WinFuture-Forum.de: Wann Kommt Endlich Ssl? - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 9 Seiten +
  • « Erste
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

Wann Kommt Endlich Ssl?

#106 _lustiger_affe_

  • Gruppe: Gäste

geschrieben 04. Dezember 2009 - 19:36

Zitat

wozu eine komplette seite über https jagen?!
Gegenfrage: Warum überhaupt Daten ungeschützt quer um die Welt jagen?
0

Anzeige



#107 _The Grim Reaper_

  • Gruppe: Gäste

geschrieben 04. Dezember 2009 - 19:38

Moment mal - bei mir ist nix am FF eingestellt, oder sonstiges verändert worden und wer so einen Quatsch wie - es geht auch auszuwählen, obwohl grau hinterlegt und nicht auswählbar - schreiben muss, bitteschön - hier scheint es keine kompetente Hilfe bzw Lösung zu geben.

So wenn man nicht alles selber macht. Habs jetzt einfach manuell eingebunden und siehe da - keine Meldung mehr.

Dieser Beitrag wurde von The Grim Reaper bearbeitet: 04. Dezember 2009 - 19:51

0

#108 Mitglied ist offline   Urne 

  • Gruppe: Moderation
  • Beiträge: 17.943
  • Beigetreten: 12. Juni 05
  • Reputation: 394
  • Geschlecht:Männlich
  • Wohnort:BL
  • Interessen:Computer

geschrieben 04. Dezember 2009 - 19:53

Hast Du es mal über den Zertifikatsmanager probiert? Extras -> Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen -> Server -> Ausnahme hinzufügen. Oder hat das den selben Effekt?
Oder sind vielleicht Plugins installiert, die zur aktuellen FF Version nicht kompatibel sind, wo Du dann tricksen musstest, damit die laufen?
Alkohol und Nikotin rafft die halbe Menschheit hin und nach alter Sitt und Brauch stirbt die andere Hälfte auch.
0

#109 _Iceweasel_

  • Gruppe: Gäste

geschrieben 06. Dezember 2009 - 00:31

Beitrag anzeigenZitat (TO_Webmaster: 04.12.2009, 09:32)

Nein. Wäre auch schlecht, wenn das so wäre. Dann könnte z.B. keine Seite den Login per SSL und den Rest normal durchführen.

MfG TO_Webmaster

also meiner meinung wäre es genau das, was ein ssl ausmacht. das meine daten vollständig gesichert sind. in dem moment wo ich einen "unsicheren" cookie benutze, bietet es mir keinen durchgängigen schutz.

aber es ist nur so am rande - trotzdem danke für das ssl :)
0

#110 Mitglied ist offline   theincogtion 

  • Gruppe: aktive Mitglieder
  • Beiträge: 21
  • Beigetreten: 26. März 15
  • Reputation: 4

geschrieben 18. Januar 2016 - 13:46

Ich wiederbelebe das Thema mal. Es gibt im Moment noch das uralte Zertifikat von 2009. Mittlerweile bietet lets encrypt kostenlose Zertifikate an. Es wäre schön, wenn demnächst standardmäßig verschlüsselt werden würde.
2

#111 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 18. Januar 2016 - 14:00

SSL hat nicht den Auftrag, zu verschlüsseln.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#112 Mitglied ist offline   theincogtion 

  • Gruppe: aktive Mitglieder
  • Beiträge: 21
  • Beigetreten: 26. März 15
  • Reputation: 4

geschrieben 18. Januar 2016 - 14:25

Doch die Übertragung wird verschlüsselt oder irre ich?

Dieser Beitrag wurde von theincogtion bearbeitet: 18. Januar 2016 - 14:26

1

#113 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 18. Januar 2016 - 16:05

Gute Idee.

Kostenlose Zertifikate mittels letsEncrypt wird sich Winfuture ja wohl leisten können.
Akzeptiert werden die Zertifikate auch. Gibt also keinen Grund das nicht zu nutzen.
1

#114 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 18. Januar 2016 - 16:38

SSL soll authentifizieren: Ist die Figur da diejenige, die sagt, daß sie das ist? Mit anderen Worten: Wenn da winfuture.de dasteht, IST es auch winfuture.de oder jemand anders?

Das wird dann kryptographisch sichergestellt, ja. Bringt ja nicht viel, wenn man erst aufwendig bestätigt "ja ich bin das" und dann jegliche Relation dazu in die Tonne tritt.

Nicht mehr. Nicht weniger.

LE unterwandert das. Wenn ich jetzt:

1. DNS erfolgreich umbiege;
2. Mir ein LE-Zertifikat auf winfuture.de beschaffe;
3. Einen Webserver online bereitstelle, der über winfuture.de (wegen umgebogenen DNS) erreichbar ist;

dann ist das Endergebnis, daß jeder Webnutzer, der https://www.winfuture.de ansurft, auf MEINEM Rechner landet UND ein gültiges Zertifikat dafür hat UND wegen LE als rechtmäßiges Angebot eingestuft wird.

Das ist kein Sicherheitsloch, das ist SSL-Mißbrauch.


- Was ein RICHTIGES SSL-Zertifikat angeht, so wäre das natürlich zu begrüßen, aber dann müssen wir uns auch auf jede Menge MEHR Werbung gefaßt machen ODER kostenpflichtige Mitgliedschaft(soptionen) akzeptieren. Denn so ein Zertifikat ist NICHT billig.

