Durchleitende kann mitlesen. Durchleitende sind unter anderem:

    * der eigene Router (kann bei entsprechender Konfiguration mitschneiden)
    * ggfs. der WLAN-Betreiber (Cafe zum Beispiel)
    * Internetanbieter auf Benutzer-Seite und Server-Seite
    * Internet-Knotenpunkte vom Benutzer bis zum Server
    * im Zweifelsfall auch dazu autorisierte (und nicht autorisierte) Behörden.

    Für Durchleitende "in Server-Nähe" ist sogar für alle Benutzer festellbar, wer (welche IP-Adresse) was schreibt oder liest.
    Ohne HTTPS ist Lauschen und Mitlesen übrigens auch für die Foren-Bereiche möglich, die eine Anmeldung erfordern.

    Mit HTTPS können Durchleitende kaum erkennen, was übertragen wird.
    Interessierte müssen zumindest aktiv die Web-Seite aufrufen, um Inhalte lesen zu können.
    Schon das macht Überwachung teurer.

    Und mit HTTPS ist es ausgesprochen schwierig bis unmöglich, festzustellen, wer was liest oder schreibt.
    Außer, ein Angreifer bricht ein, in den Server, in interessierende Clients oder in die Übertragung, aber solche Fälle will ich gar nicht diskutieren.

    HTTPS macht es nicht grundsätzlich unmöglich, die Kommunikation abzuhören, aber wesentlich aufwendiger und damit unwahrscheinlicher.
    Natürlich kostet HTTPS einen gewissen Mehraufwand. Wenn jemand gar nix zu verlieren hat, nimmt er daher kein HTTPS.
    Hier jedoch gibt es zumindest Privatsphäre zu verlieren.

    Der Mehraufwand liegt meiner Erfahrung nach bei einigen Stunden Zeitaufwand, einmalig.
    Dazu kommt eine evtl. höhere CPU- und RAM-Last des Servers, die kann ich nicht einschätzen.
    Beides hängt von der Anwendung ab, es käme also auf einen Versuch an.
    Für einen Versuch fände ich ein Test-Zertifikat akzeptabel.

    Mir erscheint HTTPS für's Forum wünschenswert. Was meint Ihr?

  2. #2
    Mod Süd/Ausland/Werbung Avatar von Debutant
    Registriert seit
    21.09.2010
    Beiträge
    4.789
    Renommee-Modifikator
    4693311

    Standard

    Wünschenswert wäre es allemal. Nur ist es nicht ganz so einfach, wie du dir das vorstellst. Das Forum verwendet eine Out-of-the-box Software, leider auch nicht mehr die neuste Version. Hier müßte man est mal prüfen, ob eine Umstellung auf HTTPS überhaupt möglich ist. Ein selbsigniertes Test-Zertifikat wird es nicht tun, da die Clients es nicht annehmen werden
    Ich hab 7 Hobbies: Sex und Fußball

  3. #3
    Power User
    Registriert seit
    28.04.2014
    Beiträge
    152
    Renommee-Modifikator
    3593

    Standard

    Zitat Zitat von Debutant Beitrag anzeigen
    nicht ganz so einfach, wie du dir das vorstellst.
    Ich habe doch gar nicht behauptet, dass es einfach geht. Ich schrieb "es hängt von der Anwendung ab, es käme auf einen Versuch an".

    Das Forum verwendet eine Out-of-the-box Software, leider auch nicht mehr die neuste Version. Hier müßte man est mal prüfen, ob eine Umstellung auf HTTPS überhaupt möglich ist.
    Unten steht ein Link auf die Software, und die Versionsnummer "vBulletin® Version 4.2.1 (Deutsch)".
    Auf der Beschreibungs-Seite steht unter "Sicherheit": "SSL-kompatibel"

    Ein selbsigniertes Test-Zertifikat wird es nicht tun, da die Clients es nicht annehmen werden
    Ein für einen Test verwendetes Zertifikat muss ja nicht einmal selbstsigniert sein.
    Mein Browser jedenfalls akzeptiert ungültige (Test-)Zertifikate durchaus, wenn ich im entsprechenden Dialog die richtigen Knöpfe drücke.
    Aber sinnvoll wäre ein selbstsigniertes schon, für einen Test.

    An einem Testlauf könnten evtl. zunächst nur die teilnehmen, die von Hand "https" eintippen oder auf einen entsprechenden Link klicken.
    Geändert von zeisig (12.02.2015 um 01:45 Uhr) Grund: Foren-SW kann anscheinend SSL

  4. #4
    Administrator Avatar von NEO
    Registriert seit
    14.02.2011
    Beiträge
    1.737
    Renommee-Modifikator
    295704

    Standard

    Also es ist so, daß wir in Kürze HTTPS unterstützen werden bzw. sogar ovn http auf https umleiten. Ich denke mal das die Umstellung bis Ende nächster Woche erledigt sein sollte.

    Neo

  5. #5
    Administrator Avatar von NEO
    Registriert seit
    14.02.2011
    Beiträge
    1.737
    Renommee-Modifikator
    295704

    Standard

    ach so, und wir prüfen auch gerade ein Update auf die neue Version von vbulletin. Das Problem hier sind verschiedene Anpassungen die wir gemacht haben und die dann übernommen werden müssen. Aber das wäre dann gleich die neuste software und auch das tapatalk problem wäre gelöst.

    Schönes Wochenende Euch allen

    Neo

  6. #6
    Power User
    Registriert seit
    17.05.2010
    Beiträge
    212
    Renommee-Modifikator
    9049

    Standard

    Danke für die Info. Welchen Anbieter hast du ausgewählt?

  7. #7
    Administrator Avatar von NEO
    Registriert seit
    14.02.2011
    Beiträge
    1.737
    Renommee-Modifikator
    295704

    Standard

    also das sslzertifikat von von rapidssl. Aber wir sind gerade am testen von vbulletin5 - das ist eine etwas grössere umstellung deshalb weiss ich noch nicht, ob das bis morgen klappt. Aber wir sind auf jeden Fall dran.

    Neo

  8. #8
    Power User
    Registriert seit
    31.01.2011
    Beiträge
    446
    Renommee-Modifikator
    197313

    Standard

    In der Ruhe liegt die Kraft, muss ja auch nicht bis morgen fertig werden.

    Geht auch so.

    Danke für den Einsatz und die vielen Stunden die Ihr damit verbringt.

  9. #9
    Administrator Avatar von NEO
    Registriert seit
    14.02.2011
    Beiträge
    1.737
    Renommee-Modifikator
    295704

    Standard

    Also SSL jetzt enabled und wir testen das jetzt mal.

    https://tabulose-huren.com ist die Adresse.
    Wir haben allerdings noch elemente, die noch nicht verschlüsselt sind (externe). Das bauen wir noch um und wenn das funktioniert werden wir von den http-Adressen eine Umleitung einbauen. Aber ganz grundsätzlich geht https schon mal.

    Neo

  10. #10
    Power User
    Registriert seit
    28.04.2014
    Beiträge
    152
    Renommee-Modifikator
    3593

    Standard

    Zitat Zitat von NEO Beitrag anzeigen
    Funktioniert wie erwartet, jedenfalls wenn man (genau wie von Dir angegeben) das "www." weglässt. Danke!

  11. #11
    Power User
    Registriert seit
    28.04.2014
    Beiträge
    152
    Renommee-Modifikator
    3593

    Standard

    Aus gegebenem Anlass: Hier kann man testen lassen, wie gut oder schlecht ein SSL-Server konfiguriert wurde: https://www.ssllabs.com/ssltest/

  12. #12
    Power User
    Registriert seit
    30.04.2012
    Beiträge
    50
    Renommee-Modifikator
    395

    Standard

    Für die relevanten Stellen ist SSL eine Fingerübung bzw. muss zum grossen Teil gar nicht mehr entschlüsselt werden, da die Stellen dort zugreifen wo noch keine oder keine Verschlüsselung mehr vorliegt.

    Aus diesem Anlass, nur mal die Frage, warum mit dem Verweis auf HTTPS der TOR Zugriff nicht mehr als erforderlich angesehen wird und auch nicht klappt? Kann ich nicht nachvollziehen, wenn man bedenkt, was da sich aktuell an den Fronten der Dienste und Freiheitsliebenden abspielt. Bei dem aktuellen Stand der Aufrüstung, sollte man die Menschen gerade hier eher ermutigen, solche Wege zu gehen.
    Davon mal abgesehen, dass Tor auch nicht der Weisheit letzter Schluss ist und ich da auch andere Mechanismen verwende. Aber ein Anfang ist es schon mal. Schützt ja nicht nur den Einzelnen sondern auch die Gruppe.


    Na, bei diesem sog. SSL Test schneiden wir ja auch nicht gerade als Klassenbeste ab. Das entspricht schon eher den ersten PISA Egebnissen in Deutschland. Erschreckend auf den ersten Blick. Ich denke wir haben da alle noch erheblichen Lernbedarf.
    Geändert von AOXL (24.06.2015 um 00:37 Uhr)

  13. #13
    PlugAndPlay
    Gast

    Standard

    Glaubt ihr wirklich, dass es im Zweifelsfall (Nutte schwanger / Frau bzw. Freundin misstrauisch / ...) soweit kommt, dass eine IP-Ermittlung o.ä. in die Wege geleitet wird?

    Immerhin geht es hier nicht um so sensible Themen wie Einbruch in andere Systeme, Kreditkartenbetrug, Spionieren, ... wo ernomer Schaden entstehen kann bzw. Missbrauchspotential vorhanden ist.

    Ich sehe diese Debatte in etwa so wie "mit Kanon auf Spatzen schießen".

    Andere Meinungen & Korrekturen sind willkommen.
    Geändert von PlugAndPlay (24.06.2015 um 00:47 Uhr)

  14. #14
    Power+ User
    Registriert seit
    30.04.2011
    Beiträge
    1.572
    Renommee-Modifikator
    1574931

    Standard

    Nun es schadet doch erstmal nichts.

    Hilft vielleicht auch etwas innerhalb ner Firma oder eben wo der router/netz mitlesen kann/koennte (auch nicht der vpn anbieter)
    Vpn zusatz bzw tor ist sowieso sinnvoll

  15. #15
    Power User
    Registriert seit
    28.04.2014
    Beiträge
    152
    Renommee-Modifikator
    3593

    Standard

    Zitat Zitat von AOXL Beitrag anzeigen
    Für die relevanten Stellen ist SSL eine Fingerübung bzw. muss zum grossen Teil gar nicht mehr entschlüsselt werden, da die Stellen dort zugreifen wo noch keine oder keine Verschlüsselung mehr vorliegt.
    "Nicht mehr", das klingt so, als ob das neu wäre. *Nur* außerhalb der verschlüsselten Strecke zu lauschen erfordert einen Einbruch. Das ist heute genauso schwer oder leicht wie früher auch (eher schwerer). Ob ein Einbruch eine "Fingerübung" ist, ist Ansichtssache.

    Aus diesem Anlass, nur mal die Frage, warum mit dem Verweis auf HTTPS der TOR Zugriff nicht mehr als erforderlich angesehen wird und auch nicht klappt?
    Wer sagt denn, dass VPN/TOR nicht sinnvoll sei? HTTPS ist nur wie ein Umschlag. VPN wie TOR sorgen zusätzlich dafür, dass unklar bleibt, wer mit wem kommuniziert. Und wer sagt, dass die grundsätzlich nicht zusammen verwendet werden können? Wenn alles richtig konfiguriert ist, dann sollte es gehen. Suche nach "HTTPS and TOR" findet sofort Treffer, zum Beispiel https://www.eff.org/pages/tor-and-https .

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. kein Zugang mehr zu http://1night-kontakt.de/
    Von parker1959 im Forum West
    Antworten: 13
    Letzter Beitrag: 01.11.2013, 09:37
  2. hat jemand zugang bei a-e-c.org?
    Von markus22R32 im Forum München
    Antworten: 16
    Letzter Beitrag: 04.01.2013, 12:44

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •