Login
Login-Name Passwort


 
Newsletter

Thema: Sollen Browser HTTPS forcieren?

53 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
3
Von HTTPS-Everywhere am Fr, 6. April 2018 um 14:10 #

Auf jeden Fall sollte das forciert werden, aus mindestens 3 Gründen:

- Integrität der Inhalte wird sichergestellt: Bei einfachen HTTP-Inhalten kann unbemerkt ein Teil der Inhalte oder der komplette Inhalt ausgetauscht werden, ohne das ich es merke. Das ist mit HTTPS nicht möglich (nur, wenn die Server oder Zertifikate gekapert werden - also höherer Aufwand)

- Massenüberwachung wird wesentlich erschwert: Wenn immer mehr und mehr Inhalte verschlüsselt ausgeliefert werden, steigt für die Geheimdienste der Aufwand einer Massenüberwachung stark an. Metadaten fallen weiterhin an, aber einzelne Inhalte können nicht ohne erheblichen Aufwand analysiert werden (z.B. ist bei einer Domain nicht klar, welcher Teil abgerufen wurde. Kann zwar mittels Analyse der Größen des Abrufs indirekt rausgefunden werden, aber das ist eben aufwändiger)

- Sicherheit steigt: Wenn schlecht oder gar nicht gesicherte Seiten geächtet werden, steigt das allgemeine Sicherheitsniveau im Internet. Zahlt zusätzlich direkt auf die ersten beiden Gründe ein.

  • 1
    Von Ignatz am Fr, 6. April 2018 um 14:25 #

    ^this

    1
    Von ich am Fr, 6. April 2018 um 15:11 #

    Ein Nachteil ist die erschwerte Anbindung von proxy servern. Werden vielleicht noch einige Ältere kennen: wwwoffle. Habe den "kleinen personal Proxy" damals benutzt, als es keine Pauschalverträge gab sondern jede "Modemminute" zählte. Da konnte man die Seiten "markieren", die man mit der nächsten Sitzung laden wollte bzw. man konnte während der Modemverbindung Seiten auf "Verdacht" laden und später lesen.

    Jetzt wird es schwieriger. Man kann einem Proxy ein Zertifikat zuordnen und ihn damit als "man in the middle" betreiben. Nur zeichnet der Proxy dann auch jede Seite auf. Die Lösung, bestimmte Seiten mit Ausschlußliste nicht aufzuzeichnen, ist Fehlerträchtig. Blöd, wenn einem ein solcher Fehler bei einer "Bankverbindung" passieren würde.

    Manchmal sehne ich mich noch nach wwwoffle. Und zwar immer dann, wenn ich eine Seite komfortabel archivieren will.

    Der allgemeine Sicherheitsgewinn bei https ist zu begrüßen. Wie man ihn aber messen will, weiß ich nicht.

    Vgl. etwa: NSA und ssl Verschlüsselung

    1
    Von Unerkannt am Sa, 7. April 2018 um 10:18 #

    Integrität der Inhalte wird sichergestellt
    Da allen möglichen Zertifikaten ohne Prüfung des Benutzer vertraut wird. Ist die Integrität nicht sichergestellt.

    Massenüberwachung wird wesentlich erschwert
    Die Metadaten fallen, wie du sagst, ohnehin an. Solange kein Passwort für den Zugriff genutzt wird, kann natürlich jeder der die Metadaten kennt, nachschauen welche Inhalte abgerufen werden.

    Sicherheit steigt
    Die Sicherheit einer Webseite ist nicht abhängig von der Sicherheit der Übertragung. Alte Software wird nicht sicherer nur weil sie die Verbindung verschlüsselt. Mit Heartbleed wurden die Seiten sogar weniger sicher dank Verschlüsselung.

    • 0
      Von Falk am So, 8. April 2018 um 10:31 #

      Die Metadaten fallen, wie du sagst, ohnehin an. Solange kein Passwort für den Zugriff genutzt wird, kann natürlich jeder der die Metadaten kennt, nachschauen welche Inhalte abgerufen werden.

      Nicht ganz richtig - aus der englischen Wikipedia zu HTTPS:

      Everything in the HTTPS message is encrypted, including the headers, and the request/response load. With the exception of the possible CCA cryptographic attack described in the limitations section below, the attacker can only know that a connection is taking place between the two parties and their domain names and IP addresses.

      Richtig wäre: es kann nachgeschaut werden, welche Domain angesurft wurde und wie lange.

      Die Sicherheit einer Webseite ist nicht abhängig von der Sicherheit der Übertragung. Alte Software wird nicht sicherer nur weil sie die Verbindung verschlüsselt. Mit Heartbleed wurden die Seiten sogar weniger sicher dank Verschlüsselung.

      Heartbleed war eine Ausnahme. Gehen wir davon aus, dass der angesurfte Sever nicht gehackt ist und dass nach Symentec nicht der nächste Depp fremde Zertifikate ausstellt. Dann kannst du überprüfen, dass du die richtigen Daten geliefert bekommen hast. Beispielsweise in offenen Wlans ein erheblicher Sicherheitsgewinn.

    1
    Von Integrität? am Sa, 7. April 2018 um 21:11 #

    Besonders bei Symantec Zertifikaten. Haha. Selten so gelacht. Der Browser soll einfach machen was der Benutzer will. die Seite anzeigen. Und wenn die URL http: ist dann ohne Zertifikat.

3
Von ehWurst am Fr, 6. April 2018 um 14:25 #

für mich, der selten mal den Apachen am Raspi anwirft um einige Tage lang Bilder für die Familie zu zeigen. Zwänge mich zu Dropbox u. Konsorten oder ich lasse es ganz bleiben. What shalls..

  • 1
    Von blubb am Fr, 6. April 2018 um 14:55 #

    Du könntest immer noch einen Apachen mit https und selbst-signiertem Zertifikat starten.
    Der wesentliche Unterschied für deine Familie wäre ja nur, dass sie eine Warnmeldung bekommen und die Ausnahme wegen des selbst-signiertem Zertifikats bestätigen müssen.

    • 2
      Von Josef Hahn am Fr, 6. April 2018 um 15:19 #

      Für diese Aktion müsste ich 50% meiner Bekannten wahrscheinlich vorher ein youtube-Clip drehen. Es ist ja schon ein bisschen verwinkelter, als einfach wie früher auf "Fortsetzen & Ausnahme hinzufügen" zu klicken.

      Davon abgesehen, dass der Erklärungstext (im FF zumindest) schon ungefähr sowas sagt wie "Wenn dir dein Leben lieb ist, solltest du ganz schnell von hier verschwinden" oder so...

      1
      Von coNP am Fr, 6. April 2018 um 16:20 #

      Ihr kennt schon Let's Encrypt und Konsorten?

1
Von Sicherheitslücke am Fr, 6. April 2018 um 14:41 #

wenn der E-Mail Verkehr nach wie vor zum Größten Teil unverschlüsselt übertragen wird.

Und gerade in der E-Mail stecken die Daten, die niemanden etwas angehen.
Bspw. wie viel und was ich im Versandhandel XY gekauft habe.
Der schickt die Rechnung auch nicht verschlüsselt.


Wenn es eine große Baustelle bezüglich mehr Datenschutz gibt, dann doch eher beim E-Mail Verkehr.

  • 1
    Von HTTPS Everywhere am Fr, 6. April 2018 um 14:46 #

    Du unterschlägst, das alle ernstzunehmenden Mail-Anbieter und auch Mailprogramme schon lange TLS einsetzen.

    Also exakt das gleiche Sicherheitsniveaus für Mails Standard ist, wie es Webseitenverschlüsselung auch bietet: Auf dem Transportweg.
    Nicht mehr und nicht weniger.

    Mail-Inhalte können zwar auf den Servern oder am Client im Klartext abgeschnorchelt oder verändert werden, aber eben mit entsprechendem Aufwand. Siehe oben.

    • 0
      Von ,.- am Sa, 7. April 2018 um 00:24 #

      Also sind Emails dann doch letztlich unverschlüsselt, fremde Firmen und letztlich Behörden können die Texte der Emails mitlesen, mitloggen, in Datenbanken abspeichern und auswerten.

      Es sind aber die Nutzer selbst, die sich weigern, Emails zu verschlüsseln. Selbst Schuld.

1
Von Josef Hahn am Fr, 6. April 2018 um 14:47 #

Verschlüsselung ist schon super.

Aber heute schon diese Gängelung bei selbstsignierten Zertifikaten, kann man Lieschen Müller schon kaum noch zumuten.

Es wäre schön, wenn es am Ende irgendeinen Weg gibt, 'einfach so' Inhalte im Netz verfügbar zu machen. Und zwar ohne Zuckerberg!

  • 1
    Von Josef Hahn am Fr, 6. April 2018 um 14:50 #

    PS: Jaja, sry, es ist Freitag :) Eher: ... zwischen Produzenten und Verbraucher :)

    1
    Von blubb am Fr, 6. April 2018 um 14:58 #

    Das Argument ist also, dass man das Internet in einem unsichereren Zustand lassen soll, weil viele Nutzer zu faul sind ein bisschen zu lesen?
    Sorry, aber irgendwie kann ich nicht ganz folgen.

    • 1
      Von Josef Hahn am Fr, 6. April 2018 um 15:10 #

      Ja, du konntest in der Tat nicht ganz folgen. Dafür wirst du arg polemisch.

      Vielleicht bekommt man ja entweder einen Weg hin, Sicherheit und Niedrigschwelligkeit zu vereinbaren.

      Ansonsten wäre ein Notnagel immernoch, Unverschlüsselte Kommunikation ausdrücklich und unübersehbar zu kennzeichnen, aber eben dann nicht unbedingt zu verhindern.

      Wer einfach mal drei Urlaubsfotos für ein paar Tage verfügbar machen will (was ihr halt so auf Fecesbook macht), kann es dann so machen, und muss sich vorher nicht mit letsencrypt befassen.

      Ist das Internet heute unsicher, weil http nicht verboten ist?

      • 0
        Von Sicherheitslücke am Fr, 6. April 2018 um 17:32 #

        Wer drei Urlaubsfotos für ein paar Tage verfügbar machen will, der lädt es auf seine Cloud und verschickt den Link dazu an seine Bekannten.

        Facebook brauchst du dafür also ganz gewisse nicht.

        Im übrigen muss man bei so etwas die Persönlichkeits- und Gebäuderechte beachten, falls da mehr auf dem Bild zu sehen ist als man selbst fotografiert und das Foto von der öffentlichen Straße aus fotografiert wurde.

        Für die problematischen Sachen die man nicht für jedermann veröffentlichen darf, gibt es zum Glück bei guten Clouds auch Passwortgeschützte Bereiche.

        • 0
          Von Josef Hahn am Fr, 6. April 2018 um 21:24 #

          Und wie funktioniert 'meine Cloud' dann ohne http und ohne Zertifikat??? Per ssh? ftp? gopher? Oder worauf willst du hinaus?

          Wie stellst du dir vor, wie Inhalt zu veröffentlichen sind ohne einen externen Dienstleister?

          Eine Aufklärung eines Dreikäsehoch über Fotorecht habe ich auch wirklich gerade nicht dringend gebraucht :-P Erklär das mal lieber den ganzen Pinseln bei Zuckerberg. Da gilt das nämlich *theoretisch* auch ;) Davon abgesehen ist es ja auch Bullshit. Ich kann da ja durchaus eine Zugangsbeschränkung drumbauen. Und wenn ich nur das Archiv verschlüssle!

          • 0
            Von Sicherheitslücke am Sa, 7. April 2018 um 08:49 #

            Und wie funktioniert 'meine Cloud' dann ohne http und ohne Zertifikat??? Per ssh? ftp? gopher? Oder worauf willst du hinaus?

            Wie stellst du dir vor, wie Inhalt zu veröffentlichen sind ohne einen externen Dienstleister?

            Du hast doch behauptet, dass der einzige Weg heute Urlaubsfotos an Bekannte weiterzugäben Facebook wäre und darin habe ich dich korrigiert.

            Die Cloud ist übrigens ein externer Dienstleister, da kannst du dir inzwischen einen aus paar Dutzend auswählen.
            Und wie du das dort veröffentlichst, dazu hast du mehrere Möglichkeiten, die Rechte einzuhalten, das ist aber weiterhin deine Aufgabe.

            Eine Aufklärung eines Dreikäsehoch über Fotorecht habe ich auch wirklich gerade nicht dringend gebraucht
            Doch hast du, denn du postest so etwas ja sichtbar für alle auf deine Facebookseite hoch.
            Das hätte dir auch mein Enkel erklären können.

            • 1
              Von Josef Hahn am Sa, 7. April 2018 um 09:10 #

              Du schreibst komplett an mir vorbei.

              - Ich bin nicht angemeldet bei Zuckerberg
              - Ich kann heute *noch* Inhalte ohne einen externen Dienstleister verfügbar machen, mit meinem eigenen Webserver
              - Ob dort alles offen steht oder zugriffsbeschränkt ist, ist mir überlassen und ein völlig separates Thema
              - Wenn http wegfällt, wird o.g. nicht mehr gehen - unter Mühen noch mit Lets Encrypt, aber auch das ist ja eig. schon ein externer Dienstleister
              - Dann haben wir es irgendwann mal geschafft, dass das Internet wirklich nur noch "den Großen" gehört und wir nur Bittsteller sind

              • 0
                Von Josef Hahn am Sa, 7. April 2018 um 09:17 #

                PS: Die drei Urlaubsbilder waren auch nur ein Versuch, ein greifbares Szenario zu konstruieren. Vielleicht geht es auch um völlig andere Dateitypen, oder vielleicht überhaupt nicht um Dateiaustausch, sondern um ganz andere Anwendungen.

                • 0
                  Von Markus B. am Sa, 7. April 2018 um 13:34 #

                  Wenn http wegfällt, wird o.g. nicht mehr gehen - unter Mühen noch mit Lets Encrypt
                  Wenn jemand einen öffentlich erreichbaren Webserver betreibt, aber die Einrichtung von Let's Encrypt nur "unter Mühen" zustande bringt, spricht das eigentlich schon Bände...

                  Ich kann heute *noch* Inhalte ohne einen externen Dienstleister verfügbar machen, mit meinem eigenen Webserver
                  Bullshit. Ohne externen Dienstleister, auch Webhoster genannt, der die Inhalte deines Webservers erst ins Netz bringt, machst du gar nichts verfügbar, höchstens in deinem LAN zuhause.

                  Sehr beruhigend auch, dass du offensichtlich die Backends deines Webservers ohne Transportverschlüsselung kontaktierst, über weitere externe Dienstleister, auch Internetprovider genannt.

                  Aber du bist ja sooo unabhängig von externen Dienstleistern....

                  • 0
                    Von Josef Hahn am Sa, 7. April 2018 um 14:35 #

                    Die Leute verstehen das mit den Grautönen zwischen Schwarz und Weiß immer nicht so gut :-/

                    Es gibt heute schon ein paar Abhängigkeiten. Von einem Webhoster bin ich in der Tat nicht abhängig - ich betreibe meine Server schon gern selbst. Natürlich braucht man dazu einen Platz in einem Rechenzentrum, und ein DNS-Eintrag wäre auch nicht schlecht.

                    Aber anstatt dass man sich überlegt, wie man vielleicht die eine oder andere Abhängigkeit noch loswird oder entschärft (IPv6 könnte theoretisch einen Platz im ReZe unnötig machen, je nach Anwendung und nötiger Bandbreite usw), baut man Neue auf.

                    Und nochmal zu Lets Encrypt: Ja, es sind weitere Mühen. Natürlich. Natürlich wird man das auch schaffen, aber eine Trivialität ist es auch nicht. Die Integration in den Server folgt auch keinem Standard, sondern ist (für die verbreiteten Server) ein Skriptchen von den Letsencrypt Leuten. Wenn du mich fragst, legt man die Hürde damit auf jeden Fall ein gutes Stück höher. Und dabei denke ich gesamtgesellschaftlich, und nicht ob ich persönlich da jetzt eine oder drei Stunden für bräuchte (ich habs bisher bei mir nicht genutzt, deshalb konnte ich es noch nicht messen).

                    Und dann sag ich dir jetzt schonmal was: Noch zwei sogenannte "Terroranschläge" später, oder je nach Fortsetzen der Erfolge der Rechten Strömungen, wird Letsencrypt eh mittelfristig kaputtgemacht oder verboten werden. Wetten?

                    • 0
                      Von Markus B. am Sa, 7. April 2018 um 15:20 #

                      Auch im Rechenzentrum bist du davon abhängig, dass jemand die Anfragen zu dir routet - das ist dein Provider dort, sprich: ein externer Dienstleister. Von dem bist du aber so was von abhängig - das merkst du spätestens bei der nächsten Störung seiner Infrastruktur.