Dieser Beitrag wurde von RalphS bearbeitet: 18. Januar 2016 - 16:41

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#115 Mitglied ist offline   theincogtion 

  • Gruppe: aktive Mitglieder
  • Beiträge: 21
  • Beigetreten: 26. März 15
  • Reputation: 4

geschrieben 18. Januar 2016 - 16:52

TLS = Transport Layer Security
Definitv wird dabei der Transportweg verschlüsselt.
http://www.computerw...tworten,3062972

Damit werden logindaten verschlüsselt übertragen.
1

#116 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 18. Januar 2016 - 16:55

Beitrag anzeigenZitat (RalphS: 18. Januar 2016 - 16:38)

Was ein RICHTIGES SSL-Zertifikat angeht, so wäre das natürlich zu begrüßen, aber dann müssen wir uns auch auf jede Menge MEHR Werbung gefaßt machen ODER kostenpflichtige Mitgliedschaft(soptionen) akzeptieren. Denn so ein Zertifikat ist NICHT billig.

Warum sollen die Certs von letsEncrypt nicht RICHTIG seien?
Es sind keine Hobbymäßig selbst erstellten.
0

#117 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 18. Januar 2016 - 19:29

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 18. Januar 2016 - 16:55)

Warum sollen die Certs von letsEncrypt nicht RICHTIG seien?
Es sind keine Hobbymäßig selbst erstellten.

Weil die Identitätsprüfung von Lets Encrypt für die Tonne ist.
Wenn du den DNS der Domain kontrollierst, ist das Zertifikat deins.

Nachzulesen hier: https://letsencrypt....rks/technology/

Dann doch lieber ein ehrliches Selfcert.

Beitrag anzeigenZitat (theincogtion: 18. Januar 2016 - 16:52)

TLS = Transport Layer Security
Definitv wird dabei der Transportweg verschlüsselt.
http://www.computerw...tworten,3062972

Damit werden logindaten verschlüsselt übertragen.

Die Frage ist nur: zu wem?
Daher muss ein SSL(oder meinetwegen auch TLS)-Zertifkat auch die Identität des Gegenübers sicherstellen.

SSL ohne Identätsprüfung ist Augenwischerei

Dieser Beitrag wurde von Sturmovik bearbeitet: 18. Januar 2016 - 19:34

«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
1

#118 Mitglied ist offline   Ludacris 

  • Gruppe: Moderation
  • Beiträge: 4.666
  • Beigetreten: 28. Mai 06
  • Reputation: 218
  • Geschlecht:Männlich

geschrieben 30. Januar 2016 - 23:29

Finde ich nicht. Gerade für die verschlüsselung der übertragung der daten (z.b. Passwörter) reicht es, sofern ich mir sicher sein kann dass ich meinem gegenüber vertraue
1

#119 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 30. Januar 2016 - 23:49

Und woher nimmst du diese Sicherheit?
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#120 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 31. Januar 2016 - 00:00

Beitrag anzeigenZitat (Ludacris: 30. Januar 2016 - 23:29)

Finde ich nicht. Gerade für die verschlüsselung der übertragung der daten (z.b. Passwörter) reicht es, sofern ich mir sicher sein kann dass ich meinem gegenüber vertraue


Mh? Also entweder ist Dein Post widersprüchlich oder aber ich verstehe nicht, worauf Du antwortest. :unsure:

- X509 in sich ist sicher, ja.
- Aber die Anbindung ist es nicht. Das läuft lediglich über einen String Match auf der Serverseite (CN im Zertifikat == FQDN) und schlimmer noch, das "Vertrauen" (im praktischen Sinn) wird von einem teilweise automatisch verwalteten "Trusted Root Certificates"-Store 'erledigt'.

- Weswegen ein simples DNS-Hijacking auf der Serverseite X509 wirkungslos macht.
- Und ein simples "tragen wir mal ne fragwürdige CA bei den vertrauenswürdigen Stammzertifizierungsstellen ein und schaun was passiert" auf Clientseite auch.

- Wenn wir uns dann noch ins Gedächtnis rufen, daß X509 per Design erlaubt, "Listeners" in Form von einer Art Data Recovery Agents zu konfigurieren - daß es also per Design ermöglicht wird, daß ein Dritter mitlauschen *darf*... sollte klar sein, daß Vertrauen für SSL nicht optional, sondern verbindlich und *erforderlich* ist und daß "jo da ist ein Schloß" alles ist außer ausreichend, sondern daß im Gegenteil man gesagt kriegen kann (und wird!) "Modulo geprüft? Nein? Na sowas, tut uns aber leid --- Ja? Gib mal her. ... Nee, das war nicht unserer. Echt, und da hast Du das GEPRÜFT und GESEHEN daß wir das nicht sind und hast aber TROTZDEM Deine TANs alle reingefüttert? Mann bist Du blöde, einself!".

Mit anderen Worten, SSL ohne zu wissen wer der andere ist ist nicht nur nutzlos, sondern sogar gefährlich, und nix anderes hat Sturmovik weiter oben geschrieben.

Dieser Beitrag wurde von RalphS bearbeitet: 31. Januar 2016 - 00:01

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


  • 9 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0