Seite 2 von 6 « Erste 123456 Letzte »
Ergebnis 21 bis 40 von 119

HTTPS für das Forum

  1. #21 Zitieren
    Ehrengarde
    Registriert seit
    Jul 2012
    Beiträge
    2.050
    Zitat Zitat von Blue Force Beitrag anzeigen
    Mußt du selber wissen ob du es anderen leicht machen willst an dein Passwort zu kommen oder nicht. Wenn es dir egal ist kannst du es sein lassen. Es ist deine Entscheidung. Mehr als erklären was die Verschlüsselung leistet können wir nicht.
    Richtig! Man kann es sich aussuchen. Warum wird hier so getan, als ob das WOP HTTPS für die ganze Welt neu einführen würde? Seriöse Seiten, die Käufe abwickeln nutzen Verschlüsselungen schon seit langer langer Zeit, ebenso wie Mailanbieter. Was sie "leistet" ist mir bekannt. Das Thema lautet auch nicht HTTPS im WWW, sondern HTTPS für das Forum - ist bereits möglich. Fertig.
    Feuerläufer ist offline

  2. #22 Zitieren
    Deus Avatar von blutfeuer
    Registriert seit
    Nov 2001
    Beiträge
    28.681
    ok ok, dass https für viele deutlich besser ist, mag ich ja durchaus verstehen. wir stellen es ja auch zur verfügung für alle, wenn sie es denn benutzen wollen.
    aber meine frage lautet, warum soll ich alle anderen auch dazu zwingen, statt ihnen die freie entscheidung darüber zu überlassen?
    blutfeuer ist offline

  3. #23 Zitieren
    Knight Avatar von The Old Hunter
    Registriert seit
    Oct 2013
    Ort
    /bin/zsh
    Beiträge
    1.548
    genau das ist es ja. man kann die anderen nicht zwingen. wer es nutzen will soll sich halt https everywhere holen und eine regel für das wop hinzufügen zack surft man mit https verschlüsselung.
    The Old Hunter ist offline

  4. #24 Zitieren
    Ehrengarde
    Registriert seit
    Jul 2012
    Beiträge
    2.050
    Zitat Zitat von blutfeuer Beitrag anzeigen
    ok ok, dass https für viele deutlich besser ist, mag ich ja durchaus verstehen. wir stellen es ja auch zur verfügung für alle, wenn sie es denn benutzen wollen.
    aber meine frage lautet, warum soll ich alle anderen auch dazu zwingen, statt ihnen die freie entscheidung darüber zu überlassen?
    Zitat Zitat von Undead Lord Beitrag anzeigen
    genau das ist es ja. man kann die anderen nicht zwingen. wer es nutzen will soll sich halt https everywhere holen und eine regel für das wop hinzufügen zack surft man mit https verschlüsselung.
    Sag ich ja. Und sofort kommt einer herablassend an mit "Du bist ein Ich-habe-nichts-zu-verbergen-Typ". Uripura, lass mal die Kirche im Dorf.
    Feuerläufer ist offline

  5. #25 Zitieren
    Deus Avatar von Lobedan
    Registriert seit
    Jan 2007
    Beiträge
    29.109
    Zitat Zitat von Deathinitive Beitrag anzeigen
    Und nochmal: Was hat das mit meinem WOP-Konto zu tun? Oder anders: Was will jemand damit? Reich werden?
    Wer Zugang zu deinem Account hier hat, kann die Mailadresse des Accounts auslesen. Dazu die Möglichkeit, die Passwörter abzufangen. Selbst, wenn es dich selbst nicht betrifft: Wenigstens ein User nutzt dasselbe Passwort anderswo in Kombination mit dieser Mailadresse. Aus Unwissenheit oder weil er einfach nur zu faul ist, sich mehrere Passwörter und Mailadressen zuzulegen.
    Sicherheit sollte eigentlich kein Aspekt sein, für den man sich rechtfertigen muss, vor allem nicht, wenn er so bequem zu erlangen ist. Leider fühlen sich viele aber lieber persönlich angegriffen, wenn man ihnen mehr Sicherheit geben will, was ich persönlich nicht verstehen kann.
    Zitat Zitat von blutfeuer Beitrag anzeigen
    ok ok, dass https für viele deutlich besser ist, mag ich ja durchaus verstehen. wir stellen es ja auch zur verfügung für alle, wenn sie es denn benutzen wollen.
    aber meine frage lautet, warum soll ich alle anderen auch dazu zwingen, statt ihnen die freie entscheidung darüber zu überlassen?
    Was bringt das sicherste Passwort, wenn man es einfach abfangen kann? Dann könnt ihr den jährlichen Passwortwechselzwang auch abschaffen.
    Lobedan ist offline

