In der heutigen Zeit: Dieses Forum bietet KEIN SSL! Warum!?

[magnar]

Ich würde hiermit gern die Möglichekeit der Nutzung von https/SSL anregen, damit Benutzerdaten nicht mehr unverschlüsselt übertragen werden. Hierzu müßtet ihr freilich das Confixx auf einen anderen Port legen und auch ein Zertifikat von Thawte für den CN Android-Hilfe.de - Android Forum & Community besorgen.

Magnar Hirschberger

 

[inTrance]

Bleibt die Frage nach dem Kosten/Nutzen Verhältnis. Kosten für das Zertifikat, höhere Server-Belastungen, mgl. Upgrade des Servers, etc. vs. welchen exakten Nutzen? Dein Password ist hoffentlich auf jeder Website ein anderes. Und ich glaube kaum, dass Deine Leitung unsicher ist - Wenn, dann wird der Server selbst gehackt.

 

[magnar]

Hier die Antworten auf die Fragen:

Der Server besitzt bereits ein SSL-Zertifikat, Cyberwebhosting stellt hierfür sogar eine eigene CA zur Verfügung. Bisher wird es nur durch den Confixx-Admin-Zugang genutzt. Es ist also nur eine Frage der Konfiguration.

Die SSL-Verschlüsselung stellt keine hohen Anforderungen an die Rechenleistung des Servers.

Und natürlich benutze ich für verschiedene Logins unterschiedliche Passwörter ...

Wie sicher eine Leitung ist, läßt sich beim Surfen via Mobilfunk durch den Benutzer gar nicht einschätzen, ein unverschlüsselte Verbindung ist es jedenfalls nicht.

Es kommt hier auch nicht darauf an, ob und inwieweit der Server gehackt werden würde - es kommt auf den Datenschutz und die Sicherstellung der Integrität der Benutzerinhalte (z.B. Haftungsfragen) an.

Magnar Hirschberger

 

[sebastian]

Falls der Vorschlag von magnar wie von ihm geschrieben, ohne größere Umstände machbar wäre, plädiere ich auch dafür.

 

[dearExcellence]

Hallo,

Erstmal frohes neues

Ich bin nach längerer Abstinenz wieder mal hier und musste erschrocken feststellen, dass hier überhaupt nicht verschlüsselt übertragen wird.

Login-Prozeduren, Passwortübermittlung und Kommunikation können überall im Netz abgefangen und mitgelesen werden. Da kann man noch so ein sicheres Passwort verwenden, es hilft einem dann auch nichts, wenn es im Klartext durchs Netz wandert.

Ich würde mir wünschen (und sicher viele User auch, wenn sie wüßten wie fatal das sein kann), dass ihr auch eine HTTPS Nutzung ermöglicht.

Danke!

Schönen Gruß!

 

[Dexxmor]

Ich würde dein Anliegen verstehen, wenn dein Account (oder meiner) iwas wert währe, dem ist aber nicht so. Hier liegen keine sensiblen Daten (wenn doch WTF???) oder ähnliches auf dem Server. Und wenn du schon mit "Der heutigen Zeit" Kommst (In anspielung auf den NSA Skandal) Lies das hier. SSL bietet auch keinen Schutz.

 

[Android beta gama D]

Ich kann sein Anliegen schon verstehen, besser ist es allemal SSL einzusetzen.
Datenschutz sollte egal wie und wo schon nicht außer Acht gelassen werden, das es kein Schutz geben NSA und Co gibt dürfte jedem klar sein.
Warum hier kein SSL benutzt wird, kann und unser Admin sagen. Ich denke aber mal er hat seine Gründe.
Oder es sind erhebliche mehr kosten, die da auf einen zu kommen.
Aber damit kenne ich mich nicht so aus, das überlese ich denn Kenner unter uns.

 

[Lion13]

Wie Dexxmor schon treffend schreibt, ist SSL in heutiger Sicht nicht als wirklich sicher zu bezeichnen - und wiegt evtl. sogar den Nutzer in trügerischer Sicherheit.

Hinzu kommt, daß SSL-Verschlüsselung serverseitig deutlich rechenintensiver ist.

Ich bin in vielen Foren angemeldet, und mir ist ehrlich gesagt keines bekannt, das Verschlüsselung anbietet.

 

[Android beta gama D]

Aha also doch mit Mehrkosten verbunden, so was in die Richtung hatte ich schon erwartet.
Das es nur ne Art ausruhen auf einem Luft Kissen ist dürfte eigentlich jedem bekannt sein, bis jetzt gab es auch hier noch nie Probleme mit der Sicherheit.
Und wenn etwas war, wurde recht schnell vom Team / Admin reagiert.
Was in vielen anderen Foren nicht üblich ist.

 

[dearExcellence]

Bitte was!?

Was ist das denn für eine "ich habe nichts zu verbergen" Argumentation!?
Gehst Du auch immer mit offener Tür auf's öffentliche Klo wenn Du mal groß musst?

Lassen wir die Geheimdienste mal weg.

Es ist ja wohl klar, dass Zugangsdaten und Angaben die ich mache FÜR das Forum um sie danach privat einzustellen, wie Geburtsdatum, Passwort, Emailadresse und so weiter niemanden was angehen.
Ohne https wird das als Postkarte versendet durchs Netz. Und es war schon immer so, wegen ein Paar €€€ Kosten wird an der Sicherheit gespart. Das ist der Hauptgrund, warum viele Systeme so löchrig sind wie ein schweizer Käse.
Egal wie unwichtig ein System oder trivial ein Dienst sein mag, jeder hat das Recht seine Daten in Sicherheit zu wiegen und den Datenschutz vernünftig umgesetzt zu sehen.

Es gibt einfach kein legitimes Argument, das man gegen den Datenschutz und ein RECHT auf Privatsphäre halten kann.

Und ja, viele Forenbetreiber juckt das scheinbar nicht die Bohne bzw. ist leider nicht verbreitet bisher aber irgendwann sollte man mal irgendwo anfangen..

 

[Android beta gama D]

Das stimmt schon, warten wir mal die Reaktion vom Team / Admin darauf ab.
Vielleicht steht das ja sogar auf seiner Liste für 2014.

 

[mrrbr]

...
Egal wie unwichtig ein System oder trivial ein Dienst sein mag, jeder hat das Recht seine Daten in Sicherheit zu wiegen und den Datenschutz vernünftig umgesetzt zu sehen.

Es gibt einfach kein legitimes Argument, das man gegen den Datenschutz und ein RECHT auf Privatsphäre halten kann.

Und ja, viele Forenbetreiber juckt das scheinbar nicht die Bohne bzw. ist leider nicht verbreitet bisher aber irgendwann sollte man mal irgendwo anfangen..

Tja, soll ich Dir den Ausgang zeigen?

Wird das Geb.-Datum irgendwo hier verifiziert? Und eine "Spam-Mailadresse" reicht auch zur Anmeldung. Ich hab einen Phantasienamen in der Mail-Adresse, den ich nur für solche Forensachen nutze.

 

[Dexxmor]

Bitte was!?

Was ist das denn für eine "ich habe nichts zu verbergen" Argumentation!?
Natürlich habe ich Sachen zu verbergen, diese sind allerdings nicht in diesem Forum anzutreffen
Und es war schon immer so, wegen ein Paar €€€ Kosten wird an der Sicherheit gespart. Das ist der Hauptgrund, warum viele Systeme so löchrig sind wie ein schweizer Käse.
Gut, dann schalte bitte deinen Adblocker ab, damit diese Seite den Höheren Mehraufwand stemmen kann
Egal wie unwichtig ein System oder trivial ein Dienst sein mag, jeder hat das Recht seine Daten in Sicherheit zu wiegen und den Datenschutz vernünftig umgesetzt zu sehen.
Stimmt, allerdings sollte jeder auch wissen wieviel er von sich preisgeben will und wo er das macht.was nützt dir ein SSL Anmeldeverfahren, wenn das Forum durch die Höheren Kosten nicht mehr betrieben werden kann?
Und ja, viele Forenbetreiber juckt das scheinbar nicht die Bohne bzw. ist leider nicht verbreitet bisher aber irgendwann sollte man mal irgendwo anfangen..
Siehe die Roten Stellen

 

[Handymeister]

Hallo,

es ist derzeit nicht geplant SSL einzusetzen und mir ist auch derzeit kein anderes Forum bekannt, welches dies derzeit nutzt. Wir sind hier eben auch nur ein Forum und keine Hochsicherheitsplattform.

Viele Grüße
Handymeister

 

[Lion13]

... außerdem wird niemand dazu gezwungen, sich hier anzumelden, bzw. hier angemeldet zu bleiben.

Bei Online-Shops kann ich es ja schon verstehen, daß man auf eine gewisse Sicherheit setzt (wobei wie mehrfach erwähnt SSL nicht mehr wirklich sicher ist). Aber in einem Forum? Eine Mail-Adresse für solche Forenanmeldungen plus ein von KeePass erzeugtes, nirgendwo anders verwendetes Passwort - etwas anderes braucht man zur Anmeldung nicht...

 

[dearExcellence]

Naja, okay - ich wollte es ja nur mal zur Sprache bringen

@Lion ja so sollte es laufen

 

[mrrbr]

Hallo,

es ist derzeit nicht geplant SSL einzusetzen und mir ist auch derzeit kein anderes Forum bekannt, welches dies derzeit nutzt. Wir sind hier eben auch nur ein Forum und keine Hochsicherheitsplattform.

Die Administration hat sich doch schon gemeldet. Glaube nicht, daß Sebastian sich wegen so was auch extra meldet. Da gibt es wichtigere Sachen.

 

[PJF16]

Und es war schon immer so, wegen ein Paar €€€ Kosten wird an der Sicherheit gespart.
[...]
Es gibt einfach kein legitimes Argument, das man gegen den Datenschutz und ein RECHT auf Privatsphäre halten kann.
[...]
Und ja, viele Forenbetreiber juckt das scheinbar nicht die Bohne bzw. ist leider nicht verbreitet bisher aber irgendwann sollte man mal irgendwo anfangen..

Du weißt aber, dass das ein privates Forum ist und das auch jemand zahlen muss, oder? Bist du bereit diese Kosten zu übernehmen? Wirklich wichtige Sachen speichere ich wo anders, aber nicht hier.

 

[ONeill]

Eine sinnvolle SSL-Verschlüsselung erfordert ein qualifiziertes SSL-Zertifikat, welches bestenfalls global von allen Clients aus anerkannt wird. Wir gehen hier rein aus Kostensicht einfach mal von Symantic aka VeriSign aus. Hier haben wir beim günstigsten Produkt jährliche Kosten von 349 € (länger ist zwar günstiger möglich, ist aber auch ein gewisses Risiko, wer weiß schon, ob es das Forum in 2 Jahren noch gibt (ich hoffe mal schon!!!)). Nun hat man damit allerdings "lediglich" ein qualifiziertes Zertifikat, noch schöner wäre allerdings die "grüne" Leiste im Browser, also ein Zertifikat mit EV. Hier schnuppern wird dann schon schnell an der 1000 € Marke (oder höher) für ein Jahr.

Dazu kommt dann auch noch die bereits genannte Rechenleistung. Nun ist das Forum, wie bereits gesagt, privat betrieben und ausschließlich durch Werbung finanziert. Solche Kosten auf sich zu nehmen für i.d.R. fiktive Daten?

Grüße
Florian

 

[Kerile]

Wieso so hohe Preise? Sind Zertifikate von Startssl die umsonst zu haben sind weniger brauchbar als die teuren für 1000 €?