SSL / HTTPS

Habt ihr Wünsche oder sonstige Vorschläge?
Immer her damit!
Chrome
interessiert
interessiert
Beiträge: 48
Registriert: 22. Februar 2017, 18:55
Wohnort: München

SSL / HTTPS

Beitragvon Chrome » 23. Februar 2017, 12:57

Hallo darf ich darauf hinweisen, dass leider kein Https möglich ist?
Leider ist bei einer Verbindung welche nur über http verfügt keinerlei Verschlüsselung gegeben. Somit werden alle Daten direkt lesbar gesendet und sind so für jeden mit etwas Kenntnisse local einsehbar. Dies auf hinblick auf den Login ist doch etwas schlecht (viele Leute benutzen für alle Website das selbe PW) sowie dass z. B. auf der Arbeit jede Übertragung in Klartext auf den Servern gespeichert werden kann.
Ich weiß jetzt nicht, welchen Serveranbieder ihr habt und ob es möglich ist SSL-Certificate zu installieren, aber wenn ja, gibt es einige kostenlose(natürlich dann auch nicht die besten) Anbieder, bei denen man sich eins erstellen kann.
Aber zumindest würdet ihr einiges an Sicherheit gewinnen und ohne also großen Arbeitsaufwand.

Viele Grüße und Danke für die tolle Seite :klatschen:

Benutzeravatar
Admin
Administrator
Administrator
Beiträge: 523
Registriert: 21. Februar 2012, 13:43
Wohnort: SPS-Burg

Re: SSL / HTTPS

Beitragvon Admin » 19. März 2017, 22:10

Hallo,

der Beitrag ist zwar schon älter, aber die Antwort von Orinoco bezieht sich auch hierauf und deshalb verlinke ich seinen Beitrag zu den Verschlüsselungen:

http://www.schizoide-forum.de/viewtopic.php?p=28091#p28091

Beste Grüße,
Admin

Chrome
interessiert
interessiert
Beiträge: 48
Registriert: 22. Februar 2017, 18:55
Wohnort: München

Re: SSL / HTTPS

Beitragvon Chrome » 20. März 2017, 05:05

Hallo,

Danke erstmals für deine Antwort Admin.

Dass sowohl auf meinen PC als auch auf den Server meine Daten in Plain Text vorliegen ist klar (auch wenn ich hoffe dass sie nicht so gespeichert werden :D ) mir geht es allerdings hauptsächlich um die Übertragung zwischen den beiden Endpoints, welche z. Z. auch im Klartext erfolgt. Ob bzw. inwieweit das Zertifikat als vertrauenswürdig eingestuft wird finde ich hier erstmals als zweitrangig.
Es wäre mir lediglich wichtig, dass z. B. mein Arbeitgeber/Vermieder/... nicht mitschneiden kann, was ich hier poste. Von den Geheimdiensten möchte ich erst gar nicht anfangen, da das wie ihr Orinoco bereits erwähnt hat ein hoffnungsloses Unterfangen ist.

Viele Grüße
Chrome

Benutzeravatar
orinoco
Administrator
Administrator
Beiträge: 934
Registriert: 14. Februar 2015, 14:50
SPS: Ja
Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD

Re: SSL / HTTPS

Beitragvon orinoco » 20. März 2017, 11:03

Also wie schon gesagt: SSL ist an sich kein Problem. Wenn es weiter nichts ist, das läuft schon auf dem Server und ich muss nur die Serverkonfiguration kopieren und einen neuen Schlüssel ausstellen.
Hab ich schon mal exemplarisch gemacht. Wen die "Fehler"meldungen des Browsers nicht stören.
Müssen übrigens schon ziemlich ausgefuchste Arbeitgeber/Vermieter sein, die eine http-Verbindung mittendrin anzapfen können, da die Daten zwar nicht verschlüsselt, aber zumindest doch encodiert und komprimiert werden. Da ist es wesentlich einfacher sich direkt Zugriff auf den Client-Rechner zu verschaffen und dort einen Keylogger zu installieren. Sofern die Rechner nicht vollverschlüsselt sind (normalerweise nicht der Fall), ohne große Hackerkenntnisse kein Problem bei physischem Zugriff.
Die Daten auf dem Server sind übrigens vollkommen unverschlüsselt. Der Provider des Servers hat da praktisch unbeschränkten Zugriff (was natürlich illegal ist, wenn er es tut). Und damit auch die legal-illegal-scheißegal Geheimdienste. Wenn man es denen etwas schwerer machen will, dann muss man einen vollverschlüsselten Heimserver mit aktuell gehaltenem Linux betreiben bzw. diesen als Schattenserver hinter dem Server im Netz betreiben. Da bleiben dann nur noch Zero-Day-Exploits. Wäre aber ein bisschen Overkill für ein öffentlich verfügbares Forum. Und am sichersten sind eben noch die Daten, die erst gar nicht den Weg ins Netz finden. Daher der Appell an Datensparsamkeit.
Verständnis ist für den Traumatisierten, was die niedrige Bordsteinkante für den Rollstuhlfahrer.
t+ - mein Traumablog (nichtkommerziell und werbefrei)
Disclaimer "Lesen auf eigene Gefahr!" - unbedingt lesen!

Benutzeravatar
orinoco
Administrator
Administrator
Beiträge: 934
Registriert: 14. Februar 2015, 14:50
SPS: Ja
Wohnort: Verkehrsverbund Rhein-Neckar KL/PS/NW/MA/HD

Re: SSL / HTTPS

Beitragvon orinoco » 22. März 2017, 09:57

Wem Sicherheit auf und mit dem Computer wichtig ist, dem empfehle ich den heise Security Feed zu abonnieren. Grade aktuell eine Meldung über mögliche Sicherheitslücken bei HTTPS.

Chrome
interessiert
interessiert
Beiträge: 48
Registriert: 22. Februar 2017, 18:55
Wohnort: München

Re: SSL / HTTPS

Beitragvon Chrome » 23. März 2017, 05:57

Nun ich arbeite in der IT-Branche und hier bei mir ist es aus rein technischen Gründen zwingend erforderlich, dass der http Internetverkehr also Verbindungen zu Port 80 zum Debuging mit geschnitten wird. Das hat nichts mit Überwachung oder sonstigen zu tun, sonder nur damit alles läuft.
Leider muss ich dir aber in dem Punkt widersprechen, dass ein Vermittler besonders ausgefuchst sein muss um den http mitzuschneiden, da das jederzeit am Router eingerichtet werden kann (Proxyy-Server, hier Lokale IP zu Fiddler z. B.)
@orinco dank dir ;)


Zurück zu „Anregungen“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 16 Gäste