Seite 3 von 3 123
  1. #21
    Avatar von ZAM
    No Adblocker!

    Mitglied seit
    17.12.2008
    Ort
    Fürth
    Beiträge
    2.401

    AW: Alte Sicherheitszertifikate

    Hier wird nichts relevantes übertragen.
    Und es ist nicht relevant, die Situation wird sich ja ändern.
    Wartungsdrohne
    "Und wenn einer so ein Bug-Loch entdeckt, Granate rein!"
    ASRock X99 Extreme4 | i7-5820K @ 4,2 OC 1.24v | Crucial 4x4 GB DDR4-2400 | 4xSSD,2x2TB HDD | ZOTAC GTX 980 Ti AMP! Edition | ASUS Xonar DGX PCIe | be quiet! Straight Power 10-CM Modular | Fractal R5 Define

    •   Alt

      Anzeige
      Bitte einloggen, um diese Anzeige auszublenden.
       

  2. #22

    Mitglied seit
    10.11.2015
    Beiträge
    103

    AW: Alte Sicherheitszertifikate

    Der Session-Cookie wird nicht übertragen?

    Außerdem sind so gut wie alle übertragenen Daten relevant, Benutzer können dadurch indirekt identifiziert werden.

    Was ist mit Authentifizierung? TLS sorgt ja nicht nur für Verschlüsselung des Inhalts sondern auch für Verifizierung der Identität des Servers (in dem Fall) und damit die Authentizität des Inhalts.

  3. #23
    Avatar von ZAM
    No Adblocker!

    Mitglied seit
    17.12.2008
    Ort
    Fürth
    Beiträge
    2.401

    AW: Alte Sicherheitszertifikate

    Nochmal: Irrelevant, u.a. weil wir es anpassen. Und was hier bis dahin durchgeht ist so so relevant Clubmitgliedskarten.
    Wartungsdrohne
    "Und wenn einer so ein Bug-Loch entdeckt, Granate rein!"
    ASRock X99 Extreme4 | i7-5820K @ 4,2 OC 1.24v | Crucial 4x4 GB DDR4-2400 | 4xSSD,2x2TB HDD | ZOTAC GTX 980 Ti AMP! Edition | ASUS Xonar DGX PCIe | be quiet! Straight Power 10-CM Modular | Fractal R5 Define

  4. #24
    Avatar von razzor1984
    Mitglied seit
    16.03.2011
    Ort
    Glaub die NSA sollts wissen ;)
    Beiträge
    2.636

    AW: Alte Sicherheitszertifikate

    Zitat Zitat von Flaubaer Beitrag anzeigen
    Der Session-Cookie wird nicht übertragen?

    Außerdem sind so gut wie alle übertragenen Daten relevant, Benutzer können dadurch indirekt identifiziert werden.

    Was ist mit Authentifizierung? TLS sorgt ja nicht nur für Verschlüsselung des Inhalts sondern auch für Verifizierung der Identität des Servers (in dem Fall) und damit die Authentizität des Inhalts.
    Ich habe schon es sehr ausführlich beschrieben warum die gegenwärtige Implementierung technisch nicht sauber ist
    Welche Daten relavant sind, da muss man differenzieren. Alles was Personenbezug hat ist seit der DSGVO – Kryptonit.
    Am ende des Tages ist es ein öffentliches Forum, wo jeder Posts lesen kann.
    Sollte PCGH eine sauber Implementierung von TLS machen? Ja nur wie @ZAM es schon gebetsmühlenartig wiedergibt, Sie brauchen noch (Daran können wir alle nichts ändern *leider* )

    Bezüglich TLS, man kann TLS(server seitig) auch so konfigurieren, dass es unsicher ist.
    Das Schlosssymbol sagt genau null aus, genauso ist das Zertifikatssystem nur eine große „Vertrauensfrage“ mit vielen fragwürdigen Spielern am Markt.
    Mit version 1.3 ist man aber schon sehr sehr gut bedient – out of the box

  5. #25

    Mitglied seit
    10.11.2015
    Beiträge
    103

    AW: Alte Sicherheitszertifikate

    Zitat Zitat von razzor1984 Beitrag anzeigen
    Am ende des Tages ist es ein öffentliches Forum, wo jeder Posts lesen kann.
    Ja, die Informationen die der Server (vom Benutzer bekommt und) am Ende dann ins Forum überträgt. Der Web-Traffic, den ich durch mein Browsing-Verhalten verursache, also die Kombination und Reihenfolge an Webseiten, die ich besuche, ist nicht öffentlich, kann aber ohne implementierte Transportverschlüsselung prinzipiell von jedem Netzwerkgerät durch das er fließt, analysiert werden und dadurch kann eine Benutzer-Identifizierung stattfinden.

    Zitat Zitat von razzor1984 Beitrag anzeigen
    Ja nur wie @ZAM es schon gebetsmühlenartig wiedergibt, Sie brauchen noch
    Je nachdem wie sehr ihnen aber bewusst ist, dass fehlende Transportverschlüsselung auch bei "irrelevantem" Datenverkehr durchaus relevant ist, dauert das halt kürzer oder länger, weil es dann andere Priorität hat. Laut bisherigen Aussagen von ZAM sieht es wohl leider so aus, dass man bei PCGH bezüglich Datensicherheit nicht sehr sensibilisiert ist.

    Bezüglich deiner anderen Aussagen bin ich mir nicht sicher warum du mich zitierst beziehungsweise auf meine Fragen eingehst. Das sind eigentlich Fragen, die ich direkt an PCGH stelle um herauszufinden, was deren Einstellung dazu ist.

  6. #26
    Avatar von razzor1984
    Mitglied seit
    16.03.2011
    Ort
    Glaub die NSA sollts wissen ;)
    Beiträge
    2.636

    AW: Alte Sicherheitszertifikate

    Zitat Zitat von Flaubaer Beitrag anzeigen
    Ja, die Informationen die der Server (vom Benutzer bekommt und) am Ende dann ins Forum überträgt. Der Web-Traffic, den ich durch mein Browsing-Verhalten verursache, also die Kombination und Reihenfolge an Webseiten, die ich besuche, ist nicht öffentlich, kann aber ohne implementierte Transportverschlüsselung prinzipiell von jedem Netzwerkgerät durch das er fließt, analysiert werden und dadurch kann eine Benutzer-Identifizierung stattfinden.
    Der Server wird dein IP bzw einen Browserfingerprint erzeugen können.
    Ich hab das Problem schon einmal beschrieben, die Session ist entwendbar, dazu muss aber jemand einmal zugriff auf die Pakete im Netzwerk haben – klassischer MIM. In einem freien Wlan ist das sehr leicht möglich.Ist volles TLS ano 2019 standart? Ja ist, aus guten Gründen!
    Bezüglich Benutzer-Identifizierung, schau dir mal die thridparty services bei PCGH an - da müsste man sich erst recht Sorgen machen!
    Zitat Zitat von Flaubaer Beitrag anzeigen
    Je nachdem wie sehr ihnen aber bewusst ist, dass fehlende Transportverschlüsselung auch bei "irrelevantem" Datenverkehr durchaus relevant ist, dauert das halt kürzer oder länger, weil es dann andere Priorität hat. Laut bisherigen Aussagen von ZAM sieht es wohl leider so aus, dass man bei PCGH bezüglich Datensicherheit nicht sehr sensibilisiert ist.
    PCGH und die thridparty services - Results for pcgameshardware Webbkoll - dataskydd.net
    (Da kann man nur einen scriptblocker nutzen und Cookies verbieten)
    Es gibt halt eine kreative Auslegung von Datensicherheit, mehr als Kritik können wir da leider nicht ausüben!
    Zitat Zitat von Flaubaer Beitrag anzeigen
    Bezüglich deiner anderen Aussagen bin ich mir nicht sicher warum du mich zitierst beziehungsweise auf meine Fragen eingehst. Das sind eigentlich Fragen, die ich direkt an PCGH stelle um herauszufinden, was deren Einstellung dazu ist.
    Du wirst von @Zam nicht die gewünschte Aw bekommt die du dir vorstellst.
    HTTPS ist da wenn es da ist. Im Grunde kann man es auch so umformulieren: „Nutze das Forum(gegenwärtiger Stand) oder lasst es bleiben“
    Geändert von razzor1984 (04.04.2019 um 00:26 Uhr)

  7. #27
    Avatar von blautemple
    Mitglied seit
    11.11.2011
    Liest
    PCGH.de
    Ort
    Würzburg
    Beiträge
    7.033

    AW: Alte Sicherheitszertifikate

    Zitat Zitat von derschweizer Beitrag anzeigen
    Mich wundert es nur , das es erst seit heute erscheint.......
    Das liegt am neuesten iOS Update
    Safari zeigt jetzt jede http Webseite als "nicht sicher" an.
    “Names are for friends, so I don’t need one.”

    PC: AMD Ryzen 5 2600@4GHz@1,15V | 16GB G.Skill Aegis@3200MHz | AsRock Fatal1ty B450 Gaming K4 | MSI GTX 1080 Aero OC@ACX III@2000MHz/6000MHz@0,962V
    Konsolen: PS4 Pro

  8. #28
    Avatar von ZAM
    No Adblocker!

    Mitglied seit
    17.12.2008
    Ort
    Fürth
    Beiträge
    2.401

    AW: Alte Sicherheitszertifikate

    Zitat Zitat von Flaubaer Beitrag anzeigen
    [..] dass man bei PCGH bezüglich Datensicherheit nicht sehr sensibilisiert ist.
    Da sagt mir der bzw. mein Aufwand in den letzten 2 Jahren im Sinne der DSGVO und diverse Anpassungen auf absolut paranoider Ebene in den letzten 6 Jahren leider etwas komplett anderes.
    Und ja, du wirst nicht die Antwort bekommen, die du hören willst: Wir schalten eben ganz schnell auf SSL, übers Knie gebrochen ohne Anpassungen gegen Mixed Content, weil es jemand unbedingt will und die bereits mehrfach erwähnt irrelevanten Daten für wichtig und explizit sicherungswürdig hält.

    Nope. Sorry. Du musst auch warten oder die Seite meiden, mehr kann ich dir dazu leider nicht sagen und mehr wird dazu auch nicht kommen.
    Wartungsdrohne
    "Und wenn einer so ein Bug-Loch entdeckt, Granate rein!"
    ASRock X99 Extreme4 | i7-5820K @ 4,2 OC 1.24v | Crucial 4x4 GB DDR4-2400 | 4xSSD,2x2TB HDD | ZOTAC GTX 980 Ti AMP! Edition | ASUS Xonar DGX PCIe | be quiet! Straight Power 10-CM Modular | Fractal R5 Define

  9. #29

    Mitglied seit
    10.11.2015
    Beiträge
    103

    AW: Alte Sicherheitszertifikate

    Zitat Zitat von ZAM Beitrag anzeigen
    Da sagt mir der bzw. mein Aufwand in den letzten 2 Jahren [...] etwas komplett anderes.
    Aber du selber sagst etwas komplett anderes:

    Zitat Zitat von ZAM Beitrag anzeigen
    die bereits mehrfach erwähnt irrelevanten Daten
    Zitat Zitat von ZAM Beitrag anzeigen
    Und ja, du wirst nicht die Antwort bekommen, die du hören willst: [...]
    Das ist nicht die Antwort, "die ich hören will". Die Antworten, die "ich hören will", sind einfach nur die Antworten auf die Fragen, die ich gestellt habe: Wird der Session-Cookie nicht (über HTTP) übertragen? Was ist eure Argumentation dafür, dass Web-Traffic nicht schützenswerte Daten sind? Warum erachtet ihr die Authentifizierung des Servers nicht als relevant?

    Mich würden die Antworten tatsächlich interessieren, mehr nicht.

  10. #30
    Avatar von LastManStanding
    Mitglied seit
    27.04.2015
    Liest
    PCGH.de & Heft
    Ort
    OWL der Berg, zum Tal der Exter
    Beiträge
    2.907

    AW: Alte Sicherheitszertifikate

    Aber du hast schon gelesen, das einiges zu diesem Thema bereits seit langer Zeit in Arbeit ist, und du auch Warten musst?!
    Ob du das für Sicherungswürdig hälst ist nur deine Persönliche Fasson. Computec/Marquad Media oder wer auch immer der Schirmherr ist haben ihre eigenen Vorgaben und versuchen zusammen mit den Interessen der (Potenziellen)Nutzer, natürlich auch ein Technisch saubere Umsetzung herzustellen. Und das muss am dann Ende auch noch mit den Gesetzesvorgaben(z.B. DSGVO) UND der Integration von Werbung der Finanziellen Unterstützer zusammen Passen.

    Deswegen kann man sich nicht nur nach den Wünschen von Personengruppen richten die am liebsten die Milch auf dem Weg ins Glass verschlüsseln würden.
    Wie verschlüssele ich meine Milch auf dem Weg ins Glass? (Wikipedia-Link)
    Wenn man die Kirche im Dorf lässt, geht bald keiner mehr hin...
    Und wenn Gott mich also liebt wie er mich schuf, wieso darf ich nicht nackt in Kirche??
    1600X/Brocken 3/1080Ti Aorus/16GB 3000Mhz/X370/DDP850/DBP 900 Rev.2/2,3TB SSD/Dieser PC/Kenwood KA9800/ Technics SU7700K/Harman AVR171

Seite 3 von 3 123

Ähnliche Themen

  1. Nutzt ihr Emulatoren, um alte Spiele zu spielen?
    Von Falk im Forum Technologie gestern-heute-morgen
    Antworten: 83
    Letzter Beitrag: 01.04.2009, 16:30
  2. Alte HDD Wechselrahmen an aktuellen pc nutzen (parallel port?!)
    Von Maggats im Forum Technologie gestern-heute-morgen
    Antworten: 13
    Letzter Beitrag: 11.10.2007, 21:43
  3. Altes Forecware Menu
    Von Kovsk im Forum Windows 7, 8(.1) und 10, Windows allgemein
    Antworten: 8
    Letzter Beitrag: 01.10.2007, 06:31
  4. Alte Speicherriegel Weiter nutzen in nem Addapter?
    Von hills im Forum Mainboards und Arbeitsspeicher
    Antworten: 3
    Letzter Beitrag: 25.09.2007, 03:43

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •