HTTPS? SSL? Passwörter werden beim login unverschlüsselt übertragen!

[SupaBerni]

Warum hat die wb-community eigentlich immer noch kein https? Mit Letsencrypt wärs gratis, und nur eine Sache des Admins sich die 10 Minuten dafür Zeit zu nehmen. Spätestens wenn man von seinen Benutzern erwartet dass sie sich einloggen und damit schützenswerte Daten schicken, sollte man sich auch um deren Sicherheit kümmern...

Interessanterweise hab ich eh grad gesehen dass wb-community.com den HTTPS Port eh offen hat - und sogar darauf antwortet: https://wb-community.com funktioniert ja sogar, sogar mit gültigem Zertifikat. Nur hat man halt nie den Apache so konfiguriert, dass der auch auf die passende Website ausliefert...

Auch wenn das Comodo Cert im Juni 2020 ausläuft kann man sich trotzdem jetzt darum kümmern. Danach macht man's halt gratis über Letsencrypt - besser als gar nichts!

[windel77]

Ich verweise hierzu mal auf die Erläuterung von Wolfgang zum Thema: http://www.wb-community.com/showthre...l=1#post789933

Grüße

TB77

[SupaBerni]

Diese Erläuterung hab ich schlussendlich auch gefunden - aber die finde ich ist dennoch eine Diskussion wert:

Darum bieten wir die WBC ja auch nicht als SSL-Version an...
der Content hier ist bis zu 14 Jahre alt, frueher war http halt ganz normal und https der exot....
somit sind auch fast alle links zu externen seiten sowie eingebettete bilder http-only
fazit man muesste alle profile und posts durchsuchen, umarbeiten (sofern die quelle https unterstuetzt)
und die forensoftware ist auch nicht auf https ausgelegt - aber das das geringste uebel....

klar koennte man auch einen http zu https proxy einsetzen...
dagegen spricht jedoch die aktuelle rechtslage weil der content dann ja nicht mehr von der quellseite stammt sondern von uns

da wir hier keine personenbezogenen daten erheben... ist auch nix da was besonders sensibel waere und einer verschluesselten uebertragung bedarf
da wo personenbezogene daten angefordert werden - zb anmeldung zu unseren veranstaltungen, geschieht das ueber https

hth, wolfgang

Dann hier mal meine Kommentare dazu:

klar koennte man auch einen http zu https proxy einsetzen...

Natürlich kann man https auch an einem proxy terminieren und intern unverschlüsselt weiter gehen. machen auch alle so. Ist auch gut so. Der reverseproxy schließt einen weiterbetrieb von http auch nicht aus - wer unbedingt über http weitermachen will soll doch. Ich hätte aber mein Passwort dann zumindest bis zum reverse proxy verschlüsselt.

dagegen spricht jedoch die aktuelle rechtslage weil der content dann ja nicht mehr von der quellseite stammt sondern von uns

Es ist völlig unerheblich ob externe Bilder nun per http oder https nachgeladen werden. Ein Rechtspruch in Deutschland vor ca. 2 Jahren hat ergeben, dass dem Betrachter einer Website nicht klar ist, von wo die Bilder geladen werden. Daher ist auch dem Webseitenbetreiber eine Schuld zuzusprechen, wenn dieser rechtlich geschützte Bilder von externen Quellen auf seiner Website anzeigt. Da liegt das eigentliche Problem: Sobald Bilder auf einer Website angezeigt werden, ist der Websitebetreiber verantwortlich und hat dafür zu sorgen, dass dieser ein Nutzungsrecht für die Bilder hat. Ob nun http oder https ist unerheblich - viel mehr müssten alle extern verlinkten Bilder vom Betreiber auf Verwendungsrecht geprüft werden. Ich glaub da ist es einfacher das alte Zeugs aus den Beiträgen zu entfernen. Über die Datenbank zu regexen und alle ^http:\\\\.*?\.jpg sourcen rausnehmen ist einfach...

da wir hier keine personenbezogenen daten erheben... ist auch nix da was besonders sensibel waere und einer verschluesselten uebertragung bedarf

Oh, die wb-community.com speichert massenweise personenbezogene Daten! Ich bin mir sicher, dass hier mitgeloggt wird, alleine meine IP ist schon personenbezogen. Benutzernamen, gelesene Threads, PMs usw usw usw. Das sind alles schützenswerte Daten, die auch bei der Übertragung geschützt gehören.


Genug Gründe SSL dennoch in erwägung zu ziehen?

[Wolfgang]

SSL war und ist schon ewig ein Thema... - darum gibt es auch gültige Zertifikate
Wer sich 7 USD im Jahr für ein SSL-Zertifikat nicht leisten kann und deswegen auf LetsEncrypt ausweicht sollte seine Webpräsenz überdenken.

Die SSL-Priorität auf Grund der Gegebenheiten gering....

Du hast vermutlich noch nicht bemerkt dass hier als Community-Basis die vom Hersteller nicht mehr supportete Vbulletin Publisher Suite 4.2.5 läuft.
Die Publisher-Suite ist das normale vBulletin 4.x mit den voll integrierten Erweiterungen CMS, Groups, Blogs, Alben, .....
Dazu haben wir die aktuell deaktivierte Wiki-Integration Vaultwiki welche ebenfalls ein kommerzielles Produkt ist.

Es gibt keine Open-Source-Suite welche die geforderten weil intensiv genutzten Features mit nur einen einzigen gemeinsamen Datenbank bieten könnte - es muss also wieder zu einem kommerziellen Produkt gegriffen werden.
Auf ein solches sparen wir seit geraumer Zeit.
Da Geld nun nicht an Bäumen wächst und für die benötigten Lizenzen und Styles 1500-2000 Euro aufgerufen sind ist die Neuanschaffung nichts was wir in kurzer Zeit stemmen können.

------------

Der Softwarecode wurde vom Hersteller inkonsistent geschrieben, teils hardcoded, teils dynamisch - eine "tote" Software selbst umzuschreiben ergibt keinen Sinn.
Wir setzen kommerzielle Produkte ein um nicht mehr selbst basteln zu müssen - Die vB-Suite welche in PHP 4/5 geschrieben wurde an PHP 7.1 hinzubiegen war schon genug Spielerei.

Proxying:
Das Einbinden von Fremdcontent in der WBC ist schon sehr viele Jahre tabu - viel länger als irgendwelche Urteile von irgendeinem für die WB-Community nicht zuständigem Gericht existieren.
Wie du auf die Idee kommst dass wir sich mit eingebettetem Fremdcontent schmücken, ist für mich nicht nachvollziehbar
Das kastrieren (entfernen von http-links) einer dreiviertel Million Posts kommt nicht in Frage.
Stures umschreiben auf https funktioniert aber auch nicht -> dead links
und proxying (abrufen des fremden http-contents und weiterreichen als lokales https) kommt nicht in frage da wir nicht fremdes material ausliefern werden / dürfen.

Für das Erstellen eines Benutzerkontos braucht man außer einer gültigen Mailadresse keinerlei personenbezogenen Daten anzugeben.
Alles was man in der WBC postet, im Profil angibt, erfolgt auf freiwilliger Basis.

Gespeichert werden ausschließlich essentielle Daten welche für die Nutzung dieser Website notwendig sind und jene Daten die man auf freiwilliger Basis zwecks Publizierung in der Community von sich Preisgibt. - Bei letzterem kann man sich nicht auf Datenschutz berufen da diese Eingaben ausschließlich zur Veröffentlichung von einem selbst eingestellt wurden.

Auf SEO, Marketing, Werbung usw. verzichten wir seit sehr vielen Jahren - so werden auch keinerlei Daten (z.B. IP-Adressen) Dritten zugänglich gemacht.

[kay'est]

Unbenannt.PNG

*hust*
wer diesen cookie hinweis bestätigt und nicht liesst

[Wolfgang]

vB könnte vieles was in der WBC nicht zur Verfügung steht weil deaktiviert.
von Facebook-Integration über Google-Analytics, SEO, ...


Fakt in der WBC werden ohne Login 3 Cookies genutzt:
wbc_sessionhash - das ist die aktuelle Sitzung
wbc_lastactivity - für die gelesen/ungelesen Anzeige
wbc_lastvisit - anhand dieses Cookies werden neue Beiträge gefiltert

Mir Login kommten je nachdem was man im Benuterkontrollzentrum eingestellt hat noch Präferenz-Kekse für Style, Forendarstellung, ... dazu.

Statistik oder Marketing-Cookies wird man in der WBC vergeblich suchen
Diskretion hat absoluten Vorrang

Übrigens:
Die Cookie-Geschichte ist unabhängig davon ob die Site nun https oder nur http nutzt

[SupaBerni]

# Nebenbemerkung: Zitieren ist hier ja furchtbar - daher sind meine QUOTES manuell erstellt.

SSL war und ist schon ewig ein Thema... - darum gibt es auch gültige Zertifikate
Wer sich 7 USD im Jahr für ein SSL-Zertifikat nicht leisten kann und deswegen auf LetsEncrypt ausweicht sollte seine Webpräsenz überdenken.

Die SSL-Priorität auf Grund der Gegebenheiten gering....

Du hast vermutlich noch nicht bemerkt dass hier als Community-Basis die vom Hersteller nicht mehr supportete Vbulletin Publisher Suite 4.2.5 läuft.
Die Publisher-Suite ist das normale vBulletin 4.x mit den voll integrierten Erweiterungen CMS, Groups, Blogs, Alben, .....
Dazu haben wir die aktuell deaktivierte Wiki-Integration Vaultwiki welche ebenfalls ein kommerzielles Produkt ist.

Es gibt keine Open-Source-Suite welche die geforderten weil intensiv genutzten Features mit nur einen einzigen gemeinsamen Datenbank bieten könnte - es muss also wieder zu einem kommerziellen Produkt gegriffen werden.
Auf ein solches sparen wir seit geraumer Zeit.
Da Geld nun nicht an Bäumen wächst und für die benötigten Lizenzen und Styles 1500-2000 Euro aufgerufen sind ist die Neuanschaffung nichts was wir in kurzer Zeit stemmen können.

------------

Der Softwarecode wurde vom Hersteller inkonsistent geschrieben, teils hardcoded, teils dynamisch - eine "tote" Software selbst umzuschreiben ergibt keinen Sinn.
Wir setzen kommerzielle Produkte ein um nicht mehr selbst basteln zu müssen - Die vB-Suite welche in PHP 4/5 geschrieben wurde an PHP 7.1 hinzubiegen war schon genug Spielerei.

Mir sind die Bedenken ja vollkommen klar, ich würd auch nichts an so einem alten Monoliten ändern wollen. Aber das ist auch nicht was ich vorschlage!

Proxying:
Das Einbinden von Fremdcontent in der WBC ist schon sehr viele Jahre tabu - viel länger als irgendwelche Urteile von irgendeinem für die WB-Community nicht zuständigem Gericht existieren.

Das ist schön und gut, aber:

Wie du auf die Idee kommst dass wir sich mit eingebettetem Fremdcontent schmücken, ist für mich nicht nachvollziehbar

Deswegen:

Darum bieten wir die WBC ja auch nicht als SSL-Version an...
der Content hier ist bis zu 14 Jahre alt, frueher war http halt ganz normal und https der exot....
somit sind auch fast alle links zu externen seiten sowie eingebettete bilder http-only

Das kastrieren (entfernen von http-links) einer dreiviertel Million Posts kommt nicht in Frage.

Ich red von zB. Bildern, die von externen Quellen kommen (mit src='http://irgend.was/bild.jpg), und nicht von Links zu externen Seiten. Diese Bilder wollt ihr ja ohnehin nicht im Forum haben, also doch einfach raus damit!?

Stures umschreiben auf https funktioniert aber auch nicht -> dead links

Nochmal: Ich red von eingebetteten Bildern.

und proxying (abrufen des fremden http-contents und weiterreichen als lokales https) kommt nicht in frage da wir nicht fremdes material ausliefern werden / dürfen.

Das ist auch nicht mein Vorschlag. Ich sprech von einem Reverse Proxy, der SSL terminiert und die wbc-website intern über http lädt uns sie mir über https ausliefert. Ganz klassiches Setup, denn damit kann man alles alte mit gültigem Zertifikat ausliefern und den Datenverkehr zwischen Client und Reverseproxy verschlüsseln. Da der Reverse Proxy nun lokal unverschlüsselt mit PHP redet, ist das Problem der Datensicherheit auf den lokalen Server beschränkt und damit schon mal ein großes Stück besser.
Ich rechne jetzt natürlich mit dem Gegenargument, dass jetzt natürlich ein paar Links nicht mehr stimmen die auf wb-community.com zeigen, weil eventuell das https fehlt. Nun, mit einem simplen rewrite in der Reverse Proxy configuration funktionieren alle alten http links immer noch. (Setzt allerdings voraus dass alle http anfragen auf https umgebogen werden). Für alle weiteren Links (alles außer zu wb-community.com) ist das nicht notwendig - das sind entweder Links zu externen Webseiten oder eingebettes Material, das dann der Browser aus Sicherheitsgründen blocken wird.
Natürlich ist es Arbeit, bis alles dann einwandfrei funktioniert. Irgendwo gibt es immer irgendetwas das sich eventuell etwas wehrt. Die große Frage ist jedoch, ob es euch Admins Wert genug ist, auf die Sicherheit eurer Useraccounts zu achten.

Für das Erstellen eines Benutzerkontos braucht man außer einer gültigen Mailadresse keinerlei personenbezogenen Daten anzugeben.
Alles was man in der WBC postet, im Profil angibt, erfolgt auf freiwilliger Basis.

Gespeichert werden ausschließlich essentielle Daten welche für die Nutzung dieser Website notwendig sind und jene Daten die man auf freiwilliger Basis zwecks Publizierung in der Community von sich Preisgibt. - Bei letzterem kann man sich nicht auf Datenschutz berufen da diese Eingaben ausschließlich zur Veröffentlichung von einem selbst eingestellt wurden.

Auf SEO, Marketing, Werbung usw. verzichten wir seit sehr vielen Jahren - so werden auch keinerlei Daten (z.B. IP-Adressen) Dritten zugänglich gemacht.

