HTTPS für BSDForen.de

[Yamagi]

Ab sofort sind Portal und Forum auch per HTTPS auf dem normalen Port 443 verfügbar. Das Zertifikat ist allerdings selbst unterschrieben... Und bevor jetzt gefragt wird, es gilt erst einmal nicht für das Wiki.

Edit:
Bendenkt bitte, dass die für das Portal eingesetzte Software dumm ist und mit HTTPS anscheinend nicht wirklich klarkommt. Das Portal enthält daher unverschlüsselte Elemente und die Links in den Vorschaulisten zeigen auf http://. Ich werden mal schauen, was ich da machen kann, aber für das Erste umgeht das Portal bitte durch Aufruf von https://www.bsdforen.de/index.php

 

[kith]

arigato gozaimasu yamagi-san

 

[Kamikaze]

Wäre schön, wenn die Cookies dann irgendwann ein HTTPS only Flag bekommen.

 

[Athaba]

Prima! Dann muss ich mir nur noch ein Passwort überlegen, das diesen Namen auch verdient.

 

[cryptosteve]

Passwort? Namen verdient? -v, bitte.

 

[Kamikaze]

Er redet von einer Passphrase die auch eine Wörterbuchattacke standhält.

 

[cryptosteve]

Ja, aber was hat das mit https fürs Forum zu tun? Ich glaube, ich stehe da gerade auf dem Schlauch.

 

[Athaba]

Wenn jeder dazwischen das Passwort abfangen kann fühl ich mich auch nicht sicher, wenn ich ein zufällig generiertes Vierzigzeichenpasswort verwende.

 

[cryptosteve]

Wenn das eine Erklärung gewesen sein soll, war sie nicht gut genug.

 

[Athaba]

Na dann sag doch mal, was du daran nicht verstehst.
Unsichere Passwörter für unsicher Protokolle. -> HTTP
Sichere Passwörter für sichere Protokolle. -> HHTPS

 

[cryptosteve]

Genau das ist der Teil, den ich nicht verstehen. Warum erfordert eine Verbindung über https ein sicheres Passwort als eine über http?

 

[Kamikaze]

Weil ein sicheres Passwort über http eh keinen Sinn macht, da schließlich jeder bei dem die Pakete vorbeikommen mitlesen kann.

 

[nevix]

-v, bitte.

Super

 

[cryptosteve]

Weil ein sicheres Passwort über http eh keinen Sinn macht, da schließlich jeder bei dem die Pakete vorbeikommen mitlesen kann.

Das halte ich aber für eine überaus gewagte und darüber hinaus falsche These.

Demnach brauchst Du Deine Haustür ja auch nicht abschließen, sofern Dein Grundstück in irgendeiner Form an die Zivilisation angebunden ist.

 

[Kamikaze]

Der korrekte Vergleich wäre wohl, dass jeder dem ich meinen Schlüssel gebe, eine Kopie anfertigen kann.

 

[Yamagi]

Ist BSDForen.de in irgend einer Weise mit kritischen Inhalten wie Onlinebanking oder ähnlichem verbunden? -Nein

Hat folglich jemand ein Interesse daran mit tollem Softwarekungfu Pakete abzufangen nur um das Passwort zu extrahieren und sich hier einloggen zu können? -Sicherlich nicht.

Ist das also eine Begründung für ein unsicheres Passwort per HTTP oder dafür, dass wir unbedingt HTTPS brauchen, wir ihr mir Monatelang in hunderten PN geschrieben habt? -Auf gar keinen Fall.

 

[Kamikaze]

Wofür brauchen wir dann https, wenn es nicht darum geht abhörsicher zu sein?

 

[cryptosteve]

Das ist nicht der Punkt. Warum wählt man vorsätzlich ein unsicheres Passwort, wenn man "nur" über http überträgt? Und erhöht ein sicheres Passwort nicht auch die Sicherheit bei Übertragung über http, selbst wenn es unterm Strich knackbar bleibt? Und zuguter letzt ... inwiefern ist die Verbindung über https abhörsicherer, wenn das Passwort sicherer ist?

 

[soul_rebel]

ich glaube der einzige sinn von https für dieses forum wäre, dass jemand nicht will, dass sein passwort mitgelesen werden kann, weil es vielleicht noch bei anderen diensten verwendet wird die wichtiger sind.

ich meine, wozu brauch man sonst, eine verschlüsselte verbindung zu einem öffentlichen medium (wo das resultat deines surfens gleich sichtbar ist)?

 

[Yamagi]

Wofür brauchen wir dann https, wenn es nicht darum geht abhörsicher zu sein?

Öhm ja... Ich gebe zu, ich brauche keine HTTPS. Es ist eingebaut worden, weil ihr lange genug geheult habt und weil ich gerade mal Zeit hatte...

 

[dettus]

https hat bei dieser art forum keinerlei vorteile.

schaden tut es aber auch nicht

von daher finde ich wir sollten uns alle bei yamagi fuer die harte arbeit bedanken die er auf sich genommen hat um das einzurichten. (vielleicht macht er sich sogar noch etwas mehr muehe und schreibt ein kleines tutorial wie er das genau gemacht hat dazu )

ich fang mal an: dankeschoen yamagi!!

 

[Athaba]

Ich hätte nicht damit beginnen sollen...

Das ist nicht der Punkt. Warum wählt man vorsätzlich ein unsicheres Passwort, wenn man "nur" über http überträgt? Und erhöht ein sicheres Passwort nicht auch die Sicherheit bei Übertragung über http, selbst wenn es unterm Strich knackbar bleibt? Und zuguter letzt ... inwiefern ist die Verbindung über https abhörsicherer, wenn das Passwort sicherer ist?

Punkt für Punkt.
Ich habe NICHT VORSÄTZLICH ein schlechtes Passwort gewählt, wie du es mir unterstellst. Ich habe aber kein einzigartiges gewählt mit zig Zeichen (die ich auswendig lernen muss), weil es sowieso jeder sehen kann, wenn er will.
Beginnt jetzt bitte nicht mit unsinnigen Vergleichen. Jeder Depp kann einen Sniffer anwerfen. Auch kennt jeder Scriptkiddie Software, wie Cain und Abel und es gibt Leute, die Foren gerne mit Modrechten verunstalten o.ä.
Einige hier wollen viel Cryptotraffic verursachen.
Einige hier wollen nicht überwacht werden.
Zum Thema Vorteile: https://www.ccc.de/https/ und hier https://www.ccc.de/https/alt?language=de
Wer nicht will muss ja nicht.

Danke auch von einem der Heulenden *g*

 

[cryptosteve]

Jeder Depp kann einen Sniffer anwerfen. Auch kennt jeder Scriptkiddie Software, wie Cain und Abel und es gibt Leute, die Foren gerne mit Modrechten verunstalten o.ä.

Klar, darum gibts hier auch jeden Tag eine Vielzahl von erfolgreichen Angriffen.

Und gerade, wenn Du davon ausgehst, dass jeder einen Sniffer anwerfen kannst, ist es umso erstaunlicher, dass Du kein einmaliges Passwort wählst. Auf der einen Seite ziehst Du völlig abstruse Szenarien heran, auf der anderen Seite dann solche platten Denkweisen. Sorry, mir unbegreiflich.

 

[d4mi4n]

Danke für https !

Vor einigen Monaten liess mich der Office Proxy nicht zu http://www.bsdforen.de, da musste ich immer die https Variante nehmen. Mittlerweile gehts auch ohne https, aber wer weiss wann die wiedeer rumschrauben....

 

[CommanderZed]

Irgendwie kann ich der ganzen Diskusion nicht folgen oO

Https schützt u.a. vor den angriffs-szenarien "Aufspüren des Passworts", "mitschneiden was ich schreibe/lese/wer ich in welchen forum bin"
Das ist, denke ich mal, vor allem interresant für Menschen die ein mehr oder weniger öffentliches Netz zum zugang nutzen (Arbeit, Schule, WLAN, Internetcafe e.t.c.). Das nach der übergabe der Daten ins Netz des Zugangsprovider noch jemand groß mitsnifft, halte ich für eher unwahrscheinlich, könnte aber, zugegebener maßen, durch zufall nicht fvöllig unmöglich sein. Ich gehe dabei davon aus, das niemand gezielt unterstützt von entsprechenden Mitteln (z.B. mit harter Währung im 4 stelligen bereich) versucht von irgend wen den bsdforen.de account zu Übernehmen, selbst wenn es der eines admins wäre.

Das Passwort selbst (länge, einmaligkeit) schützt dagegen vor einem ganz anderem wie z.B. dem versuch des "Automatischen" knacken des Accounts e.t.c. - durch entsprechende Timer e.t.c. werde aber, so vermute ich jetzt mal weiter, durch die foren-software auch ein gewisser schutz bereitgestellt.