1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Protokoll: DNSSEC ist gescheitert

Bei Golem ist auch HTTPS gescheitert

  1. Thema

Neues Thema Ansicht wechseln


  1. Bei Golem ist auch HTTPS gescheitert

    Autor: pythoneer 30.06.15 - 10:32

    Was nicht heißt, dass es an sich gescheitert ist. Aber ich gebe nicht auf (so wie die verlorenen Seelen von DNSSEC) darum zu bitten, dass Golem endlich im Zeitalter der Nutzersicherheit ankommt.

    Aber so ist das halt mit Technologie. Auch wenn sie noch so sinnvoll ist, wird sie halt abgelehnt bis man sie nicht mehr abwenden kann. Und so lange wird es auch Leute geben, die davon reden, dass es gescheitert ist. Ich bin aber zuversichtlich, denn so mehr Leute davon reden, dass es gescheitert ist, desto mehr glaube ich daran, dass es zu einem Erfolg wird :) Wenn etwas wirklich scheitert, dann redet man auch nicht mehr drüber, dass es gescheitert ist :D

    Somit hoffe ich, dass es eine selbst erfüllende Prophezeiung wird, dass bei Golem endlich auch mal HTTPS einzieht. Vielleicht vor oder nach DNSSEC – mal sehen :)

    //Archiv:

    https://forum.golem.de/kommentare/security/verschluesselung-wikipedia-verschluesselt-kuenftig-alle-verbindungen/und-wann-kann-ich-golem-verschluesselt-lesen/93047,4174420,4174420,read.html

    https://forum.golem.de/kommentare/security/websicherheit-chrome-will-vor-http-verbindungen-warnen/https-und-golem/88649,3989668,3989673,read.html#msg-3989673

    https://forum.golem.de/kommentare/security/verschluesselung-kryptoparty-bei-golem.de/ich-hatte-angenommen/82120,3720989,3721018,read.html#msg-3721018

    https://forum.golem.de/kommentare/security/wlan-sicherheit-wps-algorithmus-von-d-link-routern-trivial-knackbar/warum/87655,3948188,3948354,read.html#msg-3948354



    1 mal bearbeitet, zuletzt am 30.06.15 10:33 durch pythoneer.

  2. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: ikhaya 30.06.15 - 10:44

    Es wird auch immer Leute geben die sagen dies oder jenes sei gescheitert, weil es eben dauert bis sich neue Dinge durchsetzen.
    IPv4 zum Beispiel hat lange funktioniert bis es halt nicht mehr anders ging

  3. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: lemmer 30.06.15 - 10:55

    Es wäre begrüßenswert.

  4. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: tunnelblick 30.06.15 - 11:07

    ha, https! da haben wir den nächsten scheißhaufen aus der iddenschmiede internet!
    "grünes schloss, jetzt bin ich endlich sicher unterwegs!"
    ja... also der verschlüsselungsaspekt ist ja mal das eine, aber wie sieht es mit dem vertrauen aus? dieses ganze geldmache-webserverzertifikate-thema ist so ein scheiß, da fehlen mir tatsächlich die worte... "hey, obskure firma x, ihr bietet doch superbillig zertifikate an, oder?" "klar, wir bei diginotar betreiben einen hochsicheren zertifizierungsserver (ungepatchtes xp mit blankem arsch im netz) und haben mal einen haufen kohle für einen anderen dienst bezahlen, damit die uns bescheinigen, dass wir wirklich wir sind. also herr gollum, wann wollen sie das cert haben?" "ehm, wir heissen golem..." "jaja, überweisen sie bitte hier, herr goldblum"...

    ja, es ist übertrieben, aber webserverzertifikate sind die *reinste* pest.

  5. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: ikhaya 30.06.15 - 11:12

    Sie dienen dazu auch Leuten die den Webmaster nicht persönlich kennen zu ermöglichen verschlüsselt auf den Server zuzugreifen.
    Unverschlüsselt ist auch keine Option und das CAs nich optimal sind wissen wir auch.

    Aber man kann ja stufenweise abdichten, unverschlüsselt->verschlüsselt
    CA-only -> Pinning.

    Du brauchst einfache Unterscheidungsmerkmale für den Laien und ein grünes Schloss ist ja auch ein Gewinn über eine Seite ohne. Nur halt nicht kugelsicher.

  6. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: tunnelblick 30.06.15 - 11:15

    um himmels willen, ja! also jein... "ja, die übertragung ist verschlüsselt" ack "ja, der server, mit dem du sprichst, ist auch wirklich die sparkasse" naja... wie gesagt, beim thema sicherheit geht es nicht nur um verschlüsselung, sondern vor allem auch um vertrauen, und das habe ich aufgrund der (von mir übertriebenen) darstellung einfach nicht. das system ist pure geldmache und nichts weiter, in meinen augen. man kriegt es aber den meisten menschen nicht so vermittelt. die sehen grün und alles ist gut.

  7. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: ikhaya 30.06.15 - 11:19

    Das mit der Geldmache sehe ich als lösbares Problem.
    Ich traue es LetsEncrypt, WoSign und Startssl zu zusammen mit der vereinfachten Einrichtung derACME Spezifikation den Markt so aufzuräumen das Geld da eher nur noch mit EV Zertifikaten gemacht werden kann.
    Wenn du dann das kostenlose Zertifikat pinnst, ist das mit dem Vertrauen auch kein Thema mehr.

  8. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: M.P. 30.06.15 - 11:21

    http://www.zeit.de/digital/datenschutz/2015-02/superfish-lenovo-adware-hebelt-https-aus

  9. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: GProfi 30.06.15 - 11:47

    HTTPS scheitert meines Wissens im Moment an der Werbung. Da diese von externen Servern kommt müsste sie auch über HTTPS ausgeliefert werden, was bisher noch kaum der Fall ist. Und die paar Werbeeinblendungen, die bisher über HTTPS zugreifbar sind ist die Vergütung schlechter, weil weniger Konkurrenz.

    Für die werbefreie Variante müsste HTTPS aber eine Möglichkeit sein.

  10. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: /mecki78 30.06.15 - 11:49

    tunnelblick schrieb:
    --------------------------------------------------------------------------------
    > "grünes schloss, jetzt bin ich endlich sicher unterwegs!"

    Nicht "sicher", sondern "sicherer". Die beste und teuerste Alarmanlage der Welt kann nicht verhindern, dass dein Auto gestohlen wird, aber es verringert die Wahrscheinlichkeit, dass das passiert. Zu argumentieren "Wenn die Alarmanlage keine 100%tigen Schutz bietet, dann ist sie nutzlos" ist Unfug. Das Türschloss an deiner Haus-/Wohnungstür bietet auch keinen 100%tigen Schutz davor, dass Fremde dein(e) Haus/Wohnung betreten... baust du es deswegen aus?

    /Mecki

  11. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: tunnelblick 30.06.15 - 11:58

    das war nicht meine kritik an webserver-zertifikaten.

  12. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: ikhaya 30.06.15 - 12:02

    Ja die Werbung wird sehr gerne als Argument angeführt.
    Aber so schlimm ist das eigentlich selten.
    Ich hab oft Webseiten gesehen wo sämtlicher externer Inhalt auch über TLS erreichbar wäre.
    HTTPS-Everywhere von der EFF zeigt das recht deutlich.
    Nicht jeder Werber spielt bisher mit, aber es sind immer mehr.
    Die haben sich das selbst nämlich auch vorgenommen.

  13. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: smirg0l 30.06.15 - 12:29

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Ja die Werbung wird sehr gerne als Argument angeführt.
    > Aber so schlimm ist das eigentlich selten.
    > Ich hab oft Webseiten gesehen wo sämtlicher externer Inhalt auch über TLS
    > erreichbar wäre.
    > HTTPS-Everywhere von der EFF zeigt das recht deutlich.
    > Nicht jeder Werber spielt bisher mit, aber es sind immer mehr.
    > Die haben sich das selbst nämlich auch vorgenommen.

    Nichts desto trotz ist das eine sehr junge Entwicklung. Ads/Tracking über HTTPS war absolut nicht üblich. Das ändert sich zwar langsam, was aber zum Großteil an Google liegen wird - freiwillig macht das niemand.

    Und ja, mixed content ist Mist, weil der Laie nicht sehen kann, was da nicht über HTTPS rein kommt und ob das irgendwie dramatisch sein könnte. Ergo: Kein "Schloss" = keine sichere Verbindung. Alles andere ist zu kompliziert für die Masse.

  14. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: Wechselgänger 30.06.15 - 13:58

    tunnelblick schrieb:
    --------------------------------------------------------------------------------
    > ha, https! da haben wir den nächsten scheißhaufen aus der iddenschmiede
    > internet!
    > "grünes schloss, jetzt bin ich endlich sicher unterwegs!"
    > ja... also der verschlüsselungsaspekt ist ja mal das eine, aber wie sieht
    > es mit dem vertrauen aus?

    Och, dafür gibt es eine Lösung. nennt sich DANE.
    Falls dir die Abkürzung bekannt vorkommt: Kein Wunder, sie wird ja im Artikel genannt, weil sie auf DNSSEC aufbaut ;)

  15. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: GProfi 30.06.15 - 14:38

    Ich glaube auf heise.de gab es mal einen guten Artikel zu dem Thema:

    Das Problem ist nicht die Erreichbarkeit, sondern, dass die Werbung weniger Gewinn abwirft. Werbung wird heute zu Tage sehr Häufig über Echtzeitauktionen vergeben, sprich je mehr Werber werben wollen, desto besser der Preis.

    Da weniger Werber HTTPS verwenden ist der Pries hier schlechter, was natürlich für die Betreiber der Webseiten ein negativer Anreiz ist auf HTTPS umzustellen. Erst wenn ein Großteil der Werbung sowohl über HTTP und HTTPS verfügbar ist wird sich da wohl etwas daran ändern.

    So in etwa war WIMRE die Aussage des Artikels.

  16. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: negecy 30.06.15 - 16:20

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Das mit der Geldmache sehe ich als lösbares Problem.
    > Ich traue es LetsEncrypt, WoSign und Startssl zu zusammen mit der
    > vereinfachten Einrichtung derACME Spezifikation den Markt so aufzuräumen
    > das Geld da eher nur noch mit EV Zertifikaten gemacht werden kann.
    > Wenn du dann das kostenlose Zertifikat pinnst, ist das mit dem Vertrauen
    > auch kein Thema mehr.

    GENAU das Gegenteil wird passieren, denn es ist nicht die Geldmache sondern das Geiz-ist-geil-Problem. Durch alles billig oder am besten umsonst werden Zertifikate mit schwacher Validierung verscheuert und Let's Encrypt und Co. bestätigen ja noch mal oben drauf, dass diese Validierung letztendlich nichts (also kostenlos) wert ist. Genau aber die Befürchungen von Tunnelblick werden damit komplett eintreffen, denn https wird damit komplett ausgehöhlt, https oder ein Schloss ist damit nichts mehr wert, es besagt nur noch, es ist verschlüsselt, aber mit wem und kann ich dem trauen und wurde dessen Identität von einer dritten Stelle geprüft oder bekomme ich gar hierfür noch eine Versicherung, auf die ich mich berufen und Geld einklagen kann, wenn dem nicht so ist? Und glaubt hier irgendwer ernsthaft, dass die "Warnungen" im Subscriber Agreement, man dürfe nichts illegales mit den Zertifikaten machen oder gemacht haben, irgendeinen Cyberkriminellen nur im Ansatz juckt? Diesem blinden Aktionismus steht zum Glück die neue eIDAS-Verordnung entgegen, bei der auch qualifizierte Webserverzertifikate gefordert werden, die ein gewisses Mindestniveau erfüllen und damit auch als valide angesehen werden können. So kann man dann auch noch sicher und ohne Angst im Netz Onlinebanking betreiben oder Onlineshoppen.

