1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mozilla: Firefox soll HTTPS-only…

https überall nötig?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. https überall nötig?

    Autor: linuxdoesrock 24.03.20 - 15:55

    Steinig mich, aber ich finde, dass es Seiten gibt, die https nicht benötigen. Wenn ich die Öffnungszeiten und Preise des Friseurs nebenan lesen will, muss diese Seite meiner Meinung nach nicht verschlüsselt werden.
    Klar gibt es kostenlose Zertifikate, aber (den kleinen) Aufwand let's encrypt einzurichten muss der Friseur nicht betreiben.

    Viellicht übersehe ich da was oder bin auf der falschen Fährte, aber https everywhere ist für mich nett, aber nicht überall nötig.

  2. Re: https überall nötig?

    Autor: user0345 24.03.20 - 16:04

    Der Livestream vom Studentenradio an meiner Hochschule bitte wir auch unverschlüsselt an.

    Das ist so ein öffentlicher Dienst den man nicht wirklich verschlüsselt bräuchte ;-)

  3. Re: https überall nötig?

    Autor: kn4llfr0sch 24.03.20 - 16:06

    Maßnahmen der Browserhersteller beziehen sich ja nicht nur auf den Ist-Zustand, sondern sind auch Erziehungsmaßnahmen.

    Warte ein Jahr, bis das weitere kleine Wellen durch das Ökosystem des Web geschlagen hat und dein exemplarischer Friseur wird es nicht einmal mehr schaffen, seine Webseite unverschlüsselt anzubieten, egal welches Tool/Framework er auch verwendet ;)

    Andere, ähnlich begabt wie dein Friseur, können dann super einfach sichere Webseiten aufsetzen. Das kann ja, nur als Beispiel, auch ein 60-Jähriger Betriebsrat in der lokalen Firma sein..

  4. Re: https überall nötig?

    Autor: haoLink 24.03.20 - 16:11

    Eigentlich würde mir auch eine unverschlüsselte Website reichen, für den Friseur nebenan - oder auch die Preisliste. Zwar könnte unverschlüsselt nachvollzogen werden, dass ich da auf so einer Seite war (unter der Annahme dass ich auch DNS über TLS oder DNS über HTTPS nutze) - aber das wäre im Prinzip alles.

    Was tatsächlich aktuell für HTTPS only hauptsächlich spricht, ist dass man bei HTTPS zumindest ein Zertifikat hat, was auch genau für diese Website unter dieser Domain ausgestellt wurde - und somit eine etwas höhere Sicherheit gibt, dass man nicht gerade auf der Seite eines Betrügers gelandet ist (DNS-Manipulation) oder dass in den Datenstrom irgendwie schädlicher Code eingefügt wurde - beispielsweise durch eine Man in the Middle Attacke.

    So etwas könnte im besten Fall in Zukunft für den Friseur nebenan der Hosting-Provider durchführen.

    Bei Leuten mit "sauberen" Computern sind jedoch beide Angriffe sehr unwahrscheinlich.

    Meines Erachtens wäre es tatsächlich mal wichtiger, dass Browser eine deutlichere Unterschiedung zwischen Domain Validation Zertifikaten und Organization Validatiton Zertifikaten anbieten würde. Bis dato sind nur Extended Validation-Zertifikate deutlicher erkennbar.

  5. Re: https überall nötig?

    Autor: Mixermachine 24.03.20 - 16:16

    Für einfache Anzeigen, ist eine HTTP Verbindung ausreichend (außer es macht sich jemand einen Spaß daraus dich zur falschen Zeit zum Friseur zu schicken).
    Evtl wird dir im offenen WLAN noch jemand Tracking und Werbebildchen einfügen.

    Es geht unteranderem darum, dass es in der Zukunft evtl auch mal Funktionen bei deinem Friseur geben wird, die deine Daten übertragen wird.
    Dann kommt eine Terminfunktiom dazu und die Daten wandern über HTTP, da niemand an HTTPS gedacht hat.
    Mit der DSGVO ist die Übertragung und Abfrage von Cookies ohne HTTPS auch schon eher als kritisch zu betrachten.

    SSL ist mittlerweile kostenlos verfügbar und wird auch schon von vielen Hostern kostenlos mit automatischer Erneuerung angeboten.
    Zusammengefasst: keine bis geringe Kosten, für eine sicherere Seite mit deutlich besserer SEO Wertung.

    In ca zwei bis vier Jahren würde ich ab von Entwicklungsumgebungen HTTP Verbindungen (imho) nicht mehr erlauben.

    Getter, Setter, Hashcode und Equals manuell testen in Java?
    Einfach automatisieren: https://github.com/Mixermachine/base-test

  6. Re: https überall nötig?

    Autor: Huviator 24.03.20 - 16:36

    Bei Hosteurope wird auch kein Lets-Encrypt angeboten. Für mein Hobby-Blog mag ich aber keine 40 EUR im Jahr extra zahlen. Die Daten sind alle öffentlich, es gibt keinen Login, kein Kontaktformular, keine Session. SSL ist hier einfach quatsch.

  7. Re: https überall nötig?

    Autor: eXeler0n 24.03.20 - 16:46

    Mein Hoster (netcup.de) bietet für alle Hostingtarife kostenlose Let's Encrypt Zertifikate an, welche man mit ein paar Klicks im Kundenzentrum aktivieren kann.
    Das sollte, meiner Meinung nach, inzwischen jeder Hoster unterstützen.

    https://eXeler0n.de

  8. Re: https überall nötig?

    Autor: sn0 24.03.20 - 17:05

    user0345 schrieb:
    --------------------------------------------------------------------------------
    > Der Livestream vom Studentenradio an meiner Hochschule bieten wir auch
    > unverschlüsselt an.

    Das Audio/Videostreams zusätzlich noch unverschlüsselt übertragen werden ist wohl er als Fallback gedacht. Einige ältere Internetradiogeräte oder Mediaplayer-SetTopBoxen können gar kein HTTPS weil es bis vor einigen Jahren quasi kein nennenswerte Anzahl verschlüsselter Streams gab.

  9. Re: https überall nötig?

    Autor: Proctrap 24.03.20 - 17:45

    Für Entwickler & Admin ist es sowieso Müll.
    Wenn ich auf n router per lan zugreife ist nix mit https. Und wenn ich per port forwarding in ssh auf das monitoring Zugreife ist https genauso unnötig und sinnfrei.
    Es gibt sicher viele Gründe https überall im Netz zu fordern, aber http hat genauso seinen Platz & wird abseits von online Diensten nicht verschwinden. Meine Sorge ist daher nicht dass es diesen Modus gibt, sondern dass ich irgendwann gar nicht mehr unverschlüsselt http nutzen kann. Und dann soll sich meine Fritzbox n Cert besorgen auf ihre dynamische IP oder was ?! Oder etwa auf fritz.box, dessen private key dann in jedem router steckt?!

    ausgeloggt kein JS für golem = keine Seitenhüpfer



    1 mal bearbeitet, zuletzt am 24.03.20 17:48 durch Proctrap.

  10. Re: https überall nötig?

    Autor: maverick1977 24.03.20 - 17:51

    Proctrap schrieb:
    --------------------------------------------------------------------------------
    > aber http hat genauso seinen Platz

    Daten haben im Klartext nichts in einem LAN oder einem WLAN, geschweige denn im Internet zu suchen. Alles, was Klartext übertragen wurde, gilt grundsätzlich als manipuliert!

  11. Re: https überall nötig?

    Autor: MarcusK 24.03.20 - 19:01

    maverick1977 schrieb:
    --------------------------------------------------------------------------------
    > Proctrap schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > aber http hat genauso seinen Platz
    >
    > Daten haben im Klartext nichts in einem LAN oder einem WLAN, geschweige
    > denn im Internet zu suchen. Alles, was Klartext übertragen wurde, gilt
    > grundsätzlich als manipuliert!

    Falsch!

    Man kann daten die im Klartext übertragen werden, genauso signieren wie verschlüsselte Daten.
    Genauso kann man Verschlüsselte Daten ohne Signatur übertragen und damit auch Manipulieren.

    Verschlüsselung und Authentizität sind verschieden Dinge. (Bei https hat man beides, bei mail gibt es das auch getrennt). Eine Signierte Mail muss nicht verschlüsselt sein.


    Eine Pflicht für Verschlüsselung sorgt nur dafür das die Leute jeden Art von SSL-Warnung ignorieren, weil es immer noch keine Standard für Zertifikate für Lokale Geräte im Netzt gibt.

  12. Re: https überall nötig?

    Autor: Proctrap 24.03.20 - 20:31

    Uhm, du willst also n private cert vom router dessen key jeder lesen kann, oder self signed, sodass alle ne Warnung weg klicken dürfen ? Wenn ich n lan kabel zwischen meinem pc & dem router hab, dann weiß ich was da abläuft. Alles andere sind angriffszenarien wo ich ganz andere sorgen hätte.

    ausgeloggt kein JS für golem = keine Seitenhüpfer



    1 mal bearbeitet, zuletzt am 24.03.20 20:31 durch Proctrap.

  13. Ausnahmen wie im Extranet muss es schon geben für Modem & Router

    Autor: solary 24.03.20 - 20:39

    >Steinig mich, aber ich finde, dass es Seiten gibt, die https nicht benötigen. Wenn ich die >Öffnungszeiten und Preise des Friseurs


    SSL sieht einfach professioneller aus, aber was viele vergessen, im Extranet wie 192.168.x.x
    also Seiten die nur bei mir zuhause aufgerufen können da braucht man kein SSL.
    Was sollen dann die ganzen Router/Modem machen, denn die kann man dann nicht mehr konfigurieren.

  14. Re: https überall nötig?

    Autor: sn0 24.03.20 - 20:42

    Ich hab letztens von einem netten Workaroud für den Zugriff auf alte LAN-Hardware gelesen:
    Ein separates Browser-Profil in dem einfach die entsprechenden about:config-Flags so gesetzt sind das Warnmeldungen (z.B. weil self-signed, alte TLS version, falsches Datum etc.) nicht erscheinen bzw. wegklickbar sind.

    Mühsamer wird es wenn Webinterfaces zu sehr IE-optimiert sind und sich gar nicht erst darstellen lassen. Da muss man mittlerweile wohl dazu übergehen und eine alte Browserversion separat zu installieren und die updates zu deaktivieren.

  15. Re: https überall nötig?

    Autor: HeroFeat 24.03.20 - 21:49

    haoLink schrieb:
    --------------------------------------------------------------------------------
    > Meines Erachtens wäre es tatsächlich mal wichtiger, dass Browser eine
    > deutlichere Unterschiedung zwischen Domain Validation Zertifikaten und
    > Organization Validatiton Zertifikaten anbieten würde. Bis dato sind nur
    > Extended Validation-Zertifikate deutlicher erkennbar.

    Der Trend geht eher dahin, das es keinen Unterschied zwischen den Typen gibt. Und ehrlich gesagt finde ich das auch (denke ich) besser, da es sicherlich einige CAs gibt, die nicht so saubere Überprüfungen machen. Und dann wiegt einen das nur in falscher Sicherheit.

  16. Re: Ausnahmen wie im Extranet muss es schon geben für Modem & Router

    Autor: Schnarchnase 24.03.20 - 23:17

    solary schrieb:
    --------------------------------------------------------------------------------
    > SSL sieht einfach professioneller aus, aber was viele vergessen, im
    > Extranet wie 192.168.x.x
    > also Seiten die nur bei mir zuhause aufgerufen können da braucht man kein
    > SSL.

    Das nennt sich Intranet, Extranet ist per Definition eben nicht nur zuhause.

    > Was sollen dann die ganzen Router/Modem machen, denn die kann man dann
    > nicht mehr konfigurieren.

    Es gibt Leute die denken es gäbe dafür Lösungen (hatte vor einiger Zeit hier ein längere Diskussion zu dem Thema), aber ich halte das für ausgemachten Schwachsinn. Für solche Fälle muss es unverschlüsselte Wege geben.

  17. Re: Ausnahmen wie im Extranet muss es schon geben für Modem & Router

    Autor: maverick1977 25.03.20 - 04:29

    Vernünftige Geräte sind per HTTPS erreichbar.

  18. Re: Ausnahmen wie im Extranet muss es schon geben für Modem & Router

    Autor: Karl_far_away 25.03.20 - 09:00

    maverick1977 schrieb:
    --------------------------------------------------------------------------------
    > Vernünftige Geräte sind per HTTPS erreichbar.


    Klar und deswegen muss ich z.B in einer Serverfarm für jeden Rechner eine Ausnahme bestätigen wenn ich ILO aufrufe. Besonders toll ist es wenn der Citrix Server wieder zurückgesetzt werde z.b SW update und alle Einstellungen wegen Read Only weg sind.

    Browser werden nicht nur im Internet verwendet.

  19. Re: Ausnahmen wie im Extranet muss es schon geben für Modem & Router

    Autor: mke2fs 25.03.20 - 10:05

    Interessant.
    Und wie realisierst du das bei einem Gerät was du gerade ausm Karton nimmst?
    Vielleicht einem Gerät was nen Jahr im Lager gelegen hat?
    Sei dir sicher, selbst wenn da ein Zertifikat installiert war was durch eine öffentliche CA signiert war, dann ist es inzwischen ungültig.

  20. Re: https überall nötig?

    Autor: PSmith 30.03.20 - 10:52

    linuxdoesrock schrieb:
    --------------------------------------------------------------------------------
    > Steinig mich, aber ich finde, dass es Seiten gibt, die https nicht
    > benötigen. Wenn ich die Öffnungszeiten und Preise des Friseurs nebenan
    > lesen will, muss diese Seite meiner Meinung nach nicht verschlüsselt
    > werden.
    > Klar gibt es kostenlose Zertifikate, aber (den kleinen) Aufwand let's
    > encrypt einzurichten muss der Friseur nicht betreiben.
    >
    > Viellicht übersehe ich da was oder bin auf der falschen Fährte, aber https
    > everywhere ist für mich nett, aber nicht überall nötig.


    Nicht jeder Hoster erlaubt es, Let's Encrypt Zertifikate zu benutzen.
    Meine eigene Homepage beinhaltet nur öffentlich zugängliche Infos - diese müssen also nicht verschlüsselt werden. Wegen diesem Scheiss werde ich jetzt gezwungen, 10 Euro mehr pro Monat für meine Homepage zu bezahlen ? Die haben sie doch nicht mehr alle...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DB Systel GmbH, Frankfurt (Main)
  2. Staatliche Lotterieverwaltung, München
  3. Stadt Achim, Achim
  4. Ganter Interior GmbH, Waldkirch

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,99€
  2. (-40%) 29,99€
  3. 9,99€
  4. (-15%) 42,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

Videostreaming: So verändert Disney+ auch Netflix, Prime Video und Sky
Videostreaming
So verändert Disney+ auch Netflix, Prime Video und Sky

Der Markt für Videostreamingabos in Deutschland ist jetzt anders: Mit dem Start von Disney+ erhalten Amazon Prime Video, Netflix sowie Sky Ticket ganz besondere Konkurrenz.
Von Ingo Pakalski

  1. Disney+ Surround-Ton nur auf drei Fire-TV-Modellen
  2. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  3. Coronavirus-Krise Disney+ startet mit reduzierter Streaming-Bitrate

Coronakrise: IT-Freelancer müssen als Erste gehen
Coronakrise
IT-Freelancer müssen als Erste gehen

Die Pandemie schlägt bei vielen IT-Freiberuflern schneller zu als bei Festangestellten. Schon die Hälfte aller Projekte sind gecancelt. Überraschung: Bei der anderen Hälfte läuft es weiter wie bisher. Wie das?
Ein Bericht von Peter Ilg

  1. Coronakrise SPD-Chefin warnt vor Panik durch ungenaues Handytracking
  2. Buglas Corona-Pandemie zeigt Notwendigkeit der Glasfaser
  3. Coronavirus Media Markt und Saturn stoppen Mietzahlungen