RC-Map Login Suchen ||     zurück zur Portalseite

Du bist nicht eingeloggt!

Nur als registriertes Mitglied vom offroad-CULT Forum hast Du vollen Zugriff auf alle Funktionen unserer Community. Du kannst Mitglied werden, indem du dich hier registrierst!

Verschlüsselung

Schnellnavigation:
offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite 1, 2  Weiter

  • Dieses Thema bookmarken bei:  Bei Del.icio.us bookmarken Bei Mister Wong bookmarken Yigg It! Digg It!
  • Beiträge der letzten Zeit anzeigen:   

  • Neues Thema eröffnen   Neue Antwort erstellen   
    Autor Nachricht
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 453

    BeitragVerfasst am: 06.05.2014, 20:54    Titel: Verschlüsselung
    Hi,

    mir fehlt etwas die Verschlüsselung der Anmeldung, wenn nicht des gesamten Traffics (zumindest bei angemeldeten Usern).

    Der Hintergrund ist nicht, dass es gerade hier nun um eine ganz besonders intime und schützenswerte Sphäre ginge, sondern ganz banal: Viele verwenden leider für viele/alle Webdienste das gleiche Passwort, mit dem sie sich hier auch anmelden. Das lässt sich aus einem unverschlüsselten Datenstrom relativ trivial herausfiltern - und bedeutet damit ein signifikantes Sicherheitsproblem für die o.g. 'Passwortrecycler'. Es ist müßig, darüber zu diskutieren, ob das grob fahrlässig ist. Natürlich ist es das. Aber nichtsdestotrotz findet es öfter statt, als man sich das zuweilen ausmalt.

    Abgesehen von diesem Aspekt meine ich angesichts der Erkenntnisse über Internetüberwachung, die uns in letzter Zeit zuteil wurden, dass jeder Traffic, der verschlüsselt übertragen wird, immer besser ist als einer, der unverschlüsselt abläuft. Schlicht schon aus Prinzip.

    Wie dem auch sei, ich würde mich freuen, wenn das eine Option für euch wäre. Ich würde mich auch gerne finanziell daran beteiligen, wenn es daran haken sollte. Schickt einfach eine PN (oder antwortet hier), wenn es in Frage kommt.

    Der Aufwand, so etwas zu integrieren, ist übrigens, sieht man mal von den Kosten ab, bei vielen Providern denkbar gering. Man beantragt einfach über das Webinterface ein Zertifikat zur gehosteten Domain, und der Provider besorgt dann eins bei einer CA und bindet das ein, das wars schon. Darüber hinaus steigt der Rechenaufwand auf dem Server, da der Traffic ja dann verschlüsselt werden muss, aber das ist i.d.R. eher vernachlässigbar.
    Nach oben
    amigaman
    CULT-Urgestein
    CULT-Urgestein



    Anmeldedatum: 22.10.2011
    Beiträge: 1688
    Wohnort: Nord-West-Deutschland

    BeitragVerfasst am: 06.05.2014, 21:14    Titel:
    Bist du ernsthaft der Meinung, das die Verschlüsselung des Traffics das belauschen durch dreibuchstabige Organisationen verhindert? SSL wird schon lange live mitgelesen...
    Zudem ist das Problem der Passwortrecycler entweder ein Trojaner auf der eigenen Maschine, da hilft Verschlüsselung des Traffics prinzipbedingt nicht, oder ein geknackter Server, und da hoffe ich, das eh nur ein Hash gespeichert wird.
    Der Vergleich des verschlüsselt übertragenen Passworts erfordert da aber auch ein entschlüsseln, so das eine geklaute Datenbank auch jetzt schon überflüssig ist (da nur Hashes drinstehen), ein kompromittierter Server dagegen auch mit aktiviertem SSL Müll ist.

    Die kürzliche Vergangenheit mit den geklauten Datenbanken zeigt, das einzig viele Mailadressen und ebenso viele gute (=lange) Passworte einen User davor schützen können, beklaut zu werden, zumindest ein wenig.
    Und das kann der Serveradmin nicht sicherstellen.
    _________________
    Gruß, Jens

    Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo
    Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
    Nach oben
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 453

    BeitragVerfasst am: 06.05.2014, 22:01    Titel:
    Nein, ich bin nicht der Meinung, dass das eine hohe Stufe an Sicherheit bietet, wenn du es mit solchen Maßstäben misst. Übrigens wird SSL-Traffic natürlich mitgeschnitten, aber i.d.R. nicht mitgelesen, da der Aufwand hierfür viel zu gross wärer. Man speichert vielmehr den verschlüsselten Traffic, um ihn ggf. dann entschlüsseln zu können. Aber das gehört hier nicht wirklich her.

    Ich stimme nicht mit dir überein, wenn du auf den Datenschutz und die Privatsphäre das Alles-oder-Nichts-Prinzip anwendest. Dass das 'Alles' nicht mehr funktioniert, haben wir gelernt - aber angesichts dessen die Alternative 'Nichts' vorzuschlagen, halte ich dann doch für etwas fatalistisch. Es geht bei offroad-cult.org, wie ich schon schrieb, nicht um einen Bereich explizit schützenswerter Privatheit. Aber es geht darum, nicht ohne Not mit seine privaten Daten um sich schmeissen zu müssen. Nichts anderes aber bedeutet die unverschlüsselte Übertrgung.

    Mein Vorschlag ist beileibe kein Konzept, die Welt zu retten und absolut sicher zu machen. Aber er ist zumindest geeignet, nicht gleich jedem dahergelaufenen Heiopei irgendwelche Daten mehr oder weniger ungefragt hinterherzuschmeissen.
    Nach oben
    Lizard
    Offroad-Guru
    Offroad-Guru



    Anmeldedatum: 06.06.2013
    Beiträge: 715

    BeitragVerfasst am: 07.05.2014, 10:01    Titel:
    Erklär' uns mal bitte, wie und wo jeder dahergelaufene Heiopei Deine Daten abgreifen kann.
    Nach oben
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 453

    BeitragVerfasst am: 07.05.2014, 10:35    Titel:
    Spoofing ist nur ein Beispiel aus dem bunten Strauss der Möglichkeiten.

    Gegenfrage: kannst du mir erklären, was eigentlich gegen eine verschlüsselte Verbindung spricht?
    Nach oben
    amigaman
    CULT-Urgestein
    CULT-Urgestein



    Anmeldedatum: 22.10.2011
    Beiträge: 1688
    Wohnort: Nord-West-Deutschland

    BeitragVerfasst am: 07.05.2014, 10:40    Titel:
    Theoretisch wäre eine Man-in-the-middle-Attacke möglich, z.B. mit einem sog. Rogue-AP, der ein öffentliches WLAN an öffentlichen Stellen simuliert.
    Macht man gern in Zügen oder bei McD, dann buchen sich tausend Handies bei dir ein und schicken ihr Passwort zum Mailaccount, Facebook, Play Store, und eben auch Foren und alles mögliche sonst noch.
    Alles, was da nicht SSLt ist, kann (und wird) der MITM da abgreifen und für seine Zwecke missbrauchen.

    Das werden nicht viele Fälle sein, und meist eher Trolle als Verursacher, weil es recht einfach und unauffällig geht.

    Ich würde sagen: SSL wäre schön, aber bei einem Forum find ich das jetzt nicht sooo wichtig.
    _________________
    Gruß, Jens

    Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo
    Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
    Nach oben
    Lizard
    Offroad-Guru
    Offroad-Guru



    Anmeldedatum: 06.06.2013
    Beiträge: 715

    BeitragVerfasst am: 07.05.2014, 10:42    Titel:
    Dagegen sprechen zusätzliche Kosten und die erhöhte Komplexität.

    Spoofing? Was genau spoofen, und wo?
    Nach oben
    amigaman
    CULT-Urgestein
    CULT-Urgestein



    Anmeldedatum: 22.10.2011
    Beiträge: 1688
    Wohnort: Nord-West-Deutschland

    BeitragVerfasst am: 07.05.2014, 10:48    Titel:
    BeeBop hat Folgendes geschrieben:
    Spoofing ist nur ein Beispiel aus dem bunten Strauss der Möglichkeiten.

    Gegenfrage: kannst du mir erklären, was eigentlich gegen eine verschlüsselte Verbindung spricht?

    Eigentlich nichts, außer den schon erwähnten Kosten auf der Serverseite, und der trügerischen Sicherheit, wie man am Heartbleed gesehen hat.
    Der Mensch an sich ist faul und wird bei eingeshaltetem Schloss in der Adressleiste davon ausgehen, das ein simples/recyceltes Passwort reicht, "die Seite ist ja gesichert".
    Viele Webseitenbetreiber gehen auch so weit und zwingen dem User Passwortwechsel oder -komplexitäten auf, reduzieren dadurch aber die Sicherheit, klassischer Enigma-Fehler. Ist auch falsche Sicherheit.
    _________________
    Gruß, Jens

    Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo
    Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
    Nach oben
    BeeBop
    Pisten-Papst
    Pisten-Papst



    Anmeldedatum: 06.06.2010
    Beiträge: 453

    BeitragVerfasst am: 07.05.2014, 11:51    Titel:
    Hinsichtlich der Kosten habe ich ja bereits meine Bereitschaft signalisiert, mich entsprechend zu beteiligen.

    @Lizard: Was genau für eine erhöhte Komplexität meinst du? Kannst du das genauer umreissen?

    Spoofing gelingt überall dort, wo Zugriff auf Datenverkehr möglich ist und keine konkreten Gegenmassnahmen dies verhindern (oder zumindest deutlich erschweren). Hier findest du mehr zum Thema: https://de.wikipedia.org/wiki/Spoofing


    @amigaman: Ja, da werden uns sicherlich noch ganz andere Überraschungen ins Haus stehen, Heartbleed wird nicht das letzte Kuckucksei gewesen sein. Aber, um mal einen der beliebten Autovergleiche heranzuziehen, du verzichtest ja auch nicht auf den Sicherheitsgurt, nur, weil u.U. das Steuergerät deines Airbags im Falle eines Crashes nicht richtig funktionieren könnte.

    Die Komplexität des Passwortes hat ja nichts mit der Verschlüsselung des Traffics zu tun, sondern eher mit dem möglichen Erraten des Passwortes auf Basis des Hashes in der Datenbank der Website. Die Verschlüsselung des Traffics hingegen wird zwischen Server und Browser ganz ohne Zutun des Users oder gar einer Passworteingabe ausgehandelt, sondern nur mittels Austausches eines digitalen Schlüssels.
    Nach oben
    Lizard
    Offroad-Guru
    Offroad-Guru



    Anmeldedatum: 06.06.2013
    Beiträge: 715

    BeitragVerfasst am: 07.05.2014, 12:00    Titel:
    BeeBop: Erklär' mal genauer Smile
    Nach oben
    Neues Thema eröffnen   Neue Antwort erstellen   

    Schnellnavigation:
    offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite 1, 2  Weiter



    Gehe zu:  



    » offroad-CULT:  Impressum