Moin moin,
Leider erfolgt das login bei RC-Network immer noch nicht über eine verschlüsselte Verbindung mit https.
Wann gedenkt ihr dieses wichtige Feature endlich zu implementieren?
Seit die Erkenntnisse eines gewissen Herrn Snowden eigentlich schon seit zwei Jahren(...)
und Aussitzen wie "Mutti"? Also eine kleine Regung in Form einer kurzen Antwort bei sovielen Clicks des Threads fände ich schon angebracht.
Tja... ich würde umgekehrt sagen: für das Wetter und die Feiertags-/Brückentagssituation rund um Deine Posts gab es schon recht ordentliche Hits innerhalb eines Tages.
Trotzdem kann ich nicht erkennen, woher Du eine Dringlichkeit für eine kurzfristige Antwort ableitest. Immerhin bist Du mit Deiner Frage, wie Du selbst anmerkst, etwa zwei Jahre abzüglich einer angemessenen Reaktionszeit zu spät dran:
Entweder hat RCN seit zwei Jahren nichts mitgekriegt (die Forensuche fördert ja "nur" eine zweistellige Zahl von Threads mit dem Stichwort zu Tage), wird also von Deiner Nachfrage kalt erwischt und stellt innerhalb eines (sonnigen Feier-)Tages sofort durch Umlegen des einen großen Schalters alles auf "super extra sicher" um.
Oder RCN hat sich schon vor zwei Jahren Gedanken gemacht und für einen Weg entschieden, es Dir persönlich aber nicht mitgeteilt und Du hast Dich in der ganzen Zeit verdammt lange wie "Mutti" geduldet und im Stillen gehofft.
(...)
**line hat leider nur ein Plesk eigenes standard Zertifikat in Verwendung,
aber https leitet nur weiter auf eine leere Seite. "Überm Teich" gibt es auch nur ein redirect von https auf http.(...)
Vielleicht ist es nur ein Reflex von Dir, es ist aber unnötig, "Andere" nicht beim Namen zu nennen. Hier im Forum gibt es, auch wenn Einzelne, die unbedingt immer wieder den Bogen überspannen und etwas anderes behaupten, keine Zensur und vor allem keine Nicht-Nennungs-Gebote. RCLine, RCGroups und wie sie alle heißen müssen nicht ge-***-t werden.
ps: im Sommer übrigens wird es dank Mozilla hoffentlich
eine große Umwälzung im Bereich https geben
Bekannt. Der Heise-Newsticker ist jetzt nicht gerade Speziallektüre.
Klar. Wird sich vermutlich ähnlich wie IPv6 ganz unterschiedlich schnell in verschiedenen Bereichen durchsetzen. Vor allem bei den ganzen Embedded Devices, wo es aktuell viele Hersteller noch nicht mal auf die Reihe kriegen, sichere Wartungsoberflächen bzw. Updatefunktionen
zu programmieren bzw. nachträglich zu korrigieren.
Bei Hetzner, dem Hoster von RC-Network, gibt es
SSL Zertifikate schon ab 44€/Jahr.
Das wäre zumindest schon mal ein Anfang. Wie es dann im Backend von RC-Network aussieht, weiß nur der Verantworliche
(...)
Da Du in diesem Bereich arbeitest, hast Du sicherlich auch unsere Software- bzw. Hardwarebasis betrachtet und wirst mir sicherlich zustimmen, dass die komplette Absicherung der CDN-gestützten Architektur mit diesem Traffic nicht mal eben mit einem Zertifikat für eine Domain getan ist. Und sicherlich siehst Du es genauso, dass man zwar neue geplante Projekte bzw. Projekte mit sehr gut normalisierten Quelldaten sehr einfach und schnell gleich richtig starten oder auch umstellen kann, leider trifft das aber hier nicht zu; die Historie lässt sich nicht mal eben über Bord werfen.
Es gibt nun mal Datenbestände aus mehr als einem Jahrzehnt und dazu noch viele Hardlinks auf externe Inhalte in "http", da kann man zwar den Schalter umlegen, wird aber dem User durch die stetigen Sicherheitswarnungen wegen unsicher eingebundenen Altdaten kaum einen Gefallen tun. Für mich sind unnötige und falsche Sicherheitswarnungen, die den User abstumpfen, eine weitaus größere Gefahr (Und Du kennst sicher auch die Fehlerbeschreibung: "Nee, hab' nur die Fehlermeldung weggeklickt, was weiß ich, was da drin stand...").
Auch der kleine Weg, nur den Login per https durchzuführen, ist eine durchaus ehrenhafte Idee. In der Realität führt er aber bei unserem Forensystem kaum zu einem Sicherheitsgewinn, dafür aber deutlich mehr Fehleranfälligkeiten. Der Login per https kann den MITM unterbinden, stimmt. Der anschließende MITM mit Cookie-Klau ist aber nach wie vor möglich. Einziger Unterschied: Entweder hat man das Passwort oder halt "nur" eine Session, die aber trotzdem sehr, sehr lange offen gehalten werden kann.
Darüber hinaus war auch hier vBulletin ohne https schon sehr früh sehr gut, indem das Login-Passwort vor dem Abschicken lokal im Browser per Javascript gehasht und erst dann an den Server übermittelt wird. Im Gegensatz dazu führt die Weiterleitung http/https/http vor allem bei Usern in einfacheren, älteren "sicheren" (Hotel-/Firmen-) Intranet-Umgebungen hin und wieder zu unlösbaren Login-Problemen, weil ggf. https-Seiten per se geblockt werden, da diese nicht "mal eben" auf Schadcode oder Kinderschutzfilter geprüft werden können. Inzwischen gibt es ja schlaue Geräte, die stattdessen selber Zertifikate vorschieben und sich zum perfekten MITM machen... ob das dann immer sicherer ist, sei mal dahingestellt (siehe auch oben meinen Kommentar zu Embedded Devices).
tl;dr
- Wer das selbe Passwort für verschiedene Dienste benutzt, dem wird auch nicht per https geholfen. Irgendwann werden immer irgendwo durch einen Exploit oder fahrlässig Logindaten in die falschen Hände geraten, man kann nur die möglichen Auswirkungen gering halten.
- Ein Umstieg auf https ist sicherlich generell sinnvoll, aber nicht immer mit Bestandssystemen auch sinnvoll im Rahmen des Möglichen umsetzbar.
- https stellt ein falsches Sicherheitsgefühl "nach Snowden" dar, solange nicht die CAs verantwortungsvoller agieren und CRLs besser implementiert werden.
cu
Herbert