https Ameldung auf Trojaner Board
 

Hallo alle zusammen,

wahrscheinlich wurde es schon einmal gefragt, aber die Suche hat mich leider nicht weitergebracht.

Warum ist im trojaner board keine Anmeldung / Nutzung über https möglich?

Selbst wenn man den Nutzen in Frage stellt ist dies heute doch kein großer Aufwand mehr. Zertifikate gibt es kostenlos und https wird immer mehr zum Standard.

Ehrlich gesagt bin ich überrascht, dass gerade ein Forum, dass Sicherheitsaspekte rund um die IT diskutiert darauf verzichtet...

Servus,


diese Frage wurde bereits vor Monaten intern an die Forumsleitung herangetragen.

Da unsere Admins allerdings momentan sehr wenig Zeit haben, kann ich dir keine Antwort darauf geben, wann es eine "Umstellung" auf https geben wird.

Vielen Dank für die Rückmeldung MKDB!

Zeitmangel als Grund kann ich gut verstehen. Geht mir oft genug ähnlich ;-).

Vielen Dank für eure gute Arbeit!

Hi,

mir fällt da jetzt mindestens ein Problem bei HTTPS ein.

Und zwar sind hier viele Beiträge, in den denen stinknormal per HTTP Bilder verlinkt sind per IMG-Tags. Zumindest der Firefox warnt und meckert dann, dass dann nicht alle Elemente SSL-verschlüsselt übertragen werden und das kann einige Laien hier ziemlich verunsichern.

Hi Cosinus,

ja, dass könnte tatsächlich passieren. Allerdings könnte man:

a) nur den Login über https absichern oder

b) die Meldung im Firefox zum Anlass nehmen die Besucher bezüglich ssl / https aufzuklären, was ja thematisch zur Zielsetzung des Boards passen würde ;-)

Bin mal gespannt was kommt... :-)

Gerade gelesen: https://www.bleepingcomputer.com/news/software/firefox-51-to-show-better-warnings-when-logging-in-via-insecure-http-pages/

Offensichtlich wird Firefox ab Version 51 sehr deutlich den Nutzer vor der Anmeldung warnen wenn kein https benutzt wird...

Also das was Chrome schon die ganze Zeit über macht mit "Sicher" und "Nicht sicher" in der Adresszeile

Die Meldung kommt aber nur, wenn man sich auf einer https Seite einloggen will, die ein abgelaufenes oder ungültiges Zertifikat hat oder die Seite selbst Daten aus nicht verschlüsselten Quellen bezieht (wie M-K-D-B erwähnt hat)

Hi,
das stimmt so nicht (siehe Link in meinem letzten Post). Das was du beschreibst hat der Firefox schon lange gemacht. Ab Version 51 wird explizit davor gewarnt wenn man ein Passwort auf einer Seite mit einer einfachen http Verbindung eingeben will.

Das ist neu! Außerdem scheint - den Bildern nach zu urteilen - die Warnung nicht nur in der Adresszeile sondern sogar direkt unter dem Passwortfeld eingeblendet zu werden.

Hier sonst auch auf deutsch:

https://www.heise.de/newsticker/meldung/Firefox-51-warnt-vor-unsicheren-Log-ins-3606572.html

Da bin ich ja mal gespannt wie viele tatsächlich zumindest ihre logins dann mit https absichern werden.

Wenn man Heise so liest findet man regelmäßig Horrornachrichten was Zertifikate und SSL angeht :eek: :balla:

Ich hab jetzt hier Firefox 51 und mich just hier eingeloggt. Eine Warnung vom Browser wegen kein HTTPS beim Login oder so gabs nicht. :kaffee:

Was angedroht wurde, ist jetzt beim Firefox 52 offensichtlich umgesetzt worden :D

Oh ja: jedes Mal beim Einloggen wenn ich das Passwort eingeben muss, warnt der Feurfuchs:blabla:

Stimmt. Ist ja auch nicht ganz falsch.

HTTPS gaukelt in Teilen auch nur Sicherheit vor. Es schützt den Transportweg und mehr nicht. Wenn man Malware auf dem Rechner hat hilft es nichts. Wurde der Server gehackt hilft es auch nichts. Natürlich hat man auch dann für diesen Webserver unwichtige und vor allem abweichende Passwörter zu allen anderen Accounts vor allem dem E-Mail-Account zu verwenden. Aber natürlich macht es Eindruck ein SSL-Zertifikat vorweisen zu können und zeigt etwas mehr Professionalität. Interessanter wäre ob die Forensoftware und der Server selbst wohl aktuell ist. Auch wie viele Administratoren es gibt und wie man generell mit der Administration umgeht (z.B. Filezilla bzw. Putty unter Windows oder eher sicherheitshalber per Linux? Eigener Server? SSH-Keys?, ...)

Natürlich gibt es noch einiges mehr. Ich sag nur AV-Software. Ist ja quasi genau das gleiche. Das allein reicht eben nicht aus.

Aber (ok, hier kann man sich bei AV-Software dann drüber streiten, gell cosinus? :-p :-P) lieber https und immerhin einen Teil der möglichen Sicherheit verstärkt als komplett ohne :)

Was soll das denn heißen, du tust ja so, als ob das total unwichtig sei, den Transportweg nicht zu verschlüsseln :wtf:


Das ist ein völlig anderes Thema. Und nur weil man Malware auf dem System haben könnte ist das kein Argument für die Aussage, dass HTTPS nur Sicherheit vorgaukele :balla:


Behauptet denn hier jmd was anderes??!
Davon mal ab ist das TB nicht gehackt!

https wäre echt eine gute Sache.

Ich muss mal DaGuru fragen, wenn er wieder vorbeischaut.

Ich kann mich noch daran erinnern, dass das TB mal durch eine DDoS-Attacke lahmgelegt wurde... :)
Den Autoren des BKA-Trojaners war das damals ein Dorn im Auge :D

wäre echt wünschenswert.:applaus:

Hallo zusammen!

Eigentlich wäre es nicht einmal so aufwändig dies einzurichten (ca. 15 minuten). Gemäss DNS-Check sehe ich, dass TB beim Hoster kasserver.com gehosted wird. Der hat auf seiner news seite folgendes geschrieben:

Da könntet Ihr das SSL-Zertifikat innert 2 Minuten Installieren. Mit einem Eintrag in der .htaccess Datei könntet ihr dann alle HTTP anfragen auf HTTPS umleiten. Somit würden ja auch Verlinkungen weitergeleitet werden (nehme ich mal an). Der Code könnte wie folgt lauten:

Zur Sicherheit sollte man noch den folgenden Code-Schnipsel zuoberst in der .htaccess platzieren, damit die Verlängerung des Lets Encrypt Zertifikats immer klappt:

Also müsste es schlussendlich so aussehen in der .htaccess

Gruss 0belix

hat ja auch niemand behauptet, dass es schwer oder zeitaufwändig ist :D

trotzdem muss es jemand machen, der dazu auch die Berechtigung hat

Hi burningice

Naja behauptet wurde es schon irgendwie im 2. Post von M-K-D-B :)

und das es schwer ist habe ich auch nicht behauptet :D Schlussendlich geht es ja um die Sicherheit die uns allen am Herzen liegt ;)

Es wurde geschrieben, dass die Admins keine Zeit haben, das ist schon etwas anderes.

Nun seht :blabla: Still und heimlich wurde es eingeführt :D

--> https://www.trojaner-board.de

jaaajaaa aber dann hier böse Dinge posten :D

https://image.prntscr.com/image/HNl9...pJedDgpzMg.png

Genau davor hatte ich doch gewarnt :wtf:

KLASSE :daumenhoc

Kann man das nicht unterbinden oder HTTP-Links in HTTPS umwandeln? Wenn die Seite zu der verlinkt wird, kein HTTPS hat, dann funktioniert der Link halt nicht.:confused:

Dann wird halt ein Großteil der Bild ernicht mehr angezeigt :balla:
Ergibt doch keinen Sinn, die Meldung, dass bestimmte Elemente nicht per HTTPS übertragen bezieht sich dann ja auch nur auf diese Bilder. Der traffic zwischen dem User und dem TB geht über HTTPS.

Wen die Meldung verunsichert, der guckt sich das Bild halt nicht an. Dabei handelt es sich doch nur um Mitleser.
Ich finde es auf jeden Fall super, dass dieser Plan jetzt umgesetzt wurde!

naja, es wird oben nur in der Adresszeile ein Ausrufezeichen noch gezeigt. Und wie gesagt alles was auf dem TB liegt wird verschlüsselt übertragen, nur die per http verlinkten Bilder auf fremden Servern nicht.

Vllt. sollte man da mal fairerweise explizit darauf hingewiesen werden, wenn man so einen Inhalt anklickt. Machen andere Seiten ja auch wenn von verschlüsselter zu unverschlüsselter Verbindung gewechselt wird. :pfeiff:

nun übertreib mal nicht :p
Es reicht wenn das TB verschlüsselt ist, es ging ursprünglich nur darum, dass die Logindaten nicht mehr per plain-http gesendet werden. :kloppen:

Ja klar, dass ist das wichtigste:applaus:. Jedoch wenn Hinz und Kunz zu unseriösen Seiten oder gefährlichen Inhalten verlinken kann, dann ist das doch nicht so toll, oder?:heulen:

Hinz und Kunz kann bei uns doch noch nicht mal klickbare Links einfügen.

Das geht doch ganz einfach: Klick hier :rofl:

Arbeitet der expression filter nicht richtig? Der hat normalerweise bei den einfachen Usern im Text aus http immer hxxp gemacht. Vermutlich spingt der auf https nicht an. :dummguck:

Das tut er auch im Plaintext aber wenn man den "Link einfügen"-Button nutzt, kann man jede Adresse klickbar posten. HTTP und HTTPS.

Na ich weiß das nicht so genau. Kann das auch schlecht testen weil ich mit meinem User immer klickbare Links erzeuge :D

schaut doch einfach mal was auf dieser Seite nicht https ist:
(kann ich nicht posten da Chrome mir das Posten bzw Übergeben von HTML Inhalt scheinbar in diesem Fall verbietet :D)


aber es ist sowas wie:
sind halt viele interne Links, die nicht verschlüsselt sind.

Äh...:wtf:...aber dafür macht doch zB die htaccess oder die conf des apache2 ne Umleitung von http auf https :confused:

Als Beispiel verlinke ich mal auf eine HTTP Nachrichtenseite:

Aktuelle Nachrichten - Westfälische Nachrichten

soweit ich sehe wird da nichts umgewandelt.

Meinst du jetzt die http nach hxxp oder von http nach https :confused:

Ich sprach eben von der http nach https, aber das geht nur intern also nur Links die auf das TB gehen, klick mal auf http-TB --> http://www.trojaner-board.de/

Dann solltest du auf https vom TB landen. :kaffee:

Schon recht. Das klappt wunderbar aber wenn ich HTTP-Links üder den Button einfüge, dann wird nix umgewandelt.