Login
Newsletter

Thema: Sollen Browser HTTPS forcieren?

6 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Josef Hahn am Sa, 7. April 2018 um 09:10 #

Du schreibst komplett an mir vorbei.

- Ich bin nicht angemeldet bei Zuckerberg
- Ich kann heute *noch* Inhalte ohne einen externen Dienstleister verfügbar machen, mit meinem eigenen Webserver
- Ob dort alles offen steht oder zugriffsbeschränkt ist, ist mir überlassen und ein völlig separates Thema
- Wenn http wegfällt, wird o.g. nicht mehr gehen - unter Mühen noch mit Lets Encrypt, aber auch das ist ja eig. schon ein externer Dienstleister
- Dann haben wir es irgendwann mal geschafft, dass das Internet wirklich nur noch "den Großen" gehört und wir nur Bittsteller sind

[
| Versenden | Drucken ]
  • 0
    Von Josef Hahn am Sa, 7. April 2018 um 09:17 #

    PS: Die drei Urlaubsbilder waren auch nur ein Versuch, ein greifbares Szenario zu konstruieren. Vielleicht geht es auch um völlig andere Dateitypen, oder vielleicht überhaupt nicht um Dateiaustausch, sondern um ganz andere Anwendungen.

    [
    | Versenden | Drucken ]
    • 0
      Von Markus B. am Sa, 7. April 2018 um 13:34 #

      Wenn http wegfällt, wird o.g. nicht mehr gehen - unter Mühen noch mit Lets Encrypt
      Wenn jemand einen öffentlich erreichbaren Webserver betreibt, aber die Einrichtung von Let's Encrypt nur "unter Mühen" zustande bringt, spricht das eigentlich schon Bände...

      Ich kann heute *noch* Inhalte ohne einen externen Dienstleister verfügbar machen, mit meinem eigenen Webserver
      Bullshit. Ohne externen Dienstleister, auch Webhoster genannt, der die Inhalte deines Webservers erst ins Netz bringt, machst du gar nichts verfügbar, höchstens in deinem LAN zuhause.

      Sehr beruhigend auch, dass du offensichtlich die Backends deines Webservers ohne Transportverschlüsselung kontaktierst, über weitere externe Dienstleister, auch Internetprovider genannt.

      Aber du bist ja sooo unabhängig von externen Dienstleistern....

      [
      | Versenden | Drucken ]
      • 0
        Von Josef Hahn am Sa, 7. April 2018 um 14:35 #

        Die Leute verstehen das mit den Grautönen zwischen Schwarz und Weiß immer nicht so gut :-/

        Es gibt heute schon ein paar Abhängigkeiten. Von einem Webhoster bin ich in der Tat nicht abhängig - ich betreibe meine Server schon gern selbst. Natürlich braucht man dazu einen Platz in einem Rechenzentrum, und ein DNS-Eintrag wäre auch nicht schlecht.

        Aber anstatt dass man sich überlegt, wie man vielleicht die eine oder andere Abhängigkeit noch loswird oder entschärft (IPv6 könnte theoretisch einen Platz im ReZe unnötig machen, je nach Anwendung und nötiger Bandbreite usw), baut man Neue auf.

        Und nochmal zu Lets Encrypt: Ja, es sind weitere Mühen. Natürlich. Natürlich wird man das auch schaffen, aber eine Trivialität ist es auch nicht. Die Integration in den Server folgt auch keinem Standard, sondern ist (für die verbreiteten Server) ein Skriptchen von den Letsencrypt Leuten. Wenn du mich fragst, legt man die Hürde damit auf jeden Fall ein gutes Stück höher. Und dabei denke ich gesamtgesellschaftlich, und nicht ob ich persönlich da jetzt eine oder drei Stunden für bräuchte (ich habs bisher bei mir nicht genutzt, deshalb konnte ich es noch nicht messen).

        Und dann sag ich dir jetzt schonmal was: Noch zwei sogenannte "Terroranschläge" später, oder je nach Fortsetzen der Erfolge der Rechten Strömungen, wird Letsencrypt eh mittelfristig kaputtgemacht oder verboten werden. Wetten?

        [
        | Versenden | Drucken ]
        • 0
          Von Markus B. am Sa, 7. April 2018 um 15:20 #

          Auch im Rechenzentrum bist du davon abhängig, dass jemand die Anfragen zu dir routet - das ist dein Provider dort, sprich: ein externer Dienstleister. Von dem bist du aber so was von abhängig - das merkst du spätestens bei der nächsten Störung seiner Infrastruktur.

