Fuji-X-Forum unsicher ?

[micaelo]

Werbung (verschwindet nach Registrierung)

Eben ist mir aufgefallen, dass mein Browser (Firefox, akt. Version) beim Aufruf der Forums-URL in der Adresszeile ein durchgestrichenes Schloss anzeigt. Der Infotext dazu warnt, dass die Zugangsdaten unverschlüsselt übertragen würden und in falsche Hände geraten könnten. Ich weiß nicht, ob das schon immer so war. Heute ist es mir jedenfalls aufgefallen.

Hallo, lieber Besucher! Als Forumsmitglied (kostet nix) würdest du hier ein Bild sehen…

Einfach hier registrieren – Wir freuen uns immer über neue Mitglieder!

 

Wenn die Zugangsdaten erstmal "drin" sind, ist das Warnsymbol weg. (logisch)

[.dobbi]

das wird auch beim Chrome demnächst so sein

https soll ja Standard werden

[Enzio]

was ist schon sicher im Leben ... besonders im digitalen Leben ...

[Dextera]

Das liegt einfach an der unverschlüsselten Übertragung über HTTP, nicht HTTPs ... 

Grundsätzlich wäre SSL natürlich vorzuziehen, aber man muss sich nun nicht zwingend unter dem Bett verstecken weil das hier nicht so ist. 

 

Möglichkeiten gibt es viele, um dein Passwort bei der Übertragung mitzubekommen. Solltest du in einem öffentlichen Netzwerk unterwegs sein und dich da im Forum anmelden, wärs ohne Verschlüsselung nicht wirklich schwer da mitzulauschen. 

[Jenwe]

Ich würde halt über die Nachrichten hier im Forum keine Bankdaten und anderes übermitteln. Und ja, war schon immer so - viele Seiten laufen noch auf http.

 

Ich frage mich gerade, ob ein kostenloses Zertifikat von Let's Encrypt möglich wäre? Dann wäre zumindest die "Geldhürde" weg.

[Dextera]

Ich würde halt über die Nachrichten hier im Forum keine Bankdaten und anderes übermitteln.

 

Naja ... man kann auch alles übertreiben  

 

Das ist im Normalfall ja nur IBAN und BIC ... Solange man nicht seine PINs und TANs mitschickt  

Mal davon abgesehen muss da schon die Verbindung von dir bis zum Server kompromittiert sein, es ist nicht so dass dein HTTP Verkehr jeder im Teletext mitlesen kann ^^

[Gast]

Werbung (verschwindet nach Registrierung)

Die Kosten für ein einfaches Zertifikat sind mittlerweile sehr überschaubar.

 

Das größere Problem ist, dass die Umstellung auf https für alle Verbindungen bei einem Forum mit einigermaßen Durchsatz (ist ja heute schon keine Rakete) einen deutlichen Sprung in der Rechenlast auf den Endknoten verursacht. Nachdem das Forum extern gehostet wird, wird man entweder ein deutlich langsameres Forum haben, oder eben neue Kapazitäten hinzukaufen müssen. Das ist dann wahrscheinlich der finanziell viel relevantere Brocken.

[gurkendoktor]

Naja, es gibt da auch Techniken, das gering zu halten … und Techniken, die den Datendurchsatz noch beschleunigen. Alle neuen (zugegeben: kleinen) Seiten, die ich anfasse, laufen standardmaessig auf HTTPS und HTTP/2. Ich will nichts anderes mehr.

[gurkendoktor]

Nachtrag: ein riesiges Problem waren dahingehend ueblicherweise die Werbenetzwerke. Sie wollten / konnten nicht auf HTTPS umstellen. Das ist aber mittlerweile weniger ein Problem, so dass selbst grosse Seiten wie heise komplett auf https laufen.

[Yemeth]

Die Warnschüsse kommen halt schrittweise näher. In ein paar Jahren dürfte man dann explizit bestätigen müssen, dass man eine solche Webseite – wirklich, ja ganz bestimmt, ja ich bin sicher – besuchen möchte. Bis dann irgendwann unverschlüsselte http-Verbindungen irgendwo in den Optionen vergraben werden.

 

Die Forensoftware kann bestimmt HTTPS, Zertifikate gibt es gratis… 

 

[gurkendoktor]

Was auch sinnvoll ist. Nicht nur fuer Passwoerter, etc. sondern generell. 

[Neuling_0216]

Das größere Problem ist, dass die Umstellung auf https für alle Verbindungen bei einem Forum mit einigermaßen Durchsatz (ist ja heute schon keine Rakete) einen deutlichen Sprung in der Rechenlast auf den Endknoten verursacht. Nachdem das Forum extern gehostet wird, wird man entweder ein deutlich langsameres Forum haben, oder eben neue Kapazitäten hinzukaufen müssen. Das ist dann wahrscheinlich der finanziell viel relevantere Brocken.

 

Ist wohl auch nicht ganz trivial; die Werbung muß ebenfalls mitspielen.

 

Heise hat richtig Zeit gebraucht; die HVB geht mit unsicheren Seiten (paydirect o.ä.) ins Netz

[Frank Köhntopp]

Die Kosten für ein einfaches Zertifikat sind mittlerweile sehr überschaubar.

 

Das größere Problem ist, dass die Umstellung auf https für alle Verbindungen bei einem Forum mit einigermaßen Durchsatz (ist ja heute schon keine Rakete) einen deutlichen Sprung in der Rechenlast auf den Endknoten verursacht. Nachdem das Forum extern gehostet wird, wird man entweder ein deutlich langsameres Forum haben, oder eben neue Kapazitäten hinzukaufen müssen. Das ist dann wahrscheinlich der finanziell viel relevantere Brocken.

 

Die 'Rechenlast' ist nun wirklich kein Thema mehr, wir haben mittlerweile 2017.

 

Werbenetzwerke und andere 'Kleinigkeiten' schon eher.

 

Ich bin ziemlich sicher daß Andreas schon über das Thema nachgedacht hat, vielleicht kann er uns ja mal in den Stand der Überlegungen einweihen. 

[Gast]

Die 'Rechenlast' ist nun wirklich kein Thema mehr, wir haben mittlerweile 2017. [...]

 

Ja, ich habe aber explizit auf die damit verbundenen Kosten abgezielt.

Das Forum ist in Spitzenzeiten nicht unbedingt berauschend schnell. Das hat doch in 2017 auch einen Grund, oder? Und der wird weniger im Technischen als im Finanziellen begründet sein.

[gurkendoktor]

Das hat was mit Prioritaeten und ROI zu tun. Mit einer entsprechenden Architektur ist das alles kein Problem, da muss man das aber entsprechend konzipieren, aufsetzen und ein bisschen testen etc. Ob sich das fuer ein Nebenprojekt lohnt, kann ich nicht entscheiden. 

 

Wobei ich die Zugriffszahlen nicht kenne und in der Optimierung auch mit bestehendem System sicher noch ein bisschen Luft ist. Aber das ist nicht meine Seite, da mache ich mir auch keinen grossen Kopf. 

[Fu-Ji Non]

bisher sehe ich keine Probleme auf mich zukommen und die Performance der Seite stimmt für mich auch. 

[GambaJo]

HTTPS Everywhere finde ich ganz nützlich

[Montolio]

HTTPS Everywhere finde ich ganz nützlich

Bringt nur für das Forum nichts weil es https hier nicht gibt.

HTTPS Everywhere bringt nur was wenn https grundsätzlich zur Verfügung steht aber aus irgendwelchen gründen nicht standardmäßig aktiviert oder nicht konsequent auf der ganzen Webseite umgesetzt wurde.

[indudo]

Hallo Ihr Fujifreunde,

Wovor habt ihr denn Angst?

Eigentlich sollten wir unsere zur (Fuji)Fotografie nicht verstecken müssen.

Vielleicht den Fortschritt unseres GAS-Syndroms?

Mich stört es nicht, wenn ich hier beobachtet werde.Oder ich von Cuckies verfolgt werde.

Wir sollten nicht vergessen, das es für uns hier umsonst ist, also sollten wir den Forumbetreiber Spielraum lassen.

[FXF Admin]

Nur zur Info:

 

Das Thema ist schon lange in der Planung und wird dieser Tage angegangen.

 

Ich scheue weder Kosten noch Mühen, damit Ihr sicher und ruhig diskutieren könnt

 

Im Ernst:

Ist eine wichtige Sache, die allerdings komplexer als man auf den ersten Blick denkt.

Das Fuji X Forum hat mittlerweile eine ziemlich komplexe Infrastruktur im Hintergrund, die komplett umgestellt werden will...

 

Gruß
Andreas 

[claus-peter]

 

[...] Das Thema ist schon lange in der Planung und wird dieser Tage angegangen.

 

Ich scheue weder Kosten noch Mühen, damit Ihr sicher und ruhig diskutieren könnt

[...]

 

:wub:

[FXF Admin]

Update:

 

Fuji X Blog ist schon abgesichert:

https://www.fuji-x-forum.de/fuji-blog/

 

Forum wird jetzt schrittweise umgestellt.

 

Gruß
Andreas

[blur]

Ja, die unverschlüsselten Werbegeschichten sind bestimmt schwer in den Griff zu bekommen.

[FXF Admin]

Die meisten Werbenetzwerke arbeiten sowieso via HTTPS - ich habe da nur noch einen Kandidaten...

[Winkelsucher]

Hallo Ihr Fujifreunde,

Wovor habt ihr denn Angst?

Eigentlich sollten wir unsere zur (Fuji)Fotografie nicht verstecken müssen.

Vielleicht den Fortschritt unseres GAS-Syndroms?

Mich stört es nicht, wenn ich hier beobachtet werde.Oder ich von Cuckies verfolgt werde.

Wir sollten nicht vergessen, das es für uns hier umsonst ist, also sollten wir den Forumbetreiber Spielraum lassen.

 

Es geht bei HTTPS nicht nur darum, dass niemand die Daten einsehen kann welche übertragen werden. Viel wichtiger ist es, dass das auf dem Server hinterlegte und für die Verschlüsselung benutzte Zertifikat auch die Identität des Betreibers sicherstellen soll. So ein Zertifikat, zumindest eins welches nicht nur keine Warnung verursacht sondern auch noch die Browser Bar grün macht, bekommt man nur nach einer Prüfung der Identität und ob man Domain Inhaber ist, etc. Das soll verhindern, dass irgendwelche Kriminellen Euch auf andere Webseiten umleiten und Euch dort mit der aktuellsten Ransom Ware versorgen. Oder per Phishing Eure Kontodaten ausspähen.

 

Wie man sieht wissen die wenigsten um was es dabei geht und ignorieren im Zweifel die Warnungen im Browser bzw. wissen nicht was die grüne Browser Bar bedeutet. Geschweige denn, dass sich mal die Infos angesehen werden, die im Zertifikat stehen. Daher ist es sehr gut, dass die Browser nach und nach den Zugriff auf unsichere Inhalte unterbinden.

[Dein Support für das Forum]

Hat dir das Forum geholfen? So kannst du das Forum unterstützen!

Premium Mitglied werden | Spenden | Bei Amazon* oder eBay* kaufen
Software: Topaz* | DxO Nik Collection* | Skylum Luminar* (–10€ mit Gutschein FXF) | * Affiliate Links