Diese Seite mit anderen teilen ...

Informationen zum Thema:
Forum:
OT-Forum
Beiträge im Thema:
32
Erster Beitrag:
vor 1 Monat
Letzter Beitrag:
vor 1 Monat
Beteiligte Autoren:
SaarLux03, Tomaso, DX-Fritz, delicious, Thomas (Metal), Basic.Master, Chief Wiggum, Studio Leipzig, PowerAM, Felix II, ... und 6 weitere

Sichere Verbindung (https)?

Startbeitrag von Tomaso am 18.03.2017 15:28

Ich habe das "DAB Forum" in meinen Lesezeichen von Firefox gespeichert und schaue täglich hier rein.
Es wäre sicherlich nicht nur für mich schön, wenn man sich sicher verbinden bzw. einloggen könnte.
Also https

Bin gespannt.

Antworten:

Zitat
Tomaso
Ich habe das "DAB Forum" in meinen Lesezeichen von Firefox gespeichert und schaue täglich hier rein.
Es wäre sicherlich nicht nur für mich schön, wenn man sich sicher verbinden bzw. einloggen könnte.
Also https

Bin gespannt.


Finger weg von meiner Paranoia !
Element of Crime


MfG

Studio Leipzig

von Studio Leipzig - am 18.03.2017 15:51
Abgesehen von der Frage nach dem Sinn der Sache wäre der Support von Mysnip dein Ansprechpartner. http://www.mysnip.de/

von Chief Wiggum - am 18.03.2017 16:05
Hat da jemand grad ein Firefox Update gemacht und erstmals den Hinweis auf die unsichere Übermittlung der Login-Daten gesehen... ;)
War bei mir vorhin nach dem Update auf FF 52.0-esr auch der Fall.

von iro - am 18.03.2017 16:59
Zitat
Chief Wiggum
Abgesehen von der Frage nach dem Sinn der Sache wäre der Support von Mysnip dein Ansprechpartner. http://www.mysnip.de/

Der Sinn der Sache: Kein Dritter weiß, welche Threads ich mir ansehe und kann auch nicht mein Passwort mitschneiden.

von Basic.Master - am 18.03.2017 17:14
https:// wäre nicht schlecht, gerade im Hotel oder offenen Netzwerken wäre die Verbindung sicherer. Schon mal https://letsencrypt.org/ versucht?

von Seltener Besucher - am 18.03.2017 19:32
Wobei zum Beispiel die Seite der Bundesnetzagentur wegen veraltetem Zertifikat seit Wochen mit einigen Browsern nicht erreichbar ist (SSL Verbindungsfehler kommt dann). Man kann sich damit als Webseitenbetreiber auch Probleme einfangen.
Ob ein sowieso oeffentlich einsehbares Forum nun Verschluesselung braucht? Dann duerftest du im Hotel ausschliesslich solche verschluesselte Seiten ansehen und sowieso nie Whatsapp oder besser erst gar kein IOS oder Android erwenden. Der Normaluser wird ja schon durch diverse Apps und das Betriebssystem ausspioniert.:D

von Nordlicht2 - am 19.03.2017 08:49
Also ich denke, zumindest die Login-Seite (http://radioforum.foren.mysnip.de/login.php) sollte doch bitte mit https gehostet werden, damit beim Login das Passwort nicht einfach mitgelesen werden kann.

von SaarLux03 - am 19.03.2017 09:52
Unsicherer Login ist echt nicht zeitgemäß und sollte man eigentlich niemanden mehr zumuten im Jahr 2017

von Tomaso - am 19.03.2017 10:08
ist zwar ein interessantes Thema, aber in dieser Stelle fehl am Platz.

von delfi - am 19.03.2017 10:19
Genau, https ist schließlich nicht die Weiterentwicklung von HE-AACv2 ...

von andimik - am 19.03.2017 10:22
Sorry für den falschen Bereich.
Würde mich freuen, wenn ein Admin es entsprechend verschiebt.
Hoffe aber auf baldiges s hinter dem http ;)

von Tomaso - am 19.03.2017 10:31
Wende dich damit an Mysnip !

von Chief Wiggum - am 19.03.2017 10:32
Oder direkt an papst@vatikan.de

von WiehengeBIERge - am 19.03.2017 10:43
gerne du@mich-auch.de :)

von Tomaso - am 19.03.2017 10:53
Zitat
Seltener Besucher
https:// wäre nicht schlecht, gerade im Hotel oder offenen Netzwerken wäre die Verbindung sicherer.

Sofern man nur was lesen will wäre ein Login nicht zwingend erforderlich.
Andererseits: Warum immer diese Angst vor man-in-the-middle? Der sitzt eher gleich auf dem PC. Ansonsten: Möglichkeiten gäbe es da viele ;-) . Man könnte, wenn kein ipv6 gefahren wird es aber keine Adressverteilung gibt, einfach v6-Adressen verteilen und ist der m-i-t-m. Auch hier: Wer macht das, wo sitzt der (wenn uberhaupt eher nicht in Rußland, sondern meist viel näher) und warum sollte gerade mysnip so relevant sein? Und noch was zur ganzen Kryptographie: Sicher? 100%? Eher nicht, die Bugs dürfen gerne selbst gesucht werden ;-) , oder man schaue mal kurz bei Heise. Selbst schuld wenn jemand sich zum Online-Banking hinreißen läßt...

von Thomas (Metal) - am 19.03.2017 11:06
Klar, was ist schon wirklich sicher im Leben? Eigentlich doch nur, dass es für jeden irgendwann mal zu Ende ist.

Trotzdem. Wenn ich aus dem Haus gehe, ziehe ich die Tür zu. Wenn keiner mehr im Haus ist, sperre ich auch ab. Auch mein Auto lasse ich nicht offen mitten in der Stadt stehen, sondern sperre es ab und sorge dafür, dass keine Wertgegenstände von außen einsehbar drin rumliegen. Das ist halt einfach Standard.

Und genauso ist es ehrlich gesagt schon seit Jahren Standard, dass zumindest Login-Daten verschlüsselt, also über https, gesendet werden. Klar, auch das ist nicht 100%ig sicher. Die Verriegelung eines Autos oder einer Haustür wird es aber auch nicht sein - mit dem richtigen Material kommt man trotzdem rein. Aber man sagt auch "Gelegenheit macht Diebe", und unnötig Gelegenheit muss man eigentlich nicht geben. Auch nicht bei seinen Passwörtern.

Und ja, wir sollten uns hier alle direkt auch an mysnip wenden. Aber ich denke, es schadet auch nicht, wenn die Admins und Moderatoren dieses Forenverbundes wissen, wenn User nicht mit dem unverschlüsselten Login einverstanden sind - und dann vielleicht auch etwas Druck auf mysnip machen können, das zu ändern.

von SaarLux03 - am 19.03.2017 11:23
Ich bin mir da gerade nicht sicher, aber kann man anhand der Metadaten auch mit https nicht trotzdem sehen, welche Webseite aufgerufen wurde? Ein unverschlüsselter Login im Klartext ist natürlich immer ungünstig. Allerdings kann man als einfacher User nicht viel daran ändern, wenn eine Webseite kein https anbietet.

Deshalb stört mich beim neuen Firefox die eingeblendete Warnung ein wenig. Die kann man aber wenigsten abstellen. Leider wird bei unverschlüsselten Seiten der Login nicht direkt in die Felder eingetragen. Einfach Seite aufrufen und Enter drücken geht so leider nicht, immer erst den Login anwählen.. Das konnte ich leider noch nicht abstellen. Oder gibts da noch eine Lösung?

von delicious - am 19.03.2017 11:27
Zitat
delicious
Ein unverschlüsselter Login im Klartext ist natürlich immer ungünstig. Allerdings kann man als einfacher User nicht viel daran ändern, wenn eine Webseite kein https anbietet.


Man kann sich über den Umstand beschweren oder die Webseite gar nicht mehr nutzen. Letzteres finde ich persönlich hier für das Radioforum übertrieben (bei Online-Banking würde ich es aber nicht übertrieben finden). Ersteres machen einige User ja gerade hier und ich habe gerade eben auch mysnip über deren Kontaktformular angeschrieben und rate den anderen Usern hier, das gleiche zu tun.

von SaarLux03 - am 19.03.2017 11:44
Na klar, gar nicht mehr nutzen ist mitunter übertrieben. Beschweren ist sinnvoll, aber ob und wann es zu Änderungen kommt liegt dann nicht mehr beim User.
Allerdings dürfte das sowieso kaum mehr Online-Banking betreffen, vielleicht noch einige (oder auch einige mehr) Online-Shops...

Deswegen hätte ich schon gerne den alten Zustand des Firefox wieder, wenigstens komplett abzuschalten sollte das sein...

von delicious - am 19.03.2017 11:50
Ich habe gerade eben den Firefox über die Updateverwaltung von Mint (Linux) aktualisiert. Der Warnhinweis ist doch eigentlich sehr dezent und ich finden den auch absolut berechtigt. Ich kann da nichts verwerfliches dran finden, dass man den User drauf aufmerksam macht, dass er sich da gerade unverschlüsselt irgendwo einloggt.

Edit: Ehrlich gesagt bin ich sogar für den Hinweis dankbar. Habe gerade ein zweites Forum gefunden, in dem ich User bin und bei dem das Login ebenfalls unverschlüsselt ist... und muss zugeben, dass mir das vorher ohne den Warnhinweis gar nicht aufgefallen ist.

von SaarLux03 - am 19.03.2017 13:08
Naja, eigentlich war das auch vorher schon erkenntlich. Der Warnhinweis ist zwar gut und schön, ich habe es schon lange zur Kenntnis genommen und deshalb stört es jetzt schon ein wenig. Deshalb wäre es schön, wenn es deaktivierbar wäre - default aber gerne on.

von delicious - am 19.03.2017 13:16
Zitat
delicious
Ich bin mir da gerade nicht sicher, aber kann man anhand der Metadaten auch mit https nicht trotzdem sehen, welche Webseite aufgerufen wurde?

Richtig; generell würde man weiterhin sehen können, dass du irgendwo auf mysnip.de bist (allerdings nicht wo und was du machst).
Wenn man im unverschlüsselten Hotel-WLAN ist, empfiehlt es sich unabhängig von HTTPS-Seiten, zusätzlich noch ein VPN oder einen SOCKS-Proxy zu benutzen.

von Basic.Master - am 19.03.2017 13:32
Man erkläre mir bitte, welches Problem entstehen kann, wenn ich mich hier unverschlüsselt einlogge.

von DX-Fritz - am 19.03.2017 17:35
Zitat
DX-Fritz
Man erkläre mir bitte, welches Problem entstehen kann, wenn ich mich hier unverschlüsselt einlogge.


Was ist das denn für eine blöde Frage??? Natürlich kommt da das Fliegende Spaghettimonster und beißt Dir den Kopf ab....:bruell:

von Studio Leipzig - am 19.03.2017 18:58
Das Leben ist riskant. :sozusagen:
Ich muss allerdings zustimmen, dass //https inzwischen Standard sein sollte.
Wenngleich auch das keine 100 % Sicherheit bieten kann.

von PowerAM - am 19.03.2017 19:06
Zitat
Studio Leipzig
Zitat
DX-Fritz
Man erkläre mir bitte, welches Problem entstehen kann, wenn ich mich hier unverschlüsselt einlogge.


Was ist das denn für eine blöde Frage???


Was sagte einer meiner Lehrer immer:

"Es gibt keine blöden Fragen, sondern nur blöde Antworten!"

Zitat
Studio Leipzig
Natürlich kommt da das Fliegende Spaghettimonster und beißt Dir den Kopf ab....:bruell:


Ist ja total witzig. Mann, bist Du ein ......... kluges Kerlchen.

Also nochmal: Welches Problem kann mir in diesem Forum entstehen, wenn ich mich unverschlüsselt einlogge?

Ich bitte um Entschuldigung, wenn ich zu blöd dafür bin, mir diese Frage selbst zu beantworten.

von DX-Fritz - am 19.03.2017 23:23
Zitat

Also nochmal: Welches Problem kann mir in diesem Forum entstehen, wenn ich mich unverschlüsselt einlogge?


Eigentlich keins. Aber manchmal neigen Leute dazu auf unterschiedlichen Webseiten gleiche log-ins zu verwenden. Wenn jetzt wirklich hier jemand dein login und passwort rausfindet könnte er zum Beispiel versuchen sich mit den selben log-in Zugangsdaten z.B. bei facebook (oder anderswo) einzuloggen.

von Felix II - am 20.03.2017 13:00
Wenn das Login (wie hier) unverschlüsselt ist, heißt das, dass im Prinzip jeder, über dessen Netzwerk die Verbindung vom mysnip-Server zu deinem Rechner gerouted wird, die Login-Daten mitschneiden kann.

D.h. er kennt dann deine Login-Daten hier.

Was kann er damit machen? Im am wenigsten schlimmen Fall sich hier unter deinem Namen einloggen und Schabernack treiben (in deinem Namen Blödsinn posten, deine Einstellungen im Kontrollzentrum ändern usw.). Aber auch das ist bereits ärgerlich. Er kann im Kontrollzentrum alles, was du da angegeben hast, auslesen (mindestens deine richtige Emailadresse ist da drin) und ändern. Kann man jetzt alles ganz harmlos finden, aber es sorgt für Ärger, den man gewiss nicht unbedingt braucht.

Im schlimmeren Fall hast du denselben Usernamen und dasselbe Passwort (auch ein ähnliches reicht oft!) auch woanders benutzt, so dass weitere Accounts von dir dann auch "gehackt" werden. Und dann wird es natürlich richtig unschön.

von SaarLux03 - am 20.03.2017 22:01
Danke für die aufschlussreichen Antworten! :spos:

von DX-Fritz - am 20.03.2017 23:22
Lesenswert: Heise heute zum Thema https-Inspection.
Da kommt man wieder dazu: Wer kann analysieren was die eigene Software so treibt und wer macht das wenn er es kann ;-) ? Und was ist wirklich sicher? Oder ist es eher nur schön mit einem guten Gefühl, vielleicht weil es jetzt alle anderen so machen? Ich möchte jetzt aber auch bitte nicht falsch verstanden werden. Ich werbe nicht damit grundsätzlich für unverschlüsselten Traffic!

von Thomas (Metal) - am 22.03.2017 10:25
Da hast du sicher Recht, Thomas (Metal). Aber man muss auch die Verhältnisse sehen. Bei https braucht es Experten und es müssen eine Menge Seitenbedingungen erfüllt sein (schlechte Zertifikate, fehlerhafte SSL-Bibliothek, ...), um die Übertragung zu knacken. Bei unverschlüsselter Übertragung braucht es nur einen Deppen mit Admin-Rechten, der den passenden tcpdump-Befehl in die Kommandozeile eintippt und mitliest oder die Ausgabe abspeichert und später durchsucht.

von SaarLux03 - am 22.03.2017 21:09
Zur Information:
MySnip.de hat keinen Einfluss auf die Inhalte der Beiträge. Bitte kontaktieren Sie den Administrator des Forums bei Problemen oder Löschforderungen über die Kontaktseite.
Falls die Kontaktaufnahme mit dem Administrator des Forums fehlschlägt, kontaktieren Sie uns bitte über die in unserem Impressum angegebenen Daten.