1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Juli 2018: Chrome bestraft Webseiten…
  6. Thema

ohne zu differenzieren?

Wochenende!!! Zeit für Quatsch!
  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


  1. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:51

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > Und welchen Vorteil bringt es bei einer statischen Seite die keine privaten
    > Daten empfängt oder verarbeitet? Ah ja keinen...
    > Und es ist mehr als 30 Minuten auf Dauer - und eine regelmäßige Plage.

    Metadaten, Content Injections, usw. hatten wir ja alles.
    und wie gesagt, man kann das Zertifikat selbst verlängern (rootServer) oder der Hoster übernimmt das.

  2. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:52

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > nach 10 sekunden Googln "kostenlose Zertifikate":
    > www.checkdomain.de
    >
    > klar wenn das dein Hoster nicht unterstützt...
    > dann ist HTTPS (oder der Aufwand) aber nicht scheiße sondern dein Hoster.

    So, um mal das Kleingedruckte zu zitieren:
    "Die Vertragslaufzeit für dieses Produkt beträgt 90 Tage. Der Vertrag verlängert sich automatisch am Ende der Laufzeit. Dank der Zusammenarbeit mit Let's Encrypt bleibt das Free-SSL Zertifikat dauerhaft kostenlos"
    Also auch nur Let's Encrypt...

  3. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 20:57

    so viele "echte" CAs gibts auch nicht. die meisten liefen doch eh auf comodo oder symantec über.

    Asperger inside(tm)

  4. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 20:57

    aha. Du verurteilst also eine Non-Profit Organisation, weil ein paar Hipster einfach fähig waren, eine funktionierende und sichere Zertifikatskette zu bauen?

    Versteh nicht was daran zu verwerflich ist... kannst doch deine eigene CA machen. Du wirst 100pro in den Trust Store aufgenommen wenn du gewisse Sicherheitsstandards einhälst.

    Warum gibt es kein deutsches LetsEncrypt... ach ja... da war ja was mit 10 Jahre hinterher.

    Ich finde es absolut richtig, dass rund um das W3C die Richtung dahingeht, dass HTTP Seiten iwann verbannt werden. Es ist absolut nicht logisch eine Argumentation gegen HTTPS zu führen, weil es eigentlich keine Argumente dagegen gibt. Es kann mit HTTPS nur besser werden...

    (abgesehen davon, dass der Hoster oder der Admin selbst zu blöd ist, das richtig zu realisieren, ohne wiederkehrenden Aufwand)

  5. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 20:59

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und welchen Vorteil bringt es bei einer statischen Seite die keine
    > privaten
    > > Daten empfängt oder verarbeitet? Ah ja keinen...
    > > Und es ist mehr als 30 Minuten auf Dauer - und eine regelmäßige Plage.
    >
    > Metadaten, Content Injections, usw. hatten wir ja alles.
    > und wie gesagt, man kann das Zertifikat selbst verlängern (rootServer) oder
    > der Hoster übernimmt das.

    Postkarten haben vor dem Hintergrund auch Metadaten... - werden trotzdem benutzt.
    Wenn jemand weiß dass ich Artikel auf golem.de lese, was bringt das dieser Person? Ah ja nichts... - Das Golem-Forum ist da aber schon ein anderes Thema da es private Forenaccounts gibt.
    Oder wenn ich den Guardian lese? - Ah ja, nichts.

    Und "Content Injection" - wie oft passiert das und durch wen? - Der Hauptkandidat für so etwas sind Internet Service Provider, bei denen kann man das auch per Gesetzgebung regeln - was sinnvoller wäre.

    Und zum Thema "Hoster übernimmt das" - nein tut wer nicht, der Hoster will meistens seine eigenen teuren Zertifikate verkaufen.



    1 mal bearbeitet, zuletzt am 09.02.18 21:13 durch DetlevCM.

  6. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:00

    es gibt sogar schon Projekte, die die HTTPS Geschichte für ganz doofe so einfach wie möglich machen:
    https://caddyserver.com

    Ich war mal bei HostEurope... ist bin nach einem Monat gegangen weil meine Webseite ständig down war.

    Kann dir einen Wechsel also nur dringend empfehlen.

  7. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:03

    DetlevCM schrieb:

    > Wenn jemand weiß dass ich Artikel auf golem.de lese, was bringt das dieser
    > Person? Ah ja nichts... - Das Golem-Forum ist da aber schon ein anderes
    > Thema da es private Forenaccounts gibt.
    > Oder wenn ich den Guardian lese? - Ah ja, nichts.

    und genau hier ist der Punkt! :D
    genau diese Geschichten verraten dir alles. Bedingte Wahrscheinlichkeiten.
    Je mehr Metainformation du hast, desto expotentiell genau kann man eine Person Kategorisieren.

    Wie gesagt, du hast keine Ahnung was mit "sinnlosen" Daten alles möglich ist.
    hier mal ein kleiner Eindruck:
    https://www.youtube.com/watch?v=8VCumuCmT3k

    ein ganz kleiner Eindruck...



    1 mal bearbeitet, zuletzt am 09.02.18 21:04 durch eric33303.

  8. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 21:04

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > aha. Du verurteilst also eine Non-Profit Organisation, weil ein paar
    > Hipster einfach fähig waren, eine funktionierende und sichere
    > Zertifikatskette zu bauen?
    >

    Nein, das tue ich nicht, ich sag aber, dass diese in Ihrem Feld ein Monopolist ist, und es einen fiesen Beigeschmack gibt, wenn ein Quasi-Monopolist die Nutzer zwingt entweder Geld auszugeben oder zu einem Monopolisten zu gehen.

    Let's Encrypt ist ein sehr gutes Angebot für Leute die umsonst https haben möchten wenn es keinen Zwang gibt, wenn dieses Angebot optional ist.

    > Versteh nicht was daran zu verwerflich ist... kannst doch deine eigene CA
    > machen. Du wirst 100pro in den Trust Store aufgenommen wenn du gewisse
    > Sicherheitsstandards einhälst.
    >
    > Warum gibt es kein deutsches LetsEncrypt... ach ja... da war ja was mit 10
    > Jahre hinterher.
    >
    > Ich finde es absolut richtig, dass rund um das W3C die Richtung dahingeht,
    > dass HTTP Seiten iwann verbannt werden. Es ist absolut nicht logisch eine
    > Argumentation gegen HTTPS zu führen, weil es eigentlich keine Argumente
    > dagegen gibt. Es kann mit HTTPS nur besser werden...
    >
    > (abgesehen davon, dass der Hoster oder der Admin selbst zu blöd ist, das
    > richtig zu realisieren, ohne wiederkehrenden Aufwand)

    "Es kann nur beser werden". Es wird eben NICHT besser.
    Es ist für bestimmte Seiten schlicht irrelevant ob diese https benutzen oder nicht. - Es wird für die Betreiber von Webseiten schwerer/aufwändiger.

  9. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:05

    nein. Nur wenn man bei beschissenen Hostern ist.
    Und deiner gehört definitiv dazu.

  10. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 21:05

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > es gibt sogar schon Projekte, die die HTTPS Geschichte für ganz doofe so
    > einfach wie möglich machen:
    > caddyserver.com
    >
    > Ich war mal bei HostEurope... ist bin nach einem Monat gegangen weil meine
    > Webseite ständig down war.
    >
    > Kann dir einen Wechsel also nur dringend empfehlen.

    Und der ganze Aufwand mit dem Domain umstellen und Daten transferieren? Da ist es einfacher meine Webseite einzustellen als sich den Aufwand zu machen...
    (Abgesehen läuft es soweit ich weiß seit Jahren zuverlässig - außer in den Fällen in denen ich was vermasselt hab.)

  11. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:07

    private Hindernisse kann es schon geben. aber es gibt keine logischen.
    Schau dir mal das Video an... es vermittelt dir mal einen kleinen Eindruck, warum ALLES über HTTPS laufen sollte.

  12. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:09

    und wenn du jetzt wieder mit "Aufwand" anfängst.
    Es gibt keinen!
    (außer man ist bei beschissenen Hostern)

  13. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 21:12

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    >
    > > Wenn jemand weiß dass ich Artikel auf golem.de lese, was bringt das
    > dieser
    > > Person? Ah ja nichts... - Das Golem-Forum ist da aber schon ein anderes
    > > Thema da es private Forenaccounts gibt.
    > > Oder wenn ich den Guardian lese? - Ah ja, nichts.
    >
    > und genau hier ist der Punkt! :D
    > genau diese Geschichten verraten dir alles. Bedingte Wahrscheinlichkeiten.
    > Je mehr Metainformation du hast, desto expotentiell genau kann man eine
    > Person Kategorisieren.
    >
    > Wie gesagt, du hast keine Ahnung was mit "sinnlosen" Daten alles möglich
    > ist.
    > hier mal ein kleiner Eindruck:
    > www.youtube.com
    >
    > ein ganz kleiner Eindruck...

    Das kann man über Forenposts auch - oder wissenschaftliche Papers...
    Das kann man mit ALLEN öffentlichen Informationen über Personen genauso tun - die enthalten meißtens noch mehr.
    Telefonieren sollte man in dem Fall vielleicht auch verbieten...

    Gibt es dieses Video eigentlich auch als Text - oder besser vorgetragen? Ich halte das keine 30 Sekunden aus - und woher kommt diese Unsitte als Antwort auf Texte ein Video zu posten...
    Und nur was ich vom Anfang mitbekommen habe - etwas mit kollaborierenden Autoren -> das sind öffentliche Informationen bei einem Artikel.

  14. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 21:14

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > private Hindernisse kann es schon geben. aber es gibt keine logischen.
    > Schau dir mal das Video an... es vermittelt dir mal einen kleinen Eindruck,
    > warum ALLES über HTTPS laufen sollte.

    Gibt es das Video auch al Text? Ich halte das keine 30 Sekunden aus...

  15. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:18

    DetlevCM schrieb:
    > Das kann man über Forenposts auch - oder wissenschaftliche Papers...
    > Das kann man mit ALLEN öffentlichen Informationen über Personen genauso tun
    > - die enthalten meißtens noch mehr.
    > Telefonieren sollte man in dem Fall vielleicht auch verbieten...

    jetzt soll ich dir erklären was der Unterschied zwischen Metadaten und richtigen Daten ist? Der große Unterschied: Metadaten verraten mehr.

    wir sind weit weg von HTTPS gelandet.
    Aufwand war also bis jetzt das ko Kriterium.

  16. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 21:18

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > und wenn du jetzt wieder mit "Aufwand" anfängst.
    > Es gibt keinen!
    > (außer man ist bei beschissenen Hostern)

    Es IST ein Aufwand - Punkt ende aus - wird sich nicht ändern.
    Einen Hoster zu wechseln ist auch ein Aufwand - wird sich auch nicht ändern.

  17. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:21

    Tip: DNS auf Amazon oder Cloudflare legen (oder eine von den millionen Anbieter) und du hast dein kostenloses HTTPS. Kein Aufwand. Keine Migration.

  18. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 21:22

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > > Das kann man über Forenposts auch - oder wissenschaftliche Papers...
    > > Das kann man mit ALLEN öffentlichen Informationen über Personen genauso
    > tun
    > > - die enthalten meißtens noch mehr.
    > > Telefonieren sollte man in dem Fall vielleicht auch verbieten...
    >
    > jetzt soll ich dir erklären was der Unterschied zwischen Metadaten und
    > richtigen Daten ist? Der große Unterschied: Metadaten verraten mehr.
    >
    > wir sind weit weg von HTTPS gelandet.
    > Aufwand war also bis jetzt das ko Kriterium.

    Hängt davon ab was man als Metadaten bezeichnet. Die Namen der Autoren eines Artikels sind auch Metadaten - im klassischen Sinn.
    Und wenn die Browser so grottig geschrieben sind, dass sie effektiv eindeutige Fingerabdrücke an Webseiten senden und dadurch als Spitzelsoftware agieren, sollte man vielleicht da ansezten. (Das - ehemalige? - Panopticlick der Electronic Frontier Foundation.)

    Und zu wissen wer auf einen Artikel bei einer grosen Seite zugreift, bringt auch wenig.
    Bei einer kleinen Vereinsseite schon eher - da bringt aber https nicht, da die Domain enthalten ist...

  19. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 21:24

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > Tip: DNS auf Amazon oder Cloudflare legen (oder eine von den millionen
    > Anbieter) und du hast dein kostenloses HTTPS. Kein Aufwand. Keine
    > Migration.

    Wenn man denen vertraut, könnte das eine Option sein - wobei glaube ich bei Cloudflare das Volumen oder die Datenrate mitbestimmt ob es umsonst ist oder nicht?

  20. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 21:26

    DetlevCM schrieb:
    --------------------------------------------------------------------------------

    > Wenn man denen vertraut, könnte das eine Option sein - wobei glaube ich bei
    > Cloudflare das Volumen oder die Datenrate mitbestimmt ob es umsonst ist
    > oder nicht?

    es gibt kein "Wenn man denen vertraut" wenn man seine Seite über HTTP ausliefert :D
    Jeder kann da mitlesen.

    Ka, ob ab nem Volumen das kostenpflichtig wird. Ich habe nie was bezahlt.

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bezirkskliniken Schwaben, Augsburg
  2. Computacenter AG & Co. oHG, München
  3. über duerenhoff GmbH, Freiburg im Breisgau
  4. Versorgungseinrichtung der Bezirksärztekammer Koblenz, Koblenz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,49€
  2. 9,29€
  3. 14,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de