• 19.07.2025, 20:43
  • Registrieren
  • Anmelden

  • Sie sind nicht angemeldet.

 

Wie wäre es mit HTTPS?

  • 1
  • 2

r4p

Senior Member

Wie wäre es mit HTTPS?

Montag, 24. November 2008, 13:42

Ja, meine Frage, wie sieht das eigentlich mit HTTPS und dem Forum hier aus.

Ich meine, HTTPS geht, der Server hat auch ein Zertifikat, aber irgendwie werfen mich alle Links & Buttons wieder auf das normale HTTP.

Währe eventuell mal eine Idee wert.

Edit: Schlechtschreibung verbessert ::)
Gentoo nutzer mit Herz und Seele: Gentoo Gentoo Wiki

"Bei der Eroberung des Weltraums sind zwei Probleme zu lösen: die Schwerkraft und der Papierkrieg. Mit der Schwerkraft wären wir fertig geworden." - Wernher von Braun

cronix

God

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 13:56

Ne neue Forensoftware wäre evtl mal ne Idee ;D Die soll auch irwann kommen ^^

Clark

God

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 14:45

ich bezweifel, dass es sinnvoll wäre, diese Forum über https laufen zu lassen.

Der arme Server, der das teil hostet, der bricht doch total ein ;)

Das einzige was sinnvoller Weise über https läuft ist der Loginvorgang. Der Rest ist doch egal (oder schreibst du hier irgendwo deine Kreditkarteninfos hin)?
Höchstens PMS würden noch per SSL Sinn machen, aber der Rest ist doch eh öffentlich...
c++: The power, elegance and simplicity of a hand grenade.

r4p

Senior Member

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 17:14

Naja, mir ging es eigentlich wirklich nur um den Loginvorgang.
Gentoo nutzer mit Herz und Seele: Gentoo Gentoo Wiki

"Bei der Eroberung des Weltraums sind zwei Probleme zu lösen: die Schwerkraft und der Papierkrieg. Mit der Schwerkraft wären wir fertig geworden." - Wernher von Braun

RedFlag1970

God

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 17:17

Zitat von »raptor«

Naja, mir ging es eigentlich wirklich nur um den Loginvorgang.


Ob das so sinnvoll ist?
Selbst für den Login...

MeinPW macht mein Keepass, und der ist für Alle ISachen einmalig.....
So nach dem Motto:
kQxkXa3_PW18ShQ7H0tCH3RtPn-zUj

;D
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

seaslug

Senior Member

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 18:07

bitte mal den titel editieren... währe -> wäre.

gruß,
seaslug

Y0Gi

God

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 18:14

Ob jemand nun das Passwort im Klartext mitsnifft oder die gehashte Form im Cookie, das bei jedem Zugriff übertragen wird, kommt ziemlich auf's selbe raus.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Nini2000

God

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 18:29

kommt es aufs selbe raus? damit kann er sich vll mit dem hash unter deinem namen einloggen, aber kennt nicht dein wirkliches kennwort, welches eventuell (ich weiß, dass es nicht so sein sollte) auch auf anderen webseiten genutzt wird.

oder hast du n weg gefunden z.B. MD5 zu "entschlüsseln"?

hurra

God

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 18:48

Für MD5 gibts doch schon Angriffe.

Y0Gi

God

Re: Wie währe es mit HTTPS?

Montag, 24. November 2008, 18:50

Das ist irrelevant, da man einfach selbst das Cookie mit dem Hash senden kann (Replay-Attacke). Meines Wissens gibt es auf Serverseite keine Verbindung zu Session, IP-Adresse, User-Agent o.ä.

Wenn das Problem ist, dass das Passwort anderswo genutzt wird und nicht, dass jemand den Forenaccount missbrauchen könnte, ist eindeutig das Vakuum im Kopf des Nutzers Schuld.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

r4p

Senior Member

Re: Wie wäre es mit HTTPS?

Montag, 24. November 2008, 19:02

Naja, ich finde dass man meinen Account nicht einfach so benutzen sollte...

Wer sein Passwort für mehr als eine Sache benutz, der hats halt nicht besser verdient, das sehe ich genau so, aber selbst wenn man mal ein Passwort von mir raus hat, ist mir persönlich das schon eins zuviel...

Wegen session Cookies: ja, stimmt.

Naja, es gibt ja auch noch Karten, die die Verschlüsselung übernehmen können.

Es war ja nur eine Idee...
Gentoo nutzer mit Herz und Seele: Gentoo Gentoo Wiki

"Bei der Eroberung des Weltraums sind zwei Probleme zu lösen: die Schwerkraft und der Papierkrieg. Mit der Schwerkraft wären wir fertig geworden." - Wernher von Braun

Y0Gi

God

Re: Wie wäre es mit HTTPS?

Montag, 24. November 2008, 20:16

Hast ja auch Recht - nur die Mehrlast dürfte hoch werden, *wenn* es zum Standard würde. Um das auf den Login zu beschränken, dürfte einiges an Handarbeit im Forum erforderlich sein, um die entsprechenden Links zu finden und anzupassen. Ich weiß nicht, ob sich jemand die Mühe machen will.

Vermutlich eliminierst du mehr wahrscheinliche Angriffspunkte, wenn du per VPN ins Internet am Provider und evtl. einem unsicheren Netz (Uni, Hotspot etc.) vorbeitunnelst.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

RedFlag1970

God

Re: Wie währe es mit HTTPS?

Dienstag, 25. November 2008, 11:42

Zitat von »Y0Gi«

Ob jemand nun das Passwort im Klartext mitsnifft oder die gehashte Form im Cookie, das bei jedem Zugriff übertragen wird, kommt ziemlich auf's selbe raus.


Und dann?

Wer EIN PW für alles nutzt ist selber Schuld!
Es kann nicht alles Sicher sein, der User ist doch das Problem!

Ich kann nur enpfehlen für alles und jeden ein anderes PW zu nutzen!
Wer das nicht macht, auch wenn ich es schon sagte : Ist selber Schuld!

Nicht immer die Forenbetreiber dafür schuldig machen wenn man selber schlampig mit Passwörtern umgeht! ;)
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

Y0Gi

God

Re: Wie währe es mit HTTPS?

Dienstag, 25. November 2008, 12:38

Zitat von »RedFlag1970«

Und dann?

Dann kann er sich hier im Forum über jenen Account einloggen. Und das dürfte trotzdem nicht erwünscht sein, egal wie das Passwort lautet.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

RedFlag1970

God

Re: Wie währe es mit HTTPS?

Dienstag, 25. November 2008, 13:52

Zitat von »Y0Gi«


Dann kann er sich hier im Forum über jenen Account einloggen. Und das dürfte trotzdem nicht erwünscht sein, egal wie das Passwort lautet.


Jo, das macht er ein- zwei Mal und dann fällt das auf!

Leute, es ist ein Forum, kein Superdupibestellirgenwaseinkaufohnelimitverkauf!

Lasst mal die Kirche im Dorf ;)

By the Way: heute schon mit Kreditkarte was eingekauft?
Aber das ein anderer Fred werden kann....
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

Y0Gi

God

Re: Wie wäre es mit HTTPS?

Dienstag, 25. November 2008, 16:51

Was regst du dich denn so auf? Hier werden nur die technischen Grundlagen erläutert. Ich male hier auch keine Horrorszenarien, sondern bin auf den Vorschlag von raptor eingegangen.

Mir scheint, du hast die Seite nur überflogen und einfach auf das eine oder andere Reizwort reagiert ;)
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

RedFlag1970

God

Re: Wie wäre es mit HTTPS?

Dienstag, 25. November 2008, 16:55

Hmm,

sollte nict gereizt klingen.... :-/

Ich halte den Vorschlag für übertrieben,
das meine Meinung ist.

Ob hier technisch was möglich wäre, hätte, und könnte, habe ich hier nicht beachtet, das war aber auch nicht die Ursprungsfrage - oder?
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!

Les_Conrads

God

Re: Wie wäre es mit HTTPS?

Dienstag, 25. November 2008, 21:28

Sodenn... was macht man denn gegen "selbes Passwort überall"?
AC ist nun ein besonderer Fall, da es zu meinen häufig besuchten Seiten gehört, die alle nen eigenes gesponsort bekommen haben.
Aber die ZIG anderen Seiten, die man so mit Passwort versieht sind doch echt nich so einfach. Und irgendwo abspeichern kommt mir nicht in die Tüte, da das einfach nich flexibel genuch ist.

Zitat von »Lev«

ich frag mich ja wann die autoindustrie anfängt en used-look anzubieten :huh:

Y0Gi

God

Re: Wie wäre es mit HTTPS?

Dienstag, 25. November 2008, 21:56

Zitat von »RedFlag1970«

Ob hier technisch was möglich wäre, hätte, und könnte, habe ich hier nicht beachtet, das war aber auch nicht die Ursprungsfrage - oder?

Doch, in etwa genau darum ging es :)


Zitat von »Les_Conrads«

Sodenn... was macht man denn gegen "selbes Passwort überall"?

Dafür gibt es Passwortmanager (einschließlich in Form von Browser-Erweiterungen), die auch selbst Passwörter generieren können. So hat man für jeden Account ein separates Passwort, muss sich aber nur ein Zentrales merken, um darauf zuzugreifen. Da man wenig benutzte Passwörter (u. a. auch, weil man längere Zeit eingeloggt bleiben kann) leichter vergisst, ist das keine schlechte Idee.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

RedFlag1970

God

Re: Wie wäre es mit HTTPS?

Mittwoch, 26. November 2008, 11:24

Zitat von »Les_Conrads«


Aber die ZIG anderen Seiten, die man so mit Passwort versieht sind doch echt nich so einfach. Und irgendwo abspeichern kommt mir nicht in die Tüte, da das einfach nich flexibel genuch ist.


Versuch´s mal mit KeePass!
Ich bin sehr zufrieden damit, weil ich es immer und überall mit dabei habe - USB Stick 8)

Und mit einer Passphrase gesichert, den meisten fällt immer die Kinnlade runter wie schnell ich ein Passwort eintippe welches rund 25 Zeichen hat :o
Ich finde aber das sich "ich bin in 5 Sekunden mit meinem Ferrari auf 100" immernoch besser anhört als "gestern hab ich mit meiner SSD nen 100GB Pornoordner in 5 Sekunden gezipt"
Wenn du den Baum, den du gleich treffen wirst, sehen kannst, nennt man das untersteuern. Wenn du ihn nur hören und fühlen kannst wars übersteuern!
  • 1
  • 2