SSL Verschlüsselung des Forums

    Hallöchen,


    ich frage mich ob und wann das Forum auf SSL umgestellt wird. Dies entwickelt sich langsam zum Standard ist nicht zuletzt dank Let's Encrypt kostenlos und bei den ganzen Telefonnummern, Adressen etc. die hier auch per PN geteilt werden eigentlich schon pflicht.
    Biete mich auch gerne an bei der Installation unter die Arme zu greifen, wobei unser Häuptling das bestimmt auch alleine hin bekommt. :)
    Momentan ist das Forum ja schon über https erreichbar, nur ist das Zertifikat abgelaufen und die Cookies werden auf http://... ausgestellt weshalb diese nicht greifen.


    Gruß


    Michael

    Riff Raff, könntest du mir erklären, welchen Vorteil eine verschlüsselte Übertragung zu und von einem Forum hat?


    Den Käse, dass alle ohne Sinn und Verstand auf verschlüsselte Übertragungen übergehen macht doch in einem Forum mal gar keinen Sinn.
    Seiten, die deine persönlichen Daten, z.B. aus einer Bestellung etc., erhalten macht das durchaus Sinn. Nur in Foren nicht.


    Alles was du schreibst, erscheint ja eh sofort und dein Profil ist nur angemeldet einsehbar.
    Unabhängig davon, wie Suchmaschinen das Forum sehen. Das kannst du ja testen und ggf. dein Profil anpassen.



    Da macht es eher Sinn und ist zwingend erforderlich ein DS-GVO konformen Datenschutz-Eintrag anzulegen und darauf hinzuweisen.

    Viele Grüße aus der Lausitz


    Siggi-EVO mit seinem EVO 9 RS - US-Version :B

    Hi!


    SSL ergibt grundsätzlich immer Sinn. Natürlich kann man darüber diskutieren, ob es in einem Forum angebracht ist oder nicht; keine Frage.


    Nur ein Szenario was mir so durch den Kopf schießt, wenn ich an SSL denke: ein Mitglied aus dem Forum kommuniziert mit einem anderen. Dabei werden evtl. sensitive Daten ausgetauscht, z.B. schmutzige Witze. Beim Absenden der PN wird ein lesbarer Request (da nicht per SSL kryptiert) ausgeführt und man könnte diesen schmutzigen Witz mitlesen. Oder man öffnet eine PN ... schwups kann man diese unseriösen Witze auch lesen.


    Das ist alles rein spekulativ und unwahrscheinlich, aber trotzdem möglich, wenn man es gnadenlos drauf anlegt.


    Aber auch generell, in Zukunft wird nichts mehr ohne SSL laufen...Stichwort HTTP2 :) Das ist alles schon nicht verkehrt


    Zitat von Siggi-EVO

    Alles was du schreibst, erscheint ja eh sofort und dein Profil ist nur angemeldet einsehbar.


    ...ja, das schon. Aber wenn man bspw. auf sein eigenes Profil geht (wo man wesentlich mehr sieht als normal), und jemand hier den Datenstrom abgreift, da spielt es dann keine Rolle ob man diese Daten nur angemeldet sieht, da man bereits angemeldet ist....hier ist das angemeldete Mitglied Wirt für den evtl. Angriff.


    Ja gerne, Benno hat zwar schon ganz gut vorgelegt aber da dies nicht nur das Forum sondern generell alles was im Internet geschieht betrifft kann ich da gerne etwas weiter ausholen.


    Wie funktioniert Kommunikation im Internet
    Egal ob Aufruf einer Seite, posten eines Beitrags oder Senden/Empfangen einer E-Mail, stets geschieht die Kommunikation zum großen Teil Textbasierend und im Schnitt über 10 bis 25 sog. hops (Netzwerkknoten). Etwas genauer betrachtet gibt es dann noch Softwareschnittstellen über die ebenfalls diese Kommunikation geht.
    Beispielhaft die Kommunikation mit einem Forum: (stark vereinfacht)
    1. Browser
    2. Betriebssystem
    3. Netzwerkkarte
    4. Router (1.hop)
    5. Gateway des Providers (2. hop)
    6. - 10. div. Router des eigenen Providers (3. - 7. hop)
    11. - 13. div. Router eines beliebigen Providers bspw. des Backbones (8. - 10. hop)
    14. - 16. div. Router im Netzwerk des Providers in dessen Netz das Forum gehostet wird (11. - 13. hop)
    17. Server auf dem die Forensoftware läuft (14. hop)
    18. Betriebssystem des Servers
    19. Webserver unter dem die Forensoftware läuft


    Das ist der Nachteil an unverschlüsselter Kommunikation
    Bricht man dies runter nutzt man (in diesem Beispiel) zum Empfangen eines einzigen Datenpakets vom Forum (ein einziger Seitenaufruf benötigt dutzende solcher Pakete) abgesehen vom eigenen Router 13 Netzwerkgeräte von denen man in aller Regel garnichts und sich auch von Paket zu Paket dynamisch ändern können (deshalb ist u.a. übrigens die Netzneutralität so wichtig).
    Wenn Du nun also eine PN mit Deiner Adresse oder gar Bankverbindung schickst kann an mind. 13 Stellen diese PN ausgelesen und/oder manipuliert werden ohne dass Du davon etwas mitbekommst und sogar ohne dass es ein gezielter Angriff sein muss.


    HTTPS macht den Unterschied
    Mit einer SSL verschlüsselten Übertragung kannst Du den Paketinhalt zwischen Browser (1.) und Webserver (19.) verschlüsseln, d.h. die Netzwerkgeräte sehen nurnoch die zur Übertragung wichtigen Daten aber nichtmehr deren Inhalt, ob Du ein Bild hoch lädst, einen Beitrag verfasst oder Dich anmeldest... das sieht für die Punkte 2. bis 18. völlig gleich aus. Es ist auch egal ob es sich überhaupt um ein Forum, eine E-Mail oder einen Videostream handelt, bei einer unverschlüsselten Übertragung läuft man Gefahr das einem Daten ausgelesen werden die man nicht unbedingt ausgelesen bekommen möchte.
    Bei einer E-Mail würde Punkt 2. - 18. nur sehen an welchen Server die Mail geht, nicht jedoch den Empfänger.


    Etwas abstraktes Beispiel:
    Stelle Dir vor Du wohnst in Berlin und schreibst einen Brief an Deine Frau/Freundin in Hamburg.
    Diesen Brief packst Du jedoch nicht in einen Umschlag sondern gibst ihn offen deinem Briefträger mit welcher ihn gut lesbar an ein schwarzes Brett in Berlin tackert.
    Von dort nimmt jemand der richtung norden fährt diesen Brief mit, da er aber nicht direkt nach Hamburg fährt hängt er ihn in Neubrandenburg wieder offen ans schwarze Brett.
    Der nächste Postbote kommt, nimmt den Brief ab und fährt weiter richtung Hamburg, nach Schwerin z.b. Dies geschieht dann nochmal in Lübeck und irgendann ist der Brief in Hamburg wo der Letzte Postbote den Brief nimmt und an die Empfängerin übergibt.
    Steht da etwas schlimmes in dem Brief drin? Wahrscheinlich nicht, würdest Du normal einen Umschlag drum machen so dass eben nicht jeder der im Beispiel 6 Briefträger Deinen Brief lesen oder gar ändern kann. (ohne dass es auffällt)? Wahrscheinlich schon.
    In diesem Beispiel würdest Du, analog zu SSL, eine Art Zaubertinte verwenden welche den Briefinhalt so lange unleserlich macht bis der Brief bei der eigentlichen Empfängerin ist.


    Auf eine verschlüsselte Übertragung zu achten macht, da es keinerlei ernste Nachteile hat, also immer sinn und die Browserhersteller haben jetzt auch schon angekündigt in naher Zukunft unverschlüsselte Seiten mit einer Warnung im Browser zu versehen. Dann musst irgendwann erst OK drücken um bspw. dieses Forum besuchen zu können.


    Es ist also keine paranoia sondern einfach gesunder Menschenverstand wieso ich hier nach HTTPS frage und generell überall darauf achte so viel zu verschlüsseln wie möglich.

    ... immer diese 1/4 Lösungsvorschläge, aber da gibts eigentlich nix zu diskutieren. Unter uns: das wäre sogar Aufwändiger zu realisieren und würde zusätzlich die komplette Aktion kompromittieren.


    https only mit forced redirect von http und gut ists.


    https ist quasi der Evo und http Fiat ;)


    Meine Firma oder das Hotel Wlan muss mein Passwort nicht in Klartext mitlesen können oder was ich lese und schreibe (aktueller Status). Wie viele von euch verwenden das gleiche Passwort auch für Ebay, Amazon, .... ?


    Nächstes mal komme ich zum Evo Treffen und biete euch allen kostenloses Internet über meinen mobilen Wlan Router an ... nur weil ich nett bin :D

    Riff Raff, deine Vergleiche hinken und mögliche man in the middle Attacken hinken sehr stark.
    Wie du schon geschrieben hast, basieren deine Erklärungen doch sehr darauf, dass komplette Inhalte ausgetauscht werden und der Datenverkehr im ganzen beobachtet und protokolliert werden kann.


    Sogenannte deep packet inspection ist durch die Betriebsysteme der IT-Hardware großflächig gesperrt und fast nicht durchführbar.
    Sowas als Angriffszenaria anzuführen passt nicht in die heutige Zeit. Heute wird schon im Arbeitsspeicher des PC's mit Adressverwürfelung gearbeitet.


    Der ganz alte Vergleich mit den Briefen passt auch nicht.
    Denn hier müsste ein Punkt ergänzt werden: Dein Brief wird in 100.000 Stücke zerschnitten und wird weltweit transportiert.
    Damit ist diese ganze Vorgehensweise aus deinem Beispiel schon sehr sehr hinfällig.

