[solved] HTTPS ?

Übersicht Sonstiges Portal

Gehe zu Seite 1, 2  Weiter

Neue Antwort erstellen

Thunder

Betreff: [solved] HTTPS ?

BeitragMi, Sep 16, 2015 16:21
Antworten mit Zitat
Benutzer-Profile anzeigen
Hallo,

ganz kurz und banal:
Wieso unterstützt die Webseite des BBP kein HTTPS?

Wir leben in unsicheren Zeiten Very Happy
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Spark Fountain

BeitragDo, Sep 17, 2015 12:13
Antworten mit Zitat
Benutzer-Profile anzeigen
Wahrscheinlich aus finanziellen Gründen. Das BBP wird privat finanziert (soweit ich weiß) und von verschiedenen Personen hobbymäßig betrieben. So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll? Hier wird ja nichts verkauft oder mit irgendeinem Markennamen geworben (ok, mit BlitzBasic - aber hey, das ist inzwischen kostenlos). Darum denke ich, dass man nicht unbedingt mehr Sicherheit mit einem Zertifikat erreicht. Außerdem weiß ich nicht, ob das Zertifikat wieder weggenommen werden könnte, wenn hier irgendein User Schadsoftware hochladen würde und die Moderatoren es nicht erkennen würden Question
Gewinner der MiniBCC's #11, #13 und #28

Jan_

Ehemaliger Admin

BeitragDo, Sep 17, 2015 13:04
Antworten mit Zitat
Benutzer-Profile anzeigen
BladeRunner bezahlt das hier Privat, allein, und Freiwillig ohne Mürren und Knurren.
Ein SSL- Zertifikat, Bestellen, bezahlen, einspielen, regelmäßig verlängern. usw. ist dann doch etwas viel verlangt, oder?
Zumal, der Inhalt hier sowieso nicht sonderlich schützenswürdig ist. Razz
Wer den Traffik abfangen kann auf dem Weg, der hat auch den SSL-Schlüßel. Nur reinjekten kann er es nicht. und das sehe ich hier als etwas übertrieben an.
Falls hier irgendwo Geld fließt, oder Inovationen die etwas Wert sind ausgetauscht werden, nehme ich alles zurück und behaupte das gegenteil.
between angels and insects

Thunder

BeitragDo, Sep 17, 2015 21:30
Antworten mit Zitat
Benutzer-Profile anzeigen
Spark Fountain hat Folgendes geschrieben:
So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll?

Ich find's uncool, wenn meine Passwörter unverschlüsselt übertragen werden. Weiß nicht wie du das siehst Razz

Jan_ hat Folgendes geschrieben:
BladeRunner bezahlt das hier Privat, allein, und Freiwillig ohne Mürren und Knurren.

Jo, sehr großzügig von ihm Smile

Jan_ hat Folgendes geschrieben:
Ein SSL- Zertifikat, Bestellen, bezahlen, einspielen, regelmäßig verlängern. usw. ist dann doch etwas viel verlangt, oder?

Ein paar CAs stellen welche gratis aus (WoSign, StartSSL, bald Let's Encrypt). Wenn's nur ums einspielen und verlängern geht, ich würd's machen. Dauert vll 20 Min alle zwei Jahre.

Jan_ hat Folgendes geschrieben:
Wer den Traffik abfangen kann auf dem Weg, der hat auch den SSL-Schlüßel.

Da bin ich gegenteiliger Ansicht. Braucht nur mal jemand in einem freien WLAN (McDonalds, Subway, Starbucks ...) meinen Traffic mitsniffen und hat mein Passwort.

Naja, fragen kostet ja auch nichts Very Happy
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Abrexxes

BeitragDo, Sep 17, 2015 21:51
Antworten mit Zitat
Benutzer-Profile anzeigen
Es gibt da die Regel eines klugen unbekannten Mannes.
"Alles was durch denn Hauptspeicher eines Rechners geht ist unsicher." Wink

cu

DAK

BeitragDo, Sep 17, 2015 23:33
Antworten mit Zitat
Benutzer-Profile anzeigen
Ja, unsicher ist alles, die Frage ist nur, wie lange die Tür einen Einbrecher aufhält.

Beim McDonalds mittels Wireshark im Promiscuous Mode mein Passwort mitsniffen kann jeder. Meinen Hauptspeicher aus der Ferne auslesen, das ist ein anderes Niveau an krimineller Energie.

@Topic: BR, nimmst du Spenden?
Gewinner der 6. und der 68. BlitzCodeCompo

Jan_

Ehemaliger Admin

BeitragFr, Sep 18, 2015 7:31
Antworten mit Zitat
Benutzer-Profile anzeigen
@Thunder, die Freien laufen immer nach einem Jahr ab.
Weiterhin, änderst du ja regelmäßig deine Passwörter und hast überall andere?!
between angels and insects

Xeres

Moderator

BeitragFr, Sep 18, 2015 21:12
Antworten mit Zitat
Benutzer-Profile anzeigen
Wenn https://letsencrypt.org/ ende des Jahres am Start ist (und alle browserhersteller mit dabei sind) sollte das machbar sein.
Win10 Prof.(x64)/Ubuntu 16.04|CPU 4x3Ghz (Intel i5-4590S)|RAM 8 GB|GeForce GTX 960
Wie man Fragen richtig stellt || "Es geht nicht" || Video-Tutorial: Sinus & Cosinus
T
HERE IS NO FAIR. THERE IS NO JUSTICE. THERE IS JUST ME. (Death, Discworld)

BtbN

BeitragFr, Sep 18, 2015 23:40
Antworten mit Zitat
Benutzer-Profile anzeigen
WoSign certs laufen bis zu 3 Jahre, auch die kostenlosen, für bis zu 10 Domains in einem Cert.
Gibt eigentlich keinen Grund, das nicht zu nutzen. Man muss nur OCSP Stapling konfigurieren, sonst sind die OCSP Server in China ein wenig träge.
 

#Reaper

Newsposter

BeitragFr, Dez 04, 2015 23:32
Antworten mit Zitat
Benutzer-Profile anzeigen
Let's Encrypt
ist nun in der öffentlichen Beta und funktioniert nun. Im Grunde also eigentlich wohl benutzbar. Erstellt und beglaubigt können Zertifikate einfach mit einem Tool/Client von Let's Encrypt. Die Certs laufen aktuell 90 Tage und können dann (demnächst?) automatisiert erneuert werden.
Wie wärs damit? So als kleines Weihnachts- oder Nikolausgeschenk? Very Happy

(Ich würde euch es ja schenken, aber hier kann ich nichts ausrichten. Wink)

Mathias-Kwiatkowski

BeitragSa, Dez 05, 2015 0:50
Antworten mit Zitat
Benutzer-Profile anzeigen
Thunder:
Zitat:
Spark Fountain hat Folgendes geschrieben:
So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll?

Ich find's uncool, wenn meine Passwörter unverschlüsselt übertragen werden. Weiß nicht wie du das siehst Razz


soweit ich weiss wird dein passwort als md5 hash am server übergeben, also kein nennenswerten grund zur panik Very Happy sei den du hast unter 6 zeichen. oder waren es 9...

PS ... ja dein pw kann nur bei dir aufm rechner gefischt werden, falls du unsichere türen hast, der rest wird artgerecht md5 verschlüsselt.
Skype: Anarchie1984
http://projektworks.de/maxbase/
Icq - Erneuert am 21.08.2017
Yahoo - Erneuert am 21.08.2017

Eingeproggt

BeitragSa, Dez 05, 2015 12:29
Antworten mit Zitat
Benutzer-Profile anzeigen
Nicht ganz Mathias,
Username und Passwort werden unverschlüsselt "übers Netz" gesendet, das heißt jeder "Zwischenpunkt" kann die Daten auslesen und damit machen was er will. Das geht also über den eigenen Rechner hinaus.

Schau es dir in Wireshark an wenn du willst, ist ein nettes Tool. Bei mir steht da zB:
Code: [AUSKLAPPEN]
redirect=..%2Fupload%2F&username=eingeproggt&password=dasdarfniemandsehen&login=Senden


Wenn MD5 am Server berechnet wird (und ja, wird es), dann ist der Weg vom eigenen Rechner zum Server immer noch unsicher. Darum gehts in dem Thread Wink

mfG, Christoph
Gewinner des BCC 18, 33 und 65 sowie MiniBCC 9

TimBo

BeitragSa, Dez 05, 2015 16:13
Antworten mit Zitat
Benutzer-Profile anzeigen
wie wäre es hiermit ?
https://letsencrypt.org/

sorry habe jetzt erst den Beitrag von Xeres gelesen Embarassed
mfg Tim Borowski // CPU: Ryzen 2700x GPU: Nvidia RTX 2070 OC (Gigabyte) Ram: 16GB DDR4 @ 3000MHz OS: Windows 10
Stolzer Gewinner des BCC 25 & BCC 31
hat einen ersten Preis in der 1. Runde beim BWInf 2010/2011 & 2011/12 mit BlitzBasic erreicht.

Thunder

BeitragMo, Dez 07, 2015 10:51
Antworten mit Zitat
Benutzer-Profile anzeigen
@Spark Fountain: Eingeproggt hat das sehr schön zusammengefasst. Aber ich muss hinzufügen: Selbst wenn du die MD5-Hashes überträgst ist das eine Schwachstelle, denn jeder Server/Router, der meine Anfrage weiterleitet, kann mein md5-Passwort auslesen.

Damit weiß ein Angreifer zwar nicht direkt mein Passwort aber er kann sich als ich einloggen, was schon schlimm genug ist. Auf blitzforum.de ist das vielleicht nicht sooo schlimm. Ich finde es halt doof, deswegen hab ich es angesprochen.

Es geht einfach nichts über RSA mit DHE Very Happy
Das ist dann Sicherheit bis Min(in alle Ewigkeit, zum Quantencomputer).
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Jan_

Ehemaliger Admin

BeitragDi, Dez 08, 2015 17:16
Antworten mit Zitat
Benutzer-Profile anzeigen
https://www.sparkfountain.de/ --> keine sichere Verbindung -ohoh
https://www.reapers-page.de/ --> keine sichere Verbindung -ohoh
https://projektworks.de/ --> nicht vorhanden
https://favouritesoft.bplaced.net/ --> nicht vorhanden
https://sk1980gernsheim.de/ --> nicht vorhanden

was ist denn da los, warum haben eure Seiten kein HTTPS?
between angels and insects

Thunder

BeitragMi, Dez 09, 2015 0:16
Antworten mit Zitat
Benutzer-Profile anzeigen
@Jan_: Troll?
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Jan_

Ehemaliger Admin

BeitragMi, Dez 09, 2015 9:23
Antworten mit Zitat
Benutzer-Profile anzeigen
warum ist die Frage etwa nicht legetim?
between angels and insects

TimBo

BeitragMi, Dez 09, 2015 11:14
Antworten mit Zitat
Benutzer-Profile anzeigen
bei der Vereinswebsite gibt es keinen Login. Daher ist https nicht zwingend notwendig.
mfg Tim Borowski // CPU: Ryzen 2700x GPU: Nvidia RTX 2070 OC (Gigabyte) Ram: 16GB DDR4 @ 3000MHz OS: Windows 10
Stolzer Gewinner des BCC 25 & BCC 31
hat einen ersten Preis in der 1. Runde beim BWInf 2010/2011 & 2011/12 mit BlitzBasic erreicht.

hamZta

Administrator

BeitragMi, Dez 09, 2015 19:42
Antworten mit Zitat
Benutzer-Profile anzeigen
Wenn ich die nächsten Tage mal etwas frei hab werd ich mich um ein Zertifikat kümmern - mit Let's Encrypt ist das ja, wie schon gesagt wurde, problemlos.
Blog.

Xeres

Moderator

BeitragSo, Sep 25, 2016 15:13
Antworten mit Zitat
Benutzer-Profile anzeigen
- Ein Let's Encrypt Zertifikat ist am start
- Alle Anfragen werden auf https umgeleitet
- Ich habe diverse explizite http Links korrigiert - direkt von extern verlinkte Bilder ohne https werden nicht mehr angezeigt (je nach Browser)

Gebt hier Bescheid, wenn euch Fehler wegen Protokollunterschieden auffallen - ich kümmere mich dann darum.

Danke!
Win10 Prof.(x64)/Ubuntu 16.04|CPU 4x3Ghz (Intel i5-4590S)|RAM 8 GB|GeForce GTX 960
Wie man Fragen richtig stellt || "Es geht nicht" || Video-Tutorial: Sinus & Cosinus
T
HERE IS NO FAIR. THERE IS NO JUSTICE. THERE IS JUST ME. (Death, Discworld)

Gehe zu Seite 1, 2  Weiter

Neue Antwort erstellen


Übersicht Sonstiges Portal

Gehe zu:

Powered by phpBB © 2001 - 2006, phpBB Group