AW: https
Prinzipiell gebe ich dir ja recht, aber wozu genau? Der Login ist abgesichert mit TLS, und abseits davon fällt mir nichts schützenswertes ein in einem öffentlichen Forum, abgesehen evtl. von den privaten Nachrichten (falls das jemand nutzt).
Ich versuche mal ein bisschen technische Nachhilfe zu geben
TLS ist eine Transportverschlüsselung die in der heutigen Zeit nur Sinn macht wenn diese auf jeglichen Inhalte angewendet wird, den eine Webseite ausliefert!
Gegenwärtiger stand bei pcgh:
Im Loginbereich wird man auf eine https Seite weitergeleitet.
Der Https bereich beschränkt sich nur auf eine paar vordefinierten Seiten.
Warum sollte Https(TLS) auf jeglichen Inhalt angewendet werden?
Eine Http/s Sitzung(session) wird einmalig zw client und server eingegangen(Session ID)
Das Problem, welches jetzt eben nur eine https-Verbindung in Teilbereichen vorsieht,
es ist angreifbar.Die Session ID wird meist in einem Cookie gespeichert und diese Information wird später auch weiter übertragen. Das heißt, obwohl anfänglich dieser ID geschützt über https übertragen wird, wird er auch später in Klartext übertragen.
Möglicher Angriff:
damit ein Session hijacking möglich ist, muss sich ein Angreifer als Mann in der Mitte positionieren
(Man in the middle) Viele werden sich jetzt denken, klingt irgendwie abwegig. Ist es leider nicht, ein BSP aus der Realität. Man sitzt in einem Cafee welches Wlan anbietet (ob das Wlan ein Pw hat oder nicht, macht nichts zur Sache, weil man recht leicht an diese Information herankommt)
Hier hat ein möglicher Angreifer ein leichtes Spiel, und kann so den besagten Angriff starten.
Weiters muss ein potenzieller Angreifer nicht technische ein Meister sein, da es Tools gibt die dies schon automatisiert machen.
Man muss sich vor Augen halten, dass TLS ein wichtiges Instrument ist, welches einen wichtigen Bereich in der IT hat. Weiters muss man auch noch erwähnen, dass eine TLS-Verbindung immer Zw Client und Server ausgehandelt wird. Das heißt, der Server kann/muss gewisse Verschlüsselungen können(in Abhängigkeit von der TLS version) und kann diese auch anfordern/blockieren.
Freu dich doch lieber darüber, dass du Contenfilterung (z.B. AdBlocking) schon auf Netzwerkebene durchführen kannst, bevor die Seite deinen Rechner erreicht
Auch wenn PCGH irgendwann auf volles TLS umstellt, wird man den Inhalt auch per DNS Filter blocken können. Die Drittanbieter werden dann einfach TLS nutzen.
Nur ein DNS-Filter reicht schon lange nicht mehr aus, eine gute Filterliste in Ublock und ein Scriptblocker(umatrix) ist heute leider schon eine Pflicht, da Tracking/Fingerprinting leider überhand genommen hat.