[solved] HTTPS ?
Übersicht
Sonstiges Portal
|
ThunderBetreff: [solved] HTTPS ? |
 Mi, Sep 16, 2015 16:21Antworten mit Zitat 
|
|---|---|---|
|
Hallo,
ganz kurz und banal: Wieso unterstützt die Webseite des BBP kein HTTPS? Wir leben in unsicheren Zeiten 
|
||
| Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit | ||
|
Spark Fountain |
Do, Sep 17, 2015 12:13 Antworten mit Zitat
|
|---|---|---|
Wahrscheinlich aus finanziellen Gründen. Das BBP wird privat finanziert (soweit ich weiß) und von verschiedenen Personen hobbymäßig betrieben. So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll? Hier wird ja nichts verkauft oder mit irgendeinem Markennamen geworben (ok, mit BlitzBasic - aber hey, das ist inzwischen kostenlos). Darum denke ich, dass man nicht unbedingt mehr Sicherheit mit einem Zertifikat erreicht. Außerdem weiß ich nicht, ob das Zertifikat wieder weggenommen werden könnte, wenn hier irgendein User Schadsoftware hochladen würde und die Moderatoren es nicht erkennen würden 
|
||
| Gewinner der MiniBCC's #11, #13 und #28 | ||
|
Jan_Ehemaliger Admin |
Do, Sep 17, 2015 13:04 Antworten mit Zitat
|
|---|---|---|
|
BladeRunner bezahlt das hier Privat, allein, und Freiwillig ohne Mürren und Knurren.
Ein SSL- Zertifikat, Bestellen, bezahlen, einspielen, regelmäßig verlängern. usw. ist dann doch etwas viel verlangt, oder? Zumal, der Inhalt hier sowieso nicht sonderlich schützenswürdig ist. 
Wer den Traffik abfangen kann auf dem Weg, der hat auch den SSL-Schlüßel. Nur reinjekten kann er es nicht. und das sehe ich hier als etwas übertrieben an. Falls hier irgendwo Geld fließt, oder Inovationen die etwas Wert sind ausgetauscht werden, nehme ich alles zurück und behaupte das gegenteil. |
||
| between angels and insects | ||
|
|
Thunder |
Do, Sep 17, 2015 21:30 Antworten mit Zitat
|
|---|---|---|
|
Spark Fountain hat Folgendes geschrieben: So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll?
Ich find's uncool, wenn meine Passwörter unverschlüsselt übertragen werden. Weiß nicht wie du das siehst
Jan_ hat Folgendes geschrieben: BladeRunner bezahlt das hier Privat, allein, und Freiwillig ohne Mürren und Knurren.
Jo, sehr großzügig von ihm 
Jan_ hat Folgendes geschrieben: Ein SSL- Zertifikat, Bestellen, bezahlen, einspielen, regelmäßig verlängern. usw. ist dann doch etwas viel verlangt, oder?
Ein paar CAs stellen welche gratis aus (WoSign, StartSSL, bald Let's Encrypt). Wenn's nur ums einspielen und verlängern geht, ich würd's machen. Dauert vll 20 Min alle zwei Jahre. Jan_ hat Folgendes geschrieben: Wer den Traffik abfangen kann auf dem Weg, der hat auch den SSL-Schlüßel.
Da bin ich gegenteiliger Ansicht. Braucht nur mal jemand in einem freien WLAN (McDonalds, Subway, Starbucks ...) meinen Traffic mitsniffen und hat mein Passwort. Naja, fragen kostet ja auch nichts
|
||
| Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit | ||
|
Abrexxes |
Do, Sep 17, 2015 21:51 Antworten mit Zitat
|
|---|---|---|
|
Es gibt da die Regel eines klugen unbekannten Mannes.
"Alles was durch denn Hauptspeicher eines Rechners geht ist unsicher." 
cu |
||
|
DAK |
Do, Sep 17, 2015 23:33 Antworten mit Zitat
|
|---|---|---|
|
Ja, unsicher ist alles, die Frage ist nur, wie lange die Tür einen Einbrecher aufhält.
Beim McDonalds mittels Wireshark im Promiscuous Mode mein Passwort mitsniffen kann jeder. Meinen Hauptspeicher aus der Ferne auslesen, das ist ein anderes Niveau an krimineller Energie. @Topic: BR, nimmst du Spenden? |
||
| Gewinner der 6. und der 68. BlitzCodeCompo | ||
|
|
Jan_Ehemaliger Admin |
Fr, Sep 18, 2015 7:31 Antworten mit Zitat
|
|---|---|---|
|
@Thunder, die Freien laufen immer nach einem Jahr ab.
Weiterhin, änderst du ja regelmäßig deine Passwörter und hast überall andere?! |
||
| between angels and insects | ||
|
XeresModerator |
Fr, Sep 18, 2015 21:12 Antworten mit Zitat
|
|---|---|---|
| Wenn https://letsencrypt.org/ ende des Jahres am Start ist (und alle browserhersteller mit dabei sind) sollte das machbar sein. | ||
|
Win10 Prof.(x64)/Ubuntu 16.04|CPU 4x3Ghz (Intel i5-4590S)|RAM 8 GB|GeForce GTX 960
Wie man Fragen richtig stellt || "Es geht nicht" || Video-Tutorial: Sinus & Cosinus THERE IS NO FAIR. THERE IS NO JUSTICE. THERE IS JUST ME. (Death, Discworld) |
||
|
BtbN |
Fr, Sep 18, 2015 23:40 Antworten mit Zitat
|
|---|---|---|
|
WoSign certs laufen bis zu 3 Jahre, auch die kostenlosen, für bis zu 10 Domains in einem Cert.
Gibt eigentlich keinen Grund, das nicht zu nutzen. Man muss nur OCSP Stapling konfigurieren, sonst sind die OCSP Server in China ein wenig träge. |
||
#ReaperNewsposter |
Fr, Dez 04, 2015 23:32 Antworten mit Zitat
|
|
|---|---|---|
|
Let's Encrypt
ist nun in der öffentlichen Beta und funktioniert nun. Im Grunde also eigentlich wohl benutzbar. Erstellt und beglaubigt können Zertifikate einfach mit einem Tool/Client von Let's Encrypt. Die Certs laufen aktuell 90 Tage und können dann (demnächst?) automatisiert erneuert werden. Wie wärs damit? So als kleines Weihnachts- oder Nikolausgeschenk?
(Ich würde euch es ja schenken, aber hier kann ich nichts ausrichten. )
|
||
|
Mathias-Kwiatkowski |
Sa, Dez 05, 2015 0:50 Antworten mit Zitat
|
|---|---|---|
|
Thunder:
Zitat: Spark Fountain hat Folgendes geschrieben:
So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll? Ich find's uncool, wenn meine Passwörter unverschlüsselt übertragen werden. Weiß nicht wie du das siehst Razz soweit ich weiss wird dein passwort als md5 hash am server übergeben, also kein nennenswerten grund zur panik sei den du hast unter 6 zeichen. oder waren es 9...
PS ... ja dein pw kann nur bei dir aufm rechner gefischt werden, falls du unsichere türen hast, der rest wird artgerecht md5 verschlüsselt. |
||
|
Skype: Anarchie1984
http://projektworks.de/maxbase/ Icq - Erneuert am 21.08.2017 Yahoo - Erneuert am 21.08.2017 |
||
|
Eingeproggt |
Sa, Dez 05, 2015 12:29 Antworten mit Zitat
|
|---|---|---|
|
Nicht ganz Mathias,
Username und Passwort werden unverschlüsselt "übers Netz" gesendet, das heißt jeder "Zwischenpunkt" kann die Daten auslesen und damit machen was er will. Das geht also über den eigenen Rechner hinaus. Schau es dir in Wireshark an wenn du willst, ist ein nettes Tool. Bei mir steht da zB: Code: [AUSKLAPPEN] redirect=..%2Fupload%2F&username=eingeproggt&password=dasdarfniemandsehen&login=Senden
Wenn MD5 am Server berechnet wird (und ja, wird es), dann ist der Weg vom eigenen Rechner zum Server immer noch unsicher. Darum gehts in dem Thread
mfG, Christoph |
||
| Gewinner des BCC 18, 33 und 65 sowie MiniBCC 9 | ||
|
TimBo |
Sa, Dez 05, 2015 16:13 Antworten mit Zitat
|
|---|---|---|
|
wie wäre es hiermit ?