          Für Let's Encrypt gibt es statt der Bloatware der Let's Encrypt-Leute simple, schlanke Skripte, die sich recht einfach in den eigenen Webserver integrieren lassen, z.b. https://github.com/lukas2511/dehydrated oder https://github.com/Neilpang/acme.sh

          Klar ist das keine Trivialität (ein, zwei Stunden Einarbeitungszeit sind schon realistisch), aber es sichert vor allem auch, wie schon von mir erwähnt, die Verbindungen von dir selbst zu deinem Webserver ab, seien es nun https, ftps, davs, pop3s, smtps oder imaps, sprich: du verhinderst, dass dir deine Zugangsdaten am Weg zwischen deinem Endgerät und deinem Server geklaut werden. Und ich nehme schon an, dass du dich per ssh zum Server verbindest und nicht per telnet? Der Grund ist genau der gleiche.

          Ich persönlich habe übrigens keine Bedenken, wenn du ein paar Urlaubsfotos unter einer nicht-öffentlichen URL auf deinem Server unter http bereitstellst und sie nur Freunden bekanntmachst. Da gehe ich mit dir konform, dass das über die "sozialen" Netzwerke viel schlimmer ist.

          Deiner Argumentation, dass Let's Encrypt wegen Terroranschlägen oder ähnlichem verboten wird, kann ich nicht folgen, da hätte man SSL schon längst verboten, denn die Anschläge gab es ja schon zuhauf. Die Inhalte sind unseren geschätzten Strafverfolgern gar nicht so wichtig, vielmehr sind es die Verbindungsdaten, und die haben sie sowieso über die Provider (aka externe Dienstleister).

          [
          | Versenden | Drucken ]
          • 0
            Von Josef Hahn am Sa, 7. April 2018 um 16:06 #

            > Auch im Rechenzentrum bist du davon abhängig, dass jemand die Anfragen zu dir routet - das ist dein Provider dort, sprich: ein externer Dienstleister.

            ACK. Das schreibe ich doch sogar selber explizit. Es geht mir darum, diese Abhängigkeiten so minimal wie möglich zu halten, und wenigstens nicht blindlings Neue aufzubauen, ohne daran wenigstens mal einen Gedanken zu verschwenden, wie man das vielleicht geschickt unter einen Hut bekommt.

            > Für Let's Encrypt gibt es statt der Bloatware der Let's Encrypt-Leute simple, schlanke Skripte, die sich recht einfach in den eigenen Webserver integrieren lassen

            Okay, mit dem Mehr an Auswahl ist die Komplexität für denjenigen, der mit dem Gedanken spielt erstmals einen Webserver zu betreiben statt sich bei Zuckerberg abzukippen, dann eher gestiegen. Ob der direkt dieses Skript findet, oder sich in der Auswahl an Skripten sogar völlig verliert, weiß ich nicht...

            > aber es sichert vor allem auch, wie schon von mir erwähnt, die Verbindungen von dir selbst zu deinem Webserver ab [...] Und ich nehme schon an, dass du dich per ssh zum Server verbindest und nicht per telnet?

            Schon wieder so ein Polemiker ;) Ich verschlüssle so ziemlich alles, was dazu geeignet ist. Aber für gewisse Dinge brauchst du es nicht. Beispielsweise für Webserver in irgendwelchen abgeschlossenen Netzen (das kann der kleine Privathaushalt sein, aber auch ein geswitchtes größeres Netz, oder VPN, ...). Oder für Anwendungen, die überhaupt keine Zugangsdaten abfragen! (Ich gehe hier mal wieder die Gefahr ein, der bewussten Defocussage wieder Futter zu bieten, aber trotzdem: Jeder, der Inhalt knall-öffentlich auf Facebook o.ä. hochlädt, kann das auch per http selbst ausliefern, ohne dass irgendwelche sensiblen Daten gefährdet wären)

            > Ich persönlich habe übrigens keine Bedenken, wenn du ein paar Urlaubsfotos [...]

            Wie gesagt, es wäre eh nur ein konstruiertes Szenario gewesen. Ich teile häufiger Fotos, und mache das sogar durchaus über https (gekauftes; die Browserwarnung für Selbstsigniertes ist unzumutbar für Nichttechniker!), weil das nämlich tatsächlich nach Passwörtern fragt ;) Wie gesagt, geht es mir bei der Betrachtung nicht direkt und ausschließlich um das, was ich persönlich mache.

            > Deiner Argumentation, dass Let's Encrypt wegen Terroranschlägen oder ähnlichem verboten wird, kann ich nicht folgen, da hätte man SSL schon längst verboten [...]

            Ich bin mir ganz sicher, dass man darüber auch nachdenkt. Verbieten vielleicht, oder halt aushöhlen/kaputtmachen. SSL als Ganzes wegzukriegen ist aber für den Gesetzgeber halt nochmal schwieriger. In einer geeigneten Stimmung mal das "böse Hackertool" Namens Letsencrypt zu verbieten, mit dem Hans und Franz eh keine Berührungspunkte haben, ist sicher schnell gemacht. Zur Not kommt da mal eine Sicherheitsbehörde Abends vorbei - mit TrueCrypt Fanshirts ;)

            [
            | Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten