WinFuture-Forum.de: WinFuture.de nicht sicher? - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 3 Seiten +
  • 1
  • 2
  • 3

WinFuture.de nicht sicher? Zugangsdaten könnten in die falschen Hände geraten

#16 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.111
  • Beigetreten: 11. September 10
  • Reputation: 458
  • Geschlecht:Männlich

geschrieben 15. März 2017 - 20:25

Firefox sagt nur bescheid, dass die Seite, auf der man gerade etwas in ein Einlogg-Textfeld tippen will, nicht über https aufgerufen wurde. Die Seite war schon vorher so, nur Firefox fand das vorher nicht schlimm.

Also das ist im Prinzip das, was da passiert.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
0

Anzeige



#17 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 697
  • Beigetreten: 15. Juni 09
  • Reputation: 79

geschrieben 15. März 2017 - 21:22

SSL heißt nicht das der Inhalt der Seite sicher, zuverlässig oder sonstwas ist. Es ist allein der Transport/die Verbindung die gesichert sind.
Aber jetzt zu sagen SSL ist trügerische Sicherheit ist Mumpitz. Natürlich ist es wichtig das die Nutzer lernen das es nur eine Transport/Verbindungs Sicherung ist und eben keine Inhaltsbeurteilung, aber das macht doch SSL an sich nicht schlecht. Die Leute müssen halt passend informiert werden.
Deswegen steht da auch ihre Verbindung ist sicher oder ihre Verbindung ist nicht sicher. Da steht nicht "Diese Seite ist sicher".
Ja es wird genug Leute geben die das falsch auslegen, aber deswegen SSL abzulehnen. Schwachsinn.

Auch wenn es mißverstanden werden kann, ist es völlig richtig die User in die Richtung zu drängen, das sie auf eine Verschlüsselung der Verbindung achten und ggfs beim Webseitenanbieter einfordern.

Dieser Beitrag wurde von Grenor bearbeitet: 15. März 2017 - 21:25

0

#18 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.769
  • Beigetreten: 09. Februar 12
  • Reputation: 865
  • Geschlecht:Männlich

geschrieben 15. März 2017 - 21:22

Beitrag anzeigenZitat (Holger_N: 15. März 2017 - 20:25)

Firefox sagt nur bescheid, dass die Seite, auf der man gerade etwas in ein Einlogg-Textfeld tippen will, nicht über https aufgerufen wurde. Die Seite war schon vorher so, nur Firefox fand das vorher nicht schlimm.

Also das ist im Prinzip das, was da passiert.

Das sagst du und ist wahrscheinlich auch richtig. Firefox sagt das nicht. Der Betreiber dieser Seite sagt dazu auch nichts.
0

#19 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.961
  • Beigetreten: 24. Juni 05
  • Reputation: 165
  • Geschlecht:Männlich

geschrieben 15. März 2017 - 22:10

Firefox sagt das auch, sofern man sich den Changelog der aktuellen Version mal anschaut.
https://www.mozilla....0/releasenotes/

Added user warnings for non-secure HTTP pages with logins. Firefox now displays a “This connection is not secure” message when users click into the username and password fields on pages that don’t use HTTPS.
0

#20 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 16. März 2017 - 02:17

Grenor: Da liegt ein Mißverständnis vor. Ich lehne SSL, oder allgemeiner die Absicherung des Transportweges, in keinster Weise ab.

Ich reg mich nur über diese zunehmende Leierei auf. Und darüber, daß die eine Hälfte SSL als Endlösung der Sicherheitsfrage versteht - was es nicht ist - während die andere Hälfte der Meinung ist, wenn man nur alles als unsicher deklariert, nehmen auch alles SSL.

Nur:

SSL ist MITTEL zum ZWECK. Nicht mehr. Nicht weniger. Es ist keine Lösung IN SICH. SSL generiert keine Sicherheit, sondern SSL ermöglicht es mir, mit meinem Gesprächspartner ("der Website") in ein virtuelles Hinterzimmer zu gehen.

Analog: Gibt es einen, oder gibt es keinen Unterschied, ob man:

- Mit einem guten Freund oder Geschäftspartner ins Hinterzimmer geht, wo uns keiner stört;

- Mit einer dunklen Gestalt ins Hinterzimmer geht, wo uns keiner stört;

- Mit einem kleinen Mädchen ins Hinterzimmer geht, wo uns keiner stört.


- Und natürlich im Anschluß: Alles und sein Köter macht Werbung dafür, nur noch im dunklen Himmerzimmer zu reden (ohne weiter zu informieren).


--- Ja, SSL *ist* in dieser Form trügerische Sicherheit. Nicht weil es SSL ist, sondern weil schlichtweg falsch informiert wird, weil Ansätze geschaffen werden die das weiter verwaschen ("Dunkle Hinterzimmer für alle, jetzt ohne Zutrittsgebühren!") und um dem Faß die Krone aufzusetzen obendrein noch erklärt wird "wer in der Öffentlichkeit über nicht-private Dinge redet, sollte sofort ins dunkle Hinterzimmer gehen".

Dieser Beitrag wurde von RalphS bearbeitet: 16. März 2017 - 02:26

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#21 Mitglied ist offline   Ludacris 

  • Gruppe: Moderation
  • Beiträge: 4.666
  • Beigetreten: 28. Mai 06
  • Reputation: 218
  • Geschlecht:Männlich

geschrieben 16. März 2017 - 11:37

Naja seit wie vielen Jahren wird schon darauf gepocht in öffentlichen Netzwerken sich, wenn möglich, IMMER über SSL einzuloggen? Das Problem an der Sache ist wie du schon sagst, dass jetzt immer mehr der Tenor in Richtung: SSL === Sicher geht, aber gerade Banken zb. sollten sich ein Extended Verification SSL Zertifikat gönnen - dann hat man eine Grüne Adresszeile UND der Name der Bank steht drinnen - und das auch gegengecheckt, da kann sich kein Hacker einfach mal so als Deutsche Sparkasse oder whatever ausgeben.
0

#22 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 697
  • Beigetreten: 15. Juni 09
  • Reputation: 79

geschrieben 16. März 2017 - 12:19

RalphS, tja und was willst du nun?

Wie gesagt SSL ist keinerlei Anhaltspunkt für den Inhalt einer Seite und das sollte wohl auch besser kommuniziert werden. Aber da ist auch viel fehlende Lesekompetenz dabei. Wie erwähnt steht da nix von, das eine Seite sicher ist.

SSL für jegliche Seite zu fordern, vorallem wenn sie in irgendeinerweise Logins/Übertragung von privaten Daten bietet ist einfach richtig. Ja es wichtig das auch über SSL hinaus noch vernünftig mit den Daten umgegangen wird von der Seite und da muß der Anwender wohl etwas vertrauen mitbringen, denn das kann er letztlich nicht wirklich kontrollieren.
0

#23 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 16. März 2017 - 18:55

Was ich *will*? :huh:

Immer noch dasselbe wie eh und je. Ich will, daß *informierte* Entscheidungen getroffen werden. Ich will, daß *nachgedacht* wird. Ich will, daß wenn ein spezifisches Problem da ist, und Lösungen bzw Ansätze dazu im Raum stehen, daß klar ist (bzw gemacht werden kann) wo die Stärken und wo die Schwächen sind, und daß ich mich also im Kontext "SSL" für oder wider entscheiden kann (darf!) in Abhängigkeit davon, was ich konkret will, was ich brauche, und wieder folgernd, was da dran hängt.

Bei AV-Geschichten funktioniert das doch auch. Sicherheitskonzept haben, Kopp anstrengen, und so weiter. Warum dann jetzt beim Thema SSL alles abstellen und ignorieren und stattdessen stupide nachbeten?

SSL ermöglicht Dinge, die ich, wenn ich sie will, nur mit SSL oder was Vergleichbarem implementiert bekomme. HTTPs ist ja zB im Sinne von X509 nur "halb" implementiert: Die Benutzer haben ja alle keine Zertifikate, nur die Website hat eins.

Ohne SSL kann ich nicht schauen, wer der Gegenüber ist.

Und wenn ich nicht schauen MUSS, nicht wissen WILL, wer mein Gegenüber ist, dann darf ich mir berechtigterweise überlegen, auf SSL zu verzichten.

SSL in einem Forum, wo jeder lesen und schreiben darf? Wie albern ist das? Persönliche Dinge wie Einstellungen und Logon-Prozeß lassen wir da mal außen vor. Aber wenn ich auf den Markt geh zum Schreien und zum Beschrien werden, dann muß ich nicht wissen wie die alle heißen und ich *will* es auch nicht wissen, und ja, ein Markt IST ein Forum.

Aber wenn es jetzt darum geht, Themen zu haben, wo ich nicht will daß da wer mitschauen kann, und/oder wenn ich sicher sein will daß der da vor mir auch wirklich derjenige ist wo er sagt daß der das ist, dann muß ich mich berechtigterweise hinsetzen und mich fragen, ob ich nicht doch SSL irgendwie implementieren sollte.

Und muß im selben Atemzug mir der Tatsache bewußt sein, daß SSL über Namen angebunden ist und wenn meine Kunden, Gäste oder was weiß ich wer auf eine *VARIATION* meiner Seite geleitet werden, weil die da irgendson Hirni hingepackt hat so nach Schema wikpedia.org, dann muß mir im Klaren sein, daß wenn DORT wer seine Zugangsdaten für MEINE WEbsite eingibt, daß die DIESER Hirni auch kriegt, und zwar im KLARTEXT.

Und ich muß mir im Klaren darüber sein, daß mitgeschnittener SSL-Verkehr mit den richtigen Vorkehrungen entschlüsselt werden kann. Nicht umsonst gibt es die Recoveryagenten - das wäre komplett legitim im Sinne von "das wurde vom Betreiber so vorgesehen", da reden wir noch nicht von Brute Force oder sonstwelchen Formen von Hacking.


SSL generiert selbst nichts. SSL sorgt nur dafür, daß wenn da wer ist, dem ich vertraue, dann darf ich dem auch über Internet vertrauen, auch wenn der nicht vor mir steht.

Aber wenn dann so wer wie Letsencrypt kommt und irgendsonem Hirni mit Geldnot Zertifikate für spaßkasse.de für lau ausstellt, dann ist das Ergebnis davon, daß besagter Hirni nun "mit HTTPS-URLs" kommen kann und daß dies für den ahnungslosen PC-Anwender das bereits implizit legitimiert.

Und weil ich weiß das das jetzt kommt: NEIN, das beschränkt sich natürlich NICHT auf Banken, die es tatsächlich besser abgesichert haben sollten. Man kann auch ne kleine Ticketbude sein oder sonst ein kleiner Webshop, dem man mit ww.kleiner-webshop.de die Kunden abziehen und prellen kann.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#24 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 697
  • Beigetreten: 15. Juni 09
  • Reputation: 79

geschrieben 16. März 2017 - 19:17

Genau wegen den Dingen die du mal aussen vor läßt, ist bei vielen Seiten zumindest ein beschränkter Einsatz von SSL sinnvoll.

Ich glaube wir reden da auch einwenig aneinander vorbei. Ich bin auch der Ansicht das SSL kein Merkmal sein sollte an dem man die Sicherheit der Webseite festmachen sollte. Und ja die Anzeige von Firefox kann von Laien missverstanden werden.
Ändert aber nix daran, das es z.B. von Winfuture fahrlässig ist den Login nicht mit SSL umzusetzen. Und das leider noch viel zu oft im Web so ist.

Dieser Beitrag wurde von Grenor bearbeitet: 16. März 2017 - 19:17

0

#25 Mitglied ist offline   Wiesel 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.932
  • Beigetreten: 09. Mai 06
  • Reputation: 525
  • Geschlecht:unbekannt
  • Wohnort:Punxsutawney, 742 Evergreen Terrace
  • Interessen:Mein Schneckenhaus

geschrieben 16. März 2017 - 19:45

Offensichtlich hast du nicht verstanden was RalphS geschrieben hat.

Ich melde mich mal Semioffiziell: Das Login ist jetzt genau so sicher (oder unsicher) wie es noch mit deiner vorherigen Version gewesen ist. Wenn du einem Login ohne Alibi-Sicherheit nicht traust, dann log dich nicht ein.
around the world
0

#26 Mitglied ist offline   Grenor 

  • Gruppe: aktive Mitglieder
  • Beiträge: 697
  • Beigetreten: 15. Juni 09
  • Reputation: 79

geschrieben 16. März 2017 - 19:59

@wiesel
Winfuture wird dadurch nicht sicherer für mich oder jemand anders. Das da jemand mitlesen kann, wenn ich nen Post schreibe --> geschenkt. Was ich allerdings nicht so nett finde ist das der Logon Prozess, dieses mitlesen in der Theorie auch ermöglicht. Dieses ermöglicht Identitätsdiebstahl, wenn auch nur in diesem Forum. Das mag jetzt beim Winfuture Forum nicht so extrem furchtbar sein, aber eine Entschuldigung ist das auch nicht.
RalphS hat schon nicht ohne Grund den Logon Prozess bei seiner Argumentation ausgenommen.

Und als kleiner Denkanstoß in Bezug auf Sicherheit missverstehen: Was erwartet Otto Normal Nutzer von einer privaten Nachricht?

Dieser Beitrag wurde von Grenor bearbeitet: 16. März 2017 - 20:15

0

#27 Mitglied ist offline   Ludacris 

  • Gruppe: Moderation
  • Beiträge: 4.666
  • Beigetreten: 28. Mai 06
  • Reputation: 218
  • Geschlecht:Männlich

geschrieben 22. März 2017 - 12:43

Genauso unsicher trifft es am ehesten. Ohne SSL kann jeder der sich in meinem Netzwerk befindet meine Logindaten abfangen - mit SSL geht das nur bedingt und auch nur mit Zertifikatsfehlermeldung.
0

#28 Mitglied ist offline   My1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 25
  • Beigetreten: 23. Februar 17
  • Reputation: 1

geschrieben 11. Juli 2017 - 17:22

ich klemm mich mal hier ein.

ob der Post jetzt n paar monate alt ist ist irrelevant, wenn ich nen neuen post auf machen würde würde ich sicher informiert dass es bereits posts gibt.

RalphS ist nicht ganz falsch dass es nicht ganz richtig ist HTTPS blind zu vertrauen, wir müssen aber bedenken dass

a) Winfuture eine technewsseite ist und hier auch über sicherheit viel informiert wird.

man sollte davon ausgehen, dass diese zumindest mal nen blick auf die domain werfen.

b) winfuture.de schon ein HTTPS Cert hat aber eine Umleitung auf HTTP vornimmt, was mMn das richtige problem ist.
warum holt man sich n https cert wenn man dann ne HTTP weiterleitung macht.

und ganz nebenbei andere technewsseiten die ich lese bspw golem oder heise nutzen HTTPS.
0

#29 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 11. Juli 2017 - 18:43

Ich denke immer noch, daß geringfügig über 0% kapieren, was SSL/TLS überhaupt ist, was Zertifikate tun, und was eine PKI macht.

Das 'knapp über 0%'? Beziehen sich auf diejenigen, die Ahnung haben sollten; nicht auf die Allgemeinheit.

Und ja, das schließt mich natürlich mit ein. Zertifikate sind ein sehr komplexes Thema.


Ja, man könnte WF über SSL ausliefern.

Problem an der Sache: Damit das was *taugt*, damit man davon was HAT als Betreiber wie als Benutzer, dann kostet das Geld und davon ein größeres Stückchen.

Nein, Letsencrypt ist KEINE Alternative. Keine Schranken vorhanden und jeder, der Zugriff auf eine Domain hat, rkriegt ein Zertifikat.

Nein, Zertifikate, die für den Hoster ausgestellt wurden, sind ebenfalls keine Alternative. Das Zertifikate soll MICH identifizieren; nicht meinen Webanbieter. Oh der ist pleite in einem halben Jahr. Tschaaaa dann hab ich wohl jetzt ein neues Zertifikat, welches sich nicht aus dem alten ergibt...

NEIN hab ich eben NICHT, weil woher will dann der Besucher wissen, daß ich das immer noch bin! Und vor allem daß ICH das bin und nicht "eins der fünfervierteltausend Kunden von ISP-der-Wahl.de"!


Was bleibt sind, wie aber glaub ich schon dargelegt (ggf anderswo hier im Forum), erstaunlich hohe Kosten für erstaunlich wenig Nutzen, wobei außerdem das Plus an Kosten... irgendwie gedeckt werden muß.

Noch mehr Werbung? Oder sowas wie "Winfuture Pro"? CB kann das machen denk ich, aber bei WF glaub ich stirbt so eine Option an akuter Nichtnutzung.


Ich hab für mich die LE-Stammzertifizierungsstelle als Untrusted deklariert. Nun warnt mich meine AV-Software immer mal.

Lieber hol ich mir meine Info via HTTP.

Dieser Beitrag wurde von RalphS bearbeitet: 11. Juli 2017 - 18:46

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#30 Mitglied ist offline   My1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 25
  • Beigetreten: 23. Februar 17
  • Reputation: 1

geschrieben 11. Juli 2017 - 19:04

Ja certs sind komplex und leider wissen zu wenig bescheid, aber man kann bspw auf der loginseite nen hinweis anbringen, dass der user bitte die domain prüft oder so

dass EVs sehr teuer sind und so ist klar. Es gibt aber ein weiteres Problem. Privapersonen können kein EV bekommen. und ich rede nicht vom geld her. selbst Bill Gates würde als Privatperson kein EV bekommen können. Unternehmen, Organisationen etc. können dies, sowas müsste behoben werden.

und bzgl DVs und Letsencrypt.
wenn du LE absägst müsstest du eigentlich auch jede andere CA die DVs anbietet absägen, das dürfte nen ganzen stapel seiten absägen.

dazu kommt, dass egal ob WF HTTPS hat oder nicht, andere seiten mit fakedomains sich trotzdem HTTPS holen könnenund somit "sicherer" aussehen als WF selbst, wenn man nicht auf die domain schaut und so.

und während FF und chrome durch die Grünfärbung der schlösser bzw das "sicher" das ganze weiter verschwimmen lassen, ging der edge den richtigen weg und hat bei DVs eben das schloss grau gemacht.

grundsätzlich ist DV als ein basisschutz ganz gut, vor allem da jeder der klug genug ist, die domain zu prüfen, davon ausschließlich profitiert und es keine großen nachteile gibt.

und es geht ja nicht nur im das inews lesen.

wenn ich mich einlogge, habe ich keinen bock dass jemand mein PW mitliest und wenn ich comments oder forenposts schreibe, habe ich auch keinen bock darauf dass jemand diese manipuliert um bspw rufschädigung oder so durchzuführen.
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0