1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Google Chrome: Ab heute heißt…

Gut so

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Gut so

    Autor: idiotikum 24.07.18 - 15:30

    Es gibt keinen Grund HTTPS nicht zu verwenden. Finde diese Anpassung gut.

  2. Re: Gut so

    Autor: gadi 24.07.18 - 15:35

    Wie wäre es mit:
    Der unnötige Mehraufwand bei internen Seiten?

    Oder hast du ein Zertifikat für deinen Drucker, Router, was es sonst noch so gibt?

  3. Re: Gut so

    Autor: idiotikum 24.07.18 - 15:42

    Betrifft es diese Adressen auch?

  4. Re: Gut so

    Autor: gadi 24.07.18 - 15:47

    Das ist die Frage, denn das was im Artikel steht:
    > In der jetzt veröffentlichten Version 68 steht vor der Adresse jeder Webseite, die ohne TLS-Schutz übertragen wurde: "Nicht sicher".

    Das steht schon seit einigen Versionen (aktuell v67.0.3396.99) bei mir neben der Adressleiste, wenn ich zb. fritz.box oder das Webinterface von meinem Drucker öffne. Daher weiß ich nicht ob das nun das ist wovon hier gesprochen wird oder ob es ab v68 so eine Terrormeldung gibt wie bei ungültigen Zertifikaten.



    1 mal bearbeitet, zuletzt am 24.07.18 15:47 durch gadi.

  5. Re: Gut so

    Autor: Rufus20 24.07.18 - 15:49

    Bei internen Seiten kann mit eigenen Zertifikaten gearbeitet werden und gut ist.

  6. Re: Gut so

    Autor: Schnarchnase 24.07.18 - 15:49

    Für reine Informationsseiten gibt es auch keinen zwingenden Grund HTTPS zu verwenden. Es bringt kaum mehrwert, außer dass MITM-Attacken erschwert werden.

    Für lokal gehostete Seiten bekommst du übrigens keine Zertifikate, es sei denn du machst sie allein zu diesem Zweck auch aus dem Internet erreichbar. Was wiederum kontraproduktive für die Sicherheit wäre.

    Ich sehe da genug Potential für Kritik und keinesfalls eine einfache, eindeutig richtige Entscheidung.

  7. Re: Gut so

    Autor: Schnarchnase 24.07.18 - 15:50

    Bei selbst erstellten Zertifikaten wird auch heute schon gewarnt.

  8. Re: Gut so

    Autor: RipClaw 24.07.18 - 15:51

    gadi schrieb:
    --------------------------------------------------------------------------------
    > Das ist die Frage, denn das was im Artikel steht:
    > > In der jetzt veröffentlichten Version 68 steht vor der Adresse jeder
    > Webseite, die ohne TLS-Schutz übertragen wurde: "Nicht sicher".
    >
    > Das steht schon seit einigen Versionen (aktuell v67.0.3396.99) bei mir
    > neben der Adressleiste, wenn ich zb. fritz.box oder das Webinterface von
    > meinem Drucker öffne. Daher weiß ich nicht ob das nun das ist wovon hier
    > gesprochen wird oder ob es ab v68 so eine Terrormeldung gibt wie bei
    > ungültigen Zertifikaten.

    Nein das ist die gleiche Meldung.

    Vorher waren nur die Seiten betroffen die Formular Elemente enthielten und keine Verschlüsselung benutzt wurde. Jetzt sind generell alle Seiten betroffen die keine Verschlüsselung verwenden.

    Aber wie du schon festgestellt ist das nur ein kleiner Hinweis in der URL Leiste. Nichts dramatisches.

  9. Re: Gut so

    Autor: pinki 24.07.18 - 15:54

    Für lokal gehostete Seiten im Unternehmen könnte man eine eigene CA betreiben, der die Geräte unternehmensweit vertrauen. Damit hätte man auch die zwingende Erreichbarkeit von außen umschifft.

  10. Re: Gut so

    Autor: Schnarchnase 24.07.18 - 16:10

    Das mag sich für größere Unternehmen lohnen, für kleinere eher nicht und ganz sicher nicht für Privatpersonen.

  11. Re: Gut so

    Autor: unbuntu 24.07.18 - 16:28

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Für reine Informationsseiten gibt es auch keinen zwingenden Grund HTTPS zu
    > verwenden. Es bringt kaum mehrwert, außer dass MITM-Attacken erschwert
    > werden.

    Aha und das ist nicht Grund genug?

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  12. Re: Gut so

    Autor: Spaghetticode 24.07.18 - 16:43

    pinki schrieb:
    --------------------------------------------------------------------------------
    > Für lokal gehostete Seiten im Unternehmen könnte man eine eigene CA
    > betreiben, der die Geräte unternehmensweit vertrauen. Damit hätte man auch
    > die zwingende Erreichbarkeit von außen umschifft.

    Im Prinzip kann man die eigene CA in jedem LAN nutzen. Der Nachteil ist aber, dass man das Root-Zertifikat auf allen Geräten installieren muss, auch auf „Fremdgeräten“ (BYOD, Besucher). Gerade die „Fremdgeräte“-Nutzer müssen aber dem Zertifikatsaussteller vertrauen, da dieser dann möglicherweise „gültige“ Zertifikate für jede beliebige Webseite ausstellen könnte.

    Eine Lösung ohne Installation von Zertifikaten wäre, einfach eine Domain zu registrieren und den Servern im LAN Subdomains dieser Domain zu geben. Das bedeutet nicht, dass alle Server aus dem Internet erreichbar sein müssen. Je nach externer CA genügt es sogar, lediglich die Kontrolle über eine E-Mail-Adresse „webmaster@[domain]“ zu haben.

  13. Re: Gut so

    Autor: gadi 24.07.18 - 16:55

    Ich will sehen wie du das bei einen Otto Normalverbraucher machst.

  14. Re: Gut so

    Autor: gadi 24.07.18 - 16:56

    Ah gut, danke für die Info.

  15. Re: Gut so

    Autor: Schnarchnase 24.07.18 - 17:05

    unbuntu schrieb:
    --------------------------------------------------------------------------------
    > Aha und das ist nicht Grund genug?

    Nein, eher nicht. Ich selbst habe sogar für Platzhalterseiten Zertifikate, aber auch nur, weil ich eh einmal alles dafür vorbereitet habe. Möglicherweise übersteigt der Nutzen aber die Kosten, selbst wenn es nur Zeit zu investieren gilt.

    Es gibt auch durchaus handfeste Nachteile, denn jede HTTPS-Seite ist langsamer als HTTP. Der Verbindungsaufbau dauert zwangsweise länger und die nötige Rechenleistung steigt. Das ist nicht unbedingt ein Problem, aber eventuell auch nicht immer nötig.

  16. Re: Gut so

    Autor: freebyte 24.07.18 - 17:17

    unbuntu schrieb:
    --------------------------------------------------------------------------------
    > > Für reine Informationsseiten gibt es auch keinen zwingenden Grund HTTPS
    >> zu verwenden. Es bringt kaum mehrwert, außer dass MITM-Attacken erschwert
    > > werden.
    >
    > Aha und das ist nicht Grund genug?

    Wie hoch ist die Wahrscheinlichkeit dass jemand für eine 10-20 Jahre alte Webseite eine MITM-Attacke konstruiert? Vermutlich so hoch wie ein Vulkanausbruch in DE ausserhalb der Eifel.

    TLS ist gerade bei reinen Infoseiten, die nicht mehr gepflegt werden (müssen) tödlich. Ältere Zertifikate habens noch mit MD2, SSLv4, RC4 - die werden teilweise schon nicht mehr in die Libs einkompiliert so dass man mit einem aktuellem Browser nicht mehr zugreifen kann (und auch nicht mehr gespidert werden können)

    Da wird in den nächsten Jahren so einiges an Wissen verloren gehen wenn es webarchive.org nicht vorher abgelegt hat.

    Übrigens: Die einfachste MITM-Attacke ist mit dem Aufkommen von unmanaged Switches schon vor Jahren weggefallen und ansonsten fallen mir ad hoc 2-3 Angriffe ein, die trotz TLS noch prima funktionieren und noch weitere, wo "TLS oder nicht" völlig egal sind.

    TLS wo nötig und geboten, ansonsten weglassen - sonst machts mehr Probleme als es hilft.

    fb

  17. Re: Gut so

    Autor: RipClaw 24.07.18 - 17:23

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------

    > Es gibt auch durchaus handfeste Nachteile, denn jede HTTPS-Seite ist
    > langsamer als HTTP. Der Verbindungsaufbau dauert zwangsweise länger und die
    > nötige Rechenleistung steigt. Das ist nicht unbedingt ein Problem, aber
    > eventuell auch nicht immer nötig.

    Heutzutage hat jede halbwegs aktuelle CPU eine AES Unterstützung integriert so das die Verschlüsselung kaum mehr ins Gewicht fällt und die paar zusätzlichen Roundtrips beim Verbindungsaufbau kann man sich bei Modernen Browsern sparen wenn man man zusätzlich zu HTTP/1.1 auch HTTP/2 mit anbietet.

    Eine verschlüsselte Seite die mittels HTTP/2 ausgeliefert wird ist teilweise schneller als eine unverschlüsselte Seite die mittels HTTP/1.1 ausgeliefert wird.

  18. Re: Gut so

    Autor: RipClaw 24.07.18 - 17:31

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > unbuntu schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Für reine Informationsseiten gibt es auch keinen zwingenden Grund
    > HTTPS
    > >> zu verwenden. Es bringt kaum mehrwert, außer dass MITM-Attacken
    > erschwert
    > > > werden.
    > >
    > > Aha und das ist nicht Grund genug?
    >
    > Wie hoch ist die Wahrscheinlichkeit dass jemand für eine 10-20 Jahre alte
    > Webseite eine MITM-Attacke konstruiert? Vermutlich so hoch wie ein
    > Vulkanausbruch in DE ausserhalb der Eifel.

    Keiner konstruiert eine MITM Attacke speziell für eine Seite. Der Verkehr wird einfach durchgeleitet und wo immer es sich anbietet werden Elemente eingefügt.

    Hier mal ein Beispiel für so einen Angriff:

    https://www.heise.de/newsticker/meldung/Great-Cannon-Chinesische-Waffe-gegen-unliebsame-Webseiten-2599697.html

    Kann man im kleinen Maßstab auch machen indem man z.B. ein offenes WLAN mit einer bekannten SSID anbietet. Jeder der sich mit dem WLAN verbindet und eine unverschlüsselte Seite darüber aufruft kriegt einen Trojaner reingedrückt.

    > TLS ist gerade bei reinen Infoseiten, die nicht mehr gepflegt werden
    > (müssen) tödlich. Ältere Zertifikate habens noch mit MD2, SSLv4, RC4 -
    > die werden teilweise schon nicht mehr in die Libs einkompiliert so dass man
    > mit einem aktuellem Browser nicht mehr zugreifen kann (und auch nicht mehr
    > gespidert werden können)

    Du meinst vermutlich SSLv2. SSLv4 gibt es nicht.
    Und die Ciphers die du da ansprichst haben nichts mit dem Zertifikat zu tun sondern mit dem was der Webserver anbietet bzw. was du konfigurierst.

    Ich kann sogar einen 5 Jahre alten Server mit einer halbwegs sicheren Cipherauswahl ausstatten.
    Oder ich hänge einen Reverse Proxy dazwischen. Allerdings ist das eher eine Notlösung.



    2 mal bearbeitet, zuletzt am 24.07.18 17:33 durch RipClaw.

  19. Re: Gut so

    Autor: Schnarchnase 24.07.18 - 17:50

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Eine verschlüsselte Seite die mittels HTTP/2 ausgeliefert wird ist
    > teilweise schneller als eine unverschlüsselte Seite die mittels HTTP/1.1
    > ausgeliefert wird.

    Nicht nur teilweise sondern in der Regel, aber das hat nichts mit HTTPS zu tun sondern liegt an HTTP2.

  20. Re: Gut so

    Autor: RipClaw 24.07.18 - 17:57

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Eine verschlüsselte Seite die mittels HTTP/2 ausgeliefert wird ist
    > > teilweise schneller als eine unverschlüsselte Seite die mittels HTTP/1.1
    > > ausgeliefert wird.
    >
    > Nicht nur teilweise sondern in der Regel, aber das hat nichts mit HTTPS zu
    > tun sondern liegt an HTTP2.

    Stimmt schon aber sowohl Firefox als auch Chrome unterstützen HTTP/2 nur bei verschlüsselten Seiten. Auch die Chromium basierten Browser wie Opera oder Vivaldi unterstützen HTTP/2 nur über verschlüsselte Seiten.

    https://www.golem.de/news/browserhersteller-firefox-und-chrome-erzwingen-http-2-verschluesselung-1503-112810.html

    Entsprechend kann man HTTPS für HTTP/2 durchaus als Voraussetzung sehen.



    1 mal bearbeitet, zuletzt am 24.07.18 17:57 durch RipClaw.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler C# / .NET (m/w/d)
    IS Software GmbH, Regensburg
  2. Softwareentwickler:in Java / Selenium / Cloud
    HUK-COBURG Versicherungsgruppe, Coburg
  3. Technical Account Manager (m/f/d)
    SoSafe GmbH, Köln (Home-Office möglich)
  4. IT-Systemadministration (m/w/d) im Referat "ADV, Informations- und Kommunikationstechnik, Statistik" ... (m/w/d)
    Ministerium für Klimaschutz, Umwelt, Energie und Mobilität des Landes Rheinland-Pfalz, Mainz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. (reduzierte Überstände, Restposten & Co.)
  3. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de