1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nach Safari: Chrome und Firefox…

Und immer wieder das gleiche Thema

  1. Thema

Neues Thema Ansicht wechseln


  1. Und immer wieder das gleiche Thema

    Autor: Lemo 29.06.20 - 10:58

    mit dem unnötigen Zwang Webseiten ohne gewerbliche Tätigkeit oder Logins zu HTTPS-Zertifikaten zu zwingen, die dann auch noch jährlich geändert werden müssen.
    So ein unnötiger Mist.
    Ich kann es nicht anders ausdrücken.

  2. Und immer wieder die selbe Forderung...

    Autor: PHPGangsta 29.06.20 - 11:27

    ... nach unverschlüsselten Inhalten. In den letzten Jahre noch nie etwas von "Integrität" gehört im Zusammenhang mit Verschlüsselung?

    Integrität bedeutet, dass niemand auf dem Weg zwischen Browser und Server die Daten verändern kann. Bei unverschlüsselten Verbindungen kann jeder (das Hotel, das Cafe, der ISP usw.) die Daten nicht nur mitlesen, sondern auch nach Belieben verändern. Du darfst also keiner Information mehr vertrauen, die du auf unverschlüsselten Webseiten liest. Keiner Telefonnummer, keiner Zahl, keinem Fakt.

    Außerdem ist es in der Vergangenheit mehrfach vorgekommen, dass beispielsweise Cafe-Wifi-Betreiber die Werbung auf der Webseite ausgetauscht haben gegen eigene. Sie haben entweder nur die Google-Ads-ID ausgetauscht, oder sogar eigenes Javascript injiziert.
    Es gab schon ISPs, die "Super-Cookies" in die Webseiten eingebaut haben, um die Nutzer zu tracken und Profile zu erstellen, um damit Geld zu verdienen.
    Da braucht man nicht die große böse NSA vorschieben, die Inhalte verändert und Trojaner injiziert, es passiert auch im Kleinen zuhauf.

    Wenn jeder auf dem Weg die Daten verändern kann, dann ist das Mist, und muss verhindert werden.

    Von Vertraulichkeit (niemand auf dem Weg kann den Inhalt mitlesen) rede ich hier nicht, das scheint ja bekannt zu sein.

  3. Re: Und immer wieder die selbe Forderung...

    Autor: Iruwen 29.06.20 - 11:34

    Außerdem "Herdenimmunität" - je mehr verschlüsselter Traffic unterwegs ist, umso schwieriger wird es den interessanten Traffic rauszupicken den sich die bekannten Gestalten gerne mal näher ansehen würden.

  4. Re: Und immer wieder das gleiche Thema

    Autor: NaruHina 29.06.20 - 11:40

    Die meisten hosting Anbieter bieten schon seit längerem SSL im Paket mit an, diese erneuern diese auch automatisch, wo ist also dass Problem für kleine private Seiten?

  5. Re: Und immer wieder das gleiche Thema

    Autor: Truster 29.06.20 - 11:42

    oder man richtet sich einmalig LE ein - läuft dann auch sehr gut.

  6. Re: Und immer wieder das gleiche Thema

    Autor: sigii 29.06.20 - 12:05

    Es ist kostenlos, laeuft nach dem Prinzip "Secure by default" und zwingt mehr Menschen das einmal ordentlich zu konfigurieren als alle 3 Jahre auf die Schnauze zu fallen weils ja doch wieder manuel gemacht wurde.

    Fuer dich ist das halt auch ein fetter Win-Win: Dir kann bei einer unverschluesselten Seite nicht mehr ein Link untergeschoben werden der dich auf ebayy.cam weiterleitet.

    Mittlerweile seh ich z.B. keinen VPN Zwang mehr als Noetig an wenn du in ein fremdes WLan gehst. Das sah vor 5-10 Jahren noch ganz anders aus.

  7. Re: Und immer wieder das gleiche Thema

    Autor: Iruwen 29.06.20 - 12:10

    Genau, man sieht dann nur noch, dass du auf richtigfetteweiber.com gegangen bist, aber nicht mehr deinen Login BBWLover85 ;p

  8. Re: Und immer wieder das gleiche Thema

    Autor: sigii 29.06.20 - 12:19

    Zum Beispiel ja.