Das hat zwar nicht direkt etwas mit der SSL Diskussion zu tun, aber indirekt. Denn ich würde es schon begrüßen, wenn die Angriffsfläche auf meine Persönlichen Daten aktiv so gering wie möglich gehalten wird. Immerhin sind wir nun ja schon einen Schritt weiter. Aus "Gar keine persönlichen Daten" kristallisiert sich jetzt schon heraus, dass E-Mail-Adresse als persönlich wahrgenommen wird. Auch wird nicht mehr abgestritten dass IP-Adressen gespeichert werden. Grundsätzlich ist das für mich kein Problem, weil mir auch klar ist, dass ohne diese Daten ein Betrieb der wbc erst gar nicht möglich ist. Um so wichtiger ist es daher aber, genau diese persönlichen Daten nach besten Wissen und Gewissen, mit aktuellen Stand der Technik und allgemein verbreiteten Vorgangsweisen von Seiten des Betreibers zu schützen! Ein herunterspielen der Dringlichkeit oder Wegweisung der Verantwortung ist hier am falschen Platz.

Ich möchte hier nicht nur nörgeln, sondern biete auch meine Hilfe an, diese Probleme zu lösen. Ich geb euch gern meinen ssh pub key und wir schaun uns die Sache mal gemeinsam über tmux an.

[Bärchen1601]

Du bist seit 2006 hier ...
Hast nie etwas geschrieben, gibst auf deinem Profil nichts preis ...
und willst jetzt nach 14 Jahren sogar in der Programmierung mitmischen ?

Hmmm

[giaci9]

Er hat halt recht. Bei mir ist die WBC im Jahre 2020 so ziemlich die einzige Webseite, die immer noch nicht mit https läuft. Und dann ist die wbc auch noch eine relativ sensible Webseite, sprich, ich möchte eigentlich nicht, dass man einfach durch Traffic-Logging sehen kann, was ich hier schreibe. Noch dazu schlägt er einen gut umsetzbaren Ansatz vor, bei dem ich wenige Probleme sehe. Bspw. einen Nginx als Reverse Proxy davor, und die eingebetteten Bilder (die ihr ja ohnehin nicht mehr haben wollt und die eigentlich alle Bilderhoster mit den Jahren auch rauslöschen) raus. Ich kann mich auch nicht daran erinnern, wann mir hier zum letzten Mal ein per http eingebettetes Bild über den Weg gelaufen ist.

Wenn ich bei "Ähnliche Themen" schaue, Sehe ich da drei Topics mit dem selben Ansinnen. Wir haben 2020 und verschlüsselte http-Kommunikation ist quasi Standard (selbst fefe stellt mittlerweile per https bereit ). Vielleicht ist es das einfach mal Wert.

Und ich muss SupaBerni recht geben, hier jetzt Sinngemäß zu sagen "Pfft, wir sind keine Bank, wir brauchen doch kein SSL" ist eine Aussage, die traf vielleicht 2005 zu, aber nicht 2020.

[SupaBerni]

Du bist seit 2006 hier ...
Hast nie etwas geschrieben, gibst auf deinem Profil nichts preis ...
und willst jetzt nach 14 Jahren sogar in der Programmierung mitmischen ?

Hmmm

* jap, alter Hase eben
* doch, hin und wieder sag ich mal was wenns was bringt. Und Anonymität ist was schönes...
* nein, will ich nicht. Dieses alte PHP Dings greif ich nicht mal mit der Beißzange an. Einen Reverse Proxy davor zu setzen ist nicht programmieren...

Er hat halt recht. Bei mir ist die WBC im Jahre 2020 so ziemlich die einzige Webseite, die immer noch nicht mit https läuft. Und dann ist die wbc auch noch eine relativ sensible Webseite, sprich, ich möchte eigentlich nicht, dass man einfach durch Traffic-Logging sehen kann, was ich hier schreibe. Noch dazu schlägt er einen gut umsetzbaren Ansatz vor, bei dem ich wenige Probleme sehe. Bspw. einen Nginx als Reverse Proxy davor, und die eingebetteten Bilder (die ihr ja ohnehin nicht mehr haben wollt und die eigentlich alle Bilderhoster mit den Jahren auch rauslöschen) raus. Ich kann mich auch nicht daran erinnern, wann mir hier zum letzten Mal ein per http eingebettetes Bild über den Weg gelaufen ist.

Wenn ich bei "Ähnliche Themen" schaue, Sehe ich da drei Topics mit dem selben Ansinnen. Wir haben 2020 und verschlüsselte http-Kommunikation ist quasi Standard (selbst fefe stellt mittlerweile per https bereit ). Vielleicht ist es das einfach mal Wert.

Und ich muss SupaBerni recht geben, hier jetzt Sinngemäß zu sagen "Pfft, wir sind keine Bank, wir brauchen doch kein SSL" ist eine Aussage, die traf vielleicht 2005 zu, aber nicht 2020.

Danke für die Unterstützung!

[mickdl]

Diese Erläuterung hab ich schlussendlich auch gefunden - aber die finde ich ist dennoch eine Diskussion wert:
Oh, die wb-community.com speichert massenweise personenbezogene Daten! Ich bin mir sicher, dass hier mitgeloggt wird, alleine meine IP ist schon personenbezogen. Benutzernamen, gelesene Threads, PMs usw usw usw. Das sind alles schützenswerte Daten, die auch bei der Übertragung geschützt gehören.


Genug Gründe SSL dennoch in erwägung zu ziehen?

Sorry - ich kann das nicht nachvollziehen... Wer soll den bitte hier bitte einen "men in the middle" Angriff starten - und mit welchem Ziel? Weißt Du wie aufwendig so etwas zu machen ist...? Und selbst mit SSL ist überhaupt nicht gesagt das die Sache sicher ist... Ich hatte mal einen AG - der hat tatsächliche eigene Browser Zertifikate installiert und einen reverse proxy dazwischen gehauen, der das klamm heimlich umgerubelt hat... Ich kann ja verstehen wenn man etwas paranoid ist - aber in dem Fall würde ich mir mehr sorgen um die Suite und meine Identität als um SSL machen...

[SupaBerni]

Sorry - ich kann das nicht nachvollziehen... Wer soll den bitte hier bitte einen "men in the middle" Angriff starten - und mit welchem Ziel? Weißt Du wie aufwendig so etwas zu machen ist...? Und selbst mit SSL ist überhaupt nicht gesagt das die Sache sicher ist... Ich hatte mal einen AG - der hat tatsächliche eigene Browser Zertifikate installiert und einen reverse proxy dazwischen gehauen, der das klamm heimlich umgerubelt hat... Ich kann ja verstehen wenn man etwas paranoid ist - aber in dem Fall würde ich mir mehr sorgen um die Suite und meine Identität als um SSL machen...

Die Frage war nie, wer, warum, ob oder wie jemand einen Man in the Middle Angriff startet. Und ich weiß, dass das nicht aufwändig ist. Aber darum geht's auch nicht.

Zur Wiederholung wenn man meine Beiträge nicht genau liest: SSL würde zumindest die Kommunikation zwischen mir und dem Webserver verschlüsseln. Damit ist mein Passwort auf dem Weg dorthin sicherer. Ein riesen Angriffsvektor ist damit schon mal vom Tisch.

Wenn der Admin vom Server natürlich noch weitere Tore offen lässt ist der Server kompromittiert. Dann ist eh alles zu spät. Aber sollte man sich trotz allem nicht doch Gedanken darüber machen, wie man Schritt für Schritt alle Komponenten die zu einem Webserver gehören absichert?

Ich weiß jetzt nicht was du mit einem AG meinst - aber was du auf deiner Clientseite mit deinem PC machst ist mir in dem SSL Zusammenhang ziemlich wurscht. Das hast du für dich alleine zu verantworten. Der Admin von der wbc hat aber die Sicherheit der gespeicherten und übertragenen Daten von allen Usern zu verantworten...

[Wolfgang]

Vielleicht doch mal die Paranioa beiseite schieben und logisch analysieren...

ALLES was du in der WBC schreibst, mit Ausnahme weniger Forenbereiche ist für jedermann und für jede Suchmaschine lesbar.
Wo ist da der schützenswerte Content ?

Forenbereiche welcher Berechtigung bedürfen ist nur für jene lesbar welche eine solche Berechtigung haben.
Wenn jemand also nicht in Benutzergruppe X ist, sieht er nix...
auch da ist also nix was verschlüsselung erfordert.
Und sich mit ner Gratismailadresse zu Registrieren um weitere Forenbereiche zu sehen ist für niemanden ein Hindernis

Email-Adressen gibt es nirgends im Forum nachzugucken....
wenn du auf Email senden klickst schreibst du deine Mail im Browser und der Server versendet diese
der Empfänger erhält jedoch zwecks Antwortmöglichkeit deine hinterlegte Mailadresse
ob man Email zulässt (Grundeinstellung deaktiviert) entscheidet man selbst.

PN-System - darauf haben Absender und Empfänger Zugriff
Für sensible Kommunikation ist PN eindeutig das falsche Medium - dafür nutzt man besser Punkt zu Punkt Kommunikationsmittel

IP-Adressen sind unabhängig davon ob verschlüsselte Übertragung oder nicht immer sichtbar - die Verschlüsselung findet erst weiter oben im Layer-Modell statt
Der Einwand IP-Adressen wären schützenswert ist einfach widerlegt weil die Technologie es erfordert dass IP A mit IP B kommuniziert - wer damit ein Problem hat muss einen Internetzugang kündigen.
Noch lange bevor man das erste Byte der WBC-Website lädt wissen schon mehrere Fremdsysteme dass du von deinem PC zur WBC-Website willst.
Zuerst wird ja ne DNS-Abfrage gestartet unter welcher IP denn der gesuchte Host zu finden sei.... Dann wird deine Serveranfrage losgesendet und passiert mehrere Router bis diese überhaupt mal bei der WBC ankommt. Die Antwort geht dann wieder über mehrere Router welche nicht die selben sein müssen wie bei der Anfrage zurück zu deinem PC.
Als eines dieser Fremdsysteme braucht man gar nicht wissen was da übertragen wird... man weiss damit schon dass der Anschlussinhaber welcher IP A nutzt einen der Services bei IP B nutzt. Ob man dieses technisch notwendige nun auswertet und nutzt bleibt den Betreibern dieser Fremdsysteme überlassen.
Anonymität im Internet hat es nie gegeben und wird es nie geben - technisch einfach nicht umsetzbar. Quelle, Weg zum Ziel und Ziel sind immer ein offenes Buch.


Spendensystem - mit Paypal wird ausschliesslich via SSL kommuniziert, hier fallen schützenswerte Daten an

Das ALLEREINZIGSTE wo man argumentieren könnte SSL muss her ist die Anmeldung mit User und Pass
Hier werden jedoch keine Realdaten sondern Pseudonyme genutzt und im Account gibt es nichts was nicht sowieso öffentlich wäre.

--------

Nüchtern betrachtet ist SSL also ein "nice to have" aber im Falle der WBC vom "must have" weit entfernt...

Heutzutage ist leider noch kaum einer fähig "Think Green" zu denken
Im Falle einer verschlüsselten Übertragung fällt nicht nur Rechenlast für die Chiffrierug und Dechiffrierung an, auch werden mehr Datenpakete benötigt um die angeforderten Daten zu versenden weil ja weniger Nutzdaten pro Paket übermittelt werden können.
Der C02-Fußabdruck jeder einzelnen aufgerufenen Seite steigt also an ohne einen wirklichen Nutzen zu erzielen.

Würde man Gesetze erlassen die SSL nur noch für Seitenabschnitte zuzulassen wo schützenswerte Daten übermittelt werden und nicht stur alles zu verschlüsseln weil es geht und gut aussieht könnten jährlich mehrere Milliarden Tonnen CO2 eingespart werden.

--------

Ich bedanke mich für den Hinweis das ich für das womit ich seit über 20 Jahren meine Brötchen verdiene unfähig sei...
eine Umschulung zum Bundespräsidenten mache ich deswegen aber trotzdem nicht....

[SupaBerni]

Vielleicht doch mal die Paranioa beiseite schieben und logisch analysieren...

ALLES was du in der WBC schreibst, mit Ausnahme weniger Forenbereiche ist für jedermann und für jede Suchmaschine lesbar.
Wo ist da der schützenswerte Content ?

zB. PMs - sobald jemand zu meinem Passwort kommt ist nicht nur für denjenigen bekannt dass ich mit dem Thema was zu tun hab, sondern man kann sich ein seeeehr gutes Bild bis ins Detail davon machen. Klar, ich muss ja nicht detailreich schreiben - aber man muss es ja auch nicht drauf anlegen, dass passwörter gesnifft werden können. Und wer redet hier per PMs schon übers Wetter?

Forenbereiche welcher Berechtigung bedürfen ist nur für jene lesbar welche eine solche Berechtigung haben.
Wenn jemand also nicht in Benutzergruppe X ist, sieht er nix...
auch da ist also nix was verschlüsselung erfordert.
Und sich mit ner Gratismailadresse zu Registrieren um weitere Forenbereiche zu sehen ist für niemanden ein Hindernis

Email-Adressen gibt es nirgends im Forum nachzugucken....
wenn du auf Email senden klickst schreibst du deine Mail im Browser und der Server versendet diese
der Empfänger erhält jedoch zwecks Antwortmöglichkeit deine hinterlegte Mailadresse
ob man Email zulässt (Grundeinstellung deaktiviert) entscheidet man selbst.

Lass ich mal so stehen - hat nichts mit der Anfrage zu SSL zu tun.

PN-System - darauf haben Absender und Empfänger Zugriff
Für sensible Kommunikation ist PN eindeutig das falsche Medium - dafür nutzt man besser Punkt zu Punkt Kommunikationsmittel

Auf die PMs haben Absender, Empfänger und du(!) Zugriff. Mehr dazu später.
Alles hier ist sensible Kommunikation. Sensibles Thema für die allermeisten von uns!

IP-Adressen sind unabhängig davon ob verschlüsselte Übertragung oder nicht immer sichtbar - die Verschlüsselung findet erst weiter oben im Layer-Modell statt
Der Einwand IP-Adressen wären schützenswert ist einfach widerlegt weil die Technologie es erfordert dass IP A mit IP B kommuniziert - wer damit ein Problem hat muss einen Internetzugang kündigen.
Noch lange bevor man das erste Byte der WBC-Website lädt wissen schon mehrere Fremdsysteme dass du von deinem PC zur WBC-Website willst.
Zuerst wird ja ne DNS-Abfrage gestartet unter welcher IP denn der gesuchte Host zu finden sei.... Dann wird deine Serveranfrage losgesendet und passiert mehrere Router bis diese überhaupt mal bei der WBC ankommt. Die Antwort geht dann wieder über mehrere Router welche nicht die selben sein müssen wie bei der Anfrage zurück zu deinem PC.
Als eines dieser Fremdsysteme braucht man gar nicht wissen was da übertragen wird... man weiss damit schon dass der Anschlussinhaber welcher IP A nutzt einen der Services bei IP B nutzt. Ob man dieses technisch notwendige nun auswertet und nutzt bleibt den Betreibern dieser Fremdsysteme überlassen.

IP Adressen sind schützenswert seit sie lt. DSGVO als personenbezogene Daten gelten. Auch wenn die nirgends auf der wbc direkt aufscheinen, stehen die trotzdem vermutlich in der Datenbank und in den Logfiles und wurden somit gespeichert. Ich halte ja nicht nur für mich die unverschlüsselte Übertragung von Passwörtern problematisch. Sie sind für jeden anderen hier inkl. dem Admin problematisch. Mit dessem Passwort kann man sicher viele interessante Dinge hier sehen...
Auf den Rest deiner Erklärung geh ich jetzt nicht ein, weil du darauf keinen Einfluss hast, damit keine Verantwortung tragen musst und hier auch nicht das Thema ist.

Anonymität im Internet hat es nie gegeben und wird es nie geben - technisch einfach nicht umsetzbar. Quelle, Weg zum Ziel und Ziel sind immer ein offenes Buch.

Nicht zwangsläufig. Ich als "Endanwender" kann so einiges tun. Nicht das Thema.

Spendensystem - mit Paypal wird ausschliesslich via SSL kommuniziert, hier fallen schützenswerte Daten an

Wie auch immer hier der externe Dienstleister mit eingebunden wird - hat nichts mit dem Thema zu tun.

Das ALLEREINZIGSTE wo man argumentieren könnte SSL muss her ist die Anmeldung mit User und Pass
Hier werden jedoch keine Realdaten sondern Pseudonyme genutzt und im Account gibt es nichts was nicht sowieso öffentlich wäre.

Richtig - Authentifizierung gehört verschlüsselt. Nicht umsonst bekommt man bei jedem aktuellerem Browser seit einiger Zeit die Warnung, man solle doch bitte auf unverschlüsselten Webseiten keine Passwörter eintragen. Dass das keine Realdaten wären ist unerheblich. Damit spielst du nur die Wichtigkeit herunter.

--------

Nüchtern betrachtet ist SSL also ein "nice to have" aber im Falle der WBC vom "must have" weit entfernt...

Dadurch dass man sich hier per Passwort anmelden soll würd ich schon sagen dass SSL ein "must have" ist. Bist du der Meinung, dein Passwort ist nicht schützenswert? Dass man mit deinem Passwort hier am Server bestimmt nichts böses anstellen kann?

Heutzutage ist leider noch kaum einer fähig "Think Green" zu denken
Im Falle einer verschlüsselten Übertragung fällt nicht nur Rechenlast für die Chiffrierug und Dechiffrierung an, auch werden mehr Datenpakete benötigt um die angeforderten Daten zu versenden weil ja weniger Nutzdaten pro Paket übermittelt werden können.
Der C02-Fußabdruck jeder einzelnen aufgerufenen Seite steigt also an ohne einen wirklichen Nutzen zu erzielen.

Würde man Gesetze erlassen die SSL nur noch für Seitenabschnitte zuzulassen wo schützenswerte Daten übermittelt werden und nicht stur alles zu verschlüsseln weil es geht und gut aussieht könnten jährlich mehrere Milliarden Tonnen CO2 eingespart werden.

--------

Mich würde interessieren auf welche Basis du deine Aussage stützt, dass SSL so viel Resourcen mehr verbraucht, dass es dadurch keinen wirklichen Nutzen mehr darstellen würde. Die mehrbelastung der CPU durch SSL ist marginal, ich würd sogar behaupten dass der Mehrverbrauch an Energie in der Messunsicherheit verschwindet.

Ich bedanke mich für den Hinweis das ich für das womit ich seit über 20 Jahren meine Brötchen verdiene unfähig sei...
eine Umschulung zum Bundespräsidenten mache ich deswegen aber trotzdem nicht....

Ich habe nie einen Hinweis zu Unfähigkeit gegeben, das musst du für dich selbst entscheiden.
Und vielleicht sparst dir das zünische Kommentar. Ein Bundespräsident der Windeln trägt, wo gibt's denn sowas... *hust*trump*hust*

Ich bin noch ein Addendum schuldig:
Nicht nur mein Passwort oder das anderer User hier wird bei Anmeldung unverschlüsselt übertragen. Es wird auch das Passwort des Admins und aller Moderatoren unverschlüsselt übertragen - und diese Benutzergruppe hat bekanntlichermaßen auf wesentlich mehr Zugriff. Wär wirklich blöd wenn jemand das Passwort vom Admin mitschneidet, oder? Wenn der grad über Wifi sich unverschlüsselt einloggt? Da kann er ja gleich sein Passwort auf ein PostIt schreiben und an die Bushaltestelle kleben, oder ein Netzwerkkabel aus dem Fenster hängen lassen...

Gerade bei solch einem sensiblen Thema das der wbc im Allgemeinen würde ich mir wünschen wenn hier mehr Augenmerk auf Schutz, Sicherheit und Vorausschau gelegt wird. Man kann viel um den heißen Brei herum diskutieren - die Argumente um zumindest die Passwortübertragung zu verschlüsseln liegen ja auch auf dem Tisch. Auch du stufst Passwörter als Kritisch ein. Und eine der einfachsten Möglichkeiten dem nachzukommen ist einen Reverse Proxy zum SSL terminieren vorzusetzen... Jetzt müsst's nur noch jemand tun...

[Wolfgang]

Wie schon geschrieben, man braucht nicht wissen was genau du dir in der WBC anguckst...
es reicht wenn jemand weiß dass du in der WBC surfst wenn er dir im RL ans Knie pinkeln will...
Dass das hier kein Bienenzuchtverein ist sieht man ja schon auf der Landingpage
Und das lässt ich auch bei aktivem SSL herausfinden indem man Verbindungsdaten inspiziert.

TLS hat bei aktiver Verbindung also nach der Authentifizierung (ca 6,5kbyte) einen Overhead von 40 byte pro Paket
Das reduziert den Payload (Nutzinhalt) von maximal 1452 byte auf maximal 1412 byte pro Paket (maximal = abhängig von der Art des Internetzugangs)
Will man nun 1 MiB (1.000.000 byte) übertragen benötigt man unverschlüsselt 689 Pakete verschlüsselt 709 Pakete also 2,843% mehr Datenpakete.
Bei AES-128 steigt die CPU-Auslastung um ca 1% gegenüber unverschlüsselter Übertragung.
Die Übertragung dauert also 2,843% länger und die CPU-Last steigt um 1%. Klingt nicht viel, wenn man das jedoch auf mehrere Milliarden Abfragen pro MINUTE hoch...
Die hier genannten Zahlen betreffen ausschließlich Server zu Client..
Für die Verbindungserhaltung Client zu Server fallen nochmal pro Paket 32 byte für die TLS-Session an.


Zusammenfassung:
SSL/TLS wird irgendwann kommen, aber nicht in Verbindung mit dem aktuellen Server von dem wir in den nächsten Wochen runter müssen und auch nicht mit der eingesetzten vB 4.x Suite sondern in Verbindung mit einer Software die das native unterstützt. Bei vB 4.x waere da einiges an gefrickel nötig und Proxying ist niemals DIE Lösung

[bellind]

win10 rechner in der wohnung, smartphone in der tasche, fotos bei facebook teilen, nachrichten mit whatts app verschicken, mit googel suchen, bei amazon kaufen, mit paypal zahlen und payback punkte sammeln, biometrischen peronalausweis, kommentare bei twitter, bilder bei instag, banking app der kreisparkasse, emailaccount bei gmail .

und dann habt ihr ernsthaft angst, das die wbc euer datenschutzrisiko ist ???

[Michaela]

[QUOTE=und dann habt ihr ernsthaft angst, das die wbc euer datenschutzrisiko ist ???[/QUOTE]

Ja klar, die WBC ist ja auch des Satans.
(echt jetzt??? Satan? ganz meins!!!!!!)

Aber so im Groben und Ganzen seeehr gut zusammangefasst Bellind.

In meinem örtlichen Penny isses bekannt, abba wenn ich in anderen Märkten die Frage nach der Payback-Karte mit "in diesem Leben nicht mehr" beantworte, bekomm ich schon noch ab und an fragende Blicke.
Damit kann ich abba leben.......

[Wolfgang]

Was bellind vergessen hat...
die Zahlung mit Plastik statt mit echtem richtigem Geld (ja ok Mark und Schilling gibts nun schon ne zeit lang nimmer, daher zaehle ich den Teuro da einfach ma mit dazu)

Es geht keinen Zahlungsdienstanbieter etwas an wann ich wo was kaufe
ergo Barzahlung (ohne 5 Minuten vorher beim ATM am Eingang des Geschäftes das Geld abzuheben)

[giaci9]

Jetzt hast du aber immer noch nicht erklärt, wo das Problem liegt, einen Reverse Proxy vor die WBC zu schalten. Ist minimalinvasiv und kein großer Akt. Wenn du Hilfe dabei brauchst, meld dich doch einfach bei Berni oder mir. Wir wollen dir doch nix böses, Wolfgang

[Wolfgang]

Lies nochmal #15

Auf der UTM ist das nur das Einspielen der Config, nicht wirklich Arbeitsaufwand... kostet aber n paar hundert USD pro Jahr um die WBC-IP mit abzudecken
Dieses Geld welches eh nicht da ist sparen wir sich um eher an die neue Community-SW zu kommen die TLS nativ ab Werk unterstützt.