Sicherheitszertifikat für's Forum
Verfasst: Do 9. Mär 2017, 18:44
Hallo zusammen,
mich erreichen gerade PMs zur Frage, ob dieses Forum unsicher geworden ist. Der Grund liegt darin, dass einige User (mit neuem Firefox-Browser z.B.) dieses Bild sehen:
Das liegt nicht daran, dass das Forum "geknackt" worden ist. Und auch nicht, dass es plötzlich unsicher geworden ist. Mit dem Forum ist alles wie gehabt. So sicher (oder unsicher) wie es bisher auch war.
Der Grund für diese Meldung liegt darin begründet, dass inzwischen alle Internetverbindungen, die nicht über das verschlüsselte Protokoll https: laufen, von diversen Stellen neuerdings als unsicher eingestuft werden. Unter anderem von Google, jetzt auch von Firefox. Deshalb bekommt man eine Warnung, sobald man sich über eine unverschlüsselte http:-Verbindung irgendwo einloggen möchte.
Theoretisch (und wenn ich mir die neuesten Enthüllungen zur CIA lese vermutlich auch praktisch) ist diese Verbindung relativ leicht abhörbar.
Warum läuft das Forum dann nicht über https:?
Naja, wenn ich ehrlich bin: weil es Geld kostet. Ich müsste mich als Domaininhaber bei einer Zertifikatsstelle zertifizieren lassen. Und das lassen die sich auf monatlicher Basis bezahlen. Und zwar nicht so schlecht. Die Kosten des Forums würden sich dadurch etwas mehr als Verdoppeln. Würde ich das mit allen Seiten machen, die auf meinem Webspace liegen hätte ich plötzlich vierfache Kosten im Vergleich zum Status Quo. Jede Seite kostet nämlich einzeln. Ja, das ist eine Lizenz zum Gelddrucken für Zertifikateanbieter.
Was bedeutet das jetzt für mich als User?
Man sollte sich immer darüber Gedanken machen, dass alles, was man im Netz tut abgehört und ggf. auch mit genug krimineller Energie verändert werden kann. Im Falle z.B. eines Online-Bankings könnte ohne https: problemlos eine Überweisung so verfälscht werden, dass diese dann (für den Nutzer nicht sichtbar) auf einem anderen Konto landet als gewünscht. Da kann man sicher sein: wenn es machbar ist, wird es passieren. Ich glaube aber nicht, dass irgendwer Man-in-the-Middle-Angriffe macht, um hier Forenbeiträge zu verfälschen. Aber letztlich läuft es natürlich auf eine Kosten-Nutzen-Abschätzung hinaus. Ich muss mir als Admin deshalb natürlich schon die Frage stellen, wie groß das Risiko eines Angriffs ist. Ein Online-Shop oder eine Bank wird das anders bewerten als ein Forenbetreiber eines vorwiegend von Hobbyisten bevölkerten Forums.
Das bedeutet aber auch, dass man tunlichst in diesem Forum andere Passwörter verwenden sollte als z.B. fürs Online-Banking (oder auch für seine emails).
Grundsätzlich sollte man auf jeder Seite andere Logins verwenden. Warum?
Das ist eine Vertrauensfrage. Oben angesprochener Man-in-the-Middle-Angriff ist nur eine von mehreren Möglichkeiten, Passwörter abzugreifen. Eure Passwörter werden in der Datenbank recht gut verschlüsselt abgelegt. Da kann ich sie nicht lesen (auch nicht entschlüsseln). Aber ich als Admin irgendeines Forums (natürlich nicht des Harfenforums, hier ist ja alles vorbildlich und ich bin ein netter Typ ) könnte mit einiger krimineller Energie (und wenig Aufwand) die Scripte des Forums dahingehend modifizieren, dass ich trotzdem Zugriff auf die Passwörter bekomme. Wenn ihr nun das selbe Passwort für eure emails verwendet (die mail-Adressen liegen ja auch in der Forumsdatenbank), hätte ich schon mal Zugriff auf eure mails. Und damit in eurem Namen auf einige Seiten, die einem ein vergessenes Passwort per mail zusenden.... Dann hilft dann auch kein https: mehr.
Fragen dazu gerne als Antwort auf diesen Post.
Grüße,
Sebastian
mich erreichen gerade PMs zur Frage, ob dieses Forum unsicher geworden ist. Der Grund liegt darin, dass einige User (mit neuem Firefox-Browser z.B.) dieses Bild sehen:
Das liegt nicht daran, dass das Forum "geknackt" worden ist. Und auch nicht, dass es plötzlich unsicher geworden ist. Mit dem Forum ist alles wie gehabt. So sicher (oder unsicher) wie es bisher auch war.
Der Grund für diese Meldung liegt darin begründet, dass inzwischen alle Internetverbindungen, die nicht über das verschlüsselte Protokoll https: laufen, von diversen Stellen neuerdings als unsicher eingestuft werden. Unter anderem von Google, jetzt auch von Firefox. Deshalb bekommt man eine Warnung, sobald man sich über eine unverschlüsselte http:-Verbindung irgendwo einloggen möchte.
Theoretisch (und wenn ich mir die neuesten Enthüllungen zur CIA lese vermutlich auch praktisch) ist diese Verbindung relativ leicht abhörbar.
Warum läuft das Forum dann nicht über https:?
Naja, wenn ich ehrlich bin: weil es Geld kostet. Ich müsste mich als Domaininhaber bei einer Zertifikatsstelle zertifizieren lassen. Und das lassen die sich auf monatlicher Basis bezahlen. Und zwar nicht so schlecht. Die Kosten des Forums würden sich dadurch etwas mehr als Verdoppeln. Würde ich das mit allen Seiten machen, die auf meinem Webspace liegen hätte ich plötzlich vierfache Kosten im Vergleich zum Status Quo. Jede Seite kostet nämlich einzeln. Ja, das ist eine Lizenz zum Gelddrucken für Zertifikateanbieter.
Was bedeutet das jetzt für mich als User?
Man sollte sich immer darüber Gedanken machen, dass alles, was man im Netz tut abgehört und ggf. auch mit genug krimineller Energie verändert werden kann. Im Falle z.B. eines Online-Bankings könnte ohne https: problemlos eine Überweisung so verfälscht werden, dass diese dann (für den Nutzer nicht sichtbar) auf einem anderen Konto landet als gewünscht. Da kann man sicher sein: wenn es machbar ist, wird es passieren. Ich glaube aber nicht, dass irgendwer Man-in-the-Middle-Angriffe macht, um hier Forenbeiträge zu verfälschen. Aber letztlich läuft es natürlich auf eine Kosten-Nutzen-Abschätzung hinaus. Ich muss mir als Admin deshalb natürlich schon die Frage stellen, wie groß das Risiko eines Angriffs ist. Ein Online-Shop oder eine Bank wird das anders bewerten als ein Forenbetreiber eines vorwiegend von Hobbyisten bevölkerten Forums.
Das bedeutet aber auch, dass man tunlichst in diesem Forum andere Passwörter verwenden sollte als z.B. fürs Online-Banking (oder auch für seine emails).
Grundsätzlich sollte man auf jeder Seite andere Logins verwenden. Warum?
Das ist eine Vertrauensfrage. Oben angesprochener Man-in-the-Middle-Angriff ist nur eine von mehreren Möglichkeiten, Passwörter abzugreifen. Eure Passwörter werden in der Datenbank recht gut verschlüsselt abgelegt. Da kann ich sie nicht lesen (auch nicht entschlüsseln). Aber ich als Admin irgendeines Forums (natürlich nicht des Harfenforums, hier ist ja alles vorbildlich und ich bin ein netter Typ ) könnte mit einiger krimineller Energie (und wenig Aufwand) die Scripte des Forums dahingehend modifizieren, dass ich trotzdem Zugriff auf die Passwörter bekomme. Wenn ihr nun das selbe Passwort für eure emails verwendet (die mail-Adressen liegen ja auch in der Forumsdatenbank), hätte ich schon mal Zugriff auf eure mails. Und damit in eurem Namen auf einige Seiten, die einem ein vergessenes Passwort per mail zusenden.... Dann hilft dann auch kein https: mehr.
Fragen dazu gerne als Antwort auf diesen Post.
Grüße,
Sebastian