Forum mit https

heubergen

Hallo Admins

Durch die massive Sicherheitslücke mit OpenSSL in den letzten Tagen war ich bei euch auf der Suche nach https... und fand nichts. Es müsste ja nicht das ganze Forum verschlüsselt werden, der login-Bereich würde ja reichen. (https://www.camp-firefox.de/forum/ucp.php?mode=login) Auch müsste kein Zertifikat gekauft werden. Ein CACert oder ein selbst signiertes würde ja reichen. Es geht ja nicht um die Sicherstellung, dass die Seite echt ist, sondern darum dass der Login-Verlauf verschlüsselt ist. Auch wäre ein erzwungenes https nicht notwendig, diejenigen die es wissen nutzen es und alle anderen nicht.

Im Unwahrscheinlichen Fall dass die Admins nicht wissen wie, könnte auch die bei CACert alles soweit vorbereiten wenns an dem liegt.

hurda

Dass das CAcert-Zertifikat in keinem Browser von Haus aus drin ist, das weißt du, ja?

heubergen

Ist mir klar, aber jene Leute (wie ich) die das Root Zertifikat von Hand installiert haben würden keine Fehlermeldung erhalten. Mit der anderen gratis Möglichkeit also einem selbst zertifizierten sehen alle die Fehlermeldung.

Sören Hentzschel

Zitat von heubergen

Auch wäre ein erzwungenes https nicht notwendig, diejenigen die es wissen nutzen es und alle anderen nicht.

Doch, schon. Man muss die Seiten entweder auf http oder https zwingen. Sobald du eine Seite sowohl als auch erreichbar machst, hast du Duplicate Content und das führt zu Abstrafungen bei Google.

heubergen

achso, na dann ist es wohl nicht so praktisch.

Könnte man nicht zwei Seiten machen z.B. https://www.camp-firefox.de/forum/ucp.php?mode=login und https://www.camp-firefox.de/forum/ucp.php?mode=loginsafe? Das wären dann zwei URLs

Sören Hentzschel

Man könnte auch nur für die Login-Seite https erzwingen und für alle anderen Seiten http. Alles über https wäre nicht so optimal, da das höhere Ladezeiten bedeuten und für den regulären Forenbetrieb keinerlei Mehrwert bieten würde.

Mithrandir

Zitat von Sören Hentzschel

Sobald du eine Seite sowohl als auch erreichbar machst, hast du Duplicate Content und das führt zu Abstrafungen bei Google.

Dafür bzw. dagegen könnte man ja einen canonical link definieren. Also im head-Bereich:

Code

<link rel="canonical" href="http://www.camp-firefox.de/..." />

heubergen

Sören Hentzschel:
Also ist dir die Performance des Forums bzw. einer einziger Seite wichtiger als die Sicherheit unserer Daten?

Boersenfeger

.. das ist doch Kackophonie... ändere deine Passwörter und gut ist... :roll:

Fox2Fox

[Blockierte Grafik: http://s29.postimg.org/vnoojutj7/image.jpg]

Boersenfeger

:mrgreen:
Ich lach mich weg..... mein englischer Fuchs möchte auch nicht auf deine Webseite.... was läuft denn da schief?

2002Andreas

Zitat von heubergen

wichtiger als die Sicherheit unserer Daten?

Welche Daten außer deinem Passwort sollen das denn sein? Und was sollte jemand mit deinem Passwort für das Forum anfangen?

heubergen

Fox2Fox und Boersenfeger:
Ich verwende ein SSL-Zertifkat von CACert, da das entsprechende Root-Zertifikat nicht standardmässig installiert ist, kommt die Fehlermeldung. Ich hab aber inzwischen die Zwangsumleitung auf https deaktiviert. Surft ihr also jetzt auf meine Seite, kommt die Meldung nicht mehr.

2002Andreas:
Ich verwende überall das gleiche PW, also auch hier.

Pseiko

:shock:

Irgendwie muss ich gerade an dieses Bild denken:
http://i60.tinypic.com/bfrtee.png

Ein Passwort für alles in Kombination mit

Zitat

Also ist dir die Performance des Forums bzw. einer einziger Seite wichtiger als die Sicherheit unserer Daten?

ist schon "eher schräg"

Sören Hentzschel

Zitat von Mithrandir
Dafür bzw. dagegen könnte man ja einen canonical link definieren. Also im head-Bereich:
Code
<link rel="canonical" href="http://www.camp-firefox.de/..." />

Stimmt, da hast du natürlich Recht!

Zitat von heubergen

Sören Hentzschel:
Also ist dir die Performance des Forums bzw. einer einziger Seite wichtiger als die Sicherheit unserer Daten?

HTTPS hat auf fast allen anderen als der Login-Seite des Forums nichts mit Sicherheit zu tun.

Zitat von heubergen

Ich verwende überall das gleiche PW, also auch hier.

Dann solltest du erst einmal hier ansetzen, das ist das viel größere Sicherheitsrisiko.

Boersenfeger

Zitat von heubergen

Ich verwende überall das gleiche PW, also auch hier.

:shock: und dann hier den Lauten machen und was von Sicherheit der Daten winseln? Troll dich... :twisted:

heubergen

Zitat von Sören Hentzschel

HTTPS hat auf fast allen anderen als der Login-Seite des Forums nichts mit Sicherheit zu tun.

Ich wünsche ja https auch nur auf der Login-Seite: )

rugk

Wie sieht es jetzt mit HTTPS aus?
Hat sich die Einstellung zu HTTPS hat sich jetzt mit der Zeit geändert?

(Und übrigens ich wünsche HTTPS nicht nur für die Login-Seite, sondern natürlich für das ganze Forum)

Und um noch eine alte Aussage zu widerlegen:

Zitat von Sören Hentzschel

HTTPS hat auf fast allen anderen als der Login-Seite des Forums nichts mit Sicherheit zu tun.

Doch. Wenn der Angreifer nicht das Passwort abfangen kann, dann nimmt er eben den Session-Cookie.

Doch bevor ich hier weitere Argumente bringe, frage ich erst einmal in die Runde ob die Meinung dazu denn inzwischen anders ist.

rugk

Okay, nur noch ein kleiner Link: http://www.heise.de/newsticker/mel…en-2631303.html

Also Mozilla/Firefox-Forum - sollte man da nicht auch mit gutem Beispiel voranschreiten?

Sören Hentzschel

Selbst wenn ein Angreifer an das Session-Cookie gelangen kann, das alleine ist nicht ausreichend. Es finden seitens der Software zusätzliche Validierungen statt.

Der verlinkte Artikel hat mit der Anfrage nichts zu tun, nichts in dem Artikel betrifft die Forensoftware.

Solange der geplante Serverumzug nicht durchgeführt ist, kann außerdem sowieso nichts Neues zum Thema HTTPS gesagt werden.