(Daten-)Sicherheit rund ums Forum

[Peter]

Der ein oder andere hat es sicherlich mitbekommen dass die NSA dankenswerter weise ein Backup aller Daten fertigt. Auch wenn das Forum sicherlich nicht im Brennpunkt der Datensicherung steht, stellt sich dennoch - oder auch grundsätzlich - die Frage, wie mit Daten, Datenverschlüsselung und Datenaufbewahrung umgegangen wird.

Zu Testzwecken ist daher das Forum von http://www.islandreise.info (IPv4-Adresse: 178.77.103.235, IPv6-Adresse: 2a01:488:66:1000:b24d:67eb:0:1) auch nun mit dem Protokoll https und seinem SSL-Zertifikat erreichbar.

Das Zertifikat ist selbsterstellt und daher nur dann vertrauenswürdig, wenn Ihr der Seite an sich traut. Dass das angebotene Zertifikat tatsächlich vom Server stammt, könnt ihr mit dem Vergleich des folgenden "Fingerabdruck" überprüfen:

SHA1: 81 ed 24 db e1 19 fa 01 e0 e2 3b f6 68 6b f0 c8 89 a0 74 4c

"Offizielle Zertifikate" kosten in der Regel einiges. Ich würde sie nur dann einführen, wenn eine entsprechende Nachfrage danach besteht. Daher interessiert nun erstemal eure Meinung: notwendig oder nicht?

Das https-Protokoll ermöglicht es, eine vertrauenswürdige und grundverschlüsselte Datenverbindung zwischen eurem PC und meinem Server herzustellen. Die Daten des Forums (ein phpBB-Forum) liegen wiederum unverschlüsselt auf dem Server bzw. in einer mySQL-Datenbank. Die Zugänge sind entsprechend passwortgeschützt. Die Moderatoren haben auf diese Datengrundlage bzw. die Skripte keinen Zugriff. Wie bei allen Softwarentwicklungen die durch eine Community getragen werden ist auf der einen Seite die Sicherheit sehr hoch bzw. die Gefahr einer Unterwanderung sehr gering, da jedermann sie kontrollieren kann, auf der anderen Seite bin ich nur Anwender der Skripte, und kann nicht für jedes Detail garantieren. Irgendwelche Fragen hierzu?

[landyfriend]

Hallo Peter,
Danke, dass du den Aufruf von islandreise.info über das https-Protokoll einführst. Ich finde dies sehr gut. Das selbstsignierte Zertifikat hat sogar Sicherheitsvorteile, da ja auch Zertifizierungsstellen vor Angriffen nicht sicher waren und sind.
Gruß
Wolfgang

[snaefell]

Hallo Peter,

"Offizielle Zertifikate" kosten in der Regel einiges. Ich würde sie nur dann einführen, wenn eine entsprechende Nachfrage danach besteht. Daher interessiert nun erstemal eure Meinung: notwendig oder nicht?

Nicht notwendig. Das kostet nur unnötig Geld und schafft auch keine höhere Sicherheit.

Gruss

Christian

[guefz]

Hallo,

ich habe keine Probleme mit dem selbstsignierten Zertifikat wenn das so wie hier mit Fingerprint gepostet wird. Die Verschlüsselung ist vor allen Dingen für die Übertragung des Passworts beim Anmelden wichtig. Natives IPv6 nutze ich seit Juli hier zu Hause.

Günter

[Jürgen]

Hallo zusammen,

abgesehen vom Anmeldevorgang der besser geschützt ist, sehe ich nicht wirklich einen Grund für eine Verschlüsselung. Es ist ein Forum und keine Plattform über die Geld oder sonstiges gehandelt wird.

Sollte -wer auch immer- Interesse an den Daten des Forums haben wird auch kein HTTPS daran etwas ändern...

Grusz,
Jürgen

[Uwe]

abgesehen vom Anmeldevorgang der besser geschützt ist, sehe ich nicht wirklich einen Grund für eine Verschlüsselung. Es ist ein Forum und keine Plattform über die Geld oder sonstiges gehandelt wird.

Sollte -wer auch immer- Interesse an den Daten des Forums haben wird auch kein HTTPS daran etwas ändern...

Ich kann Jürgen nur zustimmen.

Uwe

[guefz]

Hallo,

natürlich ist nur die Anmeldung schützenswert, der Rest des Forums ist ja mehr oder weniger öffentlich. Aber ich finde es schon sehr angenehm wenn mein Passwort nicht im Klartext übertragen wird. Bei normalem HTTP kann schließlich jeder, der einen am Transport beteiligten Rechner kontrolliert, alles im Klartext mitlesen und bei Bedarf auch missbrauchen.

Ein Beispiel, das hier auch ein wenig Ontopic ist: das WLAN auf der Norröna ist unverschlüsselt. Da ist das Mithören dank Funk noch einfacher als bei Kabelverbindungen. Wenn ich da meinen Laptop ins WLAN hänge und auf Lauschmodus schalte, kriege ich sicherlich sehr viele Accountdaten von ahnungslosen Benutzern zu sehen ohne dass das irgendjemand merken würde...

Günter

[Peter]

Sicherlich sind die Forumsbeiträge an sich nicht besonders schützenswert, da sie ohnehin öffentlich zugänglich sind. Über die Passwörter wurde ja bereits einiges gesagt. Aus meiner Sicht kommen 2 weitere Punkte hinzu:

• Es sollte gängige Praxis sein, Verbindungen zu verschlüsseln. Einen Brief steckt man ja auch nicht in eine Klarsichthülle auch wenn es dabei "nur" um Island gehen sollte. Https benötigt insbesondere serverseitig etwas mehr Leistung die aber vertretbar ist. Warum also nicht nutzen, wenn die notwendige Technik zur Verfügung steht?
• Bisher ist die Überwachung des Internets relativ einfach. Man nehme den unverschlüsselten Datenstrom und kopiere ihn und verwende ein wenig Rechenleistung (oder Backdoors) um den Rest zu knacken. Umso mehr Daten von vornerein verschlüsselt sind, um so größer wird der Aufwand, den Überblick zu behalten. Man kann einen verschlüsselten Datenstrom schließlich nicht ansehen, ob es um Island oder Terrorismus geht.

[WERner]

Es sollte gängige Praxis sein, Verbindungen zu verschlüsseln...

Damit bin ich vollkommen einverstanden...

ABER
so wie es im Moment ist bringt das nix. Ich stell 'ne https-Verbindung her, klick dann z.B. unter dem Reiter Forum & Community auf Suche...* und hab dann wieder einer normale http... und das bleibt dann so...leider... ob eine meiner Firefox-Erweiterungen "https erzwingen für die Seite xy" was bringt hab ich noch nicht ausprobiert.


okay, is' ja alles noch Beta...
aber prinzipiell bin ich dafür...

[Peter]

Werner, du hast recht, ein paar Links falles aus dem https-Protokoll raus. Eine Zwangsweise Nutzung von https möchte ich aus verschiedenen Gründen nicht vorschreiben. Insofern werde ich noch ein paar Links überarbeiten müssen. Immerhin weiss ich jetzt, dass es tatsächlich Nachfrage gibt und sich der zeitliche Aufwand dafür lohnt.