https://letsencrypt.org/ sorry habe jetzt erst den Beitrag von Xeres gelesen 
|
||
|
mfg Tim Borowski // CPU: Ryzen 2700x GPU: Nvidia RTX 2070 OC (Gigabyte) Ram: 16GB DDR4 @ 3000MHz OS: Windows 10
Stolzer Gewinner des BCC 25 & BCC 31 hat einen ersten Preis in der 1. Runde beim BWInf 2010/2011 & 2011/12 mit BlitzBasic erreicht. |
||
|
|
Thunder |
Mo, Dez 07, 2015 10:51 Antworten mit Zitat
|
|---|---|---|
|
@Spark Fountain: Eingeproggt hat das sehr schön zusammengefasst. Aber ich muss hinzufügen: Selbst wenn du die MD5-Hashes überträgst ist das eine Schwachstelle, denn jeder Server/Router, der meine Anfrage weiterleitet, kann mein md5-Passwort auslesen.
Damit weiß ein Angreifer zwar nicht direkt mein Passwort aber er kann sich als ich einloggen, was schon schlimm genug ist. Auf blitzforum.de ist das vielleicht nicht sooo schlimm. Ich finde es halt doof, deswegen hab ich es angesprochen. Es geht einfach nichts über RSA mit DHE
Das ist dann Sicherheit bis Min(in alle Ewigkeit, zum Quantencomputer). |
||
| Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit | ||
|
|
Jan_Ehemaliger Admin |
Di, Dez 08, 2015 17:16 Antworten mit Zitat
|
|---|---|---|
|
https://www.sparkfountain.de/ --> keine sichere Verbindung -ohoh
https://www.reapers-page.de/ --> keine sichere Verbindung -ohoh https://projektworks.de/ --> nicht vorhanden https://favouritesoft.bplaced.net/ --> nicht vorhanden https://sk1980gernsheim.de/ --> nicht vorhanden was ist denn da los, warum haben eure Seiten kein HTTPS? |
||
| between angels and insects | ||
|
|
Thunder |
Mi, Dez 09, 2015 0:16 Antworten mit Zitat
|
|---|---|---|
| @Jan_: Troll? | ||
| Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit | ||
|
|
Jan_Ehemaliger Admin |
Mi, Dez 09, 2015 9:23 Antworten mit Zitat
|
|---|---|---|
| warum ist die Frage etwa nicht legetim? | ||
| between angels and insects | ||
|
|
TimBo |
Mi, Dez 09, 2015 11:14 Antworten mit Zitat
|
|---|---|---|
| bei der Vereinswebsite gibt es keinen Login. Daher ist https nicht zwingend notwendig. | ||
|
mfg Tim Borowski // CPU: Ryzen 2700x GPU: Nvidia RTX 2070 OC (Gigabyte) Ram: 16GB DDR4 @ 3000MHz OS: Windows 10
Stolzer Gewinner des BCC 25 & BCC 31 hat einen ersten Preis in der 1. Runde beim BWInf 2010/2011 & 2011/12 mit BlitzBasic erreicht. |
||
|
hamZtaAdministrator |
Mi, Dez 09, 2015 19:42 Antworten mit Zitat
|
|---|---|---|
| Wenn ich die nächsten Tage mal etwas frei hab werd ich mich um ein Zertifikat kümmern - mit Let's Encrypt ist das ja, wie schon gesagt wurde, problemlos. | ||
| Blog. | ||
|
|
XeresModerator |
So, Sep 25, 2016 15:13 Antworten mit Zitat
|
|---|---|---|
|
- Ein Let's Encrypt Zertifikat ist am start
- Alle Anfragen werden auf https umgeleitet - Ich habe diverse explizite http Links korrigiert - direkt von extern verlinkte Bilder ohne https werden nicht mehr angezeigt (je nach Browser) Gebt hier Bescheid, wenn euch Fehler wegen Protokollunterschieden auffallen - ich kümmere mich dann darum. Danke! |
||
|
Win10 Prof.(x64)/Ubuntu 16.04|CPU 4x3Ghz (Intel i5-4590S)|RAM 8 GB|GeForce GTX 960
Wie man Fragen richtig stellt || "Es geht nicht" || Video-Tutorial: Sinus & Cosinus THERE IS NO FAIR. THERE IS NO JUSTICE. THERE IS JUST ME. (Death, Discworld) |
||
Übersicht
Sonstiges Portal
Powered by phpBB © 2001 - 2006, phpBB Group