Hilfe
Neues Thema
Antworten
Hallo,
da ich keine Cookies verwende, muss ich bei jedem Beitrag mein Passwort erneut eingeben. Wäre es da aus Sicherheitsgründen nicht vorteilhaft, wenn man bei dem Forum die Möglichkeit einrichtet, per https zuzugreifen?
Seite 1 von 1
Ssl Für Www.winfuture-forum.de?
#1
AlienSearcher 
geschrieben 22. Januar 2005 - 16:18
Nach oben
#2
mo
- Gruppe: aktive Mitglieder
- Beiträge: 1.796
- Beigetreten: 17. Juni 02
- Reputation: 0
- Wohnort:Ulm / BaWü
geschrieben 22. Januar 2005 - 17:21
Finds` sehr schade, dass du keine kekse verwenden möchtest. Mich würd brennend interessieren warum!
Ja wäre es, aber eines vorweg:
Kekse werden auch bei jedem Seitenabruf im HTTP-Header übergeben! Wer eine HTTP-Verbindung eines eingeloggten Besuchers auf WinFuture-forum.de belauscht, kann bei *jedem* Seitenabruf Benutzername und Passwort auslesen. Das Passwort wird glaube ich in MD5-gehashter Form gespeichert, ist aber dennoch trivial, sich mit diesen Daten selber einzuloggen.
In anderen Worten: nicht nur beim Einloggen wird Benutzername+Passwort übergeben, sondern auch bei jedem Seitenabruf. Ein Seitenabruf ist zB der Besuch eines Topics, das schreiben einer Antwort , das aktualisieren der Seite etc.
https (manchmal auch http over ssl, oder eine ssl geschützte Verbindung genannt, is aber alles das Selbe) wäre die Ideale Lösung. Mit einem von einer anerkannten Zertifizierungsstelle (Certification Authority, CA) ausgestellten Zertifikat könnte der Besucher:
a) sicherstellen, dass die Daten *wirklich* von winfuture-forum.de kommen und nicht von einem Bösewicht eingeschleußt wurden
b) alle übertragenen Daten verschlüsseln
Nachteile:
1.) Ein Zertifikat, das vom Browser als gültig erkannt wird, muss von einer Zertifizierungsstelle (CA) augestellt werden, der der Browser vertraut. Wieviel das kostet weis ich nicht, aber würd sich denk ich finanzieren lassen.
Jetzt kommt aber der richtige Nachteil:
2.) HTTPS bzw. SSL ist *lahm*. Jub, damit wär unser Forenserver ganz schnell weg. Eine Komplettumstellung auf HTTPS ist also mit den gegebenen Servern gar nicht möglich.
Alternativen?
Unser Downloadserver hängt im selben lokalen Netz wer Foren,Datenbank und Webserver. Der DL-Server hat relativ viel Rechenzeit über (dafür aber hohe Festplattenzugriffe, was in diesem Falle aber nicht so störend wäre). Testweise hab ich dort schon die Forensoftware installiert und via https zugänglich gemacht. Funktioniert mehr oder weniger .. mit einem Tag arbeit könnte man das ordentlich zum Laufen bekommen.
Bitte schreibt in diesen Thread, ob wirklich interesse besteht. Nur für einen einzelnen Besucher kann ich nicht so viel Zeit reinstecken - sry.
Das wäre dann aber vorerst ein Testprojekt, wenn die anderen Services die auf dem Rechner rennen dadurch stark in mitleidenschaft gezogen werden, wird es wieder abgeschalten!
Nur für Klugscheisser, alle anderen diesen Abschnitt bitte überspringen:
Wenn alles so klappt wie ich es mir vorstell, brauch ich keine Stunde, das Forum richtig zum Laufen zu bekommen, aber es klappt *NIE* alles Ideal. Ausserdem müssen sehr viele Eventualitäten getestet werden. Die meiste Arbeit wird es, die Anlagen (Attachments) in beiden Foren zu verwenden, da diese als Dateien gespeichert werden. Es gibt extensions für das Forum, die die Attachments via ftp spiegeln/auslagern können. Der Aufwand, das zum Laufen zu bekommen oder etwas eigenes zu schreiben, lässt sich einfach nicht abgrenzen. Ein Netzwerk Filesystem möchte ich aus Performancegründen nicht einsetzen. Lokale Dateizugriffe sind deutlich schneller als die über ein Netzwerk. (das hat nichts mit der Geschwindigkeit des Netzwerks zu tun, sondern viel mehr damit, dass statt die Datei über den Festplattenkontroller auszulesen erst via Netzwerk über einen Network Filesystemdaemon wie zB nfsd die Daten angefordert werden müssen, der dann wiederum erst den Festplattenkontroller nach den Daten frägt)
Zitat
Wäre es da aus Sicherheitsgründen nicht vorteilhaft, wenn man bei dem Forum die Möglichkeit einrichtet, per https zuzugreifen?
Ja wäre es, aber eines vorweg:
Kekse werden auch bei jedem Seitenabruf im HTTP-Header übergeben! Wer eine HTTP-Verbindung eines eingeloggten Besuchers auf WinFuture-forum.de belauscht, kann bei *jedem* Seitenabruf Benutzername und Passwort auslesen. Das Passwort wird glaube ich in MD5-gehashter Form gespeichert, ist aber dennoch trivial, sich mit diesen Daten selber einzuloggen.
In anderen Worten: nicht nur beim Einloggen wird Benutzername+Passwort übergeben, sondern auch bei jedem Seitenabruf. Ein Seitenabruf ist zB der Besuch eines Topics, das schreiben einer Antwort , das aktualisieren der Seite etc.
https (manchmal auch http over ssl, oder eine ssl geschützte Verbindung genannt, is aber alles das Selbe) wäre die Ideale Lösung. Mit einem von einer anerkannten Zertifizierungsstelle (Certification Authority, CA) ausgestellten Zertifikat könnte der Besucher:
a) sicherstellen, dass die Daten *wirklich* von winfuture-forum.de kommen und nicht von einem Bösewicht eingeschleußt wurden
b) alle übertragenen Daten verschlüsseln
Nachteile:
1.) Ein Zertifikat, das vom Browser als gültig erkannt wird, muss von einer Zertifizierungsstelle (CA) augestellt werden, der der Browser vertraut. Wieviel das kostet weis ich nicht, aber würd sich denk ich finanzieren lassen.
Jetzt kommt aber der richtige Nachteil:
2.) HTTPS bzw. SSL ist *lahm*. Jub, damit wär unser Forenserver ganz schnell weg. Eine Komplettumstellung auf HTTPS ist also mit den gegebenen Servern gar nicht möglich.
Alternativen?
Unser Downloadserver hängt im selben lokalen Netz wer Foren,Datenbank und Webserver. Der DL-Server hat relativ viel Rechenzeit über (dafür aber hohe Festplattenzugriffe, was in diesem Falle aber nicht so störend wäre). Testweise hab ich dort schon die Forensoftware installiert und via https zugänglich gemacht. Funktioniert mehr oder weniger .. mit einem Tag arbeit könnte man das ordentlich zum Laufen bekommen.
Bitte schreibt in diesen Thread, ob wirklich interesse besteht. Nur für einen einzelnen Besucher kann ich nicht so viel Zeit reinstecken - sry.
Das wäre dann aber vorerst ein Testprojekt, wenn die anderen Services die auf dem Rechner rennen dadurch stark in mitleidenschaft gezogen werden, wird es wieder abgeschalten!
Nur für Klugscheisser, alle anderen diesen Abschnitt bitte überspringen:
Wenn alles so klappt wie ich es mir vorstell, brauch ich keine Stunde, das Forum richtig zum Laufen zu bekommen, aber es klappt *NIE* alles Ideal. Ausserdem müssen sehr viele Eventualitäten getestet werden. Die meiste Arbeit wird es, die Anlagen (Attachments) in beiden Foren zu verwenden, da diese als Dateien gespeichert werden. Es gibt extensions für das Forum, die die Attachments via ftp spiegeln/auslagern können. Der Aufwand, das zum Laufen zu bekommen oder etwas eigenes zu schreiben, lässt sich einfach nicht abgrenzen. Ein Netzwerk Filesystem möchte ich aus Performancegründen nicht einsetzen. Lokale Dateizugriffe sind deutlich schneller als die über ein Netzwerk. (das hat nichts mit der Geschwindigkeit des Netzwerks zu tun, sondern viel mehr damit, dass statt die Datei über den Festplattenkontroller auszulesen erst via Netzwerk über einen Network Filesystemdaemon wie zB nfsd die Daten angefordert werden müssen, der dann wiederum erst den Festplattenkontroller nach den Daten frägt)
Dieser Beitrag wurde von mo bearbeitet: 22. Januar 2005 - 17:25
I'm mó. mo's good twin.
#3
AlienSearcher
geschrieben 22. Januar 2005 - 17:45
Ich verwende keine Cookies, weil ich sie außer für das Winfuture Forum eh nicht gebrauchen könnte 
Und wenn ich hier Cookies verwende, bin ich schlichtweg zu faul, um mich jedes mal auszuloggen. Wenn ich mich aber nicht auslogge, werden beim nächsten Aufruf manche Sachen einfach falsch dargstestellt (letzer Besuch, neue Beiträge, usw). Sind also keine technischen Gründe, sondern rein aus Faulheit 
Dass der Username und das Passwort bei jedem Seitenaufruf übertragen wird, war mir jetzt neu, danke für die Info
Gegen SSL hätte ich natürlich nichts einzuwenden, nur müsste das natürlich auch machbar sein und die Nachfrage vorhanden sein... wie du schon gesagt hast, lohnt sich das wegen einem User wirklich nicht
Und wenn ich hier Cookies verwende, bin ich schlichtweg zu faul, um mich jedes mal auszuloggen. Wenn ich mich aber nicht auslogge, werden beim nächsten Aufruf manche Sachen einfach falsch dargstestellt (letzer Besuch, neue Beiträge, usw). Sind also keine technischen Gründe, sondern rein aus Faulheit Dass der Username und das Passwort bei jedem Seitenaufruf übertragen wird, war mir jetzt neu, danke für die Info
Gegen SSL hätte ich natürlich nichts einzuwenden, nur müsste das natürlich auch machbar sein und die Nachfrage vorhanden sein... wie du schon gesagt hast, lohnt sich das wegen einem User wirklich nicht
Thema verteilen:
Seite 1 von 1