Hallo!

Wäre es möglich für das Forum einen Zugang über SSL anzubieten oder würde das zuviel Rechenleistung erfordern, um alle Anfragen zu verschlüsseln?

Aqua

Sinn?

Sinn?Ja, wollte ich auch gerade fragen. Warum sollte man verschlüsseln? Was hätten die Members davon? :confused:

Damit nicht alle Anfragen im Klartext durch die Gegend gesendet werden.

Problem dürfte nicht die Serverauslastung sein, sondern wohl eher die Kosten für ein Zertifikat was von einem größeren Provider gekauft werden müsste damit man nicht ständig mit Sicherheitabfragen bombardiert wird.
Wenn man z.B. beim "Trustcenter" ein solche Zertifikat kaufen würde, kostet das etwa 600€ im Jahr. Dafür kommt dann allerdings auch keine Sicherheitabfrage mehr.

Damit nicht alle Anfragen im Klartext durch die Gegend gesendet werden.
Achso, damit Anfragen aus den 3DC Forum nicht z.B. bei google auftauchen. Ich verstehe.

CACert.
Kostenloses Zertifikat.

https gehört einfach zum guten Ton.
Hier wird Handel getrieben, Bankdaten hin und her versendet, ich denke, SSL ist nicht so der Aufwand.

Gruß,
QFT

Damit nicht alle Anfragen im Klartext durch die Gegend gesendet werden.
Insbesondere Passwörter!!!!!11111einself
Als hash in der DB speichern aber Klartext übers Internet senden :uhammer:

Ja, wollte ich auch gerade fragen. Warum sollte man verschlüsseln? Was hätten die Members davon? :confused:
Der Sinn ist zum einen, dass die Passwörter so nicht mehr im Klartext übertragen werden und zum anderen, dass so keine Person, die Zugriff auf einen Server zwischen dem Forum und dem eigenen Rechner hat nachvollziehen kann, was man gerade liest. Der Punkt von Quantenfeldtheorie, dass hier auch Bankdaten per PN ausgetauscht werden, würde ebenso für eine SSL-Verschlüsselung sprechen.

Aqua

CACert.
Kostenloses Zertifikat.
Ja klar geht das damit auch, dadurch bekommst man aber ständig Fragen ob das Zertifikat vertrauenswürdig ist und ob man es denn trotzdem zulassen möchte. Daher etwas suboptimal.

Edit:
Zugriff auf den Server brauchst du nicht mal, reicht schon ein LAN (Schule oder auf der Arbeit) mit einem Hub und ein Sniffer, dann kannst du dir die Sachen ansehen. Teilweise ganz interessant was die Leute so tippen oder suchen. ;)

Mich würde mal interessieren was einer der Admins dazu sagt!

Insbesondere Passwörter!!!!!11111einself
Als hash in der DB speichern aber Klartext übers Internet senden :uhammer:
Aha :rolleyes:
Bei aktiviertem JavaScript wird kein Passwort im Klartext übertragen.

Der Sinn ist zum einen, dass die Passwörter so nicht mehr im Klartext übertragen werden und zum anderen, dass so keine Person, die Zugriff auf einen Server zwischen dem Forum und dem eigenen Rechner hat nachvollziehen kann, was man gerade liest. Der Punkt von Quantenfeldtheorie, dass hier auch Bankdaten per PN ausgetauscht werden, würde ebenso für eine SSL-Verschlüsselung sprechen.

Aqua
Man-in-the-Middle ist auch mit SSL machbar.

Bankdaten per PN? Ja aber doch keine PINs und TANs! Da findet man mehr Bankdaten in den Mülleimern dieser Erde als in den PNs dieses Forums.
Gesetz dem Fall derjenige kommt an die BLZ und Konto-Nr., so braucht er immernoch einen Lastschriften-Einzugsvertrag mit seiner Bank, um von dem Konto etwas abbuchen zu können. Spätesten beim Kontoauszug durchsehen fällt der unerlaubte Vorgang auf und kann Rückgängig gemacht werden.

Aha :rolleyes:
Bei aktiviertem JavaScript wird kein Passwort im Klartext übertragen.
JS? Sicher das du nicht Cookies meinst? So wie ich das sehe wird das aller erste mal, wenn du noch kein Cookie hast, wird ein ganz normaler unverschlüsselter POST request gemacht. Anschliessend werden die Cookies in plaintext übertragen.

Man-in-the-Middle ist auch mit SSL machbar.
Wenn der Server ein gültiges Zertifkat hat nicht (zu mindest in der Theorie). Anders ginge ja online-banking nicht.

JS? Sicher das du nicht Cookies meinst?
Schau dir doch mal an was passiert, wenn man auf Anmelden klickt.

Schau dir doch mal an was passiert, wenn man auf Anmelden klickt.
http://img302.imageshack.us/img302/9425/logincf0.th.png (http://img302.imageshack.us/my.php?image=logincf0.png)
Sieht für mich immer noch wie ein normaler, unverschlüsselter POST request aus. :rolleyes:

Ich weiß ja nicht was du da gemacht hast, aber da wird, bei aktiviertem JavaScript, kein PW in Klartext übertragen.

http://www.forum-3dcenter.de/vbulletin/login.php

POST /vbulletin/login.php HTTP/1.1
Host: www.forum-3dcenter.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1b1) Gecko/20060805 Firefox/2.0b1 (Sephiroth/AXP)
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.forum-3dcenter.de/vbulletin/
Content-Type: application/x-www-form-urlencoded
Content-Length: 202
vb_login_username=Sephiroth&vb_login_password=&do=login&vb_login_md5password=md5hashmeinespws&vb_login_md5password_utf=md5hashmeinespws


Wenn JS aus, dann wird freilich das PW klar lesbar übermittelt - das hab ich auch nie bestritten.

http://img247.imageshack.us/img247/3240/unbenanntgl7.th.jpg (http://img247.imageshack.us/my.php?image=unbenanntgl7.jpg)

Ich bin zufrieden.

Ich bin zufrieden.
Weshalb? Man kann sich ja mit dem hash, der unverschlüsselt über's Internet übertragen wird, einloggen. Ich sehe den Unterschied zu vorher irgendwie nicht.

Ganz ehrlich. Ich halte gar nichts davon.
Sowas macht wenn überhaupt nur für die Passwortübertragung Sinn.

Wenn das Forum komplett SSL basiert wäre, so wäre es EXTREM VIEL LANGSAMER, das kann ich euch versprechen.

Klickt euch beispielweise mal hier durch:
https://passwortcheck.datenschutz.ch/check.php

Die Seite ist komplett SSL und normal werdet ihr beim ersten Aufrufen der Seite und deren Links, eine deutlich Verzögerung wahrnehmen.

Ganz ehrlich. Ich halte gar nichts davon.
Sowas macht wenn überhaupt nur für die Passwortübertragung Sinn.

Wenn das Forum komplett SSL basiert wäre, so wäre es EXTREM VIEL LANGSAMER, das kann ich euch versprechen.

Klickt euch beispielweise mal hier durch:
https://passwortcheck.datenschutz.ch/check.php

Die Seite ist komplett SSL und normal werdet ihr beim ersten Aufrufen der Seite und deren Links, eine deutlich Verzögerung wahrnehmen.

Kann ich nicht feststellen, die Seite ist sogar sehr schnell.

Schlechtes Zeitgefühl? Langsamer Anschluss? Ich merke da deutliche Unterschiede.

Lösche bitte mal den Browsercache und gehe dann nochmal auf die Seite und klicke dich durch MEHRERE Links durch, wenn du schon auf der Seite bist.

Dann mach das gleiche z.B. mal bei www.heise.de

Der Unterschied sollte deutlich sein. Wo ich das auch immer merke, ist unter anderem bei premiere (Kundenlogin) oder puretec... da bauen sich da Seiten fast 2-3x so langsam auf, obwohl die eigentliche Webseite schnell ist.

Das ist natürlich relativ zu betrachten.

Es sind nur wenige Zehntelsekunden. Aber man merkt es.

Beim Posten weniger ein Problem, aber ich hätte kein Bock, 2-3x so lange zu warten, wenn ich mich mal durch die Foren und durch einzelne Threads klicke...

...und als nächstes? Soll Leonidas noch nen Bankserver hochziehen oder per Versicherung für die abgeschlossenen Geschäfte bürgen? Wie wahrscheinlich ist ein snoop auf die Serverleitung im Vergleich zu den damitz zusammenhängenden offenen WLAns.
Wer verhindert das Ihr Eure Bankdaten gesichert per Mail austauscht und nich ungesichert übers Forum? Ist das Leos Sache Eure Faulheit auzugleichen?

MFG

*Thread ausgrab*

HTTPS funktioniert ja mittlerweile. Könnt ihr vielleicht noch die Option stellen, dass Links in Email Benachrichtigungen als HTTPS statt HTTP übergeben werden?

Einige Seiten lassen sich durch Startcom Ltd. (http://www.startcom.org/?lang=de) verifizieren. Keine Ahnung, wie kostenlos und seriös die sind. Würde die Firefox Sicherheitsbenachrichtigung zumindest verschwinden lassen.

Einige Seiten lassen sich durch Startcom Ltd. (http://www.startcom.org/?lang=de) verifizieren. Keine Ahnung, wie kostenlos und seriös die sind. Würde die Firefox Sicherheitsbenachrichtigung zumindest verschwinden lassen.
http://www.cacert.org/index.php?id=3
Class 1 und Class 3 installieren tuts auch :tongue:

Stimmt, hätte das Zertifikat vorher mal anzeigen lassen sollen... :) Hatte self-signed vermutet.
Ist aber nur die halbe Miete, solange die Email Links noch HTTP sind.

Danke für das Aktivieren des SSL-Zugangs. Ist mir grad erst aufgefallen.
Ich weiß ja nicht was du da gemacht hast, aber da wird, bei aktiviertem JavaScript, kein PW in Klartext übertragen.Wenn ich mich aber mit dem Hash, so wie er über die Leitung geht, authentifizieren kann, setzt man ihn doch praktisch mit einem Klartext-Passwort gleich.

Es müssen echt nicht immer teure Zertifikate der CA-Mafia sein. Wenn es nur um Verschlüsselung geht, hat self-signed keinerlei Nachteile. Gegenüber unverschlüsseltem HTTP sowieso nicht, sofern sich der Benutzer der fehlenden Identifizierung bewusst ist. Will man auch die, müsste man halt über einen zweiten Kommunikationskanal einmalig Fingerprints austauschen. Das könnte man auch crowdsourcen. Anschließend läuft das ganze und der Browser warnt nur, wenn sich das Cert ändert. Genau wie es sein soll.

CAcert geht aber natürlich auch. Wenn ich mir die Liste der Root-Zeritifikate ansehe, dann wüsste ich nicht, weshalb ich denen mehr vertrauen sollte als CAcert. Audits hin oder her, da sind Legacy-Zertifikate dabei, die zwischenzeitlich schon zwanzig mal den Besitzer gewechselt haben. Die müssten aber zumindest bei Mozilla und afaik auch MS bald rausfliegen, da man dort in Zukunft mindestens einen 2048-Bit-Modulus sehen möchte. Da Chrome je nach OS entweder Mozillas NSS oder den Windows-Zertifikatsspeicher nutzt, gilt da auch dafür.