Anmeldung im Forum über ungesicherte Leitung?

Schreibt hier die Kategorien und Themen rein, die euch momentan hier noch fehlen.
Antworten
Benutzeravatar
Waldlaeufer
Beiträge: 74
Registriert: 04.04.2015 16:16:28

Anmeldung im Forum über ungesicherte Leitung?

Beitrag von Waldlaeufer » 14.05.2015 08:43:57

Hallo,

ist mein erster Post hier im Forum, habt also bitte etwas Nachsicht falls dies schon diskutiert wurde :roll:

Mir ist aufgefallen, dass die Anmeldung hier um Forum nicht über eine gesicherte Leitung erfolgt (https über SSL/TLS).

Wenn das so ist, kann ich davon ausgehen, dass mein Passwort bei der Anmeldung im Klartext übermittelt wird?

Könnte man das eventuell ändern?

Gruß
Waldläufer

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von TRex » 14.05.2015 09:12:59

Wie kommst du darauf, dass es unverschlüsselt ist? Sämtliche Anfragen werden auf https umgeleitet. Du kannst das Forum anders gar nicht mehr benutzen.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
Waldlaeufer
Beiträge: 74
Registriert: 04.04.2015 16:16:28

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von Waldlaeufer » 14.05.2015 09:55:54

Hmm ... jetzt habe ich eine gesicherte Verbindung! Ich hätte schwören könne, dass das eben nicht so war.

Ist ja ein gelungener Einstand hier im Forum :oops:

DeletedUserReAsG

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von DeletedUserReAsG » 14.05.2015 09:59:31

Möglicherweise bist du über „Du kannst Dich auch über unseren SSL-gesicherten Zugang anmelden.“ in der Anmeldungsmaske gestolpert? Das sollte in der Tat mal jemand fixen, es könnte verwirren.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von TRex » 14.05.2015 16:26:13

Ja, das stammt noch aus der Zeit, bevor SSL erzwungen wurde.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von feltel » 14.05.2015 16:33:03

SSL erzwungen ist relativ. Der Webserver sendet HSTS-Header (siehe https://en.wikipedia.org/wiki/HTTP_Stri ... t_Security) und wenn ein HSTS-fähiger Browser benutzt wird, dann "merkt" sich der Browser dank dieses Headers, das die besuchte Webseite für den im Header angegebenen Zeitraum nur verschlüsselt genutzt werden soll. Daher braucht es für den Einstieg in eine permanent verschlüsselte Verbindung einmalig den expliziten Aufruf von https://debianforum.de/... Daher u.a. auch der entsprechende Link in der Loginbox.

Eine serverseitige Zwangsumleitung von http:// nach https:// hatten wir seinerzeit (sprich vor vielleicht drei oder vier Jahren) aufgrund von Kompatibilitätserwägungen verworfen, jetzt wäre eventuell Zeit, nochmal darüber nachzudenken.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von TRex » 14.05.2015 16:40:01

Das heißt, ein entsprechend alter Browser könnte das Forum mit http nutzen. Laut der Wikiseite auch der recht aktuelle IE 10 (aber wer surft schon mit dem IE im dfde... gibts da Statistiken?).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von feltel » 14.05.2015 16:41:33

Ja, http ist nach wie vor voll verfügbar. Die Stats gibts hier: https://debianforum.de/webalizer/

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von catdog2 » 14.05.2015 17:18:33

Eine serverseitige Zwangsumleitung von http:// nach https:// hatten wir seinerzeit (sprich vor vielleicht drei oder vier Jahren) aufgrund von Kompatibilitätserwägungen verworfen, jetzt wäre eventuell Zeit, nochmal darüber nachzudenken.
Fragt sich: Kompatibilität mit was? https://www.ssllabs.com/ssltest/analyze ... anforum.de weisst als einzig inkompatibel den IE6 aus.
Unix is user-friendly; it's just picky about who its friends are.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von feltel » 14.05.2015 17:40:19

u.a. war früher das Problem, das wir ein CAcert.org-Zertifikat benutzt haben, wessen Root-Zertifikat bei keiner der größeren Distributionen außer Debian und Debian-Abkömmlingen vorinstalliert war. Mittlerweile nutzen wir ja StartSSL, und da sah es ähnlich aus. Sicher ist dies heute kein so großes Thema mehr wie früher.

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von KBDCALLS » 21.05.2015 18:30:17

Habs gerade mal ausprobiert. Firefox und Opera 12 sind immer auf https:// gelandet . Selbst wenn ich explizit http://debianforum.de geschrieben habe. Und der Knaller war Googles Chrome. der blieb bei http:// oder ich mußte https:// angeben.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von blackm » 22.06.2015 22:32:13

Wenn https://letsencrypt.org/ läuft, dann können wir noch einmal über die Zwangsumleitung nachdenken. Wenn ich das richtig verstanden habe, dann sollen die Zertifikate von allen Browsern akzeptiert werden....bin mal gespannt.
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Anmeldung im Forum über ungesicherte Leitung?

Beitrag von catdog2 » 22.06.2015 23:15:36

Wenn ich das richtig verstanden habe, dann sollen die Zertifikate von allen Browsern akzeptiert werden....bin mal gespannt.
Das ist aber jetzt mit StartSSL auch schon kein Problem, an der Stelle ändert sich da nix. Identrust sieht was Browserunterstützung angeht ähnlich problemlos aus: https://www.ssllabs.com/ssltest/analyze ... com&latest (Und wie gut die ihren Server konfiguriert haben, CAs…)
Unix is user-friendly; it's just picky about who its friends are.

Antworten