![[HaBo]](/styles/default/logoklein.png){kind=small}
https?
- Themenstarter Watchme
- Beginndatum
Elderan
0
Hallo,
den Vorschlag gab es hier schon:
[FEATURE REQUEST] SSL-Verschlüsselung für Hackerboard.de?
Da SSL zusätzliche Performance erfordert und somit noch mehr störende Werbebanner auf die Startseite müssten (
), wird es hier nicht angeboten (soweit ich informiert bin)
den Vorschlag gab es hier schon:
[FEATURE REQUEST] SSL-Verschlüsselung für Hackerboard.de?
Da SSL zusätzliche Performance erfordert und somit noch mehr störende Werbebanner auf die Startseite müssten (
), wird es hier nicht angeboten (soweit ich informiert bin)
bitmuncher
Senior-Nerd
Ca. 200% mehr CPU-Last + der Traffic der zusätzlich entsteht, da HTTPS nicht gecachet wird.
bitmuncher
Senior-Nerd
Doch, musst du, weil die Seite sonst "unsichere Elemente" enthält, was jeden Browser dazu bringt eine entsprechende Meldung auszuwerfen.
Elderan
0
Hallo,
dazu fällt mir ein:
Heise: Google prüft durchgehende SSL-Verschlüsselung aller seiner Dienste
dazu fällt mir ein:
Heise: Google prüft durchgehende SSL-Verschlüsselung aller seiner Dienste
Ich glaube kaum, dass jeder Besucher die HTTPS-Alternative vorziehen wird, sondern nur einige wenige User, die hier häufiger online sind.
Die Meisten werden sich wohl weiterhin ganz normal über HTTP verbinden werden.
Vielleicht könnte man das Ganze mal für 2 Wochen testen, um zu sehen wieviel Mehr-Traffic und CPU-Load verursacht wird.
Die Meisten werden sich wohl weiterhin ganz normal über HTTP verbinden werden.
Vielleicht könnte man das Ganze mal für 2 Wochen testen, um zu sehen wieviel Mehr-Traffic und CPU-Load verursacht wird.
Ach, Passwörter beispielsweise gehören für euch nicht zu den vetraulichen Daten?^^
*auf den Namen des Boards schiel*
Ich bin sogar etwas verblüfft, solche Kommentare hier zu lesen (irgendwie aber auch nicht)...
Es ist klar, dass dieses Forum nicht wirklich sicherheitsrelevante Bereiche oder Daten hat, die es zu schützen gilt. Sehr wohl aber die Privatsphäre der Nutzer.
Es geht im Studentenwohnheim niemanden etwas an, mit welchem Namen oder Passwort ich mich hier einlogge oder welche Beiträge ich lese und schreibe. Genauso wenig Fremde in öffentlichen WLAN-Hotspots oder diverse Admins in Uni- oder Firmennetzwerken...
Diese Liste könnte man beliebig erweitern und Angriffsszenarien würden mir dabei auch zur Genüge einfallen.
Täglich werden hier zig Leute in Sachen "Sicherheit" beraten und dabei wird oft jedes mögliche und unmögliche Szenario aufgezählt. Da kann ich es irgendwie nicht verstehen wie manche einen Thread weiter so sorglos mit diesem Thema umgehen.
*auf den Namen des Boards schiel*
Ich bin sogar etwas verblüfft, solche Kommentare hier zu lesen (irgendwie aber auch nicht)...
Es ist klar, dass dieses Forum nicht wirklich sicherheitsrelevante Bereiche oder Daten hat, die es zu schützen gilt. Sehr wohl aber die Privatsphäre der Nutzer.
Es geht im Studentenwohnheim niemanden etwas an, mit welchem Namen oder Passwort ich mich hier einlogge oder welche Beiträge ich lese und schreibe. Genauso wenig Fremde in öffentlichen WLAN-Hotspots oder diverse Admins in Uni- oder Firmennetzwerken...
Diese Liste könnte man beliebig erweitern und Angriffsszenarien würden mir dabei auch zur Genüge einfallen.
Täglich werden hier zig Leute in Sachen "Sicherheit" beraten und dabei wird oft jedes mögliche und unmögliche Szenario aufgezählt. Da kann ich es irgendwie nicht verstehen wie manche einen Thread weiter so sorglos mit diesem Thema umgehen.
Sven
Member of Honour
verwendest du dein Passwort fürs Board für weitere (vertrauliche) Dinge?
Im Bezug auf (halb)öffentliche Netze, wenn du dich von dort hier einloggst, musst du wohl oder übel mit der "Gefahr" leben und dem dortigen Admin einfach vertrauen ...
Für mich ist das hier einfach nur eine Kommunikationsplattform, auf der ich mich austauschen und informieren kann, keine Umgebung die nötig machen sollte groß etwas zu verstecken.
Im Großen und Ganzen sollte man halt einfach abwägen, womit man hier dealen muss, und auch wenn ich mich wiederhole, wir sind hier kein Hochsicherheitstrackt ...
Im Bezug auf (halb)öffentliche Netze, wenn du dich von dort hier einloggst, musst du wohl oder übel mit der "Gefahr" leben und dem dortigen Admin einfach vertrauen ...
Für mich ist das hier einfach nur eine Kommunikationsplattform, auf der ich mich austauschen und informieren kann, keine Umgebung die nötig machen sollte groß etwas zu verstecken.
Im Großen und Ganzen sollte man halt einfach abwägen, womit man hier dealen muss, und auch wenn ich mich wiederhole, wir sind hier kein Hochsicherheitstrackt ...
Ich weiß ja nicht wie geizig ihr seid, aber ich würde mir https schon ein bisschen was kosten lassen. Und das als Schüler, verdammt!
Ich vermute mal, dass solche eine Premium-Funktion viel zu viel Aufwand bedeutet, aber ich würde sie nutzen.
mfg benediktibk
Ich vermute mal, dass solche eine Premium-Funktion viel zu viel Aufwand bedeutet, aber ich würde sie nutzen.
mfg benediktibk
D
.doc
Guest
Vertraut ihr auch Dr. Schäuble, der heimlich eure unverschlüsselten Protokolle mitschneidet und deren Inhalte liesst? *Gerüchtesuppe umrühr* Wenn der liesst, welche Verschwörungen im MoH-Forum geplant werden..
Ich sehe persönlich keinen Grund, warum ich einem anderen Admin nicht misstrauen sollte, unabhängig von den Daten, die ich sende und empfange.
Nebenbei sollte man auch noch auf die Integrität hinweisen, die SSL mit sich bringt. Es hat also nicht nur etwas mit Übertragungssicherheit zu tun
Wer hier allerdings die Wichtigkeit der Daten abwägt wird immer zum Ergebnis kommen, dass SSL nutzlos ist. So ist das nunmal in jedem öffentlichen Forum. Und wer dennoch Sicherheit haben will sollte z.b. ein VPN einsetzen.
Demnzufolge wäre SSL ein nettes Feature mit 'nem "We-care-for-your-security"-Effekt.
Ich sehe persönlich keinen Grund, warum ich einem anderen Admin nicht misstrauen sollte, unabhängig von den Daten, die ich sende und empfange.
Nebenbei sollte man auch noch auf die Integrität hinweisen, die SSL mit sich bringt. Es hat also nicht nur etwas mit Übertragungssicherheit zu tun
Wer hier allerdings die Wichtigkeit der Daten abwägt wird immer zum Ergebnis kommen, dass SSL nutzlos ist. So ist das nunmal in jedem öffentlichen Forum. Und wer dennoch Sicherheit haben will sollte z.b. ein VPN einsetzen.
Demnzufolge wäre SSL ein nettes Feature mit 'nem "We-care-for-your-security"-Effekt.
bitmuncher
Senior-Nerd
Damit die Integrität der Verbindung sichergestellt ist, muss das Zertifikat von einer offiziellen/anerkannten Stelle signiert sein. Das kostet bei Thawte z.B. ab 149$ für ein Jahr, mit vollständiger Authentifikation ist man schonmal bei 249$. Wer zahlt die?Original von .doc
Nebenbei sollte man auch noch auf die Integrität hinweisen, die SSL mit sich bringt. Es hat also nicht nur etwas mit Übertragungssicherheit zu tun
bitmuncher
Senior-Nerd
Die aber von Browsern wie Internet Explorer per Default nicht als vertrauenswürdig eingestuft werden. Man muss also vorher erstmal ein Root-Zertifikat importieren. Da kann man auch gleich ein self-signed verwenden. Wer macht sich diesen Aufwand nur um ein Forum zu besuchen? Ich jedenfalls verlasse Seiten zumeist wieder, wenn ich dazu aufgefordert werde eine Ausnahme in meinem Browser für eine Seite hinzuzufügen oder irgendwelche Zertifikate zu importieren, da ich eben nicht weiss, ob dieses Zertifikat wirklich das ist, was das Forum wirklich anbietet oder ob mir da jemand ein falsches Cert unterschieben will. Gibt ja mittlerweile sogar Foren, die ihre via SSL verschlüsselten Inhalte bei Google indizieren lassen, was ich ziemlich nervig finde.
Mit CACert-Zertifikaten kann man daher zwar die Verbindung sicher verschlüsseln, aber eben nicht die Integrität der Verbindung sicherstellen, solange man nicht das entsprechende Root-Zertifikat im Browser importiert hat.
Das war ja so klar... Es findet sich immer einer der lieber die "Sinnfrage" stellt...
Das mehr an Traffic + CPU ist ein Grund dagegen, das ist klar.
Ich bewege mich derzeit meistens in Netzen, die ich für mich (und die Informationen die ich hierhin sende) als unsicher bezeichnen würde. Da ich den Admins der Proxies mein PW nicht auf dem Silbertablett präsentieren will, dachte ich, ich stell die Frage einfach nochmal...
@bitmuncher: gibt es nicht auch Certstellen, die (für Privatanwender) kostenlos arbeiten? Ich meine ich haette da letztens was zu gelesen.
Dafür muss man aber auch erstmal die Berechtigung haben ...
bitmuncher
Senior-Nerd
CACert ist ja ein solcher Anbieter. Das Problem ist einfach, dass es keinen kostenlosen Anbieter gibt, der von den Browsern per Default als vertrauenswürdig eingestuft wird. Für alle muss man erstmal ein entsprechendes Root-Zertifikat importieren. Solange sind die nicht sicherer als ein self-signed Cert.
Ich finde die Frage nach SSL berechtigt und Sinnvoll. Am Ende ists dann einfach ein Kostenfaktor und man "koennte" ja mal fragen ob das vorhandene Budget inkl. der Spenden ausreichen wuerde.
Moeglicherweise haben sie auch einfach keine finanzielle Lobby. Das etablieren kostenfreier CAs wuerde dafuer sorgen dasz eine Menge Leute sich andere Jobs suchen muessten- und vielleicht richtig arbeiten muessten
Der Verschluesselung ists doch egal. Und die Tatsache, dasz ein Root cert schon installiert ist, macht die ganze Sache *eigentlich* nicht sehr viel vertrauter, wenn man mal gruendlich drueber nachdenkt