1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Websicherheit: Chrome will vor…

Zum https-Standard fehlt noch die Voraussetzung

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Zum https-Standard fehlt noch die Voraussetzung

    Autor: Zwangsangemeldet 13.12.14 - 14:41

    Die meisten (kleineren) Webseiten liegen in Sharedhosting-Umgebungen. Da ist es oftmals nicht möglich, ein eigenes Zertifikat zu installieren, oder man muss das des Anbieters nehmen *und* dafür dann auch nochmal teilweise horrende Preise zahlen.

    Erst muss es genügend kostenlose Zertifikatsanbieter geben, sowie zumindest die großen Sharedhosting-Anbieter müssen es erlauben, eigene Zertifikate einzubinden. Außerdem sollte self-signed wie bei CACert ermöglicht werden, auch in den Browsern, die davor nicht mehr warnen dürften.

  2. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: pythoneer 13.12.14 - 14:58

    Andersrum wird ein Schuh draus. Wenn die Benutzer dieser Seiten auf einmal son rotes Warndreieck sehen werden die sich beim Seitenbetreiber beschweren. "Immer wenn ich auf deine Seite komme warnt mich mein Internet, dass da was kaputt ist. Wenn ich auf anderes Internet zugreife ist alles ok, nur bei deinem ist was kaputt, mach das mal ganz."

    Das wird die Seitenbetreiber veranlassen es zu ändern und beschweren sich dann beim Hoster, etc. pp. und der Stein kommt ins rollen.

    Warum sollte man jetzt wechseln und als Betreiber oder Hoster was ändern, ist doch alles gut so? Keiner fängt an aus Langeweile die Sicherheit zu verbessern! Nur wenn die Nutzer der Dienste das fordern und zu Alternativen ausweichen wo sie bekommen was sie wollen ändert sich was.



    1 mal bearbeitet, zuletzt am 13.12.14 15:06 durch pythoneer.

  3. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: Zwangsangemeldet 13.12.14 - 16:43

    Ja, so könnte das laufen, wäre aber ein schmerzhafter Prozess (die Hoster freuen sich ja, wenn sie noch mal 60¤ oder 120¤ extra im Jahr einnehmen)...

  4. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: pythoneer 13.12.14 - 16:48

    Zwangsangemeldet schrieb:
    --------------------------------------------------------------------------------
    > Ja, so könnte das laufen, wäre aber ein schmerzhafter Prozess (die Hoster
    > freuen sich ja, wenn sie noch mal 60¤ oder 120¤ extra im Jahr einnehmen)...

    Für wen schmerzhaft, die Hoster oder die User ( Besucher wie Webseiten Betreiber )?

    Aber am Ende ist es egal, Fortschritt ist nun mal auch mit Leid verbunden – nur wiegt dieses Leid nicht so schwer als wenn wir in 15 Jahren immer noch unverschlüsselt unterwegs sind. Das ist zumindest meine persönliche Meinung die ja nicht jeder teilen muss.

  5. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: Zwangsangemeldet 13.12.14 - 17:07

    pythoneer schrieb:
    --------------------------------------------------------------------------------
    > Für wen schmerzhaft, die Hoster oder die User ( Besucher wie Webseiten
    > Betreiber )?
    In erster Linie für die User, am meisten wohl die Webseitenbetreiber. Das Problem ist, dass bei produktiv genutzten Webseiten oft ein Umzug von einem Hoster zum anderen nicht ganz trivial ist, und deshalb der Druck auf die Hoster, Verschlüsselung vernünftig (und zu vernünftigen Preisen, oder mit eigenen Zertifikaten des Users) zu unterstützen, nicht ganz so groß ist...

    > Aber am Ende ist es egal, Fortschritt ist nun mal auch mit Leid verbunden
    > – nur wiegt dieses Leid nicht so schwer als wenn wir in 15 Jahren
    > immer noch unverschlüsselt unterwegs sind. Das ist zumindest meine
    > persönliche Meinung die ja nicht jeder teilen muss.
    Welches Leid das größere wäre, ist mir auch nicht so klar. Eine weitere Umstellung, die dringend passieren müsste, wäre das Akzeptieren selbst unterschriebener Zertifikate im Browser. Von miraus so, dass dann das DNS auch den Fingerprint des gültigen Zertifikats für eine Domain liefert, damit das Fälschen dieser Zertifikate etwas erschwert wird...

  6. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: pythoneer 13.12.14 - 17:25

    Zwangsangemeldet schrieb:
    --------------------------------------------------------------------------------

    > In erster Linie für die User, am meisten wohl die Webseitenbetreiber. Das
    > Problem ist, dass bei produktiv genutzten Webseiten oft ein Umzug von einem
    > Hoster zum anderen nicht ganz trivial ist, und deshalb der Druck auf die
    > Hoster, Verschlüsselung vernünftig (und zu vernünftigen Preisen, oder mit
    > eigenen Zertifikaten des Users) zu unterstützen, nicht ganz so groß ist...

    Ja, aber da müssen die dann halt einfach durch – hilft ja nix. Die Alternative heute noch zu Ross zu reisen nur weil es leidvoll ist Straßen zu bauen zieht bei mir irgendwie einfach nicht. Wer da wann genau nen Fehler gemacht hat, damit das heute nicht so "fluffig" ist von der Umstellung ist eigentlich egal aber in erster Linie würde ich da die Webseitenbetreiber in die Verantwortung nehmen die meinen, für nen paar Euro einen Internetauftritt auf die Beine stellen zu können.

    Mann muss heute nicht viel Geld für einen Internetauftritt hinlegen ( für ne kleine Seite ) Da kommt man für < 3¤ für ne .de Domain und ca. 5¤ für nen Server hin, dann muss man den aber selber pflegen und warten und bekommt sein Zertifikat kostenlos bei StartSSL. Also entweder hat man Aufwand oder Kosten ( was das selbe ist ) aber geschenkt bekommt hier halt keiner was und wer das annimmt, der hat halt falsch angenommen.

    > Welches Leid das größere wäre, ist mir auch nicht so klar.

    Es geht ja nicht nur darum, dass niemand den Verkehr zwischen dir und dem Server abhören kann, es dient ja auch dazu dir zu versichern, dass du genau die Webseite siehst, die der Autor/Betreiber auch im Sinn hatte.

    Stell dir vor, wir schreiten mal so weit voran, das wir ein öffentliches WLAN haben, oder zumindest WLAN im jeden Café. Der Betreiber des öffentlichen WLANs hätte sicher nichts dagegen wenn sein Router bei den WLAN Kunden ein wenig Werbung in eigener Sache auf der Webseite einblendet und die Webseite vom Betreiber zum Besucher verändert. Ein Argument GEGEN Verschlüsselung gibt es nicht so wirklich oder?

    > Eine weitere
    > Umstellung, die dringend passieren müsste, wäre das Akzeptieren selbst
    > unterschriebener Zertifikate im Browser. Von miraus so, dass dann das DNS
    > auch den Fingerprint des gültigen Zertifikats für eine Domain liefert,
    > damit das Fälschen dieser Zertifikate etwas erschwert wird...

    Das wird mit DANE auch hoffentlich bald so kommen.

    http://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

  7. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: eisbart 13.12.14 - 17:26

    Naja, dann ist die entscheidung ja ganz einfach :)

    Statt 4¤ pro Monat auf VServer mit 8¤ pro Monat upgraden, die neue Freiheit zur Konfiguration genießen und ein gratis SSL Zertifikat von startssl.com holen. Wer sich damit nicht auskennt kann ja den Support des Hosters in Kauf nehmen. Win-Win für alle :)

  8. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: fuzzy 13.12.14 - 20:15

    Naja, außer dass die „neue Freiheit der Konfiguration“ halt mit dem Bedarf ständiger Wartung verbunden ist.

    Außerdem gibts IPv4-Adressen auch nicht mehr so viele. Wenn jetzt auf einmal jeder HTTPS will ohne nicht-SNI-Browser auszuschließen, ist schnell Schicht im Schacht.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  9. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: Zwangsangemeldet 13.12.14 - 20:50

    pythoneer schrieb:
    --------------------------------------------------------------------------------
    > Ja, aber da müssen die dann halt einfach durch – hilft ja nix. Die
    > Alternative heute noch zu Ross zu reisen nur weil es leidvoll ist Straßen
    > zu bauen zieht bei mir irgendwie einfach nicht. Wer da wann genau nen
    > Fehler gemacht hat, damit das heute nicht so "fluffig" ist von der
    > Umstellung ist eigentlich egal aber in erster Linie würde ich da die
    > Webseitenbetreiber in die Verantwortung nehmen die meinen, für nen paar
    > Euro einen Internetauftritt auf die Beine stellen zu können.
    Ja-jein, die Webseitenbetreiber kennen sich oft genug nicht genügend damit aus, um überhaupt über SSL bescheid zu wissen, also was das ist, was es tut, wofür man es braucht usw...

    > Stell dir vor, wir schreiten mal so weit voran, das wir ein öffentliches
    > WLAN haben, oder zumindest WLAN im jeden Café. Der Betreiber des
    > öffentlichen WLANs hätte sicher nichts dagegen wenn sein Router bei den
    > WLAN Kunden ein wenig Werbung in eigener Sache auf der Webseite einblendet
    > und die Webseite vom Betreiber zum Besucher verändert. Ein Argument GEGEN
    > Verschlüsselung gibt es nicht so wirklich oder?
    Nein, natürlich nicht, außer dass es eben teurer/aufwändiger ist. Wobei das ja eigentlich kein Argument dagegen ist...früher war es ja auch aufwändiger/teurer, eine Seite ins Netz zu stellen, man musste HTML, CSS, JavaScript usw. können, heute gibts CMSe die einem das abnehmen...Sind wir halt nur grad an einer etwas unangenehmen Wendung in der Geschichte. So, wie mit den Autos und dem Straßenbau...

  10. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: Zwangsangemeldet 13.12.14 - 20:51

    eisbart schrieb:
    --------------------------------------------------------------------------------
    > Statt 4¤ pro Monat auf VServer mit 8¤ pro Monat upgraden, die neue Freiheit
    > zur Konfiguration genießen und ein gratis SSL Zertifikat von startssl.com
    > holen. Wer sich damit nicht auskennt kann ja den Support des Hosters in
    > Kauf nehmen. Win-Win für alle :)
    Nein, ein Verlust für die Seitenbetreiber, für die die Website teurer wird (entweder in Form von Aufwand/Lernen oder eben Support).

  11. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: Zwangsangemeldet 13.12.14 - 20:58

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Naja, außer dass die „neue Freiheit der Konfiguration“ halt mit
    > dem Bedarf ständiger Wartung verbunden ist.
    In wiefern das? OK, Updates einspielen usw... ein "apt-get update && apt-get upgrade" bekommt man ja noch gerade so hin (und bei Debian ist es in der Regel so, dass danach alles weiterhin funktioniert, zumindest habe ich unter Stable noch nie was anderes erlebt). Ansonsten muss das Zertifikat halt 1x im Jahr erneuert werden, das ist jetzt auch nicht soo viel Aufwand. OK, ich kenne auch Leute, die das dann regelmäßig vergessen, bzw. vergessen, wie sie es machen müssen, weil sie das Wissen halt nur 1x im Jahr benötigen.

    > Außerdem gibts IPv4-Adressen auch nicht mehr so viele.
    Das wäre ja eigentlich sogar eine tolle Möglichkeit, IPv6 endlich mal zu pushen...

  12. Re: Zum https-Standard fehlt noch die Voraussetzung

    Autor: fuzzy 13.12.14 - 21:10

    Ja, Updates einspielen. Nicht zu unterschätzen. Man muss ja auch erst mal wissen, dass es welche gibt. Und wenn dann halt doch mal was nicht mehr geht, sollte man sich eben doch auskennen. Wenn man nur PHPMyAdmin und das FTP-Programm kennt, kommt man halt nicht weit. Oder gerade weit genug, um klaffende Sicherheitslücken zu hinterlassen.

    IPv6? Hahaha. Das wird nicht passieren.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Teamleiter Echtzeit-Software C++ / Linux (m/w/d)
    Ipetronik, Bergkirchen bei München
  2. Senior Software Engineer Global Client-Server Licensing Infrastructure (m/f/d)
    Advantest Europe GmbH, Böblingen
  3. Funktionsentwickler Funktionale Sicherheit (m/w/d)
    Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
  4. Hackers wanted - Software Engineers with Machine Learning Background (m/f/d)
    freiheit.com technologies gmbh, Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Microsoft Dev Box: Eine eigene Maschine für jeden Entwickler
Microsoft Dev Box
Eine eigene Maschine für jeden Entwickler

Entwicklermaschinen on demand wie Microsofts Dev Box können für ein besseres Miteinander von Admins und Entwicklern sorgen. Wir zeigen, wie man startet und welche Vor- und Nachteile die Dev Box hat.
Eine Anleitung von Holger Voges

  1. Activision Blizzard Britische Kartellbehörde besorgt um Spielemarkt
  2. Open Source Microsoft stellt seine 1.500 Emojis quelloffen
  3. Rechenzentren Microsoft tauscht Server künftig nur alle sechs Jahre aus

EuGH-Urteil: Deutsche Vorratsdatenspeicherung ist unzulässig
EuGH-Urteil
Deutsche Vorratsdatenspeicherung ist unzulässig

Wie erwartet hat der EuGH die deutsche Regelung zur Vorratsdatenspeicherung für grundrechtswidrig erklärt. Doch in bestimmten Fällen ist die Speicherung erlaubt.
Ein Bericht von Friedhelm Greis

  1. Vorratsdatenspeicherung Faeser will weiter anlasslos IP-Adressen speichern lassen
  2. Vorratsdatenspeicherung SPD-Fraktion setzt auf Quick Freeze und Log-in-Falle
  3. Innenministerin Faeser hält Vorratsdaten für "unbedingt erforderlich"

LoRa-Messaging mit Meshtastic: Notfallkommunikation für Nerds
LoRa-Messaging mit Meshtastic
Notfallkommunikation für Nerds

Ins Funkloch gefallen und den Knöchel verstaucht? Mit Meshtastic lässt Hilfe rufen - ganz ohne Mobilfunk, LAN oder WLAN.
Eine Anleitung von Dirk Koller