1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Mozillas HTTP…

halte ich für Unsinn

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. halte ich für Unsinn

    Autor: Kaiser Ming 04.05.15 - 13:15

    aus verschiedenen Gründen
    - bei einer Wetterseite brauch ich keine Verschlüsselung
    - die letzten Jahre sind wir ganz gut so ausgekommen
    - Energiekosten
    - das Web wird langsamer
    - convienience Addons funktionieren zum Teil nicht mehr
    - von irgendwelchen Geheimdiensten sollte man sich nicht die Demokratie kaputt machen lassen
    - sowohl die Bedrohung ohne als auch der Schutz durch https wird von den meisten falsch eingeschätzt, zum Teil wird eine trügerische Sicherheit vorgegaukelt



    3 mal bearbeitet, zuletzt am 04.05.15 13:19 durch Kaiser Ming.

  2. Re: halte ich für Unsinn

    Autor: ikhaya 04.05.15 - 13:20

    Langsamer? https://istlsfastyet.com/ überzeugt mich eher vom Gegenteil
    Welche Addons funktionieren nicht mehr?
    Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung eine verschlüsselte Verbindung nutzt, wieso also "kaputt machen"?

    So ausgekommen? Ja vielleicht, aber das heisst noch lange nicht dass es besser war.

  3. Re: halte ich für Unsinn

    Autor: Anonymer Nutzer 04.05.15 - 13:27

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung
    > eine verschlüsselte Verbindung nutzt

    Auch den geneigten Blogger der seine Identität bestätigen muss, wenn er / sie ein Zertifikat für den Blog benötigt ?
    Und Metadaten (welche IP besucht welche URL) sind nach wie vor einsehbar. Mal abgesehen vom CA Problem.
    Unrechtsstaat ABC hat eine offizielle CA, stellt darüber einfach beliebige Zertifikate aus und kann dann doch wieder in alles reinschauen.

    Solange da nichts passiert macht eine HTTPS-everywhere keinen Sinn.

  4. Re: halte ich für Unsinn

    Autor: Kaiser Ming 04.05.15 - 13:32

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > Langsamer? istlsfastyet.com überzeugt mich eher vom Gegenteil

    https kostet Rechenzeit
    da beist die Maus kein Faden ab
    klar kann man das durch Serverleistung kompensieren
    ändert aber nichts an der Sache

    > Welche Addons funktionieren nicht mehr?

    zb Caching wird bei https nicht durchgeführt
    fällt mir adhock so ein

    > Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung
    > eine verschlüsselte Verbindung nutzt, wieso also "kaputt machen"?

    weil ich meine Meinung nicht verstecken müssen möchte

    dass Google zB verstärkt Verschlüsselung einführt
    geht ganz klar auf den NSA Leak zurück
    sagt Google selbst


    > So ausgekommen? Ja vielleicht, aber das heisst noch lange nicht dass es
    > besser war.

    ist ja auch nur ein Argument von mehreren



    1 mal bearbeitet, zuletzt am 04.05.15 13:33 durch Kaiser Ming.

  5. Re: halte ich für Unsinn

    Autor: babelfish 04.05.15 - 13:34

    rugel schrieb:
    > Und Metadaten (welche IP besucht welche URL) sind nach wie vor einsehbar.

    Das stimmt doch so nicht! Es ist nur der Server erkennbar aber nicht die URL...

  6. Re: halte ich für Unsinn

    Autor: kayozz 04.05.15 - 13:40

    Kaiser Ming schrieb:
    --------------------------------------------------------------------------------
    > aus verschiedenen Gründen
    > - bei einer Wetterseite brauch ich keine Verschlüsselung

    Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert werden und Schadcode auf dem Rechner einschleusen.

  7. Re: halte ich für Unsinn

    Autor: ikhaya 04.05.15 - 13:42

    "zb Caching wird bei https nicht durchgeführt
    fällt mir adhock so ein "

    Wenn ich eine verschlüsselte Webseite mehrfach aufrufe, wird dennoch je nach Seite ein großer Teil aus dem Cache geladen.
    Das liegt eher am Betreiber ob er das zulässt oder nicht, nicht an TLS

  8. Re: halte ich für Unsinn

    Autor: lestard 04.05.15 - 13:43

    Auch auf deiner Wetterseite kann ein Angreifer dir bösartigen JavaScript-Code unterschieben wenn du kein HTTPS benutzt.

  9. Re: halte ich für Unsinn

    Autor: Kaiser Ming 04.05.15 - 13:44

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > Kaiser Ming schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > aus verschiedenen Gründen
    > > - bei einer Wetterseite brauch ich keine Verschlüsselung
    >
    > Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert
    > werden und Schadcode auf dem Rechner einschleusen.

    lol
    Durch eine Man-In-The-Middle Attacke geht das auch bei https ;)

    wie ich schon schrieb
    "zum Teil wird eine trügerische Sicherheit vorgegaukelt"

  10. Wieso hilft da jetzt HTTPS?

    Autor: Missingno. 04.05.15 - 13:46

    > Auch auf deiner Wetterseite kann ein Angreifer dir bösartigen JavaScript-Code unterschieben wenn du kein HTTPS benutzt.
    Ein Angreifer kann dir auch bösartigen JavaScript-Code auf der Wetterseite unterschieben, wenn diese HTTPS benutzt. Im "einfachsten" Fall, weil der Code vom Wetterseiten-Server kommt. Bösartig signiert.

    --
    Dare to be stupid!

  11. Re: halte ich für Unsinn

    Autor: x64 04.05.15 - 13:47

    Ich sehe wiederum keinen Grund keine Verschlüsselung einzusetzen. Meine kleine nichtkommerzielle Seite läuft auch über https bzw. Besucher werden automatisch darauf weitergeleitet. Probleme habe ich dabei keine feststellen können, die Seite ist nicht merklich langsamer dadurch geworden. Und solange die Hardware immer energieeffizienter wird, sehe ich auch die höhere Rechenleistung für Verschlüsselung nicht so dramatisch.

    > > Es verbessert die Demokratie wenn du beim veröffentlichen deiner Meinung
    > > eine verschlüsselte Verbindung nutzt
    >
    > Auch den geneigten Blogger der seine Identität bestätigen muss, wenn er /
    > sie ein Zertifikat für den Blog benötigt ?

    Man muss ja nicht zwangsweise seine Identität bestätigen - es reicht ja, wenn man die Identität der Website verifiziert. Oder man veröffentlicht seinen Blog auf Seiten wie wordpress.com. Dort wurde soweit ich weiß auch auf https umgestellt.

    Natürlich ist das Einrichten der Zertifikate für Unerfahrene noch kompliziert und die "erweiterten" Zertifikate (Wildcard z.B.) sind teuer. Aber das wird sich hoffentlich mit der Zeit ändern.



    1 mal bearbeitet, zuletzt am 04.05.15 13:48 durch x64.

  12. Re: halte ich für Unsinn

    Autor: CommanderZed 04.05.15 - 13:50

    Grundsätzlich finde ich https im Internet eine sehr sinnvolle sache ... schade nur das es auch im intranet diverse Appliance gibt und geben wir die nur http können bzw. bei denen es Firewalltechnisch garnicht möglich ist Zertifikate o.ä. zu bekommen ... schade das Mozilla offenbar nur noch Privatnutzer als Ziel hat

  13. Re: halte ich für Unsinn

    Autor: babelfish 04.05.15 - 13:54

    Kaiser Ming schrieb:
    --------------------------------------------------------------------------------
    > kayozz schrieb:
    > ---------------------------------------------------------------------------
    > > Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert
    > > werden und Schadcode auf dem Rechner einschleusen.
    >
    > lol
    > Durch eine Man-In-The-Middle Attacke geht das auch bei https ;)

    Was für ein Unsinn! (um beim Thread-Titel zu bleiben). Das geht bei https nur wenn du auch ein Zertifikat für die Wetterseite hast. Und das ist nicht so leicht möglich... Natürlich hat das CA System Schwächen und Geheimdienste, Regierungen oder meinetwegen auch Kriminelle kommen mit viel Aufwand auch an gefälschte Zertifikate. Ein X-beliebiges Script-Kiddy kann aber keine Man-In-The-Middle Attacke im Internet Cafe auf eine https verschlüsselte Wetterseite durchführen. Ohne https ist das allerdings wirklich Kinderleicht...

