WinFuture-Forum.de: Wann Kommt Endlich Ssl? - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 9 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • Letzte »

Wann Kommt Endlich Ssl?


#1 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 30. Dezember 2007 - 17:28

Hallo,

ich habe es schon vor unzähligen Monaten und schon mindestens 2x angesprochen, doch es hat sich leider immer noch nichts getan.

Wie wohl einigen bekannt sein dürfte, spriessen momentan leider mehr und mehr TOR-Exit-Nodes aus dem Boden, die es sich zur Aufgabe gemacht haben, Login-Daten abzufischen - aus Interesse habe ich das auch mal mit meinem eigenen gemacht und finde es erschreckend, wie viele Logins man da innerhalb weniger Minuten auf dem Silbertablett präsentiert bekommt(u.a. waren sogar zwei Datensätze für WF dabei :wink: )...

Da sich dies (momentan) nur durch den Einsatz von SSL vermeiden lässt, frage ich mich, wie lange es wohl noch dauert, bis ihr zumindest den Login endlich einmal abgesichert bekommt?

Bis jetzt ist es bei euch nur möglich, https://winfuture.de aufzurufen, allerdings leitet das direkt auf normales HTTP um - dieses Zertifikat ist übrigens abgelaufen!

Natürlich muss ich hier nicht per TOR auflaufen, das ändert aber nichts daran, dass trotzdem MITM-Attacken gefahren werden können.

Folglich frage ich mich, wo denn das Problem von eurer Seite ist? Rein technisch ist das ja locker in 5 Minuten einzurichten - gut, vielleicht auch 15, wenn man keine Ahnung hat und erstmal eine Anleitung suchen muss. Zertifikat erstellen, URI-Rewrite (zumindest für die Login-Seite) setzen und fertig.

Gut, ein ordentliches Zertifikat kostet natürlich, aber zumindest für die Hauptseite habt ihr ja ein SS-Zertifikat, das stellt doch zumindest mal einen Anfang dar.

Hoffend auf Besserung,
ph

Dieser Beitrag wurde von ph030 bearbeitet: 30. Dezember 2007 - 17:29

1

Anzeige



#2 Mitglied ist offline   abferber 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.905
  • Beigetreten: 04. November 06
  • Reputation: 1

geschrieben 31. Dezember 2007 - 10:08

Zitat

Gut, ein ordentliches Zertifikat kostet natürlich, aber zumindest für die Hauptseite habt ihr ja ein SS-Zertifikat, das stellt doch zumindest mal einen Anfang dar.


ist sogar teuer wie ich finde und selbst erstelltes oder kostenlos generiertes schreckt unter umständen IE benutzer sogar ab, weil der IE solche seiten sogar unbegründet blockt, ich z.B. sehe es nicht ein für ein zertifiziertes zertifikat soviel kohle locker zu machen, bzw. empfinde ich diese ganze zertifikatsgeschichte, wie ein hello world programm zum kaufen.

Zertifikte zum Kaufen!

Eine SSL-Verbindung mit kostenlosen Zertifikat ist genauso sicher wie mit einem gekauften, aber erklär das mal jemanden der mit IE7 hier aufschlägt bevor die Seite gelanden wird, glaube Microsoft ist an einem der grössten Zertifikatsherausgeber sogar beteiligt.

Dieser Beitrag wurde von abferber bearbeitet: 31. Dezember 2007 - 10:09

0

#3 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 31. Dezember 2007 - 17:02

Zitat

selbst erstelltes oder kostenlos generiertes schreckt unter umständen IE benutzer sogar ab, weil der IE solche seiten sogar unbegründet blockt
Ich kann das nicht überprüfen, was meinst du genau mit "blocken"? Nur eine "Wollen Sie wirklich...?"-Abfrage oder wirklich gar keinen Zugang?
0

#4 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24
  • Geschlecht:Männlich

geschrieben 31. Dezember 2007 - 17:07

@ph030 Unterstütze deinen Vorschlag komplett

Zitat

Ich kann das nicht überprüfen, was meinst du genau mit "blocken"? Nur eine "Wollen Sie wirklich...?"-Abfrage oder wirklich gar keinen Zugang?


Nur eine "Wollen sie wirklich?" -> MS WischieWaschie halt.

Evt. wäre ein zusätzlicher Hacken "mit SSL einloggen" angebracht, denn dann könnte man auch ein selbst generiertes Zertifikat nutzen, der unbedarfte User nimmt dann im zweifelsfall den Hacken wieder raus wenn ihn die Warnung des IE7 irritiert

Dieser Beitrag wurde von bbrickwedde bearbeitet: 31. Dezember 2007 - 17:10

0

#5 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 31. Dezember 2007 - 17:28

Zitat

Nur eine "Wollen sie wirklich?" -> MS WischieWaschie halt.
Nun, dass müßten eigentlich alle Browser bei Selfsigned-Certs so handhaben, da halt der Aussteller-String und -Code mit einer Liste abgeglichen wird, wo aber nur die großen/kommerziellen drinstehen(Thawte z.B.) - O und Konq machen das jedenfalls auch, FF hab ich grad nicht da.

