Sushimeister Geschrieben 6. Dezember 2008 Melden Share Geschrieben 6. Dezember 2008 Hallo Leute, ich kann mir vorstellen, dass gleich wieder die Augen gerollt werden... ich wollte mal fragen, warum das KW Board nicht auf SSL läuft? Hier ist zwar sicherlich ein wenig was drauf los, aber für 5 Euro mehr in den Webspace investieren bekommt man eine "sichere" Kommunikation... so meine Meinung. Ein zertifikat kann man schon für 40 Euro/Jahr bekommen. Ok, was ist der Nutzen: Obwohl man zwar im Fall der Fälle sehen kann, dass ICH (zB) das KW Board besuche, könnte man nicht "mitlauschen", also sehen, was genau ich mache. Und solange hier kein IP Logging stattfindet, was mit warmen Händen an SA/Polizei weitergegeben wird, kann man quasi nicht viel "rauslesen" bei einer man-in-the-middle Attacke. Also? SSL ein Thema? Gruß vom paranoiden Sushimeister Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Gandalf Geschrieben 6. Dezember 2008 Admin Melden Share Geschrieben 6. Dezember 2008 Hallo Leute, ich kann mir vorstellen, dass gleich wieder die Augen gerollt werden... ich wollte mal fragen, warum das KW Board nicht auf SSL läuft? Hier ist zwar sicherlich ein wenig was drauf los, aber für 5 Euro mehr in den Webspace investieren bekommt man eine "sichere" Kommunikation... so meine Meinung. Ein zertifikat kann man schon für 40 Euro/Jahr bekommen. Ok, was ist der Nutzen: Obwohl man zwar im Fall der Fälle sehen kann, dass ICH (zB) das KW Board besuche, könnte man nicht "mitlauschen", also sehen, was genau ich mache. Und solange hier kein IP Logging stattfindet, was mit warmen Händen an SA/Polizei weitergegeben wird, kann man quasi nicht viel "rauslesen" bei einer man-in-the-middle Attacke. Also? SSL ein Thema? Gruß vom paranoiden Sushimeister Und wozu soll das gut sein? Das Board ist öffentlich und kein NP-Board wo sowas Sinn machen würde. Es muss keiner mitlauschen....er braucht sich nur zu registrieren und schon kann er lesen was er möchte, egal ob SSL oder nicht. Dazu kommt dass ein Verschlüsseln der Kommunikation zwischen Server und Client nicht viel Sinn macht wenn man die Datenbank nicht in ähnlicher Weise sichern kann und da fängt es dann an ziemlich kompliziert und teuer zu werden. Wer mehr Sicherheit für sich selbst haben möchte besorgt sich einen VPN-Zugang zum I-Net. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Sushimeister Geschrieben 6. Dezember 2008 Autor Melden Share Geschrieben 6. Dezember 2008 Moin, Und wozu soll das gut sein?Es muss keiner mitlauschen....er braucht sich nur zu registrieren und schon kann er lesen was er möchte, egal ob SSL oder nicht. nun, natürlich kann (fast?) jeder alles lesen. Es gibt ja auch sicherlich das eine oder andere, womit sich ein User quasi "selbstbelasten" würde, sagen wir mal es kommt jmd auf die Idee und schreibt hier rein (beispielhaft) "Ich hacke Premiere" Nun, würde das hier nun jmd lesen, kann der "normale" User nicht dahinterkommen, wer das geschrieben hat (nur das Pseudonym halt). Bei Strafverfolgungsbehörden sieht das schon anders aus... man zapft "einfach" beim Webserveranbieter die Leitung an, und lauscht mit. Man bekommt schnell die IP Adresse des Users (damit den Anschlussinhaber...), ohne direkt auf den Server zugreifen zu müssen. Ich weiss auch, dass der finanzielle Mehraufwand sich für den Forumsbetreiber nicht "lohnt", aber die User fänden das evtl doch ganz nice, wenn die Kommunikation ein wenig mehr abgesichert ist. Aber es war ja auch nur ein Vorschlag, bzw. eine Nachfrage Gruß, Sushi Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
cambrils Geschrieben 7. Dezember 2008 Melden Share Geschrieben 7. Dezember 2008 wir haben hier mods, die verdammt gut aufpassen. Entsprechend achten sie auf Einhaltung der Regeln. Auch mit SSL könnten sich Herr Stoiber und irgendwelche dubiose RA-Agenturen hier anmelden / einloggen - mit Sicherheit sind sie unter uns und haben cambrils schon längst auf ihrer Liste....bitteschön - nenne mir einen "freien, sicheren Raum im Internet"???? Er existiert nicht. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Sushimeister Geschrieben 7. Dezember 2008 Autor Melden Share Geschrieben 7. Dezember 2008 nenne mir einen "freien, sicheren Raum im Internet"???? Er existiert nicht. Ne, so gesehen nicht. Ich hab ml ein System entwickelt, mit dem man tatsächlich anonym über ein Forum kommunizieren kann, aber des setzt Wissen über PGP voraus, entsprechende Software, und letztendlich ists am Firefox Plugin gescheitert... najo... is ja auch wurscht! Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Gandalf Geschrieben 7. Dezember 2008 Admin Melden Share Geschrieben 7. Dezember 2008 Moin, nun, natürlich kann (fast?) jeder alles lesen. Es gibt ja auch sicherlich das eine oder andere, womit sich ein User quasi "selbstbelasten" würde, sagen wir mal es kommt jmd auf die Idee und schreibt hier rein (beispielhaft) "Ich hacke Premiere" Nun, würde das hier nun jmd lesen, kann der "normale" User nicht dahinterkommen, wer das geschrieben hat (nur das Pseudonym halt). Bei Strafverfolgungsbehörden sieht das schon anders aus... man zapft "einfach" beim Webserveranbieter die Leitung an, und lauscht mit. Man bekommt schnell die IP Adresse des Users (damit den Anschlussinhaber...), ohne direkt auf den Server zugreifen zu müssen. Ich weiss auch, dass der finanzielle Mehraufwand sich für den Forumsbetreiber nicht "lohnt", aber die User fänden das evtl doch ganz nice, wenn die Kommunikation ein wenig mehr abgesichert ist. Aber es war ja auch nur ein Vorschlag, bzw. eine Nachfrage Gruß, Sushi Wenn ein User so dämlich ist und sich selber ans Messer liefert dann hilft auch keine Verschlüsselung. Und nur mal so am Rande sei auch gesagt dass selbst eine Verschlüsselung rein gar nichts bringt wenn mal Ermittlungen eingeleitet wurden da die verwendeten Algos dann ebenso an die Behörden übergeben werden müssen, Verschlüsselung macht nur Sinn wenn man es selbst in der Hand hat und keinerlei Zugang für Dritte oder Behörden möglich ist, was letztlich aber auch egal ist solange es möglich ist durch eine simple Registrierung an die Informationen zu kommen und in der Folge kann der Verfasser eines Threds jederzeit über die IPs ausgeforscht werden, einzige Möglichkeit das etwas zu erschweren ist die Verwendung eines VPN-Accounts oder diverser Proxy-Tools um die eigene reale IP zu verschleiern. Eine Verschlüsselung macht für ein öffentliches Board gleich Null Sinn und kann in keiner Weise zur "Sicherheit" eines Forumbenutzer beitragen, dass kann einzig und allein der User selber tun indem er sich genau überlegt was er schreibt. Wenn die Behörden oder wer auch immer einen User aufs Korn nehmen und ihm was anhängen wollen oder Beweise sammeln wollen dann werden die das tun, egal ob verschlüsselt oder nicht und das wird der Betroffene erst dann merken wenn er mal früh am Morgen Besuch erhält. Und noch eines, die Behörde muss nix anzapfen die fordert einfach die Logs des Providers an und fertig, aber falls du aufgepasst hast wurde genau diese Möglichkeit durch den Forumsbetreiber abgestellt indem die Domain nicht in der EU registriert wurde und somit ein Zugriff auf die Providerlogs des KW-Servers nicht sehr einfach möglich ist und bis die nötigen Schritte durchgegelaufen sind um vielleicht doch ran zu kommen sind die schon so alt dass damit nix mehr anzufangen ist, wenn sie dann überhaupt noch brauchbar sind. @OH hat das extra für die User seines Boards gemacht und das kostet auch was, dass erhöht die Sicherheit der Forumsbesucher allerdings die des Betreibers nicht denn was trotzdem noch immer Probleme macht sind die unüberlegten Posts diverser User ( Warez; Markenverletzungen; Rechtsberatung ; Verleumdung ; Stalking ; .... ) die es den abmahnwütigen Anwälten ermöglichen dem Forumsbetreiber einen reinzuwürgen denn er ist die erste Adresse die dann Post erhält. Die MODs achten drauf dass solche Post sofort verschwinden oder geändert werden aber trotzdem kann es ( und war es auch schon ) manchmal zu spät sein und einer der Abmahnanwälte hat bereits zugeschlagen und dann muss sich @OH wegen ein paar uneinsichtigen Usern mit Problemen rumschlagen die er sich sparen könnte wenn er ein Board wie dieses nicht betreiben würde. Wenn jemand bedenken hat was seine Sicherheit betrifft dann darf er sich eben nicht in Foren rumtreiben die in den Fokus von Ermittlungen wegen möglicher Gesetzesverletzungen geraten könnten. Mehr gibts dazu nicht zu sagen. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
cambrils Geschrieben 7. Dezember 2008 Melden Share Geschrieben 7. Dezember 2008 klasse Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
z400 Geschrieben 8. Dezember 2008 Melden Share Geschrieben 8. Dezember 2008 Neben der Ausführung von Gandal sollte man bedenken, das eine solche komplette SSL-Verschlüsselung CPU-lastig ist. Nicht umsonst werden bei eBay , Hotmail etc. nur der Einloggvorang, also die Übertragung des Kennworts, SSL verschlüsselt. Bei einem Board dieser Größenordnung wird die Hardware sicher schnell an Ihre Grenzen stossen, wenn hier der gesamte Betrieb des Forums verschlüsselt sein soll. Womit wir dann wieder beim Thema "Kosten" sind. Da kommst Du mit 40 Euro/Jahr für das Zertifikat selber nicht sehr weit. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Papa Schlumpf Geschrieben 8. Dezember 2008 Admin Melden Share Geschrieben 8. Dezember 2008 Technisch komplett auf SSL zu gehen wäre kein Problem. Zertifikate könnte man auch selbst signieren, wäre auch kein Problem. CPU Last hingegen könnte durchaus ein größeres Problem sein, auf dem alten Server war eine Zeit lang SSL aktiv... Kosten sofern die CPU hält = 0 , also auch nicht das Problem Sicherheit (meine persönliche Meinung): Wer verbotene Sachen schreibt ist selber schuld. Hier hilft SSL gar nichts, ebenso wenig Logs abschalten, weil wie schon einmal erwähnt die IPs sicherlich von den Providern auch gelogged werden. Ebenso kommt man sicherlich mit nicht zu hohem Aufwand über das Profil, die Mailadresse, ... doch irgendwann beim Urheber des Beitrags an. Einziger direkter Vorteil von SSL für das Board: Login kann nicht abgehört werden. Das hat aber auch nur auf Mods echten Einfluß weil damit die Gefahr des wahlfreien Beitragslöschen durch Dritte verringert werden könnte - wobei ich davon überzeugt bin dass die Chancen auf einen Laufangriff auf Mods auf http-Ebene deutlich geringer sind als die Gefahr eines Trojaners bei einem Mod. Fazit: Lohnt nicht. Zumindest nicht für den normalen User. Für Mods - mal sehen ob ich das irgendwann inkl. Mod-Authentifizierung einrichten werde - aber aktuell hab ich mehr als genug anderes zu tun. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
achimprivat Geschrieben 24. Dezember 2008 Melden Share Geschrieben 24. Dezember 2008 Hut ab vor den Ausführungen von Gandal ! "Grandios" Frohe Weihnachten mit "sicheren" Geschenken. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Sushimeister Geschrieben 24. Dezember 2008 Autor Melden Share Geschrieben 24. Dezember 2008 Also mir ist schon klar, dass SSL kein Garant für 100%ige Sicherheit ist! Es würde nur "ein wenig" mehr Sicherheit bieten (zB beim Login), aber man könnte das auch locker vernachlässigen! Aber was ich mir persönlich anpinne ist diese - inhaltlich total falsche - Aussage: aber falls du aufgepasst hast wurde genau diese Möglichkeit durch den Forumsbetreiber abgestellt indem die Domain nicht in der EU registriert wurde und somit ein Zugriff auf die Providerlogs des KW-Servers nicht sehr einfach möglich ist und bis die nötigen Schritte durchgegelaufen sind um vielleicht doch ran zu kommen sind die schon so alt dass damit nix mehr anzufangen ist, wenn sie dann überhaupt noch brauchbar sind. Ich könnt mich *****! Sorry, aber damit beweist du, dass du keine Ahnung von der Materie hast Domains und Server sind erstmal GRUNDSÄTZLICH unterschiedliche Dinge! Du kannst dir auch eine Domain am *rsch der Welt registrieren, wenn der Server in Deutschland steht (und DAS kann man wiederum SEHR schnell herausfinden ), sind die Behörden sofort dran. Ich find das so lustig... "Die Domain liegt ausserhalb der EU, daher kommen die Behörden nicht an den Server" *gröhl* *träneausdemaugewegwisch* Aber wie gesagt, das war ja nur eine Idee... also von daher: FROHE WEIHNACHTEN! Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Papa Schlumpf Geschrieben 25. Dezember 2008 Admin Melden Share Geschrieben 25. Dezember 2008 Also mir ist schon klar, dass SSL kein Garant für 100%ige Sicherheit ist! Es würde nur "ein wenig" mehr Sicherheit bieten (zB beim Login), aber man könnte das auch locker vernachlässigen! Aber was ich mir persönlich anpinne ist diese - inhaltlich total falsche - Aussage: Ich könnt mich *****! Sorry, aber damit beweist du, dass du keine Ahnung von der Materie hast Domains und Server sind erstmal GRUNDSÄTZLICH unterschiedliche Dinge! Du kannst dir auch eine Domain am *rsch der Welt registrieren, wenn der Server in Deutschland steht (und DAS kann man wiederum SEHR schnell herausfinden ), sind die Behörden sofort dran. Ich find das so lustig... "Die Domain liegt ausserhalb der EU, daher kommen die Behörden nicht an den Server" *gröhl* *träneausdemaugewegwisch* Aber wie gesagt, das war ja nur eine Idee... also von daher: FROHE WEIHNACHTEN! Ich dachte eigentlich das Thema wäre schon durch... Aber zur Info: SSL ist als Test für Mods aktiv (pw-geschützt). Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Empfohlene Beiträge
Archiviert
Dieses Thema ist jetzt archiviert und für weitere Antworten gesperrt.