  14. Re: halte ich für Unsinn

    Autor: Rabbit 04.05.15 - 13:55

    babelfish schrieb:
    --------------------------------------------------------------------------------
    > rugel schrieb:
    > > Und Metadaten (welche IP besucht welche URL) sind nach wie vor
    > einsehbar.
    >
    > Das stimmt doch so nicht! Es ist nur der Server erkennbar aber nicht die
    > URL...

    Da oft zum IP-sparen SNI (Server Name Indication) verwendet wird, um das richtige Zertifikat auszuwählen, kriegt man den Server-Name der URL durchaus oft mit.

    Beste Grüße,
    Rabbit

  15. Re: halte ich für Unsinn

    Autor: kaymvoit 04.05.15 - 14:05

    Ich musste bei StartSSL nichts verifizieren. Da wurde ich als Seitenbesitzer über den Zugriff auf bestimmte EMailadressen verfiziert.

  16. Re: halte ich für Unsinn

    Autor: babelfish 04.05.15 - 14:05

    Rabbit schrieb:
    --------------------------------------------------------------------------------
    > Da oft zum IP-sparen SNI (Server Name Indication) verwendet wird, um das
    > richtige Zertifikat auszuwählen, kriegt man den Server-Name der URL
    > durchaus oft mit.

    Ja, aber nicht die aufgerufene Seite. Also man kann sehen dass jemand google.com besucht hat, aber nicht nach was er gesucht hat.

  17. Re: halte ich für Unsinn

    Autor: Anonymer Nutzer 04.05.15 - 14:06

    Kaiser Ming schrieb:
    --------------------------------------------------------------------------------
    > aus verschiedenen Gründen
    > - bei einer Wetterseite brauch ich keine Verschlüsselung
    Gut so wenn aber keiner weiß ob ich da wirklich nur das wetter nachschau. Und hat auch keinen zu jucken von wo ich wetterinfos haben will.

    > - die letzten Jahre sind wir ganz gut so ausgekommen
    Eeeeh. Gebau. In welcher Höhle hast du bitte die letzen jahre gelebt?

    > - Energiekosten
    Bitte was? Mal genau die energiekosten aufschlüsseln. Danke.

    > - das Web wird langsamer
    Rofl

    > - convienience Addons funktionieren zum Teil nicht mehr
    Kann man ändern oder man verzichtet.

    > - von irgendwelchen Geheimdiensten sollte man sich nicht die Demokratie
    > kaputt machen lassen
    Ach und das tut man mit https? Wtf

    > - sowohl die Bedrohung ohne als auch der Schutz durch https wird von den
    > meisten falsch eingeschätzt, zum Teil wird eine trügerische Sicherheit
    > vorgegaukelt
    Naja selber denken ist immernoch der beste schutz und kann durch nix ersetzt werden. Aber das deswegen https schlecht ist ist quatsch.

  18. Re: halte ich für Unsinn

    Autor: Kaiser Ming 04.05.15 - 14:07

    babelfish schrieb:
    --------------------------------------------------------------------------------
    > Kaiser Ming schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kayozz schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > > Durch eine Man-In-The-Middle Attacke kann eine Wetterseite manipuliert
    > > > werden und Schadcode auf dem Rechner einschleusen.
    > >
    > > lol
    > > Durch eine Man-In-The-Middle Attacke geht das auch bei https ;)
    >
    > Was für ein Unsinn! (um beim Thread-Titel zu bleiben). Das geht bei https
    > nur wenn du auch ein Zertifikat für die Wetterseite hast. Und das ist nicht

    ja also ist es kein Unsinn
    schreib bitte nicht solchen Mist

    > so leicht möglich... Natürlich hat das CA System Schwächen und
    > Geheimdienste, Regierungen oder meinetwegen auch Kriminelle kommen mit viel
    > Aufwand auch an gefälschte Zertifikate. Ein X-beliebiges Script-Kiddy kann
    > aber keine Man-In-The-Middle Attacke im Internet Cafe auf eine https

    Ein X-beliebiges Script-Kiddy hat auch kein Zugriff auf "Middle"

    es gibt aber verschiedene Angriffsmöglichkeiten

    > verschlüsselte Wetterseite durchführen. Ohne https ist das allerdings
    > wirklich Kinderleicht...

    äh
    du musst dich schon in den Übertragungsweg einklinken können

  19. Re: halte ich für Unsinn

    Autor: Rabbit 04.05.15 - 14:08

    babelfish schrieb:
    --------------------------------------------------------------------------------

    [SNI]

    > Ja, aber nicht die aufgerufene Seite. Also man kann sehen dass jemand
    > google.com besucht hat, aber nicht nach was er gesucht hat.

    Ja, das ist richtig. Aber es ist eines der großen Probleme von HTTPS, wenn man SNI einsetzt. Und je nach Seite kann auch der Seitenname schon interessante Meta-Information sein.

  20. Re: halte ich für Unsinn

    Autor: Kaiser Ming 04.05.15 - 14:14

    Prinzeumel schrieb:
    --------------------------------------------------------------------------------
    > Kaiser Ming schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > aus verschiedenen Gründen
    > > - bei einer Wetterseite brauch ich keine Verschlüsselung
    > Gut so wenn aber keiner weiß ob ich da wirklich nur das wetter nachschau.
    > Und hat auch keinen zu jucken von wo ich wetterinfos haben will.

    wen juckt das denn??

    >
    > > - die letzten Jahre sind wir ganz gut so ausgekommen
    > Eeeeh. Gebau. In welcher Höhle hast du bitte die letzen jahre gelebt?

    in welcher du?

    >
    > > - Energiekosten
    > Bitte was? Mal genau die energiekosten aufschlüsseln. Danke.

    machs doch selbst
    Rechenleistung kostet Energie
    wieviel % das genau sind ist völlig irrelevant für das Argument

    >
    > > - das Web wird langsamer
    > Rofl

    das kannst du in deiner Ignoranz soviel lachen wie du willst
    einige Webseiten die ich kenne werden sogar richtig langsam
    aber selbst wenn man die weglässt bleibt der Fakt ansich

    >
    > > - convienience Addons funktionieren zum Teil nicht mehr
    > Kann man ändern oder man verzichtet.


    > Naja selber denken ist immernoch der beste schutz und kann durch nix
    > ersetzt werden. Aber das deswegen https schlecht ist ist quatsch.

    das https Quatsch ist hat keiner geschrieben
    es ging um alles https
    einfach mal mit lesen probieren

    sorry aber deine Anmerkungen sind durch die Bank Bullshit

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. KION Group AG, Frankfurt am Main
  2. TECLAC Werner GmbH, Fulda
  3. Deutsche Rentenversicherung Bund, Berlin
  4. Medisoft GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Concept One ausprobiert Oneplus lässt die Kameras verschwinden
  3. Alienware Concept Ufo im Hands on Die Switch für Erwachsene

  1. Erneuerbare Energien: Windkraft in Luft speichern
    Erneuerbare Energien
    Windkraft in Luft speichern

    In Zukunft wird es mehr Strom aus Windkraft geben. Weil die Anlagen aber nicht kontinuierlich liefern, werden Stromspeicher immer wichtiger. Batterien sind eine Möglichkeit, das britische Startup Highview Power hat jedoch eine andere gefunden: flüssige Luft.

  2. 5G: Merkel verschiebt Entscheidung zu Huawei um einige Monate
    5G
    Merkel verschiebt Entscheidung zu Huawei um einige Monate

    Laut einem Bericht ist Merkel keine Einigung mit den US-Lobbyisten in der Union gelungen. Die Kanzlerin hat die Sache nun erst einmal vertagt. Für die 5G-Netzbetreiber bleibt die Unsicherheit zum Einsatz von Huawei-Technik.

  3. Google: Steam soll offiziell auf Chrome OS laufen
    Google
    Steam soll offiziell auf Chrome OS laufen

    Valve und Google arbeiten einem Medienbericht zufolge an einer Umsetzung von Steam für Chrome OS. Für Valve würde das durchaus Sinn ergeben - aber Google hätte eigentlich bessere Optionen beim Gaming auf der Plattform.


  1. 12:04

  2. 11:43

  3. 11:28

  4. 11:13

  5. 11:00

  6. 10:45

  7. 10:33

  8. 10:18