(Daten-)Sicherheit rund ums Forum

Smalltalk und Geselligkeit in gemütlicher Runde sowie Austausch rund um Forum, Chat und Wiki.
Benutzeravatar
Peter
Islandreise Admin
Beiträge: 2093
Registriert: Fr 22. Apr 2005, 22:35
Wohnort: Vöhringen (BaWü)

(Daten-)Sicherheit rund ums Forum

Beitrag von Peter » So 8. Dez 2013, 18:42

Der ein oder andere hat es sicherlich mitbekommen dass die NSA dankenswerter weise ein Backup aller Daten fertigt. Auch wenn das Forum sicherlich nicht im Brennpunkt der Datensicherung steht, stellt sich dennoch - oder auch grundsätzlich - die Frage, wie mit Daten, Datenverschlüsselung und Datenaufbewahrung umgegangen wird.

Zu Testzwecken ist daher das Forum von http://www.islandreise.info (IPv4-Adresse: 178.77.103.235, IPv6-Adresse: 2a01:488:66:1000:b24d:67eb:0:1) auch nun mit dem Protokoll https und seinem SSL-Zertifikat erreichbar.

Das Zertifikat ist selbsterstellt und daher nur dann vertrauenswürdig, wenn Ihr der Seite an sich traut. Dass das angebotene Zertifikat tatsächlich vom Server stammt, könnt ihr mit dem Vergleich des folgenden "Fingerabdruck" überprüfen:

SHA1: 81 ed 24 db e1 19 fa 01 e0 e2 3b f6 68 6b f0 c8 89 a0 74 4c

"Offizielle Zertifikate" kosten in der Regel einiges. Ich würde sie nur dann einführen, wenn eine entsprechende Nachfrage danach besteht. Daher interessiert nun erstemal eure Meinung: notwendig oder nicht?

Das https-Protokoll ermöglicht es, eine vertrauenswürdige und grundverschlüsselte Datenverbindung zwischen eurem PC und meinem Server herzustellen. Die Daten des Forums (ein phpBB-Forum) liegen wiederum unverschlüsselt auf dem Server bzw. in einer mySQL-Datenbank. Die Zugänge sind entsprechend passwortgeschützt. Die Moderatoren haben auf diese Datengrundlage bzw. die Skripte keinen Zugriff. Wie bei allen Softwarentwicklungen die durch eine Community getragen werden ist auf der einen Seite die Sicherheit sehr hoch bzw. die Gefahr einer Unterwanderung sehr gering, da jedermann sie kontrollieren kann, auf der anderen Seite bin ich nur Anwender der Skripte, und kann nicht für jedes Detail garantieren. Irgendwelche Fragen hierzu?
Peter Klein
Admin
http://www.islandreise.info
Benutzeravatar
landyfriend
Svartifoss-Fischer
Beiträge: 23
Registriert: Di 19. Jun 2012, 20:31
Wohnort: Schwäbische Alb

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von landyfriend » So 8. Dez 2013, 19:59

Hallo Peter,
Danke, dass du den Aufruf von islandreise.info über das https-Protokoll einführst. Ich finde dies sehr gut. Das selbstsignierte Zertifikat hat sogar Sicherheitsvorteile, da ja auch Zertifizierungsstellen vor Angriffen nicht sicher waren und sind.
Gruß
Wolfgang
snaefell
Prophet des Dettifoss
Beiträge: 416
Registriert: Mo 24. Jul 2006, 14:32
Wohnort: Reykjavik

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von snaefell » So 8. Dez 2013, 20:16

Hallo Peter,
Peter hat geschrieben: "Offizielle Zertifikate" kosten in der Regel einiges. Ich würde sie nur dann einführen, wenn eine entsprechende Nachfrage danach besteht. Daher interessiert nun erstemal eure Meinung: notwendig oder nicht?
Nicht notwendig. Das kostet nur unnötig Geld und schafft auch keine höhere Sicherheit.

Gruss

Christian
guefz
Prophet des Dettifoss
Beiträge: 413
Registriert: Mo 23. Apr 2012, 21:31
Wohnort: Köln

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von guefz » So 8. Dez 2013, 22:47

Hallo,

ich habe keine Probleme mit dem selbstsignierten Zertifikat wenn das so wie hier mit Fingerprint gepostet wird. Die Verschlüsselung ist vor allen Dingen für die Übertragung des Passworts beim Anmelden wichtig. Natives IPv6 nutze ich seit Juli hier zu Hause.

Günter
Jürgen

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von Jürgen » Mo 9. Dez 2013, 20:52

Hallo zusammen,

abgesehen vom Anmeldevorgang der besser geschützt ist, sehe ich nicht wirklich einen Grund für eine Verschlüsselung. Es ist ein Forum und keine Plattform über die Geld oder sonstiges gehandelt wird.

Sollte -wer auch immer- Interesse an den Daten des Forums haben wird auch kein HTTPS daran etwas ändern...

Grusz,
Jürgen
Benutzeravatar
Uwe
Weiser von Thule
Beiträge: 1615
Registriert: So 1. Feb 2009, 22:40

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von Uwe » Mo 9. Dez 2013, 21:02

Jürgen hat geschrieben: abgesehen vom Anmeldevorgang der besser geschützt ist, sehe ich nicht wirklich einen Grund für eine Verschlüsselung. Es ist ein Forum und keine Plattform über die Geld oder sonstiges gehandelt wird.

Sollte -wer auch immer- Interesse an den Daten des Forums haben wird auch kein HTTPS daran etwas ändern...
Ich kann Jürgen nur zustimmen.

Uwe
http://www.unique-iceland.com
Reiseführer: Rundreise mit Wanderungen / Trekkingführer: Naturparadies am Polarkreis und Südliches Hochland
Wanderkarte: ÍSLAND (1:50.000): Landmannalaugar, Laugavegur, Þórsmörk, Fimmvörðuháls (wasserfestes Papier)
guefz
Prophet des Dettifoss
Beiträge: 413
Registriert: Mo 23. Apr 2012, 21:31
Wohnort: Köln

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von guefz » Mo 9. Dez 2013, 22:54

Hallo,

natürlich ist nur die Anmeldung schützenswert, der Rest des Forums ist ja mehr oder weniger öffentlich. Aber ich finde es schon sehr angenehm wenn mein Passwort nicht im Klartext übertragen wird. Bei normalem HTTP kann schließlich jeder, der einen am Transport beteiligten Rechner kontrolliert, alles im Klartext mitlesen und bei Bedarf auch missbrauchen.

Ein Beispiel, das hier auch ein wenig Ontopic ist: das WLAN auf der Norröna ist unverschlüsselt. Da ist das Mithören dank Funk noch einfacher als bei Kabelverbindungen. Wenn ich da meinen Laptop ins WLAN hänge und auf Lauschmodus schalte, kriege ich sicherlich sehr viele Accountdaten von ahnungslosen Benutzern zu sehen ohne dass das irgendjemand merken würde...

Günter
Benutzeravatar
Peter
Islandreise Admin
Beiträge: 2093
Registriert: Fr 22. Apr 2005, 22:35
Wohnort: Vöhringen (BaWü)

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von Peter » Di 10. Dez 2013, 06:46

Sicherlich sind die Forumsbeiträge an sich nicht besonders schützenswert, da sie ohnehin öffentlich zugänglich sind. Über die Passwörter wurde ja bereits einiges gesagt. Aus meiner Sicht kommen 2 weitere Punkte hinzu:
  • Es sollte gängige Praxis sein, Verbindungen zu verschlüsseln. Einen Brief steckt man ja auch nicht in eine Klarsichthülle auch wenn es dabei "nur" um Island gehen sollte. Https benötigt insbesondere serverseitig etwas mehr Leistung die aber vertretbar ist. Warum also nicht nutzen, wenn die notwendige Technik zur Verfügung steht?
  • Bisher ist die Überwachung des Internets relativ einfach. Man nehme den unverschlüsselten Datenstrom und kopiere ihn und verwende ein wenig Rechenleistung (oder Backdoors) um den Rest zu knacken. Umso mehr Daten von vornerein verschlüsselt sind, um so größer wird der Aufwand, den Überblick zu behalten. Man kann einen verschlüsselten Datenstrom schließlich nicht ansehen, ob es um Island oder Terrorismus geht.
Peter Klein
Admin
http://www.islandreise.info
WERner

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von WERner » Di 10. Dez 2013, 18:57

Es sollte gängige Praxis sein, Verbindungen zu verschlüsseln...
Damit bin ich vollkommen einverstanden...

ABER
so wie es im Moment ist bringt das nix. Ich stell 'ne https-Verbindung her, klick dann z.B. unter dem Reiter Forum & Community auf Suche...* und hab dann wieder einer normale http... und das bleibt dann so...leider... ob eine meiner Firefox-Erweiterungen "https erzwingen für die Seite xy" was bringt hab ich noch nicht ausprobiert.


okay, is' ja alles noch Beta...
aber prinzipiell bin ich dafür...
Benutzeravatar
Peter
Islandreise Admin
Beiträge: 2093
Registriert: Fr 22. Apr 2005, 22:35
Wohnort: Vöhringen (BaWü)

Re: (Daten-)Sicherheit rund ums Forum

Beitrag von Peter » Mi 11. Dez 2013, 06:50

Werner, du hast recht, ein paar Links falles aus dem https-Protokoll raus. Eine Zwangsweise Nutzung von https möchte ich aus verschiedenen Gründen nicht vorschreiben. Insofern werde ich noch ein paar Links überarbeiten müssen. Immerhin weiss ich jetzt, dass es tatsächlich Nachfrage gibt und sich der zeitliche Aufwand dafür lohnt.
Peter Klein
Admin
http://www.islandreise.info

Wer ist online?

Mitglieder in diesem Forum: ClaudeBot [Bot] und 1 Gast