HardwareInside ohne SSL-Zertifikat?

[Zottelmann]

Hallo an alle und ganz besonders die Admins,

Normalerweise schaue ich nicht so genau auf dieses Thema, doch da in meiner derzeitigen Ausbildung das Thema Verschlüsselung und Sicherheit eine wichtige Rolle spielt, wollte ich mal nachfragen, warum HardwareInside nicht SSL-Verschlüsselt ist.
Das Problem liegt dabei Großteils an den Nutzerdaten wie Passwörtern, welche einfach abgefangen werden können. Ohne dieses SSL-Zertifikat werden die Daten im Header einer Webseite nicht verschlüsselt und geben dem Angreifer einen sehr leichten Zugang zum jeweiligen Benutzerkonto. Eine verschlüsselte Seite ist an dem https:// und an dem Schloss in der Adresszeile und verhindert den einfachen Zugriff von Angreifern.

Daher währe es vielleicht wichtig auf Dauer eine SSL-Zertifikat zu erstellen um die Webseite und das Forum zu schützen. Die kann auch schon kostenlos mit zum Beispiel "Let´s Encrypt" gemacht werden.

 

[Dumbledore]

Hallo @Zottelmann ich hatte diesbezüglich erst kürzlich ein Gespräch mit den Admins. Würdest du dich mit der SSL-Verschlüsselung sicherer fühlen ?

 

[Zottelmann]

Hallo @Zottelmann ich hatte diesbezüglich erst kürzlich ein Gespräch mit den Admins. Würdest du dich mit der SSL-Verschlüsselung sicherer fühlen ?

Für mich ist es eigentlich nur eine Bestätigung, dass die Seitenbetreiber auf Sicherheit achten und die Daten der Nutzer schützen. Da ich sowieso für jede Webseite ein anderes Passwort nehme habe ich diesbezüglich keine Probleme. Viele benutzen aber oftmals das selbe und könnten durch so einen Angriff gleich mehrere Konten verlieren.
Um auf deine Frage nochmal zurück zu kommen: Ja, würde ich.

Ich würde mich auch für das einrichten einer solchen SSL-Zertifizierung bereit erklären, wenn es niemanden aus dem Team gibt, der damit Erfahrung hat.

 

[Dumbledore]

@Haddawas @BlackSheep @Paradox.Delta

 

[joinTee]

Ich sehe das ähnlich. Bei mir sind die Passwörter von Weblogins auch allesamt unterschiedlich aber man muss es eventuellen Mitlesern natürlich nicht unnötig einfach machen.

Ich nutze mittlerweile Let's Encrypt Zertifikate für meine privaten Services und zumindest für Webseiten ist die Einrichtung wirklich einfach. Könnte bei Bedarf auch bei der Einrichtung helfen. Persönlich benutze ich https://github.com/lukas2511/dehydrated für die Aktualisierung der Zertifikate, da der Client außer Shell/OpenSSL keine Abhängigkeiten hat und somit auf jedem Unix-System lauffähig ist.

Allerdings ist zu beachten, dass die Konfiguration des Webservers mit einem SSL-Zertifikat nur ein Teil der Aufgabe ist. Der Löwenanteil wird vermutlich eher das Geflecht aus Forensoftware, Plugins und co sein, die alle korrekte URLs ausspucken müssen. Eine Webseite wo einige Bilder oder Einbettungen HTTP sind führt ansonsten zu Warnungen der Browser was für den Besucher der Seite auch nicht so prickelnd ist.

 

[BlackSheep]

Hallo zusammen!

Ich bin der zuständige Administrator in diesen Angelegenheiten und möchte dazu ein Statement abgeben. Derzeit bin ich dabei mich in die Materie einzulesen und es gegebenenfalls umzusetzen. Das wäre nämlich eine sehr große Baustelle.

Aber wenn es scheinbar so wichtig ist, dann verwundert es mich, dass andere, wesentlich größere Portale das auch nicht haben.

 

[Zottelmann]

Hallo zusammen!

Ich bin der zuständige Administrator in diesen Angelegenheiten und möchte dazu ein Statement abgeben. Derzeit bin ich dabei mich in die Materie einzulesen und es gegebenenfalls umzusetzen. Das wäre nämlich eine sehr große Baustelle.

Aber wenn es scheinbar so wichtig ist, dann verwundert es mich, dass andere, wesentlich größere Portale das auch nicht haben.

Grundlegend ist zu sagen, dass der Schutz einer Webseite erst dann wichtig wird, wenn es um Benutzerdaten geht. Ich weiß jetzt nicht welche größeren Portale du meinst, aber wenn diese nicht ein solches SSL-Zertifikat besitzen, bieten sie eine große Sicherheitslücke für unerwünschte Mitleser.

 

[BlackSheep]

Grundlegend ist zu sagen, dass der Schutz einer Webseite erst dann wichtig wird, wenn es um Benutzerdaten geht. Ich weiß jetzt nicht welche größeren Portale du meinst, aber wenn diese nicht ein solches SSL-Zertifikat besitzen, bieten sie eine große Sicherheitslücke für unerwünschte Mitleser.

Naja, mir fällt spontan ein Hardware Magazin ein, dass auch ein Forum betreibt - ohne Verschlüsselung. Ich werde da keine Namen nennen, aber sie drucken auch mehrere Magazine.

 

[Zottelmann]

Naja, mir fällt spontan ein Hardware Magazin ein, dass auch ein Forum betreibt - ohne Verschlüsselung. Ich werde da keine Namen nennen, aber sie drucken auch mehrere Magazine.

Ich glaube ich weiß schon auf welches Magazin du abzielst. Trotzdem muss man sich ja nicht nach einem schlechten Beispiel richten.

 

[Atomic Frost]

Gebe dir recht Zottelmann.

 

[BlackSheep]

Ich bin zwar Fachinformatiker, aber diese Problematik ist und war nie mein Steckenpferd.
Den Server betreue ich knapp ein Jahr, damals war der Server für mehrere Tage down,
und es hat mich ziemlich viel Arbeit gekostet die Knoten zu entwirren. (Wahrscheinlich aufgrund eines Updates)

Heute läuft der Server deutlich stabiler und so baue ich langsam die Sicherheitskonzepte aus,
SSL habe ich da eigentlich ziemlich weit nach hinten gestellt um mich erst mal um die Angriffe durch Bots zu kümmern.

Da ich mich mit der SSL Materie nicht so auskenne habe ich einen guten Freund gebeten mit mir am kommenden Samstag
die SSL Zertifikate zu installieren. Damit wäre dem Wunsch entsprochen.

 

[BlackSheep]

Hallo zusammen!

Ich habe nun ein SSl Zertifikat eingefügt. Das scheint auch alles soweit zu funktionieren.
Damit wäre dem Wunsch vollumfänglich entsprochen

 

[Atomic Frost]

Sehr gute Arbeit