Hallo Zusammen,

ich habe eine Frage an die Admins:

Warum bietet WBC keine SSL Verbindung (HTTPS) an? Jeder der im selben Netzwerk hängt wie ich, kann ohne Tricks oder Hackerwissen meine privaten Nachrichten mitlesen, da diese im Klartext übertragen werden. So kann man zwar in öffentlichen Netzen wie Starbucks WIFI schnell andere Windelliebhaber am Tisch gegenüber identifizieren, aber im Punkto Datenschutz ist das nicht so schön.

So ein SSL Zertifikat, welches von einer CA signiert ist, einzurichten kostet nicht die Welt (0.8 Cent pro Nutzer pro Jahr). Ist natürlich klar, dass niemand irgendwas bezahlen möchte, aber eine einzelne Werbeanzeige würde das Problem lösen. Falls man grundsätzlich gegen Werbung ist, kann man auch ein Zertifikat selbst signieren, sodass wenigstens die Datenschutzinteressierten unter uns die verschlüsselte Verbindung nutzen können. Das würde dann garnichts kosten außer einmalig 30min Arbeit.

Falls WBC keinen eigenen Server hat, sondern von einem Domain Hoster gehostet werden sollte, so kann man erwähnen, dass viele Domain Hoster einen kostenlosen SSL-Proxy haben, über den man als Kunde SSL-Anfragen leiten kann.


Viele Grüße,

- Luca

Hallo Zusammen
Willkommen in der WB-Community, nachdem das dein 1. Post ist


Warum bietet WBC keine SSL Verbindung (HTTPS) an?
weil die art wie dieses portal vor 10 jahren geschrieben wurde das nicht sauber zulaesst...
nachladen externer non-ssl-inhalte usw


Jeder der im selben Netzwerk hängt wie ich, kann ohne Tricks oder Hackerwissen meine privaten Nachrichten mitlesen, da diese im Klartext übertragen werden.
mmd :D


So ein SSL Zertifikat, welches von einer CA signiert ist, einzurichten kostet nicht die Welt (0.8 Cent pro Nutzer pro Jahr).
1 cent ist fuer ein dv-cert eines internationalen ca schon zu viel.... die gibts naemlich gratis.... aber es gibt genug dumme die dafuer bis zu 100 euro und mehr im jahr zahlen.. da hol ich mir n ev-cert drum


Ist natürlich klar, dass niemand irgendwas bezahlen möchte, aber eine einzelne Werbeanzeige würde das Problem lösen.
irgendwo in der wbc schon werbung gesehen? nein? wirst du auch nicht... wir sind stolz drauf werbefrei zu sein


Falls man grundsätzlich gegen Werbung ist, kann man auch ein Zertifikat selbst signieren, sodass wenigstens die Datenschutzinteressierten unter uns die verschlüsselte Verbindung nutzen können. Das würde dann garnichts kosten außer einmalig 30min Arbeit.
selfsigned hat in der heutigen zeit keine existenzberechtigung
jeder moderne browser verhindert das anzeigen von selfsigned-sites ... erst wenn man ne ausnahme zulaesst wird die site angezeigt... fuer onu's und dau's ungeeignet


Falls WBC keinen eigenen Server hat, sondern von einem Domain Hoster gehostet werden sollte, so kann man erwähnen, dass viele Domain Hoster einen kostenlosen SSL-Proxy haben, über den man als Kunde SSL-Anfragen leiten kann.
seit ewigkeiten eigense server
ssl-proxy? surf unverschluesselt, kommt aufs selbe raus wenns ned ptp-encrypted is

"Ich weiß viel mehr über Computer als du!!!"

(und sonst: viel geschrieben, wenig gesagt)

Wenn ihr die Sachen bzw. Gedanken so schreibt, dass man sie auch als Nicht-Computer-Begabter versteht, könnten andere eure Gedanken nachvollziehen, verstehen und mitdiskutieren.
:)

Ich persönlich finde das mit der Sicherheit eine berechtigte Frage.

Mini Fassung:
Verschlüsselungsprotokoll (SSL) ist nicht weil Gründe (Alte Software, Kosten). Verschlüsselungsprotokol ist entgegen der Landläufigen Meinung nicht nützlich. Man sollte nicht glauben nur weil es alle sagen.
Wer sich auskennt würde einen Tunnel verwenden in einem offenen WLAN.

Original von Wolfgang

Hallo Zusammen
Willkommen in der WB-Community, nachdem das dein 1. Post ist


Warum bietet WBC keine SSL Verbindung (HTTPS) an?
weil die art wie dieses portal vor 10 jahren geschrieben wurde das nicht sauber zulaesst...
nachladen externer non-ssl-inhalte usw




Okay, andere Frage, wie siehts bei der neuen Softtware dann aus bezüglich SSL/https?

im privaten lan brauchste kein ssl...
bei einem mim-angriff is es ziemlich egal ob open oder encrypted...
da spielt der geringe mehraufwand keine rolle

solang ich im selben lan bin bringt dir ssl auch ned wirklich was...
das ist ein offenes buch wenn man weiss was man macht

ssl ist nicht wirklich sicher
vielmehr ist es scheinsicherheit....
da verweise ich aber an fachforen wenns wen interessiert

ja das neue portal wird ssl koennen
sonst koennte es demnaechst sein dass einige browser sich weigern die wbc anzuzeigen..
browserhersteller gehen ja dazu ueber unverschluesselte sites als sicherheitsrisiko einzustufen und zu sperren
sicher is die verbindung browser-server-browser deswegen aber nicht

Ja, SSL ist nicht per se sicher, weil zu viele dubiose CAs in den gängigen Browsern als vertrauenswürdig eingetragen sind.

Aber weit sicherer als ganz ohne ist es dennoch. Bin ich in deinem (Heim-)Netz oder gar zwischen diesem und der WBC, kann ich mit einfachsten Mitteln deinen http-Verkehr mitlauschen (die einfachen Systeme haben ja meist keine Mittel gegen ARP Poisoning implementiert). Mit SSL müsste ich mir darüber hinaus ein vom Browser als gültig anerkanntes Zertifikat für wb-community.com besorgen. Das ist zwar durchaus möglich, aber weit mehr Aufwand. Ganz so einfach bekommt man beliebige Zertifikate für beliebige Domains ja dann doch nicht.

Dennoch, die aktuell einzige sichere Variante ist, die Fingerprints auf anderem Wege zu prüfen. Wenn ich das aktuelle Zertifikat einer Domain fest im Browser eingetragen habe und dieser das fest prüft, fällt jeder MITM sofort auf. Und dann tuts auch ein Self-Signed Cert. Dennoch hacken alle auf den Self-Signed-Certs rum. Nein, deren Handhabung wird auch noch bewusst verkompliziert, so als wolle man ja gerade das aktuelle SSL-System und dessen kaputte Vertrauenskette mit allen Mitteln behalten! Versteh ich nicht. Bzw. deutet halt alles darauf hin, dass man (NSA+co?) das eben wirklich ganz bewusst so kaputt behalten will und wenn sich Verschlüsselung durchsetzt, dann bitte nur mit dieser kaputten Vertrauenskette.

Bei einem Self-Signed-Cert direkt den Fingerprint und einen Button "geprüft, speichern" anzubieten, wäre eine Kleinigkeit und würde dessen Handhabung prima vereinfachen. Will man aber nicht... lieber den Nutzer 10 mal klicken lassen, so dass auch der letzte weiß, dass Self-Signed nicht gut ist. Dafür werden dann ev certs von DigiNotar+co. als besonders vertrauenswürdig markiert... lol...

