halte ich für Unsinn

aus verschiedenen Gründen
- bei einer Wetterseite brauch ich keine Verschlüsselung
- die letzten Jahre sind wir ganz gut so ausgekommen
- Energiekosten
- das Web wird langsamer
- convienience Addons funktionieren zum Teil nicht mehr
- von irgendwelchen Geheimdiensten sollte man sich nicht die Demokratie kaputt machen lassen
- sowohl die Bedrohung ohne als auch der Schutz durch https wird von den meisten falsch eingeschätzt, zum Teil wird eine trügerische Sicherheit vorgegaukelt



3 mal bearbeitet, zuletzt am 04.05.15 13:19 durch Kaiser Ming.

Langsamer? https://istlsfastyet.com/ überzeugt mich eher vom Gegenteil
Welche Addons funktionieren nicht mehr?
Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung eine verschlüsselte Verbindung nutzt, wieso also "kaputt machen"?

So ausgekommen? Ja vielleicht, aber das heisst noch lange nicht dass es besser war.

ikhaya schrieb:
--------------------------------------------------------------------------------
> Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung
> eine verschlüsselte Verbindung nutzt

Auch den geneigten Blogger der seine Identität bestätigen muss, wenn er / sie ein Zertifikat für den Blog benötigt ?
Und Metadaten (welche IP besucht welche URL) sind nach wie vor einsehbar. Mal abgesehen vom CA Problem.
Unrechtsstaat ABC hat eine offizielle CA, stellt darüber einfach beliebige Zertifikate aus und kann dann doch wieder in alles reinschauen.

Solange da nichts passiert macht eine HTTPS-everywhere keinen Sinn.

ikhaya schrieb:
--------------------------------------------------------------------------------
> Langsamer? istlsfastyet.com überzeugt mich eher vom Gegenteil

https kostet Rechenzeit
da beist die Maus kein Faden ab
klar kann man das durch Serverleistung kompensieren
ändert aber nichts an der Sache

> Welche Addons funktionieren nicht mehr?

zb Caching wird bei https nicht durchgeführt
fällt mir adhock so ein

> Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung
> eine verschlüsselte Verbindung nutzt, wieso also "kaputt machen"?

weil ich meine Meinung nicht verstecken müssen möchte

dass Google zB verstärkt Verschlüsselung einführt
geht ganz klar auf den NSA Leak zurück
sagt Google selbst


> So ausgekommen? Ja vielleicht, aber das heisst noch lange nicht dass es
> besser war.

ist ja auch nur ein Argument von mehreren



1 mal bearbeitet, zuletzt am 04.05.15 13:33 durch Kaiser Ming.

rugel schrieb:
> Und Metadaten (welche IP besucht welche URL) sind nach wie vor einsehbar.

Das stimmt doch so nicht! Es ist nur der Server erkennbar aber nicht die URL...

Kaiser Ming schrieb:
--------------------------------------------------------------------------------
> aus verschiedenen Gründen
> - bei einer Wetterseite brauch ich keine Verschlüsselung

Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert werden und Schadcode auf dem Rechner einschleusen.

"zb Caching wird bei https nicht durchgeführt
fällt mir adhock so ein "

Wenn ich eine verschlüsselte Webseite mehrfach aufrufe, wird dennoch je nach Seite ein großer Teil aus dem Cache geladen.
Das liegt eher am Betreiber ob er das zulässt oder nicht, nicht an TLS

Auch auf deiner Wetterseite kann ein Angreifer dir bösartigen JavaScript-Code unterschieben wenn du kein HTTPS benutzt.

kayozz schrieb:
--------------------------------------------------------------------------------
> Kaiser Ming schrieb:
> ---------------------------------------------------------------------------
> -----
> > aus verschiedenen Gründen
> > - bei einer Wetterseite brauch ich keine Verschlüsselung
>
> Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert
> werden und Schadcode auf dem Rechner einschleusen.

lol
Durch eine Man-In-The-Middle Attacke geht das auch bei https ;)

wie ich schon schrieb
"zum Teil wird eine trügerische Sicherheit vorgegaukelt"

> Auch auf deiner Wetterseite kann ein Angreifer dir bösartigen JavaScript-Code unterschieben wenn du kein HTTPS benutzt.
Ein Angreifer kann dir auch bösartigen JavaScript-Code auf der Wetterseite unterschieben, wenn diese HTTPS benutzt. Im "einfachsten" Fall, weil der Code vom Wetterseiten-Server kommt. Bösartig signiert.

--
Dare to be stupid!

Ich sehe wiederum keinen Grund keine Verschlüsselung einzusetzen. Meine kleine nichtkommerzielle Seite läuft auch über https bzw. Besucher werden automatisch darauf weitergeleitet. Probleme habe ich dabei keine feststellen können, die Seite ist nicht merklich langsamer dadurch geworden. Und solange die Hardware immer energieeffizienter wird, sehe ich auch die höhere Rechenleistung für Verschlüsselung nicht so dramatisch.

> > Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung
> > eine verschlüsselte Verbindung nutzt
>
> Auch den geneigten Blogger der seine Identität bestätigen muss, wenn er /
> sie ein Zertifikat für den Blog benötigt ?

Man muss ja nicht zwangsweise seine Identität bestätigen - es reicht ja, wenn man die Identität der Website verifiziert. Oder man veröffentlicht seinen Blog auf Seiten wie wordpress.com. Dort wurde soweit ich weiß auch auf https umgestellt.

Natürlich ist das Einrichten der Zertifikate für Unerfahrene noch kompliziert und die "erweiterten" Zertifikate (Wildcard z.B.) sind teuer. Aber das wird sich hoffentlich mit der Zeit ändern.



1 mal bearbeitet, zuletzt am 04.05.15 13:48 durch x64.

Grundsätzlich finde ich https im Internet eine sehr sinnvolle sache ... schade nur das es auch im intranet diverse Appliance gibt und geben wir die nur http können bzw. bei denen es Firewalltechnisch garnicht möglich ist Zertifikate o.ä. zu bekommen ... schade das Mozilla offenbar nur noch Privatnutzer als Ziel hat

Kaiser Ming schrieb:
--------------------------------------------------------------------------------
> kayozz schrieb:
> ---------------------------------------------------------------------------
> > Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert
> > werden und Schadcode auf dem Rechner einschleusen.
>
> lol
> Durch eine Man-In-The-Middle Attacke geht das auch bei https ;)

Was für ein Unsinn! (um beim Thread-Titel zu bleiben). Das geht bei https nur wenn du auch ein Zertifikat für die Wetterseite hast. Und das ist nicht so leicht möglich... Natürlich hat das CA System Schwächen und Geheimdienste, Regierungen oder meinetwegen auch Kriminelle kommen mit viel Aufwand auch an gefälschte Zertifikate. Ein X-beliebiges Script-Kiddy kann aber keine Man-In-The-Middle Attacke im Internet Cafe auf eine https verschlüsselte Wetterseite durchführen. Ohne https ist das allerdings wirklich Kinderleicht...

babelfish schrieb:
--------------------------------------------------------------------------------
> rugel schrieb:
> > Und Metadaten (welche IP besucht welche URL) sind nach wie vor
> einsehbar.
>
> Das stimmt doch so nicht! Es ist nur der Server erkennbar aber nicht die
> URL...

Da oft zum IP-sparen SNI (Server Name Indication) verwendet wird, um das richtige Zertifikat auszuwählen, kriegt man den Server-Name der URL durchaus oft mit.

Beste Grüße,
Rabbit

Ich musste bei StartSSL nichts verifizieren. Da wurde ich als Seitenbesitzer über den Zugriff auf bestimmte EMailadressen verfiziert.

Rabbit schrieb:
--------------------------------------------------------------------------------
> Da oft zum IP-sparen SNI (Server Name Indication) verwendet wird, um das
> richtige Zertifikat auszuwählen, kriegt man den Server-Name der URL
> durchaus oft mit.

Ja, aber nicht die aufgerufene Seite. Also man kann sehen dass jemand google.com besucht hat, aber nicht nach was er gesucht hat.

Kaiser Ming schrieb:
--------------------------------------------------------------------------------
> aus verschiedenen Gründen
> - bei einer Wetterseite brauch ich keine Verschlüsselung
Gut so wenn aber keiner weiß ob ich da wirklich nur das wetter nachschau. Und hat auch keinen zu jucken von wo ich wetterinfos haben will.

> - die letzten Jahre sind wir ganz gut so ausgekommen
Eeeeh. Gebau. In welcher Höhle hast du bitte die letzen jahre gelebt?

> - Energiekosten
Bitte was? Mal genau die energiekosten aufschlüsseln. Danke.

> - das Web wird langsamer
Rofl

> - convienience Addons funktionieren zum Teil nicht mehr
Kann man ändern oder man verzichtet.

> - von irgendwelchen Geheimdiensten sollte man sich nicht die Demokratie
> kaputt machen lassen
Ach und das tut man mit https? Wtf

> - sowohl die Bedrohung ohne als auch der Schutz durch https wird von den
> meisten falsch eingeschätzt, zum Teil wird eine trügerische Sicherheit
> vorgegaukelt
Naja selber denken ist immernoch der beste schutz und kann durch nix ersetzt werden. Aber das deswegen https schlecht ist ist quatsch.

babelfish schrieb:
--------------------------------------------------------------------------------
> Kaiser Ming schrieb:
> ---------------------------------------------------------------------------
> -----
> > kayozz schrieb:
> >
> ---------------------------------------------------------------------------
>
> > > Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert
> > > werden und Schadcode auf dem Rechner einschleusen.
> >
> > lol
> > Durch eine Man-In-The-Middle Attacke geht das auch bei https ;)
>
> Was für ein Unsinn! (um beim Thread-Titel zu bleiben). Das geht bei https
> nur wenn du auch ein Zertifikat für die Wetterseite hast. Und das ist nicht

ja also ist es kein Unsinn
schreib bitte nicht solchen Mist

> so leicht möglich... Natürlich hat das CA System Schwächen und
> Geheimdienste, Regierungen oder meinetwegen auch Kriminelle kommen mit viel
> Aufwand auch an gefälschte Zertifikate. Ein X-beliebiges Script-Kiddy kann
> aber keine Man-In-The-Middle Attacke im Internet Cafe auf eine https

Ein X-beliebiges Script-Kiddy hat auch kein Zugriff auf "Middle"

es gibt aber verschiedene Angriffsmöglichkeiten

> verschlüsselte Wetterseite durchführen. Ohne https ist das allerdings
> wirklich Kinderleicht...

äh
du musst dich schon in den Übertragungsweg einklinken können

babelfish schrieb:
--------------------------------------------------------------------------------

[SNI]

> Ja, aber nicht die aufgerufene Seite. Also man kann sehen dass jemand
> google.com besucht hat, aber nicht nach was er gesucht hat.

Ja, das ist richtig. Aber es ist eines der großen Probleme von HTTPS, wenn man SNI einsetzt. Und je nach Seite kann auch der Seitenname schon interessante Meta-Information sein.

Prinzeumel schrieb:
--------------------------------------------------------------------------------
> Kaiser Ming schrieb:
> ---------------------------------------------------------------------------
> -----
> > aus verschiedenen Gründen
> > - bei einer Wetterseite brauch ich keine Verschlüsselung
> Gut so wenn aber keiner weiß ob ich da wirklich nur das wetter nachschau.
> Und hat auch keinen zu jucken von wo ich wetterinfos haben will.

wen juckt das denn??

>
> > - die letzten Jahre sind wir ganz gut so ausgekommen
> Eeeeh. Gebau. In welcher Höhle hast du bitte die letzen jahre gelebt?

in welcher du?

>
> > - Energiekosten
> Bitte was? Mal genau die energiekosten aufschlüsseln. Danke.

machs doch selbst
Rechenleistung kostet Energie
wieviel % das genau sind ist völlig irrelevant für das Argument

>
> > - das Web wird langsamer
> Rofl

das kannst du in deiner Ignoranz soviel lachen wie du willst
einige Webseiten die ich kenne werden sogar richtig langsam
aber selbst wenn man die weglässt bleibt der Fakt ansich

>
> > - convienience Addons funktionieren zum Teil nicht mehr
> Kann man ändern oder man verzichtet.


> Naja selber denken ist immernoch der beste schutz und kann durch nix
> ersetzt werden. Aber das deswegen https schlecht ist ist quatsch.

das https Quatsch ist hat keiner geschrieben
es ging um alles https
einfach mal mit lesen probieren

sorry aber deine Anmerkungen sind durch die Bank Bullshit