  6. #26 Zitieren
    Deus Avatar von blutfeuer
    Registriert seit
    Nov 2001
    Beiträge
    28.681
    Zitat Zitat von Lobedan Beitrag anzeigen
    Was bringt das sicherste Passwort, wenn man es einfach abfangen kann? Dann könnt ihr den jährlichen Passwortwechselzwang auch abschaffen.
    das war nicht die frage. die frage war nach dem zwang für die user
    blutfeuer ist offline

  7. #27 Zitieren
    Krieger Avatar von Lain
    Registriert seit
    Oct 2008
    Beiträge
    409
    Zitat Zitat von Lobedan Beitrag anzeigen
    [...]Leider fühlen sich viele aber lieber persönlich angegriffen, wenn man ihnen mehr Sicherheit geben will, was ich persönlich nicht verstehen kann.
    Lasst es doch einfach darauf beruhen. Ja, ich fühle mich angegriffen, nicht wegen https sondern dem von einigen hier gewünschten Zwang dazu. Ist doch alles bestens, wenn jeder nutzen kann, was er mag. Und wenn dann später irgendwer deswegen mal tatsächlich sensible Daten an wen auch immer preisgibt, könnt ihr immer noch hämisch hinterherrufen "Ich hab´s ja gesagt!", wenn es euch glücklich macht.

    Ich habe z.B. in der Regel https aktiviert, an seltenen Tagen aber doch mal sonstwie geartete technische Probleme im Zusammenhang mit meinem Proxyserver und dem korrekten Laden einiger bestimmter Seiten (unter anderem dieser) - wenn ich es dann für vertretbar halte und keine Zeit habe, das eigentliche Problem mit meiner offensichtlich fehlerhaften Konfiguration anzugehen, dann stelle ich eben kurz die Weiterleitung fürs WOP auf https aus, surfe temporär mit http und alles ist bestens (mein Kennwort lege ich je Website an, genauso die Emailadresse, was ich an persöhnlichen Informationen in diesem Account vorliegen habe ist bis auf die jederzeit löschbaren PNs ohnehin öffentlich abrufbar - solange ich das Risiko kenne, sehe ich da kein Problem). Das ist natürlich nur ein Beispiel, doch es ist imho einfach schön, ein Fallback, eine Alternative zu haben, selbst wenn sie "schlechter" ist und ich kann nicht nachvollziehen, warum manche Menschen immer alles auf einen gemeinsamen Nenner herunterbrechen müssen, anstatt einfach jedem seine kleinen Freiheiten zu lassen.
    Lain ist offline

  8. #28 Zitieren
    Mauschelheld  Avatar von The Sandman
    Registriert seit
    Jun 2006
    Beiträge
    41.847
    Ich wäre eigentlich auch dafür gewesen, dass standardmäßig einzustellen. Einfach, weil ohnehin keiner einen Unterschied merkt, man nichts weiter tun muss und es auch so nur Vorteile hat. Aber wenn das wirklich einige als Zwang verstehen, sollte man es lassen.
    The Sandman ist offline

  9. #29 Zitieren
    Dea
    Registriert seit
    Jul 2007
    Beiträge
    10.446
    Zitat Zitat von Lain Beitrag anzeigen
    [...]ich kann nicht nachvollziehen, warum manche Menschen immer alles auf einen gemeinsamen Nenner herunterbrechen müssen, anstatt einfach jedem seine kleinen Freiheiten zu lassen.
    Weil man sonst Leute hat, die ihre Website mit MD5-Zertifikaten betreiben (die sind erst 13/14 gestorben) oder selbst SHA-1, das jetzt zum Glück langsam an Unterstützung verliert.
    Die meisten Menschen kennen sich einfach nicht gut genug in diesen Bereichen aus und können nicht beurteilen, wie sicher ihre Daten sind.
    Dass damit auch Passwörter von Moderatoren (oder Admins) in Gefahr geraten, sollte ein weiterer Grund sein, nur https zu erlauben.
    Lehona ist offline

  10. #30 Zitieren
    Forenkater Avatar von Matteo
    Registriert seit
    Dec 2003
    Ort
    Khorinis
    Beiträge
    16.620
    Zitat Zitat von The Sandman Beitrag anzeigen
    Ich wäre eigentlich auch dafür gewesen, dass standardmäßig einzustellen. Einfach, weil ohnehin keiner einen Unterschied merkt, man nichts weiter tun muss und es auch so nur Vorteile hat.
    So sehe ich das eigentlich auch.
    Verstehe nicht, warum bei https das Geschrei von wegen "Zwang" hier plötzlich so groß ist. Auf amazon, facebook etc. sind sie bestimmt alle mit https unterwegs, aber beim WoP wär's auf einmal ganz böse?
    Matteo ist offline

