Verbindung zu SonyUserforum nicht sicher?
 

Ich habe das schon seit einiger Zeit, egal ob ich meinen Standardbrowser Opera oder MS Edge verwende:

https://prnt.sc/nkwgda

das liegt daran das hier anscheinend n ganz komischer Typ das Ding hostet und es bisher nicht geschafft hat ein gratis SSL Zertifikat von lets encrypt auf dem Webserver zu installieren

sind 10 min Arbeit und ohne Kosten

am Browser liegt es also nicht bzw warnen diese seit neuestem wenn eine Website kein HTTPS kann bzw SSL

Da ich davon ausgehe, dass es sich bei diesem Forum um eine Privatinitiative handelt, finde ich, dass Du Deine Wortwahl entsprechend anpassen könntest. Du bist hier nämlich - so wie ich - GAST....

Seit einiger Zeit sind etwa 50% aller Websites als "unsicher" gekennzeichnet - also so what?

in Puncto DSGVO wäre bei allen Websites https fällig! Daten der User seien es Login Daten können ohne https durch man in the middle Attacken abgefangen werden - dazu kommt noch das Google Seiten ohne HTTPS in Puncto SEO abstraft.

finds lustig wie im einen Thread Leute sich über Smarthome Geräte aufregen aber anscheinend unsichere Verbindungen bei Websites als völlig toll und normal ansehen - und selbst wenn der user es privat macht, was hier nicht der Fall ist weil verein und Spenden etc - sollte man schon diese 10 min investieren

ich sehe das als berechtigte Kritik

Dann biete doch Deine freiwilligen Dienste an - ich bin sicher, dass man gerne Hilfe in Anspruch nimmt...

ich bin mir sicher das es nicht am können scheitert, sondern am wollen früher war es teuer Websites mit SSL nachzurüsten mind 39 EUR für das Cert und mind 30 min bis das Ding eingebunden war. Leider ist es so das einige ältere Websites und Foren bei Hostern sind die technisch genauso veraltet sind auf alter Hardware laufen und oder steinalte Webpanels haben

Vielleicht ist es aber nicht so einfach? Schließlich hängen hier Forum (vB) und Galerie (4images) drin. Oftmals scheitert da schon der Versuch, weil eventuell vorab php o.ä. aktuell sein müssen. Ändert man eines, geht es u.U. woanders nicht gleich. Und das sollte man bedenken - zumal es eben ein privates Freizeitprojekt ist. ;)

Privat ist hier gar nichts!

Erst einmal gehört das SUF einem Verein, der zudem auf dieser Seite auch noch Werbung schaltet. Hier ist es übrigens vollkommen egal, ob man damit Geld verdient oder nicht.

Darüber hinaus wird solch ein Zertifikat ja auch für ein DSGVO-konformes Kontaktformular benötigt. Welches im SUF übrigens auch nicht richtig programmiert ist, da es dort eine Checkbox geben müsste, mit welcher man bestätigt, dass man die Datenschutzerklärung akzeptiert hat. Diese muss zudem noch "unchecked" sein, sprich den Haken muss zwingend der User setzen. Ansonsten ist auch hier Ärger vorprogrammiert.

Wie einer der User ja hier schon schrieb, ist das bei einer "gut gepflegten" Webseite eine Sache von unter fünf Minuten und Geld kostet dieses Zertifikat dank Let's Encrypt auch nichts.

Somit ist der Vorwurf der Bastelei vollkommen gerechtfertig und das man durch diese sträfliche Unterlassung seine User in Gefahr bringt, ebenfalls.

JMHO

Ich bin froh, dass ich mich nicht so unsicher fühle wie Du, aber eines verstehe ich nicht: warum meldest Du Dich hier an, wenn Du in eine solche Gefahr kommen kannst? Und warum meldest Du Dich nicht umgehendst ab?

Manche Dinge muss man nicht verstehen. Würde ich mich hier derart gefährdet sehen, sähe man von mir hier bloß noch einen Kondensstreifen.

Ich verstehe von der ganzen Sache nur Bahnhof.
Was wäre denn das Schlimmste, das einem hier passieren könnte?
...und geht bitte für einen Moment davon aus, dass ich nix von Informatik verstehe und mit 99% aller Akronyme nichts anfangen kann :)

Nun ja

im schlimmsten Falle hast du einen Trojaner auf dem Pc welcher deinen Netzwerkverkehr deiner Netzwerkkarte mitlist loggst du dich z.B. irgendwo ein und es gibt kein HTTPS, dann überträgt die Netzwerkkarte dein Passwort an die Website über 1-3 DNS Server und du wirst eingeloggt, kennt aber einer z.B deine IP du hast keine Firewall, oder SIcherheitslücken im Router oder jemand hackt sich von außen in dein Wlan und oder ein Trojaner liest deinen Traffic mit dann bekommen die auch dein Passwort im Klartext


HTTPS ist wie eine Schützhülle für dein Passwort quasi fliegt es dann nicht einfach so im web herum sondern bekommt einen nennen wir es mal grünen Tunnel bis zur Website und die Hülle ist ein Passwort Hash, das kann AES sein, SHA1 oder nur MD5 je nach dem welches Cert man hat wie sicher es ist usw - wenn dann jemand deinen verkehr mitliest bekommt er dann nicht dein Kennwort "Hase0219" zu sehen sondern sowas: "6a51895d71dbd0080269d369661d21c9ac1b27d2" du wirst feststellen das es sehr schwierig sein wird daraus dein Passwort zu bekommen

EIn HTTPS Zertifikat soll dazu noch die Identität der Website bestätigen und kann auch dann nur auf die entsprechende domain ausgestellt werden, zudem muss es jährlich erneuert werden sprich, würde ich eine fake sony userforums Seite bauen und mit link spoofing arbeiten, könnte ich diesen nicht mit https angeben weil ich schlichtweg nicht der Besitzer der DOmain bin!

im schlimmsten Falle also klaut dir jemand dein Passwort samt Usernamen hier, nun postet er Viagra Werbung in Threads, was noch das harmloseste wäre, er könnte auch Kameras verkaufen mit deiner guten Reputation und so geld kassieren. im worst case aber hast du dieses Passwort schon auf deiner online Banking seite verwendet oder im mediamarkt Payback etc oder schlimmer noch email, somit loggt der ANgreifer sich in dein Mail Postfach ein und hat dann Zugriff zu all deinen Account s

schlimm aber möglich

dazu kommt eben noch die Geschichte das ohne nicht DSGVO konform ist und google Seiten ohne bei den google Suchergebnissen weit weit zurückstellt

EDIT

Das Vbulletin also die Forensoftware scheint auch noch veraltet zu sein

Moin Dominik,

alle Daten, die Du in Richtung SUF schickst bzw. vom SUF empfängst, werden unverschlüsselt, also im Klartext, durch das Internet geschickt. Das betrifft nicht nur den Inhalt Deiner Postings, sondern auch Deine Accountdaten inkl. Passwort, die PNs, die Du schreibst oder liest, Teile Deiner Verbindungsdaten etc. pp. Unter diesen Daten sind jede Menge Daten, die der Gesetzgeber eindeutig als personenbezogene Daten wertet, und die der DSGVO unterliegen.

Dadurch, dass Du nicht direkt mit dem SUF kommunizierst, sondern die Daten durch das Internet über viele Zwischenstellen transportiert werden müssen, können diese Daten an jeder Zwischenstelle mitgelesen und gespeichert werden.

Die DSGVO, die nach einer zweijährigen Übergangsfrist Ende Mai letzten Jahres rechtsverbindlich wurde, schreibt vor, dass Systeme, die personenbezogene Daten verarbeiten, "privacy by design" und "privacy by default" bieten müssen, insbesondere, wenn der Aufwand gering und die Technik dafür schlicht und ergreifend weit verbreitet ist. Daher kann ich fuexline nur vollkommen zustimmen, dass der Zustand hier ein sehr bedenklicher ist.

Es mag aufgrund der mangelnden Pflege und Weiterentwicklung der Systeme keine 5min-Sache mehr sein, um hier eine verschlüsselte Verbindung anzubieten, aber das Argument, dass es sich hier um eine ehrenamtliche Tätigkeit der Vereinsmitglieder handle, ist nicht stichhaltig und wird wenig Gehör finden. Es reicht nicht, einmalig Verantwortung zu übernehmen, sondern man muss Verantwortung auch aktiv und dauerhaft tragen. Dazu benötigt es auch Engagement und Freude an der Aufgabe. Die Präsenz mancher Teammitglieder spricht allerdings eine andere Sprache.


Dat Ei

HTTPS ist wie gesagt in 10 min integriert, HTTPS Mod für VB installieren, vorher lets encrypt zert im Webhosting panel anlegen und Seite dauerhaft mit 403 an https binden dann Mod aktivieren der Rest ist n Selbstläufer

An den 10min habe ich meine Zweifel, da hier mehrere, verschiedene Programmpakete zum Einsatz kommen, die miteinander verwoben wurden und in denen gegenseitige Aufrufe stecken. Allein für eine gescheite Analyse wirst Du ein vielfaches von 10min investieren müssen. Und wir reden hier von einem Live-System und nicht von einem Testsystem.


Dat Ei

das ist n Vbulletin FOrum das hat ne all in One Struktur intern werden alle links auf https geschaltet sofern der Server dann https weiterleitet ists passiert da brauchts wahrlich keine Analyse die Forensoftware selbst bietet schon ein HTTPS Plugin an

klar in den X Min wird das Forum nicht erreichbar sein weshalb man sowas nachts um 3 macht

Du hast hier 4images und weitere händisch programmierte Erweiterungen am Start. Sag ich Dir mal so als ehemaliger Mitbegründer und Betreiber des Forums... ;)


Dat Ei

okay

wenn die erweiterung nicht das url Framework vom VB nutzt muss man in der Tat händisch alle http Links in https umwandeln - sind dann auch nochmals 10 min Aufwand, was mit 4 Images gemeint ist daraus werde ich nicht schlau

Dann war Deine Analyse des Systems und des Aufwands wohl nicht hinreichend.


Dat Ei

Ich ging von einem VB mit einer externen Erweiterung aus

bin mir aber sicher das wenn ein versierter Mensch drüber schaut es in ner Naht und Nebel Aktion richten kann

Ich habe die Hoffnung, dass es ein versierter und erfahrener Mensch nicht in einer Nacht- und Nebelaktion macht.


Dat Ei

am Vortag ein Backup machen und dann loslegen

Ich selbst habe schon größere Foren migriert, wenn geld keine ROlle spielen würde, würde ich ja das XENFORO nehmen und darauf migrieren da das so gut wie alle Features und Erweiterungen wie Objektivdatenbank usw hätte

So ist es leider, sind wohl ein paar sogenannte Dateileichen dabei. :roll:

Ich danke euch beiden. Das war in Summe verständlich und ich konnte aus euren ausführlichen Beiträgen das für mich Relevante extrahieren :top:

Vielleicht weil ich ein Philanthrop bin und andere Mitmenschen durch Aufklärung vor Schaden bewahren möchte.


Es ist eine wahre Freude Deine Beiträge zu lesen. Jemand der Ahnung von der Materie hat und zudem kein Blatt vor den Mund nimmt. Bitte weiter so!


4Images hat meines Wissens nach die letzte Aktualisierung in 2016 erfahren. Somit wurde dort vor drei Jahren zuletzt etwas in Hinblick auf Security, PHP-Kompatibiltät und DSGVO-Konformität getan. Und jeder vom Fach weiß, dass drei Jahre in der Informatik eine verdammt lange Zeit ist ...


Wenn ein Admin seit dem 20.05.2016 / 09:31 nicht mehr angemeldet gewesen ist, kann man wohl getrost von einer "Karteileiche" sprechen :-)


P.S: Ein Multi-Quote - wie in allen modernen Foren - wäre für diese Form der Antwort wesentlich angenehmer ;-)

P.P.S: Mag jemand Wetten annehmen, wann dieser Thread gelöscht wird oder der eine oder andere User für seine Ehrlichkeit mit einer Sperre belohnt wird?

Da halte ich locker dagegen - ich vermute so kindisch ist hier niemand...

Jetzt möchte ich mich gern mal einschalten.
Bisher war es sachlich, jetzt wird es blöd. Lass das bitte.

Ja, die Zuständigen könnten mal technisch mehr in die Puschen kommen. Das wissen die auch und es ist immer mal wieder Thema.
Ja, es könnte BALD sein. Und ja, ein bisschen schneller wäre auch gut.
Dazu bräuchten sie mehr aktive Moderatoren mit Ahnung von der Board-Technik und ZEIT vor allem. Alles Dinge, die stimmen und die man immer mal wieder in die Rippen pieken kann.

Aber es ist gottseidank seit langer Zeit nicht mehr so, dass man für ehrliches Wahrheitsagen und "direkte Rede" ein Schloss oder eine Sperre bekommen hat, da sind sie fair. Und da bin ich froh drum, denn es war mal anders.

Vielleicht schaffen wir es hier ja, eine fruchtbare Diskussion zu behalten, ohne solche Hiebe.

also ja Meinungstechnisch ist das Team hier absolut fair!!

müssten halt nur technisch in die Gänge kommen

Du liest hier scheinbar noch nicht wirklich lange mit. Speziell die Moderation jenseits des "Weißwurst-Aquätors" war da in der Vergangenheit teilweise rigoros und mit dem Löschen von Beiträgen ziemlich schnell dabei. Kurzum, ich habe hier schon viele Threads im Orkus verschwinden sehen und dies zumeist genau dann, wenn es gerade spannend wurde :-)

Bestimmt juckt es den einen oder anderen auch jetzt im Moment schon wieder unter der orangenen jacke ;-)

@Dana: Mit dem "blöd sein" haben hier jetzt aber andere viel eher angefangen. Ich war bisher auch sachlich und dies trotz der Tatsache, dass man mich der Türe verwiesen hat ;-)

Jetzt wird es spannend

da du ja gerade zugegeben hast quasi Hausverbot zu haben wird es nicht lange dauern bis du na ja gekickt wirst

sag uns vorher wenigstens noch wie dein username damals lautete - ich bin nur neugierig

Da muss ich Dich leider enttäuschen. Ich bin hier tatsächlich seit 2008 angemeldet und lese in aller Regel auch nur mit. Ab und an erweckt ein Thema mein Interesse und dann melde ich mich an. Vermutlich handhaben dies viele hier ganz genauso.

Und mein Username lautete immer schon "Guy Fawkes", da ich ein sehr großes Fan des Films "V for Vendetta" bin.

Nun hoffe ich, dass Du nicht zu sehr enttäuscht bist ;-)

nein absolut nicht - und der Film ist klasse

Vielen Dank für Deine Erklärung :top:
Ich muss unumwunden zugeben, dass sogar ich diese verstanden habe ;)

Oft ist es so, dass man in diesem Syntax so sehr drin ist, dass man überhaupt keine anderen Wort findet, aber Dir es das sehr gut gelungen. :beer:

Stimmt - ich bin erst seit 3 Jahren "dabei" und empfinde das Forum als wohltuend angenehm. Nicht übermoderiert, meist nicht zu agressiv von Seiten der User - einfach: angenehm und immer lehrreich...

Ich komme ja hauptsächlich aus der IT und kenne es das oft ältere Leute zu mir kommen und das ganze - so sagen sie immer "für dumme" erklärt haben möchten. ich versuche dann Analogien zu finden die aus dem täglichen leben stammen damit die Menschen eine Vorstellung davon bekommen was gemeint ist.

wie gesagt da,it eine sichere Verschlüsselung seitens HTTPS gegeben ist benötigt man:

1. Webserver/Webhosting welcher eine SSL Anfrage stellen kann
2. einen Zertifikat Aussteller der die Anfrage nimmt und einen gegenschlüssel generiert

sofern die Anfrage mit der Zustellung übereinstimmt wird das Zertifikat ausgestellt das quasi einen Schlüssel beider darstellt ruft nun jemand die website auf fragt der Browser erst einmal "hey sag mal hat der Austeller von dir die Identität bzw Anfrage der Website bestätigt? - in der Regel sagt der Server dann ja schau hier mein zertifikatschlüssel ausgestellt von xyz" also sagt der Browser dann - sehr cool ich schreibe oben neben dem HTTPS ein OK und stelle den Inhalt dar" - sofern dann eine Login Form kommt oder eine Registrierung merkt der Browser natürlich das HTTPS oben und schickt die Daten dann durch einen gesicherten Port bzw Tunnel an die Website, innerhalb des Tunnels dann befindet sich Kauderwelsch anstelle alles andere im Klartext.

mit dem Kauderwelsch kann halt keiner was anfangen

es gibt aber auch unter den Zertifikaten weniger starke und starke, und ein schwaches SSL Zertifikat kann auch geknackt werden - die gibts aber eher selten und basieren auf alte Verschlüsselungsmethoden aktuelle Zertifikate nutzen AES - SHA1 also salted hashes gelten aber aktuell als so halb halb geknackt.

Gerade bei einer so großen Community mit vielen Usern Passwörtern etc ist also eine Verantwortung gegeben diese zu schützen - früher war das alles schwerer, ich erinnere mich an 2005 wo Plesk als Web Panel eine Seuche war das WIndows Vista aller Panels, Confixx geknackt wurde von einem bekannten von mir und PHP5 gerade so im kommen war

Heute ist vieles einfacher vorgefertigt und es gibt massig Tutorails im netz, auch iM bereich der Forensoftware hat sich viel getan.

Wenn es also am Geld liegen sollte, könnte man über so ne Art Spendensammlung für das bestehen des Forums nachdenken 350 EUR sollten dabei schon locker ausreichen um programmierer zu holen Webdienstleister die das dann alles machen und fixen

oder 2-3 IT erfahrene User schauen sich das an!

aber eine Lösung sollte her

eigentlich sollte es längst im vordringlichen Interesse der Betreiber (und der Nutzer) sein - und das nicht erst seit diesem Thread. Die in der Tat eklatanten Mängel könnten böse Folgen haben - auch und gerade für den Betrieb und die Betreiber.

Vor allem alle anderen Foren die ich sonst noch besuche haben alle die "Veschlüsselung", selbst das doch kleinere DHK- Fotoforum.
Also warum ist es hier nicht machbar?

Ja, das ist eine Sache, die ich mich auch schon lange Frage.

Die Forensoftware hier ist mehr als alt und auch nicht mehr komfortabel. (Was z.B. das Bilder einbinden angeht).

Einige Foren sind sogar wegen der DSGVO ganz offline gegangen, wir haben im T4Forum
auch aktuell auf eine neue Forensoftware umgestellt.

Ist viel Arbeit, muss man aber halt mal machen.

Also bevor das Forum Offline geht, um den akteullen Anforderungen der IT-Fanatiker hier nicht entsprechen zu müssen, wäre mir es lieber alles so zu belassen wie es ist - selbst wenn ich mich dadurch einem völlig unüberschaubarem Sicherheitsrisiko aussetze. Das würde ich riskieren...

Das Problem, warum diese Seiten Offline gegangen sind, war vielmehr, das der Betreiber das rechtlichre Risiko nicht eingehen wollte.

Was der User an der Stelle bereit ist einzugehen ist da völlig irrelevant.