[Doodle]

Seit dem letzten Update für Firefox bekomme ich diese Meldung.

Was ist da los?

[Langi]

Das wird scheinbar auf allen Seiten ohne https angezeigt, bei denen man Zugangsdaten eingeben muss.

Unter anderem auch bei Zugriff auf meine FritzBox.

[Holger_N]

Der neue Feuerfuchs ist mehr so Angsthase.

[RalphS]

Browser-basierter Populismus. Jetzt haben wir alles gehört.

Völlig ironiefrei: HTTP-Transport für Login-Daten ist zumindest insoweit sicherer als HTTPs-Transport für selbige, daß man bei HTTP *weiß* daß mitgelesen werden kann.

Jeder Honk kann heutzutage ein SSL-Zertifikat generieren. Dann kann ein anderer vielleicht nicht mitlesen...

... aber wenn ich jetzt auf eine Website wie winfuuture-forum.de gehe (note the double U in there) und da mein Benutzernamen und PW eingebe, ja dann ist das natürlich komplett sicher wenn das HTTPs-transportiert war, und Firefox sagt dann ja auch, daß alles gut sei.

[Gispelmob]

Es ist schon richtig so. Login Daten über eine komplett/in Teilen unverschlüsselte Webseite (http) zu senden werden schon jahrelang als nicht sicher angesehen. Firefox hat jetzt endlich mal reagiert und zeigt das auch an. Gesperrt ist diese aber nicht. Mit Let's encrypt sollte es doch möglich sein https kostengünstig aufzusetzen. Gibt aber auch noch ein paar andere Seiten mit login bei denen kein https aktiv ist. Die Zeit wird es richten.

Dieser Beitrag wurde von Gispelmob bearbeitet: 15. März 2017 - 07:30

[RalphS]

Vorgetäuschte Sicherheit ist nicht dasselbe wie tatsächliche Sicherheit.

[Holger_N]

Ist doch jetzt eigentlich dieselbe Diskussion wie diese hier:


HTTPS für WinFuture


nur das kein User, sondern Firefox diesmal mäkelt.

[Ludacris]

Alles in allem kann man auf jeden Fall sagen, heute kein SSL zu verwenden ist lächerlich. Es gibt absolut kein Argument außer der Faulheit des Serveradmins, das FÜR unverschlüsselte Verbindungen spricht - Kosten gibt es auch keine mehr, da man, wenn man denn kein Geld ausgeben will, immer noch Let's Encrypt verwenden kann.

Edit: Nochetwas zum Thema: Auch Chrome warnt vor unverschlüsselten Logins. Siehe zb. hier: http://winfuture.de/news,93925.html

[Holger_N]

Wobei es ja keine Rolle spielt, ob es Argumente für und/oder gegen SSL gibt. Ich kriege als Besucher die Meldung des Browsers und muß dann entscheiden, besuche ich die Seite trotzdem oder nicht. Um mehr geht es ja für mich in dem Moment nicht.

Dieser Beitrag wurde von Holger_N bearbeitet: 15. März 2017 - 10:57

[Grenor]

Zitat (RalphS: 15. März 2017 - 05:00)

Browser-basierter Populismus. Jetzt haben wir alles gehört.

Völlig ironiefrei: HTTP-Transport für Login-Daten ist zumindest insoweit sicherer als HTTPs-Transport für selbige, daß man bei HTTP *weiß* daß mitgelesen werden kann.

Jeder Honk kann heutzutage ein SSL-Zertifikat generieren. Dann kann ein anderer vielleicht nicht mitlesen...

... aber wenn ich jetzt auf eine Website wie winfuuture-forum.de gehe (note the double U in there) und da mein Benutzernamen und PW eingebe, ja dann ist das natürlich komplett sicher wenn das HTTPs-transportiert war, und Firefox sagt dann ja auch, daß alles gut sei.

SSL mag nicht die Sicherheit vorm Herrn sein, aber das ist wie zu argumentieren, laß die Tür unverschlossen, dann weißt du das jeder rein kann. Wenn du sie verschließt denkst du nur das keiner rein kann. Tatsächlich könnte jemand nen Nachschlüssel haben oder die Tür aufbrechen. In einem Fall bist du dir also deiner Situation sicher und im anderen Fall nicht.
Oder nutzt als Password 1234. Dann weißt du auch das jeder rein kann in deinen Account. Bei einem andern Passwort hast du nur die scheinbare Sicherheit das niemand rein kann. Das hilft dir also auch nicht.

SSL sollte genutzt werden, auch wenn es keine absolute Sicherheit bietet.

Natürlich bedeutet das noch immer nicht das jede Seite die SSL nutzt als seriöse Seite gelten kann. Weil SSL hat ja wenig mit dem Inhalt zu tun. Aber der Transport der Daten ist sicherer.

Dieser Beitrag wurde von Grenor bearbeitet: 15. März 2017 - 12:21

[Holger_N]

Der Vergleich mit den Türen geht nicht so ganz, denn wenn man eine Seite über http UND https aufrufen kann, dann ist das ja wie zwei Türen zum selben Raum. Eine ist unverschlossen und die andere ist verschlossen, aber der Schlüssel steckt und der Besucher kann sich aussuchen, welche Tür er nimmt.

Passt aber nicht so ganz mit dem Schlüssel. Eher wäre es so, dass es zwei Eingänge gibt, wo man nur mit Namen und persönlicher Parole reinkommt und einer davon ist schalldicht abgesichert, dass man nicht lauschen kann.

[Grenor]

Und sollte man dann nicht den nicht so lauschanfälligen Eingang nehmen?

Wobei ich persönlich nicht für eine Mischlösung wäre, zumindest was den Einlogbereich angeht.

[Ludacris]

Darum sollte man ja auch kompett auf HTTPS umsteigen und einen einfachen redirect in der .htaccess machen.

[RalphS]

Das Problem ist doch ein völlig anderes.

Es gibt Leute, die haben Ahnung von Computern und von Netzwerksicherung und was SSL/TLS da macht.

Und es gibt Leute, die tun das nicht.

Letztere sind überwiegend in der Mehrheit.

Was meint ihr wohl was passiert wenn Mails reinkommen mit Links drin von wegen "Geben Sie hier alles ihren TANs ein, "https://sparkasse.de.vu/" .

Natürlich kann man da dann eine TANs alle eingeben. Ist HTTPs. Also sicher.


LE unterwandert das gesamte Konzept von SSL. ... Aber, meh, wem sag ich das, HTTPs ist natürlich das einzig wahre, alles andere gehört abgeschafft, ich mein nicht daß irgendwer ne Ahnung hätte was SSL/TLS tut aber seis drum, wir brauchen es da alternativlos.

Aber bitte nicht mit dem Rumheulen anfangen wenn in paar Jahren Artikel bei Chip.de und Co auftauchen, die dann rot und fünfeinhalbmal unterstrichen erklären, was KRAs sind.

[Doodle]

SSL ... https ... ist ja alles schön und gut und richtig. Allerdings weiß ich auch nicht so recht, was mein Firefox jetzt wirklich sagen will (ausser dass alles irgendwie nie ganz sicher ist ...).

Aber ein offizielles Statement von WinFuture würde jetzt vielleicht vielen helfen, die diese Meldung bekommen.