  11. #31 Zitieren
    Panzer vor!  Avatar von Uripura
    Registriert seit
    Mar 2007
    Ort
    Für gewöhnlich im TS
    Beiträge
    3.951
    Zitat Zitat von Deathinitive Beitrag anzeigen
    GZ! Du haust mir jetzt sechs Artikel um die Ohren, die ich lesen soll? Kannst Du nicht mal einen Vorteil direkt benennen? Und was hat das alles mit meinem WOP-Konto zu tun? Ich habe keinerlei Cookies gespeichert und ein Virensystem mit Anti-phishing, Indentitätschutz etc.
    Du hast dir also nicht einen einzigen Link zumindest einmal geöffnet? Auch gut. Es hätte schon gereicht mal kurz einen zu überfliegen.

    Der Vorteil ist, dass du mit HTTPS sicher gehen kannst auch wirklich mit der WoP zu sprechen. Das bedeutet keiner kann mehr so tun und dich dazu bringen das Passwort auf eine Phishingseite einzugeben.
    Außerdem kannst du sicher sein, dass wenn du mit der WoP sprichst niemand die Daten manipuliert hat. Also kann niemand mehr bösartigen Inhalt in die Seiten der WoP einschleusen. Und außerdem kann niemand mehr mitlesen was du schreibst. Also bleiben Passwörter und auch alle anderen Inhalte nur eine Sache zwischen dir und der WoP. Das sind die drei wichtigsten Seiten von TLS. Verschlüsselung, Datenintegrität und Authentifizierung.

    Und selbst wenn du dich nicht mit einem Cookie hier anmeldest musst du dann jedes mal dein Passwort eingeben was so gesehen noch schlimmer ist da man es dann ständig sieht. Und ein Antivierenprogramm hilft da auch recht wenig.
    Tatsächlich macht das Anti-Phishing nur noch alles schlimmer. Um nämlich den Datenverkehr auch von Seiten mitlesen zu können die mit TLS gesichert sind bringt das Virenprogramm ein eigenes Zertifikat mit, mit dem das Virenprogramm einen Man-in-the-Middle-Angriff durchführt. Avast selbst gibt es zu dass sie es machen. (Auch wenn sie es bei ihrem Artikel natürlich schön reden.)
    Das bedeutet, dass Avast in Theorie deine Bankdaten abgreifen kann weil sie in der Lage sind sich zwischen dir und deiner Bank einzuschummeln. Hier noch ein etwas kritischerer Artikel darüber.

    Wobei ich sagen muss dass Avast nicht alleine ist, ich wage mal zu behaupten dass alle Virenprogramme das tun.

    Abgesehen davon spricht du implizit allen die aus Unwissenheit kein HTTPS und ein Virensystem mit Anti-phishing verwenden ihr Recht auf Privatsphäre ab. Das finde ich schon ein wenig gemein. (Siehe hier)

    Und wie gesagt, das einzige Argument was bisher gegen HTTPS sprach war der das es angeblich langsamer sein soll und eine höhere Last erzeugt. Aber es wurde schon gezeigt, dass das nicht der Fall ist. Damit fällt also das einzige Argument dagegen weg. (Siehe meine Post)

    Zitat Zitat von Deathinitive Beitrag anzeigen
    Und nochmal: Was hat das mit meinem WOP-Konto zu tun? Oder anders: Was will jemand damit? Reich werden?
    Das hat nichts damit zu tun ob jemand reich wird oder nicht.
    Wenn zum Beispiel ein User hier das WoP-Passwort auch für Amazon verwendet ist er in großen Schwierigkeiten. Ein Angreifer kann einfach Mailadresse und Passwort abgreifen und sich dann über Amazon etwas bestellen. Aber auch wenn die Daten "uninteressant" sind gibt es genug die alles mitschneiden. Denn harmlose Informationen gibt es nicht. Schon mal was von der NSA gehört? Die haben sogar Chatprotokolle aus WoW aufgezeichnet was im ersten Augenblick zwar skurril erscheint, aber den Ernst der Lage verdeutlicht. Alles was überwacht werden kann wird überwacht. Und dagegen finde ich sollte man sich wehren.

    Zitat Zitat von Deathinitive Beitrag anzeigen
    Richtig! Man kann es sich aussuchen. Warum wird hier so getan, als ob das WOP HTTPS für die ganze Welt neu einführen würde? Seriöse Seiten, die Käufe abwickeln nutzen Verschlüsselungen schon seit langer langer Zeit, ebenso wie Mailanbieter. Was sie "leistet" ist mir bekannt. Das Thema lautet auch nicht HTTPS im WWW, sondern HTTPS für das Forum - ist bereits möglich. Fertig.
    Privatsphäre sollte aber nicht nur "möglich", sondern Pflicht für alle sein. Und irgendwo muss man anfangen von seinem Recht auf Privatsphäre Gebrauch machen zu können.
    Und die Mailanbieter verschlüsseln untereinander seit nicht allzu langer Zeit. Das haben sie erst 2013(!) mit der "Mail made in Germany" eingeführt. Und statt sich zu schämen erst da einen über 10(!) Jahre alten Standard umzusetzen, haben sie die Werbetrommel gerührt und sich auf die Schulter geklopft.

    Zitat Zitat von blutfeuer Beitrag anzeigen
    ok ok, dass https für viele deutlich besser ist, mag ich ja durchaus verstehen. wir stellen es ja auch zur verfügung für alle, wenn sie es denn benutzen wollen.
    aber meine frage lautet, warum soll ich alle anderen auch dazu zwingen, statt ihnen die freie entscheidung darüber zu überlassen?
    Weil viele es wie gesagt nicht wissen oder versäumen. Und ich finde kaum jemand entscheidet sich freiwillig für weniger Schutz. Das passiert immer nur aus unwissenheit und/oder Faulheit. Das einzige Argument von dir das bisher gegen HTTPS für alle gesprochen hat ist, dass man niemanden zwingen will. Aber ein Zwang kann es doch nur sein wenn jemand dagegen ist. Und kann nicht wirklich sehen was man dagegen haben kann. (Und selbst wenn würde ich es trotzdem für "das größere Wohl" tun) Das Argument, dass es langsamer sein soll, oder mehr Serverlast erzeugt war schließlich falsch. Und aus der Sicht von Usern hat es auch keinen wirklichen Nachteil. Niemand würde den Unterschied bemerken und alle wären glücklich.
    Ihr fragt doch auch nicht nach ob ein Update von vBulletin eingespielt werden soll oder nicht. Ihr tut es einfach, weil ihr wisst, dass es Sicherheitstücken schließt, Performance Vorteile bringt oder neue Funktionen einführt. Da beschwert sich auch keiner.

    Ich glaube ich bin auch so ziemlich einzige, der gemerkt hat, dass die WoP all ihre Mails mit DKIM und DomainKeys unterschriebt. Und ich bin auch einer von wenigen (mal abgesehen von google, yahoo, hotmail und einigen anderen) die die Signaturen auch tatsächlich prüft. Das ist im Prinzip auch eine gute Sache die keine Nachteile sondern nur Vorteile hat ohne dass es jemand merkt.
    Ich bin der Meinung, dass wenn der "HTTPS-zwang" für alle still und heimlich eingeführt worden wäre, würde sich keiner darüber beschweren weil keiner einen Unterschied bemerkt hätte.

    Und ich finde man sollte auch ein wenig in die Zukunft sehen. Schließlich wird TLS für den neuen HTTP/2 Standard quasi zur Pflicht. Die RFC verlangt zwar kein TLS, aber alle (zumindest die großen) Browserhersteller wollen HTTP/2 Traffic nur noch über TLS zulassen und machen es damit eh zur Pflicht TLS zu unterstützen. Also warum nicht jetzt es nicht jetzt schon einführen?

    Und durch eine SSL Stripping sind auch die in Gefahr die TLS nutzen. Denn die WoP hat keinen HSTS Header und ist somit anfällig für diese Art von Angriff.

    Zitat Zitat von Undead Lord Beitrag anzeigen
    genau das ist es ja. man kann die anderen nicht zwingen. wer es nutzen will soll sich halt https everywhere holen und eine regel für das wop hinzufügen zack surft man mit https verschlüsselung.
    Nicht alle haben unbedingt eine Ahnung davon. Wie gesagt es gibt viele unwissende. Und satt jeden einzelnen aufzuklären wäre es doch einfacher es einzuführen. Dann würde man auch nicht Gefahr laufen dass irgendjemand es aus Faulheit oder Ignoranz nicht tut. Außerdem würde es erheblich weniger Arbeitsaufwand für beide Seiten sein.
    Und wie ich auch schon gesagt habe spricht du damit implizit allen die nicht fachkundig sein ihr Recht auf Privatsphäre ab.

    Zitat Zitat von Lain Beitrag anzeigen
    Lasst es doch einfach darauf beruhen. Ja, ich fühle mich angegriffen, nicht wegen https sondern dem von einigen hier gewünschten Zwang dazu. Ist doch alles bestens, wenn jeder nutzen kann, was er mag. Und wenn dann später irgendwer deswegen mal tatsächlich sensible Daten an wen auch immer preisgibt, könnt ihr immer noch hämisch hinterherrufen "Ich hab´s ja gesagt!", wenn es euch glücklich macht.
    Wenn man an dem Punkt angelangt ist an dem man "Ich hab´s ja gesagt!", sagen kann ist es schon viel zu spät. Dann ist der Schaden längst angerichtet. Und man hätte es einfach verhindern können.
    Ich bin der Meinung, dass man es erst gar nicht so weit kommen lassen darf.
    Außerdem habe ich das Gefühl, dass gerade nicht die Vernunft sondern dein Trotz spricht weil du dich angegriffen fühlst. Denke bitte noch einmal in Ruhe darüber nach.
    Ich will hier niemandem was böses, wenn dann kämpfe ich gerade dafür alles ein wenig besser zu machen. Ich will dir keinen auswischen.

    Zitat Zitat von Lehona Beitrag anzeigen
    Dass damit auch Passwörter von Moderatoren (oder Admins) in Gefahr geraten, sollte ein weiterer Grund sein, nur https zu erlauben.
    Das kommt auch noch erschwerend hinzu. Und wenn man nicht aufpasst kann man mit einer SSL Stripping Attacke einfach die TLS Verbindung terminieren und dann wieder wie gewohnt alle Daten abgreifen. Siehe meine Antwort zu blutfeuers Post weiter oben.

    Zitat Zitat von Matteo Beitrag anzeigen
    So sehe ich das eigentlich auch.
    Verstehe nicht, warum bei https das Geschrei von wegen "Zwang" hier plötzlich so groß ist. Auf amazon, facebook etc. sind sie bestimmt alle mit https unterwegs, aber beim WoP wär's auf einmal ganz böse?
    Nicht nur die, Google und Wikipadia machen es doch auch. Und bei Wikipedia wird auch zum größten Teil nichts geheimes übertragen. Aber sie machen es trotzdem, eben aus den von mir angeführten Gründen.

    ------------------------------------------------------------------------
    Alles im allem habe ich so das Gefühl dass einige nur dagegen sind um dagegen zu sein ohne wirklich eine rational begründete Argumentation zu haben.
    Uripura ist offline

  12. #32 Zitieren
    World of Elex  Avatar von Dark_Bauer
    Registriert seit
    Jun 2013
    Beiträge
    10.227
    Zitat Zitat von Deathinitive Beitrag anzeigen
    Und nochmal: Was hat das mit meinem WOP-Konto zu tun? Oder anders: Was will jemand damit? Reich werden?
    Das mag im Fall der WoP und deinem Account hier nichtig sein aber es ist doch nicht von der Hand zu weisen, dass es sinnvoll sein kann (wie gesagt, in diesem unwichtigen spieleforum, wo normalerweise nix brisantes unterwegs ist, mag das egal sein), den Server/die Daten zu verschlüsseln. Bzw nicht "sein kann", sondern "ist".

    Ob das jemand nun nutzen möchte oder nicht, also einfach das kleine "s" in die Adresse tippen, ist aber trotzdem jedem selbst überlassen. Ich mache es zum Beispiel auch nicht.
    Liegt aber nur daran, dass ich zu Hause immer vergesse, das Lesezeichen umzuschreiben.


    Edit:
    Uri erstmal nen Roman am schreiben
    Dark_Bauer ist offline Geändert von Dark_Bauer (21.12.2015 um 12:05 Uhr)

  13. #33 Zitieren
    Schwertmeisterin Avatar von Lucy
    Registriert seit
    Sep 2010
    Ort
    Unterwäscheschublade
    Beiträge
    934
    Ich möchte mal anmerken, dass man wieder beim normalen http landet, wenn man einen foreninternen Link in einem Beitrag anklickt, wenn der Link mit http:// beginnt, selbst wenn man mit https unterwegs ist. Das spricht meiner Meinung nach sehr für einen Zwang.
    Lucy ist offline

  14. #34 Zitieren
    Serima Avatar von Fisk2033
    Registriert seit
    Dec 2010
    Ort
    Dresden
    Beiträge
    5.797
    Ich habe mir jetzt so einiges hier durchgelesen und kann dem hier eigentlich nur zustimmen (sowohl dem folgenden Zitat, als auch dem Vorschlag https...) :
    Zitat Zitat von Uripura Beitrag anzeigen
    Alles im allem habe ich so das Gefühl dass einige nur dagegen sind um dagegen zu sein ohne wirklich eine rational begründete Argumentation zu haben.
    Fisk2033 ist offline

  15. #35 Zitieren
    Pretty Pink Pony Princess  Avatar von Multithread
    Registriert seit
    Jun 2010
    Ort
    Crystal Empire
    Beiträge
    11.228
    Zitat Zitat von blutfeuer Beitrag anzeigen
    das war nicht die frage. die frage war nach dem zwang für die user
    Ich unterstütze URI's antrag auf HTTPS 'zwang'.
    Gerade da die meisten Leute nicht wie zb. Uri, Lookbehind oder Ich für ziemlich jede Webside ein anderes Passwort haben. Und selbst Ich habe bisher nicht alle Accounts gefunden und mit einzigartigem Passwort versehen (10+ Stellen, Zahlen, Sonderzeichen und Gross/Kleinschreibung).
    Da ist etwas grundlegender Passwortschutz niemals verkehrt.

    Computerbase ist diesen schritt auch gegangen, unter anderem mit einem (kostenden) Werbefreien Zugang, welche noch schneller lädt dank SPDY auch noch schneller als nur mit HTTP. Der grund für den Kostenden zugang ist, dass Werbung wohl öfters kein https kann

    Habe mir auch den test wegen HSTS angeschaut, wenn man Weiss was die Organgen Warnungen eigentlich bedeuten, ist das schon sehr erschrekend, das man über so eine Verbindung überhaupt sein Passwort weitergibt (Und das ist die https Verbindung).
    Habe Auch sämtliche Links von mir auf Https umgestellt hier im Forum, eben weil Ich nur durch zufall erfahren habe das dieses auch https kann.


    EDIT: wenn man schon dabei ist: Ich öfters Flash Werbung im Forum, aber gar kein Flash aktiv -> auf Html5 Werbung umstellen, sofern das überhaupt geht. Keine Ahnung wie weit die Werbetreibenden da sind.
    [Bild: AMD_Threadripper.png] Bei Hardware gibt es keine eigene Meinung, bei Hardware zählen nur die Fakten.


    Probleme mit der Haarpracht? Starres Haar ohne Glanz? TressFX schafft Abhilfe. Ja, TressFX verhilft auch Ihnen zu schönem und Geschmeidigen Haar.
    [Bild: i6tfHoa3ooSEraFH63.png]
    Multithread ist offline Geändert von Multithread (21.12.2015 um 12:57 Uhr)

  16. #36 Zitieren
    Held Avatar von mainclain
    Registriert seit
    Sep 2005
    Beiträge
    5.426
    HSTS waren das nicht die Sicherheitsfunktion die dazu führt dass man - quasi - nicht löschbare Cookies auf seinen PC holt die perfekt fürs Tracking genutzt werden können?


    Nur so was die Privatsphäre angeht...
    mainclain ist offline

  17. #37 Zitieren
    Panzer vor!  Avatar von Uripura
    Registriert seit
    Mar 2007
    Ort
    Für gewöhnlich im TS
    Beiträge
    3.951
    Zitat Zitat von mainclain Beitrag anzeigen
    HSTS waren das nicht die Sicherheitsfunktion die dazu führt dass man - quasi - nicht löschbare Cookies auf seinen PC holt die perfekt fürs Tracking genutzt werden können?


    Nur so was die Privatsphäre angeht...
    Es kann dafür missbraucht werden, ja. Aber wenn man von Tracking redet werden viele verschiedene Methoden dazu verwendet. HSTS macht das Problem des Trackings nicht wesentlich schlimmer. Es gibt 100 andere Dinge über die man einen Browser auch verfolgen kann. Und wenn man in Zukunft externe Inhalte nicht mehr zulässt kann man auch das Problem umgehen, das ist aber wieder ein ganz anderes Problem für sich. Ich finde es also falsch deswegen HSTS zu verteufeln denn es macht auch vieles besser.

    Für mich es ist das kleinere Übel wenn es am Ende bedeutet, dass SSL Stripping Attacken nicht mehr funktionieren können.
    Uripura ist offline

  18. #38 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Zitat Zitat von blutfeuer Beitrag anzeigen
    ...
    wir stellen es ja auch zur verfügung für alle, wenn sie es denn benutzen wollen.
    ...
    *hust*
    Hast du dir die https-Unterstützung mal angesehen?
    Ich hab bisher im Forum nicht eine Seite gefunden, die komplett über https erreichbar ist. Es sind IMMER auch unverschlüsselte Inhalte dabei. Und damit meine ich nicht bloß von Usern in Threads verlinkte Bilder (und selbst da könnte man oft serverseitig auf https umleiten).
    Wenn man sich nicht mit Tools wie https-Everywhere oder FireBug behilft, ist man ohnehin nach spätestens 2-3 Klicks wieder auf der unverschlüsselten http-Variante der WoP unterwegs. Wenn man dann nicht regelmäßig auf die Adressleiste achtet, merkt man das noch nicht mal. Und nein, damit meine ich abermals nicht bloß von Usern gepostete Links, die man immer noch auf https umbiegen könnte. Schon die normale Foren-Navigation hält sich da nicht dran.

    Zitat Zitat von Lain Beitrag anzeigen
    ...
    Und wenn dann später irgendwer deswegen mal tatsächlich sensible Daten an wen auch immer preisgibt, könnt ihr immer noch hämisch hinterherrufen "Ich hab´s ja gesagt!", wenn es euch glücklich macht.
    ...
    Nein, das macht keinen glücklich. Es geht auch gar nicht darum jemanden glücklich zu machen, sondern vor Unglück zu bewahren. In dem Moment wo das "Told you so"-Karma zum tragen kommt, ist es längst zu spät und das Kind in den Brunnen gefallen. Blöderweise trifft es dann meistens nicht nur die "Ich hab doch nix zu verbergen"-Fraktion, sondern die anderen gleich mit.
    Zitat Zitat von Lain Beitrag anzeigen
    ...
    Das ist natürlich nur ein Beispiel, doch es ist imho einfach schön, ein Fallback, eine Alternative zu haben, selbst wenn sie "schlechter" ist und ich kann nicht nachvollziehen, warum manche Menschen immer alles auf einen gemeinsamen Nenner herunterbrechen müssen, anstatt einfach jedem seine kleinen Freiheiten zu lassen.
    Ich sage nichts gegen http als Fallback, aber in der WoP ist http kein Fallback, sondern der quasi erzwungene Standard.
    Zitat Zitat von Uripura Beitrag anzeigen
    ...
    Tatsächlich macht das Anti-Phishing nur noch alles schlimmer. Um nämlich den Datenverkehr auch von Seiten mitlesen zu können die mit TLS gesichert sind bringt das Virenprogramm ein eigenes Zertifikat mit, mit dem das Virenprogramm einen Man-in-the-Middle-Angriff durchführt. Avast selbst gibt es zu dass sie es machen. (Auch wenn sie es bei ihrem Artikel natürlich schön reden.)
    ...
    Nur mal so aus (technischem) Interesse: Wenn schon der simple Virenscanner durch so einen kleinen Trick wie ein eigenes Zertifikat in der Lage ist die komplette Sicherheit, die mir eine verschlüsselte Verbindung bieten soll, aus zu hebeln, was bringt mir dann die TLS-Verbindung noch?
    (Devil's Advocate)
    Zitat Zitat von Uripura Beitrag anzeigen
    ...
    Aber auch wenn die Daten "uninteressant" sind gibt es genug die alles mitschneiden. Denn harmlose Informationen gibt es nicht.
    ...
    If you give me six lines written by the hand of the most honest of men, I will find something in them which will hang him.
    - Angeblich von Kardinal Richelieu (Nein, den gabs nicht nur bei den 3 Musketieren )
    Zitat Zitat von Uripura Beitrag anzeigen
    ...
    Und die Mailanbieter verschlüsseln untereinander seit nicht allzu langer Zeit. Das haben sie erst 2013(!) mit der "Mail made in Germany" eingeführt. Und statt sich zu schämen erst da einen über 10(!) Jahre alten Standard umzusetzen, haben sie die Werbetrommel gerührt und sich auf die Schulter geklopft.
    ...
    Wenn sie es denn auch mal wirklich immer täten. (Verschlüsseln meine ich)
    In dem Zusammenhang ganz interessant (auch wenn schon älter): Bullshit made in Germany. Kann man sich auch ohne technisches Vorwissen gut anschauen und ist zudem durchaus unterhaltsam.
    Zitat Zitat von Uripura Beitrag anzeigen
    ...
    Nicht nur die, Google und Wikipadia machen es doch auch. Und bei Wikipedia wird auch zum größten Teil nichts geheimes übertragen. Aber sie machen es trotzdem, eben aus den von mir angeführten Gründen.
    ...
    Man kann das auch noch anders beleuchten.
    Das Argument "Is doch nix wichtiges, brauche ich nicht verschlüsselt übertragen" impliziert auf der anderen Seite auch, dass nur die wichtigen Dinge verschlüsselt übertragen werden. Da freu ich mich als potentieller Angreifer doch direkt, weil ich gleich weiß wo es sich lohnt mal genauer hin zu sehen und mal zu versuchen die Verschlüsselung zu knacken. Das is zwar ne Menge Arbeit, aber eben auch nicht immer gänzlich unmöglich.

    Wer hingegen einfach alles verschlüsselt, auch den unwichtigen Kram, schützt damit zusätzlich den wichtigen Datenverkehr. Ein potentieller Angreifer freut sich nämlich richtig, wenn sein mühsam aus Bot-Rechnern zusammengekapertes Cluster-System nen guten Monat braucht um eine, vielleicht leider nur schwach verschlüsselte, Nachricht zu knacken... nur um dann fest zu stellen, dass "Hab mir gestern Fallout 4 gekauft, voll geil bisher, aber ich komm da an der einen Stelle nicht weiter. ..." was total banales drin steht.
    Zitat Zitat von Multithread Beitrag anzeigen
    ...
    Gerade da die meisten Leute nicht wie zb. Uri, Lookbehind oder Ich für ziemlich jede Webside ein anderes Passwort haben.
    ...
    Was weißt du denn bitte über meine Passwörter? Und vor allem wo her? Ich glaube wir beide müssen uns mal unterhalten! [Bild: s_032.gif]
    Lookbehind ist offline

  19. #39 Zitieren
    Pretty Pink Pony Princess  Avatar von Multithread
    Registriert seit
    Jun 2010
    Ort
    Crystal Empire
    Beiträge
    11.228
    Zitat Zitat von Lookbehind Beitrag anzeigen
    Was weißt du denn bitte über meine Passwörter? Und vor allem wo her? Ich glaube wir beide müssen uns mal unterhalten! [Bild: s_032.gif]
    Genug um zu wissen das du nicht überall das gleiche PW verwendest

    Das weiss Ich übrigens auch noch von 2-3 anderen hier im Forum.
    Meist sind es die Technik afinen Benutzer, welche eben nicht überall 123456, passwort oder 12345 als Passwort haben.
    Wir sind von der fehlenden Verschlüsselung hier im WoP eigentlich noch am wenigsten Betroffen.
    [Bild: AMD_Threadripper.png] Bei Hardware gibt es keine eigene Meinung, bei Hardware zählen nur die Fakten.


    Probleme mit der Haarpracht? Starres Haar ohne Glanz? TressFX schafft Abhilfe. Ja, TressFX verhilft auch Ihnen zu schönem und Geschmeidigen Haar.
    [Bild: i6tfHoa3ooSEraFH63.png]
    Multithread ist offline

  20. #40 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Zitat Zitat von Multithread Beitrag anzeigen
    Genug um zu wissen das du nicht überall das gleiche PW verwendest
    Und woher weißt du das?
    Zitat Zitat von Multithread Beitrag anzeigen
    Das weiss Ich übrigens auch noch von 2-3 anderen hier im Forum.
    Meist sind es die Technik afinen Benutzer, welche eben nicht überall 123456, passwort oder 12345 als Passwort haben.
    Ernsthaft, du solltest aufhören, aus Vermutungen über Menschen "wissen" ab zu leiten. Du würdest dich wundern wie oft man mit sowas daneben liegt.
    Leider! (in diesem Fall)
    Zitat Zitat von Multithread Beitrag anzeigen
    Wir sind von der fehlenden Verschlüsselung hier im WoP eigentlich noch am wenigsten Betroffen.
    Das würde ich so nicht sagen. Aus fehlender/schlechter Verschlüsselung entsteht nicht nur eine Gefahr für Passwörter.

    Überhaupt haben die Leute ja immer nur angst, dass jemand bei schlechter/fehlender Verschlüsselung etwas mit lesen, quasi klauen, könnte. Das ist noch recht rational erklärbar. Die meisten machen sich nicht viel Gedanken um die Unterschiede zwischen der digitalen und der "nicht digitalen" Welt. Und in der "nicht digitalen" schadet man den Leuten in der Regel eher, indem man ihnen etwas weg nimmt.
    In der Digitalen kann man ihnen aber oft umso mehr schaden, indem man ihnen etwas extra gibt. Es geht bei verschlüsselter Kommunikation nicht nur darum, zu verhindern, dass jemand mit liest. Sondern auch darum, Manipulationen vor zu beugen.

    Wussten Sie schon, dass sie Kinderpornos und Nazi-Propaganda verbreiten? Tun sie nicht? Na schauen so nochmal genau hin
    Is immer dieses schön drastische Beispiel mit dem immer alle um die Ecke kommen. Und dann heißt es immer "Is doch voll unrealistisch, passiert doch nicht, fällt doch auf, ...". Und die Leute haben recht. So plump wird das keiner machen. Das geht subtiler

    "Aber warum sollten die ausgerechnet was von mir wollen?"
    Ganz einfach: Warum nicht? Oft wird gar nicht irgendeine spezielle Person gesucht, sondern einfach der erste daher gelaufene Depp instrumentalisiert ohne ihn vorher zu fragen. Und wer ist hinterher der Dumme?
    Lookbehind ist offline

Seite 2 von 6 « Erste 123456 Letzte »

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •