Obermotz
Fünfzylindernazi
|
FinFisher und Konsorten können es aber wahrscheinlich, und ich würde mir keine Illusionen machen das das BMI seine Technologien selbst entwickelt. [Besonders im Hinblick das sie u.a. FBI-Software im Einsatz haben] Gscheid mächtig das Teil Lt. Wikipedia anscheinend auch auf Linux lauffähig.. Nichtsdestotrotz: Verschlüsselung ist wichtig, man sollte sich nicht gleich verzagt geben nur weils die Regierungen knacken könnten. Gibt imho genug Gründe die dafür sprechen. //add: So wie sich das Finfisher Teil liest, kann es die ganzen Sachen (Truecrypt, SSL, etc.) knacken, weil es die Passwörter und Hashes aus dem RAM liest. D.h. es muss aus meiner Sicht erst mal eine Infektion erfolgen bevor da irgendwas geknackt werden kann.
Bearbeitet von Obermotz am 08.10.2013, 11:30
|
Hansmaulwurf
u wot m8?
|
Nichtsdestotrotz: Verschlüsselung ist wichtig, man sollte sich nicht gleich verzagt geben nur weils die Regierungen knacken könnten. Gibt imho genug Gründe die dafür sprechen. +1, und gegen "Standard-Kriminelle" hilft es auf jeden Fall. Wenn du dich vor Regierungszugriffen schützen willst musst du eh eine neue Identität aufbauen, aber ich bin schon leise bevor der VS anklopft
|
Master99
verträumter realist
|
den benefit versteh ich jetzt aber auch noch nicht so ganz bis auf den passwort/pm bereich.
immerhin ist das was man schreibt ja eh innerhalb minuten über google auffindbar durch die öffentliche struktur. und einen useraccount dann einem echten menschen zuzuweisen ist bei den ganzen infos, facebookgruppen udgl. vermutlich dann auch keine schwere aufgabe mehr.
ich will nicht sagen ich bin dagegen, aber ich versteh noch nicht wieso.
|
Obermotz
Fünfzylindernazi
|
Eigentlich nur, weils mir ein gutes Gefühl gibt, über SSL zu surfen Ich hab bei allen Seiten die ich so regelmäßig ansurfe https probiert und viele könnens. Bei oc ist es nicht besonders wichtig, ich wollt hier nur mal fragen, ob es schonmal überlegt wurde und was dagegen und dafür spricht. Sicher kein Prio 1 feature request ps: Und ja, ich schau sogar Youtube-Videos via SSL
|
Smut
takeover & ether
|
Gibt ansich Plugins die automatisch auf https switchen, dann sparst dir das probieren. ssl ist zwar nice, aber in 99% der fällen kann ich's nicht nachvollziehen ob ich tatsächlich mit dem richtigen Server verbunden bin. EMET von Microsoft erlaubt das Pinnen der Zertifikate - leider nur für'n IE
|
Crash Override
BOfH
|
@mat: Mixed content Warnungen sind in den aktuellen Browsern Geschichte, es wird nur kein Schloß oder auch nicht die EV angezeigt.
|
Denne
Here to stay
|
den benefit versteh ich jetzt aber auch noch nicht so ganz bis auf den passwort/pm bereich.
immerhin ist das was man schreibt ja eh innerhalb minuten über google auffindbar durch die öffentliche struktur. und einen useraccount dann einem echten menschen zuzuweisen ist bei den ganzen infos, facebookgruppen udgl. vermutlich dann auch keine schwere aufgabe mehr.
ich will nicht sagen ich bin dagegen, aber ich versteh noch nicht wieso. Muss dem zustimmen, ist zwar alles ganz nett, aber imho einfach unnötig für ein Forum dieser Art.
|
mr.nice.
differential image maker
|
Dass das Forum öffentlich lesbar bleiben soll steht ohnehin nicht zur Debatte, aber solange es über http leicht möglich ist eine 1:1 Kopie des Inhalts zu erstellen, ist SSL wenig sinnvoll.
In meinen Augen würde SSL nur einen Vorteil bringen, wenn es für alle Benutzer aktiviert wäre und nur über https eine Verbindung aufgebaut werden kann, weil die automatische Auswertung der Kommunikation damit erschwert werden würde.
|
Crash Override
BOfH
|
Wichtig ist es eigentlich nur bei der Anmeldung. Wenn man in einem offenen WLAN ist kann sonst jeder in ein paar hundert Metern umkreis die Benutzerdaten einfach mitsniffen.
|
COLOSSUS
AdministratorGNUltra
|
what 4? PMs? Die Frage bei HTTPS ist heute laengst nicht mehr "warum?", sondern allenfalls "warum nicht?". Ich sehe an unseren (GH) HTTPS-Frontends, was darueber an Traffic reinkommt, und wie viel Last das erzeugt bzw. wie sich das auf unsere Ressourcen im Gesamtbild bzw. Kontrast zur restlichen Infrastruktur auswirkt: kaum spuerbar. Und wir haben "relativ" viele HTTPS-Requests fuer eine Website in .at, und tw. auch eher exotische, "teurere" Operationen wie Auth via Client-Zertifikat. Zertifikate von "akkreditierten" CAs kriegt man heute auch fuer lau signiert (StartSSL).
|
that
Hoffnungsloser Optimist
|
den benefit versteh ich jetzt aber auch noch nicht so ganz bis auf den passwort/pm bereich.
immerhin ist das was man schreibt ja eh innerhalb minuten über google auffindbar durch die öffentliche struktur. Ohne SSL kann auch eine unbestimmte Anzahl von Personen und Organisationen mitlesen und beliebig lang speichern, welche Threads auf oc.at du liest. Es soll schon Leute gegeben haben, die von der Polizei besucht wurden, weil von ihrem Internetanschluss in kurzem zeitlichen Abstand nach Kochtöpfen und Rucksäcken gegooglet wurde...
|
Master99
verträumter realist
|
alright... dann go for it! i hab was zu verbergen
|
master_burn
EditorLoading . . 40% . . . 50%
|
Auch wenns die NSA knacken kann, das BMI kann es vermutlich nicht. Müssen sie auch nicht - weils die NSA wie gesagt kann und tut und da bilaterale Abkommen bestehen - Anruf wird vermutlich genügen .. on Topic: wie üblich sind es die metadaten - *user* ließt *site* von *location* um *time* *duration* - lässt sich super auswerten und ein profil erstellen
|
Smut
takeover & ether
|
Ohne SSL kann auch eine unbestimmte Anzahl von Personen und Organisationen mitlesen und beliebig lang speichern, welche Threads auf oc.at du liest.
Es soll schon Leute gegeben haben, die von der Polizei besucht wurden, weil von ihrem Internetanschluss in kurzem zeitlichen Abstand nach Kochtöpfen und Rucksäcken gegooglet wurde... google analytics?
|
kleinerChemiker
Here to stay
|
Ich sehe den Hauptvorteil in SSL darin, daß man in einem unverschlüsselten (z.B. Hotel, Kaffeehaus, etc) geschützt ist. Ohne VPN wäre eine Accountübernahme sonst recht einfach. Allerdings müßten dann natürlich auch die Cookies verschlüsselt übertragen werden.
|