Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Juli 2018: Chrome bestraft Webseiten…

ohne zu differenzieren?

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


  1. ohne zu differenzieren?

    Autor: forenuser 09.02.18 - 14:51

    Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder ähnlichem auf https laufen?

    --
    Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
    Für Mob.-Tel.-Foren: Ich nutze <del>Android</del> Windows Phone - und wünscht' es wäre webOS.

  2. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 15:01

    u.a. dass niemand den content MitMt und müll reinschleust.

    dazu kommt dass wenn auf der seite nix dahingehend problematisches ist, eine "nicht sicher" anzeige in der adressleiste kein problem sein sollte. ist ja nicht so dass die da ne zwischenseite reinwerfen.

    Asperger inside(tm)

  3. Re: ohne zu differenzieren?

    Autor: Lord Gamma 09.02.18 - 15:01

    forenuser schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder
    > ähnlichem auf https laufen?

    Weil sogar die Adresse verschlüsselt übertragen wird.

  4. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 15:02

    außer der domain. wegen SNI.

    Asperger inside(tm)

  5. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 16:18

    ganz einfach: Haftungsansprüche.
    es gibt viele ISPs auf der Welt die Werbung oder sonst was in eine unverschlüsselte Webseite einfügen.

    Diese Einstellung: warum verschlüsseln... wenn es dir egal ist, gib mir bitte dein Schlüssel zur Wohnung. Wird schon nichts passieren.

  6. Re: ohne zu differenzieren?

    Autor: pointX 09.02.18 - 16:21

    forenuser schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte eine schlichte Webseite ohne Login, Cookies, JavaScript oder
    > ähnlichem auf https laufen?
    Stelle dir z.B. öffentliche Netzwerke vor, Cafeteria/Hotel etc., die nicht verschlüsselt oder wo die Clients nicht voneinander abgeschottet sind. Da gibt es auch gute Gründe für die Verschlüsselung von "einfachen" Webseiten:
    - um die Privatsphäre der Leser zu schützen: mit https kann niemand mitlesen, welche Inhalte genau abgerufen wurden. Nur der Domain-Name ist sichtbar, welche Inhalte abgerufen wurden aber nicht
    - um Manipulationen an der Seite (z.B. einschleusen von Javascript-Code) durch MITM-Angriffe zu verhinden

    Nicht nur Webseiten, auf denen man einen eigenen Login hat, sind "kritisch". Jeder Inhalt, den man im Internet abruft, liefert Informationen über die eigene Person.
    Damit diese Informationen auf ein minimum (Meta-Daten Datum,Uhrzeit, Domain) beschränkt bleiben, ist die Verschlüsselung unbedingt notwendig, auch für "scheinbar unwichtige" Webseiten.



    2 mal bearbeitet, zuletzt am 09.02.18 16:22 durch pointX.

  7. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 16:24

    Guter Kommentar. Leider verstehen dass die ganzen Dino-ITler nicht.
    Wer soll mich schon hacken? Mich kennt doch keiner^^

  8. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 17:59

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > ganz einfach: Haftungsansprüche.
    > es gibt viele ISPs auf der Welt die Werbung oder sonst was in eine
    > unverschlüsselte Webseite einfügen.
    >
    > Diese Einstellung: warum verschlüsseln... wenn es dir egal ist, gib mir
    > bitte dein Schlüssel zur Wohnung. Wird schon nichts passieren.

    Der Vergleich hinkt.

    Wenn schon, wäre es eher Brief vs Postkarte.
    Postkarten verschicken wir soweit ich weiß immer noch in der Welt.

    Man muss nicht zwingend immer verschlüsseln - und a propos verschlüsseln... am Dienstag hatte ich kein https mehr (ich glaube man wollte uns zur Heimreise aufgrund von Schneefall überreden...) - und schwupps konnte ich Google nicht mehr benutzen... Wo ich fast sagen würde weil Google zu dämlich ist einen Seite ohne https auszuliefern... (wenn https nicht verfügbar ist...)
    Wenn ich an einer Uni nach Bildungsenthalpien suche oder nach Papers suche, braucht das nicht zwingend https ...

    Es gibt einen Platz für Beides - und Beides wird benötigt, aber man muss nicht allem https aufzwingen.

  9. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:14

    "am Dienstag hatte ich kein https mehr"
    ja an dem Tag war HTTPS leider schon ausverkauft.

    Wenn du meinst, dass man keine Verschlüsselung braucht, hast du nicht ansatzweise eine Ahnung, wovon du redet. Nicht mal ansatzweise.

    Hier gibt es schon sehr gute Kommentare, die das Thema sehr verständlich erklären. Lies dir den Kommentare von pointX durch. Den versteht nun wirklich jeder...

    Allein die Informationen, die man einfach mitlesen kann... nicht etwa deine Suchanfrage... sondern eher Metainformationen.

    Du würdest dich wundern, mit wie wenig Information man einen Menschen detailliert kategorisieren kann.

    HTTPS ist zwingend notwendig! Vielleicht nicht in Deutschland, da ja grad 4 Jahre Stillstand als großen Erfolg verkauft werden. Da wird nicht viel passieren.

    Aber in anderen Ländern werden Menschen aufgrund von bestimmten Kategorisierungen verfolgt oder unterdrückt.

    Das geht jetzt hier zwar ein bisschen zu weit... aber du hast keine Vorstellung wie wenig Information man braucht, um zu bestimmen, ob jmd Rechts wählt oder schwul ist.

    Und das ist ja wirklich nur ein Randthema :D

    Deswegen... du hast keine Ahnung wovon du sprichst.

  10. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:29

    Ich frag mich auch wie Deutschland jemals mit dem Niveau von Unternehmen aus USA oder Russland mithalten soll (Digitalisierung Bullshitbegriff). Wenn die ganzen IT-Dinos sich weigern auf dem aktuellen Stand zu bleiben. Und z.B. die Entwicklung von BI oder KI ignorieren und nicht einen blassen Schimmer haben, was heutzutage damit möglich ist.

    Z.B. dass man einer KI das gezielte Angreifen von Systemen beibringen kann...

    Es ist einfach nur unfassbar, dass deutsche Firmen solchen Leuten noch eine Anstellung geben.

    Diese Aussage ist jetzt auf keinen persönlich bezogen. Es ist allgemein gemeint.

    Deutschland hält ja noch nicht mal mit. Es bleibt einfach stehen... Die USA sind uns jetzt schon 10 Jahre vorraus...

    Und die Leute die hier wirklich etwas können, gehen nach London oder ins Valley...



    2 mal bearbeitet, zuletzt am 09.02.18 18:32 durch eric33303.

  11. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 18:41

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > "am Dienstag hatte ich kein https mehr"
    > ja an dem Tag war HTTPS leider schon ausverkauft.
    >
    > Wenn du meinst, dass man keine Verschlüsselung braucht, hast du nicht
    > ansatzweise eine Ahnung, wovon du redet. Nicht mal ansatzweise.
    >
    > Hier gibt es schon sehr gute Kommentare, die das Thema sehr verständlich
    > erklären. Lies dir den Kommentare von pointX durch. Den versteht nun
    > wirklich jeder...
    >
    > Allein die Informationen, die man einfach mitlesen kann... nicht etwa deine
    > Suchanfrage... sondern eher Metainformationen.
    >
    > Du würdest dich wundern, mit wie wenig Information man einen Menschen
    > detailliert kategorisieren kann.
    >
    > HTTPS ist zwingend notwendig! Vielleicht nicht in Deutschland, da ja grad 4
    > Jahre Stillstand als großen Erfolg verkauft werden. Da wird nicht viel
    > passieren.
    >
    > Aber in anderen Ländern werden Menschen aufgrund von bestimmten
    > Kategorisierungen verfolgt oder unterdrückt.
    >
    > Das geht jetzt hier zwar ein bisschen zu weit... aber du hast keine
    > Vorstellung wie wenig Information man braucht, um zu bestimmen, ob jmd
    > Rechts wählt oder schwul ist.
    >
    > Und das ist ja wirklich nur ein Randthema :D
    >
    > Deswegen... du hast keine Ahnung wovon du sprichst.

    Wenn ich die Anfrage auch als Postkarte versenden würde, brauche ich keine Verschlüsselung.
    Und ja, wenn Google https erzwingen will, der Proxy das aber (momentär) nicht durchlässt, dann bin ich auf Google sauer, denn für mich heist es in dem Moment "Google ist zu blöd http auszuliefern" - und NICHTS Anderes.
    Die Metadaten helfen da auch nur bedingt weiter wenn man an einer Uni sitzt.
    Und wie gesagt, wenn ich nach Bildungsenthalpien suche, oder nach Papers, brauche ich die Verschlüsselung nicht zwingend.

    Das Thema Überwachung oder persönlichen Informationen mag ja an sich wichtig und richtig sein, bringt mir aber nichts wenn ich einen Dienst ohne https nicht nutzen kann.
    Es bringt mir auch nichts, wenn ein guter "Dienst" durch das nichtanbieten von https unterdrückt wird.

    Der Nutzer kann auch jederzeit selbst entscheiden ob er bereit ist etwas öffentlich zu teilen (im Sinne einer Postkarte) oder nicht.
    Google hat der Welt nicht zu diktieren was sie tun oder lassen soll.

  12. Re: ohne zu differenzieren?

    Autor: My1 09.02.18 - 18:43

    und warum lässt der verdammte proxy kein https durch? ist doch nicht erst seit gestern dass google https forciert.

    Asperger inside(tm)

  13. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:48

    dann ist der Proxy falsch konfiguriert? Wir verwenden auch ein Proxy. da gabs nie! Probleme.



    1 mal bearbeitet, zuletzt am 09.02.18 18:49 durch eric33303.

  14. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:51

    Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das Internet besser und sicherer machen kann.

    hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die man so hat:
    https://doesmysiteneedhttps.com/

  15. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 18:52

    My1 schrieb:
    --------------------------------------------------------------------------------
    > und warum lässt der verdammte proxy kein https durch? ist doch nicht erst
    > seit gestern dass google https forciert.

    Ich vermute dass man wollte das "wir" aufgrund von Schneefall früher nach Hause gehen...

    Auch blöd und hat nicht wirklich was gebracht... als ich losging gag es einen Bus der überfüllt wear und dann keinen mehr...
    Durfte also zum Bahnhof laufen.
    Die früheren dürften kaum leerer gewesen sein (bin sonst auch immer um 8:00 da um den Menchenmengen zu entgehen - und gehe im Normalfall nicht vor 17:00, planmäßig so ab 17:30),

  16. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 18:54

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das
    > Internet besser und sicherer machen kann.
    >
    > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die man
    > so hat:
    > doesmysiteneedhttps.com

    Also ein Punkt ist definitiv falsch...
    "It just works" stimmt bei HTTPS so nicht ganz.
    In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht jeder Webhost bietet ein automatisches einbinden.
    In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen. Das is nicht "it just works".

    Edit:
    Die Antwsort auf diesen Punkt "Attackers can still impersonate my site, even if I use HTTPS." Ist Blödsinn.
    Solche Angriffe kopieren das Design einer Webseite und nutzen oft ähnliche URLs. Https bringt dort exakt gar nichts wenn der Nutzer nicht schaut ob er auf einer Phising-Seite gelasndet ist oder nicht.



    2 mal bearbeitet, zuletzt am 09.02.18 18:58 durch DetlevCM.

  17. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:56

    wie gesagt... wer nicht versteht warum es eigentlich ausschließlich HTTPS geben sollte... der ist dann dort wo Deutschland grad ist: 10 Jahre hinterher.

    Wenn solche Sachen wie Proxy oder etc. die Umgang nicht möglich machen, dann doch bitte mal ein Ticket bei der IT-Hotline aufmachen, dass vielleicht mal fähige Leute das einrichten.

  18. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 18:58

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > eric33303 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man das
    > > Internet besser und sicherer machen kann.
    > >
    > > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die
    > man
    > > so hat:
    > > doesmysiteneedhttps.com
    >
    > Also ein Punkt ist definitiv falsch...
    > "It just works" stimmt bei HTTPS so nicht ganz.
    > In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht
    > jeder Webhost bietet ein automatisches einbinden.
    > In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen.
    > Das is nicht "it just works".

    Webhoster wechseln? Weil die DDR Hoster zu doof sind, ist HTTPS schlecht?

  19. Re: ohne zu differenzieren?

    Autor: DetlevCM 09.02.18 - 19:02

    eric33303 schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > eric33303 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Google schlägt in diesem Fall eine vernünftigen Ansatz vor, wie man
    > das
    > > > Internet besser und sicherer machen kann.
    > > >
    > > > hier ist eine gute Seite, die eigentlich alle Fragen beantwortet, die
    > > man
    > > > so hat:
    > > > doesmysiteneedhttps.com
    > >
    > > Also ein Punkt ist definitiv falsch...
    > > "It just works" stimmt bei HTTPS so nicht ganz.
    > > In der Tat gibt es mit Let's encrypt kostenlose Zertifikat, aber nicht
    > > jeder Webhost bietet ein automatisches einbinden.
    > > In dem Fall muss man also alle Monate die Zertifikate manuell ersetzen.
    > > Das is nicht "it just works".
    >
    > Webhoster wechseln? Weil die DDR Hoster zu doof sind, ist HTTPS schlecht?

    Ich sage nicht dass es schlecht ist, sondern dass es nicht zwanghaft überall gebraucht wird.
    Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft https gar nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke, nicht was ich will.)

    Wie gesagt, Postkarten existieren immer noch, (Das ist http)

    Edt: Den webhost zui wechseln ist zu aufwändig. Bei mir gibt es Let's Encrypt mit einem regelmäßigen manuellen Zertifikatsupdate - was für meine Nextcloud gut ist. Nur mit meiner Webseite würde ich mir die Mühe nicht machen.



    2 mal bearbeitet, zuletzt am 09.02.18 19:05 durch DetlevCM.

  20. Re: ohne zu differenzieren?

    Autor: eric33303 09.02.18 - 19:07

    DetlevCM schrieb:
    > Und gegen das impersonieren (gibts das Wort im Deutsdchen?) hilft https gar
    > nicht - das geht mit und ohne. (Der Browser macht was ich sage/clicke,
    > nicht was ich will.)
    >
    > Wie gesagt, Postkarten existieren immer noch, (Das ist http)

    https verhindert, dass nicht jeder vollidiot dazu in der Lage ist, der sich einfach dazwischen schaltet.

    Die Logik wäre also: Gefahrenpotential 1 vs Gefahrenpotential 100.
    Ich wäre eher für die erste Sache.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Autobahn Tank & Rast Gruppe, Bonn
  2. Schaeffler Technologies AG & Co. KG, Schweinfurt
  3. Heinle, Wischer und Partner Freie Architekten GbR, Berlin
  4. Loh Services GmbH & Co. KG, Haiger

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 69,95€ mit Vorbesteller-Preisgarantie
  2. (-68%) 8,99€
  3. 69,99€
  4. 589,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Teilzeit-UFOs, Rollenspielgeschichte und Würfelpiraten
Mobile-Games-Auslese
Teilzeit-UFOs, Rollenspielgeschichte und Würfelpiraten
  1. Mobile-Games-Auslese Harry Potter und das Geschäftsmodell des Grauens
  2. Chicken Dinner Pubg erhält Updates an allen Fronten
  3. Mobile-Games-Auslese Abfahrten, Verliebtheit und Kartenkerker

Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI
Kryptobibliotheken
Die geheime Kryptosoftware-Studie des BSI
  1. DSGVO EU-Kommission kritisiert "Fake-News" zur Datenschutzreform
  2. Russische IT-Angriffe BSI sieht keine neue Gefahren für Router-Sicherheit
  3. Fluggastdaten Regierung dementiert Hackerangriff auf deutsches PNR-System

Raumfahrt: Die Digitalisierung des Weltraums
Raumfahrt
Die Digitalisierung des Weltraums
  1. Space Launch System Neue Rakete fliegt drei Missionen in kleiner Konfiguration
  2. Raumfahrt Mann überprüft mit Rakete, ob die Erde eine Scheibe ist
  3. Raumfahrt Falsch abgebogen wegen Eingabefehler

  1. NFC: Yubikeys arbeiten ab sofort mit dem iPhone zusammen
    NFC
    Yubikeys arbeiten ab sofort mit dem iPhone zusammen

    iPhone-Nutzer können die One-Time-Passwort-Funktion des Yubikey nutzen, um sich bei einer Applikation anzumelden. Als erster Hersteller unterstützt der Passwortmanager Lastpass das neue Software-Development-Kit.

  2. DxO-Test: Neues HTC U12+ hat zweitbeste Smartphone-Kamera
    DxO-Test
    Neues HTC U12+ hat zweitbeste Smartphone-Kamera

    Im bekannten Kameratest von DxO hat HTCs neues U12+ sehr gut abgeschnitten: Das Smartphone schafft es auf den zweiten Platz in der aktuellen Rangliste und übertrumpft damit Geräte von Samsung und Apple. HTC muss sich nur Huawei geschlagen geben.

  3. Pearl: Online-Versand darf Konto im EU-Ausland nicht ablehnen
    Pearl
    Online-Versand darf Konto im EU-Ausland nicht ablehnen

    Ein Auslandskonto in der EU darf für Pearl kein Grund zur Ablehnung einer Bestellung sein. Das hat der Verbraucherzentrale Bundesverband vor Gericht durchgesetzt. Pearl kann nun noch vor den Bundesgerichtshof ziehen.


  1. 17:00

  2. 16:45

  3. 16:31

  4. 16:17

  5. 16:03

  6. 15:36

  7. 15:13

  8. 14:52