MODDING-FAQ FORUM

Sonstiges => Lob, Kritik & Anregungen => Thema gestartet von: SLXViper am Januar 8, 2008, 13:29:13



Titel: SSL-Verschlüsselung
Beitrag von: SLXViper am Januar 8, 2008, 13:29:13
Wäre eine SSL-Verschlüsselung, zumindest für die sensiblen Bereiche, wie Login, Profileinstellungen, etc., möglich?

Gerade wenn man (legal natürlich!!) über fremde Netzwerke (bspw. Schule/Uni/... oder Tor) unterwegs ist, hat man ja keine Kontrolle, was mit den Daten bei der Übertragung passiert (v.a. Sniffing), was beim Passwort ja nicht gerade so optimal ist. Außerdem würden so auch andere Abhörmaßnahmen (von welcher Stelle auch immer) und auch Filter/Zensurmaßnahmen recht effektiv geblockt...


Titel: Re: SSL-Verschlüsselung
Beitrag von: Fabeulous am Januar 8, 2008, 16:15:14
Also auch wenn ich damit ja garnichts zu tun habe:
Ich glaube für so ein SSL zertifikat muss man geld bezahlen. Ich bin mir nicht sicher aber ich meine mich an sowas erinnern zu können.

Und ich fände das natürlich auch toll wenn wir sowas hätten aber ich weis nicht ob wir das brauchen. Ich selber finde das Forum natürlich Toll und ich würde auch nicht wollen das mein pw gehackt wird aber ich bezweifel auch ganz stark das es irgendwelche Hacker gibt die sich für unsere Login daten interessieren. Denn wirklich viel kann man damit ja nicht machen! :P

Aber trotzdem von mir aus her damit! :P


Titel: Re: SSL-Verschlüsselung
Beitrag von: Arcon am Januar 8, 2008, 16:45:02
jo, einige oder besser viele wollen für nen SSL zertifikat 15€ im jahr haben.
Seit in paar jahren bekommt man aber auch schon welche kostenlos, z.b. unter http://cert.startcom.org/?lang=de&app=100
vieleicht wer das ja was.


Titel: Re: SSL-Verschlüsselung
Beitrag von: Falzo am Januar 8, 2008, 17:59:11
sorry, aber das ist alles ziemlich großer quark.

zunächst mal zum thema zertifikate. zertifikate kann sich zunächst mal jeder beliebig selber ausstellen, das könnte ich also selbstverständlich auch für MF und das Forum tun.

das was an einem Zertifikat dann Geld kostet ist der Service dieses Zertifikat von einer bekannten oder anerkannten Stelle / Instanz verifzieren zu lassen, damit der Browser eben automatisch erkennt, das hinter dem zertifikat tatsaechlich ich als Person stecke wie es in dem zertifikat auch drin steht - sonst kann man dann ja alles moegliche reinschreiben, ohne weitere Konsequenzen ausser ner sicherheitswarnung die der browser ausgibt.

das ganze hat nun mit ssl an sich wieder nur soviel zu tun, als das man _irgendein_ zertifikat fuer die domain benötigt für die man verschluesselung benutzen will. ob das ein selbstausgestelltes ist oder nicht spielt dafuer keine geige, jeder surfende user kann ja selber bei der sicherheitsmeldung anklicken was er machen will ;-)

im uebrigen werden zertifkate sehr schnell sehr teuer, wenn es darum geht, auf welche weise die person verifiziert wird (rein per email, oder ueber postident mit ausweis und derlei geschichten), und wie anerkannt das verifizierende institut (also der Anbieter) selber ist.
darüber hinaus brauch man bei mehreren domains unter Umständen auch mehrere Zertifikate oder ein multi-domain-zertifikat was dann wenn man es verifzieren laesst echt ins geld geht.

wie gesagt hat das alles mit der nutzung von ssl fuer die verschluesselung an sich nur peripher zu tun. womit sich die Frage stellt, wofür eine verschlüsselte Verbindung zum surfen im Forum wirklich sinnvoll sein soll.
Sowas macht Sinn, um zu verhindern das jemand der den Datenverkehr mitsnifft an wichtige daten kommt, das ist richtig.
Nur welche Daten sind hier wichtig oder schuetzenswert? das forum ist oeffentlich, eure beiträge kann also sowieso jeder lesen der mag. eure profile koennt ihr selber gestalten und entscheiden was ihr da eingebt oder nicht und jeder registrierte user kann diese profile sowieso einsehen.
Reine User-Passwörter sind für nix zu gebrauchen, ausser unter falschem Namen zu posten, was wohl sehr schnell auffaellt - ich nehme mal nicht an, das dein forums-passwort auch deine banking-pin ist, oder?  ;D

Darüberhinaus ist das mitsniffen an sich ja nicht ohne weiteres moeglich, oder zumindest nicht trivial, für einen Nutzen der gegen Null geht, wird sich keiner die Mühe machen. In oeffentlichen Einrichtungen oder Internetcafes stellen keylogger da eine viel größere gefahr dar, die uebrigens inzwischen stark auch auf heimische PC überschwappt, aber das ist ein anderes thema - dagegen hilft auch kein Zertifikat.

du willst aus Paranoia (vor was sei mal dahingestellt) Tor benutzen, aber vertraust den Anbietern ebenfalls nicht? da musst Du Dich wohl entscheiden, vor wem du mehr Angst hast :-)
und was soll man hier abhören oder zensieren wollen, die zensur hier bin ich.

also insgesamt erzeugt das unnötige last aufm server und arbeitsaufwand um das alles einzurichten, selbst wenn man ein kostenloses zertifikat dafuer hernimmt. und alles nur um die heimische paranoia zu pflegen?

anders ausgedrueckt: wenn du bei der registrierung deine bankverbindung mit einzugsermächtigung angibst, damit wir einen monatsbeitrag erheben können, bekommst du auch ssl ;-)


Titel: Re: SSL-Verschlüsselung
Beitrag von: SLXViper am Januar 8, 2008, 18:42:34
War ja nur mal so 'ne Idee, da mittlerweile auf vielen Seite zumindest der Login per SSL geschützt wird.
Ich hatte erst einen Fall in nem kleinen Forum, wo mal einer zufällig an Login/Passwort von nem Mitglied gekommen ist (war da wohl über WLAN, der hatte das noch nicht gesichert) und dann erstmal gespammt hat (Jeah, Ich bin so ein toller 1337 HaxXx0r, etc; klickt mal hier drauf; Ihr seid ja so dumm;...), bis der Zugang erstmal stillgelegt wurde. Daher bin ich dadrauf gekommen...

[Paranoia] Und meine Bankverbindung kriegst du nicht, dann könntest du ja rauskriegen wer ich bin und außerdem würdest du dann als erstes mein Konto leerräumen *Panik!!!* [/Paranoia] :D :D :D

Da sich das erledigt hat, mach ich dann mal hier zu.


Titel: Re: SSL-Verschlüsselung
Beitrag von: Falzo am Januar 8, 2008, 21:55:03
noch ein Nachsatz: natuerlich ist nicht auszuschliessen, das sowas mal passiert, und generell spricht nichts gegen ein gesundes Sicherheitsempfinden - aber trotzdem halte ich das eher für ne aktuell aufkommende Mode in vielen Bereichen mit Verschlüsselung, Anonymisierung und Obfuskation rumzuwursteln.
Weils schick ist, muss man das dann haben oder so, ob das Sinn macht oder nicht wird nicht wirklich hinterfragt, dafür müsste man sich ja damit auseinandersetzen, was das ueberhaupt macht.
Personal Firewalls waren auch mal son Mode-Thema, viele die sowas uuunbedingt brauchten, waren damit heillos überfordert und ich denke ein Großteil der User wäre das mit ner aufpoppenden Sicherheitswarnung vonnem einfach nur abgelaufenen oder selbstausgestellten Zertifikat womöglich auch...
also.. nicht boes gemeint nur meine zugegeben recht enggefasste meinung in diesem bereich ,-)


© 2001-2009 MODDING-FAQ FORUM | SMF
Alle Rechte vorbehalten.