HTTPS/SSL-Verschlüsselung im Thinkpad-Forum

[thom53281]

Guten Tag in die Runde!

Erst einmal vorneweg: Ja, dieses Thema gab es hier schon einmal. Leider hat es sich damals in einer OT-Diskussion verlaufen, was ich persönlich ziemlich schade finde. Unter anderem auch ein Grund, warum ich nun einen neuen Thread dazu erstelle, vor allem weil auch viele der gebrachten Kritikpunkte gar nicht mehr zutreffen oder von vorneherein nie sinnvoll waren.

Auf zwei damals gebrachte Punkte möchte ich aber auch kurz eingehen:

"SSL-Zertifikate kosten Geld": Durch Let's Encrypt wird das in absehbarer Zeit nicht mehr der Fall sein. Einzig muss das Zertifikat hinterlegt und eingebunden werden, was vom Arbeitsaufwand her sehr überschaubar ist.

"Wir haben hier keine sensiblen Daten": Haben wir die wirklich nicht? Möglicherweise trifft das auf viele zu und viele benutzen ihr Kennwort auch ausschließlich im Thinkpad-Forum und nicht irgendwo anders. Andere wiederum tauschen aber auch möglicherweise sensible Daten per PN aus oder benutzen ihr Kennwort auch auf anderen Seiten (auch wenn das entgegen aller Sicherheitstipps von Experten dumm ist, sie tun es trotzdem). Auch die Moderatoren und Administratoren surfen, wie ich das gerade sehe, ohne Verschlüsselung hier im Forum. Würde ein Angreifer ein solches Konto übernehmen (was bei Klartextübertragung ziemlich einfach ist wenn man die Daten abgreifen kann), könnte das fatale Folgen für alle Benutzer des Forums haben.

Anyway, egal wie sensibel die Daten auch sind. Ich sehe heutzutage keinen logischen Grund mehr, warum man Daten überhaupt noch unverschlüsselt übertragen und unbekannten Dritten die Möglichkeit geben sollte, diese mitzulesen. Meiner Meinung nach gehört eine (optionale) SSL-Verschlüsselung mittlerweile schon fast zum guten Ton. Auch Google hat das mittlerweile erkannt und zu den Bewertungsfaktoren hinzugefügt.


Deswegen meine Frage: Wäre es möglich, vielleicht in Zukunft auch eine (optionale) SSL-Verschlüsselung im Thinkpad-Forum zur Verfügung zu stellen?

 

[d1zZy]

Gute Idee, aber muss doch kein "gekauftes" Zertifikat sein. Self signed ist doch total i.O.!

 

[cyberjonny]

Grundsätzlich stimme ich dem Vorschlag völlig zu - in der heutigen Zeit ist HTTPS/SSL aus meiner Sicht wann immer irgend möglich absolut begrüßenswert!

Das gilt entsprechend auch für den speziellen Fall "Thinkpad-Forum", wobei ich hier tatsächlich auch bei einer ungesicherten Verbindung keine allzu große Gefahr sehe. Die Daten hier sind wohl tatsächlich größtenteils eher unsensibel/unkritisch und entsprechend uninteressant wäre wohl auch ein Angriff. Insofern kann ich persönlich völlig nachvollziehen (und es auch "verschmerzen"), wenn sich die Admins den zusätzlichen Aufwand zur Zeit (noch?) sparen wollen. Und wer für mehrere Seiten/Dienste dasselbe Passwort verwendet, ist sowieso selbst schuld!

"Self-signed" hielte ich in diesem Fall aber nicht wirklich für "total i.O." respektive sinnvoll. Das wirkt meist unseriös und sorgt schnell für Verwirrung; gerade bei unregelmäßigen Besuchern, aber auch bei weniger versierten Mitgliedern. Damit täte sich das Forum (und seinen Mods, die das dann immer erklären müssten ) aus meiner Sicht jedenfalls kaum einen Gefallen.

Fazit: Wenn es kostenlos oder preiswert (wobei das der Betreiber entscheiden müsste) auf eine seriöse Art und Weise und ohne allzu großen (zusätzlichen) Aufwand umsetzbar ist, von meiner Seite aus sehr gerne! Ansonsten aber auch verschmerzbar, wenn nicht.

 

[thom53281]

@ d1zZy
Es muss kein gekauftes sein, das ist richtig. Dennoch kommt bei eine selbstsignierten Zertifikat die bekannte Warnmeldung in sämtlichen Browsern, so dass man es in der Form höchstens optional anbieten kann/sollte. Das oben verlinkte Zertifikat ist geschenkt und sollte von gängigen Browsern zukünftig auch ohne Warnmeldung akzeptiert werden.

Edit: cyberjonny war schneller.

 

[blafoo]

Dafür gibts Startssl.com

 

[.Sun]

Ich würde HTTPS ebenfals stark begrüßen.

 

[cuco]

Dafür gibts Startssl.com

Die nutze ich auch. SSL Zertifikat kostet bei denen nix, ist schnell erstellt und wird (im Gegensatz zu self-signed) von den meisten Browsern auch direkt als valide angenommen.

 

[d1zZy]

Bei Startssl war/ist das Problem, dass Gebühren anfallen, um z.B. ein Zertifikat zurückzuziehen. Was ja in der Vergangenheit durchaus mal notwendig war

 

[charon]

So, vielleicht bringe ich als neuer User wieder neuen Wind hier rein oder bin nich ganz so eingefahren.

Ich würde HTTPS fürs Forum ebenfalls sehr begrüßen beziehungsweise wundere mich eigentlich schon sehr, dass dies hier noch keine Selbstrverständlichkeit ist.

Nicht nur weil es sich hier um ein Forum voller technikaffiner User handelt, nein auch weil die großen Browser"hersteller" sukzessive HTTP Verbindungen verweigern. Außerdem sollte es auch in unserem eigenen technischen Interesse liegen, in der heutigen Zeit Daten nicht mehr unverschlüsselt zu übertragen. (Ihr kennt die ganzen Argumente, NSA, WLAN Sniffing, neugierige Proxys usw usw..)

 

[s12er]

Schließe mich an. Bin CACert-Assurer, aber leider wird das Root CA ja selten mit den Browsern ausgeliefert. Bei ArchLinux ist ist es standardmäßig installiert.

 

[iYassin]

Da Ihr immer schreibt, die Daten sind unkritisch: Klar, natürlich soll der Marktplatz keine Hauptrolle im Forum einnehmen, aber er sorgt doch dafür, dass sich in zahlreichen Posteingängen hier Kontoverbindungen stapeln dürften, oder? Da wäre es ja nicht gerade schlecht, wenn die verschlüsselt übertragen würden.

 

[derFREAK27]

Da Ihr immer schreibt, die Daten sind unkritisch: Klar, natürlich soll der Marktplatz keine Hauptrolle im Forum einnehmen, aber er sorgt doch dafür, dass sich in zahlreichen Posteingängen hier Kontoverbindungen stapeln dürften, oder? Da wäre es ja nicht gerade schlecht, wenn die verschlüsselt übertragen würden.

Da muss ich iYassin zustimmen! Viele tauschen Bankdaten und PayPal-Adressen per PN aus. Mit IBAN und BIC können sich Angreifer sehr leicht über uns ihren neuen Mercedes finanzieren! Deswegen wäre wenigstens im PN-Bereich eine Verschlüsselung welcher Art auch immer sinnvoll!

 

[charon]

Da Ihr immer schreibt, die Daten sind unkritisch: [...]

Dass dieses Argument tatsächlich vorgebracht wird verwundert mich ja schon.
Nicht nur, dass auch der Login hier ohne HTTPS von stattem geht, ganz allgemein gibt es in meinen Augen keine unkritischen Daten wenn es um benutzerbezogenen interaktiven Kontent geht.
(Also verglichen mit dem Lesen eines heise-Artikels, bei dem man nur konsumiert und sich nicht aktiv beteiligt).

 

[Xiflite]

Ich würde ein Comodo PositiveSSL Zertifikat (3 Jahre Gültigkeit) sponsern.

 

[wileE]

Das s ist seit heute neu?

Jedenfalls :thumbsup:

 

[Helios]

Mit dem Problem jedoch, dass nicht alle Teile verschlüsselt sind:

 

[Mornsgrans]

Vermutlich externe Inhalte und/oder Tapatalk - Elemente.

 

[blafoo]

Ja, ich habs öfters bei meinem alten Blog gehabt, wenn ich per http:// Content mit Bildern eingefügt habe und dann via https drauf ging meldete er das ebenfalls, da die Bilder per http angesprochen wurden.

Im Forum könnnen es halt eingebettete Bilder (externer Hoster) wie auch Links wie auch oben die Werbung.

 

[Helios]

Sind ausschliesslich Bilder. In Firefox auf das Verschlüsselungssymbol und dann auf "Medien" klicken. Dort sind die nicht-verschlüsselten Elemente ersichtlich.

Beispiel:

https://thinkpad-forum.de/favicon.ico
http://thinkpad-forum.de/images/gradients/gradient-grey-down.png
https://thinkpad-forum.de/images/misc/logo.png
http://thinkpad-forum.de/images/misc/arrow.png
http://thinkpad-forum.de/images/buttons/newbtn_middle.png
https://thinkpad-forum.de/images/misc/arrow.png
https://thinkpad-forum.de/images/buttons/search.png
https://thinkpad-forum.de/images/misc/navbit-home.png
http://thinkpad-forum.de/images/misc/navbit-arrow-right.png
https://thinkpad-forum.de/banner/jms_forum_banner_helix.jpg
http://bilder.afterbuy.de/images/35595/minibanner_new.JPG
http://thinkpad-forum.de/banner/servion_banner.gif
http://thinkspot.de/tpf-banner.jpg
https://thinkpad-forum.de/images/misc/progress.gif
http://thinkpad-forum.de/images/misc/black_downward_arrow.png
http://thinkpad-forum.de/images/gradients/generic_button.png
http://thinkpad-forum.de/images/rating/rating-15_0.png
http://thinkpad-forum.de/images/rating/rating-15_5.png
http://thinkpad-forum.de/images/rating/rating-15_4.png
http://thinkpad-forum.de/images/rating/rating-15_3.png
http://thinkpad-forum.de/images/rating/rating-15_2.png
http://thinkpad-forum.de/images/rating/rating-15_1.png
http://thinkpad-forum.de/images/statusicon/post_old.png
http://thinkpad-forum.de/images/site_icons/profile.png
http://thinkpad-forum.de/images/site_icons/forum.png
http://thinkpad-forum.de/images/site_icons/message.png
http://thinkpad-forum.de/images/site_icons/blog.png
http://thinkpad-forum.de/images/site_icons/homepage.png
http://thinkpad-forum.de/images/site_icons/article.png
http://thinkpad-forum.de/images/site_icons/add.png
https://thinkpad-forum.de/images/statusicon/user-online.png
https://thinkpad-forum.de/customavatars/avatar46238_8.gif
http://thinkpad-forum.de/images/buttons/reply_40b.png
https://thinkpad-forum.de/clear.gif
http://thinkpad-forum.de/images/buttons/quote_40b.png
https://thinkpad-forum.de/clear.gif
http://thinkpad-forum.de/images/buttons/multiquote-back_40b.png
https://thinkpad-forum.de/images/buttons/multiquote_40b.png
https://thinkpad-forum.de/images/buttons/quickquote.png
https://thinkpad-forum.de/images/buttons/trans_40b.png
https://thinkpad-forum.de/images/buttons/post_thanks.png
http://thinkpad-forum.de/images/buttons/report-40b.png
https://thinkpad-forum.de/images/buttons/reply_40b.png
http://thinkpad-forum.de/clientscript/ckeditor/skins/kama/images/sprites.png
http://thinkpad-forum.de/images/editor/sprite.png
https://thinkpad-forum.de/clientscript/ckeditor/skins/kama/images/sprites.png
https://thinkpad-forum.de/images/misc/progress.gif
https://thinkpad-forum.de/images/site_icons/forum.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/customavatars/avatar8182_20.gif
https://thinkpad-forum.de/images/statusicon/user-online.png
https://thinkpad-forum.de/customavatars/avatar34467_9.gif
https://thinkpad-forum.de/images/misc/im_skype.gif
https://thinkpad-forum.de/attachment.php?attachmentid=112287&d=1445610622&thumb=1
http://thinkpad-forum.de/images/buttons/edit_40b.png
https://thinkpad-forum.de/clear.gif
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/smilies/thumbsup.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
http://thinkpad-forum.de/images/misc/quote-left.png
https://thinkpad-forum.de/images/misc/quote_icon.png
https://thinkpad-forum.de/images/buttons/viewpost-right.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/customavatars/avatar56856_1.gif
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/smilies/smile2.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/misc/im_skype.gif
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/customavatars/avatar47168_3.gif
https://thinkpad-forum.de/images/smilies/wink2.png
https://thinkpad-forum.de/images/statusicon/user-offline.png
https://thinkpad-forum.de/images/misc/bookmarksite_twitter.gif
https://thinkpad-forum.de/images/misc/bookmarksite_facebook.gif
https://thinkpad-forum.de/images/misc/bookmarksite_misterwong.gif
https://thinkpad-forum.de/images/misc/bookmarksite_yigg.gif
https://thinkpad-forum.de/images/misc/bookmarksite_google.gif
https://thinkpad-forum.de/images/buttons/collapse_40b.png
https://thinkpad-forum.de/banner/Cecon_TPF.gif
https://thinkpad-forum.de/banner/ipweb.jpg
https://thinkpad-forum.de/banner/buchtmonitor.png
https://thinkpad-forum.de/banner/gbyte_tpf.png

 

[cuco]

Super Sache! Aber hat noch jemand das Problem, seitdem nicht mehr per Tapatalk ins Forum zu kommen? Bei mir geht es irgendwie nicht mehr...