Eigentlich sollte man jedem empfehlen, die vorhandenen CA-Zertifikate aus dem Browser zu entfernen bzw. besser Dinge wie Certificate Patrol für Firefox zu verwenden. Ich nutze bei meinen Diensten zwar auch eine CA, aber empfehle jedem Nutzer, die Fingerprints manuell zu prüfen und die Domain via Certificate Patrol o.ä. fest an genau das überprüfte Zertifikat zu binden und kündige Zertifikatwechsel und deren Fingerprint im Vorfeld über genau diesen gesicherten Kanal an, so dass deren Prüfung gesichert ist. Etwas, das man aktuell Banken empfehlen kann, die aktuell wie wild Zertifikate wechseln, so dass man ausgerechnet da quasi allem trauen muss, was da auch immer gerade ankommt. Keine Chance, das auf Nutzerseite sicher zu gestalten. CertPatrol meldet jeden Monat ein neues Zertifikat und Fingerprints dieser werden erst gar nicht kommuniziert. Das könnte jedes Mal ein MITM sein, keine Change dem zu entgehen.

Mittel gäbe es, will man aber nicht. Wie eigentlich immer, wenn man zwischen Sicherheit und Einfachheit abwiegt, gewinnt eindeutig Einfachheit. Dabei ist CertPatrol nicht mehr Aufwand als eine Haustür mit einem Schloss auszustatten und einen Schlüssel mit sich herum zu tragen. Das macht ja auch jeder. Wobei, manch einer sicher auch nicht freiwillig...

Und so kann man dann auch gleich zwischen https und http abwiegen und sich für http entscheiden. Funktioniert ja doch, was will man mehr!? Ist absolut üblich und nichts ungewöhnliches.

Immerhin denkt Wolfgang (oder wer auch immer hier) nicht so. Herzlichen Glückwunsch, die WBC ist jetzt auch via https://www.wb-community.com erreichbar. :D
Beim Portal scheinen einige Bilder via vollständiger (non-ssl-) URI eingebunden zu sein, das ist wohl was Wolfgang oben meinte (da hätte man vor Jahren auf relative URIs achten müssen). Damit wird also nicht verschleiert, wo man gerade surft. Immerhin ist das Forum selber wohl clean, wenn man auf die Portalseite verzichten kann!? Da verstehe ich jetzt auch, dass das für das alte Forum zu viel Aufwand wäre, das sauber hin zu bekommen, wo doch eine neue Software vor der Tür steht.

Wie auch immer: *thumbup* dafür.

Willkommen in der WB-Community, nachdem das dein 1. Post ist

Der zweite, wenn man die Vorstellung im Vorstellungsthread mitzählt :D


SSL bietet keinen hunderprozentigen Schutz. Wie alles andere auch. Aber die Aussage, dass sich der Mehraufwand nicht lohnt und man deshalb gleich unverschlüsselt surfen kann, führt die gesamte Kryptografie ad absurdum. Man will es Angreifern ja mit allen Mitteln und Wegen so schwierig wie möglich machen. Aber trotzdem Daumen hoch, dass es beim nächsten Softwareupgrade berücksichtigt wird (auch wenn die Motivation dahinter die Kompatibilität mit neueren Browsern ist). Und auch Daumen hoch, dass man hier alles ohne Werbung finanziert.




ssl-proxy? surf unverschluesselt, kommt aufs selbe raus wenns ned ptp-encrypted is

Nein damit meinte ich einen Proxy Server beim Domain Hoster, der eine HTTPS Anfrage an deinen Server entgegennimmt und an deinen Server unverschlüsselt (lokal) weiterleitet.

Über self-signed Zertifikate kann man sicher streiten, aber ich bin persönlich auch der Meinung von dees.


Wer sich auskennt würde einen Tunnel verwenden in einem offenen WLAN.
Passiert bereits. Aber mit nem BMW durch den Tunnel zu fahren gibt einem doch ein etwas sichereres Gefühl, als mit nem Cinquecento :D