[B]Tl;dr[/B] Massengeschmack.TV ist bezüglich Verschlüsselung (HTTPS) wohl etwas im Hintertreffen, was mit einem neuen Werkzeug (Webbkoll) leicht gezeigt werden kann. Es wird technisch, also nicht interessierte dürfen gerne weiterklicken
Hallo liebe Mitgucker und Administratoren,
ich habe vor kurzem ein Tool zur Prüfung der Privatsphäre und Sicherheit gefunden, Webbkoll heißt es und die massengeschmack.tv-Domain dort durchlaufen lassen. Da sieht es eher schlecht aus, Ergebnis hier. Mehr Infos darüber gibt es in Kuketz-Blog.
SSL-Verschlüsselungen habe ich selbst mal testweise eingerichtet (ohne professionelle Vorkenntnisse). Mit Let’s Encrypt ist das glücklicherweise auch keine Frage des Geldes für Zertifikate.
Daher die Frage: Spricht irgendetwas gegen SSL für Massengeschmack + Subdomains oder wurde es einfach noch nicht gemacht? Nachfolgend ein paar Links mit naheliegenden Gegenargumenten…
Komplexität beim Einrichten? Ich hab das mit Let’s Encrypt geschafft, kann also nicht soo schwer sein:ugly. Ansonsten findet man überall Anleitungen darüber.
Kosten? … Let’s Encrypt
kurze Gültigkeit? … automatische Aktualisierung, siehe hier oder hier
Umfassende Infos habe ich zudem auf raymii.org gefunden.
[QUOTE=thealchemist;479913]SSL-Verschlüsselungen habe ich selbst mal testweise eingerichtet (ohne professionelle Vorkenntnisse). Mit Let’s Encrypt ist das glücklicherweise auch keine Frage des Geldes für Zertifikate.[/QUOTE]
Nicht wenn dein Server hinter Cloudflare sitzt wie es bei MG der Fall ist.
[post=479924]@STaRDoGG[/post]: OK, ich habe es unter Cloudflare nicht getestet, standest du schon vor dem Problem? Ich finde aber bei einer einfachen Suche gleich mehrere Tutorials, um das mit Cloudflare zu schaffen (wobei Cloudflare dann im besten Fall MitM bleibt. Daher ist das immernoch ungünstig um Passwörter zu übertragen).
Die Tutorials von Cloudflare: What do the SSL options mean?, How do I add SSL to my site?.
Es gibt aber noch einige weitere Tutorials aus diversen Blogs, z.B. hier. Bei dem Benefit von SSL sehe ich nicht, warum man es nicht machen sollte. “Ist zu kompliziert” halte ich für eine schlechte Ausrede.
[B]Apropos Passwörter:[/B] Werden die Passwörter verschlüsselt und gehasht übertragen? In meinen Cookies vom Forum finde ich einen MD5 Hash, ich nehme an mit Salt? Soweit ich weiß gilt MD5 auch seit einiger Zeit als gebrochen, siehe hier (2016) und dort (2009).
[B]Cloudflare generell:[/B] Ist die gesamte MG-Infrastruktur eigentlich auf Cloudflare CDN angewiesen (z.B. durch DoS-Attacken)? Andere Websites (die “großen Player”) bieten eigene Subdomains zum Login an. z.B. Ebay leitet auf signin.ebay.de um. Wie viel Arbeit ist es eigentlich, so etwas zu implementieren?
[QUOTE=thealchemist;479971][post=479924]@STaRDoGG[/post]: OK, ich habe es unter Cloudflare nicht getestet, standest du schon vor dem Problem?[/QUOTE]
Naja, nicht so mein Fachgebiet, aber ich glaube dass Cloudflare in Verbindung mit einem SSL Zertifikat halt was kosten wird. Ich glaube kaum, dass die kostenlos (d)ein Let’s Encrypt Zertifikat bei sich installieren.
[post=479924]@STaRDoGG[/post]: Ich hab mich heute etwas umgeschaut. Cloudflare/SSL(+Let’s Encrypt!) scheint zu klappen und es wurde 2014 ein Rummel bei Heise, etc gemacht, dass Cloudflare jetzt SSL bietet. Es gibt aber keinen einfachen Weg, Inhalte Ende-zu-Ende Verschlüsselt zu Cachen. Deswegen ist es “[I]Cloudflare in the Middle[/I]”. Ein paar Bilder dazu gibt es von Cloudflare selbst (die roten Männchen sind potenzielle Angreifer, die theoretisch alles mitlesen können, neben Client und Server bleibt mindestens Cloudflare eine Schwachstelle).
Das ist alles nicht ideal, aber besser als unverschlüsselt, sodass Bienchen Adam dein gehashtes PW abgreifen kann, währund du im offenen WLAN vom StaRBuCKs auf meine Nachricht antwortest und so deinen Account übernimmt, um alle unter deinem Namen zu trollen:ugly. Oder er schaut mal ob du das gleiche PW fürs Emailkonto oder bei Facebook benutzt…
[B]Edit:[/B] Für letzteres müsste er wohl etwas mehr machen, falls er so nur den Hash bekommt. Ist aber bei HTTP alles machbar und mit HTTPS (für ein Skriptkiddie, dass neben die Frappucino schlürft) unmöglich.