nicht via https ?


Verbesserungsvorschläge, Mängel, Lob und Tadel alles hier rein.
Bei Loginproblemen wendet euch bitte mittels des Kontaktformulars auf der Homepage an uns.
Benutzeravatar
Ati
SV-Rider
Beiträge: 3920
Registriert: 29.06.2008 15:16
Wohnort: siehe Webseite
Kontaktdaten:

SVrider:

Re: nicht via https ?

#16

Beitrag von Ati » 28.01.2016 14:21

Nix, außer dass das Zertifikat halt immer aktuell sein sollte. :wink:
ich sage mit aller Entschiedenheit - vielleicht, eventuell, mal sehen ... und freue mich auch über eine Bewertung
"denn sie wissen nicht was er tut" ,-)
SV-Ati. Die elektronifizierte SV-Seite ;-)
Brandenburg
mein Youtube Kanal

Benutzeravatar
bigrick
SV-Rider
Beiträge: 1246
Registriert: 17.02.2014 15:11
Wohnort: Dresden

SVrider:

Re: nicht via https ?

#17

Beitrag von bigrick » 28.01.2016 15:29

blueSV hat geschrieben:
Rene hat geschrieben:
sorpe hat geschrieben:Wenn die Änderung vorgenommen wurde, ist svrider.de dann ausschließlich über https erreichbar?
Dazu habe ich mir noch keine Meinung gebildet.
Muss ich mir noch überlegen, ob das Sinn macht oder welche Nebenwirkungen es haben könnte.
Was könnte denn dagegen sprechen?
HTTPS gibt es generell anderes Protokoll als HTTP, weil Transportverschlüsselt.

"Nebenwirkungen" gibt es an verschiedenen Stellen. An erster Stelle braucht eine Verschlüsselung Rechenzeit, demnach steigt die Auslastung des Server. Wie viel höher lässt sich kaum aus dem Stehgreif sagen - das hängt von vielen Faktoren ab. Auf jedenfall hat der Server mehr zu tun.
Auf der Nutzerseite ebenfalls, da dort Rechenzeit nicht das Problem ist, ist es auch nicht der Rede wert. Auf "Client" (Nutzer) Seite gibt es andere Probleme. Https ist ne andere Sprache, ein anderes Protokoll als Http. Https gibt es mittlerweile in mehreren Versionen. Im Grunde arbeitet Https mit SSL als aufgesetzte Verschlüsselung. SSL v1 von 1994, v2 und v3 folgen kurz darauf - v3 war 2014 in den Schlagzeilen weil es trotz das es fast 20 Jahre alt ist noch überall verwendet werden wird und eine gravierende Sicherheitslücke öffentlich wurde. Um 2000 hat man dann SSL in TLS umbenannt - derzeitig aktuell ist TLS 1.3 - praktisch schaltet man heute alles was älter als TLS 1.1 ist - wird aber erst seit kurzem auch so von den Softwareherstellern ausgeliefert. 2015 waren noch fast alle Geräte SSL Kompatibel. Welche Verschlüsselungsversion eingesetzt wird, handeln Client und Server automatisch aus, wobei der Client eine Standardeinstellung besitzt.
Kompatibilität ist das Stichwort. SSLv3 wurde so lange eingesetzt weil es überall kompabibel war. Stellt man einfach so das Protokoll auf eine neue Version um, besteht Gefahr das es nicht überall verstanden wird. Selbiges hier im Forum. Setzt man eine Transportverschlüsselung ein, läuft man gefahr das dieses Forum nicht auf jedem Endgerät erreichbar ist. In Wirtschaft nimmt man mittlerweile das Risiko hin, da man die Meinung vertritt das die Sicherheit höher wiegt als der Nutzerkomfort.
Soweit zum HTTPS exkurs.
Dragol hat geschrieben:Dankeschön!
Und noch ne Frage: Liegen z.B. die PNs und/oder die persönlichen Treffenanmeldedaten etc. im Klartext auf dem Server?
Das sind zwei verschiedene Schuhe. Der Server ist deine Gartenhütte, HTTPS das Fahrad mit dem zur Gartenhütte kommst. Verschlüsselung auf dem eigentlichen Datenträger des Server stellt ein weitere viel größeres Problem dar - denn das ist RICHTIG Aufwendig und Risikoreich in der Umsetzung. Verschlüsselung auf Datenträgern macht man auch nur bei besonders schützenswerten Daten oder bei hohem Risiko (z.B. wenn viele Leute Zugriff auf die Datenbank haben - in der die Daten liegen) ich behaupte mal beides liegt hier nicht vor. Es ist ausreichend wenn der Zugang (der Schlüssel zur Gartenhütte und auch Fenster) sicher genug ist, d.h. Passwortkomplexität, aktuelle Softwarestände, aktuelle Protokolle (siehe SSL oben), Minimalinstallations (überflüssige Software ist abzuschalten).

VG

EDIT:
Ati hat geschrieben:Nix, außer dass das Zertifikat halt immer aktuell sein sollte. :wink:
Das stimmt so nicht. Das Verschlüsselungsverfahren an sich (AES ist vllt manch einem ein Begriff - es gibt noch einiege andere) wie auch die Zertifikats/Schlüssellänge (vergleichbar mit der Passwortlänge hier in der Forumsanmeldung) spielt eine entscheidende Rolle. Beide entscheidet darüber wie viel Ressourcen HTTPS verbraucht und wie sicher es ist. Das neuese TLS Verfahren nützt nix, wenn der Algorythmus und der Schlüssel für die Tonne ist (RC4 ist so ein Kandidat).

Benutzeravatar
Ati
SV-Rider
Beiträge: 3920
Registriert: 29.06.2008 15:16
Wohnort: siehe Webseite
Kontaktdaten:

SVrider:

Re: nicht via https ?

#18

Beitrag von Ati » 28.01.2016 17:29

Du missverstehst mich. Das Zertifikat garantiert lediglich die Echtheit des Servers und hat nichts mit dem Transport zu tun. Siehe dazu das Schlosssymbol im Browser, welches man hinterfragen kann um zu sehen, wer garantiert die Echtheit des Servers.
Was die Verschlüsselung der Serverdaten (PN usw.) angeht sehe ich das aber nicht so lax wie Du. Server sind angreifbar. Beispiele gibt es mehr als genug. Und genau da liegt das Problem. Alle Daten liegen wie eine offene Bonbonbüchse da rum. Jeder Hacker reibt sich die Hände. Ob das verwertbar ist oder nicht sei hierbei ohne Belang. Ich will gar nicht wissen, was in PNs alles gesendet wird.
ich sage mit aller Entschiedenheit - vielleicht, eventuell, mal sehen ... und freue mich auch über eine Bewertung
"denn sie wissen nicht was er tut" ,-)
SV-Ati. Die elektronifizierte SV-Seite ;-)
Brandenburg
mein Youtube Kanal

Benutzeravatar
bigrick
SV-Rider
Beiträge: 1246
Registriert: 17.02.2014 15:11
Wohnort: Dresden

SVrider:

Re: nicht via https ?

#19

Beitrag von bigrick » 29.01.2016 11:21

Ati hat geschrieben:Das Zertifikat garantiert lediglich die Echtheit des Servers und hat nichts mit dem Transport zu tun.
Das Zertifikat hat alles mit dem Transport zu tun. Der Server gibt sich durch das Zertifikat gegenüber dem Client zu erkenne. Der Client überprüft das Zertifikat durch seinen Zertifikatsspeicher und seine vertrauenswürdigen Authentifizierungsstellen (siehe Windows- oder Browser-Zertifikasspeicher). Nur wenn das Zertifikat vertrauenswürdig ist, findet überhaupt eine Transportverschlüsselung statt. Ist das nicht der Fall, kann der Nutzer das Zertifikat selbst manuell als vertrauenswürdig deklarieren (das ist die dicke fette rote Meldung im Browser wenn ein Zertifikat abgelaufen ist oder tatsächlich gefälscht wurde).

In der Vergangenheit gab es mit den Authehtifizierungsstelen selbst ärger. Es wurde bekannt das gültige Zertifikate durch kompomitierte Zertifizierungsstellen erstellt wurden. Die Browserhersteller stellen u.a. deshalb updates bereits, mit dem Update wird die unsichere Zertifizierungsstelle aus dem Speicher gelöscht.
Ati hat geschrieben:Was die Verschlüsselung der Serverdaten (PN usw.) angeht sehe ich das aber nicht so lax wie Du. Server sind angreifbar. Beispiele gibt es mehr als genug. Und genau da liegt das Problem. Alle Daten liegen wie eine offene Bonbonbüchse da rum. Jeder Hacker reibt sich die Hände. Ob das verwertbar ist oder nicht sei hierbei ohne Belang. Ich will gar nicht wissen, was in PNs alles gesendet wird.
Genau da liegt das Problem, weshalb man sich überlegen sollte Https einzusetzen. Https ist eine Transportverschlüsselung und sichert (bei richtiger Anwendung) nur den Weg zwischen Server und Client ab - soll also auf dieser Strecke die Daten vor Augen dritter unlesbar halten. Auf dem Server selber und auf dem Smartphone, Tablet, Notebook oder Desktop PC des Nutzer wird durch Https gar nichts erreicht. Praktisch die einzig (relativ einfach) angreifbare Stelle stellen kabellose Verbindungen dar, da die staatliche Infrstruktur Hochsicherheitsbereiche sind, ohne AK47 und einem Kernbohrer erreicht man da wenig (private Rechenzentrenten sind da i.d.R. deutlich attraktiver - Fälle gibt da aber äußerst wenige). Selbst an den kabellosen Verbindungen gibt es heute praktische keine unsicheren mehr da überall AES eingesetzt wird oder anderweitig nur mit Spezialausrüstung mitgeschnitten werden kann und auch dann nicht klar ist, ob man die Daten lesbar machen kann (3G, 4G). Praktisch erreicht ein Angreifer an vielen Stellen mehr wenn er ne Tür mit ner Axt barbeitet oder auf der Straße ein Handy klaut - und genau dann hat IT Sicherheit sein Ziel erreicht.

Lax sehe ich das überhaupt nicht. Ich habe geschrieben das auf eine Verschlüsselung verzichtet werden kann, wenn man den Zugang zu diesen Daten schützen kann. Gibt es keinen Zugang zu meiner Festplatte, brauche ich auch die Daten darauf nicht verschlüsseln (wo bei hier der Grundsatz gilt: Die Diganose ist nur so gut wie der Diagnostiker - ähnlich dem Tüv, da gibts auch welche vom Blinden und Sehschwachen Verband).
100%ig Sicheheit gibt es nicht, auch nicht mit Verschlüsselung. Deshalb muss man sich überlegen welchen Aufwand man bereit ist zu betreiben um seine Daten zu sichern. So ist es auch nicht belanglos welche Daten abzusichern sind. Geht es um sensible persönliche Informationen wird man einen anderen Aufwand betreiben als bei Kochanleitungen.
Was in den Medien berichtet wird ist richtig. Wenn man im Volk eine Sensibilierung erreicht hat, ist das optimalt (das Zeigt deine Einstellung sehr deutlich). Dennoch ist ein Forum wie dieses hier ein relativ unattraktives Ziel. Die Motororräder selbst sind relativ alt, haben bei vielen einen höheren emotionalen Wert als finanziellen (das wäre mein Ziel Nummer 1 als Angreifer). Bei den sonstigen Daten die hier per PN ausgetauscht werden... Da gibt es andere Ziele mit weit prekäreren Inhalten (welche sich auch tatsächlich für Erpressung eignen) und vor allen wo nicht Daten von 200 Leuten drauf liegen sondern von 20.000 oder mehr.

VG

Benutzeravatar
Ati
SV-Rider
Beiträge: 3920
Registriert: 29.06.2008 15:16
Wohnort: siehe Webseite
Kontaktdaten:

SVrider:

Re: nicht via https ?

#20

Beitrag von Ati » 31.01.2016 18:59

bigrick hat geschrieben:
Ati hat geschrieben:Das Zertifikat garantiert lediglich die Echtheit des Servers und hat nichts mit dem Transport zu tun.
Das Zertifikat hat alles mit dem Transport zu tun. Der Server gibt sich durch das Zertifikat gegenüber dem Client zu erkenne. Der Client überprüft das Zertifikat durch seinen Zertifikatsspeicher und seine vertrauenswürdigen Authentifizierungsstellen (siehe Windows- oder Browser-Zertifikasspeicher). Nur wenn das Zertifikat vertrauenswürdig ist, findet überhaupt eine Transportverschlüsselung statt. Ist das nicht der Fall, kann der Nutzer das Zertifikat selbst manuell als vertrauenswürdig deklarieren (das ist die dicke fette rote Meldung im Browser wenn ein Zertifikat abgelaufen ist oder tatsächlich gefälscht wurde).
Genau so ist es. Bis hierher hat das aber dennoch nichts mit https zu tun, sondern nur in der Vorbereitung dazu. Die Browser überprüfen hier ledigleich, ob die Adresse identisch mit dem Zertifikat ist. Erst danach wird die eigentliche Verschlüsselung aktiv. Dabei spielt es keine Rolle, ob es sich um ein vom User akzeptiertes Zertifikat oder ein durch eine Zertifizierungsstelle ausgestelltes "offizielles" Zertifikat handelt. Allerdings kann man je nach Zertifikatslevel schon von der Echtheit ausgehen (siehe z.B. Banken - grün hinterlegte URL singnalisiert das).
bigrick hat geschrieben:
Ati hat geschrieben:Was die Verschlüsselung der Serverdaten (PN usw.) angeht sehe ich das aber nicht so lax wie Du. Server sind angreifbar. Beispiele gibt es mehr als genug. Und genau da liegt das Problem. Alle Daten liegen wie eine offene Bonbonbüchse da rum. Jeder Hacker reibt sich die Hände. Ob das verwertbar ist oder nicht sei hierbei ohne Belang. Ich will gar nicht wissen, was in PNs alles gesendet wird.
Genau da liegt das Problem, weshalb man sich überlegen sollte Https einzusetzen. Https ist eine Transportverschlüsselung und sichert (bei richtiger Anwendung) nur den Weg zwischen Server und Client ab - .... Praktisch erreicht ein Angreifer an vielen Stellen mehr wenn er ne Tür mit ner Axt barbeitet oder auf der Straße ein Handy klaut - und genau dann hat IT Sicherheit sein Ziel erreicht.

Lax sehe ich das überhaupt nicht. Ich habe geschrieben das auf eine Verschlüsselung verzichtet werden kann, wenn man den Zugang zu diesen Daten schützen kann. Gibt es keinen Zugang zu meiner Festplatte, brauche ich auch die Daten darauf nicht verschlüsseln (wo bei hier der Grundsatz gilt: Die Diganose ist nur so gut wie der Diagnostiker - ähnlich dem Tüv, da gibts auch welche vom Blinden und Sehschwachen Verband).
Ist soweit richtig. Nur, der Server steht halt in einer Servercloud bei einem Provider und nicht unter Aufsicht bei jemandem zu Hause. Betriebssysteme weisen halt Schwachstellen auf, über die man Server kompromittieren kann - wenn man kann. In der Regel haben Angreifer sehr viel Zeit für solche Angriffe, weil niemand solche Versuche überwacht. Gescheite Firewalls haben diese Server oft nicht vorgeschaltet, sodass das meist unentdeckt bleibt. Ist nun der Server nicht gehärtet, kommt es schon vor, dass Daten offen liegen.
Aber hier schließt sich unser Kreis wieder. DIe dort liegenden Daten sind aus wirtschaftliche Sicht sicher uninteressant. Aber es gibt vielfältigste Interessen bei den Angreifern. Von daher ist die Frage schon berechtigt.
ich sage mit aller Entschiedenheit - vielleicht, eventuell, mal sehen ... und freue mich auch über eine Bewertung
"denn sie wissen nicht was er tut" ,-)
SV-Ati. Die elektronifizierte SV-Seite ;-)
Brandenburg
mein Youtube Kanal

Antworten