oc.at SSL

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

08.10.2013 - 00:00

Hiho!

Zufällig ist mir der Gedanke gekommen ob der oc.at Server SSL beherrscht. Ein Versuch verlief negativ..
Würde mir gut gefallen - warum gibts das nicht?

Serverlast oder Zertifikatskosten?
Wenns nur wegen den Zertifikatskosten wär, würd ich mich sicher zu nem zweiten Geek-Package überreden lassen..

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14655

08.10.2013 - 00:02

what 4? PMs?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

08.10.2013 - 00:04

prinzip?
200usd fürs wildcard zert is halt viel für prinzip für a hobby seite

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14655

08.10.2013 - 00:10

prinzip is halt relativ, https is ned gratis. nicht was latency betrifft und schon gar nicht was server load betrifft...

that

Hoffnungsloser Optimist

Registered: Mar 2000
Location: MeidLing
Posts: 11340

08.10.2013 - 00:14

Ich würd auch ein self-signed Zertifikat akzeptieren, das mir mat persönlich in die Hand drückt.

quilty

Ich schau nur

Registered: Jul 2005
Location: 4202
Posts: 3050

08.10.2013 - 00:23

Zitat von that
Ich würd auch ein self-signed Zertifikat akzeptieren, das mir mat persönlich in die Hand drückt.

ausgedruckt zum selbst abtippen

bsox

Schwarze Socke

Registered: Jun 2009
Location: Dschibuti
Posts: 1084

08.10.2013 - 00:47

Auf einem oc.at T-Shirt gedruckt zum abtippen

Würd' ich sofort kaufen!

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16865

08.10.2013 - 00:48

Zitat von semteX
prinzip is halt relativ, https is ned gratis. nicht was latency betrifft und schon gar nicht was server load betrifft...

Ich denke nicht dass es so problematisch ist das teure sind eher die langen SQL queries -wobei sich diese gut cachen lassen wenn es nicht zuviele sind.

Generell sehe ich aber in der kommunikation nix schützenswertes abgesehen von Login und PMs.

ein signed Zertifikat bringt eher wenig Schutz für die Anzahl von Benutzern die es interessiert. Ein Self signed Zertifikat wird es für die meisten Benutzer tun. das kann man genauso pinnen - um sich vor Duplikate die von einer anderen os/Browser-Trusted CAs ausgestellt wurden bzw. privatekeys die die CA weitergegeben hat zu schützen.

Luki

bierernste Islandkritik

Registered: Nov 2003
Location: gradec
Posts: 2984

08.10.2013 - 00:54

Zitat von that
Ich würd auch ein self-signed Zertifikat akzeptieren, das mir mat persönlich in die Hand drückt.

signed.

wurde das nicht schonmal in einem thread erwaehnt? waer' ich sofort dabei. (auch finanziell).

Bearbeitet von __Luki__ am 08.10.2013, 08:40 (typo)

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25450

08.10.2013 - 02:21

Wir haben schon desöfteren mit dem Gedanken gespielt und ich bin ehrlich gesagt ein Fan davon. Allerdings wäre das Angebot nur für Geek Package-Besitzer, da automatisch die Werbung dafür deaktiviert werden muss, um "Mixed Content"-Warnungen zu vermeiden.

M4D M4X

Legend
Tier & Bier!! und LEDs ;)

Registered: Jan 2005
Location: überall ;)
Posts: 7637

08.10.2013 - 08:31

gibts es echt noch Leute denen der eine €uro weh tut? :eek:

kann mir b00n jemand kurz umreissen was mir so ein Zert bringt?

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16865

08.10.2013 - 09:48

Zitat von M4D M4X
gibts es echt noch Leute denen der eine €uro weh tut?

kann mir b00n jemand kurz umreissen was mir so ein Zert bringt?

deine Kommunikation mit oc.at wird am Transportweg verschlüsselt. Von außen sieht man nur noch welche ~~URL~~ seite du anfragst nicht aber was dir oc.at tatsächlich schickt. Da der ganze Content public ist hat es aber imho keinen Sinn!
Besser wäre es den Login abzusichern und den Passwort Hash von MD5 auf sha1 umzustellen und zu salten.

Bearbeitet von Smut am 08.10.2013, 10:00

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

08.10.2013 - 10:44

Deine Kommunikation mit dem Server ist sonst unverschlüsselt. D.h. jeder im Netzwerk kann mitlesen (z.B. dein Admin oder die Telekom). Das ganze bietet auch Angriffsfläche für Man-In-The-Middle - Attacken, für sowas wie oc.at natürlich nicht relevant.
Generell versuch ich soviel wie möglich über SSL zu surfen.
Auch wenns die NSA knacken kann, das BMI kann es vermutlich nicht. Nicht nur deshalb ist meine Einstellung dazu, dass das ganze http-Internet aus Prinzip über SSL laufen sollte anstatt Klartext.

.Gh#Z7

Addicted

Registered: May 2005
Location: AdW
Posts: 552

08.10.2013 - 10:47

Zitat von Smut
Besser wäre es den Login abzusichern und den Passwort Hash von MD5 auf sha1 umzustellen und zu salten.

Bringt leider nur wenig, wenn dann die Cookies erst recht wieder im Plaintext herumfliegen. Also entweder HTTPS-only oder man kanns gleich lassen wie es ist.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

08.10.2013 - 11:09

Zitat von Obermotz
Auch wenns die NSA knacken kann, das BMI kann es vermutlich nicht. Nicht nur deshalb ist meine Einstellung dazu, dass das ganze http-Internet aus Prinzip über SSL laufen sollte anstatt Klartext.

FinFisher und Konsorten können es aber wahrscheinlich, und ich würde mir keine Illusionen machen das das BMI seine Technologien selbst entwickelt.

[Besonders im Hinblick das sie u.a. FBI-Software im Einsatz haben]

Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	08.10.2013 - 00:00 Hiho! Zufällig ist mir der Gedanke gekommen ob der oc.at Server SSL beherrscht. Ein Versuch verlief negativ.. Würde mir gut gefallen - warum gibts das nicht? Serverlast oder Zertifikatskosten? Wenns nur wegen den Zertifikatskosten wär, würd ich mich sicher zu nem zweiten Geek-Package überreden lassen..
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14655	08.10.2013 - 00:02 what 4? PMs?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	08.10.2013 - 00:04 prinzip? 200usd fürs wildcard zert is halt viel für prinzip für a hobby seite
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14655	08.10.2013 - 00:10 prinzip is halt relativ, https is ned gratis. nicht was latency betrifft und schon gar nicht was server load betrifft...
that Hoffnungsloser Optimist Registered: Mar 2000 Location: MeidLing Posts: 11340	08.10.2013 - 00:14 Ich würd auch ein self-signed Zertifikat akzeptieren, das mir mat persönlich in die Hand drückt.
quilty Ich schau nur Registered: Jul 2005 Location: 4202 Posts: 3050	08.10.2013 - 00:23 Zitat von that Ich würd auch ein self-signed Zertifikat akzeptieren, das mir mat persönlich in die Hand drückt. ausgedruckt zum selbst abtippen
bsox Schwarze Socke Registered: Jun 2009 Location: Dschibuti Posts: 1084	08.10.2013 - 00:47 Auf einem oc.at T-Shirt gedruckt zum abtippen Würd' ich sofort kaufen!
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16865	08.10.2013 - 00:48 Zitat von semteX prinzip is halt relativ, https is ned gratis. nicht was latency betrifft und schon gar nicht was server load betrifft... Ich denke nicht dass es so problematisch ist das teure sind eher die langen SQL queries -wobei sich diese gut cachen lassen wenn es nicht zuviele sind. Generell sehe ich aber in der kommunikation nix schützenswertes abgesehen von Login und PMs. ein signed Zertifikat bringt eher wenig Schutz für die Anzahl von Benutzern die es interessiert. Ein Self signed Zertifikat wird es für die meisten Benutzer tun. das kann man genauso pinnen - um sich vor Duplikate die von einer anderen os/Browser-Trusted CAs ausgestellt wurden bzw. privatekeys die die CA weitergegeben hat zu schützen.
__Luki__ bierernste Islandkritik Registered: Nov 2003 Location: gradec Posts: 2984	08.10.2013 - 00:54 Zitat von that Ich würd auch ein self-signed Zertifikat akzeptieren, das mir mat persönlich in die Hand drückt. signed. wurde das nicht schonmal in einem thread erwaehnt? waer' ich sofort dabei. (auch finanziell). Bearbeitet von __Luki__ am 08.10.2013, 08:40 (typo)
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25450	08.10.2013 - 02:21 Wir haben schon desöfteren mit dem Gedanken gespielt und ich bin ehrlich gesagt ein Fan davon. Allerdings wäre das Angebot nur für Geek Package-Besitzer, da automatisch die Werbung dafür deaktiviert werden muss, um "Mixed Content"-Warnungen zu vermeiden.
M4D M4X Legend Tier & Bier!! und LEDs ;) Registered: Jan 2005 Location: überall ;) Posts: 7637	08.10.2013 - 08:31 gibts es echt noch Leute denen der eine €uro weh tut? kann mir b00n jemand kurz umreissen was mir so ein Zert bringt?
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16865	08.10.2013 - 09:48 Zitat von M4D M4X gibts es echt noch Leute denen der eine €uro weh tut? kann mir b00n jemand kurz umreissen was mir so ein Zert bringt? deine Kommunikation mit oc.at wird am Transportweg verschlüsselt. Von außen sieht man nur noch welche ~~URL~~ seite du anfragst nicht aber was dir oc.at tatsächlich schickt. Da der ganze Content public ist hat es aber imho keinen Sinn! Besser wäre es den Login abzusichern und den Passwort Hash von MD5 auf sha1 umzustellen und zu salten. Bearbeitet von Smut am 08.10.2013, 10:00
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	08.10.2013 - 10:44 Deine Kommunikation mit dem Server ist sonst unverschlüsselt. D.h. jeder im Netzwerk kann mitlesen (z.B. dein Admin oder die Telekom). Das ganze bietet auch Angriffsfläche für Man-In-The-Middle - Attacken, für sowas wie oc.at natürlich nicht relevant. Generell versuch ich soviel wie möglich über SSL zu surfen. Auch wenns die NSA knacken kann, das BMI kann es vermutlich nicht. Nicht nur deshalb ist meine Einstellung dazu, dass das ganze http-Internet aus Prinzip über SSL laufen sollte anstatt Klartext.
.Gh#Z7 Addicted Registered: May 2005 Location: AdW Posts: 552	08.10.2013 - 10:47 Zitat von Smut Besser wäre es den Login abzusichern und den Passwort Hash von MD5 auf sha1 umzustellen und zu salten. Bringt leider nur wenig, wenn dann die Cookies erst recht wieder im Plaintext herumfliegen. Also entweder HTTPS-only oder man kanns gleich lassen wie es ist.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	08.10.2013 - 11:09 Zitat von Obermotz Auch wenns die NSA knacken kann, das BMI kann es vermutlich nicht. Nicht nur deshalb ist meine Einstellung dazu, dass das ganze http-Internet aus Prinzip über SSL laufen sollte anstatt Klartext. FinFisher und Konsorten können es aber wahrscheinlich, und ich würde mir keine Illusionen machen das das BMI seine Technologien selbst entwickelt. [Besonders im Hinblick das sie u.a. FBI-Software im Einsatz haben]

oc.at SSL

Forum Index > Community > Community Hub

Obermotz

semteX

userohnenamen

semteX

that

quilty

bsox

Smut

__Luki__

mat

M4D M4X

Smut

Obermotz

.Gh#Z7

Hansmaulwurf

Luki