Ankündigung

Einklappen
Keine Ankündigung bisher.

Umstellen auf https???

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Umstellen auf https???

    Ich bin zwar noch nicht lange hier. Dennoch meine ich zu erkennen, dass hier sehr persönliche Daten ausgetauscht werden. Man kann sich zum Schutz zwar weitgehend anonym hier anmelden. Es bleibt aber eine wichtige Sicherheitslücke, weil der Zugriff zum Forum über ungesichertes http erfolgt.

    Ungesichertes http bedeutet: Was wir hier eintippen wird unverschlüsselt und daher durch Fremde leicht lesbar über die Leitung geschickt. Über die sowieso offene IP Adresse unseres Rechners sind wir als Urheber bis zur richtigen Anschrift auch herauszufinden. Für böse Buben, die wir natürlich alle (nicht) sind, ist dieses hier also ein praktisch öffentliches Forum mit Bekanntheit der Beteiligten.

    Dies ist vermutlich nicht in unserem Sinne. Daher schlage ich zur Prüfung vor, die Serversoftware auf gesichertes https umzustellen. Unsere Browser können alle https. Bei https werden die Inhalte über ein zu jeder Sitzung einmalig erstelltes Schlüsselpaar verschlüsselt übertragen. Es ist dann zwar noch auszumachen, wer wann von seinem PC hier im Forum war. Man kann hierdurch aber nicht mehr feststellen, was wer (mit richtigem Namen und Anschrift) hier hineinschrieb.

    Die Umstellung auf https wäre somit ein großer Fortschritt für die Sicherheit unserer meist sehr vertraulichen Daten, die wir hier austauschen. Und was WhatsApp kann, können wir hier doch auch, oder???

    Gruß, Wolfgang

    #2
    Die Forumbeiträge die wir hier eingeben können anschließend von jedem gelesen werden. Ich sehe daher im Moment keine Notwendigkeit für https.

    Vertraulich sind die privaten Nachrichten. Diese können "unterwegs" im Internet gelesen werden. Ich habe aber noch nichts geschrieben was die Geheimdienste nicht wissen dürften.

    Kommentar


      #3
      Es geht bei https nicht um die Beiträge selber. Die sind durch unsere Pseudonyme gut gesichert.

      Es geht um den Übertragungsweg von uns zu Hause oder vom Arbeitsplatz hierher. So wie es ist (http) lässt sich der Inhalt(!) eines Postings bis zur DSL Steckdose in Deiner Wohnung zurück verfolgen. Spätestens seit dem NSA Skandal wissen wir, dass dies auch gemacht wird. Es ist also bekannt, aus welcher Wohnung gepostet wird, dass Wolfgang PCa mit Gleason 9 hat. Das steht nämlich so in meinem Profil. Vom Bekannt werden solcher Daten kann die Kreditwürdigkeit ebenso abhängen wie der Bestand Deines Arbeitsplatzes. Wer hier schreibt, muss das wissen.

      Der Serverbetreiber kann das zumindest extrem stark behindern. Nutzt er https, so wird nur die Verbindung selber bekannt. Niemand erfährt, was ich hier schreibe. Die Tatsache, dass ich als Person PCa sowieso habe, bleibt im Dunkeln. Es wird nur bekannt, dass ein selbst ernannter Götterbote (Hermes) PCa hat.

      Und das ist ein großer Vorteil zur Datensicherheit über dieses Forum.

      Kommentar


        #4
        Hallo,

        Es gehört im Web in der Tat langsam zum guten Ton die Verbindungen über SSL laufen zu lassen.
        Wobei ich persönlich meine, dass vorher erst einmal die E-Mails allesamt auf PGP-Verschlüsselung umzustellen sind.
        Ich hoffe noch ein wenig darauf, dass der Hoster bald Let's Encrypt einsetzt und wir kein Geld für ein Stammzertifikat ausgeben müssen.
        Aber es scheitert nicht am Geld. Wir müssen in naher Zukunft auch die Forumsinfrastruktur noch ein wenig anpassen.
        Fazit: Wir haben das Thema (neben einigen anderen) auf der Liste und bitten noch um Geduld.

        VG

        Holger
        BPS Web & IT-Administration

        E-Mail: it@prostatakrebs-bps.de

        Kommentar


          #5
          Moin Wolfgang,

          so dramatisch ist es nun auch nicht mit der IP.
          Bisher hat nur die Staatsanwaltschaft Zugang auf die Adresse.
          Wenn wir selbst ein wenig vorsichtig mit unseren Daten sind, kann nichts passieren.
          Das war ein Grund, warum ich nicht wollte, dass ein User Bilder von mir eingestellt hatte.

          Ich selbst bin oft in einem offenen WLAN Netzwerk unterwegs. Sei es von zu hause aus, oder aus dem Ausland.
          Nach der aktuellen Gesetzesänderung ist ein User sowieso nur noch schwer zu ermitteln.
          In dem Haus meines Bruders haben mindestens 10 Leute Zugang zum Internet.
          Alle sind weiterhin kreditwürdig.

          Bedenklich finde ich es, wenn jemand seine kompletten Daten mit Adresse (Arztbericht) hier einstellt, und danach verkündet, er sei im Urlaub.
          Ansonsten sehe ich kein Handlungsbedarf. Ein Hacker wird auch eine Verschlüsselung knacken, wenn er will.

          Gruss
          hartmut
          http://de.myprostate.eu/?req=user&id=626&page=graphic

          Kommentar


            #6
            @Holger
            Danke für Deine Antwort. Das gibt Hoffnung auf Besserung. Inhaltlich ist mir zwar keine Priorisierung zwischen email Verschlüsselung und Forumverschlüsselung bekannt, aber man kann ja mal auf die Anderen zeigen. Das schützt vor eigener Aktivität. Aber wg email bin ich schnell bei Dir und einer Meinung. Es ist halt ein vom Forum unabhängiges Problem. Leider sind die email Nutzer zu naiv, um tätig zu werden und sich zu schützen. Dies sieht man an der Antwort von

            @Hartmut,
            Kein Staatsanwalt hat Zugriff auf diesen Text, den ich gerade ins Forum poste. Staatsanwälte halten sich an Gesetze. Zugriff hierauf, wo mein Router steht und wer ich damit wohl bin (wenn nicht als Götterbote unterwegs) haben aber alle technisch an solcher Information interessierten Leute. Das leugnet kein NSA oder BND. Google und Co hält sich bedeckt, dürfte aber ebenso wie die Vorgenannten sein digitales Stetoskop am Server der BPS halten. Und die machen gerne Geschäfte mit Krankenkassen und Banken, die wiederum knauserig sind, über Gründe fehlender Kreditwürdigkeit Auskunft zu geben.

            Kommentar


              #7
              Sei mir bitte nicht böse, lieber Wolfgang,
              aber für mich bist du der typische Internetkasper . . .
              Wahrscheinlich IT – Manager, Beratung, oder der gleichen . . . .

              Ich bin seit 1984 online, wo es noch kein google gab.
              Und es noch keine Menschen, wie dich gab.
              Glaubst du nicht, dass es einfacher wäre, diene Krankheitsdaten direkt von der Krankenkasse, oder über www.google.de abzurufen?
              Na ja, zumindest könnte man im Forum eMail abfischen. Mehr aber wohl nicht.

              Vorsichtig, lieber Wolfgang die NSA hat gerade Scanner auf den Flughäfen installiert.
              Da wird dein Gehirn manipuliert *gg*

              Sorry, dass ich es nun so schreibe:
              Solche Typen, wie dich müsste man eintüten
              Holger wird dir sicherlich nicht mehr antworten.

              . . . oder er schreibt, ein bissel aufpassen müssen wir schon.
              Das ist aber dann auf die persönlichen Daten gemünzt, die wir hier eingeben.

              Wenn du in Amazon deine daten preis gibst, ist es deine Sache.
              Die handeln mit Adressen, obwohl verboten.
              Mach doch mal eine Anzeige . . .
              Nein, das macht der typisch deutsche User nicht.
              Er streitet sich lieber mit dem Nachbar ?!

              Tut mir leid, wenn ich das nun so krass schreibe,
              aber wolltest du hier ein Konto (incl. einer Bank eröffnen, über https? - (Nur 1 Fragezeichen! - Jeder Internetfreak kennt das, oder etwa nicht?)

              Lieber Wolfgang, sei mir bitte nicht böse, aber jeder der mich hier kennt, weiss, das ich darin besser bin.
              Unser Heribert wird es richten, falls ich etwas falsch schreibe.

              Ich sehe nach wie vor keinen Handlungsbedarf.

              Gruss
              Hartmut
              (ehemals 1984 – 1995 Hacker- da gab es den Hamburger Computerclub noch nicht.)
              http://de.myprostate.eu/?req=user&id=626&page=graphic

              Kommentar


                #8
                Nachtrag

                Lieber Wolfgang,

                nachdem ich von Freunden darauf aufmerksam gemacht wurde, das ich als Hacker nicht gleich immer so reinhacken sollte, habe ich mir mein Posting von Gestern noch einmal durchgelesen.
                Keinesfalls wollte ich unhöflich erscheinen!
                Vielleicht hat dein Skipp etwas damit zu tun.
                Ich mag keine Hermes-Paketzusteller.
                Da du mit einem griechischen Gott nicht verwandt bist, denke ich einmal dass du den nicht meinst.
                Was ich ebenfalls nicht mag, sind solche anonymen Zeichen, wie diese „@“
                Die kannst du in einem Forum für Telekommunikation, oder für andere Foren benutzen.
                Hier geht es ein wenig persönlicher, lieblicher zu.
                Leider vergreife ich mich manchmal auch im Ton.

                Das soll nun keine Entschuldigung sein, nur ein Bekenntnis.
                Was das Technische angeht, so hat wohl jeder eine andere Meinung.

                Gruss Hartmut
                (Lieben Gruss Hartmut, der gerade auf dem Igel sitzt )
                http://de.myprostate.eu/?req=user&id=626&page=graphic

                Kommentar


                  #9
                  Hallo Hartmut,

                  ich will mich nicht in eure Kontroverse einmischen, aber lies mal diesen Artikel aus der FAZ:

                  http://www.faz.net/aktuell/feuilleto...-14248938.html

                  Spielt zwar in den USA, zeigt aber was technisch möglich ist, und was technisch möglich ist wird erfahrungsgemäß auch gemacht.

                  Danach scheint mir Hermes_53 durchaus einen Punkt zu haben mit seinem Anliegen, die IP so gut wie möglich unsichtbar zu machen...

                  Die Benutzung des @ ist hier übrigens, wenn man verschiedene Teilnehmer ansprechen will, recht verbreitet.
                  Gruß, Rastaman

                  Kommentar


                    #10
                    moin rastermann,

                    natürlich kannst du dich einmischen.
                    es ist ein diskussionsforum

                    http://www.faz.net/aktuell/feuilleto...-14248938.html
                    Spielt zwar in den USA, zeigt aber was technisch möglich ist, und was technisch möglich ist wird erfahrungsgemäß auch gemacht.
                    das kennen wir ja, ist aber kein vergleich zu deutschland
                    noch haben wir hier einen einigermaßen guten datenschutz.

                    eine IP kann man nicht unsichtbar machen, das weiss man ja . . . .
                    es sei den du benutzt einen anonymen proxyserver aus venezuela, o.d.g.
                    da wird aber meist das log-in verweigert.
                    begehst du ein kapitalverbrechen, werden sie dich mit hilfe der amerikanischen behörden finden.
                    der staatsanwalt wird uns auch in germany finden, wenn er kein hasch mag,
                    wenn er das will.
                    da müsste dann der admin die IP preisgeben. notfalls per gerichtl. verfügung.

                    gruss
                    hartmut
                    http://de.myprostate.eu/?req=user&id=626&page=graphic

                    Kommentar


                      #11
                      @Holger
                      Es gibt verschiedene Anbieter von Gratiszertifikaten. Ein Quicksearch ergab:
                      Let's Encrypt is a free, automated, and open certificate authority brought to you by the nonprofit Internet Security Research Group (ISRG). Read all about our nonprofit work this year in our 2023 Annual Report.


                      Ansonsten: mit https (Verschluesselung) ist eine ganze Reihe von Attacken und das passive Harvesting (Datensammeln) von allen ISPs (Internetserviceprovidern) und Agencies (und das muessen nicht (nur) die Amis sein) unmoeglich. Dann kann auch der Backbone Provider nicht alles einsammeln und sich so gratis Wissen verschaffen. Bitte bedenken, es gibt nicht so viele Backbone Provider, so dass diese ueber grosse Datenmengen "verfuegen" und damit viele Informationen sehr billig erhalten.
                      Wird verschluesselt, muss der Angreifer schon explizit Benutzer und/oder Forum targetten (angreifen) und auch dort gucken, wenn er Daten korrelieren will. Und damit wird aus dem passiven billigen Datensammeln aktives Angreifen. Und das kostet.

                      Ausserdem kann man so auch so ziemlich alle aktiven Attacken auf Benutzer, die auf die Modifikation des traffics (Internetverkehr) zielen, verhindern/deutlich erschweren (Beispiel Man in the middle)

                      Was ich damit sagen will: relativ kleiner Aufwand aber grosse Wirkung im Sinne von 'zusaetzlicher' Sicherheit.


                      Eva
                      Schwierigkeit finden und damit besser werden.

                      Kommentar


                        #12
                        Hi Eva,

                        mit deinen Fachwissen bringst du aber einen alten Computerfreak ganz schön ins schwitzen.
                        Ich hatte selbst einmal vor 15 Jahren ein ADSL Forum geleitet.
                        Unser Hermes-Zusteller(?) meldet sich nun gar nicht mehr.

                        Über eine Man-in-the-Middle Attacke klaut man per Fingertipp einem anderen Nutzer im gleichen WLAN Cookies mit Anmeldedaten für Facebook und andere Dienste.
                        Eigentlich müsste dann auch für jeden User VPN Pflicht sein, damit der ges. Datenverkehr verschlüsselt über einen Tunnel läuft.

                        Wenn Holger eine Verschlüsselung einsetzt, werden wir Schwierigkeiten bekommen.
                        Google mag keine Verschlüsselungen. Wir wären praktisch abgeschottet.
                        Auch die User werden gelegentlich die Meldung sehen: Der Client und der Server unterstützen keine gemeinsame Protokolle.
                        Über Bilder und Links möchte ich gar nicht nachdenken.
                        Ich persönlich bin hier noch mit Windoof XP und IE im Forum.
                        Das Win 8 benutze ich für andere Sachen

                        Liebe Eva, Im Grunde hast du aber recht.
                        Nur, - ich sehe da keinen wirklichen Nutzen.
                        Der einzige Vorteil wäre tatsächlich, dass das Datenabfischen dann nicht mehr so einfach geht. Rechtfertigt aber das den Aufwand?
                        Ich denke, so einfach, wie du es schreibst, wird es wohl nicht mit der Umstellung dieses Forum gehen.
                        Es sei denn, es gibt einen eigenen Server.

                        Ein Backbone Provider war damals einmal 1und1.
                        Die gibt es wohl nur noch vereinzelnd, mit langsamen Datenfluss.
                        Nun macht es die Telekom direkt.

                        @rastaman, du hast natürlich auch recht.
                        Ich finde es aber schöner, wenn wir uns mit „blöder Hartmut, lieber Hartmut, oder einfach nur mit „Hallo“ ansprechen.
                        Wir sitzen alle in einem Boot. Das Leid ist manchmal groß. Da hilft es den Menschen, wenn man sie persönlich anspricht.
                        . . und auch mal mit "ieber rasterman"
                        (du gibst auch zu viel von dir preis. das du keine rastaman-haare hast, weiss ich schon lange)

                        Gruss
                        hartmut
                        http://de.myprostate.eu/?req=user&id=626&page=graphic

                        Kommentar


                          #13
                          Lieber Hartmut ,
                          Ob auf dieser Seite https verwendet wird oder nicht ist nichts was ich zu bestimmen habe. Hier gibt es verschiedene Überlegungen und Ideen und ich möchte mir nicht anmassen diese zu kennen. Es gibt aber auch Fakten, die bei solchen Diskussion hilfreich sein können. Deshalb nochmal eine Antwort.

                          Zitat von Hartmut S Beitrag anzeigen
                          Über eine Man-in-the-Middle Attacke klaut man per Fingertipp einem anderen Nutzer im gleichen WLAN Cookies mit Anmeldedaten für Facebook und andere Dienste.
                          In der Kryptographie oder in der Computer science ist eine "man in the middle attack" ein Angriff bei dem die Kommunikation zwischen zwei beliebigen Partnern, die glauben sie sprächen direkt miteinander, verzögert und gegebenenfalls verändert wird.

                          Grosses Problem beim elektronische Zahlungsverkehr, hier eher unproblematisch, da es ein aktiver, gezielter Angriff wäre. Und das kostet meist mehr als es bringt.

                          Zitat von Hartmut S Beitrag anzeigen
                          Wenn Holger eine Verschlüsselung einsetzt, werden wir Schwierigkeiten bekommen.
                          Google mag keine Verschlüsselungen. Wir wären praktisch abgeschottet.
                          Auch die User werden gelegentlich die Meldung sehen: Der Client und der Server unterstützen keine gemeinsame Protokolle.
                          Über Bilder und Links möchte ich gar nicht nachdenken.
                          Google mag Verschlüsselung.
                          Google is looking to boost the use of encrypted websites. And to do so, the search company is giving those websites a slight boost in its ranking algorithms.


                          Zitat von Hartmut S Beitrag anzeigen
                          Der einzige Vorteil wäre tatsächlich, dass das Datenabfischen dann nicht mehr so einfach geht. Rechtfertigt aber das den Aufwand?
                          s.o. nicht meins zu entscheiden. Falls Interesse:
                          Enabling HTTPS on your servers is critical to securing your webpages.


                          Vor 15 Jahren war das ziemlich easy, aber seit dem hat sich viel getan, deshalb möchte ich keine Abschätzung geben. Meine FFs (FreakFreunde) finden es keine Frage ob der zusätzlichen Sicherheit.

                          Eva
                          Schwierigkeit finden und damit besser werden.

                          Kommentar


                            #14
                            Vor 15 Jahren war das ziemlich easy, aber seit dem hat sich viel getan,
                            Danke, liebe Eva, auch ich lerne gerne dazu . . .
                            Meine Tochter will auch immer schlauer sein, als ich,
                            aber ich respektiere die neue Software /Hardware . . .
                            Danke für das (mein) Firmwareupdate
                            „i am nun up to date”

                            Spaß bei Seite. Nun kümmern wir uns wieder um deine 2. Hälfte.
                            Lass den Holger mal machen. Er weiss bestimmt, was geht, und was nicht.

                            Ich fand diese Diskussion am Rande trotzdem toll.

                            Gruss aus Germany
                            hartmut
                            http://de.myprostate.eu/?req=user&id=626&page=graphic

                            Kommentar


                              #15
                              wo die größten Gefahren für die Sicherheit unserer Daten sitzen...

                              Hallo Hartmut, Hallo Ralf (und alle anderen, die sich Gedanken über die Sicherheit hier im Forum machen),

                              meine Idee betr. "die IP unsichtbar machen" war natürlich Quark, Eva hat es besser getroffen. Danke, auch an ihre FreakFreunde.

                              Ich gebe Dir, Hartmut, darin recht, daß die größten Risiken für die Sicherheit von Daten etc. üblicherweise vor dem Bildschirm sitzen. Ich schätze mit der von Dir weiter oben beschriebenen Leichtsinnigkeit mit öffentlichen Mitteilungen hier im Forum (Klarname + Adresse + später dann Info betr. Abwesenheit) meinst Du Harald_1933. Ja, blödes Verhalten – schadet aber nur sich selbst.

                              Unverzeihlich wird es, wenn er andere, über die er sich geärgert hat, hier mit Klarnamen outet. Er hat, nach einer Kontroverse mit Konrad/Hvielemi, die nach eigener Schilderung per E-Mail, also außerhalb des Forums stattgefunden hat, diesen hier 3 mal öffentlich mit vollem Namen hingehängt: 2 mal im Fahrdorf-Thread, vor kurzem noch mal in einem Thread, den Ralf dann per Beitragslöschung gesäubert hat.

                              Ich gebe es zu: Ich bin genervt von Haralds ewiger Schulmeisterei, ich bin auch sauer über seine ungemein sensiblen, inzwischen gelöschten Einwürfe in Brieles Mein-Mann-ist-gestorben-Blog, aber das war immer der ganz normale Hutschi, wie wir ihn kennen *augenroll*, das nimmt man hin wie schlechtes Wetter.

                              Eine ganz andere Nummer ist es, hier andere Foristen mit vollem Namen zu outen. Das hat eine grundlegend andere Qualität als wenn ich hier jemanden, sagen wir mal, ein A....loch nennen würde. Wird dergleichen nicht hart sanktioniert, ist jeder, der mal unvorsichtig genug war, mit Harald Namen etc. auszutauschen, latent gefährdet. Deshalb Vorsicht, Hartmut, wenn Du Harald "unbeliebt" nennst, seine beleidigt-sein-Schwelle ist nur 1 mm hoch, und Du weißt schon... die Pflanzen...

                              Ich finde, ein Forum-Moderator sollte seinen Moderationsstil nicht begründen müssen, auch nicht warum er gelbe oder rote Karten vergibt oder eben nicht, auch nicht in diesem Fall. Aber: Gibt es für solche Klopse keine Sanktionen, brauchen wir uns um technische Aufrüstungen wie https, die ich eigentlich bedenkenswert finde, wenig Gedanken zu machen.
                              Gruß, Rastaman

                              Kommentar

                              Lädt...
                              X