    Viele Grüße aus der Lausitz


    Siggi-EVO mit seinem EVO 9 RS - US-Version :B

    Er hat es doch nur für den Einsteiger geschrieben. Nicht verschlüsseln ist verkehrt, zumal es keinen Mehraufwand für den Benutzer bedeutet. Die meisten würden es nicht mal merken. Wenn du aus der IT kommst (macht ja fast den anschein) und dann trotzdem dagegen bist hast du es nicht verstanden oder arbeitest für einen Geheimdienst. Noch ein Grund mehr zu verschlüsseln.

    @siggi
    Bitte nicht mit gefährlichem Halbwissen argumentieren.
    Wenn Du z.b. einen Forenpost von 200KB los schickst und dieser in ~150 Pakete aufgeteilt wird und jedes einen anderen Weg zum Ziel nimmt (sehr unwahrscheinlich) so teilen sich diese Pakete über einen gewissen Teil der Strecke trotzdem den Weg. (Beispiel oben) Dein Heimrouter und der letzte Punkt vor dem Server bleiben zu 100% und Du kannst auch davon ausgehen das sowohl bei Deinem Provider als auch beim Provider des Rechenzentrums sowie des Backbones sehr viele Knoten sind die bei so einem Stream immer gleich bleiben.
    DPI ist und bleibt an jedem Knoten möglich, schlimmer noch, mit nem popligen Rechner der über zwei Netzwerkkarten verfügt kannst nen Wireshark laufen lassen der transparent alles durch leitet. D.h. die übrige Netzwerkhardware bekommt davon noch nichteinmal etwas mit!
    Entsprechend passt auch der Vergleich mit den Briefen, abgesehen davon dass man höllisch viel Porto zahlen würde wäre potentiell ein großer Teil der Wegstrecke der Briefe gleich. Klar müssen die Postboten die Inhalte zusammen puzzlen, aber eine Sicherheit kann man sich dadurch höchstens einreden.


    Mach doch einfach mal ein paar Tracerts zum Forum und vergleiche mal die IP-Adressen die involviert sind, ich gebe Dir Brief und Siegel dass über 80% des Weges immer der Gleiche ist, da die Netzkapazitäten in .de idr nicht ausgelastet sind gehe ich sogar von 100% aus.

    man sollte auch erwähnen das ca. 90% aller Hauptknoten ( Für das Internet in DE ) in der hand einiger weniger Firmen sind. Ob diese da schon gesnifft werden wird dir nie jemand zugeben können. Ich WEISS aber aus eigener Kenntniss das es einen dieser Knoten in FFM ( über den ca 60% laufen ) definitiv von diversen GHD´s gesnifft wurde oder gar noch wird. Nicht umsonst ist bei uns in Wiesbaden die neue N.. zentrale für DE.....


    Daten abgreifen ist eh ganz einfach... auch wenn die Pakete verschiedene Wege laufen.....


    Nachtrag: wen es interessiert: https://de.wikipedia.org/wiki/DE-CIX

    Du brauchst nur 2 Werkzeuge: WD40 und Klebeband:
    Wenn es sich bewegen sollte, es aber nicht tut -> WD40 ; Wenn es sich bewegt, das aber nicht sollte -> Klebeband

    Einmal editiert, zuletzt von T4R ()

    verstehe die Diskussion nicht, Siggi vs. IT Fachmann :ugly: kommt hört auf! Bitte einfach machen, ich wäre sehr dafür... wir leben doch nicht mehr in der Steinzeit und wenn schon jemand mit wenig Zeit sich für die Gemeinschaft anbietet zu unterstützen sollte man auch mal Hilfe annehmen.

    ----Ich will nicht gewinnen, ich will nur dass die Anderen verlieren---


    :P

    Zitat von T4R

    man sollte auch erwähnen das ca. 90% aller Hauptknoten ( Für das Internet in DE ) in der hand einiger weniger Firmen sind. Ob diese da schon gesnifft werden wird dir nie jemand zugeben können. Ich WEISS aber aus eigener Kenntniss das es einen dieser Knoten in FFM ( über den ca 60% laufen ) definitiv von diversen GHD´s gesnifft wurde oder gar noch wird. Nicht umsonst ist bei uns in Wiesbaden die neue N.. zentrale für DE.....


    Daten abgreifen ist eh ganz einfach... auch wenn die Pakete verschiedene Wege laufen.....


    Nachtrag: wen es interessiert: https://de.wikipedia.org/wiki/DE-CIX


    Kaum hast du ausgesprochen/geschrieben....kam es auch schon im Radio ^^

    Die SSL-Verschlüsselung für das komplette Forum ist jetzt integriert.


    Falls ihr unter irgendeinem Link noch über einen Fehler bzgl. SSL stolpert oder euer Browser meckert gebt mir bitte hier kurz Bescheid. :)