"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

oc.at SSL

Obermotz 08.10.2013 - 00:00 3522 29
Posts

Obermotz

Fünfzylindernazi
Avatar
Registered: Nov 2002
Location: OÖ/RI
Posts: 5262
Zitat von Hansmaulwurf
FinFisher und Konsorten können es aber wahrscheinlich, und ich würde mir keine Illusionen machen das das BMI seine Technologien selbst entwickelt. ;)
[Besonders im Hinblick das sie u.a. FBI-Software im Einsatz haben]
Gscheid mächtig das Teil :eek:
Lt. Wikipedia anscheinend auch auf Linux lauffähig..

Nichtsdestotrotz: Verschlüsselung ist wichtig, man sollte sich nicht gleich verzagt geben nur weils die Regierungen knacken könnten. Gibt imho genug Gründe die dafür sprechen.

//add:
So wie sich das Finfisher Teil liest, kann es die ganzen Sachen (Truecrypt, SSL, etc.) knacken, weil es die Passwörter und Hashes aus dem RAM liest. D.h. es muss aus meiner Sicht erst mal eine Infektion erfolgen bevor da irgendwas geknackt werden kann.
Bearbeitet von Obermotz am 08.10.2013, 11:30

Hansmaulwurf

u wot m8?
Avatar
Registered: Apr 2005
Location: VBG
Posts: 5639
Zitat von Obermotz
Nichtsdestotrotz: Verschlüsselung ist wichtig, man sollte sich nicht gleich verzagt geben nur weils die Regierungen knacken könnten. Gibt imho genug Gründe die dafür sprechen.
+1, und gegen "Standard-Kriminelle" hilft es auf jeden Fall.

Wenn du dich vor Regierungszugriffen schützen willst musst du eh eine neue Identität aufbauen, aber ich bin schon leise bevor der VS anklopft :p

Master99

verträumter realist
Avatar
Registered: Jul 2001
Location: vie/grz
Posts: 12689
den benefit versteh ich jetzt aber auch noch nicht so ganz bis auf den passwort/pm bereich.

immerhin ist das was man schreibt ja eh innerhalb minuten über google auffindbar durch die öffentliche struktur. und einen useraccount dann einem echten menschen zuzuweisen ist bei den ganzen infos, facebookgruppen udgl. vermutlich dann auch keine schwere aufgabe mehr.

ich will nicht sagen ich bin dagegen, aber ich versteh noch nicht wieso.

Obermotz

Fünfzylindernazi
Avatar
Registered: Nov 2002
Location: OÖ/RI
Posts: 5262
Eigentlich nur, weils mir ein gutes Gefühl gibt, über SSL zu surfen :)
Ich hab bei allen Seiten die ich so regelmäßig ansurfe https probiert und viele könnens. Bei oc ist es nicht besonders wichtig, ich wollt hier nur mal fragen, ob es schonmal überlegt wurde und was dagegen und dafür spricht.
Sicher kein Prio 1 feature request ;)

ps: Und ja, ich schau sogar Youtube-Videos via SSL :D

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16846
Gibt ansich Plugins die automatisch auf https switchen, dann sparst dir das probieren.

ssl ist zwar nice, aber in 99% der fällen kann ich's nicht nachvollziehen ob ich tatsächlich mit dem richtigen Server verbunden bin.
EMET von Microsoft erlaubt das Pinnen der Zertifikate - leider nur für'n IE :D

Crash Override

BOfH
Registered: Jun 2005
Location: Germany
Posts: 2951
@mat: Mixed content Warnungen sind in den aktuellen Browsern Geschichte, es wird nur kein Schloß oder auch nicht die EV angezeigt.

Denne

Here to stay
Avatar
Registered: Jan 2005
Location: Germany
Posts: 2801
Zitat von Master99
den benefit versteh ich jetzt aber auch noch nicht so ganz bis auf den passwort/pm bereich.

immerhin ist das was man schreibt ja eh innerhalb minuten über google auffindbar durch die öffentliche struktur. und einen useraccount dann einem echten menschen zuzuweisen ist bei den ganzen infos, facebookgruppen udgl. vermutlich dann auch keine schwere aufgabe mehr.

ich will nicht sagen ich bin dagegen, aber ich versteh noch nicht wieso.

Muss dem zustimmen, ist zwar alles ganz nett, aber imho einfach unnötig für ein Forum dieser Art.

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6481
Dass das Forum öffentlich lesbar bleiben soll steht ohnehin nicht zur Debatte,
aber solange es über http leicht möglich ist eine 1:1 Kopie des Inhalts zu erstellen, ist SSL wenig sinnvoll.

In meinen Augen würde SSL nur einen Vorteil bringen, wenn es für alle Benutzer aktiviert wäre und nur über https eine Verbindung aufgebaut werden kann, weil die automatische Auswertung der Kommunikation damit erschwert werden würde.

Crash Override

BOfH
Registered: Jun 2005
Location: Germany
Posts: 2951
Wichtig ist es eigentlich nur bei der Anmeldung. Wenn man in einem offenen WLAN ist kann sonst jeder in ein paar hundert Metern umkreis die Benutzerdaten einfach mitsniffen.

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12082
Zitat von semteX
what 4? PMs?

Die Frage bei HTTPS ist heute laengst nicht mehr "warum?", sondern allenfalls "warum nicht?". Ich sehe an unseren (GH) HTTPS-Frontends, was darueber an Traffic reinkommt, und wie viel Last das erzeugt bzw. wie sich das auf unsere Ressourcen im Gesamtbild bzw. Kontrast zur restlichen Infrastruktur auswirkt: kaum spuerbar. Und wir haben "relativ" viele HTTPS-Requests fuer eine Website in .at, und tw. auch eher exotische, "teurere" Operationen wie Auth via Client-Zertifikat. Zertifikate von "akkreditierten" CAs kriegt man heute auch fuer lau signiert (StartSSL).

that

Hoffnungsloser Optimist
Avatar
Registered: Mar 2000
Location: MeidLing
Posts: 11340
Zitat von Master99
den benefit versteh ich jetzt aber auch noch nicht so ganz bis auf den passwort/pm bereich.

immerhin ist das was man schreibt ja eh innerhalb minuten über google auffindbar durch die öffentliche struktur.

Ohne SSL kann auch eine unbestimmte Anzahl von Personen und Organisationen mitlesen und beliebig lang speichern, welche Threads auf oc.at du liest.

Es soll schon Leute gegeben haben, die von der Polizei besucht wurden, weil von ihrem Internetanschluss in kurzem zeitlichen Abstand nach Kochtöpfen und Rucksäcken gegooglet wurde...

Master99

verträumter realist
Avatar
Registered: Jul 2001
Location: vie/grz
Posts: 12689
alright... dann go for it! i hab was zu verbergen :)

master_burn

Editor
Loading . . 40% . . . 50%
Avatar
Registered: Jul 2001
Location: near Quasi
Posts: 2472
Zitat von Obermotz
Auch wenns die NSA knacken kann, das BMI kann es vermutlich nicht.

Müssen sie auch nicht - weils die NSA wie gesagt kann und tut und da bilaterale Abkommen bestehen - Anruf wird vermutlich genügen ..

on Topic: wie üblich sind es die metadaten - *user* ließt *site* von *location* um *time* *duration*

- lässt sich super auswerten und ein profil erstellen

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16846
Zitat von that
Ohne SSL kann auch eine unbestimmte Anzahl von Personen und Organisationen mitlesen und beliebig lang speichern, welche Threads auf oc.at du liest.

Es soll schon Leute gegeben haben, die von der Polizei besucht wurden, weil von ihrem Internetanschluss in kurzem zeitlichen Abstand nach Kochtöpfen und Rucksäcken gegooglet wurde...
google analytics? :p

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4289
Ich sehe den Hauptvorteil in SSL darin, daß man in einem unverschlüsselten (z.B. Hotel, Kaffeehaus, etc) geschützt ist. Ohne VPN wäre eine Accountübernahme sonst recht einfach. Allerdings müßten dann natürlich auch die Cookies verschlüsselt übertragen werden.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz