ohne zu differenzieren?

eric33303 schrieb:
--------------------------------------------------------------------------------
> Die Logik muss man sich vorallem mal reinziehen:
>
> HTTP: jeder und alle können ALLES mitlesen
> HTTPS: nur reptiloide Google und NSA Mitarbeiter können eventuell
> mitlesen.
>
> Folgerung: es gibt keinen Mehrwert von HTTPS!!
>
> "Der Staat kann ja eh alles". Nada.
>
> Du hast also Angst, dass der Staat bei Terrorverdacht auf die Schlüssel
> kommt?
> Mhh... darf ich dich fragen was du auf deiner Webseite verkaufst?? :D :D
> :D
>
> unfassbar!!
>
> Timmy entscheide dich: willst du 1€ oder 100€.
> Ich will 1€, denn Geld ist doch Geld, oder nicht? :D :D :D

Ich verkaufe absolut gar nichts. Die Sache ist, dass der Staat die Gründe für eine Totalüberwachung sehr gerne sehr weit fast? In der Milionenmetropole gab es einen Terroristen? Alle anderen Anwohner sind verdächtigt...

Und jetzt aus dem Grund eine Scheinsicherheit durchzusetzen bringt gar nichts. Dann hat die Webseite eine https Verschlüsselung - und? Wir wissen nicht ob der Schlüssel Komprimitiert ist oder eventuell unsicher (es gab doch mal ein Problem mit Kollisionen...)

Sprich, nur weil eine Webseite https einsetzt, heißt es nicht, dass diese sicher ist.
Bei Organisationen wie Banken oder Online-Händlern a la Amazon kann man darauf hoffen dass diese Resourcen zur Absicherung der Webseite investieren. Eine kleine Seite mit statischem Inhalt? Das https heißt da gar nichts.
Und da bringt es dann eben nichts - es gaukelt einem eine Sicherheit vor die nicht existiert.

Ich verstehe überhaupt nicht, warum diese Diskussion so riesig werden musste.

Meine Meinung:

HTTPS gibts, HTTPS kann man einbinden, HTTPS funktioniert. Ausser man will auf SSLlabs.com das Ranking A+ und dann mit dem IE7 auf der website surfen. Das klappt natürlich nicht!
Und unter Umständen funktionierts auch nicht, wenn "Profi-Admins" an der Uni Mist bauen und die HTTPS-Ports sperren.
Unter Umständen gibts auch ein Problem, wenn der Server ein IoT-Gerät ist. Aber das sind Spezialfälle.

Wenn man mal von den alten Erfahrungen absieht, wieviel Geld diese CA-Räuberbanden für die Zertifikate verlangt haben und man anstelle von diesen letsencrypt nutzt, dann versteht man keinen mehr, der eine Seite ohne HTTPS betreibt.
Das gilt auch für das eigene Nextcloud.

Natürlich kann man, wenn man eine absolut minderwertige Website hat, die sowieso keinen Traffic bekommt ohne HTTPS arbeiten. Dann ist da eben die Unsicherheitsmeldung oben in der Leiste.

Und man hat evtl. als Webmaster noch einen kleinen Bonus wenn man einen Werbeanbieter hat, der kein HTTPS kann, dass man ein paar Cent mehr verdient.

Aber ansonsten sehe ich das Betreiben von Seiten ohne HTTPS als grob fahrlässig.

eric33303 schrieb:
--------------------------------------------------------------------------------
> wie gesagt... wer nicht versteht warum es eigentlich ausschließlich HTTPS
> geben sollte... der ist dann dort wo Deutschland grad ist: 10 Jahre
> hinterher.

Nein Jemand der nicht versteht dass es eventuell noch Szenarien gibt in denen man zwingend HTTP braucht ist fernab jeglicher Realität.

Den Vergleich mit den Postkarten scheinst du nicht gerafft zu haben.
Wenn ich ein Rezept für Knödel suche ist mir auch herzlich egal wer das mitlesen kann, und wer das Rezept verändern kann.

> Wenn solche Sachen wie Proxy oder etc. die Umgang nicht möglich machen,
> dann doch bitte mal ein Ticket bei der IT-Hotline aufmachen, dass
> vielleicht mal fähige Leute das einrichten.

Bla bla bla, du bist Fehlerfrei und noch nie hat eines deiner Systeme je ein Problem gehabt.