  17. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: M.P. 30.06.15 - 16:37

    Hmm,
    ich schaue mir schon des Öfteren die Zertifikate an, die da zu einem "grünen Schloss" gehören.
    Ob das aber Otto-Normalsurfer auch macht, und wenn, ob er dann mit dem, was er dort an Text angeboten bekommt, wenn er sich das Zertifikat anzeigen lässt etwas anfangen kann...

  18. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: Moe479 30.06.15 - 17:19

    und dann komm ich, der 'gemeine' user mit adblocker, und sage: wayne, die kack werbeindustrie, die so wie jetzt agiert, das internet kaputt macht, kann von mir aus sterben gehen!

    wir müssen von automatisierten werberingen wieder wegkommen, werbung kann man auch ohne fremde server, trackingscripte und schlimmeres wie viren usw. einblenden, nur man muss es dann ebend selbst tuen, seine site auchdiesbezüglich selber pflegen, und der werbepartner auch vertrauen haben, warum auch immer der oder seine kunden das atm nicht haben ...



    3 mal bearbeitet, zuletzt am 30.06.15 17:22 durch Moe479.

  19. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: Moe479 30.06.15 - 17:41

    intressant währe übrigens die frage von zusätzlichen bemühungen unerwünschte inhalte gegenüber eines zuvor dagegen gesicherten systems anzuzeigen, also der straftatbestand des 'computereinbruchs' (in den usa), greift der?

    ich mein erst kürzlich wurde lautstark ein startup finanziert um genau das zu machen, oder?



    2 mal bearbeitet, zuletzt am 30.06.15 17:43 durch Moe479.

  20. Re: Bei Golem ist auch HTTPS gescheitert

    Autor: P1r4nh4 30.06.15 - 20:21

    Also ich glaube Otto-Normalsurferwird das vermutlich kaum machen.
    Aber ich habe mir persönlich zumindest die Schlüssel IDs, von den Zertifikaten meiner Banken rausgeschrieben.
    Und prüfe die dann auch bei den meisten meiner Besuche auf deren Seite.
    Nem nackten Mann in die Tasche zu greifen bringt zwar nichts, aber so kann ich zumindest sicher sein, dass hoffentlich niemand meiner Sparkassen Beraterin ne eMail sendet...

    dif tor heh smusma - live long and prosper my dear friends

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. AKKA Deutschland GmbH, München
  2. ADLON Intelligent Solutions GmbH, Ulm, Ravensburg
  3. Landeshauptstadt Stuttgart, Stuttgart
  4. über duerenhoff GmbH, Raum Ostfildern

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-28%) 17,99€
  3. (-58%) 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

  1. Android 10: Google sollte sein Schweigen zur Android-Verbreitung beenden
    Android 10
    Google sollte sein Schweigen zur Android-Verbreitung beenden

    Zwei Monate nach dem Start von Android 10 ist immer noch komplett unklar, wie viele Nutzer die Version bereits verwenden. Grund dafür ist, dass Google seit einem halben Jahr wieder keine Zahlen zur Android-Verbreitung veröffentlicht. Damit befeuert das Unternehmen negative Vermutungen, die ihm schaden.

  2. Security Lab: Github sucht mit Partnern nach Lücken in Open Source Code
    Security Lab
    Github sucht mit Partnern nach Lücken in Open Source Code

    Mit seinem Security-Lab will der Code-Hoster Github künftig aktiv nach Sicherheitslücken in Open Source Code suchen und wird dabei von vielen Unternehmen unterstützt. Für Github-Nutzer soll zudem der Umgang mit Sicherheitslücken einfacher werden.

  3. SSD: Crucials BX500 erhält QLC- statt TLC-Speicher
    SSD
    Crucials BX500 erhält QLC- statt TLC-Speicher

    Die BX500 gibt es mittlerweile auch mit 1 TByte und 2 TByte Kapazität. Crucial verwendet bei den Sata-SSDs jedoch tendenziell langsameren Flash-Speicher als bei den kleineren Modellen.


  1. 10:45

  2. 10:28

  3. 10:13

  4. 10:00

  5. 09:45

  6. 09:26

  7. 09:08

  8. 08:02