Verschlüsselung Schnellnavigation: offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite 1, 2  Weiter Dieses Thema bookmarken bei:  Beiträge der letzten Zeit anzeigen: Alle Beiträge1 Tag7 Tage2 Wochen1 Monat3 Monate6 Monate1 Jahr Die ältesten zuerstDie neusten zuerst

Autor	Nachricht
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 06.05.2014, 21:54 •   Titel: Verschlüsselung Hi, mir fehlt etwas die Verschlüsselung der Anmeldung, wenn nicht des gesamten Traffics (zumindest bei angemeldeten Usern). Der Hintergrund ist nicht, dass es gerade hier nun um eine ganz besonders intime und schützenswerte Sphäre ginge, sondern ganz banal: Viele verwenden leider für viele/alle Webdienste das gleiche Passwort, mit dem sie sich hier auch anmelden. Das lässt sich aus einem unverschlüsselten Datenstrom relativ trivial herausfiltern - und bedeutet damit ein signifikantes Sicherheitsproblem für die o.g. 'Passwortrecycler'. Es ist müßig, darüber zu diskutieren, ob das grob fahrlässig ist. Natürlich ist es das. Aber nichtsdestotrotz findet es öfter statt, als man sich das zuweilen ausmalt. Abgesehen von diesem Aspekt meine ich angesichts der Erkenntnisse über Internetüberwachung, die uns in letzter Zeit zuteil wurden, dass jeder Traffic, der verschlüsselt übertragen wird, immer besser ist als einer, der unverschlüsselt abläuft. Schlicht schon aus Prinzip. Wie dem auch sei, ich würde mich freuen, wenn das eine Option für euch wäre. Ich würde mich auch gerne finanziell daran beteiligen, wenn es daran haken sollte. Schickt einfach eine PN (oder antwortet hier), wenn es in Frage kommt. Der Aufwand, so etwas zu integrieren, ist übrigens, sieht man mal von den Kosten ab, bei vielen Providern denkbar gering. Man beantragt einfach über das Webinterface ein Zertifikat zur gehosteten Domain, und der Provider besorgt dann eins bei einer CA und bindet das ein, das wars schon. Darüber hinaus steigt der Rechenaufwand auf dem Server, da der Traffic ja dann verschlüsselt werden muss, aber das ist i.d.R. eher vernachlässigbar.
Nach oben
amigaman CULT-Urgestein Anmeldedatum: 22.10.2011 Beiträge: 1688 Wohnort: Nord-West-Deutschland	Verfasst am: 06.05.2014, 22:14 •   Titel: Bist du ernsthaft der Meinung, das die Verschlüsselung des Traffics das belauschen durch dreibuchstabige Organisationen verhindert? SSL wird schon lange live mitgelesen... Zudem ist das Problem der Passwortrecycler entweder ein Trojaner auf der eigenen Maschine, da hilft Verschlüsselung des Traffics prinzipbedingt nicht, oder ein geknackter Server, und da hoffe ich, das eh nur ein Hash gespeichert wird. Der Vergleich des verschlüsselt übertragenen Passworts erfordert da aber auch ein entschlüsseln, so das eine geklaute Datenbank auch jetzt schon überflüssig ist (da nur Hashes drinstehen), ein kompromittierter Server dagegen auch mit aktiviertem SSL Müll ist. Die kürzliche Vergangenheit mit den geklauten Datenbanken zeigt, das einzig viele Mailadressen und ebenso viele gute (=lange) Passworte einen User davor schützen können, beklaut zu werden, zumindest ein wenig. Und das kann der Serveradmin nicht sicherstellen. _________________ Gruß, Jens Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
Nach oben
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 06.05.2014, 23:01 •   Titel: Nein, ich bin nicht der Meinung, dass das eine hohe Stufe an Sicherheit bietet, wenn du es mit solchen Maßstäben misst. Übrigens wird SSL-Traffic natürlich mitgeschnitten, aber i.d.R. nicht mitgelesen, da der Aufwand hierfür viel zu gross wärer. Man speichert vielmehr den verschlüsselten Traffic, um ihn ggf. dann entschlüsseln zu können. Aber das gehört hier nicht wirklich her. Ich stimme nicht mit dir überein, wenn du auf den Datenschutz und die Privatsphäre das Alles-oder-Nichts-Prinzip anwendest. Dass das 'Alles' nicht mehr funktioniert, haben wir gelernt - aber angesichts dessen die Alternative 'Nichts' vorzuschlagen, halte ich dann doch für etwas fatalistisch. Es geht bei offroad-cult.org, wie ich schon schrieb, nicht um einen Bereich explizit schützenswerter Privatheit. Aber es geht darum, nicht ohne Not mit seine privaten Daten um sich schmeissen zu müssen. Nichts anderes aber bedeutet die unverschlüsselte Übertrgung. Mein Vorschlag ist beileibe kein Konzept, die Welt zu retten und absolut sicher zu machen. Aber er ist zumindest geeignet, nicht gleich jedem dahergelaufenen Heiopei irgendwelche Daten mehr oder weniger ungefragt hinterherzuschmeissen.
Nach oben
Lizard Offroad-Guru Anmeldedatum: 06.06.2013 Beiträge: 715	Verfasst am: 07.05.2014, 11:01 •   Titel: Erklär' uns mal bitte, wie und wo jeder dahergelaufene Heiopei Deine Daten abgreifen kann.
Nach oben
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 07.05.2014, 11:35 •   Titel: Spoofing ist nur ein Beispiel aus dem bunten Strauss der Möglichkeiten. Gegenfrage: kannst du mir erklären, was eigentlich gegen eine verschlüsselte Verbindung spricht?
Nach oben
amigaman CULT-Urgestein Anmeldedatum: 22.10.2011 Beiträge: 1688 Wohnort: Nord-West-Deutschland	Verfasst am: 07.05.2014, 11:40 •   Titel: Theoretisch wäre eine Man-in-the-middle-Attacke möglich, z.B. mit einem sog. Rogue-AP, der ein öffentliches WLAN an öffentlichen Stellen simuliert. Macht man gern in Zügen oder bei McD, dann buchen sich tausend Handies bei dir ein und schicken ihr Passwort zum Mailaccount, Facebook, Play Store, und eben auch Foren und alles mögliche sonst noch. Alles, was da nicht SSLt ist, kann (und wird) der MITM da abgreifen und für seine Zwecke missbrauchen. Das werden nicht viele Fälle sein, und meist eher Trolle als Verursacher, weil es recht einfach und unauffällig geht. Ich würde sagen: SSL wäre schön, aber bei einem Forum find ich das jetzt nicht sooo wichtig. _________________ Gruß, Jens Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
Nach oben
Lizard Offroad-Guru Anmeldedatum: 06.06.2013 Beiträge: 715	Verfasst am: 07.05.2014, 11:42 •   Titel: Dagegen sprechen zusätzliche Kosten und die erhöhte Komplexität. Spoofing? Was genau spoofen, und wo?
Nach oben
amigaman CULT-Urgestein Anmeldedatum: 22.10.2011 Beiträge: 1688 Wohnort: Nord-West-Deutschland	Verfasst am: 07.05.2014, 11:48 •   Titel: BeeBop hat Folgendes geschrieben: Spoofing ist nur ein Beispiel aus dem bunten Strauss der Möglichkeiten. Gegenfrage: kannst du mir erklären, was eigentlich gegen eine verschlüsselte Verbindung spricht? Eigentlich nichts, außer den schon erwähnten Kosten auf der Serverseite, und der trügerischen Sicherheit, wie man am Heartbleed gesehen hat. Der Mensch an sich ist faul und wird bei eingeshaltetem Schloss in der Adressleiste davon ausgehen, das ein simples/recyceltes Passwort reicht, "die Seite ist ja gesichert". Viele Webseitenbetreiber gehen auch so weit und zwingen dem User Passwortwechsel oder -komplexitäten auf, reduzieren dadurch aber die Sicherheit, klassischer Enigma-Fehler. Ist auch falsche Sicherheit. _________________ Gruß, Jens Meins: Traxxas Summit @ 2x 2S 7,6Ah LiPo | Vaterra Twin Hammers @ 2S 4,2Ah LiPo Sohn: Traxxas Stampede @ 2S 5,8Ah LiPo
Nach oben
BeeBop Pisten-Papst Anmeldedatum: 06.06.2010 Beiträge: 453	Verfasst am: 07.05.2014, 12:51 •   Titel: Hinsichtlich der Kosten habe ich ja bereits meine Bereitschaft signalisiert, mich entsprechend zu beteiligen. @Lizard: Was genau für eine erhöhte Komplexität meinst du? Kannst du das genauer umreissen? Spoofing gelingt überall dort, wo Zugriff auf Datenverkehr möglich ist und keine konkreten Gegenmassnahmen dies verhindern (oder zumindest deutlich erschweren). Hier findest du mehr zum Thema: https://de.wikipedia.org/wiki/Spoofing @amigaman: Ja, da werden uns sicherlich noch ganz andere Überraschungen ins Haus stehen, Heartbleed wird nicht das letzte Kuckucksei gewesen sein. Aber, um mal einen der beliebten Autovergleiche heranzuziehen, du verzichtest ja auch nicht auf den Sicherheitsgurt, nur, weil u.U. das Steuergerät deines Airbags im Falle eines Crashes nicht richtig funktionieren könnte. Die Komplexität des Passwortes hat ja nichts mit der Verschlüsselung des Traffics zu tun, sondern eher mit dem möglichen Erraten des Passwortes auf Basis des Hashes in der Datenbank der Website. Die Verschlüsselung des Traffics hingegen wird zwischen Server und Browser ganz ohne Zutun des Users oder gar einer Passworteingabe ausgehandelt, sondern nur mittels Austausches eines digitalen Schlüssels.
Nach oben
Lizard Offroad-Guru Anmeldedatum: 06.06.2013 Beiträge: 715	Verfasst am: 07.05.2014, 13:00 •   Titel: BeeBop: Erklär' mal genauer
Nach oben

Schnellnavigation: offroad-CULT Forum » Speakers' Corner » Verschlüsselung » Gehe zu Seite 1, 2  Weiter Gehe zu: Forum auswählen Schaufenster----------------Shop-Corner: Alles für's Hobby! Infos, News & more----------------RC Offroad NewsOfftopic - PlaudereckeHöchstpersönlich - Mitglieder stellen sich vor!Show Off! Einstieg ins Hobby----------------Einsteigerberatung Offroad Sport----------------Offroad-BasicsElektro - 1/10, Mini- und MicromodelleElektro - 1/8Verbrenner-ModelleMonster TrucksGroßmodelleRally-ForumCrawler und Trial AreaRC-ZubehörDie Technik im Modellsport3D-Druck im Modellsport Rennszene----------------Events & Just 4 FunRennszene - ElektroRennszene - VerbrennerDer OÖ-CupMCC Rudolstadt - ClubforumWRC-Drivers - Clubforum Gebrauchtmarkt----------------SucheBiete über offroad-CULT...----------------offroad-CULT Info-AreaSpeakers' Corner