https (SSL) Zugang zum Forum

Ankündigungen, Anregungen, Kritik, Verbesserungsvorschläge

https (SSL) Zugang zum Forum

Beitragvon ePower » Mi 16. Jul 2014, 08:30

Hallo,

besteht die Möglichkeit einen https (SSL) verschlüsselten Zugang zum Forum bereitzustellen, damit meine Anmeldedaten (Benutzernamen + Passwort) nicht im Klartext den Weg durchs Internet gehen?
Es würde auch erstmal ein selbstsigniertes Zertifikat reichen.


Steven
ePower
 

Anzeige

Re: https (SSL) Zugang zum Forum

Beitragvon Itzi » Mo 4. Aug 2014, 14:56

+1
Reicht ja ein eigenes Zertifikat - GE ist vertrauenswürdig :)
Erstellt mit 100% Ökostrom.
ZOE, Zero SR, Elektroroller & Automower. Model 3 vorsorglich reserviert.
Itzi
 
Beiträge: 598
Registriert: Di 19. Mär 2013, 18:21
Wohnort: Oberösterreich

Re: https (SSL) Zugang zum Forum

Beitragvon ev4all » Mo 4. Aug 2014, 16:48

+1. Das sollte eigentlich immer so sein, wenn Zugangsdaten durchs Internet gehen. Streng genommen gelten sie schon bei einmaliger unverschlüsselter Übertragung als kompromittiert.
≡ | Zoe Q90 (2017-) | Brammo Empulse (2014-) | Zoe Q210 (2016-17) | Nissan Leaf (2013-16) | Flyer X S-Pedelec | 9,5 kWp PV
Benutzeravatar
ev4all
 
Beiträge: 1286
Registriert: So 9. Jun 2013, 10:02
Wohnort: Solling

Re: https (SSL) Zugang zum Forum

Beitragvon Guy » Mo 4. Aug 2014, 18:14

Das selbst signierte Zertifikat hat allerdings den Nachteil, dass es unschöne Warnmeldungen gibt. Wer weiß, was das bedeutet, den wird es nicht weiter stören, auf andere könnte das jedoch schon abschreckend wirken.

Da die verschlüsselte Verbindung für weite Teile der Seite unnötig ist, möchte ich eigentlich nicht komplett umstellen. Werde mal schauen, was es da für Optionen gibt, um zumindest das Passwort sicher zu übertragen.
Guy
Administrator
 
Beiträge: 3499
Registriert: Fr 26. Aug 2011, 14:52

Re: https (SSL) Zugang zum Forum

Beitragvon Itzi » Mo 4. Aug 2014, 21:31

Ja, die Warnmeldungen sind wirklich ein wenig unschön.
Vielleicht könnte man es optional machen. Quasi als Benutzereinstellung.
Das Loginformular müsste sofort abfragen ob der Benutzer nur ssl erlaubt, und es müsste schnell auf ssl umleiten. (Noch vor kennworteingabe)

Oder wir leisten uns gleich von hausaus ein pro-Zertifikat. Was kostet wohl sowas?
Erstellt mit 100% Ökostrom.
ZOE, Zero SR, Elektroroller & Automower. Model 3 vorsorglich reserviert.
Itzi
 
Beiträge: 598
Registriert: Di 19. Mär 2013, 18:21
Wohnort: Oberösterreich

Re: https (SSL) Zugang zum Forum

Beitragvon ePower » Di 5. Aug 2014, 00:54

Optional würde mir schon reichen. So können die, die "das Wissen" haben es nutzen und der Rest der Nichtinteressierten stört sich nicht an den Warnmeldungen.


Steven
ePower
 

Re: https (SSL) Zugang zum Forum

Beitragvon endurance » Di 5. Aug 2014, 05:44

Guy hat geschrieben:

Da die verschlüsselte Verbindung für weite Teile der Seite unnötig ist, möchte ich eigentlich nicht komplett umstellen. Werde mal schauen, was es da für Optionen gibt, um zumindest das Passwort sicher zu übertragen.
du brauchst doch nichts umstellen. Es sollte doch reichen einfach beides anzubieten. D.h zwei Ports statt einem öffnen und das war's, oder nicht?
PV 18,2kWp - BHKW EcoPower 1.0, 30kWh LiON Sunny Island System
BMW i3 60Ah (Verbrauch ca. 13,8kWh/100km; SW: I001-16-07-506) - Technikblog: https://okedv.dyndns.org/wbb/wcf/
Benutzeravatar
endurance
 
Beiträge: 3395
Registriert: Sa 28. Dez 2013, 20:01
Wohnort: Bei Stuttgart

Re: https (SSL) Zugang zum Forum

Beitragvon Nichtraucher » Di 5. Aug 2014, 08:54

Itzi hat geschrieben:
Oder wir leisten uns gleich von hausaus ein pro-Zertifikat. Was kostet wohl sowas?


