Ich verweise hierzu mal auf die Erläuterung von Wolfgang zum Thema: http://www.wb-community.com/showthre...l=1#post789933
Grüße
TB77
Ich verweise hierzu mal auf die Erläuterung von Wolfgang zum Thema: http://www.wb-community.com/showthre...l=1#post789933
Grüße
TB77
Diese Erläuterung hab ich schlussendlich auch gefunden - aber die finde ich ist dennoch eine Diskussion wert:
Dann hier mal meine Kommentare dazu:
Natürlich kann man https auch an einem proxy terminieren und intern unverschlüsselt weiter gehen. machen auch alle so. Ist auch gut so. Der reverseproxy schließt einen weiterbetrieb von http auch nicht aus - wer unbedingt über http weitermachen will soll doch. Ich hätte aber mein Passwort dann zumindest bis zum reverse proxy verschlüsselt.klar koennte man auch einen http zu https proxy einsetzen...
Es ist völlig unerheblich ob externe Bilder nun per http oder https nachgeladen werden. Ein Rechtspruch in Deutschland vor ca. 2 Jahren hat ergeben, dass dem Betrachter einer Website nicht klar ist, von wo die Bilder geladen werden. Daher ist auch dem Webseitenbetreiber eine Schuld zuzusprechen, wenn dieser rechtlich geschützte Bilder von externen Quellen auf seiner Website anzeigt. Da liegt das eigentliche Problem: Sobald Bilder auf einer Website angezeigt werden, ist der Websitebetreiber verantwortlich und hat dafür zu sorgen, dass dieser ein Nutzungsrecht für die Bilder hat. Ob nun http oder https ist unerheblich - viel mehr müssten alle extern verlinkten Bilder vom Betreiber auf Verwendungsrecht geprüft werden. Ich glaub da ist es einfacher das alte Zeugs aus den Beiträgen zu entfernen. Über die Datenbank zu regexen und alle ^http:\\\\.*?\.jpg sourcen rausnehmen ist einfach...dagegen spricht jedoch die aktuelle rechtslage weil der content dann ja nicht mehr von der quellseite stammt sondern von uns
Oh, die wb-community.com speichert massenweise personenbezogene Daten! Ich bin mir sicher, dass hier mitgeloggt wird, alleine meine IP ist schon personenbezogen. Benutzernamen, gelesene Threads, PMs usw usw usw. Das sind alles schützenswerte Daten, die auch bei der Übertragung geschützt gehören.da wir hier keine personenbezogenen daten erheben... ist auch nix da was besonders sensibel waere und einer verschluesselten uebertragung bedarf
Genug Gründe SSL dennoch in erwägung zu ziehen?
Sorry - ich kann das nicht nachvollziehen... Wer soll den bitte hier bitte einen "men in the middle" Angriff starten - und mit welchem Ziel? Weißt Du wie aufwendig so etwas zu machen ist...? Und selbst mit SSL ist überhaupt nicht gesagt das die Sache sicher ist... Ich hatte mal einen AG - der hat tatsächliche eigene Browser Zertifikate installiert und einen reverse proxy dazwischen gehauen, der das klamm heimlich umgerubelt hat... Ich kann ja verstehen wenn man etwas paranoid ist - aber in dem Fall würde ich mir mehr sorgen um die Suite und meine Identität als um SSL machen...
Die Frage war nie, wer, warum, ob oder wie jemand einen Man in the Middle Angriff startet. Und ich weiß, dass das nicht aufwändig ist. Aber darum geht's auch nicht.
Zur Wiederholung wenn man meine Beiträge nicht genau liest: SSL würde zumindest die Kommunikation zwischen mir und dem Webserver verschlüsseln. Damit ist mein Passwort auf dem Weg dorthin sicherer. Ein riesen Angriffsvektor ist damit schon mal vom Tisch.
Wenn der Admin vom Server natürlich noch weitere Tore offen lässt ist der Server kompromittiert. Dann ist eh alles zu spät. Aber sollte man sich trotz allem nicht doch Gedanken darüber machen, wie man Schritt für Schritt alle Komponenten die zu einem Webserver gehören absichert?
Ich weiß jetzt nicht was du mit einem AG meinst - aber was du auf deiner Clientseite mit deinem PC machst ist mir in dem SSL Zusammenhang ziemlich wurscht. Das hast du für dich alleine zu verantworten. Der Admin von der wbc hat aber die Sicherheit der gespeicherten und übertragenen Daten von allen Usern zu verantworten...