                      Für Let's Encrypt gibt es statt der Bloatware der Let's Encrypt-Leute simple, schlanke Skripte, die sich recht einfach in den eigenen Webserver integrieren lassen, z.b. https://github.com/lukas2511/dehydrated oder https://github.com/Neilpang/acme.sh

                      Klar ist das keine Trivialität (ein, zwei Stunden Einarbeitungszeit sind schon realistisch), aber es sichert vor allem auch, wie schon von mir erwähnt, die Verbindungen von dir selbst zu deinem Webserver ab, seien es nun https, ftps, davs, pop3s, smtps oder imaps, sprich: du verhinderst, dass dir deine Zugangsdaten am Weg zwischen deinem Endgerät und deinem Server geklaut werden. Und ich nehme schon an, dass du dich per ssh zum Server verbindest und nicht per telnet? Der Grund ist genau der gleiche.

                      Ich persönlich habe übrigens keine Bedenken, wenn du ein paar Urlaubsfotos unter einer nicht-öffentlichen URL auf deinem Server unter http bereitstellst und sie nur Freunden bekanntmachst. Da gehe ich mit dir konform, dass das über die "sozialen" Netzwerke viel schlimmer ist.

                      Deiner Argumentation, dass Let's Encrypt wegen Terroranschlägen oder ähnlichem verboten wird, kann ich nicht folgen, da hätte man SSL schon längst verboten, denn die Anschläge gab es ja schon zuhauf. Die Inhalte sind unseren geschätzten Strafverfolgern gar nicht so wichtig, vielmehr sind es die Verbindungsdaten, und die haben sie sowieso über die Provider (aka externe Dienstleister).

                      • 0
                        Von Josef Hahn am Sa, 7. April 2018 um 16:06 #

                        > Auch im Rechenzentrum bist du davon abhängig, dass jemand die Anfragen zu dir routet - das ist dein Provider dort, sprich: ein externer Dienstleister.

                        ACK. Das schreibe ich doch sogar selber explizit. Es geht mir darum, diese Abhängigkeiten so minimal wie möglich zu halten, und wenigstens nicht blindlings Neue aufzubauen, ohne daran wenigstens mal einen Gedanken zu verschwenden, wie man das vielleicht geschickt unter einen Hut bekommt.

                        > Für Let's Encrypt gibt es statt der Bloatware der Let's Encrypt-Leute simple, schlanke Skripte, die sich recht einfach in den eigenen Webserver integrieren lassen

                        Okay, mit dem Mehr an Auswahl ist die Komplexität für denjenigen, der mit dem Gedanken spielt erstmals einen Webserver zu betreiben statt sich bei Zuckerberg abzukippen, dann eher gestiegen. Ob der direkt dieses Skript findet, oder sich in der Auswahl an Skripten sogar völlig verliert, weiß ich nicht...

                        > aber es sichert vor allem auch, wie schon von mir erwähnt, die Verbindungen von dir selbst zu deinem Webserver ab [...] Und ich nehme schon an, dass du dich per ssh zum Server verbindest und nicht per telnet?

                        Schon wieder so ein Polemiker ;) Ich verschlüssle so ziemlich alles, was dazu geeignet ist. Aber für gewisse Dinge brauchst du es nicht. Beispielsweise für Webserver in irgendwelchen abgeschlossenen Netzen (das kann der kleine Privathaushalt sein, aber auch ein geswitchtes größeres Netz, oder VPN, ...). Oder für Anwendungen, die überhaupt keine Zugangsdaten abfragen! (Ich gehe hier mal wieder die Gefahr ein, der bewussten Defocussage wieder Futter zu bieten, aber trotzdem: Jeder, der Inhalt knall-öffentlich auf Facebook o.ä. hochlädt, kann das auch per http selbst ausliefern, ohne dass irgendwelche sensiblen Daten gefährdet wären)

                        > Ich persönlich habe übrigens keine Bedenken, wenn du ein paar Urlaubsfotos [...]

                        Wie gesagt, es wäre eh nur ein konstruiertes Szenario gewesen. Ich teile häufiger Fotos, und mache das sogar durchaus über https (gekauftes; die Browserwarnung für Selbstsigniertes ist unzumutbar für Nichttechniker!), weil das nämlich tatsächlich nach Passwörtern fragt ;) Wie gesagt, geht es mir bei der Betrachtung nicht direkt und ausschließlich um das, was ich persönlich mache.

                        > Deiner Argumentation, dass Let's Encrypt wegen Terroranschlägen oder ähnlichem verboten wird, kann ich nicht folgen, da hätte man SSL schon längst verboten [...]

                        Ich bin mir ganz sicher, dass man darüber auch nachdenkt. Verbieten vielleicht, oder halt aushöhlen/kaputtmachen. SSL als Ganzes wegzukriegen ist aber für den Gesetzgeber halt nochmal schwieriger. In einer geeigneten Stimmung mal das "böse Hackertool" Namens Letsencrypt zu verbieten, mit dem Hans und Franz eh keine Berührungspunkte haben, ist sicher schnell gemacht. Zur Not kommt da mal eine Sicherheitsbehörde Abends vorbei - mit TrueCrypt Fanshirts ;)

3
Von KDE User am Fr, 6. April 2018 um 14:50 #

Davon halte ich gar nichts, und zwar aus 2 Gründen:
1) Dann braucht man für jeden Popelserver im Heimnetz ein Zertifikat. Für einen Server, der nie von außen angesprochen werden soll, ist mir das selbst in Zeiten von Let's Encrypt zu viel Aufwand.
2) Dann würden wohl etliche statische Seiten, wo es überhaupt keine Möglichkeit gibt, sensible Daten einzugeben, einfach sterben.

Aus meiner Sicht ist die unübersehbare Warnung, die Firefox bei jedem Eingabefeld auf einer unverschlüsselten Seite bringt, völlig ausreichend.

1
Von thrmario am Fr, 6. April 2018 um 17:01 #

Ist z.B. ein Privatkunde nicht voll im Bilde, dürfte dessen kleine Webseite ohne Zertifikat von keinem Browser geöffnet werden. Will die Internetgemeinde wirklich derartige Ausgrenzungen?

Wenn Browser die Verschlüsselung forcieren sollen, dann müsste ein Zertifikat zur Domain aktiviert sein! Ansonsten gäbe es Fehlermeldungen ohne Ende. Aber welcher Provider mag sich der Technik bedienen, jederzeit aktuelle Zertifikate für jede Domain/Subdomain/Wildcard-Adresse von allen Geschäfts- und Privatkunden bereit zu halten und aktualisieren zu lassen?

  • 1
    Von kamome umidori am Sa, 7. April 2018 um 15:38 #

    > Will die Internetgemeinde wirklich derartige Ausgrenzungen?

    Sollte sie nicht wollen – insbesondere, da HTTPS nicht wirklich sicher ist.

    > Aber welcher Provider mag sich der Technik bedienen, jederzeit aktuelle Zertifikate für jede Domain/Subdomain/Wildcard-Adresse von allen Geschäfts- und Privatkunden bereit zu halten und aktualisieren zu lassen?

    Ziemlich viele – und das automatisiert und ziemlich kostenfrei (Wildcard vielleicht noch nicht, aber solange ich für jede Subdomain durch höchstens ein paar Klicks ein Zertifikat bekomme, passt das doch für die meisten).
    Es sind eigentlich hauptsächlich einige großen Provider, die noch für jedes Zertifikat Geld sehen wollen (und selbst die erweisen Dir meist die Gnade, ein Zertifikat pro Vertrag bereitzustellen).

1
Von Fernseueberwachung am Fr, 6. April 2018 um 18:11 #

Hallo zusammen,

nochmal zur Information.

In vielen TV Flachbildschirmen sind versteckte Kameras mit denen die Fernsehanstalten die Zuschauer ohne deren Wissen filmen können.

Die Übertragung kann mittels Kabel, Sat-Antenne und Internet etc. erfolgen.

Die Bevölkerung soll wahrscheinlich wie bei den Borg aus "Star Trek: Der erste Kontakt" manipuliert werden oder jeder seine eigene "Truman-Show" bekommen.

Noch was. Die Medien manipulieren die Fernseh- und Internetinhalte gezielt um die Wahrnehmung von u.a. dem rechten Auge negativ zu beeinflussen.

Darum tragen die Borg das Okular im rechten Auge. Das gleiche gilt für Charlton Heston als Chef des Omega Sektors in "True Lies" und viele andere Filme.

Also, an alle, besser auf das Fernsehen und Radio verzichten und sich gute Hobbys suchen.

Ich baue zum Beispiel seit einiger Zeit Modellschiffe wie die Fregatte Hessen und habe einige Pflaumenbäume und Apfelbäume für meine eigene Marmelade gepflanzt.

Youtube: Modell Fregatte Hessen

https://www.youtube.com/watch?v=mronA97MBqQ

0
Von Wulf am Fr, 6. April 2018 um 20:04 #

Wenn User weder "http://" noch "https://" eingibt und der Browser die Seite noch nicht kennt, wird immernoch "http://" angenommen.
Das sollte wirklich auf https:// geändert werden. Secure by default und so. Aber mein Bug Report bei Firefox wurde eingestampft :-)

Wenn ein User unbedingt http will, ist das OK. Aber der Browser sollte entsprechend den User warnen.

0
Von Potz Blitz am Fr, 6. April 2018 um 20:41 #

Wenn damit gemeint ist, dass der Browser kein http mehr unterstützt, bin ich dagegen. Es kann imho immer noch Anwendungsfälle geben, wo Klartext-http hilfreich ist ... z.B. zum programmieren, debuggen Testzwecke, usw. Dem Endanwender sollte man https "an Herz legen". Erzwingen sollte man dagegen nichts, das halte ich immer für eine schlechte Idee.

0
Von cryptosteve am Sa, 7. April 2018 um 08:43 #

Ich denke, das ist nicht die Aufgabe des Browsers.

Vielmehr sollten Webseiten die Verwendung von https forcieren. Und wenn nicht durch eine standardisierte Umleitung von http auf https, dann aber doch wenigstens durch Bereitstellung von https.

Wenn ich aber sehe, dass z.B. Spiegel Online von https auf http umleitet, dann fällt mir dazu in 2018 auch nichts mehr ein.

0
Von Wiesensohle am Sa, 7. April 2018 um 11:26 #

Firefox und Chrome warnen, wenn Seiten mit script kein https haben… bei reinen html/css-Seiten wird auch bei http nicht gewarnt… das darf so bleiben!

1
Von Besucher am Sa, 7. April 2018 um 16:59 #

Natürlich nicht! Wo kämen wir denn da hin?
Muss dann allein jeder Router etwa ein SSL-Zertifikat haben damit man bei https://fritz.box keine Warnung bekommt, oder was?

Sicherheit ja, aber man muss es nicht übertreiben.

Mein Vorschlag: SSL für Domains, dessen IP-Adresse außerhalb der RFC1918 auflöst, kann meinetwegen _bevorzugt_ (jedoch nicht erzwungen) werden. Alles innerhalb der RFC1918 sollte so bleiben wie es ist. Nicht jeder hat lust (oder die Zeit) für jedes einzelne LAN-Gerät, welches ein Webserver hostet (und sei es nur ein NAS oder sonstwas), ein SSL-Zertifikat zu basteln.

1
Von Calabi-Yau am So, 8. April 2018 um 01:29 #

Vielleicht bin ich eine Ausnahme, aber ich habe eine Website ohne jegliche aktive Elemente, reines HTML. Warum sollte ich auf HTTPS setzen? Warum sollte ich, wenn ich es nicht tue, durch Browser ausgegrenzt werden?

  • 0
    Von Link am So, 8. April 2018 um 14:51 #

    Ich habe auch nur eine reine HTML5- und CSS-Website mit Informationen die sowieso frei zugänglich sind (abgesehen vom Impressum). Ich wüsste nur zu gerne warum ich für so eine Seite nun HTTPS brauchen sollte? Es werden weder persönliche Informationen der Besucher abgefragt, noch werden persönliche Informationen auf der Webseite angezeigt (Nochmals: abgesehen vom Impressum).

    0
    Von Besucher am So, 8. April 2018 um 20:42 #

    Steht doch im ersten Kommentar. Im Wesentlichen geht es um die Integrität deiner Webseite und den Schutz deiner Kunden bzw. Besucher vor Überwachung.

    Ob das für dich als Betreiber nicht sinnvoll oder nicht gerechtfertigt ist, musst du freilich selber beurteilen.

    Hier mal zwei Denkanstöße:
    - Du wirst nicht wollen, dass deinen Besuchern von Dritten (Zugangsprovider oder anderen Zwischeninstanzen) eine manipulierte Version deiner Seite untergejobelt wird. Mit Werbung, Malware oder anderen Sachen, die entweder auf dich als vermeintlichen Anbieter zurückfallen oder zumindest deinen Kunden oder Besuchern enorm schaden können.
    - Du magst deine Inhalte vielleicht nicht für überwachungswürdig halten. Deine Kunden oder Besucher sehen das in Bezug auf ihre Privatssphäre vielleicht ein klein wenig anders.

0
Von Falk am So, 8. April 2018 um 10:40 #

So sollen unter anderem Nutzer vor einem Zugriff auf unsichere Seiten gewarnt werden. Denkbar ist aber, dass auch drastischere Maßnahmen kommen werden.

Wie geschrieben ersteres, aber nicht letzteres.

Daher meine Stimme für nein.

  • 1
    Von Christoph Schmees am Mo, 9. April 2018 um 08:36 #

    da schließe ich mich meinem Vorredner voll inhaltlich an! :-)
    Wenn ich zu hause in meinem gut geschützten LAN die Fritz!Box, das NAS oder sonst wen unverschlüsselt anspreche, sehe ich null Risiko. Ich möchte nicht, dass ein Browser das verhindert.
    Andererseits fände ich es mit Kanonen auf Spatzen geschossen, wenn jeder Router, NAS etc. am Konfigurationsinterface https sprechen müsste.
    Der Zugriff von außen geht natürlich über https.
    Und es gibt längst Erweiterungen für Firefox, die zu https drängen können. Mehr ist nicht nötig, außer einer Integration in den "Grundbrowser".

0
Von geos_one am So, 8. April 2018 um 12:06 #

aber die seite sollte falls nicht https vorhanden fallback auf http gehen mit einer warnung

0
Von epiphanius am Mo, 9. April 2018 um 08:16 #

Ja, dies finde ich sinnvoll, jedoch, für nicht so versierte Webspace-Mieter, kann dies zur Kostenfalle werden. Beispiel: 1and1 verlangt für die Beschaffung und Installation und Führung eines Zertifikats 2,66-2,99 € /Monat!

0
Von Andre am Mo, 9. April 2018 um 09:23 #

Wenn die Zertifikate nicht mehr Abzocke sind, wäre das sinnvoll.

0
Von Alzheimer am Mo, 9. April 2018 um 10:27 #

HTTPS soll zum Einen ein Identitätsnachweis sein und für den Benutzer überprüfbar machen, ob es sich beim Betreiber eines Servers um denjenigen handelt, für den er sich ausgibt. Die Zertifikatsanbieter sind allerdings mit irgendwelchen Wischiwaschi-Angaben zu Frieden, sodass man ihnen auch etwas vom Pferd erzählen kann. Es ist weder ein Postident nötig, noch im Falle einer gewerblichen Domain eine beglaubigte Kopie des Gewerbescheins.

Zum Anderen werden ahnungslose Nutzer für dumm verkauft, in dem man ihnen glaubhaft macht, dass aufgrund einer verschlüsselten Datenübertragung auch der Betreiber eines Internet-Dienstes an persönliche Daten nicht rankommt. Wirbt die China-Cloud mit starker SSL-Verschlüsselung, gilt sie prompt deswegen als seriös.

Zuletzt ist HTTPS auf allen Webseiten, auf denen keine Daten eingegeben werden müssen, im Grunde unnötig und überflüssig. Dennoch brauchen die Site-Betreiber Zertifikate, damit Browser und Suchmaschinenanbieter zufrieden sind.

  • 0
    Von binar am Mo, 9. April 2018 um 18:14 #

    Die normalen TLS-Zertifikate machen nur überprüfbar, ob man mit jemandem kommuniziert, der die Domain unter Kontrolle hat. Für Identifikation der Person oder Organisation bieten viele Anbieter EV (Extended Validation)-Zertifikate an, dies werden dann auch im Browser kenntlich gemacht. Beispiel: https://www.bsi.bund.de/ Mehr Infos: https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat

0
Von beccon am Mo, 9. April 2018 um 20:30 #

Mein Einstieg in die Internet-Welt: Ich hatte in einem obskuren Kabel-TV-Sender (Super Channel? ) einen Beitrag gesehen, wie man ganz einfach mit dem Notepad und dem Browser eine Webseite zusammenbauen kann. Das hatte ich dann spontan ausprobiert und recht später irgend einen noch obskureren Webserver installiert - und hatte eine Webseite. Will heißen: die Einstiegshürde war extrem niedrig - und so soll es bleiben.

Wenn ich etwas öffentlich zeigen will, dann brauche ich es nicht verschlüsseln - und oft sind auch Man in the middle Attacken kein Thema.

Wenn wir das Internet sicherer und transparenter gestalten wollen, dann sollten wir das Webseiten-Tracking vornehmen. Es gibt eine Menge von Möglichkeiten zur Spionage - trotz https - wie z.B. hier beschrieben: https://privacy-handbuch.de/handbuch_21.htm

Pro-Linux
Unterstützer werden
Neue Nachrichten