3. HTTPS

HTTPS

  • I

    Mir ist aufgefallen, dass das Forum nicht über HTTPS angeboten wird. Wäre es möglich, das nachzurüsten?

    Falls es am Zertifikat mangelt: selbst ein selbstsigniertes würde erstmal ausreichen (mein Hauptanliegen ist die Verschlüsselung). Ansonsten gibt es auch CAs, die kostenlos Zertifikate ausstellen, z.B. http://www.cacert.org/.

    0
  • N

    Cacert ist nicht brauchbar, unterstuetzen zu viele Browser nicht. Ich hatte eher an StartSSL gedacht.

    Ist prinzipiell angedacht, gibt dazu aber noch ein paar kleine Unklarheiten bzw. interne Diskussionen.

    0
  • ?

    Wozu? 😕

    0
  • Z

    damit man sich auch in öffentlichen Netzen einloggen kann

    0
  • Mod

    zwutz schrieb:

    damit man sich auch in öffentlichen Netzen einloggen kann

    Wie zum Beispiel dem Internet? 🙂

    0
  • I

    µ schrieb:

    Wozu? 😕

    Damit nicht jeder gleich mein Cookie bzw. meine Login-Daten abgreifen kann, wenn ich mal in einem nicht-privaten Netz bin.

    0
  • ?

    ipsec schrieb:

    µ schrieb:

    Wozu? 😕

    Damit nicht jeder gleich mein Cookie bzw. meine Login-Daten abgreifen kann, wenn ich mal in einem nicht-privaten Netz bin.

    Warum sollte sich jemand die Mühe machen?
    Es gibt hier nichts abzugreifen und keine sensible Information.
    Höchstens zum Trollen aber wie oft ist sowas denn schon vorgekommen in über 10 Jahren?

    0
  • N

    µ schrieb:

    Warum sollte sich jemand die Mühe machen?

    Grosze Muehe ist das nun wirklich keine und es gibt genug gelangweilte Scriptkiddies.

    Die wenigsten derartigen "Hacks" haben eine viel bessere Motivation als Langeweile.

    0
  • Administrator

    µ schrieb:

    Höchstens zum Trollen aber wie oft ist sowas denn schon vorgekommen in über 10 Jahren?

    Typische Antwort einer Firma, welche gerade gehackt (oder ähnliches) wurde:
    "Wir haben es doch immer so gemacht und es hat nie irgendwelche Probleme gegeben!"

    Das Problem ist leider, dass es heutzutage scheiss einfach ist, eine fremde HTTP Session z.B. in einem öffentlichen WLAN Bereich zu übernehmen. Da muss nur jemandem etwas langweilig sein.

    Grüssli

    0
  • Z

    µ schrieb:

    Es gibt hier nichts abzugreifen und keine sensible Information.

    Login-Informationen sind sensible Informationen

    mal davon abgesehen dass hier auch Moderatoren rumlaufen. Deren übernommene Session kann schnell böse enden

    0

  • Ich könnte mir vorstellen dass sich das recht ungünstig auf die benötigte Rechenleistung auswirkt...

    0
  • N

    Die ist kein groszes Problem. Gibt andere Sachen, die dem Thema HTTPS viel effektiver im Weg stehen. 🙂

    0
  • Z

    lass mich raten: die Zeit und Laune, das zu implementieren? :p

    Oder die Unkosten für das Zertifikat? (selbstunterschriebene haben immer so einen faden Beigeschmack)

    0
  • N

    zwutz schrieb:

    lass mich raten: die Zeit und Laune, das zu implementieren? :p

    Nein, aber es ist verflucht unpraktisch, wenn nicht alle Seitenelemente, die du einbinden musst/moechtest auch via HTTPS verfuegbar sind.

    (edit: Nicht, dass so furchtbar viel Zeit fuer sowas da waere, sie ist nur momentan nichtmal der Hauptfaktor.)

    Oder die Unkosten für das Zertifikat? (selbstunterschriebene haben immer so einen faden Beigeschmack)

    StartSSL waere fuer uns IMO schon ok. Selbstsigniert geht natuerlich gar nicht. Selbst wenn StartSSL nicht ginge, waeren die Kosten fuer die SSL-Zertifikate verglichen mit den laufenden Serverkosten ziemlich vernachlaessigbar.

    0
  • I

    nman schrieb:

    Nein, aber es ist verflucht unpraktisch, wenn nicht alle Seitenelemente, die du einbinden musst/moechtest auch via HTTPS verfuegbar sind.

    Welche sind es denn nicht? Bilder usw. sind ja unkritisch, die notorischen „diese Seite enthält unsichere Elemente“-IE-Popups sind ja inzwischen auch Schnee von gestern. Am wichtigsten wäre nur die Login-Seite bzw. die Login-Daten, dicht gefolgt vom Cookie.

    0
  • N

    ipsec schrieb:

    Bilder usw. sind ja unkritisch, die notorischen „diese Seite enthält unsichere Elemente“-IE-Popups sind ja inzwischen auch Schnee von gestern.

    Seit wann bzw. warum das?

    0
  • I

    nman schrieb:

    ipsec schrieb:

    Bilder usw. sind ja unkritisch, die notorischen „diese Seite enthält unsichere Elemente“-IE-Popups sind ja inzwischen auch Schnee von gestern.

    Seit wann bzw. warum das?

    Dachte ich. Gut ich benutze den IE jetzt nicht auch so oft, es kann auch daran liegen, dass sowas allgemein nicht (mehr) häufig vorkommt.

    0
  • N

    ipsec schrieb:

    Dachte ich. Gut ich benutze den IE jetzt nicht auch so oft, es kann auch daran liegen, dass sowas allgemein nicht (mehr) häufig vorkommt.

    IMO eher deswegen weil sich herumgesprochen hat, dass jeder Browser da sehr sehr einschüchternde Fehlermeldungen ausspuckt und das auch seinen Grund hat, sodass es nicht mehr so viele Seiten machen.

    0
Anmelden zum Antworten