Hallo liebes Forum

Warum hat das SUF null HTTPS Unterstützung?

Gibts da in Naher Zukunft eine Änderung?

Gruss

Wozu? Es ist ein öffentliches Forum, das eh jeder lesen kann. Was willst du da verschlüsseln?

Wozu? Es ist ein öffentliches Forum, das eh jeder lesen kann. Was willst du da verschlüsseln?

Die Passwörter beim Login.

Zumindest das wäre durchaus sinnvoll, stimmt.

Die Passwörter beim Login.

Und was hast Du davon? Im schlimmsten Fall klaut mir einer mein Passwort und schreibt unter meinem Namen Unfug. Dann ändere ich halt das Passwort, und mache den Unfug weg. Und man nimmt ja bei der Seite ein anderes Passwort...
Beim Banking/Ebay/Shops sehe ich das deutlich unentspannter, aber bei 'nem Forum? Nebenbei kostet so ein Zertifikat auch Geld, das Hosting ist auch so teuer genug...
Andreas

Schutzmaßnahmen sollten immer in angebrachter Relation zum Nutzen stehen. Ich weiss zwar nicht, wie oft hier im SUF Accounts gehackt und Schabernack damit getrieben wird. Ich schätze aber, dass wegen zu geringer Nützlichkeit so etwas eher selten vorkommt. Übrigens: https alleine ist nicht besonders sicher.

Gruß,
raul

Aber ohne https können die Logins ohne großen Aufwand an jeder Stelle der Verbindung mitgelesen werden.
Zudem hast hier im Forum nicht nur die Möglichkeit, öffentliche Postings zu schreiben, es gibt auch persönliche Nachrichten und der Zugriff darauf ist schon schützenswert. Insofern wäre der PN Bereich auch sinnvoll per https zu schützen.

und schreibt unter meinem Namen Unfug.

Genau. Hatte ich schon immer mal vor... :D Z.B. unter Deinem Account eine Diskussion über Winterreifenpflicht für den ECKLA-Rolly anzetteln oder unter mrrondis account mal so richtig derb über Sony herziehen... Was ein Spass :D.

Beim Banking/Ebay/Shops sehe ich das deutlich unentspannter, aber bei 'nem Forum?

Ich persönlich kaufe und verkaufe hier im Forum deutlich häufiger, als bei Ebay. Ob sich die Kosten für ein Zertifikat lohnen, sei dennoch dahingestellt. Ein von Enthusiasten betriebenes Forum wird nie so sicher sein, wie ein kommerzieller Webshop (und auch solche werden regelmäßig gehackt).

Aber ohne https können die Logins ohne großen Aufwand an jeder Stelle der Verbindung mitgelesen werden.
Wenn man denn erst mal Zugriff auf die Verbindung hat. Also z.B. die Glasfaser ausbuddelt, unbemerkt auftrennt und sich dazwischenhängt, oder beim Provider einen Switch anzapft. "Ohne großen Aufwand" stell ich mir anders vor.

Dann ändere ich halt das Passwort, und mache den Unfug weg.
Wenn ich Dein Passwort knacke, dann ändere ich als erstes Dein Kennwort. DAS Kennwort knackst Du nicht mit Hausmitteln. Dann machst Du alles mögliche, nur nicht den Unfug weg. :crazy:
"Ohne großen Aufwand" stell ich mir anders vor.
Geht viel einfacher, wenn Du Dich an einen Knoten hängst. Einen Zugriff auf die physische Leitung brauchte man zu Analogzeiten.

Wenn ich Dein Passwort knacke, dann ändere ich als erstes Dein Kennwort.
Wenn jemand vermeiden will, daß das geknackte Konto auffliegt, wird er so wenig wie möglich in Erscheinung treten und deshalb nach Möglichkeit gerade nicht an den Zugangsdaten herumfummeln. Ich weiß nicht, wie das bei vBulletin implementiert ist, aber normalerweise sollte bei Änderungen an Passwort und/oder E-Mail-Adresse auf jeden Fall eine Benachrichtigung an die hinterlegte (bisherige) Adresse rausgehen. Dann alarmiert der legitime Inhaber einen Admin und läßt das Konto zurücksetzen bzw. bis zur Klärung der Sache stillegen.

Bei GMX sind ja vor einiger Zeit mehrere Tausend Passwörter geklaut worden (dagegen hilft dann auch kein SSL...). Die Täter haben erst mal gar nichts gemacht, bis sich die Wogen geglättet haben, und dann von den betroffenen Accounts Spam an alle Adressen im Adressbuch verschickt, anschließend den Ordner "gesendete Nachrichten" säuberlich aufgeräumt, damit sie keine Spuren hinterlassen, aber das Passwort schön in Ruhe gelassen.

Geht viel einfacher, wenn Du Dich an einen Knoten hängst.
Auch dazu braucht man Zugriff auf die Infrastruktur des Betreibers.

Auch dazu braucht man Zugriff auf die Infrastruktur des Betreibers.

Den haben viel mehr als einem lieb sein kann. Das gilt insbesondere (aber nicht nur), wenn man aus dem Ausland (Urlaub?) mal eben auf das SUF zugreifen will. Allen voran drängen sich da unsere speziellen "Freunde" in Amiland, GB und inzwischen auch Australien auf (und wer jetzt mit "ich hab doch nichts zu verbergen" oder "was wollen die schon mit meinen Daten?" kommt, der hat wirklich nichts kapiert).
Aber auch ganz banal WLANs im Hotel oder im Straßencafe sind grundsätzlich als unsicher zu betrachten.

Insofern sollte inzwischen alles was mit Logins, Passwörtern, e-mail Adressen und persönlichen Nachrichten im allgemein zu tun hat eigentlich wie selbstverständlich nur noch über verschlüsselte Verbindungen laufen.

Naja ... wenn ich im Urlaub bin oder im Café mit ungesichertem WLAN sitze, muß ich ja nicht ausgerechnet dann ins Forum. Ich seh hier nichts, was so dringend wäre, daß es nicht bis zu Hause warten könnte. Das erspart auch das Gefummel mit den Galerie- und Zitat-Buttons und den sinnentstellenden Krampf mit der Autokorrektur.

Genau. Hatte ich schon immer mal vor... :D Z.B. unter Deinem Account eine Diskussion über Winterreifenpflicht für den ECKLA-Rolly anzetteln oder unter mrrondis account mal so richtig derb über Sony herziehen... Was ein Spass :D.

Jawollloooooooooo :-))

Wozu? Es ist ein öffentliches Forum, das eh jeder lesen kann. Was willst du da verschlüsseln?
Nun, eine Zuordnung, wer was wann liest, wäre über eine verschlüsselte Verbindung nicht möglich. Passwörter und Logins wären nicht mehr ausspähbar; Persönlichkeitsprofile nicht detailliert ergänzbar.

Z.B.: Ein SUF-User, der zu Recherchezwecken o.ä. Webseiten militanter Gruppen besucht interessiert sich für leistungsstarke Teleoptiken, Kameras mit APS-C-Sensor und Bildstabilisierung. Er besucht auch andere Fotoforen mit genau diesem Interesse.

Was wäre in dieses Verhalten interpretierbar?

:roll:

Ich weiß immer noch nicht, was die Verschlüsselung da nützen soll. Es kann doch jeder auf http://www.sonyuserforum.de/forum/online.php sehen, was du gerade machst.

Aus der Nummer kommst du nur raus, indem du solche Aktionen an verschiedenen Tagen von verschiedenen Rechnern aus über verschiedene Internet-Provider machst und dich am besten gar nicht erst als Benutzer in irgendwelchen Foren registrierst. Dann gibt es aber wiederum auch kein Passwort, das bei einer unverschlüsselten Verbindung ausgespäht werden könnte.

....Es kann doch jeder auf http://www.sonyuserforum.de/forum/online.php sehen, was du gerade machst....

Moin,

definitiv Nein.

Auf diese Seite können nur registrierte und auch angemeldete User zugreifen.


Im Übrigen prüfen wir die Möglichkeit, https einzusetzen, aber ich kenne kein Fotoforum, dass https verwendet.

Auf diese Seite können nur registrierte und auch angemeldete User zugreifen.
Und? Kann sich denn nicht jeder im Forum registrieren? Von den 42000 registrierten Benutzern haben rund 60% noch keinen einzigen Beitrag geschrieben, aber irgendeinen Grund für die Anmeldung werden sie ja wohl gehabt haben.

Im Übrigen prüfen wir die Möglichkeit, https einzusetzen, aber ich kenne kein Fotoforum, dass https verwendet.
Mein Reden. Es ist ja kein Hexenwerk, sondern einfach eine Kostenfrage, weil man diese dusseligen Zertifizierungsstellen bezahlen muß. Ein selbstsigniertes Zertifikat ginge natürlich auch, aber dann hättet ihr wieder den Support für die Benutzer an der Backe, die das nicht ohne fremde Hilfe installiert kriegen. Ich sehe da insgesamt in erster Linie Aufwand ohne großen Nutzen.

Zur Sicherheit gehören immer mehrere Faktoren dazu und die Verschlüsselung der Übertragung ist ein Baustein. Richtig ist: Man sollte nicht für verschiedene Webdienste das gleiche Passwort verwenden, richtig ist leider auch: Nicht alle halten sich an diese Regel. Richtig ist auch: Man muss "auf der Leitung sitzen" um Nicht-SSL/TLS-Verkehr abzuhören, das ist Aufwand. Richtig ist aber auch: Das ist häufiger der Fall als man meint (Unvorsichtig verwendete offene Wlans, Überwachung beim Arbeitgeber, selbst Home-Router sind gerne Angriffziel wenn diese nicht abgesichtert werden.).

Andere Punkte (Updates der Server- und Forensoftware, Update der Clientsoftware wie Browser, Betreibssystem, Mailprogramm etc) sind mindestens genauso wichtig.

Kurze Reder, langer Sinn: Eine verschlüsselte Verbindung ergibt schon äußerst Sinn, ein Domainvalidiertest Zertifikat sollte aber auf jeden Fall ausreichen.

Wenn jemand vermeiden will, daß das geknackte Konto auffliegt...
Es gibt auch die anderen :D

Auch dazu braucht man Zugriff auf die Infrastruktur des Betreibers.
Die physische ist doch gegeben, sobald man einen Zugang zum Netz hat. Der Rest dürfte bekannt sein. Ich behaupte ja nicht, dass es jeder kann. Die Sicherheitsmaßnahmen von Betreibern sind nicht lückenlos und unterliegen wirtschaftlichen Kriterien.

Bei durchgängig verschlüsselten Seiten gibt es oft ein Problem mit externen Bannern, die direkt oder indirekt unverschlüsselt aufgerufen werden. Dann bekommt der User zumindest Hinweise oder sogar Fehlermeldungen, die man dann ggfs. wieder supporten darf. Die Werbebranche lobt zwar Besserung, aber der Aufwand, wenn das mal irgendwo nicht richtig konfiguriert ist, scheint nicht unerheblich zu sein. Auch wenn wir nicht viele Werbebanner auf unserer Seite haben, müssen wir dieses Thema unter Umständen auch berücksichtigen.
http://www.heise.de/newsticker/meldung/Werbebranche-will-Banner-SSL-verschluesseln-2585265.html

Einen größeren Vorteil für eine Verschlüsselung sehe ich persönlich für ein Fotoforum im Moment noch nicht. Wir diskutieren das Thema aber bereits seit einiger Zeit intern, haben eine höhere Priorität jedoch bisher noch nicht gesehen. Gerne lesen wir Eure Meinungen zu diesem Thema interessiert mit und werden nachvollziehbare sachliche Argumente natürlich in unsere interne Diskussion einbeziehen. Ob und wenn ja wann wir uns für eine SSL-Verschlüsselung entscheiden, ist derzeit noch offen.

Ich gebe auch mal folgendes zu bedenken:
Wer verschlüsselt denn von Euch alle seine Mails durchgängig vom Absender bis zum Empfänger? Da sind sicher oft relevantere Informationen drin, die nicht für die Öffentlichkeit bestimmt sind als in einem Fotoforum, insbesondere natürlich im geschäftlichen Mailverkehr. Nur allgemein durchgesetzt hat sich selbst da eine Verschlüsselung bisher auch noch nicht. Vielleicht auch eine Frage der Wirtschaftlichkeit? Oder doch eher eine Unterschätzung der Gefahr des Ausspionierens von Firmengeheimnissen? Hier sehe ich im Gegensatz zu einem Fotoforum durchaus einen relevanten Vorteil von Verschlüsselung.

Die Idee ist nicht schlecht, wenn der ursprünglich registrierte Nutzer sofort per Mail informiert würde, sollte das Paßwort geändert werden.
So erfährt man wenigstens von einer Änderung.

Eine Verschlüsselung selbst halte ich für nicht zielführend.
Abgesehen von den Kosten, die entstehen, macht sie das Forum
nicht sicherer.

Wer in die Struktur dieser Site will, der kommt
auch rein. Ob mit oder ohne Verschlüsselung.
Da zerbrechen sich tagtäglich die Administration der Banken die Köpfe, wie sie sich vor unberechtigten Zugriffen schützen sollen und bekommen es kaum auf die Reihe.

Ich denke, eine Vollverschlüsselung der gesamten SUF Seite ist auch nicht unbedingt notwendig (zumal das auch eine viel höhere Hardwareanforderung zur Folge hätte).

Sinnvoll fände ich halt, den Login sowie den PN Bereich hinter SSL zu setzen.