In der heutigen Zeit: Dieses Forum bietet KEIN SSL! Warum!?

PJF16 · 2015-05-25T13:50:12+0200

Tut mir leid, da muss ich dir widersprechen. ~~Ich bin jetzt nicht jemand der jetzt unbedingt hier eine SSL Verbindung haben muss~~ (obwohl es nicht mal etwas kosten muss und bei richtiger Konfiguration keinen erhöhten Rechenaufwand mit sich bringt). SSL auf der ganzen Seite würde dann auch bedeuten, dass sichergestellt werden würde, dass auch wirklich das beim User angezeigt wird, was der Server gesendet hat. Das heißt, dass keine Manipulation von jemanden dazwischen möglich wäre. Dazu gehört dann eben auch, dass dritte keine schädlichen Links durch eine Man-In-The-Middle-Attack einbringen könnten.

Otandis_Isunos · 2015-05-25T14:17:41+0200

Das stimmt so nicht ganz. Logjam-Attacke: Verschlüsselung von zehntausenden Servern gefährdet | heise Security

PJF16 · 2015-05-25T14:27:27+0200

...und wenn man da entgegen wirkt ist man auch von dieser Attacke geschützt. Außerdem arbeiten die Browser Hersteller ja schon daran.

ONeill · 2015-05-25T22:32:32+0200

PJF16 schrieb:
bei richtiger Konfiguration keinen erhöhten Rechenaufwand mit sich bringt

Das stimmt so ja nicht. Kryptographische Verschlüschlellungsverfahren erfordern immer eine/mehrere zusätzliche Rechenoperationen und andere Verfahren eben zur Verschlüsselung der Daten (wenngleich diese meist vernachlässigt werden können, da vergleichsweise geringfügig mehr Ressourcen benötigt werden). Inwieweit dies nun unsere technische Infrastruktur beeinträchtigt, kann aber nur unser Admin sagen.

Grüße
Florian

ONeill · 2015-08-14T17:13:49+0200

Hallo zusammen,

wie einige sicher bereits in diesem Beitrag gelesen haben, wollen wir auch hier keine Info unter den Tisch fallen lassen. Nach längerer Planung ist es nun geplant, dass ab kommenden Montag android-hilfe.de nur noch über eine gesicherte Verbindung (umgangssprachlich SSL-Verbindung) erreichbar sein wird. Bitte beachtet auch, dass es unter Umständen zu kleineren Problemen während der Umstellung kommen kann.

Grüße
Florian

Andy · 2015-12-09T09:04:47+0100

Wenn ich die Seite https://www.android-hilfe.de aufrufe werde ich automatisch auf die unverschlüsselte http-Seite umgeleitet.
Ist da aktuell https/SSL serverseitig deaktiviert worden oder bin ich zu blöd dazu.

Rak · 2015-12-09T09:08:43+0100

@KatyB
Siehe hier:

ses schrieb:
Die SSL Umstellung wurde aufgrund von Änderungen an den Webservern zunächst verschoben.

Andy · 2015-12-09T09:10:35+0100

Aha ok - diese Info hab ich natürlich nicht gefunden (;
Schon irgendwas geplant, das doch noch umzusetzen?

ses · 2015-12-09T11:12:16+0100

In den nächsten Monaten wird es keine Umstellung auf SSL geben, dass hat u.a. auch damit zu tun das viele Werbekampagnen (Gäste von AH sehen bekanntlich Werbung, registrierte Mitglieder nicht) noch nicht mittels SSL ausgeliefert werden.

Otandis_Isunos · 2015-12-09T17:02:40+0100

Darf ich fragen welche Seiten das sein sollen? Denn alle Seiten die ich bspw mittels ScriptSafe blockiert bzw zugelassen habe, sind per https erreichbar.

Bulllseye · 2017-01-10T13:19:05+0100

Wie ist der Stand?
LetsCrypt kostet noch nicht mal was. Der steigende Rechenaufwand aufm Server kann ich nicht beurteilen

PJF16 · 2017-01-10T13:52:55+0100

Rechenaufwand ist es auch kein immens höherer bei richtiger Implementierung (Google hat z. B. bei der Umstellung auf SSL bei GMail keinen einzigen zusätzlichen Server wegen dem gebraucht.).

Das größte Problem ist das, was @ses oben geschrieben hat. Wie es dort nun aussieht, weiß nur @ses. Der gibt sicher auch gerne Rückmeldung.

User51 · 2017-01-18T00:06:37+0100

Wie es aktuell planungstechnisch aussieht, würde mich ebenfalls interessieren. Die Rückmeldung kam ja scheinbar leider nicht.

ses · 2017-01-18T09:55:24+0100

Hi,

wir beobachten das Thema nach wie vor - einen konkreten Termin zur Einführung von SSL gibt es aktuell aber noch nicht.

Viele Grüße
Sebastian

Rak · 2017-01-24T07:54:20+0100

@ses Hi, es sollte dringend mitberücksichtigen, wie nicht nur vereinzelte User demnächst die AH-Website für die Eingabe des Passwortes wahrnehmen werden. In Chrome kommt eine Warnung, die die Besucher sehr verschrecken kann.

Dieses "demnächst" ist ziemlich sehr bald:
Markierung unsicherer Seiten: Google Chrome 56 kommt voraussichtlich in dieser Woche - SEO Südwest

In einem anderen Forum erhielt der Admin von Google folgende Mitteilung (URL im Zitat entfernt):

Nonsecure Collection of Passwords will trigger warnings in Chrome 56 for http://...

To: owner of http://...

Beginning in January 2017, Chrome (version 56 and later) will mark pages that collect passwords or credit card details as “Not Secure” unless the pages are served over HTTPS.

The following URLs include input fields for passwords or credit card details that will trigger the new Chrome warning. Review these examples to see where these warnings will appear, and so you can take action to help protect users’ data. The list is not exhaustive.

http://...

The new warning is the first stage of a long-term plan to mark all pages served over the non-encrypted HTTP protocol as “Not Secure”.

Here’s how to fix this problem:

Use HTTPS pages to collect sensitive information

To prevent the “Not Secure” notification from appearing when Chrome users visit your site, move collection of password and credit card input fields to pages served using the HTTPS protocol.

PJF16 · 2017-01-24T10:12:07+0100

Sieht dann in etwa so aus (Google Chrome 58):

ONeill · 2017-01-28T19:22:48+0100

Was noch hinzukommt ist die Tatsache, dass das "Nicht sicher" nicht schon beim Aufruf der Seite kommt, wo man es leicht übersehen könnte, sondern es erst angezeigt wird, wenn man auf den "Anmelden" Button klickt. Da der Nutzer prinzipiell Bewegungen visuell eher aufschnappt als statischen Content (daher auch bewegte Werbebanner

) werden wohl viele Nutzer gerade bei AH.de dieses "Nicht sicher" eher bemerken.

@ses Wie viele Werbetreibende bieten denn noch kein HTTPS an? So viele können es doch nicht sein, oder? Ggf. sollte man bei denen mal freundlich nachfragen, wann die ihr Setup auf einen aktuellen Stand bringen. Gerade in Zeiten wo mobile und sichere Inhalte ein Rankingfaktor sind (zumindest laut Google), sollte man auf beides nicht wegen Werbebannern verzichten müssen. Wenn dem doch so ist, dann ist die Werbeindustrie kein Supporter von Inhalten mehr, sondern ein Nutznießer. Das Interesse der Werbetreibenden auf ah.de sollte auch sein, dass das Forum weiterhin gut ranked und auch auf aktuellen Technologien beruht, und diese nicht blockieren.

jakob42 · 2017-03-22T16:48:51+0100

Firefox hat auch nachgezogen und blendet nun eine Warnung ein. Ist mir ein wenig peinlich, dass es mir vorher nie aufgefallen ist, dass ich mein Passwort hier unverschlüsselt übertrage. (Zum Glück dank einzigartigem Passwort und 2FA auch nicht so schlimm für mich.) Sollte man also zumindest für die Anmeldung in Erwägung ziehen.

Rosa Elefant · 2017-04-04T15:18:34+0200

Wenn jemand so weit in dein (oder dieses) Netzwerk eingreifen kann, dass er dein Passwort mitlesen kann, ist fehlende Transportverschlüsselung nicht das Problem, das dir am meisten Sorgen machen sollte.

PJF16 · 2017-04-04T16:07:10+0200

Bei fremden Netzwerken hat man wenig Einfluss darauf. Außer man verwendet VPNs.

In der heutigen Zeit: Dieses Forum bietet KEIN SSL! Warum!?

PJF16

Ehrenmitglied

Otandis_Isunos

Ehrenmitglied

PJF16

Ehrenmitglied

ONeill

Ehrenmitglied

ONeill

Ehrenmitglied

Andy

Ehrenmitglied

Rak

Gesperrt

Andy

Ehrenmitglied

ses

Administrator

Otandis_Isunos

Ehrenmitglied

Bulllseye

Fortgeschrittenes Mitglied

PJF16

Ehrenmitglied

User51

Erfahrenes Mitglied

ses

Administrator

Rak

Gesperrt

PJF16

Ehrenmitglied

Anhänge

ONeill

Ehrenmitglied

jakob42

Stammgast

Rosa Elefant

Gast

PJF16

Ehrenmitglied

Ähnliche Themen