Kostet je nach Anbieter weniger als 100 € / pro Jahr.
Ist halt etwas administrativer Aufwand beim Einrichten und es muss auch regelmäßig (alle 2 Jahre) erneuert werden.

Ein selbsterstelltes Zertifikat hat meines Erachtens auf einer öffentlichen Website nix zu suchen.
Warum? Man gewöhnt sich mehr und mehr an Warnmeldungen die einfach weggeklickt werden. Der Sicherheit im Internet förderlich ist das nicht. Außerdem ist es ein wesentlicher Bestandteil der Sicherheit, dass man sich sicher sein kann mit der richtigen Site verbunden zu sein. Ein selbst erstelltes goingelectric.de Zertifikat kann sich ja jeder ausstellen und behaupten er wäre es.

Außerdem behaupte ich mal, dass die wenigsten überhaupt in der Lage sind, die "Echtheit" eines solchen Zertifikats zu verifizieren. Wenn es gut gemacht ist, fallen da auch sogenannte Experten drauf rein.
Botschafter Leaf Pearl Weiß mit Winter und Solar
Sion bestellt
Nichtraucher
 
Beiträge: 911
Registriert: Do 15. Aug 2013, 05:27
Wohnort: Heppenheim (Bergstrasse)

Re: https (SSL) Zugang zum Forum

Beitragvon Nichtraucher » Di 5. Aug 2014, 09:05

endurance hat geschrieben:
Es sollte doch reichen einfach beides anzubieten. D.h zwei Ports statt einem öffnen und das war's, oder nicht?


Die SSL-Verschlüsselung sorgt für zusätzliche Last auf den Servern, auf denen goingelectric gehosted wird. Irgendwo muss die Verschlüsselung ja gerechnet werden. Wieviel zusätzliche Last es tatsächlich bedeutet, da gehen die Meinungen auseinander.
Ggf. wird auch weniger gecached, was auch wieder zu erhöhtem Traffic führt.
Einfach nur einschalten und alles gut wird wahrscheinlich nicht klappen. Ein kleines Projekt für jemand der sich auskennt ist das schon. Wenn man sich erst einarbeiten muss, ist das erheblicher Aufwand.
Botschafter Leaf Pearl Weiß mit Winter und Solar
Sion bestellt
Nichtraucher
 
Beiträge: 911
Registriert: Do 15. Aug 2013, 05:27
Wohnort: Heppenheim (Bergstrasse)

Re: https (SSL) Zugang zum Forum

Beitragvon Guy » Di 5. Aug 2014, 11:36

Wenn verschlüsselt, dann mit einem 'richtigen' Zertifikat, alles andere ist Murks. Die Kosten dafür und der Aufwand für die Einrichtung sind da erst einmal nebensächlich.

Mir persönlich ist die Verschlüsselung nicht so wichtig, da ja ohnehin so gut wie alles öffentlich ist, bei der Übertragung des Passworts sehe ich allerdings schon den Sicherheitsgewinn. Wobei man mit einem erbeutetem Passwort hier relativ wenig Dummheiten anstellen kann.

Ich werde mal schauen, welche Optionen es so gibt - komplette Verschlüsselung für alle Besucher, Verschlüsselung nur für eingeloggte Mitglieder, lediglich verschlüsselte Übertragung des Passworts
Guy
Administrator
 
Beiträge: 3499
Registriert: Fr 26. Aug 2011, 14:52

Anzeige

Nächste

Zurück zu GoingElectric Forum

 
  • Ähnliche Themen
    Antworten
    Zugriffe
    Letzter Beitrag
  • Ähnliche Artikel im Blog

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast