1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Juli 2018: Chrome bestraft Webseiten…
  6. Thema

ohne zu differenzieren?

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


  1. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 19:15

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > > Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft https
    > gar
    > > nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke,
    > > nicht was ich will.)
    > >
    > > Wie gesagt, Postkarten existieren immer noch, (Das ist http)
    >
    > https verhindert, dass nicht jeder vollidiot dazu in der Lage ist, der sich
    > einfach dazwischen schaltet.
    >
    > Die Logik wäre also: Gefahrenpotential 1 vs Gefahrenpotential 100.
    > Ich wäre eher für die erste Sache.

    Das kann so auch nicht "jeder Vollidiot".
    Das Problem ist bloß, dass "der Idiot" meißtens vor dem Bildschirm sitzt. Wenn Leute auf "Phishing" oder "Spearphishing" hereinfallen, hilft auch kein https. - Und das ist der Ursprung eines Großteils der Hacks der Vergangenheit gewesen.

    Das Problem das andere Mitlesen ist durch https in Bezug auf Staaten nicht gelöst. - Wenn die USA sich den privaten Schlüssel von Google holt, können sie weiterlesen... (Und es war ja die NSA die alle bespitzelt hat...) - Das hilft gegen "kleine Länder" die ideologisch nicht auf der gleichen Linie sind, aber mehr auch nicht. Im Zweifelsfall kann man Google ja national blocken... (und wir erleben immer meh die aufdspaltung in nationale Netze..) - OK, kann man mit einem VPN umgehen, das machen aber die Wenigsten.

    Das Problem ist, dass es keine absolute Sicherheit gibt.
    Und die Frage ist ob man versuchen muss jede Seite zu https zu zwingen - und da ist die Antwort auf die Frage ob man eine Postkarte sorgenfrei benutzen würde ja ist, die Antwort nein ist.

  2. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 19:46

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > eric33303 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > DetlevCM schrieb:
    > > > Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft
    > https
    > > gar
    > > > nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke,
    > > > nicht was ich will.)
    > > >
    > > > Wie gesagt, Postkarten existieren immer noch, (Das ist http)
    > >
    > > https verhindert, dass nicht jeder vollidiot dazu in der Lage ist, der
    > sich
    > > einfach dazwischen schaltet.
    > >
    > > Die Logik wäre also: Gefahrenpotential 1 vs Gefahrenpotential 100.
    > > Ich wäre eher für die erste Sache.
    >
    > Das kann so auch nicht "jeder Vollidiot".
    > Das Problem ist bloß, dass "der Idiot" meißtens vor dem Bildschirm sitzt.
    > Wenn Leute auf "Phishing" oder "Spearphishing" hereinfallen, hilft auch
    > kein https. - Und das ist der Ursprung eines Großteils der Hacks der
    > Vergangenheit gewesen.
    >
    > Das Problem das andere Mitlesen ist durch https in Bezug auf Staaten nicht
    > gelöst. - Wenn die USA sich den privaten Schlüssel von Google holt, können
    > sie weiterlesen... (Und es war ja die NSA die alle bespitzelt hat...) - Das
    > hilft gegen "kleine Länder" die ideologisch nicht auf der gleichen Linie
    > sind, aber mehr auch nicht. Im Zweifelsfall kann man Google ja national
    > blocken... (und wir erleben immer meh die aufdspaltung in nationale
    > Netze..) - OK, kann man mit einem VPN umgehen, das machen aber die
    > Wenigsten.
    >
    > Das Problem ist, dass es keine absolute Sicherheit gibt.
    > Und die Frage ist ob man versuchen muss jede Seite zu https zu zwingen -
    > und da ist die Antwort auf die Frage ob man eine Postkarte sorgenfrei
    > benutzen würde ja ist, die Antwort nein ist.

    und weil das System nicht zu 100% sicher ist, ist es besser es garnicht haben?
    klingt nach Impfgegnerlogik.

  3. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 19:49

    die Sache ist doch: Impfen hilft nicht jedem. Aber es sorgt dafür dass die meisten Menschen "gesund" (sicher) bleiben.

  4. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:12

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > eric33303 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > DetlevCM schrieb:
    > > > > Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft
    > > https
    > > > gar
    > > > > nicht - das geht mit und ohne. (Der Browser macht was ich
    > sage/clicke,
    > > > > nicht was ich will.)
    > > > >
    > > > > Wie gesagt, Postkarten existieren immer noch, (Das ist http)
    > > >
    > > > https verhindert, dass nicht jeder vollidiot dazu in der Lage ist, der
    > > sich
    > > > einfach dazwischen schaltet.
    > > >
    > > > Die Logik wäre also: Gefahrenpotential 1 vs Gefahrenpotential 100.
    > > > Ich wäre eher für die erste Sache.
    > >
    > > Das kann so auch nicht "jeder Vollidiot".
    > > Das Problem ist bloß, dass "der Idiot" meißtens vor dem Bildschirm
    > sitzt.
    > > Wenn Leute auf "Phishing" oder "Spearphishing" hereinfallen, hilft auch
    > > kein https. - Und das ist der Ursprung eines Großteils der Hacks der
    > > Vergangenheit gewesen.
    > >
    > > Das Problem das andere Mitlesen ist durch https in Bezug auf Staaten
    > nicht
    > > gelöst. - Wenn die USA sich den privaten Schlüssel von Google holt,
    > können
    > > sie weiterlesen... (Und es war ja die NSA die alle bespitzelt hat...) -
    > Das
    > > hilft gegen "kleine Länder" die ideologisch nicht auf der gleichen Linie
    > > sind, aber mehr auch nicht. Im Zweifelsfall kann man Google ja national
    > > blocken... (und wir erleben immer meh die aufdspaltung in nationale
    > > Netze..) - OK, kann man mit einem VPN umgehen, das machen aber die
    > > Wenigsten.
    > >
    > > Das Problem ist, dass es keine absolute Sicherheit gibt.
    > > Und die Frage ist ob man versuchen muss jede Seite zu https zu zwingen -
    > > und da ist die Antwort auf die Frage ob man eine Postkarte sorgenfrei
    > > benutzen würde ja ist, die Antwort nein ist.
    >
    > und weil das System nicht zu 100% sicher ist, ist es besser es garnicht
    > haben?
    > klingt nach Impfgegnerlogik.

    Nein, die Frage ist, ob es etwas bringt.
    Wenn es eine Webseite gibt, welche nur passiv etwas Inhalt darstellt (und wir umgehen mal das Feld kontroverse Themen, da diese eine Minderheit sind), ist der Vorteil von https gleich null.

    Wenn wir eine Webseite haben welche einen Login bietet oder persönliche Daten verarbeitet, sollte https angeboten werden.
    (In dme Fall macht eine Beschränkung auf nur https Sinn.)

    So: Jetzt sollte man allerdings nicht mit Blödsinn argumentieren warum https gut ist. (Wie der Link mit der Unsinns-"Antwort" zum Thema "impersonating websites".)
    Das Argument im zweiten Fall, ist das Schützen der persönlichen Daten - nichts anderes. Im ersten Fall gibt es keinen Vorteil durch https. - Auch wenn man theoretisch argumentiert (wie manche hier), dass auf dem Transportweg Inhalte verändert werden können: Wie oft passiert so etwas und durch wenn? - Gegen Staaten haben Privatleute eh verloren - wobei dann wieder niemand ein großes Interesse daran haben wird eine passive statische Seite auf dem Transportweg zu manipulieren...

    Am Ende läuft es daraus hinaus dass die Entscheidung Anwendungsbezogen getroffen werden muss: Private Daten, vielleich Firmengeheimnisse? Da sollte (oder muss) https verwendet werden.
    Statische kleine Privatseit - vielleicht von einem Verein oder jemandem der sich einfach für ein Thema interessiert und eine Seite mit Informationen ausliefert? - Ohne Login etc. gibt es durch https keinen Mehrwer - im Zweifelsfall nur mehr Arbeit für den Betreiber.

    Und das kommt zurück zum Thema Zwang: ein Zwang für jede Seite zu https von Google ist unverschämt.

  5. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:19

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > die Sache ist doch: Impfen hilft nicht jedem. Aber es sorgt dafür dass die
    > meisten Menschen "gesund" (sicher) bleiben.

  6. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:24

    es gibt keinen Grund für HTTP. Es macht alles zumindest "sicherer".
    Dagegen kann man keine logischen Argumente finden.

    Auch für "sinnlose" Seiten bringt HTTPS keine Nachteile. HTTP hingegen potentielle schon.



    1 mal bearbeitet, zuletzt am 09.02.18 20:26 durch eric33303.

  7. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:30

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > es gibt keinen Grund für HTTP. Es macht alles zumindest "sicherer".
    > Dagegen kann man keine loschen Argumente finden.
    >
    > Auch für "sinnlose" Seiten bringt HTTPS keine Nachteile. HTTP hingegen
    > potentielle schon.

    Natürlich bringt es Nachteile: mehr Aufwand - nicht jeder unterstützt ein automatisiertes Let's Encrypt.
    Außerhalb von Let's Encrypt sind Zertifikate kostenpflichtig...
    (Die anderen Anbieter sind ja nach ein paar Übernahmen aus den Browswern geflogen...)

  8. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:33

    sind ja super Argumente:
    - man muss im schlimmsten Fall 1 mal im Jahr etwas machen (wenn man DDR Hoster hat)

    besseres SEO Ranking, mehr Vertrauen, Datenintegrität, Verschlüsselung, schnellere Seite (HTTP2) vs "ach nö ich bin zu faul einmal im Jahr etwas zu machen".

    mmh. erschließt sich mir nicht ganz.

  9. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:35

    DetlevCM schrieb:
    --------------------------------------------------------------------------------

    > (Die anderen Anbieter sind ja nach ein paar Übernahmen aus den Browswern
    > geflogen...)

    das hat nichts mit Übernahmen zutun, sondern weil IT-Dinos scheiße gemacht haben (Symantec, StartSSL, ...). Da ist es selbstverständlich, dass die rausfliegen.
    Auf der StartSSL Seite stand ja förmlich "wir sind unfähig".
    Aber es war kostenlos.

    Und bei den meisten Hostern ist das "Renewing" von Zertifikaten mit drin. Also im schlimmsten Fall kostet es jedes Jahr 20¤



    1 mal bearbeitet, zuletzt am 09.02.18 20:41 durch eric33303.

  10. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:40

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > sind ja super Argumente:
    > - man muss im schlimmsten Fall 1 mal im Jahr etwas machen (wenn man DDR
    > Hoster hat)
    >
    > besseres SEO Ranking, mehr Vertrauen, Datenintegrität, Verschlüsselung,
    > schnellere Seite (HTTP2) vs "ach nö ich bin zu faul einmal im Jahr etwas zu
    > machen".
    >
    > mmh. erschließt sich mir nicht ganz.

    Alle 3 Monate für Let's Encrypt - nichts da mit "einmal im Jahr"...

  11. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:41

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > (Die anderen Anbieter sind ja nach ein paar Übernahmen aus den Browswern
    > > geflogen...)
    >
    > das hat nichts mit Übernahmen zutun, sondern weil IT-Dinos scheiße gemacht
    > haben (Symantec, StartSSL, ...). Da ist es selbstverständlich, dass die
    > rausfliegen. (und hoffentlich haben sie alle ihre jobs verloren...)

    Vermutlich - allerdings bringt das wieder einen üblen Beigeschmack, weil Google damit praktisch sagt "zahlt mehr" oder geht zum Monopolisten... - Was eigentlich mit der Idee eines offenen Internets kollidiert.

  12. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:42

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > Alle 3 Monate für Let's Encrypt - nichts da mit "einmal im Jahr"...

    crontab -e
    00 00 03 * * * certbot-auto renew

  13. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:44

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > Vermutlich - allerdings bringt das wieder einen üblen Beigeschmack, weil
    > Google damit praktisch sagt "zahlt mehr" oder geht zum Monopolisten... -
    > Was eigentlich mit der Idee eines offenen Internets kollidiert.

    wer ist Monopolist? die paar Typen die vom Valley LetsEnrypt betreiben und das kostenlos? Es gibt auch andere Anbieter wo man kostenlose Zertifikate beantragen kann.
    Es gibt kein Monopol.

  14. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:45

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Alle 3 Monate für Let's Encrypt - nichts da mit "einmal im Jahr"...
    >
    > crontab -e
    > 00 00 03 * * * certbot-auto renew

    So, und wie macht man das in einer Webinterface bei einem Shared-Host? Oh, geht nicht, da gibt es keine Befehlszeile und auch keinen Certbot - der Golem-Nutzer redet mal wieder aus seiner eigenen begrenzten Realitäsblase heraus und kann sich nicht vorstellen dass es viele verschiene Nutzungsmuster gibt.
    (Nein, nicht jeder hat seinen eigenen Server unter voller Kontrolle mit Admin-Rechten.)

  15. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:46

    wir sind also jetzt in der Diskussion, dass man auf HTTPS verzichtet weil man zu bequem ist?

    Man muss nichts dafür machen. Kann man alles Skripten oder der Hoster übernimmt das.

    Ich bin gespannt welches Argument gegen HTTPS spricht, wenn wir geklärt haben, dass es eigentlich kein Aufwand verursacht. Initial schon... ja... 30 min höhstens.

  16. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:46

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Vermutlich - allerdings bringt das wieder einen üblen Beigeschmack, weil
    > > Google damit praktisch sagt "zahlt mehr" oder geht zum Monopolisten... -
    > > Was eigentlich mit der Idee eines offenen Internets kollidiert.
    >
    > wer ist Monopolist? die paar Typen die vom Valley LetsEnrypt betreiben und
    > das kostenlos? Es gibt auch andere Anbieter wo man kostenlose Zertifikate
    > beantragen kann.
    > Es gibt kein Monopol.

    Und die wären?
    (Ich kenne keinen außer Let's Encrypt der global akzeptiert wäre. Und bitte keine 30 Tage Testzertifikate auflisten.)

  17. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:47

    ich habe noch nie ein Hoster gesehen wo man manuell sein Zertifikat verlängern muss.

  18. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:49

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > wir sind also jetzt in der Diskussion, dass man auf HTTPS verzichtet weil
    > man zu bequem ist?
    >
    > Man muss nichts dafür machen. Kann man alles Skripten oder der Hoster
    > übernimmt das.
    >
    > Ich bin gespannt welches Argument gegen HTTPS spricht, wenn wir geklärt
    > haben, dass es eigentlich kein Aufwand verursacht. Initial schon... ja...
    > 30 min höhstens.

    Und welchen Vorteil bringt es bei einer statischen Seite die keine privaten Daten empfängt oder verarbeitet? Ah ja keinen...
    Und es ist mehr als 30 Minuten auf Dauer - und eine regelmäßige Plage.

  19. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:49

    nach 10 sekunden Googln "kostenlose Zertifikate":
    https://www.checkdomain.de/ssl/zertifikat/ssl-free/

    klar wenn das dein Hoster nicht unterstützt...
    dann ist HTTPS (oder der Aufwand) aber nicht scheiße sondern dein Hoster.

  20. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:50

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > ich habe noch nie ein Hoster gesehen wo man manuell sein Zertifikat
    > verlängern muss.

    HostEurope wäre einer.
    (War ursprünglich mal ein deutscher Anbieter - aber mittlerweile wohl auch von den Amerikanern aufgekauft. Die brauchen kein Zertifikat zum spitzeln...)

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Sika Holding CH AG & Co KG, Stuttgart
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Düsseldorf, Dortmund, Duisburg
  3. Metabowerke GmbH, Nürtingen
  4. Universitätsklinikum Münster, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. XFX Radeon RX 6800 QICK319 BLACK Gaming 16GB für 949€)
  2. (u. a. Ryzen 7 5800X 469€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Next-Gen-Konsolen: Das erste Quartal mit Playstation 5 und Xbox Series X/S
Next-Gen-Konsolen
Das erste Quartal mit Playstation 5 und Xbox Series X/S

Rückblick und Ausblick: Meine ersten drei Monate mit den neuen Konsolen von Sony und Microsoft - und was sich bei der Firmware getan hat.
Von Peter Steinlechner

  1. Sony Zusatz-SSD macht offenbar die Playstation 5 lauter
  2. Sony Playstation-5-Spieler müssen wohl noch warten
  3. Playstation 5 Analogsticks des Dualsense halten wohl nur 400 Stunden durch

The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    Videokonferenzen: Bessere Webcams, bitte!
    Videokonferenzen
    Bessere Webcams, bitte!

    Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
    Ein IMHO von Martin Wolf

    1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera