Auch mit TLS kann eine website Fehler bei der Implementation machen, oder es können irgendwo noch andere Lücken lauern. Einerseits ist es nicht schlecht, daß mehr verschlüsselte connections angeboten werden, andererseits werden sich da in der Masse auch Fehler einschleichen. Nur wiegt man sich dann schon in Sicherheit von wegen "die Adreßleiste ist ja gelb" (oder was auch immer) und denkt nicht weiter drüber nach. (Wobei man als end user ohnehin einem MITM-Angriff nicht einfach mal auf die Schliche käme.) Es ist auch die Frage, ob es immer so viel Sinn macht jede z.B. Nachrichtenseite mit Alltagsnews via https anzubieten (PL ist da ja auch noch nicht, soweit ich es sehe). Andernorts gibt es tatsächlich dann und wann noch Formulare, wo man z.T. sensible Daten eingeben kann/soll, wo aber nicht sicher ist, daß dort auch verschlüsselt übertragen wird.
Hat auch schon ein eigenes Ruleset für HTTPS Everywhere. Damit wird Pro-Linux per default via TLS geladen (sofern der entsprechende Teil funktioniert, was scheinbar nicht bei allen der Fall ist).
Von daher kann ich HTTPS Everywhere nur empfehlen, eines meiner 3 Must-Have-Addons für Firefox (und auf Chrome ebenfalls verfügbar): - HTTPS Everywhere - uBlock Origin - uMatrix (wahlweise auch NoScript, ich habe gewechselt)
Von Verfluchtnochmal am Mo, 12. Februar 2018 um 11:45 #
Ja und ohne TLS kann das nicth sein?
Himmelherrgott versteht doch endlich mal was TLS bedeutet - TRANSPORT-Laye-Security - Nicht mehr und nicht weniger, alles andere interpretiert ihr alle da rein die ihr überall unverständliche Kommentare abgebt
Wenn du dir sicher sein willst ob die Website auch deiner Bank gehört brauchst sie ein EV-Zertifikat, das ist aber immer schon so und unabhängig davon ob ausser deiner Bank 10, 00 oder alle anderen Seiten TLS mit Domain-Validation benutzen oder alle unverschlüsselt rausblasen
Von Verfluchtnochmal am Di, 13. Februar 2018 um 00:56 #
Der normale Browser user weiss genau gar nichts und hat weder einen wrong noch einen false sense - So einfach ist das und damit kein Grund auf https zu verzichten
Ziel des Ganzen ist es flächendeckend Verschlüsselung zu erreichen womit für Geheimdienste die Zeiten mal schnell großflächig Daten abzugreifen weil speziell in Kombination mit forward-secrecy aber selbst ohne kein Dienst der Welt ausreichend Kapazitäten hat erstmal alles mit brute force zu behandeln und dann erst sehen ob es den Aufwand wert war
Jetzt ist es ein leichtes massenweise Daten abzugreifen und der verschlüsselte Teil ist per se schon mal verdächtig oder war es zumindest vor wenigen Jahren noch
Was gibt es da eigentlich grossartig zu diskutieren dass nicht der Hausverstand beantwortet?
Von Verfluchtnochmal am Di, 13. Februar 2018 um 01:03 #
Der nächste logische Schritt ist dann wenn mal flächendeckend https Standard ist für Domain-Validated gar nichts mehr grün oder sonst wie anzuzeigen sondern es zu behandeln wie http die letzten 20 Jahre und vor unverschlüsselten Seiten lautstark zu warnen womit das ganze Thema allumfassend gegessen ist
Gesondert auszuzeichnen sind dann nur mehr Seiten mit OV/DV wo OV was jetzt nicht anders als DV markiert ist dessen Platz einnimmt
Zeitraum 1-2 Jahre und das Thema ist schlichtweg keines mehr - Aber hey da müsste man ja weiter als bis zum Tellerrand denken
Auch mit TLS kann eine website Fehler bei der Implementation machen, oder es können irgendwo noch andere Lücken lauern. Einerseits ist es nicht schlecht, daß mehr verschlüsselte connections angeboten werden, andererseits werden sich da in der Masse auch Fehler einschleichen. Nur wiegt man sich dann schon in Sicherheit von wegen "die Adreßleiste ist ja gelb" (oder was auch immer) und denkt nicht weiter drüber nach. (Wobei man als end user ohnehin einem MITM-Angriff nicht einfach mal auf die Schliche käme.)
Es ist auch die Frage, ob es immer so viel Sinn macht jede z.B. Nachrichtenseite mit Alltagsnews via https anzubieten (PL ist da ja auch noch nicht, soweit ich es sehe). Andernorts gibt es tatsächlich dann und wann noch Formulare, wo man z.T. sensible Daten eingeben kann/soll, wo aber nicht sicher ist, daß dort auch verschlüsselt übertragen wird.
https://www.pro-linux.de/
;)
Das kann aber noch nicht lange der Fall sein (bestenfalls seit ein paar Monaten). Darum danke für den Hinweis!
Seit ein paar Monaten, stimmt schon.
Hat auch schon ein eigenes Ruleset für HTTPS Everywhere. Damit wird Pro-Linux per default via TLS geladen (sofern der entsprechende Teil funktioniert, was scheinbar nicht bei allen der Fall ist).
Von daher kann ich HTTPS Everywhere nur empfehlen, eines meiner 3 Must-Have-Addons für Firefox (und auf Chrome ebenfalls verfügbar):
- HTTPS Everywhere
- uBlock Origin
- uMatrix (wahlweise auch NoScript, ich habe gewechselt)
Ja und ohne TLS kann das nicth sein?
Himmelherrgott versteht doch endlich mal was TLS bedeutet - TRANSPORT-Laye-Security - Nicht mehr und nicht weniger, alles andere interpretiert ihr alle da rein die ihr überall unverständliche Kommentare abgebt
Wenn du dir sicher sein willst ob die Website auch deiner Bank gehört brauchst sie ein EV-Zertifikat, das ist aber immer schon so und unabhängig davon ob ausser deiner Bank 10, 00 oder alle anderen Seiten TLS mit Domain-Validation benutzen oder alle unverschlüsselt rausblasen
Der Vorposter weiss das sicherlich.
Aber nicht jeder Browser-Nutzer.
Darum hat er seinen Beitrag wohl mit : Gefahr des false sense of security betitelt.
Der normale Browser user weiss genau gar nichts und hat weder einen wrong noch einen false sense - So einfach ist das und damit kein Grund auf https zu verzichten
Ziel des Ganzen ist es flächendeckend Verschlüsselung zu erreichen womit für Geheimdienste die Zeiten mal schnell großflächig Daten abzugreifen weil speziell in Kombination mit forward-secrecy aber selbst ohne kein Dienst der Welt ausreichend Kapazitäten hat erstmal alles mit brute force zu behandeln und dann erst sehen ob es den Aufwand wert war
Jetzt ist es ein leichtes massenweise Daten abzugreifen und der verschlüsselte Teil ist per se schon mal verdächtig oder war es zumindest vor wenigen Jahren noch
Was gibt es da eigentlich grossartig zu diskutieren dass nicht der Hausverstand beantwortet?
Der nächste logische Schritt ist dann wenn mal flächendeckend https Standard ist für Domain-Validated gar nichts mehr grün oder sonst wie anzuzeigen sondern es zu behandeln wie http die letzten 20 Jahre und vor unverschlüsselten Seiten lautstark zu warnen womit das ganze Thema allumfassend gegessen ist
Gesondert auszuzeichnen sind dann nur mehr Seiten mit OV/DV wo OV was jetzt nicht anders als DV markiert ist dessen Platz einnimmt
Zeitraum 1-2 Jahre und das Thema ist schlichtweg keines mehr - Aber hey da müsste man ja weiter als bis zum Tellerrand denken