Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Juli 2018: Chrome bestraft Webseiten…

ohne zu differenzieren?

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


  1. ohne zu differenzieren?

    Autor: forenuser 09.02.18 - 14:51

    Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder ähnlichem auf https laufen?

    --
    Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
    Für Mob.-Tel.-Foren: Ich nutze <del>Android</del> Windows Phone - und wünscht' es wäre webOS.

  2. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 15:01

    u.a. dass niemand den content MitMt und müll reinschleust.

    dazu kommt dass wenn auf der seite nix dahingehend problematisches ist, eine "nicht sicher" anzeige in der adressleiste kein problem sein sollte. ist ja nicht so dass die da ne zwischenseite reinwerfen.

    Asperger inside(tm)

  3. Re: ohne zu differenzieren?

    Autor: Lord Gamma 09.02.18 - 15:01

    forenuser schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder
    > ähnlichem auf https laufen?

    Weil sogar die Adresse verschlüsselt übertragen wird.

  4. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 15:02

    außer der domain. wegen SNI.

    Asperger inside(tm)

  5. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 16:18

    ganz einfach: Haftungsansprüche.
    es gibt viele ISPs auf der Welt die Werbung oder sonst was in eine unverschlüsselte Webseite einfügen.

    Diese Einstellung: warum verschlüsseln... wenn es dir egal ist, gib mir bitte dein Schlüssel zur Wohnung. Wird schon nichts passieren.

  6. Re: ohne zu differenzieren?

    Autor: pointX 09.02.18 - 16:21

    forenuser schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder
    > ähnlichem auf https laufen?
    Stelle dir z.B. öffentliche Netzwerke vor, Cafeteria/Hotel etc., die nicht verschlüsselt oder wo die Clients nicht voneinander abgeschottet sind. Da gibt es auch gute Gründe für die Verschlüsselung von "einfachen" Webseiten:
    - um die Privatsphäre der Leser zu schützen: mit https kann niemand mitlesen, welche Inhalte genau abgerufen wurden. Nur der Domain-Name ist sichtbar, welche Inhalte abgerufen wurden aber nicht
    - um Manipulationen an der Seite (z.B. einschleusen von Javascript-Code) durch MITM-Angriffe zu verhinden

    Nicht nur Webseiten, auf denen man einen eigenen Login hat, sind "kritisch". Jeder Inhalt, den man im Internet abruft, liefert Informationen über die eigene Person.
    Damit diese Informationen auf ein minimum (Meta-Daten Datum,Uhrzeit, Domain) beschränkt bleiben, ist die Verschlüsselung unbedingt notwendig, auch für "scheinbar unwichtige" Webseiten.



    2 mal bearbeitet, zuletzt am 09.02.18 16:22 durch pointX.

  7. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 16:24

    Guter Kommentar. Leider verstehen dass die ganzen Dino-ITler nicht.
    Wer soll mich schon hacken? Mich kennt doch keiner^^

  8. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 17:59

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > ganz einfach: Haftungsansprüche.
    > es gibt viele ISPs auf der Welt die Werbung oder sonst was in eine
    > unverschlüsselte Webseite einfügen.
    >
    > Diese Einstellung: warum verschlüsseln... wenn es dir egal ist, gib mir
    > bitte dein Schlüssel zur Wohnung. Wird schon nichts passieren.

    Der Vergleich hinkt.

    Wenn schon, wäre es eher Brief vs Postkarte.
    Postkarten verschicken wir soweit ich weiß immer noch in der Welt.

    Man muss nicht zwingend immer verschlüsseln - und a propos verschlüsseln... am Dienstag hatte ich kein https mehr (ich glaube man wollte uns zur Heimreise aufgrund von Schneefall überreden...) - und schwupps konnte ich Google nicht mehr benutzen... Wo ich fast sagen würde weil Google zu dämlich ist einen Seite ohne https auszuliefern... (wenn https nicht verfügbar ist...)
    Wenn ich an einer Uni nach Bildungsenthalpien suche oder nach Papers suche, braucht das nicht zwingend https ...

    Es gibt einen Platz für Beides - und Beides wird benötigt, aber man muss nicht allem https aufzwingen.

  9. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:14

    "am Dienstag hatte ich kein https mehr"
    ja an dem Tag war HTTPS leider schon ausverkauft.

    Wenn du meinst, dass man keine Verschlüsselung braucht, hast du nicht ansatzweise eine Ahnung, wovon du redet. Nicht mal ansatzweise.

    Hier gibt es schon sehr gute Kommentare, die das Thema sehr verständlich erklären. Lies dir den Kommentare von pointX durch. Den versteht nun wirklich jeder...

    Allein die Informationen, die man einfach mitlesen kann... nicht etwa deine Suchanfrage... sondern eher Metainformationen.

    Du würdest dich wundern, mit wie wenig Information man einen Menschen detailliert kategorisieren kann.

    HTTPS ist zwingend notwendig! Vielleicht nicht in Deutschland, da ja grad 4 Jahre Stillstand als großen Erfolg verkauft werden. Da wird nicht viel passieren.

    Aber in anderen Ländern werden Menschen aufgrund von bestimmten Kategorisierungen verfolgt oder unterdrückt.

    Das geht jetzt hier zwar ein bisschen zu weit... aber du hast keine Vorstellung wie wenig Information man braucht, um zu bestimmen, ob jmd Rechts wählt oder schwul ist.

    Und das ist ja wirklich nur ein Randthema :D

    Deswegen... du hast keine Ahnung wovon du sprichst.

  10. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:29

    Ich frag mich auch wie Deutschland jemals mit dem Niveau von Unternehmen aus USA oder Russland mithalten soll (Digitalisierung Bullshitbegriff). Wenn die ganzen IT-Dinos sich weigern auf dem aktuellen Stand zu bleiben. Und z.B. die Entwicklung von BI oder KI ignorieren und nicht einen blassen Schimmer haben, was heutzutage damit möglich ist.

    Z.B. dass man einer KI das gezielte Angreifen von Systemen beibringen kann...

    Es ist einfach nur unfassbar, dass deutsche Firmen solchen Leuten noch eine Anstellung geben.

    Diese Aussage ist jetzt auf keinen persönlich bezogen. Es ist allgemein gemeint.

    Deutschland hält ja noch nicht mal mit. Es bleibt einfach stehen... Die USA sind uns jetzt schon 10 Jahre vorraus...

    Und die Leute die hier wirklich etwas können, gehen nach London oder ins Valley...



    2 mal bearbeitet, zuletzt am 09.02.18 18:32 durch eric33303.

  11. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 18:41

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > "am Dienstag hatte ich kein https mehr"
    > ja an dem Tag war HTTPS leider schon ausverkauft.
    >
    > Wenn du meinst, dass man keine Verschlüsselung braucht, hast du nicht
    > ansatzweise eine Ahnung, wovon du redet. Nicht mal ansatzweise.
    >
    > Hier gibt es schon sehr gute Kommentare, die das Thema sehr verständlich
    > erklären. Lies dir den Kommentare von pointX durch. Den versteht nun
    > wirklich jeder...
    >
    > Allein die Informationen, die man einfach mitlesen kann... nicht etwa deine
    > Suchanfrage... sondern eher Metainformationen.
    >
    > Du würdest dich wundern, mit wie wenig Information man einen Menschen
    > detailliert kategorisieren kann.
    >
    > HTTPS ist zwingend notwendig! Vielleicht nicht in Deutschland, da ja grad 4
    > Jahre Stillstand als großen Erfolg verkauft werden. Da wird nicht viel
    > passieren.
    >
    > Aber in anderen Ländern werden Menschen aufgrund von bestimmten
    > Kategorisierungen verfolgt oder unterdrückt.
    >
    > Das geht jetzt hier zwar ein bisschen zu weit... aber du hast keine
    > Vorstellung wie wenig Information man braucht, um zu bestimmen, ob jmd
    > Rechts wählt oder schwul ist.
    >
    > Und das ist ja wirklich nur ein Randthema :D
    >
    > Deswegen... du hast keine Ahnung wovon du sprichst.

    Wenn ich die Anfrage auch als Postkarte versenden würde, brauche ich keine Verschlüsselung.
    Und ja, wenn Google https erzwingen will, der Proxy das aber (momentär) nicht durchlässt, dann bin ich auf Google sauer, denn für mich heist es in dem Moment "Google ist zu blöd http auszuliefern" - und NICHTS Anderes.
    Die Metadaten helfen da auch nur bedingt weiter wenn man an einer Uni sitzt.
    Und wie gesagt, wenn ich nach Bildungsenthalpien suche, oder nach Papers, brauche ich die Verschlüsselung nicht zwingend.

    Das Thema Überwachung oder persönlichen Informationen mag ja an sich wichtig und richtig sein, bringt mir aber nichts wenn ich einen Dienst ohne https nicht nutzen kann.
    Es bringt mir auch nichts, wenn ein guter "Dienst" durch das nichtanbieten von https unterdrückt wird.

    Der Nutzer kann auch jederzeit selbst entscheiden ob er bereit ist etwas öffentlich zu teilen (im Sinne einer Postkarte) oder nicht.
    Google hat der Welt nicht zu diktieren was sie tun oder lassen soll.

  12. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 18:43

    und warum lässt der verdammte proxy kein https durch? ist doch nicht erst seit gestern dass google https forciert.

    Asperger inside(tm)

  13. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:48

    dann ist der Proxy falsch konfiguriert? Wir verwenden auch ein Proxy. da gabs nie! Probleme.



    1 mal bearbeitet, zuletzt am 09.02.18 18:49 durch eric33303.

  14. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:51

    Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das Internet besser und sicherer machen kann.

    hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die man so hat:
    https://doesmysiteneedhttps.com/

  15. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 18:52

    My1 schrieb:
    --------------------------------------------------------------------------------
    > und warum lässt der verdammte proxy kein https durch? ist doch nicht erst
    > seit gestern dass google https forciert.

    Ich vermute dass man wollte das "wir" aufgrund von Schneefall früher nach Hause gehen...

    Auch blöd und hat nicht wirklich was gebracht... als ich losging gag es einen Bus der überfüllt wear und dann keinen mehr...
    Durfte also zum Bahnhof laufen.
    Die früheren dürften kaum leerer gewesen sein (bin sonst auch immer um 8:00 da um den Menchenmengen zu entgehen - und gehe im Normalfall nicht vor 17:00, planmäßig so ab 17:30),

  16. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 18:54

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das
    > Internet besser und sicherer machen kann.
    >
    > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die man
    > so hat:
    > doesmysiteneedhttps.com

    Also ein Punkt ist definitiv falsch...
    "It just works" stimmt bei HTTPS so nicht ganz.
    In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht jeder Webhost bietet ein automatisches einbinden.
    In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen. Das is nicht "it just works".

    Edit:
    Die Antwsort auf diesen Punkt "Attackers can still impersonate my site, even if I use HTTPS." Ist Blödsinn.
    Solche Angriffe kopieren das Design einer Webseite und nutzen oft ähnliche URLs. Https bringt dort exakt gar nichts wenn der Nutzer nicht schaut ob er auf einer Phising-Seite gelasndet ist oder nicht.



    2 mal bearbeitet, zuletzt am 09.02.18 18:58 durch DetlevCM.

  17. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:56

    wie gesagt... wer nicht versteht warum es eigentlich ausschließlich HTTPS geben sollte... der ist dann dort wo Deutschland grad ist: 10 Jahre hinterher.

    Wenn solche Sachen wie Proxy oder etc. die Umgang nicht möglich machen, dann doch bitte mal ein Ticket bei der IT-Hotline aufmachen, dass vielleicht mal fähige Leute das einrichten.

  18. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:58

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > eric33303 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das
    > > Internet besser und sicherer machen kann.
    > >
    > > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die
    > man
    > > so hat:
    > > doesmysiteneedhttps.com
    >
    > Also ein Punkt ist definitiv falsch...
    > "It just works" stimmt bei HTTPS so nicht ganz.
    > In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht
    > jeder Webhost bietet ein automatisches einbinden.
    > In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen.
    > Das is nicht "it just works".

    Webhoster wechseln? Weil die DDR Hoster zu doof sind, ist HTTPS schlecht?

  19. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 19:02

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > eric33303 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man
    > das
    > > > Internet besser und sicherer machen kann.
    > > >
    > > > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die
    > > man
    > > > so hat:
    > > > doesmysiteneedhttps.com
    > >
    > > Also ein Punkt ist definitiv falsch...
    > > "It just works" stimmt bei HTTPS so nicht ganz.
    > > In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht
    > > jeder Webhost bietet ein automatisches einbinden.
    > > In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen.
    > > Das is nicht "it just works".
    >
    > Webhoster wechseln? Weil die DDR Hoster zu doof sind, ist HTTPS schlecht?

    Ich sage nicht dass es schlecht ist, sondern dass es nicht zwanghaft überall gebraucht wird.
    Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft https gar nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke, nicht was ich will.)

    Wie gesagt, Postkarten existieren immer noch, (Das ist http)

    Edt: Den webhost zui wechseln ist zu aufwändig. Bei mir gibt es Let's Encrypt mit einem regelmäßigen manuellen Zertifikatsupdate - was für meine Nextcloud gut ist. Nur mit meiner Webseite würde ich mir die Mühe nicht machen.



    2 mal bearbeitet, zuletzt am 09.02.18 19:05 durch DetlevCM.

  20. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 19:07

    DetlevCM schrieb:
    > Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft https gar
    > nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke,
    > nicht was ich will.)
    >
    > Wie gesagt, Postkarten existieren immer noch, (Das ist http)

    https verhindert, dass nicht jeder vollidiot dazu in der Lage ist, der sich einfach dazwischen schaltet.

    Die Logik wäre also: Gefahrenpotential 1 vs Gefahrenpotential 100.
    Ich wäre eher für die erste Sache.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. L. STROETMANN Lebensmittel GmbH & Co. KG, Münster
  2. ESCRYPT GmbH, Bochum
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. cadooz GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 59,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. Colt Technology Mobilfunk ist Glasfaser mit Antennen
  2. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  3. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"

Soziale Medien: Mein gar nicht böser Twitter-Bot
Soziale Medien
Mein gar nicht böser Twitter-Bot
  1. Soziale Medien Social Bots verzweifelt gesucht

Toshiba-Notebooks: Reverse-Engineering mit Lötkolben und Pseudocode
Toshiba-Notebooks
Reverse-Engineering mit Lötkolben und Pseudocode
  1. Router und Switches Kritische Sicherheitslücke in Cisco ASA wird ausgenutzt
  2. Olympia 2018 Mutmaßlicher Crackerangriff bei Eröffnung in Pyeongchang
  3. Schweiz 800.000 Kundendaten von Swisscom kopiert

  1. Sicherheitslücken: Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre
    Sicherheitslücken
    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

    Intel wird von mehr als 30 Gruppen wegen der Sicherheitslücken Meltdown und Spectre verklagt. Das Unternehmen glaubt aber nicht, dass durch die Sammelklagen große Belastungen entstehen.

  2. Nightdive Studios: Arbeit an System Shock Remake bis auf Weiteres eingestellt
    Nightdive Studios
    Arbeit an System Shock Remake bis auf Weiteres eingestellt

    Rund 1,35 Millionen US-Dollar haben Spielefans dem Entwicklerstudio Nightdive für die Produktion einer Neuauflage des Klassikers System Shock zur Verfügung gestellt. Nun ist die Arbeit an dem Projekt eingestellt - angeblich soll es später fortgesetzt werden.

  3. FTTH: Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude
    FTTH
    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

    Vodafone hat sich mit dem Landkreistag verbunden, und bekennt sich zum Glasfaserausbau. Heute fand ein spannendes Treffen in Berlin statt.


  1. 18:27

  2. 18:09

  3. 18:04

  4. 16:27

  5. 16:00

  6. 15:43

  7. 15:20

  8. 15:08