Ist doch bei den grenzwertigen Diskussionen und BigBrother echt angebracht oder?

das debianforum hat sowas z.b. auch
https://www.debianforum.de

und was ist der sinn dahinter?

Damit niemand sieht und mitkriegt was der Gast liest oder schreibt!

Zusätzliche Serverlast und für jeden URL exakt eine IP.

und was ist der sinn dahinter?

der sinn ist das staat nicht mehr mitbekommt, was man hier postet, sofern die leitungen angezapft werden

der sinn ist das staat nicht mehr mitbekommt, was man hier postet, sofern die leitungen angezapft werden

Falsch , da hast was falsch verstanden.Was du von zu Haus im Internet tust "könnte" der Staat immer noch herausfinden.
Drunk

Falsch , da hast was falsch verstanden.Was du von zu Haus im Internet tust "könnte" der Staat immer noch herausfinden.
Drunk

und bitte wie? SSL ist 256Bit AES verschlüsselt!

Du hast dich wahrscheinlich immer noch nicht über https informiert. Wenn du recht hättest würden sich kriminelle Vereinigungen , terroristen, kinderschänder ,usw. einfach über https austauschen und sie wären sicher und könnten den untergang der welt planen ohne erwischt zu werden.Da die Leute trotzdem übers intenet erwicht werden(und böse menschen sind nicht automatische Dumme Menschen, oft sogar umgekehrt) kann das was du sagst schon mal nicht stimmen.

mfg
Drunk

Du hast dich wahrscheinlich immer noch nicht über https informiert. Wenn du recht hättest würden sich kriminelle Vereinigungen , terroristen, kinderschänder ,usw. einfach über https austauschen und sie wären sicher und könnten den untergang der welt planen ohne erwischt zu werden.Da die Leute trotzdem übers intenet erwicht werden(und böse menschen sind nicht automatische Dumme Menschen, oft sogar umgekehrt) kann das was du sagst schon mal nicht stimmen.

mfg
Drunk

Da irrst du dich. Die meisten Terroristen sind dümmer als man denkt.
So haben z.B. die Terroristen die letztens geschnappt wurden in irgemdsonem dörfchen zwar offene WLans (in er nähe!!) benutzt, aber ihren standort nicht weiter anonymisiert...somit konnte man sie schon verdammt gut einkreisen..

Aber zum Hauptthema:
HTTPS ist zudem nur dazu gut, das Abhören unmöglich zu machen, die IP-Adresse wird dadurch natürlich nicht anonymisiert. Das muss man natürlich zusätzlich machen!!

Du hast dich wahrscheinlich immer noch nicht über https informiert. Wenn du recht hättest würden sich kriminelle Vereinigungen , terroristen, kinderschänder ,usw. einfach über https austauschen und sie wären sicher und könnten den untergang der welt planen ohne erwischt zu werden.Da die Leute trotzdem übers intenet erwicht werden(und böse menschen sind nicht automatische Dumme Menschen, oft sogar umgekehrt) kann das was du sagst schon mal nicht stimmen.

mfg
Drunk


Und.. Onlinebanking?

und bitte wie? SSL ist 256Bit AES verschlüsselt!
Hilft aber nix wenn die Polente bei Leonidas anrückt. :D

Hilft aber nix wenn die Polente bei Leonidas anrückt. :D

dann müssen sie ihm aber erstmal den schlüssel entlocken...und den wird er sicher nicht preisgeben!

Hilft aber nix wenn die Polente bei Leonidas anrückt. :D
Bei Leonidas? Wohl eher nicht... :D
Seiteninhaber und damit alleiniger Anprechpartner in allen rechtlichen und administrativen Angelegenheiten ist die Firma Whitianga Marketing Ltd. auf den britischen Jungfern-Inseln. Man beachte bitte die Erklärung der Whitianga Marketing Ltd., BVI zum Status von 3DCenter.org vom 12. Januar 2006. Die Firma Whitianga Marketing Ltd., BVI kann folgendermaßen erreicht werden:

Whitianga Marketing Ltd., BVI
P.O. Box 1244
9490 Vaduz
Liechtenstein

Du hast dich wahrscheinlich immer noch nicht über https informiert. Wenn du recht hättest würden sich kriminelle Vereinigungen , terroristen, kinderschänder ,usw. einfach über https austauschen und sie wären sicher und könnten den untergang der welt planen ohne erwischt zu werden.Da die Leute trotzdem übers intenet erwicht werden(und böse menschen sind nicht automatische Dumme Menschen, oft sogar umgekehrt) kann das was du sagst schon mal nicht stimmen.

mfg
Drunk

Du haettest auch gleich sagen koennen, dass du von HTTPS keinen Schimmer hast und dich nur auf sehr gewagte Behauptungen stuetzt.

Ich würde sagen, es sind schlicht die zusätzlichen Kosten. Natürlich würden wir dem 3DC auch so vertrauen, aber https ohne richtiges Zertefikat wäre auch irgendwie hohl.

Damit niemand sieht und mitkriegt was der Gast liest oder schreibt!Ich möchte zwar mein privates leben schützen, aber wenn ich Kritik an irgendjemanden ausübe, dann weiß ich nicht warum ich dazu nicht stehen sollte oder könnte.

Hast du Angst daß sie dich verwanzen, wenn du der Meinung bist daß die große Koalition oder auch ihre bestandteile mittlerweile untragbar für das deutsche Volk geworden sind? Wenn du solche Angst hast, dann halt dich vielleicht lieber komplett zurück.

Geld und Angst regieren die Welt. Es ist keine gute Idee sie aus dem Angszustand heraus kritisieren oder verändern zu wollen. Hör dir mal selbst vernünftig zu, dann erkennst du wie paranoid solche Vorschläge sind.
Du drängst dich selbst in eine Ecke, in welche die Regierenden auch in 5 Jahren sich noch nicht trauen werden dich zu drängen.

Du willst wohl fett aufmucken, bist aber bereits ein unmündiger Wrack. Das ist krank.

Anderer Vorschlag. Bevor sie dich auch noch verknacken geh lieber selbst auf die Wache und stell dich erstmal in eine offene Zelle. Das verwirrt sie nicht weniger als https.

Ohne HTTPS wird z.B. das User-Passwort unchiffriert übermittelt. Ob das nun Sinn macht deshalb verschlüsselt zu übertragen?

Oder einfach als Gast posten!? Imo eh einer _DER_ Werte pro 3dc.
Schade, daß diese Möglichkeit so eingeschränkt wurde. Auf der anderen Seite ist dadurch der Nonsens(-Spam) merklich zurückgegangen.

Ergo: Alles ist gut! Oder?

Ohne HTTPS wird z.B. das User-Passwort unchiffriert übermittelt.Und das kann wer genau abfangen und was genau dann damit anstellen?

Ob das nun Sinn macht deshalb verschlüsselt zu übertragen?Nein. Es sei denn man könnte nach dem Login wieder auf unverschlüsselt wechseln.

Und das kann wer genau abfangen und was genau dann damit anstellen?

Nein. Es sei denn man könnte nach dem Login wieder auf unverschlüsselt wechseln.

Rosinenpicker, oder? :)

Ein _möglicher_ Missbrauch ist damit dargestellt. Nicht mehr und nicht weniger. Und wieso sollte die Chiffrierung nur zum loggen wirksam sein?

Und das kann wer genau abfangen und was genau dann damit anstellen?


Ich kann das, wenn du den Mumm hättest
A) dich zu registrieren und einzuloggen
und
B) dies an einem Ort tust, wie z.b. ein Internet-Cafe mit offenem WLAN.


Ich muß dann nur am offenen WLAN lauschen und kriege alle Passwörter mit, die darüber unverschlüsselt gesendet werden.



Nein. Es sei denn man könnte nach dem Login wieder auf unverschlüsselt wechseln.[/QUOTE]

Ich finde die Idee gut.

Alle Foren sollten HTTPS anbieten.

Wenn man anonym im Netz unterwegs sein möchte, nimmt man z.B. Tor und Proxifier (http://www.proxifier.com/index.htm).

Alles wird verchlüsselt übertragen, der ISP bekommt nicht mit, wohin man surft, die Zielseite (beim reinen Websurfen) bekommt nicht mit, WER ich bin, aber... der letzte TOR Knoten in der Kette kann die übermittelten Daten mitlesen...

und damit auch Logins + Passwörter für Web-Email und Foren und natürlich den Inhalt des geposteten Textes. Damit hätte ein Knoten zwar noch nicht die Info WER, aber er hätte die Zugangsdaten...

Das hat nichts mit Mumm, sondern mit Grundwissen. Denn

Ich muß dann nur am offenen WLAN lauschen und kriege alle Passwörter mit, die darüber unverschlüsselt gesendet werden.hier WPA2. Viel Spaß und auch der Rest armored.

Hat nach der Installation alles 30min gedauert.

Sollen wir nicht noch etwas für Leute einbauen die vielleicht ihre Laptops im Sommer nachts im Garten liegen lassen?

@drmaniac
Klick dich doch in das debianforum mal rein. Dann weißt du auch wirklich wie toll du es findest. Ob 19k Modem oder VDSL. Alle haben den gleichen Speed. Mit Sicherheit ;)

@drmaniac
Klick dich doch in das debianforum mal rein. Dann weißt du auch wirklich wie toll du es findest. Ob 19k Modem oder VDSL. Alle haben den gleichen Speed. Mit Sicherheit ;)

Das Debianforum ist mit https:// nicht langsamer als ohne..

Ich hab gestern zig Sekunden pro Seite gewartet.

Fassen wir zusammen. https ergibt Sinn, falls man sich über unverschlüssellten WLAN in Foren einloggt.

Aufwand-Kosten-Nutzen? Hallo?

Natürlich gibt es noch andere Argumente dafür. Die waren bis jetzt aber nicht zu hören und wenn sie es wären, würden sie auf 3dc kaum zutreffen. Haben wir sonst keine Probleme hier?

Fassen wir zusammen. https ergibt Sinn, falls man sich über unverschlüssellten WLAN in Foren einloggt.

Aufwand-Kosten-Nutzen? Hallo?

Natürlich gibt es noch andere Argumente dafür. Die waren bis jetzt aber nicht zu hören und wenn sie es wären, würden sie auf 3dc kaum zutreffen. Haben wir sonst keine Probleme hier?

Argumente gibts genug! BIG BROTHER IS WATCHING YOU!!
http://www.polylog.tv/videothek/videocast/9087/

Das kennen wir schon. Wir leben hier nicht hinterm Mond. Oder in Mecklenburg-Vorpommern.

Nur was genau hast du aus dem Beitrag 10 nicht verstanden?

Nur was genau hast du aus dem Beitrag 10 nicht verstanden?16, meine ich.

Wieso wird nicht einfach beides angeboten?

Also http und https?


Man müßte doch nur ne Port Nummer in der url mitangeben, damit klar ist was man will und der Admin müßte das Forum unter beiden Protokollen anbieten.

Intern ist das Forum eh nur ein einziges Programm und wo die Oberfläche hinzeigt ist schließlich egal.

Peilst du das nicht?

Das Geheule nervt langsam.

Peilst du das nicht?

Das Geheule nervt langsam.

was is los?

Ich finde die Idee gut.

Alle Foren sollten HTTPS anbieten.

Wenn man anonym im Netz unterwegs sein möchte, nimmt man z.B. Tor und Proxifier (http://www.proxifier.com/index.htm).

Alles wird verchlüsselt übertragen, der ISP bekommt nicht mit, wohin man surft, die Zielseite (beim reinen Websurfen) bekommt nicht mit, WER ich bin, aber... der letzte TOR Knoten in der Kette kann die übermittelten Daten mitlesen...

und damit auch Logins + Passwörter für Web-Email und Foren und natürlich den Inhalt des geposteten Textes. Damit hätte ein Knoten zwar noch nicht die Info WER, aber er hätte die Zugangsdaten...

Auch mit Tor wird nicht alles verschlüsselt, du solltest dich besser über Tor informieren, bevor du dich darauf verläßt !

Wieso wird nicht einfach beides angeboten?

Also http und https?


Man müßte doch nur ne Port Nummer in der url mitangeben, damit klar ist was man will und der Admin müßte das Forum unter beiden Protokollen anbieten.

Intern ist das Forum eh nur ein einziges Programm und wo die Oberfläche hinzeigt ist schließlich egal.

ähm, für was gibt es standard-ports? du gibts ja bei normalem http auch nicht immer :80 an. aja, weil hier das sicherheits forum ist darf man sicher nicht die standard-ports verwenden.

ich wäre für 49253 für http und 64347 für https, wer was dagegen?

mfg

Zusätzliche Serverlast und für jeden URL exakt eine IP.

eher eine ip oder einen port.

mfg

Wer über ein unverschlüsseltes WLAN reingeht sollte soundso schauen, dass er sich nen VPN-Zugang holt (z.B. swissvpn).
Eine Loginverschlüsselung wäre sicher auch ohne HTTPS/SSL möglich, z.B. über Javascript. Problem ist aber, dass das Abfangen des Cookies ja schon ausreicht sofern die restlichen Seiten ohne SSL sein (sofern Cookielogin weiter funktionieren soll).
Fraglich ist, ob das 3dcenter-Passwort oder die Inhalte generell tatsächlich so schützenswert sind, zumal die Posts ja eh öffentlich zugänglich sind und in der Regel es auch keinen interessieren dürfte welchen Post man hier genau angesehen hat. Die Tatsache, dass man das Forum besucht lässt sich ohnehin dadurch nicht verschleiern und auch der Username ließe sich durch Vergleich der Besuche und in der Zeit erstellten Posts zuordnen. Zudem existieren diverse Angriffe gegen SSL, die ein Mitlesen erlauben und welche entsprechende staatliche Institutionen oder einigermaßen versierte Angreifer mit Sicherheit einsetzen würden.
Durch die SSL-Verschlüsselung entsteht in der Tat ein nicht zu verachtender zusätzlicher Aufwand für den Server, da für jeden Seitenabruf erstmal der Handshake gemacht (dies ist der rechenintensivste Teil der Verschlüsselung!) und dann dann ja auch die ganze Seite (diese hier ist z.B. über 100kb groß!) verschlüsselt werden muss. Angesichts des zweifelhaften Sicherheitsgewinnes halte ich diesen Aufwand für nicht gerechtfertigt.

Na ja, https anzubieten auf einem dedizierten Server ist an sich keine Sache und kost auch nix, sofern man kein Zertifikat einer annerkannten Zertifizierstelle verwenden. (und selbst wenn, die günstigsten sind da für 30€ zu haben)
Aber so ein selfsigned Cert tuts i.d.R. auch, wenn man offiziell die Site nur über http anpreist und wer dann halt https wählt, soll halt die Zertifikatswarnung halt bestätigen und/oder das entsprechende Cert dann selber als "thrusted" speichern.

Wegen der CPU Last weiss ich grad nicht wieviel das ausmacht, wenn das Forum aber eh die grösste Zeit mit SQL Querys verbratet, so macht die encryption nicht mehr viel aus.

Zudem existieren diverse Angriffe gegen SSL, die ein Mitlesen erlauben und welche entsprechende staatliche Institutionen oder einigermaßen versierte Angreifer mit Sicherheit einsetzen würden.
Es gab mal einen theoretischen Ansatz wie man (Open)SSL knacken könnte, doch diese Vulnerability wurde schnell gefixt und seitdem ist das ganze an sich wieder als sehr sicher einzustufen. (sofern man keinen alten Browser mit 40bit encryption verwendet)

eher eine ip oder einen port.

mfg

stimmt auch nicht, u.a. unterstuetzt der apache sogennannte Multidomain Zertifikate fuer VirtualHosts. ist eine art "ausgenutzte luecke" es rfc..

und bitte wie? SSL ist 256Bit AES verschlüsselt!

Nun geht das schonwieder los. 256Bit AES und jetzt? Das ganze ist vielleicht für dich ein Hindernis...nicht für die Regierung die bereit ist zu Zahlen.

Ich finde die Idee gut.

Alle Foren sollten HTTPS anbieten.

Wenn man anonym im Netz unterwegs sein möchte, nimmt man z.B. Tor und Proxifier (http://www.proxifier.com/index.htm).

Alles wird verchlüsselt übertragen, der ISP bekommt nicht mit, wohin man surft, die Zielseite (beim reinen Websurfen) bekommt nicht mit, WER ich bin, aber... der letzte TOR Knoten in der Kette kann die übermittelten Daten mitlesen...

und damit auch Logins + Passwörter für Web-Email und Foren und natürlich den Inhalt des geposteten Textes. Damit hätte ein Knoten zwar noch nicht die Info WER, aber er hätte die Zugangsdaten...

Ja nutzt am besten gleich alle TOR, mal sehen was es euch nutzt.

Nun geht das schonwieder los. 256Bit AES und jetzt? Das ganze ist vielleicht für dich ein Hindernis...nicht für die Regierung die bereit ist zu Zahlen.

Hallo mein KIND,

befass dich mal ein wenig mit Mathematik und Kryptologie...Dann wirst du merken, was für ein Stuss du redest!

Ohne HTTPS wird z.B. das User-Passwort unchiffriert übermittelt. Ob das nun Sinn macht deshalb verschlüsselt zu übertragen?

Selbst das wird per sé beim vB nur als Prüfsumme zum Server gesendet (erlaubt bei Abfang aber immer noch den Login).

Selbst das wird per sé beim vB nur als Prüfsumme zum Server gesendet (erlaubt bei Abfang aber immer noch den Login).

Prüfsumme von was? Wie ist doch prinzipiel egal, oder wäre das schon eine Art Verschlüsselung? Nene, oder wie?

Selbst das wird per sé beim vB nur als Prüfsumme zum Server gesendet (erlaubt bei Abfang aber immer noch den Login).

die prüfsumme muss dann aber mit javascript gebildet werden -> sinnlos. http ist halt leider ein plaintext protokoll, wenn die prüfsumme am server gebildet wird ist es schon viel zu spät. die GET/POST daten werden bei reinem http immer plaintext übertragen.

mfg

Prüfsumme ist keine symetrische Verschlüsselung wie bei SSL angewendet, sondern eben eine recht eindeutige Prüfsumme eines Wertes.
Ist mir schon klar, dass das Plaintext ist, aber wenn ich einen GET/POST-Request abfange, in dem eine Prüfsumme steht statt des richtigen Passworts, kann ich mich zwar nun einloggen, ohne das Passwort zu kennen, aber wenn ich vermute, der User verwendet dummerweise ein globales Passwort für mehrere System, muss ich bruten. Wenn ich mir den Spaß machen will, kann ich den PC tagelang arbeiten lassen.

Insofern, besser als überhaupt nichts, meine ich.

...

Insofern, besser als überhaupt nichts, meine ich.

nein

nein
Doch!

(um mal bei sinnlosen kurzen Antworten ohne Erläuterung zu bleiben) - hängt von der Implementierung ab etc.. speichern beide Seiten nur den Hash ist es eigentlich wurscht mitgelesener Hash bringt dich rein. Aber der Forenbetreiber kennt dann dein PW nicht.

SSL lohnt sich bei nem Forum wie diesem mit Sicherheit nicht.. um alle Seiten ssl Verschlüsselt ausliefern zu können braucht man ne menge Rechenleistung (oder ne Niagara T2). Viele "große" Installationen/Projekte nutzen SSL Terminatoren/Offload-Engines die SSL vor dem Server beenden und unverschlüsselt im Rechenzentrum weitersenden.

Ein großartiger Sicherheitsgewinn ist eh nicht zu erkennen. Man-in-the-Middle auf ein 3D/Nerd/Whatever Forum sind eher unwahrscheinlich, wer Angst hat weil er in nem offenen WLAN surft sollte WPA konfigurieren, VPN oder nen SSL tunnel auf nen sicheren Rechner nutzen.
Unterschiedliche Passwörter (für Foren, Shops, Email, Onlinebanking) sind eh Pflicht. Bekanntes oder gleiches Email Passwort ist in Zeiten von Passwort Reminderfunktionen ein klares No-No.

nur Login zu verschlüsseln ist eine Möglichkeit, kommt aber darauf an wie dann die Cookies/Session Infos an den Server weitergeben wird, man will ja nicht bei jedem Posten wieder einloggen. Geschieht das Unverschlüsselt gewinnt man zwar Schutz des PWs, aber nicht unbedingt Schutz der Session.

Da irrst du dich. Die meisten Terroristen sind dümmer als man denkt.
So haben z.B. die Terroristen die letztens geschnappt wurden in irgemdsonem dörfchen zwar offene WLans (in er nähe!!) benutzt, aber ihren standort nicht weiter anonymisiert...somit konnte man sie schon verdammt gut einkreisen..

Aber zum Hauptthema:
HTTPS ist zudem nur dazu gut, das Abhören unmöglich zu machen, die IP-Adresse wird dadurch natürlich nicht anonymisiert. Das muss man natürlich zusätzlich machen!!
Schau dir mal an, wie perfekt der Anschlag für den 11.September vorher geplant wurde. Sowas ist schlau

SSL lohnt sich bei nem Forum wie diesem mit Sicherheit nicht.. um alle Seiten ssl Verschlüsselt ausliefern zu können braucht man ne menge Rechenleistung (oder ne Niagara T2).
Nein.

Im Übrigen bedeutet das Anbieten einer gesicherten Übertragung nicht, keinen ungesicherten Weg mehr anzubieten. Egal ob Webmail, Forum oder Nachrichtenportal, die meisten Seiten die HTTPS einsetzen tun dies nur alternativ, dh wer nicht explizit das https:// davorsetzt wird davon niemals etwas mitkriegen. Da gibt dann auch keine Ressourcen-Probleme, da alle die keinen Wert auf Verschlüsselung legen die HTTPS-Verbindung gar nicht nutzen/von ihr erfahren werden.

Ein großartiger Sicherheitsgewinn ist eh nicht zu erkennen. Man-in-the-Middle auf ein 3D/Nerd/Whatever Forum sind eher unwahrscheinlich, wer Angst hat weil er in nem offenen WLAN surft sollte WPA konfigurieren, VPN oder nen SSL tunnel auf nen sicheren Rechner nutzen.
Umm, genau um diese SSL-gesicherte Übertragung geht es doch hier.

Nein.

Im Übrigen bedeutet das Anbieten einer gesicherten Übertragung nicht, keinen ungesicherten Weg mehr anzubieten. Egal ob Webmail, Forum oder Nachrichtenportal, die meisten Seiten die HTTPS einsetzen tun dies nur alternativ, dh wer nicht explizit das https:// davorsetzt wird davon niemals etwas mitkriegen. Da gibt dann auch keine Ressourcen-Probleme, da alle die keinen Wert auf Verschlüsselung legen die HTTPS-Verbindung gar nicht nutzen/von ihr erfahren werden.


Umm, genau um diese SSL-gesicherte Übertragung geht es doch hier.

dann ist noch die frage ob wirklich alles verschlüsselt übertragen wird.

das beste sind immer https formulare die die daten dann plaintext per mail weitersenden :D

mfg

Umm, genau um diese SSL-gesicherte Übertragung geht es doch hier.Mitnichten. Es geht nicht um die von /dev/null erwähnte Übertragung, sondern um die nach 3dcenter.org/vbulletin.

Hmm

nehmen wir an, es gibt https alternativ, irgendwann nutzen 30% der User (die Sicherheitbewußten) die Möglichkeit --> Performanceprobleme!

Was Du mit meiner erwähnten Übertragung meinst verstehe ich grade nicht..

Sicherlich ne nette idee, aber als 3DCenter betreiber (Leo?) nicht wichtig.