Vorschlag: Login im TT SSL gesichert

    Wenn man SSL nur fuer den einen HTTP-Request einsetzt, bei dem die Logindaten im Klartext uebertragen werden, duerfte sich der zusaetzliche Rechenaufwand in engen Grenzen halten. Kostenseitig ist man ab etwa 60 EUR im Jahr fuer ein Cert dabei.

    Harlekyns Beitrag präzisiert hier meinen Vorschlag.


    Es geht nicht um eine SSL Übertragung des gesamten Forentraffics, sondern nur um die Übertragung der Login-Daten, wo halbwegs "sensible" Informationen übertragen werden.


    Aber wie Carsten ja bereits klar gemacht hat, hält er nichts von diesem Vorschlag, dazu teuer und zu aufwendig zu implementieren.


    Noch ein Nachtrag an die Vorposter:
    Nein, ich habe keinen Premium account, ja ich helfe dem Forum durch Nutzung der Amazon RefLinks und klicke auch regelmäßig die Werbung im Forum an (auch wenn mich die Produkte, die dort beworben werden, nicht im geringsten interessieren).

    Zitat

    Original geschrieben von Carsten
    Zu aufwendig, zu teuer.

    Den Aufwand zur Nachrüstung bei vBulletin kann ich nicht abschätzen. Zu den Kosten: CAcert-Zertifikate gibts kostenlos.


    Ich würde eine SSL-gesicherte Authentifikation (aus Prinzip) begrüssen.

    [deutschlandsim ALL-IN premium:Galaxy Nexus; BASE-internet:iPad1; BASE-internet:mifi]

    Abgesehen von grundsätzlichen Überlegungen oben, sehe ich - für mich - immer noch nicht den Nutzen gegenüber dem Aufwand.


    Das Benutzername und Kennwort in einem Forum wie TT darf kein wichtiges sonst verwendetes Kennwort sein (damit will ich TT nicht abwerten ;)).


    Selbst wenn jemand sich die Mühe macht, dies abzufangen, kann eigentlich kein großer Schaden entstehen. Oder?


    Ist sowas eigentlich schon mal passiert?


    Ein viel größeres Ärgernis wäre es hingegen für mich, wenn die im Klartext versandten teilweise halbwegs vertraulichen PN ausgelesen würden ;). Nur um mal das Ganze in Relation zu setzen. Doch auch hier würde inicht unbedingt Verschlüsselung anfragen.


    Grüße, Öle

    Mit Grüßen ...

    Beispiel: Zugang über ungesichertes WLAN


    Ich hatte genau diese Anforderung die letzten zwei Tage in Paris: Hotel-WLAN (ungesichert) ... :rolleyes:


    Also erst in's Firmen-Intranet per VPN und dann bei TT eingeloggt - Account/Passwort-Daten ungesichert zu übertragen verstößt gegen jedes meiner Sicherheitsprinzipien :)


    Ich hab schon überlegt, um möglichen Ärger mit der Firmen-IT wegen privater Webseiten über VPN aus dem Weg zu gehen, zuhause einen VPN-Server aufzusetzen. Entweder über Debian/PC oder ich leiste mir doch eine neue FritzBox und nutze deren Windows-Client-SW für diesen Zweck.


    Einfacher wärs aber schon wenn TT für's Login eine https-Seite anbieten würde - so macht es z.B. auch GMX (anderes Kaliber, Budget, schon klar!) beim Web-eMail-Frontend.


    Wieviel Kosten würden den enstehen bzw. wieviele Premium-TT-Accounts bräuchte es für seine solche Lösung? :)


    hjrauscher
    (ohne Premiumaccount, hatte ich bisher einfach nicht im Fokus)

    Eine Alternative waere auch, die Authentifizierung auf (User-)Wunsch auszulagen, indem man z.B. OpenID supported. Kann mir aber vorstellen, dass das mittelschwere chirurgische Eingriffe an der Forensoftware erfordert.

    Zitat

    Original geschrieben von kinslayer
    An den bisherigen Kosten beteildigst du dich wahrscheinlich schon durch Nutzung des Premien Accounts.Oder?
    Wäre ziemlich dreist etwas Vorzuschlagen was kosten verursacht, wenn man "0€" hinzusteuert.


    :flop: :flop: :flop:


    Auch wenn der Post schon "uralt" ist, will ich - da der Beitrag gerade mal wieder oben steht - was dazu schreiben.


    Ein Forum überlebt nicht (nur) durch die Premiumnutzer. Auf finanzieller Seite ist auch die Werbung entscheidend und einige Leute klicken bewusst mal die Werbung an, um eine Seite zu unterstützen. Auf der anderen Seite braucht ein Forum auch gute Beiträge, Empfehlungen etc.


    Sprich: jeder braucht hier jeden! Dabei legen die Admins die Spielregeln fest, und die Spielregeln erlauben kostenlose accounts.


    Es geht hier um eine Anregung eines Users, wie man TT (aus seiner Sicht) attraktiver machen könnte. Ein solche Anregung kann TT wie gute Posts oder ein Premiumaccount helfen (oder wird halt abgelehnt). Wie hoch der Nutzen (und die Kosten) dieser Anregung ist, weiß ich nicht. Die Admins haben ihn abgelehnt und der Vorschlagene hat dies auch akezptiert. Also alles im normalen Rahmen!


    Ich finde die Anregung übrigens gut und würde mich über eine Umsetzung freuen. Gute Gründe für eine gesicherte Anmeldung gibt es. Einen hat hjrauscher genannt, ein anderer wären Internetcafés. Um mal ehrlich, wie viele haben hier wirklich ein einmaliges Passwort für TT? Ich schon, aber wohl so 80% nicht, würde ich schätzen!

    Re: Beispiel: Zugang über ungesichertes WLAN


    Zitat

    Original geschrieben von hjrauscher
    Ich hatte genau diese Anforderung die letzten zwei Tage in Paris: Hotel-WLAN (ungesichert) ... :rolleyes:


    Also (..) bei TT eingeloggt - Account/Passwort-Daten ungesichert zu übertragen verstößt gegen jedes meiner Sicherheitsprinzipien :)


    Wenn du dich beim mitgenommenen Notebook im Forum automatisch einloggen lässt (per Cookie), entfällt immerhin die Dateneingabe.


    Am Fremd-PC ist die gewünschte Sicherheit prinzipiell nicht gegeben, denke ich.

    Mit Grüßen ...

    Re: Beispiel: Zugang über ungesichertes WLAN


    Zitat

    Original geschrieben von hjrauscher
    Also erst in's Firmen-Intranet per VPN und dann bei TT eingeloggt - Account/Passwort-Daten ungesichert zu übertragen verstößt gegen jedes meiner Sicherheitsprinzipien :)


    Ich hab schon überlegt, um möglichen Ärger mit der Firmen-IT wegen privater Webseiten über VPN aus dem Weg zu gehen, zuhause einen VPN-Server aufzusetzen. Entweder über Debian/PC oder ich leiste mir doch eine neue FritzBox und nutze deren Windows-Client-SW für diesen Zweck.


    Das solltest Du sowieso tun - denn Dein o.g. Vorgehen hat - IMHO jedenfalls - sowieso nicht den gewünschten Effekt gehabt. Wenn Du Dich nämlich an einem öffentlichen Netzwerk via VPN mit dem Firmennetz verbindest, dann wird NUR der Traffic zum Firmennetz über den VPN-Tunnel geroutet. Jeder andere Traffic - so auch die Anmeldung bei TT - geht über das offene Internet und somit ungesichert.


    Der lokale VPN-Client müsste speziell konfiguriert werden, damit SÄMTLICHER Traffic über ihn läuft. Bei den beiden VPNs, die ich in den letzten Jahren genutzt habe (AT&T GND, und jetzt Cisco WebVPN), war dies nicht der Fall. Und wozu auch? Die Firma wäre ja schön blöd, wenn sie ihre Infrastruktur auch für den privaten Login am Mailserver o.dgl. zur Verfügung stellt. ;)

    Ist das eine von den Kirchen, wo man so kleine Cracker kriegt? Ich habe Hunger!

    Re: Re: Beispiel: Zugang über ungesichertes WLAN


    Zitat

    Original geschrieben von BigBlue007
    Und wozu auch?

    Damit der Rechner des Mitarbeiters nicht zur unerwuenschten Internet-Bridge wird? Die VPNs mit denen ich zu tun hatte (auf Basis Cisco Concentrator 3000) , haben bei Aktivierung den kompletten Datenverkehr ueber's VPN geleitet ;)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden