In der heutigen Zeit: Dieses Forum bietet KEIN SSL! Warum!?

[fax666]

Auf dem Weg zwischen einem internen Netzwerk und einer Webseite wie hier gibt es Dutzende Leute (und automatische Filter, vom BND liebevoll Selektoren genannt), die den Verkehr mitlesen können. So ein IP Paket wandert ziemlich weite Wege. VPNs nutzen da auch nichts, weil zwischen dem Austrittspunkt ins öffentliche Internet und dem eigentlichen Ziel noch diverse Hops liegen.

 

[Rosa Elefant]

Diejenigen, die diese "automatischen Filter" betreiben, kommen auch mit einem kurzen Anruf einfach an die Datenbank dieses Forums heran. Du suchst das Problem an der falschen Stelle.

 

[PJF16]

+1

@fax666 Das ist mir schon klar. Jedoch glaube ich nicht, dass die Leute mein Passwort von einem Android Forum interessiert (von meinen anderen Accounts wahrscheinlich auch nicht - aber das ist wieder ein anderes Thema).

 

[fax666]

Diejenigen, die diese "automatischen Filter" betreiben, kommen auch mit einem kurzen Anruf einfach an die Datenbank dieses Forums heran.

Ich hätte besser das Beispiel mit dem BND gelassen, das führt offensichtlich auf die falsche Spur. Es gibt zahlreiche Situationen, in denen sicherheitstechnisch nicht 100%ig beschlagene Menschen sich in unsicheren Netzwerken rumtreiben und Hackern aller Art ausgesetzt sind (Internetcafes, mehr oder weniger offene WLANs, gehackte Heimrouter, etc.).

Leider muss man auch davon ausgehen, dass die Mehrheit aller Internetteilnehmer ihre Passwörter wieder verwenden und ich finde schon, dass man als Betreiber eines Webdienstes eine Verantwortung hat, diese Passwörter zu schützen.

Jedoch glaube ich nicht, dass die Leute mein Passwort von einem Android Forum interessiert (von meinen anderen Accounts wahrscheinlich auch nicht - aber das ist wieder ein anderes Thema).

Also mit deinem Konto fiele mir schon einiges ein, was ich treiben könnte, selbst ohne Moderatorberechtigungen. Zum Beispiel Smartphones zum Verkauf anbieten, das Geld einstreichen (da gibt es durchaus Methoden, das nicht verfolgbar zu machen oder einen Dummen zu finden, der das Geld wäscht) und du darfst dich dann mit den Anzeigen rumärgern, wenn die Ware nicht ankommt. Wirklich interessant wäre allerdings der Zugang zu Emailkonten. Damit kann man dann normalerweise fast alle anderen Konten übernehmen, indem man die Passwörter zurücksetzen lässt.

 

[PJF16]

Ich glaube, dass du mich falsch verstanden hast. Ich meinte damit die Leute vom BND oder einem anderen Überwachungsdienst.

Also mit deinem Konto fiele mir schon einiges ein, was ich treiben könnte, selbst ohne Moderatorberechtigungen. Zum Beispiel Smartphones zum Verkauf anbieten, das Geld einstreichen (da gibt es durchaus Methoden, das nicht verfolgbar zu machen oder einen Dummen zu finden, der das Geld wäscht) und du darfst dich dann mit den Anzeigen rumärgern,

+1, jedoch geht von diesen Leuten die Gefahr aus, wenn sie dein Passowrt im selben Netzwerk (oder anders) mitsniffen. Das kann ein VPN verhindern. Aber natürlich bin ich auch dafür, dass SSL im Forum eingeführt wird. Unterstütze diesen Vorschlag auch schon lange (wie man ja nachlesen kann).

 

[Bulllseye]

Nunja, da man sich bei Telkodo mit diesem Account anmelden kann, kann man da einiges mit machen. In Zeiten von LetsEncrypt sollte das nichtmal finanziel ein Problem sein und die technische Umsetzung ist für die Loginseite, mehr als einfach zu bewerkstelligen

 

[jakob42]

Wenn jemand so weit in dein (oder dieses) Netzwerk eingreifen kann, dass er dein Passwort mitlesen kann, ist fehlende Transportverschlüsselung nicht das Problem, das dir am meisten Sorgen machen sollte.

Du bist also Dein eigener Provider? Auf der Arbeit bin ich wenigstens derjenige mit Zugriff auf die Firewall, aber das löst es ja für andere nicht. Außerdem gibt es immer noch einen dickeren Fisch den Fluss weiter hoch.

Egal, das ist hier sicherlich nicht Thema, aber das kann man ja nicht stehen lassen.

Bei fremden Netzwerken hat man wenig Einfluss darauf. Außer man verwendet VPNs.

Damit ein VPN ernsthaft helfen könnte, müsste man ja bis zum Android-Hilfe Server tunneln. Das wäre auch mal ein Service.

 

[PJF16]

Das habe ich ja schon oben klargestellt. Die Aussage hat sich auf das lokale Netzwerk bezogen.

@Bulllseye Siehe letzte Beiträge. Es geht nicht um die Kosten des Zertifikats.

 

[Bulllseye]

Oh letzten Satz überlesen.

Und was sind dann die Gründe gegen eine SSL Absicherung?

 

[PJF16]

Dass die Werbepartner bzw. die Agenturen, die nötig sind um das Forum kostenlos zu betreiben, noch keine Einbindung der Werbung über SSL unterstützen.

 

[Rosa Elefant]

Werbepartner bzw. die Agenturen, die nötig sind um das Forum kostenlos zu betreiben

So ein Webserver mit "ausreichend Leistung" für das bisschen PHP-Zeug, das hier läuft, kostet keine zehn Euro im Monat.
Die Domain vielleicht zehn im Jahr?
Die Software selbst einmal im Jahr 90 Euro, wenn ich das richtig in Erinnerung habe.

Liebe Güte. Bietet einfach Pro-Mitgliedschaften an. Wer zwei Euro im Jahr zahlt, kriegt dafür einen roten Benutzerbanner oder so einen Firlefanz. Zack, finanziert.
Und weil die Frage sowieso gleich kommt: Ja, ich wäre dabei.

 

[PJF16]

So ein Webserver mit "ausreichend Leistung" für das bisschen PHP-Zeug, das hier läuft, kostet keine zehn Euro im Monat.

Das hier ist kein Forum mit 1.000 User sondern mit knappen 400.000 Usern. Das Forum läuft auf einem Cluster von vier (oder fünf?) Servern. Da ist es mit "zehn Euro pro Monat" nicht getan.

Die Software selbst einmal im Jahr 90 Euro, wenn ich das richtig in Erinnerung habe.

Richtig, aber wie du ja siehst, wird das Forum auch immer weiterentwickelt und auf uns angepasst - also sind da teilweise enorme Eigenentwicklungen drinnen. Die kosten auch Geld. Wenn du dich ein bisschen in der Branche auskennst, dann weißt du ja, dass man da bei einer Coder-Stunde schnell bei über 100,-€ ist.

 

[Rosa Elefant]

Das Forum läuft auf einem Cluster von vier (oder fünf?) Servern.

Das halte ich für überdimensioniert.

Wenn du dich ein bisschen in der Branche auskennst, dann weißt du ja, dass man da bei einer Coder-Stunde schnell bei über 100,-€ ist.

In der Branche ist aber auch bekannt, dass Werbung keinen mehr juckt.

 

[PJF16]

Die Erfahrung hat aber gezeigt, dass dies nötig ist und nicht überdimensioniert.

In der Branche ist aber auch bekannt, dass Werbung keinen mehr juckt.

Deswegen schreibt Google ja Verluste. /ironieoff

 

[Rosa Elefant]

Nein, aber deswegen wird es immer schwieriger, seine Website mit Werbung zu finanzieren. Dafür zahlt kaum noch wer nennenswerte Beträge.
Außerdem klickt keiner Werbung wirklich an.
Siehe auch: https://nyti.ms/2nBvDmK

 

[PJF16]

...und noch schwieriger wird es, wenn User für ein Forum zahlen müssen. Warum zahlen wenn es gratis auch geht?

Außerdem liegt obliegt das nicht dir, mir oder dem Team, sondern alleinig dem Betreiber. Die Gründe warum SSL derzeit noch nicht verfügbar ist wurden dargelegt. Alles andere was nicht SSL betrifft ist OFF-Topic. Gerne kannst du aber einen neuen Thread anlegen.

 

[Rosa Elefant]

Außerdem liegt obliegt das nicht dir, mir oder dem Team, sondern alleinig dem Betreiber.

Weshalb ich versuche, dem Betreiber ein paar Ideen zu liefern, um das SSL-Problem zu lösen. Muss natürlich der Betreiber entscheiden, ob er sich da reinreden lässt.

 

[PJF16]

Habe ich auch nicht anders verstanden. Das gehört dann aber in einen extra Thread.

 

[Lopan]

...und noch schwieriger wird es, wenn User für ein Forum zahlen müssen.

Zumindest ich wäre wohl kaum bereit für ein völlig "über(un)moderiertes" Forum Geld zu bezahlen = quasi confatalis Telkodo.

Hierdurch bedingt ist wohl allen klar, dass es auf android-hilfe auch zukünftig keine SSL Unterstüzung geben wird.

 

[corvuscorax]

Eines meiner Lieblingsforen bekam nach der Umstellung die Tapatalk-Einbindung nicht mehr hin und ist nun raus. Da es auch keine mhtml Page und keine Android - App von denen gibt, wars das für mich...