Dieser Beitrag wurde von ph030 bearbeitet: 31. Dezember 2007 - 17:29

0

#6 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24
  • Geschlecht:Männlich

geschrieben 31. Dezember 2007 - 17:33

Beim IE7 siehts nur etwas drastisch aus:
Angehängtes Bild: ssl.JPG

Dieser Beitrag wurde von bbrickwedde bearbeitet: 31. Dezember 2007 - 17:34

0

#7 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 31. Dezember 2007 - 17:36

Das müsste sich aber umgehen lassen, in dem man da ein passendes selbstsigniertes Zertifikat in den lokalen Root SPeicher installiert... dann kennt der Browser das ganze und man hat ruhe... Glaube ich so geht das.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#8 Mitglied ist offline   abferber 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.905
  • Beigetreten: 04. November 06
  • Reputation: 1

geschrieben 31. Dezember 2007 - 17:37

Ja ist nur noch die frage ob die funktion im board so verfügbar ist und ob man das überhaupt in erwägung zieht es zu implementieren

Angehängtes Bild: SSL_abfrage.GIF

habe nie einen Herausgeber als nicht vertrauenswürdig eingestuft, ich stufe doch keinen herrausgeber als nicht integer ein nur weil der dafür keine unsummen an lizenzgebühr verlangt.
was interessiert mich der herraugeber, kann von mir aus auch der ccc sein http://www.ccc.de/ca/

hauptsache die logins werden nicht aus der luft gefischt, sei es im bahnhof o. sonstige hotspotumgebung

Dieser Beitrag wurde von abferber bearbeitet: 31. Dezember 2007 - 17:43

0

#9 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 31. Dezember 2007 - 17:42

Ok, das mit dem IE ist wirklich übel, v.a. die Empfehlung...

@Dk, du meinst, dass man das Cert im eigenen Browser installieren soll? Wenn ja, müßte man aber zumindest einmal die "Schwelle der Unsicherheit" überschreiten, auch wieder doof...
0

#10 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 31. Dezember 2007 - 17:51

@ph030:
Ja. Das hatte ich da schonmal vor Ewigkeiten gemacht, mich selbst als Root CA ausgegeben (alles lokal natürlich), selbst ein self-signed Zertifikat erstellt, dass ich dann bei Firefox/IE6 in den Speicher für Trusted Root CAs installiert und der Firefox/IE6 haben dann das Server SSL Zertifikat als gut angesehen und lief dann ohne irgendwelche blöden Warnungen. War halt ein SSL Zertifikat nur für meinen lokalen Server.

Weiß nicht, ob das heute mit dem IE7 auch noch so leicht gehen würde bzw. wie sicher/unsicher so etwas generell bei öffentlichen Seiten ist. Gut, WF würde ich da schon vertrauen, wenn sie sich als CA ausgeben.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#11 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24
  • Geschlecht:Männlich

geschrieben 31. Dezember 2007 - 17:52

Mich persönlich würde ein unsigniertes Zertifikat nicht stören. Und ein manuelles installieren der Certs halte ich nicht für praktikabel.
Die Idee mit dem optionalen HaRken ist IMHO die einfachste, es sei denn wf möchte Geld für ein Cert. ausgeben ?

Dieser Beitrag wurde von bbrickwedde bearbeitet: 31. Dezember 2007 - 18:03

0

#12 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 31. Dezember 2007 - 17:55

Das Problem ist aber, solange das Zertifikat nicht signiert ist und das Zertifikat zur Prüfung unter Trusted Root CAs installiert wurde, meckert der IE wild vor sich hin. Er prüft so oder so nur die Signatur gegen die passende Signatur im Trusted Root CA Speicher. Wenn da nichts passendes ist, meckert er.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#13 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 31. Dezember 2007 - 17:56

Ah, so meintest du das, ok, ich dachte du meinst das so, dass man das "ungültige" Cert bei der Abfrage einmal akzeptiert und installiert und nicht, selbst als CA aufzutreten.

Mh, afaik dürfte das zumindest mit O nicht mehr klappen, der verwendet eine interne Liste gültiger CAs und schlägt bei allem anderen an. Da kann man natürlich auch weitere CAs importieren, aber ob das der ONU hinbekommt bzw dazu gewillt ist?

Eventuell wäre eine kleine verlinkte FAQ neben dem Häkchen für SSL ganz sinnvoll?!

Zitat

Die Idee mit dem optionalen Hacken ist IMHO die einfachste
Du willst WF hacken? :(

Dieser Beitrag wurde von ph030 bearbeitet: 31. Dezember 2007 - 17:57

0

#14 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24
  • Geschlecht:Männlich

geschrieben 31. Dezember 2007 - 18:12

Gute Idee mit der F.A.Q. jetzt brauchen wir nur noch nen Statement eines Verantwortlichen.
0

#15 Mitglied ist offline   Wiesel 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.932
  • Beigetreten: 09. Mai 06
  • Reputation: 525
  • Geschlecht:unbekannt
  • Wohnort:Punxsutawney, 742 Evergreen Terrace
  • Interessen:Mein Schneckenhaus

geschrieben 01. Januar 2008 - 12:49

Weder Hacken noch Harken, einfach nur Haken.

gesundes Neues
around the world
0

Thema verteilen:


  • 9 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • Letzte »

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0