PBeM-Spiele
Aktuelle Zeit: 16.06.2019 19:53

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 20 Beiträge ]  Gehe zu Seite 1, 2  Nächste
Autor Nachricht
 Betreff des Beitrags: SSL?
BeitragVerfasst: 25.08.2015 11:32 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2139
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Rein aus Interesse gefragt, nicht in der Absicht, irgendwelche Forderungen zu stellen:

Ich bin ja nichtsahnend, was die Technik hinter diesem Forum angeht (okay, ich habe wohl mal eine größere PHPBB2 Installation betreut), aber was spricht denn momentan dagegen, die Seiten über SSL (https) auszuliefern? Ist das eine Frage des Hostings, der Beschaffung des Zertifikates, des verwendeten Webservers, oder der Zeit?


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 02.09.2015 20:59 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Exakt, es spricht nur das Zertifikat dagegen, sprich es kostet Geld. Sekundär wiederum der Aufwand zur Einbindung. Ein SSL Zertifikat käme mit einer neuen IP daher und sowohl TYPO3 als auch das Forum, sowie eventuell alle Applikationen müssten umgestellt werden.

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.09.2015 12:22 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2139
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Wenn die Kosten ein Problem sind, gibt es da ja Alternativen: CaCert (leider in den meisten Browsern nicht vorintalliert) oder StartCom (benutze ich für die Eressea-Seiten, https://cert.startcom.org/) sind kostenlos. Man bekommt da weniger, die verifizieren den Besitzer der Domain nur über die webmaster@ email-Adresse, aber ich finde es besser als nix, und mein Passwort und meine Session-Cookies werden nicht mehr im Klartext durch das Internet geschickt.

Eine neue IP-Adresse solltest du aber eigentlich nicht brauchen? Den Einwand verstehe ich nicht, und eventuelle Software muss halt eventuell von http:// URLs auf https:// umgestellt werden, das kann eigentlich nicht so schwer sein?


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.09.2015 13:40 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Nicht in Browsern vorinstallierte Zerts kann man knicken, da es ein Besucherkiller ist, wenn man Seitenaufruf eine dicke Warnung erscheint, dass der Besuch der Seite gefahren birgt. Eine bestehende IP stellt man eigentlich nicht auf SSL um, sondern man bekommt mit einem SSL Zert gleich eine IP dazu und dann stellt man die Software entsprechend um. Eigentlich kein Problem, nur muss man es machen. Wobei wir sehr vielschichtig fahren, d.h. wir haben das CMS, das Forum, diverse Server-Applikationen wie United, Olympia, usw. Das müsste man prüfen, ob man diese gegebenenfalls auch noch alle anpassen müsste. Da kann der kleine Aufwand leider etwas mehr werden, aber grundsätzlich kein Ding der Unmöglichkeit. Aktuell läge der Hauptnutzen derzeit in einem SEO Vorteil bei Google, wenn man den Datenschutz einmal unberücksichtigt lässt, da auch SSL kein uneingeschränkten Schutz geniesst, wenn die "Spähsoftware" eventuell in Form von Keyloggern, o.ä. sich bereits auf einem Rechner befindet. Aber das wäre ein anderes Thema... :D

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.09.2015 13:46 
Offline
Donator
Donator

Registriert: 28.09.2011 18:33
Beiträge: 246
Wohnort: Bonn
sun-e hat geschrieben:
...Aktuell läge der Hauptnutzen derzeit in einem SEO Vorteil bei Google, wenn man den Datenschutz einmal unberücksichtigt lässt, da auch SSL kein uneingeschränkten Schutz geniesst, wenn die "Spähsoftware" eventuell in Form von Keyloggern, o.ä. sich bereits auf einem Rechner befindet. Aber das wäre ein anderes Thema... :D


Hm, ist das die Aussage: "Weil vielleicht jemand Dein Passwort woanders stehlen kann, schütze ich es nicht?"

Schließt Du auch nicht die Haustüre ab, weil ja jemand eine Scheibe in Deiner Wohnung einschlagen könnte?

Tut mir leid, es mag Argumente gegen SSL geben und es ist sicher nicht der große Wurf in Sachen Sicherheit in der Informationstechnik, aber bei dem Argument kann ich schwerlich still bleiben. Nichts für ungut.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.09.2015 13:51 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Ist kein wirkliches Argument, aber Jahrzehnte lang gab es SSL nur beim Bezahlprozess in Shops. Ich hatte auch einen Smiley hinter die Aussage gesetzt.

Hauptargumente gegen SSL: Aufwand + Kosten!

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.09.2015 16:11 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2139
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
[quote="sun-e"]Ist kein wirkliches Argument, aber Jahrzehnte lang gab es SSL nur beim Bezahlprozess in Shops. Ich hatte auch einen Smiley hinter die Aussage gesetzt./quote]

Ich erinnere mich an die Zeit, aber die ist seit langem vorbei. Spätestens seit sich die Webshops deine Kreditkarten-Information merken, ist ein Login bei Amazon u.a. fast genau so viel wert wie die Kreditkartennummer.
Das Login sollte auf jeden Fall auch über SSL gehen, denn da wird das Passwort übertragen, und wenn ich dein Session-Cookie von einem Request klaue, der nicht über SSL lief, bin ich so gut wie angemeldet. Und dann bleibt nur noch sehr wenig übrig, was man nicht mit SSL schützen muss, da lohnt es wirklich nicht mehr, beides zu fahren, und man stellt lieber alles auf https um.
Man muss da gar nicht paranoid (?) sein, und über die Datensammler der NSA spekulieren, damit SSL eine gute Idee ist. Es gibt schon einen Grund dafür, dass in den letzten Jahren alle grossen Dienste umgestellt wurden (ich habe selber imvu.com umgestellt), und dass eine Extension wie HTTPS Everywhere eine "Block all HTTP requests" Checkbox hat.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 06.09.2015 12:52 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Google forciert ebenfalls einen flächendeckenden SSL Einsatz durch den Rankingbonus. Aber wie erwähnt ist das eine reine Kosten-/Aufwandfrage...

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.12.2015 04:11 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2139
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Die EFF hat sich des Problems angenommen, und wenn ich das recht verstehe, eine gratis Zertifizierung eingerichtet. let's encrypt! Hat das schon mal jemand probiert? Wäre das etwas für hier?https://www.eff.org/deeplinks/2015/12/lets-encrypt-enters-public-beta
Ich habe mir jedenfalls vorgenommen, das mal zu testen.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.12.2015 09:12 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Hm, müsste man einmal genauer anschauen. Eigentlich ist die SSL Verschlüsselung an sich gar kein Problem, sondern die Bezahldienste wie Thawte lassen sich vor allem dafür bezahlen, dass die signierten Zertifikate vom Browser akzeptiert werden. Ansonsten poppt der Browser eine fiese Warnungmeldung auf und rät davon ab die Seite zu besuchen oder man widerspricht und nimmt das Zertifikat an. Allerdings ist das ein Killer, die Besucherzahlen der Seiten gehen gleich drastisch runter.
Das wäre interessant, wie die das im Projekt lösen wollen. Mozilla scheint da zwar als Unterstützer hinter zu stehen, aber die Lösung muss auf allen Browser funktionieren, sonst wäre sie wertlos.

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.12.2015 11:17 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2139
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
sun-e hat geschrieben:
Eigentlich ist die SSL Verschlüsselung an sich gar kein Problem, sondern die Bezahldienste wie Thawte lassen sich vor allem dafür bezahlen, dass die signierten Zertifikate vom Browser akzeptiert werden.


Da ich im Leben noch nichts für Zertifikate bezahlt habe, interessiert mich diese Aussage. Hast Du irgendwelche Probleme damit, https://bugs.eressea.de/ oder https://wiki.eressea.de/ aufzurufen? Bisher hat mir jedenfalls noch niemand gemeldet, dass er davon abgeschreckt wurde, dass meine Zertifikate gratis sind.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 12.12.2015 10:38 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Das war mir so neu, aber Dein Zertifikat enthält dann keine "Vertrausdaten", denn beim Klick weiss man nur das ein SSL Zertifikat besteht, aber nicht, ob man mit dem richtigen Anbieter verbunden ist. Und man benötigt eine zusätzliche IP soweit ich weiss.

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 12.12.2015 14:57 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 19.02.2002 08:32
Beiträge: 230
Mit seinem Zerti ist alles in Super und mit dem Aussteller Zerti ebenso ;) ..... müssen wir mit Hoster klären....


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 13.12.2015 06:18 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2139
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Die ganze Vertrauen-Struktur bei SSL ist eh Schlangenöl, wenn du wirklich sicher gehen willst, dann fragst du den Anbieter nach seinem Fingerprint und checkst das manuell. Nur weil mal jemand ein paar Mark an jemand anders gezahlt hat, damit er Vertrauen bekundet, ist ja keiner vertrauenswürdig. Und im Moment hält das nur auf bei der notwendigen Arbeit, das Internet zu verschlüsseln.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: SSL?
BeitragVerfasst: 04.02.2016 20:38 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2139
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Nur mal als update: Ich habe gerade das cert für https://eressea.kn-bremen.de/ mit Let's Encrypt gemacht, das war super einfach. Die laufen ziemlich schnell ab, und das mit dem automatischen Renewal muss ich mir noch angucken, aber bisher kann ich das voll empfehlen.


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 20 Beiträge ]  Gehe zu Seite 1, 2  Nächste

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
Webhosting by sunrise design ohg