Umfrage: https als Standard für das forum

[LDR]

Wäre die Multimedia-Branche unter Linux ausgereifter (Schwerpunkt: Fotografie / Videobearbeitung), dann könnte ich ohne Probleme auf Windows verzichten...

Da ich solche Hobbys auch habe (Bilder DSLR, Video GoPro + ContourHD) und nur mit Debian gut klar komme kann das nicht ganz unmöglich sein...

Zur Bildbearbeitung benutze ich Gimp, ist kein Photoshop, richtig, aber ich bin auch nur Hobbyuser und mache das nicht beruflich. Um Bildbearbeitung zu vermeiden arbeite ich aber übrigens auch lieber kreativ mit den Funktionen meiner DSLR+Magic Lantern und versuche soviel über Photographie zu lernen wie es nur geht, da liegt halt auch viel Potenzial vergraben wenn man ernsthaft an die Sache rangehen will.

Und für meine beiden ActionCams/Helmkameras bzw die Videobearbeitung benutze ich Cinnelerra - http://heroinewarrior.com/cinelerra.php

[Patsche]

Nochmal nachgefragt, finde den anderen Thread nicht mehr:
Da das Portal jetzt ein SSL Zertifikat verwendet, dass von den Internet-Browsern ohne Warnung genutzt wird, kann man doch standardmäßig die ssl-Verbindung nehmen, oder? Ich habe im Hinterkopf, dass es dazu mal einen Thread gab, wo das gefragt wurde, finde den aber irgendwie nicht.

Cae hat ihn gefunden und ich habe die entsprechenden Beiträge verschoben. -- wanne

[blackm]

Ich erinnere mich auch daran. Meiner Meinung nach macht es auch Sinn jetzt https per default zu verwenden (und http vielleicht ganz abzuschalten)

Verschoben aus 148598

[Cae]

Ihr meint vermutlich [1]. Ich finde es nach wie vor [2] zum Debugging oder in zensiertem Netzwerk praktisch, unverschluesselt zugreifen zu koennen.

Ausserdem gehen massenweise Links auf die HTTP-Version, man muesste also mindestens umleiten. Auch mit einer grossen Suchmaschine falle ich grundsaetzlich erstmal per HTTP anstatt explizit gefordertem HTTPS (site:https://debianforum.de/) raus.

Gruss Cae

[1] viewtopic.php?f=15&t=147264
[2] viewtopic.php?p=971527#p971527

Wurde ursprünglich in Thread 148598 gepostet. Jetzt in den Verlikten passenden verschoben.

[wanne]

Nicht für Banking aber für alles andere

Ich muss mich verbessern. Auch im Banking waren unverschlüsselte verbindungen ein Problem. Gab eine größere deutsche Bank, die Klartext HTTP in kombination mit TANs eingesetzt hat, die mit nem kaputten Zufallsgenerator generiert wurden. Ist aber schon sehr lange her.

Aber zum Thema:
Ich sehe folgende wirklich gravierendem sicherheitstechnsichen Probleme:

• Session und User Cookies werden nicht auf secure gesetzt. => EIn klick auf einen falschen Link und man gibt sein Account preis.
• Es gibt noch immer diverse hart eincodierte http-Links, sodass man plötzlich eine unsichere seite hatt wenn man irgendwo klickt. (Vor allem in der Leiste an der Linke seite und bei der suche) Das sollte relativ einfach sein zu beheben. Könnte man durch protokollrelative Links ersetzen. Wenn jemand meint, dass hier noch irgendjemand mit netscape surft, und der das nicht versteht finde ich dass man da https reinmachen sollte
• Das umschreiben von links die hier im Forum gepostet werden, funktioniert nicht mehr.
• Das forum liegt auf debianform.de => Auch das wiki, dass fast durchgängig http-Links benutzt gibt session cookies preis. Vielleicht ändert man das form auf www.debianforum.de und setzt da ein redirect drauf.

Zu den Suchmaschienen: Google dürfte hier im Forum (dynamischer kontetn oft besucht, oft verlinkt) innehalb von wenigen Stunden 80-90% der Links ersetz haben. Allerdings bleiben immer so die letzten 2-3% die er auch nach Wochen/Monaten nicht korrigiert. Probleme werden allenfalls kurtzzeitig im Ranking verursacht. Problematisch sind eher Links, die von Menschen erstellt wurden.

Im Prinzip wäre ich auch gerne behilflich. Ist aber halt wohl frikelei an der forensoftware.

[wanne]

zum Debugging

Das ist seit gzip kaputt. Für den aufwand, mit dem man gzip rausnimmt, bekommt man auch https wieder weg.

oder in zensiertem Netzwerk praktisch, unverschluesselt zugreifen zu koennen.

Deswegen braucht man trotzdem keine SIDs über http zu pusten. Tut der login halt nicht.

[Cae]

oder in zensiertem Netzwerk praktisch, unverschluesselt zugreifen zu koennen.

Deswegen braucht man trotzdem keine SIDs über http zu pusten. Tut der login halt nicht.

Ja, ich meine an der Stelle auch die passive Benutzung ohne Anmeldung (ich kaeme unter solchen Umstaenden nicht mal auf die Idee, credentials ueber die Leitung zu schicken). Zu dem Punkt hatte ich am Anfang dieses Threads (Link drei, vier Posts zuvor) geschrieben:

Allerdings gehen zur Zeit Login-Daten und Session-Keys im Klartext durch's Netz, was ueberhaupt nicht gut ist. An dieser Stelle waere eine deutliche Warnmeldung mit Link zum Umschalten auf https:// sinnvoll und wuenschenswert.

Das finde ich nach wie vor und geht ja auch in die Richtung deiner Aussage.

Gruss Cae

[feltel]

• Es gibt noch immer diverse hart eincodierte http-Links, sodass man plötzlich eine unsichere seite hatt wenn man irgendwo klickt. (Vor allem in der Leiste an der Linke seite und bei der suche) Das sollte relativ einfach sein zu beheben. Könnte man durch protokollrelative Links ersetzen. Wenn jemand meint, dass hier noch irgendjemand mit netscape surft, und der das nicht versteht finde ich dass man da https reinmachen sollte

Für die Sidebar ist das zumindest jetzt behoben; ebenso beim Planeten.

[wanne]

So jetzt das ganze noch für's Wiki dann erkläre ich den Punkt für erledigt.

Kommen wir zu dem nächsten einfach zu behebenen problem: Die Links. Gibt es fürs Wiki bots, wie für die Wikipedia? Sonst könnte ich prinzipell wahrscheinlich auch mal irgend wann mal was mit curl und sed basteln. Wenn das OK ist. Für das Forum ist das Thema schon etwas komplizierter: Vor allem das regt mich schon weit ewigkeiten tirisch auf:
//google.com
[url]man:wget[/url]
Kann man die Linkprüfung vielleicht etwas aufweichen? Und vielleicht ein sed 's,http:(//.*debianforum.de/.*),\1,g' hinterherwerfen? Ich meine die überprüfung müsste ja nur leicht angepasst werden die mus ja schon irgend wo im php-Code sein. Kannst du vielleicht mal verlinken was für phpBB das forum genau nutzt? So richtig plain scheint das ja nicht zu sein.

[feltel]

So jetzt das ganze noch für's Wiki dann erkläre ich den Punkt für erledigt.

done

[feltel]

Was mir noch eingefallen ist. Vor ner weile las ich - ich weiß allerdings nicht wo - das Browser Listen führen mit Seiten, die standardmäßig per SSL aufgerufen werden, egal ob ein Link auf http oder https zeigt. Dummerweise hab ich mir die Seite nicht gebookmarked oder den genauen Terminus der Listen gemerkt. Das würde doch die "Problematik" ein wenig entschärfen, wenn wir auf so eine Liste kämen. Eine Deaktivierung von http sehe ich als keine Lösung, zumal wie vorab von anderen schon erwähnt, eine Reihe von Links im Forum auf http lauten und es mit Sicherheit eine Menge Browserkombinationen gibt, die aus welchem Grund auch immer Probleme mit SSL verursachen. Mit einer Aufnahme in die Browserlisten könnten wir zumindestens denen, die einen aktuellen Browser verwenden etwas mehr Komfort bieten, ohne die anderen auszuschließen oder zu benachteiligen.

[TRex]

Du meinst vermutlich http://de.wikipedia.org/wiki/HTTPS_Everywhere

[feltel]

Nee, ich dächte das wäre direkt eine Liste im Browser gewesen. Die Seite wo das beschrieben war drehte sich um Chrome und das war keine Extension sondern halt direkt implementiert.

[Cae]

So etwas in Richtung HSTS [1]? Grob gesagt: Browser fragt Seite an, Server sagt, dass es auch SSL gibt, Browser zieht SSL und merkt sich das fuer laengere Zeit.

Gruss Cae

[1] https://en.wikipedia.org/wiki/HTTP_Stri ... t_Security

[dufty2]

@feltel
Kann es sein, dass Du Chrome's "CRLset" [1] meinst?
Das sind aber in Chrome gepeicherte Liste von revokten Certifikaten und nicht "webseite hat HTTPS ja/nein".

[1] http://dev.chromium.org/Home/chromium-security/crlsets