HTTPS für BSDForen.de

Athaba · 15 April 2007

Steve` schrieb:
Und gerade, wenn Du davon ausgehst, dass jeder einen Sniffer anwerfen kannst, ist es umso erstaunlicher, dass Du kein einmaliges Passwort wählst.

Ich versteh dich nicht ganz. Mir ist bisher noch nichts passiert und wenn jemand wirklich an meinem Passwort intessiert ist, ist der Sniffer eine der einfachsten Methoden (ich rede von dem Umständen unter denen ich eine Verbindung zu bsdforen.de verbinde. Es ist neben dem Passwort einfach mein schwächstes Kettenglied, auf welches ich Einfluss habe).
Außerdem war der Satz mit dem die Diskussion begonnen nicht dazu gedacht dies zu tun. Als ich den Account hier erstellt habe, habe ich ein einfaches Passwort verwendet. Bisher war ich zu faul es zu ändern. Nun wollte ich es tun und habe noch nach SSL gejammert.

Auf der einen Seite ziehst Du völlig abstruse Szenarien heran, auf der anderen Seite dann solche platten Denkweisen. Sorry, mir unbegreiflich.

Welches abstruse Szenario? Dass jemand einen Sniffer installiert. Das wird jeden Tag so oft gemacht. Oder meinst du, dass ich trotzdem ein schönes Passwort/eine schön Passphrase hätte verwenden sollen. Da stimm ich dir zu. Hab nen Fehler gemacht.
Ich wusste damals, als ich mich angemeldet habe, nicht, dass es mehr als zwei Beiträge werden. Ich hätte es gleich ändern können/sollen. Ich weiß.
Oder meintest du etwas anderes?

Athaba

Kamikaze · 15 April 2007

Das ist doch jetzt alles Meta. Jeder schätzt den Wert seines Kontos anders ein.

Wir haben HTTPS, freut euch einfach drüber. Ich tu's jedenfalls!

cryptosteve · 15 April 2007

Meta? Das war wohl nichts.

peterle · 15 April 2007

Kamikaze schrieb:
Wir haben HTTPS, freut euch einfach drüber. Ich tu's jedenfalls!

Ok, ein Ferrari wär mir lieber, aber ich freue mich mal mit.

Schon mal über einen Umstieg des Portals von vbadvanced nach vbportal nachgedacht?
Ich überlege im Moment ja auch, ob man nicht drupal oder was in der Art nehmen könnte ... über die https Fähigkeiten hab ich mir da allerdings noch keine Gedanken gemacht. :rolleyes:

rudy · 15 April 2007

peterle schrieb:
Ok, ein Ferrari wär mir lieber, aber ich freue mich mal mit.

Schon mal über einen Umstieg des Portals von vbadvanced nach vbportal nachgedacht?
Ich überlege im Moment ja auch, ob man nicht drupal oder was in der Art nehmen könnte ... über die https Fähigkeiten hab ich mir da allerdings noch keine Gedanken gemacht.

Zuerst mal danke für https und besonders an yamagi ( viel viel Arbeit ) ein sehr guter Ansatz!

Dann an peterle, also ich weiss zwar das es keine fehlerfreien Lösungen gibt, allerdings bei Drupal wäre ich da extrem vorsichtig:

Schau mal hier :

http://www.tecchannel.de/index.cfm?pid=578

Drupal hatte in der Vergangenheit also vor der aktuellen Version erhebliche Probleme mit der Sicherheit, aber auch nach 4.7 wird es nicht besser besonders ärgerlich :

http://www.tecchannel.de/sicherheit/aktuell/464209/index.html

zwar nicht als hochkritisch eingestuft aber dennoch !

LG rudy

fader · 15 April 2007

Im Wohnheim gabs bei uns noch ungeswitchte Segmente. Wer sich dort unverschluesselt bei einem Forum angemeldet hat, las gerne mal in den naechsten Tagen lustige Postings, die irgendein Fremder unter seinem Namen veroeffentlicht hatte. Ihr habt eindeutig zu wenig Fantasie.

fader · 15 April 2007

Yamagi schrieb:
Das Zertifikat ist allerdings selbst unterschrieben...

Dafuer gibt es seit https://www.cacert.org/ keine Ausrede mehr.

peterle · 15 April 2007

rudy schrieb:
Dann an peterle, also ich weiss zwar das es keine fehlerfreien Lösungen gibt, allerdings bei Drupal wäre ich da extrem vorsichtig:
...

Drupal hat so einen gewissen Scheunentorcharakter. Das hat mich bis jetzt auch imm er von einer Integration abgehalten. vbPortal bietet aber nette Features über die man mal nachdenken kann. Allerdings ist auch vbPortal dadurch berühmt geworden, daß die Entwickler ein wenig taub auf dem Sicherheitsohr waren und etwas verschwiegen. Das bekamen sie aber dick aufs Brot gestrichen und seit dem ist es scheinbar nicht wieder passiert.

max93 · 17 April 2007

Hallo!

fader schrieb:
Dafuer gibt es seit https://www.cacert.org/ keine Ausrede mehr.

Auch damit bekomme ich einen Warnhinweis... Ich habe mich einfach noch nicht eingehend genug mit CA-Cert und deren Policy beschäftigt um deren Root-Zertifikat zu vertrauen.

Ciao.
Markus Mann
];-)

xGhost · 17 April 2007

coole, danke!

foobarflu · 17 April 2007

fader schrieb:
Dafuer gibt es seit https://www.cacert.org/ keine Ausrede mehr.

Doch. Zum Beispiel, dass man das Prinzip hinter cacert für foo hält. Solange Du ohne einen einzigen verifier gesehen zu haben Zertifikate kriegst...

startcom ist außerdem viel hübscher.

Yamagi · 17 April 2007

Ist es nicht völlig egal ob das Zertifikat nun "offziell" unterschrieben ist oder nicht? Ich meine es ist hier ein Forum... Wir haben HTTPS, also seit glücklich. Und kaum jemand wird versuchen wegen einem simplen Forenpasswort SSL zu hacken. Per Man in the Middle z.B. oder ähnlichem...

cryptosteve · 17 April 2007

Ja, es ist egal. Total egal. Hauptsache, die Verbindung ist verschlüsselt, alles weitere darüber hinaus ist oversized.

Maxx · 18 April 2007

Steve` schrieb:
Ja, es ist egal. Total egal. Hauptsache, die Verbindung ist verschlüsselt, alles weitere darüber hinaus ist oversized.

Mit einem unsignierten Zertifikat fällt aber ein MITM-Angriff nicht auf ;-)

HTTPS für BSDForen.de

Athaba

Libellenliebhaber

Kamikaze

Warrior of Sunlight

cryptosteve

Ex-Steve`

peterle

Forenkasper

rudy

aint no stoppin us now

fader

Klaatu Verrata Nectu

fader

Klaatu Verrata Nectu

peterle

Forenkasper

max93

Well-Known Member

xGhost

OpenBSD Freack

foobarflu

Active Member

Yamagi

Possessed With Psi Powers

cryptosteve

Ex-Steve`

Maxx

Well-Known Member

Wir schützen deine Privatsphäre