WinFuture-Forum.de: WinFuture.de nicht sicher? - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 2 Seiten +
  • 1
  • 2

WinFuture.de nicht sicher? Zugangsdaten könnten in die falschen Hände geraten

#16 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.048
  • Beigetreten: 11. September 10
  • Reputation: 169

geschrieben 15. März 2017 - 20:25

Firefox sagt nur bescheid, dass die Seite, auf der man gerade etwas in ein Einlogg-Textfeld tippen will, nicht über https aufgerufen wurde. Die Seite war schon vorher so, nur Firefox fand das vorher nicht schlimm.

Also das ist im Prinzip das, was da passiert.
Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

Anzeige

#17 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 572
  • Beigetreten: 15. Juni 09
  • Reputation: 56

geschrieben 15. März 2017 - 21:22

SSL heißt nicht das der Inhalt der Seite sicher, zuverlässig oder sonstwas ist. Es ist allein der Transport/die Verbindung die gesichert sind.
Aber jetzt zu sagen SSL ist trügerische Sicherheit ist Mumpitz. Natürlich ist es wichtig das die Nutzer lernen das es nur eine Transport/Verbindungs Sicherung ist und eben keine Inhaltsbeurteilung, aber das macht doch SSL an sich nicht schlecht. Die Leute müssen halt passend informiert werden.
Deswegen steht da auch ihre Verbindung ist sicher oder ihre Verbindung ist nicht sicher. Da steht nicht "Diese Seite ist sicher".
Ja es wird genug Leute geben die das falsch auslegen, aber deswegen SSL abzulehnen. Schwachsinn.

Auch wenn es mißverstanden werden kann, ist es völlig richtig die User in die Richtung zu drängen, das sie auf eine Verschlüsselung der Verbindung achten und ggfs beim Webseitenanbieter einfordern.

Dieser Beitrag wurde von Grenor bearbeitet: 15. März 2017 - 21:25

0

#18 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.416
  • Beigetreten: 09. Februar 12
  • Reputation: 186

geschrieben 15. März 2017 - 21:22

Beitrag anzeigenZitat (Holger_N: 15. März 2017 - 20:25)

Firefox sagt nur bescheid, dass die Seite, auf der man gerade etwas in ein Einlogg-Textfeld tippen will, nicht über https aufgerufen wurde. Die Seite war schon vorher so, nur Firefox fand das vorher nicht schlimm.

Also das ist im Prinzip das, was da passiert.

Das sagst du und ist wahrscheinlich auch richtig. Firefox sagt das nicht. Der Betreiber dieser Seite sagt dazu auch nichts.
0

#19 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.751
  • Beigetreten: 24. Juni 05
  • Reputation: 112

geschrieben 15. März 2017 - 22:10

Firefox sagt das auch, sofern man sich den Changelog der aktuellen Version mal anschaut.
https://www.mozilla....0/releasenotes/

Added user warnings for non-secure HTTP pages with logins. Firefox now displays a “This connection is not secure” message when users click into the username and password fields on pages that don’t use HTTPS.
0

#20 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.288
  • Beigetreten: 20. Juli 07
  • Reputation: 796

geschrieben 16. März 2017 - 02:17

Grenor: Da liegt ein Mißverständnis vor. Ich lehne SSL, oder allgemeiner die Absicherung des Transportweges, in keinster Weise ab.

Ich reg mich nur über diese zunehmende Leierei auf. Und darüber, daß die eine Hälfte SSL als Endlösung der Sicherheitsfrage versteht - was es nicht ist - während die andere Hälfte der Meinung ist, wenn man nur alles als unsicher deklariert, nehmen auch alles SSL.

Nur:

SSL ist MITTEL zum ZWECK. Nicht mehr. Nicht weniger. Es ist keine Lösung IN SICH. SSL generiert keine Sicherheit, sondern SSL ermöglicht es mir, mit meinem Gesprächspartner ("der Website") in ein virtuelles Hinterzimmer zu gehen.

Analog: Gibt es einen, oder gibt es keinen Unterschied, ob man:

- Mit einem guten Freund oder Geschäftspartner ins Hinterzimmer geht, wo uns keiner stört;

- Mit einer dunklen Gestalt ins Hinterzimmer geht, wo uns keiner stört;

- Mit einem kleinen Mädchen ins Hinterzimmer geht, wo uns keiner stört.


- Und natürlich im Anschluß: Alles und sein Köter macht Werbung dafür, nur noch im dunklen Himmerzimmer zu reden (ohne weiter zu informieren).


--- Ja, SSL *ist* in dieser Form trügerische Sicherheit. Nicht weil es SSL ist, sondern weil schlichtweg falsch informiert wird, weil Ansätze geschaffen werden die das weiter verwaschen ("Dunkle Hinterzimmer für alle, jetzt ohne Zutrittsgebühren!") und um dem Faß die Krone aufzusetzen obendrein noch erklärt wird "wer in der Öffentlichkeit über nicht-private Dinge redet, sollte sofort ins dunkle Hinterzimmer gehen".

Dieser Beitrag wurde von RalphS bearbeitet: 16. März 2017 - 02:26

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
0

#21 Mitglied ist offline   Ludacris 

  • Gruppe: Moderation
  • Beiträge: 4.492
  • Beigetreten: 28. Mai 06
  • Reputation: 176

geschrieben 16. März 2017 - 11:37

Naja seit wie vielen Jahren wird schon darauf gepocht in öffentlichen Netzwerken sich, wenn möglich, IMMER über SSL einzuloggen? Das Problem an der Sache ist wie du schon sagst, dass jetzt immer mehr der Tenor in Richtung: SSL === Sicher geht, aber gerade Banken zb. sollten sich ein Extended Verification SSL Zertifikat gönnen - dann hat man eine Grüne Adresszeile UND der Name der Bank steht drinnen - und das auch gegengecheckt, da kann sich kein Hacker einfach mal so als Deutsche Sparkasse oder whatever ausgeben.
0

#22 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 572
  • Beigetreten: 15. Juni 09
  • Reputation: 56

geschrieben 16. März 2017 - 12:19

RalphS, tja und was willst du nun?

Wie gesagt SSL ist keinerlei Anhaltspunkt für den Inhalt einer Seite und das sollte wohl auch besser kommuniziert werden. Aber da ist auch viel fehlende Lesekompetenz dabei. Wie erwähnt steht da nix von, das eine Seite sicher ist.

SSL für jegliche Seite zu fordern, vorallem wenn sie in irgendeinerweise Logins/Übertragung von privaten Daten bietet ist einfach richtig. Ja es wichtig das auch über SSL hinaus noch vernünftig mit den Daten umgegangen wird von der Seite und da muß der Anwender wohl etwas vertrauen mitbringen, denn das kann er letztlich nicht wirklich kontrollieren.
0

#23 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.288
  • Beigetreten: 20. Juli 07
  • Reputation: 796

geschrieben 16. März 2017 - 18:55

Was ich *will*? :huh:

Immer noch dasselbe wie eh und je. Ich will, daß *informierte* Entscheidungen getroffen werden. Ich will, daß *nachgedacht* wird. Ich will, daß wenn ein spezifisches Problem da ist, und Lösungen bzw Ansätze dazu im Raum stehen, daß klar ist (bzw gemacht werden kann) wo die Stärken und wo die Schwächen sind, und daß ich mich also im Kontext "SSL" für oder wider entscheiden kann (darf!) in Abhängigkeit davon, was ich konkret will, was ich brauche, und wieder folgernd, was da dran hängt.

Bei AV-Geschichten funktioniert das doch auch. Sicherheitskonzept haben, Kopp anstrengen, und so weiter. Warum dann jetzt beim Thema SSL alles abstellen und ignorieren und stattdessen stupide nachbeten?

SSL ermöglicht Dinge, die ich, wenn ich sie will, nur mit SSL oder was Vergleichbarem implementiert bekomme. HTTPs ist ja zB im Sinne von X509 nur "halb" implementiert: Die Benutzer haben ja alle keine Zertifikate, nur die Website hat eins.

Ohne SSL kann ich nicht schauen, wer der Gegenüber ist.

Und wenn ich nicht schauen MUSS, nicht wissen WILL, wer mein Gegenüber ist, dann darf ich mir berechtigterweise überlegen, auf SSL zu verzichten.

SSL in einem Forum, wo jeder lesen und schreiben darf? Wie albern ist das? Persönliche Dinge wie Einstellungen und Logon-Prozeß lassen wir da mal außen vor. Aber wenn ich auf den Markt geh zum Schreien und zum Beschrien werden, dann muß ich nicht wissen wie die alle heißen und ich *will* es auch nicht wissen, und ja, ein Markt IST ein Forum.

Aber wenn es jetzt darum geht, Themen zu haben, wo ich nicht will daß da wer mitschauen kann, und/oder wenn ich sicher sein will daß der da vor mir auch wirklich derjenige ist wo er sagt daß der das ist, dann muß ich mich berechtigterweise hinsetzen und mich fragen, ob ich nicht doch SSL irgendwie implementieren sollte.

Und muß im selben Atemzug mir der Tatsache bewußt sein, daß SSL über Namen angebunden ist und wenn meine Kunden, Gäste oder was weiß ich wer auf eine *VARIATION* meiner Seite geleitet werden, weil die da irgendson Hirni hingepackt hat so nach Schema wikpedia.org, dann muß mir im Klaren sein, daß wenn DORT wer seine Zugangsdaten für MEINE WEbsite eingibt, daß die DIESER Hirni auch kriegt, und zwar im KLARTEXT.

Und ich muß mir im Klaren darüber sein, daß mitgeschnittener SSL-Verkehr mit den richtigen Vorkehrungen entschlüsselt werden kann. Nicht umsonst gibt es die Recoveryagenten - das wäre komplett legitim im Sinne von "das wurde vom Betreiber so vorgesehen", da reden wir noch nicht von Brute Force oder sonstwelchen Formen von Hacking.


SSL generiert selbst nichts. SSL sorgt nur dafür, daß wenn da wer ist, dem ich vertraue, dann darf ich dem auch über Internet vertrauen, auch wenn der nicht vor mir steht.

Aber wenn dann so wer wie Letsencrypt kommt und irgendsonem Hirni mit Geldnot Zertifikate für spaßkasse.de für lau ausstellt, dann ist das Ergebnis davon, daß besagter Hirni nun "mit HTTPS-URLs" kommen kann und daß dies für den ahnungslosen PC-Anwender das bereits implizit legitimiert.

Und weil ich weiß das das jetzt kommt: NEIN, das beschränkt sich natürlich NICHT auf Banken, die es tatsächlich besser abgesichert haben sollten. Man kann auch ne kleine Ticketbude sein oder sonst ein kleiner Webshop, dem man mit ww.kleiner-webshop.de die Kunden abziehen und prellen kann.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
0

#24 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 572
  • Beigetreten: 15. Juni 09
  • Reputation: 56

geschrieben 16. März 2017 - 19:17

Genau wegen den Dingen die du mal aussen vor läßt, ist bei vielen Seiten zumindest ein beschränkter Einsatz von SSL sinnvoll.

Ich glaube wir reden da auch einwenig aneinander vorbei. Ich bin auch der Ansicht das SSL kein Merkmal sein sollte an dem man die Sicherheit der Webseite festmachen sollte. Und ja die Anzeige von Firefox kann von Laien missverstanden werden.
Ändert aber nix daran, das es z.B. von Winfuture fahrlässig ist den Login nicht mit SSL umzusetzen. Und das leider noch viel zu oft im Web so ist.

Dieser Beitrag wurde von Grenor bearbeitet: 16. März 2017 - 19:17

0

#25 Mitglied ist offline   Wiesel 

  • Gruppe: Supermoderation
  • Beiträge: 5.720
  • Beigetreten: 09. Mai 06
  • Reputation: 452

geschrieben 16. März 2017 - 19:45

Offensichtlich hast du nicht verstanden was RalphS geschrieben hat.

Ich melde mich mal Semioffiziell: Das Login ist jetzt genau so sicher (oder unsicher) wie es noch mit deiner vorherigen Version gewesen ist. Wenn du einem Login ohne Alibi-Sicherheit nicht traust, dann log dich nicht ein.
Alle Klarheiten beseitigt.
0

#26 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 572
  • Beigetreten: 15. Juni 09
  • Reputation: 56

geschrieben 16. März 2017 - 19:59

@wiesel
Winfuture wird dadurch nicht sicherer für mich oder jemand anders. Das da jemand mitlesen kann, wenn ich nen Post schreibe --> geschenkt. Was ich allerdings nicht so nett finde ist das der Logon Prozess, dieses mitlesen in der Theorie auch ermöglicht. Dieses ermöglicht Identitätsdiebstahl, wenn auch nur in diesem Forum. Das mag jetzt beim Winfuture Forum nicht so extrem furchtbar sein, aber eine Entschuldigung ist das auch nicht.
RalphS hat schon nicht ohne Grund den Logon Prozess bei seiner Argumentation ausgenommen.

Und als kleiner Denkanstoß in Bezug auf Sicherheit missverstehen: Was erwartet Otto Normal Nutzer von einer privaten Nachricht?

Dieser Beitrag wurde von Grenor bearbeitet: 16. März 2017 - 20:15

0

#27 Mitglied ist offline   Ludacris 

  • Gruppe: Moderation
  • Beiträge: 4.492
  • Beigetreten: 28. Mai 06
  • Reputation: 176

geschrieben 22. März 2017 - 12:43

Genauso unsicher trifft es am ehesten. Ohne SSL kann jeder der sich in meinem Netzwerk befindet meine Logindaten abfangen - mit SSL geht das nur bedingt und auch nur mit Zertifikatsfehlermeldung.
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0