Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Juli 2018: Chrome bestraft Webseiten…

ohne zu differenzieren?

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


  1. ohne zu differenzieren?

    Autor: forenuser 09.02.18 - 14:51

    Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder ähnlichem auf https laufen?

    --
    Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
    Für Mob.-Tel.-Foren: Ich nutze <del>Android</del> Windows Phone - und wünscht' es wäre webOS.

  2. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 15:01

    u.a. dass niemand den content MitMt und müll reinschleust.

    dazu kommt dass wenn auf der seite nix dahingehend problematisches ist, eine "nicht sicher" anzeige in der adressleiste kein problem sein sollte. ist ja nicht so dass die da ne zwischenseite reinwerfen.

    Asperger inside(tm)

  3. Re: ohne zu differenzieren?

    Autor: Lord Gamma 09.02.18 - 15:01

    forenuser schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder
    > ähnlichem auf https laufen?

    Weil sogar die Adresse verschlüsselt übertragen wird.

  4. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 15:02

    außer der domain. wegen SNI.

    Asperger inside(tm)

  5. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 16:18

    ganz einfach: Haftungsansprüche.
    es gibt viele ISPs auf der Welt die Werbung oder sonst was in eine unverschlüsselte Webseite einfügen.

    Diese Einstellung: warum verschlüsseln... wenn es dir egal ist, gib mir bitte dein Schlüssel zur Wohnung. Wird schon nichts passieren.

  6. Re: ohne zu differenzieren?

    Autor: pointX 09.02.18 - 16:21

    forenuser schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder
    > ähnlichem auf https laufen?
    Stelle dir z.B. öffentliche Netzwerke vor, Cafeteria/Hotel etc., die nicht verschlüsselt oder wo die Clients nicht voneinander abgeschottet sind. Da gibt es auch gute Gründe für die Verschlüsselung von "einfachen" Webseiten:
    - um die Privatsphäre der Leser zu schützen: mit https kann niemand mitlesen, welche Inhalte genau abgerufen wurden. Nur der Domain-Name ist sichtbar, welche Inhalte abgerufen wurden aber nicht
    - um Manipulationen an der Seite (z.B. einschleusen von Javascript-Code) durch MITM-Angriffe zu verhinden

    Nicht nur Webseiten, auf denen man einen eigenen Login hat, sind "kritisch". Jeder Inhalt, den man im Internet abruft, liefert Informationen über die eigene Person.
    Damit diese Informationen auf ein minimum (Meta-Daten Datum,Uhrzeit, Domain) beschränkt bleiben, ist die Verschlüsselung unbedingt notwendig, auch für "scheinbar unwichtige" Webseiten.



    2 mal bearbeitet, zuletzt am 09.02.18 16:22 durch pointX.

  7. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 16:24

    Guter Kommentar. Leider verstehen dass die ganzen Dino-ITler nicht.
    Wer soll mich schon hacken? Mich kennt doch keiner^^

  8. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 17:59

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > ganz einfach: Haftungsansprüche.
    > es gibt viele ISPs auf der Welt die Werbung oder sonst was in eine
    > unverschlüsselte Webseite einfügen.
    >
    > Diese Einstellung: warum verschlüsseln... wenn es dir egal ist, gib mir
    > bitte dein Schlüssel zur Wohnung. Wird schon nichts passieren.

    Der Vergleich hinkt.

    Wenn schon, wäre es eher Brief vs Postkarte.
    Postkarten verschicken wir soweit ich weiß immer noch in der Welt.

    Man muss nicht zwingend immer verschlüsseln - und a propos verschlüsseln... am Dienstag hatte ich kein https mehr (ich glaube man wollte uns zur Heimreise aufgrund von Schneefall überreden...) - und schwupps konnte ich Google nicht mehr benutzen... Wo ich fast sagen würde weil Google zu dämlich ist einen Seite ohne https auszuliefern... (wenn https nicht verfügbar ist...)
    Wenn ich an einer Uni nach Bildungsenthalpien suche oder nach Papers suche, braucht das nicht zwingend https ...

    Es gibt einen Platz für Beides - und Beides wird benötigt, aber man muss nicht allem https aufzwingen.

  9. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:14

    "am Dienstag hatte ich kein https mehr"
    ja an dem Tag war HTTPS leider schon ausverkauft.

    Wenn du meinst, dass man keine Verschlüsselung braucht, hast du nicht ansatzweise eine Ahnung, wovon du redet. Nicht mal ansatzweise.

    Hier gibt es schon sehr gute Kommentare, die das Thema sehr verständlich erklären. Lies dir den Kommentare von pointX durch. Den versteht nun wirklich jeder...

    Allein die Informationen, die man einfach mitlesen kann... nicht etwa deine Suchanfrage... sondern eher Metainformationen.

    Du würdest dich wundern, mit wie wenig Information man einen Menschen detailliert kategorisieren kann.

    HTTPS ist zwingend notwendig! Vielleicht nicht in Deutschland, da ja grad 4 Jahre Stillstand als großen Erfolg verkauft werden. Da wird nicht viel passieren.

    Aber in anderen Ländern werden Menschen aufgrund von bestimmten Kategorisierungen verfolgt oder unterdrückt.

    Das geht jetzt hier zwar ein bisschen zu weit... aber du hast keine Vorstellung wie wenig Information man braucht, um zu bestimmen, ob jmd Rechts wählt oder schwul ist.

    Und das ist ja wirklich nur ein Randthema :D

    Deswegen... du hast keine Ahnung wovon du sprichst.

  10. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:29

    Ich frag mich auch wie Deutschland jemals mit dem Niveau von Unternehmen aus USA oder Russland mithalten soll (Digitalisierung Bullshitbegriff). Wenn die ganzen IT-Dinos sich weigern auf dem aktuellen Stand zu bleiben. Und z.B. die Entwicklung von BI oder KI ignorieren und nicht einen blassen Schimmer haben, was heutzutage damit möglich ist.

    Z.B. dass man einer KI das gezielte Angreifen von Systemen beibringen kann...

    Es ist einfach nur unfassbar, dass deutsche Firmen solchen Leuten noch eine Anstellung geben.

    Diese Aussage ist jetzt auf keinen persönlich bezogen. Es ist allgemein gemeint.

    Deutschland hält ja noch nicht mal mit. Es bleibt einfach stehen... Die USA sind uns jetzt schon 10 Jahre vorraus...

    Und die Leute die hier wirklich etwas können, gehen nach London oder ins Valley...



    2 mal bearbeitet, zuletzt am 09.02.18 18:32 durch eric33303.

  11. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 18:41

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > "am Dienstag hatte ich kein https mehr"
    > ja an dem Tag war HTTPS leider schon ausverkauft.
    >
    > Wenn du meinst, dass man keine Verschlüsselung braucht, hast du nicht
    > ansatzweise eine Ahnung, wovon du redet. Nicht mal ansatzweise.
    >
    > Hier gibt es schon sehr gute Kommentare, die das Thema sehr verständlich
    > erklären. Lies dir den Kommentare von pointX durch. Den versteht nun
    > wirklich jeder...
    >
    > Allein die Informationen, die man einfach mitlesen kann... nicht etwa deine
    > Suchanfrage... sondern eher Metainformationen.
    >
    > Du würdest dich wundern, mit wie wenig Information man einen Menschen
    > detailliert kategorisieren kann.
    >
    > HTTPS ist zwingend notwendig! Vielleicht nicht in Deutschland, da ja grad 4
    > Jahre Stillstand als großen Erfolg verkauft werden. Da wird nicht viel
    > passieren.
    >
    > Aber in anderen Ländern werden Menschen aufgrund von bestimmten
    > Kategorisierungen verfolgt oder unterdrückt.
    >
    > Das geht jetzt hier zwar ein bisschen zu weit... aber du hast keine
    > Vorstellung wie wenig Information man braucht, um zu bestimmen, ob jmd
    > Rechts wählt oder schwul ist.
    >
    > Und das ist ja wirklich nur ein Randthema :D
    >
    > Deswegen... du hast keine Ahnung wovon du sprichst.

    Wenn ich die Anfrage auch als Postkarte versenden würde, brauche ich keine Verschlüsselung.
    Und ja, wenn Google https erzwingen will, der Proxy das aber (momentär) nicht durchlässt, dann bin ich auf Google sauer, denn für mich heist es in dem Moment "Google ist zu blöd http auszuliefern" - und NICHTS Anderes.
    Die Metadaten helfen da auch nur bedingt weiter wenn man an einer Uni sitzt.
    Und wie gesagt, wenn ich nach Bildungsenthalpien suche, oder nach Papers, brauche ich die Verschlüsselung nicht zwingend.

    Das Thema Überwachung oder persönlichen Informationen mag ja an sich wichtig und richtig sein, bringt mir aber nichts wenn ich einen Dienst ohne https nicht nutzen kann.
    Es bringt mir auch nichts, wenn ein guter "Dienst" durch das nichtanbieten von https unterdrückt wird.

    Der Nutzer kann auch jederzeit selbst entscheiden ob er bereit ist etwas öffentlich zu teilen (im Sinne einer Postkarte) oder nicht.
    Google hat der Welt nicht zu diktieren was sie tun oder lassen soll.

  12. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 18:43

    und warum lässt der verdammte proxy kein https durch? ist doch nicht erst seit gestern dass google https forciert.

    Asperger inside(tm)

  13. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:48

    dann ist der Proxy falsch konfiguriert? Wir verwenden auch ein Proxy. da gabs nie! Probleme.



    1 mal bearbeitet, zuletzt am 09.02.18 18:49 durch eric33303.

  14. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:51

    Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das Internet besser und sicherer machen kann.

    hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die man so hat:
    https://doesmysiteneedhttps.com/

  15. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 18:52

    My1 schrieb:
    --------------------------------------------------------------------------------
    > und warum lässt der verdammte proxy kein https durch? ist doch nicht erst
    > seit gestern dass google https forciert.

    Ich vermute dass man wollte das "wir" aufgrund von Schneefall früher nach Hause gehen...

    Auch blöd und hat nicht wirklich was gebracht... als ich losging gag es einen Bus der überfüllt wear und dann keinen mehr...
    Durfte also zum Bahnhof laufen.
    Die früheren dürften kaum leerer gewesen sein (bin sonst auch immer um 8:00 da um den Menchenmengen zu entgehen - und gehe im Normalfall nicht vor 17:00, planmäßig so ab 17:30),

  16. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 18:54

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das
    > Internet besser und sicherer machen kann.
    >
    > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die man
    > so hat:
    > doesmysiteneedhttps.com

    Also ein Punkt ist definitiv falsch...
    "It just works" stimmt bei HTTPS so nicht ganz.
    In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht jeder Webhost bietet ein automatisches einbinden.
    In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen. Das is nicht "it just works".

    Edit:
    Die Antwsort auf diesen Punkt "Attackers can still impersonate my site, even if I use HTTPS." Ist Blödsinn.
    Solche Angriffe kopieren das Design einer Webseite und nutzen oft ähnliche URLs. Https bringt dort exakt gar nichts wenn der Nutzer nicht schaut ob er auf einer Phising-Seite gelasndet ist oder nicht.



    2 mal bearbeitet, zuletzt am 09.02.18 18:58 durch DetlevCM.

  17. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:56

    wie gesagt... wer nicht versteht warum es eigentlich ausschließlich HTTPS geben sollte... der ist dann dort wo Deutschland grad ist: 10 Jahre hinterher.

    Wenn solche Sachen wie Proxy oder etc. die Umgang nicht möglich machen, dann doch bitte mal ein Ticket bei der IT-Hotline aufmachen, dass vielleicht mal fähige Leute das einrichten.

  18. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:58

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > eric33303 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das
    > > Internet besser und sicherer machen kann.
    > >
    > > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die
    > man
    > > so hat:
    > > doesmysiteneedhttps.com
    >
    > Also ein Punkt ist definitiv falsch...
    > "It just works" stimmt bei HTTPS so nicht ganz.
    > In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht
    > jeder Webhost bietet ein automatisches einbinden.
    > In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen.
    > Das is nicht "it just works".

    Webhoster wechseln? Weil die DDR Hoster zu doof sind, ist HTTPS schlecht?

  19. Re: ohne zu differenzieren?

    Autor: Anonymer Nutzer 09.02.18 - 19:02

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > eric33303 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man
    > das
    > > > Internet besser und sicherer machen kann.
    > > >
    > > > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die
    > > man
    > > > so hat:
    > > > doesmysiteneedhttps.com
    > >
    > > Also ein Punkt ist definitiv falsch...
    > > "It just works" stimmt bei HTTPS so nicht ganz.
    > > In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht
    > > jeder Webhost bietet ein automatisches einbinden.
    > > In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen.
    > > Das is nicht "it just works".
    >
    > Webhoster wechseln? Weil die DDR Hoster zu doof sind, ist HTTPS schlecht?

    Ich sage nicht dass es schlecht ist, sondern dass es nicht zwanghaft überall gebraucht wird.
    Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft https gar nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke, nicht was ich will.)

    Wie gesagt, Postkarten existieren immer noch, (Das ist http)

    Edt: Den webhost zui wechseln ist zu aufwändig. Bei mir gibt es Let's Encrypt mit einem regelmäßigen manuellen Zertifikatsupdate - was für meine Nextcloud gut ist. Nur mit meiner Webseite würde ich mir die Mühe nicht machen.



    2 mal bearbeitet, zuletzt am 09.02.18 19:05 durch DetlevCM.

  20. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 19:07

    DetlevCM schrieb:
    > Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft https gar
    > nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke,
    > nicht was ich will.)
    >
    > Wie gesagt, Postkarten existieren immer noch, (Das ist http)

    https verhindert, dass nicht jeder vollidiot dazu in der Lage ist, der sich einfach dazwischen schaltet.

    Die Logik wäre also: Gefahrenpotential 1 vs Gefahrenpotential 100.
    Ich wäre eher für die erste Sache.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg vor der Höhe
  2. Bosch Gruppe, Dresden
  3. Bundeskriminalamt, Wiesbaden
  4. OPITZ CONSULTING Deutschland GmbH, Gummersbach, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 148,60€ (Vergleichspreis 159,99€)
  2. 141,60€ (Vergleichspreis 163,85€)
  3. 4€
  4. (u. a. Samsung 970 EVO 500 GB für 145,89€ inkl. Versand statt 156,81€ im Vergleich)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Indiegames-Rundschau: Kalte Krieger und bärtige Berliner
Indiegames-Rundschau
Kalte Krieger und bärtige Berliner

Abenteuer zum Nachdenken im düsteren Berlin mit State of Mind und der Kalte Krieg im rundenbasierten Strategiespiel Phantom Doctrine: Die Indiegames des Monats bieten neben spannenden Spielideen auch erstaunlich politische Geschichten.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schiffbruch, Anime und viel Brummbrumm
  3. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen

Flugautos und Taxidrohnen: Der Nahverkehr erobert die dritte Dimension
Flugautos und Taxidrohnen
Der Nahverkehr erobert die dritte Dimension

In Science-Fiction-Filmen gehören sie zur üblichen Ausstattung: kleine Fluggeräte, die einen oder mehrere Passagiere durch die Luft befördern, sei es pilotiert oder autonom. Bald könnte die Vision aber Realität werden: Eine Reihe von Unternehmen entwickelt solche Individualflieger. Eine Übersicht.
Ein Bericht von Werner Pluta

  1. Flughafen Ingenieure bringen Drohne das Vögelhüten bei
  2. Militär US-Verteidigungsministerium finanziert Flugtaxis
  3. Gofly Challenge Boeing zeichnet zehn Fluggeräte für jedermann aus

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
  2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
  3. Raven Ridge AMDs Athlon kehrt zurück

  1. CD Projekt Red: Strahlende Augen und scharfer Stahl in Cyberpunk 2077
    CD Projekt Red
    Strahlende Augen und scharfer Stahl in Cyberpunk 2077

    Gamescom 2018 Ballern oder friedlich vorgehen? In Köln hat CD Projekt Red neue Szenen aus Cyberpunk 2077 gezeigt und Golem.de hat mit einem Questdesigner über Unterschiede zu The Witcher 3 gesprochen.

  2. iTunes-Provision: Netflix will kein Geld mehr an Apple zahlen
    iTunes-Provision
    Netflix will kein Geld mehr an Apple zahlen

    Der Videostreamingdienst Netflix will offenbar nicht länger die Provisionen bezahlen, die bei der Abrechnung von Netflix-Abonnements an Apple fließen. In mehreren Ländern, darunter Deutschland, wird getestet, ob die Nutzer auch bereit sind, auf einer mobilen Website ihr Abo abzuschließen.

  3. Edelkamera: Leica M10-P mit Touchscreen, aber ohne den roten Punkt
    Edelkamera
    Leica M10-P mit Touchscreen, aber ohne den roten Punkt

    Leica hat mit der M10-P eine neue Messsucherkamera vorgestellt, die eine höherpreisige Variante der M10 darstellt. Leica hat den berühmten roten Punkt entfernt und einen leiseren Verschluss sowie einen Touchscreen eingebaut. Es soll sich bei der M10-P um die bisher leiseste M aller Zeiten handeln.


  1. 09:00

  2. 08:38

  3. 08:14

  4. 07:53

  5. 07:41

  6. 18:56

  7. 17:29

  8. 16:58