Hallo alle zusammen,

wahrscheinlich wurde es schon einmal gefragt, aber die Suche hat mich leider nicht weitergebracht.

Warum ist im trojaner board keine Anmeldung / Nutzung über https möglich?

Selbst wenn man den Nutzen in Frage stellt ist dies heute doch kein großer Aufwand mehr. Zertifikate gibt es kostenlos und https wird immer mehr zum Standard.

Ehrlich gesagt bin ich überrascht, dass gerade ein Forum, dass Sicherheitsaspekte rund um die IT diskutiert darauf verzichtet...

Servus,


diese Frage wurde bereits vor Monaten intern an die Forumsleitung herangetragen.

Da unsere Admins allerdings momentan sehr wenig Zeit haben, kann ich dir keine Antwort darauf geben, wann es eine "Umstellung" auf https geben wird.

Vielen Dank für die Rückmeldung MKDB!

Zeitmangel als Grund kann ich gut verstehen. Geht mir oft genug ähnlich ;-).

Vielen Dank für eure gute Arbeit!

Hi,

mir fällt da jetzt mindestens ein Problem bei HTTPS ein.

Und zwar sind hier viele Beiträge, in den denen stinknormal per HTTP Bilder verlinkt sind per IMG-Tags. Zumindest der Firefox warnt und meckert dann, dass dann nicht alle Elemente SSL-verschlüsselt übertragen werden und das kann einige Laien hier ziemlich verunsichern.

Hi Cosinus,

ja, dass könnte tatsächlich passieren. Allerdings könnte man:

a) nur den Login über https absichern oder

b) die Meldung im Firefox zum Anlass nehmen die Besucher bezüglich ssl / https aufzuklären, was ja thematisch zur Zielsetzung des Boards passen würde ;-)

Bin mal gespannt was kommt... :-)

Gerade gelesen: https://www.bleepingcomputer.com/news/software/firefox-51-to-show-better-warnings-when-logging-in-via-insecure-http-pages/

Offensichtlich wird Firefox ab Version 51 sehr deutlich den Nutzer vor der Anmeldung warnen wenn kein https benutzt wird...

Also das was Chrome schon die ganze Zeit über macht mit "Sicher" und "Nicht sicher" in der Adresszeile

Die Meldung kommt aber nur, wenn man sich auf einer https Seite einloggen will, die ein abgelaufenes oder ungültiges Zertifikat hat oder die Seite selbst Daten aus nicht verschlüsselten Quellen bezieht (wie M-K-D-B erwähnt hat)

Zitat:

Zitat von burningice

Die Meldung kommt aber nur, wenn man sich auf einer https Seite einloggen will, die ein abgelaufenes oder ungültiges Zertifikat hat oder die Seite selbst Daten aus nicht verschlüsselten Quellen bezieht (wie M-K-D-B erwähnt hat)

Hi,
das stimmt so nicht (siehe Link in meinem letzten Post). Das was du beschreibst hat der Firefox schon lange gemacht. Ab Version 51 wird explizit davor gewarnt wenn man ein Passwort auf einer Seite mit einer einfachen http Verbindung eingeben will.

Das ist neu! Außerdem scheint - den Bildern nach zu urteilen - die Warnung nicht nur in der Adresszeile sondern sogar direkt unter dem Passwortfeld eingeblendet zu werden.

Hier sonst auch auf deutsch:

https://www.heise.de/newsticker/meldung/Firefox-51-warnt-vor-unsicheren-Log-ins-3606572.html

Da bin ich ja mal gespannt wie viele tatsächlich zumindest ihre logins dann mit https absichern werden.

Wenn man Heise so liest findet man regelmäßig Horrornachrichten was Zertifikate und SSL angeht

Zitat:

Zitat von kedanli

Gerade gelesen: https://www.bleepingcomputer.com/news/software/firefox-51-to-show-better-warnings-when-logging-in-via-insecure-http-pages/

Offensichtlich wird Firefox ab Version 51 sehr deutlich den Nutzer vor der Anmeldung warnen wenn kein https benutzt wird...

Ich hab jetzt hier Firefox 51 und mich just hier eingeloggt. Eine Warnung vom Browser wegen kein HTTPS beim Login oder so gabs nicht.

Was angedroht wurde, ist jetzt beim Firefox 52 offensichtlich umgesetzt worden

Zitat:

Zitat von cosinus

Was angedroht wurde, ist jetzt beim Firefox 52 offensichtlich umgesetzt worden

Oh ja: jedes Mal beim Einloggen wenn ich das Passwort eingeben muss, warnt der Feurfuchs

Stimmt. Ist ja auch nicht ganz falsch.

HTTPS gaukelt in Teilen auch nur Sicherheit vor. Es schützt den Transportweg und mehr nicht. Wenn man Malware auf dem Rechner hat hilft es nichts. Wurde der Server gehackt hilft es auch nichts. Natürlich hat man auch dann für diesen Webserver unwichtige und vor allem abweichende Passwörter zu allen anderen Accounts vor allem dem E-Mail-Account zu verwenden. Aber natürlich macht es Eindruck ein SSL-Zertifikat vorweisen zu können und zeigt etwas mehr Professionalität. Interessanter wäre ob die Forensoftware und der Server selbst wohl aktuell ist. Auch wie viele Administratoren es gibt und wie man generell mit der Administration umgeht (z.B. Filezilla bzw. Putty unter Windows oder eher sicherheitshalber per Linux? Eigener Server? SSH-Keys?, ...)