Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
Stefan auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 03.08.2004 Beiträge: 6217
|
(#562276) Verfasst am: 11.09.2006, 14:09 Titel: FGH über https? |
|
|
Google spuckte mir als Suchergebnis unter anderem ein Link zum FGH aus. Soweit nichts besonderes, außer daß dieser über eine https, also eine "sichere" Seiten lief. Das ganze FGH läuft also auch über https. Was hat das auf sich?
Übrigens: Firefox beanstandet das Zertifikat als ungültig.
|
|
Nach oben |
|
|
Heike J registrierter User
Anmeldungsdatum: 16.07.2003 Beiträge: 26284
|
(#562297) Verfasst am: 11.09.2006, 14:18 Titel: |
|
|
Die Admins arbeiten über https.
|
|
Nach oben |
|
|
Galaxisherrschers Katze Verwöhntes Haustier
Anmeldungsdatum: 06.04.2005 Beiträge: 5018
|
(#562499) Verfasst am: 11.09.2006, 19:06 Titel: Re: FGH über https? |
|
|
Stefan hat folgendes geschrieben: | Übrigens: Firefox beanstandet das Zertifikat als ungültig. |
Ja, das ist pfui!
_________________ "(...)steak can be attached to a baby to attract lions(...)" (Aus der ESRB-Beschreibung von Scribblenauts)
|
|
Nach oben |
|
|
sascha bekennender magnusfe-Fan
Anmeldungsdatum: 30.08.2004 Beiträge: 1449
Wohnort: Bremen
|
(#562590) Verfasst am: 11.09.2006, 21:35 Titel: |
|
|
Ist das denn nicht trotzdem ganz nützlich? Die Kommunikation zwischen mir und der FGH-Website ist doch dann verschlüsselt; da kann doch dann wohl wenigstens keiner auf den Zwischenknoten mitlesen. Wenn man über ein unverschlüsseltes WLAN im Internet surft wie wir Freifunker, scheint mir das doch ganz sinnig zu sein.
|
|
Nach oben |
|
|
Heike J registrierter User
Anmeldungsdatum: 16.07.2003 Beiträge: 26284
|
(#562678) Verfasst am: 12.09.2006, 06:18 Titel: |
|
|
Würde aber das FGH sehr verlangsamen, wenn alle über https zugreifen würden.
|
|
Nach oben |
|
|
hacketaler Frauen ficken ist was für Schwuchteln!
Anmeldungsdatum: 10.02.2005 Beiträge: 6031
|
(#571201) Verfasst am: 23.09.2006, 21:13 Titel: |
|
|
Heike Jackler hat folgendes geschrieben: | Würde aber das FGH sehr verlangsamen, wenn alle über https zugreifen würden. |
darf ich trotzdem weiterhin?
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#571256) Verfasst am: 23.09.2006, 22:31 Titel: Re: FGH über https? |
|
|
Stefan hat folgendes geschrieben: | Google spuckte mir als Suchergebnis unter anderem ein Link zum FGH aus. Soweit nichts besonderes, außer daß dieser über eine https, also eine "sichere" Seiten lief. Das ganze FGH läuft also auch über https. Was hat das auf sich? |
Wir wollen damit sicherstellen, dass die Admin-Passwörter und andere sensible Daten nur verschlüsselt über das Internet gehen.
Stefan hat folgendes geschrieben: | Übrigens: Firefox beanstandet das Zertifikat als ungültig. |
Falls Du dem Betreiber dieses Forums vertraust importiere einfach das IBKA Root CA Zertifikat über :
http://ca.ibka.org
und mache ein Häkchen bei:
"Dieser CA vertrauen, um Webseiten zu identifizieren"
"Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren"
wäre nur wichtig, wenn Du IBKA-Emailsignaturen überprüfen wolltest.
"Dieser CA vertrauen, um Software Entwickler zu identifizieren"
wäre relevant, wenn Du das FGH Java Chat Applet oder die auf Java basierende Mitgliederkarte nutzt und sicher sein willst, das diese nicht durch Hacker manipuliert wurden um Dir zu schaden.
Nach dem erfolgreichen Import des IBKA Root CA Zertifikates sollte Firefox das Web-Zertifikat des Freigeisterhauses anstandslos akzeptieren.
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#571261) Verfasst am: 23.09.2006, 22:34 Titel: |
|
|
Heike Jackler hat folgendes geschrieben: | Würde aber das FGH sehr verlangsamen, wenn alle über https zugreifen würden. |
Das würde das FGH massiv verlangsamen.
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#571267) Verfasst am: 23.09.2006, 22:44 Titel: |
|
|
sascha hat folgendes geschrieben: | Ist das denn nicht trotzdem ganz nützlich? |
Wenn man z.B. in einem Internet-Cafe sitzt, ist das sicher nützlich.
sascha hat folgendes geschrieben: | Die Kommunikation zwischen mir und der FGH-Website ist doch dann verschlüsselt; da kann doch dann wohl wenigstens keiner auf den Zwischenknoten mitlesen. |
Und auch keiner kann Dein (normalerweise in Klartext übertragenes) FGH-Paswort abfangen.
sascha hat folgendes geschrieben: | Wenn man über ein unverschlüsseltes WLAN im Internet surft wie wir Freifunker, scheint mir das doch ganz sinnig zu sein. |
Ich hoffe das kein FGH User mit einem unverschlüsselten WLAN arbeitet?
|
|
Nach oben |
|
|
Sepp Wohnt unterm Regenbogen
Anmeldungsdatum: 21.09.2006 Beiträge: 27
Wohnort: /dev/null
|
(#571362) Verfasst am: 24.09.2006, 00:59 Titel: |
|
|
sascha hat folgendes geschrieben: | Die Kommunikation zwischen mir und der FGH-Website ist doch dann verschlüsselt; da kann doch dann wohl wenigstens keiner auf den Zwischenknoten mitlesen. |
Von der Theorie her richtig. Wenn dein Gateway jedoch den Zertifikataustausch uebernimmt und dir praktisch die Daten nur "relayed", dann kann der uebelwollende Administrator am anderen Ende doch mitlesen. Bis jetzt gibt es nicht viele Application Firewalls, die das von Haus aus koennen, aber einige Bekannte setzen diese Technik ein um nach boesartiger Software zu suchen.
Das Sicherste waere wohl, wenn man eine IPSEC-Verbindung zum Server herstellen und dann ueber das lokale Netzwerk das Forum besuchen koennte. Aber irgendwo muessen auch paranoide Geister ihre Grenzen finden.
_________________ Liebe Seele, trachte nicht nach dem ewigen Leben,
sondern schöpfe das Mögliche aus.
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#571410) Verfasst am: 24.09.2006, 05:21 Titel: |
|
|
Sepp hat folgendes geschrieben: |
Von der Theorie her richtig. Wenn dein Gateway jedoch den Zertifikataustausch uebernimmt und dir praktisch die Daten nur "relayed", dann kann der uebelwollende Administrator am anderen Ende doch mitlesen. |
Das von Dir genannte man-in-the-middle Szenario sollte so nicht unerkannt funktionieren. Wenn man das IBKA Root Zertifikat importiert hat und damit automatisch die Gültigkeit des FGH-Webzertifikates verifiziert, erkennt man solche Manipulationen. Das Gateway kann den Zertifikataustausch in dem von Dir geschilderten Szenario nicht unerkannt durchführen.
Das von Dir genannte Vorgehen ist keine geheime Hintertür, ansonsten könnte man sich X.509 Zertifikate und deren Überprüfung durch Fingerprints ganz sparen.
|
|
Nach oben |
|
|
Janus24 registrierter User
Anmeldungsdatum: 24.09.2006 Beiträge: 9
Wohnort: Baasem / Eifel
|
(#571670) Verfasst am: 24.09.2006, 16:55 Titel: |
|
|
Hallo Stefan,
Dich hat niemand gefragt, ob Deine Frage für Dich beantwortet ist.
|
|
Nach oben |
|
|
Stefan auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 03.08.2004 Beiträge: 6217
|
(#571834) Verfasst am: 24.09.2006, 23:32 Titel: |
|
|
Janus24 hat folgendes geschrieben: | Hallo Stefan,
Dich hat niemand gefragt, ob Deine Frage für Dich beantwortet ist. |
Hä? Spätestens Frank hat sie eindeutig beantwortet.
|
|
Nach oben |
|
|
sponor registrierter User
Anmeldungsdatum: 16.05.2008 Beiträge: 1712
Wohnort: München
|
(#1919275) Verfasst am: 30.04.2014, 16:14 Titel: |
|
|
Das ist jetzt ein leicht veralteter Thread, aber was soll's...
Angesichts der ganzen Abhörerei nutze nach Möglichkeit HTTPS (SSL/TLS), wo immer ich darf. Mittels des Addons HTTPtoHTTPS mache ich das auch beim FGH.
Jetzt die Fragen:
* Warum lande ich nach einiger Zeit immer wieder bei einer unverschlüsselten Verbindung?
* Und vielleicht damit zusammenhängend: Gilt die Aussage von 2006(!) noch, dass HTTPS bei allen Usern den Server kapitulieren ließe?
Ich würde ja ansonsten für HSTS plädieren...
_________________ Unsere Welt wird noch so fein werden, daß es so lächerlich sein wird, einen Gott zu glauben als heutzutage Gespenster.
(G. Chr. Lichtenberg)
|
|
Nach oben |
|
|
nocquae diskriminiert nazis
Anmeldungsdatum: 16.07.2003 Beiträge: 18183
|
(#1919911) Verfasst am: 03.05.2014, 11:41 Titel: |
|
|
sponor hat folgendes geschrieben: | Das ist jetzt ein leicht veralteter Thread, aber was soll's...
Angesichts der ganzen Abhörerei nutze nach Möglichkeit HTTPS (SSL/TLS), wo immer ich darf. Mittels des Addons HTTPtoHTTPS mache ich das auch beim FGH.
Jetzt die Fragen:
* Warum lande ich nach einiger Zeit immer wieder bei einer unverschlüsselten Verbindung? |
Das tritt vermutlich dann auf, wenn du auf links in Postings klickt, die eben explizit auf http://freigeisterhaus.de zeigen, anstatt auf https://freigeisterhaus.de. Da würde vermutlich nur ein Java-script add-on helfen, dass die Links automatisch ersetzt.
Zitat: | * Und vielleicht damit zusammenhängend: Gilt die Aussage von 2006(!) noch, dass HTTPS bei allen Usern den Server kapitulieren ließe? |
Ich vermute eher nein, aber ich weiß nicht, wie der aktuelle Server ausgestattet ist und was noch alles darauf läuft.
_________________ In Deutschland gilt derjenige, der auf den Schmutz hinweist, als viel gefährlicher, als derjenige, der den Schmutz macht.
-- Kurt Tucholsky
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#1932078) Verfasst am: 05.07.2014, 13:32 Titel: |
|
|
sponor hat folgendes geschrieben: |
* Und vielleicht damit zusammenhängend: Gilt die Aussage von 2006(!) noch, dass HTTPS bei allen Usern den Server kapitulieren ließe?
|
Ich weis nicht, welchen Root Server der IBKA derzeit nutzt. Aber das sollte heute kein Problem mehr sein. Beim hpd hatte ich das Thema HTTPS für alle User auch bereits angedacht.
|
|
Nach oben |
|
|
sponor registrierter User
Anmeldungsdatum: 16.05.2008 Beiträge: 1712
Wohnort: München
|
(#1995069) Verfasst am: 09.04.2015, 17:27 Titel: |
|
|
Ich grabe diesen Thread noch einmal aus, vielleicht kann jemand damit was anfangen.
HTTPS wechselt immer noch in HTTP (wegen so Sachen wie "http://freigeisterhaus.de/favicon.ico", denke ich), es gibt aber eine einfache Lösung für dieses Problem. Wenn man das NoScript-Addon verwendet, jedenfalls. (Das macht ihr doch hoffentlich alle, oder?!)
Einfach in Einstellungen > Erweitert > HTTPS "freigeisterhaus.de" im Feld Verschlüsselte Verbindung (...) erzwingen eintragen.
Das geht natürlich auch mit anderen Seiten, die HTTPS unsauber oder ungern benutzen.
_________________ Unsere Welt wird noch so fein werden, daß es so lächerlich sein wird, einen Gott zu glauben als heutzutage Gespenster.
(G. Chr. Lichtenberg)
|
|
Nach oben |
|
|
sehr gut dauerhaft gesperrt
Anmeldungsdatum: 05.08.2007 Beiträge: 14852
|
(#1995070) Verfasst am: 09.04.2015, 17:38 Titel: |
|
|
sponor hat folgendes geschrieben: | Ich grabe diesen Thread noch einmal aus, vielleicht kann jemand damit was anfangen.
HTTPS wechselt immer noch in HTTP (wegen so Sachen wie "http://freigeisterhaus.de/favicon.ico", denke ich), es gibt aber eine einfache Lösung für dieses Problem. Wenn man das NoScript-Addon verwendet, jedenfalls. (Das macht ihr doch hoffentlich alle, oder?!)
Einfach in Einstellungen > Erweitert > HTTPS "freigeisterhaus.de" im Feld Verschlüsselte Verbindung (...) erzwingen eintragen.
Das geht natürlich auch mit anderen Seiten, die HTTPS unsauber oder ungern benutzen. |
Danke, funktioniert
|
|
Nach oben |
|
|
|