    Es verhindert aber auch, dass jemand im gleichen Netzwerk eine ARP Attack auf den Switch macht, den Traffic komplett durch deren System leitet und dir dann fremden Inhalt unterjubelt.

    Wenn dann ploetzlich nach dem Login in eine unsichere Seite oder einen Blog deines Freundes was steht was dich motivieren soll, Daten preiszugeben.

  9. Re: Und immer wieder das gleiche Thema

    Autor: lestard 29.06.20 - 15:02

    HTTPS hat nix mit gewerblichen Daten oder Logins zu tun. Es geht darum, dass dir niemand ungewollten Content oder JavaScript untermogeln kann. Das ist für ausnahmslos alle Webseiten sinnvoll.

  10. Re: Und immer wieder das gleiche Thema

    Autor: phade 29.06.20 - 15:06

    lestard schrieb:
    --------------------------------------------------------------------------------
    > HTTPS hat nix mit gewerblichen Daten oder Logins zu tun. Es geht darum,
    > dass dir niemand ungewollten Content oder JavaScript untermogeln kann. Das
    > ist für ausnahmslos alle Webseiten sinnvoll.

    Nur braucht es dafür kein Zertifikat. Eine public/private-key-Struktur würde genauso gut funktionieren. Ohne Zertifikate.

    Wo ist der Sicherheitsgewinn, ob ein Zertifikat 1 oder 100 Jahre läuft ?
    Bei einem EV-Zertifikat mag es sinnvoll sein (dann muss es aber auch kein neues Zertifikat geben. Das Zertifikat könnte 100 Jahre laufen und kommt, falls die Prüfung fehlschlägt einfach in die Blacklist), dass kurzfristiger geprüft wird, ob die Firma wirklich noch die Firma ist. Aber bei DV-Zertifikaten ?



    2 mal bearbeitet, zuletzt am 29.06.20 15:11 durch phade.

  11. Re: Und immer wieder die selbe Forderung...

    Autor: Quantium40 29.06.20 - 15:06

    PHPGangsta schrieb:
    > Integrität bedeutet, dass niemand auf dem Weg zwischen Browser und Server
    > die Daten verändern kann. Bei unverschlüsselten Verbindungen kann jeder
    > (das Hotel, das Cafe, der ISP usw.) die Daten nicht nur mitlesen, sondern
    > auch nach Belieben verändern. Du darfst also keiner Information mehr
    > vertrauen, die du auf unverschlüsselten Webseiten liest. Keiner
    > Telefonnummer, keiner Zahl, keinem Fakt.

    Den Informationen auf verschlüsselt transportierten Webseiten kann man auch nicht unbedingt trauen. Die einzigen Zertifikate, die überhaupt noch einen Hauch Bedeutung in der Hinsicht besitzen, sind die EV-SSL-Zertifikate, die außer Banken und ausgesuchten Seiten kaum jemand nutzt.

    Im Übrigen laufen die meisten Angriffe heutzutage entweder direkt auf dem Server oder im Browser des Endusers. Echte MitM-Angriffe sind eher die Ausnahme.

  12. Re: Und immer wieder die selbe Forderung...

    Autor: Quantium40 29.06.20 - 15:10

    Iruwen schrieb:
    > Außerdem "Herdenimmunität" - je mehr verschlüsselter Traffic unterwegs ist,
    > umso schwieriger wird es den interessanten Traffic rauszupicken den sich
    > die bekannten Gestalten gerne mal näher ansehen würden.

    Staatliche Angreifer müssen sich nicht um solche Kleinigkeiten kümmern.
    Die lassen dir das staatliche Fernüberwachungstool zur Not per Betriebssystemupdate einpflanzen.

  13. Re: Und immer wieder das gleiche Thema

    Autor: Quantium40 29.06.20 - 15:14

    Truster schrieb:
    > oder man richtet sich einmalig LE ein - läuft dann auch sehr gut.

    Und was machst du, wenn z.B. LE plötzlich per Präsidentialdekret verboten wird, mit europäischen Anbietern zu interagieren?

  14. Re: Und immer wieder das gleiche Thema

    Autor: Quantium40 29.06.20 - 15:16

    lestard schrieb:
    > HTTPS hat nix mit gewerblichen Daten oder Logins zu tun. Es geht darum,
    > dass dir niemand ungewollten Content oder JavaScript untermogeln kann.

    Ungewollten Content und Javascript? Also das Zeug, was typischerweise von irgendwelchen Ad-Netzwerken ausgeliefert wird, die selbstverständlich sowieso alles ungeprüft per https ausliefern?

  15. Re: Und immer wieder das gleiche Thema

    Autor: Quantium40 29.06.20 - 15:18

    phade schrieb:
    > Nur braucht es dafür kein Zertifikat. Eine public/private-key-Struktur
    > würde genauso gut funktionieren. Ohne Zertifikate.

    Zertifikate enthalten genau diese public/private-key-Struktur.

  16. Re: Und immer wieder das gleiche Thema

    Autor: phade 29.06.20 - 15:30

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > > Nur braucht es dafür kein Zertifikat. Eine public/private-key-Struktur
    > > würde genauso gut funktionieren. Ohne Zertifikate.
    >
    > Zertifikate enthalten genau diese public/private-key-Struktur.

    Korrekt, aber eben auch eine Zertifikatskette.
    Was für eine Verschlüsselung völlig unnötig ist (siehe SSH und anderer Protokolle).

  17. Re: Und immer wieder das gleiche Thema

    Autor: NaruHina 29.06.20 - 16:12

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Truster schrieb:
    > > oder man richtet sich einmalig LE ein - läuft dann auch sehr gut.
    >
    > Und was machst du, wenn z.B. LE plötzlich per Präsidentialdekret verboten
    > wird, mit europäischen Anbietern zu interagieren?


    Ee gibt ahblcihe nicht kostenfreie SSL Dienste die auch so funktionieren.

  18. Re: Und immer wieder das gleiche Thema

    Autor: Gunah 29.06.20 - 17:14

    oder die großen CAs machen es wie LE, du steuerst mit CERTBOT einfach deren Server an und holst das ganze per ACME... holst dir halt eine 3 Jahres Subscription und den Rest machst du dann per certbot...

  19. Re: Und immer wieder das gleiche Thema

    Autor: PHPGangsta 29.06.20 - 17:24

    Und wie willst du, bei rein selbst-signierten Zertifikaten, die NICHT von einer CA beglaubigt sind, das selbst-signierte Zertifikat eines Man-in-the-Middle von dem selbst-signierten Zertifikat des Besitzers unterscheiden? Ohne Zertifikatskette geht das nicht, deshalb gibt es sie :-) Es sei denn du spielst auf DNSSEC+TLSA an, aber bis das weltweit jeder akzeptiert und am Laufen hat, wird es Jahrzehnte dauern...

  20. Re: Und immer wieder das gleiche Thema

    Autor: lestard 29.06.20 - 19:58

    Dass manche Anbieter dir auf ihren Webseiten Unsinn untermogeln wollen ist ein ganz anderes (aber natürlich berechtigtes) Thema. Hier geht es aber um Unsinn, der nicht vom Anbieter der Webseite, sondern unbeteiligten Dritten kommt.
    Und das betrifft eben auch nicht nur die Endanwender sondern auch seriöse Webseitenbetreiber.
    Ich zumindest will nicht, dass meine Leser auf meiner Webseite irgendwelchen Kram eingeblendet bekommen, nur weil die in einem komischen WLAN-Hotspot unterwegs sind weil das im Zweifel ja auch negativ auf mich als Website-Betreiber zurückfällt. Mit HTTPS kann ich das weitgehend unterbinden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf, Berlin
  2. Schaeffler Digital Solutions GmbH, Chemnitz
  3. ACS PharmaProtect GmbH, Berlin
  4. CHECK24 Kontomanager GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 41,99€
  2. (-80%) 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de