Sicherheitskritisches Problem! - HTTPS fehlt beim login

Das mit dem Selbstschutz stimmt schon, aber ob die Seite mit oder ohne HTTPS arbeitet liegt nicht am Nutzer. Andererseits, was genau sollte man bei TT den schützen?

Zitat

Original geschrieben von lared
Sicherheitsrelevant bei TT. Wozu wird dies denn so dringend gebraucht?
O.K. damit ihr ruhig schlafen könnt und euch in Sicherheit fühlt, soll überall HTTPS eingeführt werden. Nur nicht selber vorsorge treffen müssen.

Die Sehschwachen und Blinden sollen gefälligst mit den Augen LESEN lernen, da HTTPS die Übersetzungsprogramme blockiert.
Besser so?

Kennst du das? https ist für den Verkehr im Internet, hör auf deine Fake News zu verbreiten. Wenn das so wäre, wie du es sagst, könnten Blinde fast nix im Internet nutzen, können sie aber, da die Programme mit dem entschlüsselten Inhalt auf dem PC interagieren. Mehr als die Hälfte des gesamten Internets nutzt https!
Dein Hirngespinst ist so wie Postkarten statt Briefe benutzen, damit die Sekretärin sie lesen kann. Kurzer Gegenbeweis auf die schnelle, später kann ich dir auch Screenreader zeigen: http://imgur.com/a/l41Ug
Mit http kann jeder die Inhalte lesen und manipulieren, von Geheimdiensten bis jedem weltweit der BGP-Lücken ausnutzt! Bei der alten Forenversion nutze ich das auf einer separaten E-Mail, mit separatem Passwort in einer Sandbox. Trotzdem ist das alles keine Entschuldigung, eine neue Forenversion muss mal her!

Zitat

Original geschrieben von Telefonicer
... könnten Blinde fast nix im Internet nutzen, können sie aber, da die Programme mit dem entschlüsselten Inhalt auf dem PC interagieren.

Diese Programme sind rudimentär und größtenteils textbasierend. Richtig gute laufen auf einem Server.

Zitat

Mehr als die Hälfte des gesamten Internets nutzt https!

Die Nutzer werden nicht gefragt. Wäre besser wenn der Nutzer da explizit auswählen könnte. Zumindest die knappe andere Hälfte kann noch ohne genutzt werden.

Zitat

Dein Hirngespinst ist so wie Postkarten statt Briefe benutzen, damit die Sekretärin sie lesen kann.

Auch Briefe kann Sie lesen, ob berechtigt oder nicht. Wird aber "angezeigt". HTTPS erlaubt dies nicht.

Zitat

Mit http kann jeder die Inhalte lesen und manipulieren, von Geheimdiensten bis ...

ja und genau das wird bei bestimmten Anwendungen ja auch erwartet!

Und zu Screenreader da sage ich lieber nichts.

Zitat

Original geschrieben von klausN80X
... Andererseits, was genau sollte man bei TT den schützen?

Das frage ich mich auch.

https://www.google.de/search?n…SSL+%2B+Problem+%2B+HTTPS
Wenn es ein Problem gibt, dann steht es auf keiner von Google indexierten Seite. Es steht jedem frei Man in the Middle zu machen, in Firmen wird problemlos https vom Filter entschlüsselt und wieder mit einem internen Zertifikat verschlüsselt. Wenn du es unbedingt willst, setzt dir einen Proxy ein, der alles automatisch auf http mappt, dann hast du immerhin Transportverschlüsselung in dein Netzwerk!

https://www.google.de/search?n…SSL+%2B+Problem+%2B+HTTPS
Wenn es ein Problem gibt, dann steht es auf keiner von Google indexierten Seite. Es steht jedem frei Man in the Middle zu machen, in Firmen wird problemlos https vom Filter entschlüsselt und wieder mit einem internen Zertifikat verschlüsselt. Wenn du es unbedingt willst, setzt dir einen Proxy ein, der alles automatisch auf http mappt, dann hast du immerhin Transportverschlüsselung in dein Netzwerk!

Doppelt hält besser?

Ja sicher ist https sicherer, aber nochmal die Frage:
Was genau soll den bei TT geschützt werden?
Die Nicknemen und Passwörter? Die Posts, die auch ohne Anmeldung jeder lesen kann?
Die Umfragen, die auch so jeder sehen kann?
Private Nachrichten, die idR eh keine relevanten Infos beinhalten?
Die Handyhistorie, die eher unspektakulär ist?
Oder die Signaturen, die auch jeder einsehen kann?

Am Ende würde https wohl eher https schützen, genial!
Das rechtfertigt die Umstellung eines zunehmend rückläufig frequentierten Forums. :top:
(Sorry für meinen Sarkasmus, aber ich bin mir relativ sicher das ihr den Funken Wahrheit darin finden werdet.)

Eine Umstellung die 0€ kostet und die allgemeine Sicherheit im Internet erhöht.

Sorry, aber das ist mir auch schon aufgefallen.
HTTPS ist inzwischen neuer Standard und Browser wie z.B. Chrome, Firefox, werden in Zukunft deutliche Sicherheitshinweise anzeigen, die Suchmaschinen strafen das Ganze ab, etc.

Klar, zwingend notwendig ist es nicht. Niemand wird hier sein Amazon-Kennwort verwenden, hoffentlich!
Andererseits graue Zone (da abmahnfähig: unverschlüsselte Übertragung personenbezogener Daten - kann teuer werden, wenn sich ein Kläger findet) und die Umstellung kostet quasi nix.

Von daher, wäre ich der Betreiber, würde ich es machen.
:cool:

Und die Sicherheitshinweise sehen ja auch doof aus:

Und wie gesagt... die sollen noch "deutlicher" (sprich: nerviger) werden auf Dauer

Wie verhält sich ein Download einer (großen) Datei von einer sicheren Seite, wenn der Ladevorgang nach 1-2s (oder Stunden) bei 90% abbricht und ein laden später nochmal gestartet wird.
Bei mir jedenfalls fängt er bei 0% von vorne an (auch mit JDownloader), um dann vlt. bei 70% oder wenn ich Glück habe bei 10% abzubrechen. Ein Fortsetzen bei 90% habe ich noch nicht geschafft. Ist wohl nur bei mir so.

Auf jeden Fall habe ich dann eine sichere Nichtübertragung.

Es hat eben nicht nur Vorteile.

Natürlich hat SSL auch Nachteile. Aber wie oft lädst du hier große Dreien herunter und wie oft gibst du deine Daten an?

Es geht ja um die Einloggseite, die Downloads muss man nicht verschlüsseln.