Alte Sicherheitszertifikate

DerAlfa

Schraubenverwechsler(in)
Guten Morgen

Ich habe seit 2019 immer öfter mit dem Problem zu kämpfen das ich eure Webseite vom Firmenrechner nicht öffnen kann. Temporär ist ab und an ein Zugriff möglich. Vom Handy aus geht es immer.

Laut Modzilla Firefox sind die Zertifikate nicht aktuell.

Gruß Robert
 
Wie Metaltyp schreibt, wir liefern auf dem Hauptbereich der Seiten NOCH kein SSL aus. Das ist bisher nur in den nach ehemals BDSG und mittlerweile DSGVO notwendigen Bereiche für Logins, Registrierungen und Kontaktformulare beschränkt. Aber wir passen das noch an.
 
https

Hi :)
Ich wollte mal nachfragen, warum weder die PCGH Website, noch das Forum ein ein SSL Zertifikat und https benutzt. Im Jahr 2019 sollte eigentlich beides Pflicht sein.
LG PrivateCeralion
 
AW: https

Prinzipiell gebe ich dir ja recht, aber wozu genau? Der Login ist abgesichert mit TLS, und abseits davon fällt mir nichts schützenswertes ein in einem öffentlichen Forum, abgesehen evtl. von den privaten Nachrichten (falls das jemand nutzt). Freu dich doch lieber darüber, dass du Contenfilterung (z.B. AdBlocking) schon auf Netzwerkebene durchführen kannst, bevor die Seite deinen Rechner erreicht :)
 
AW: https

Sofern ich die Debatte noch korrekt im Kopf habe geht es darum, dass die Werbetreibenden von PCGH nicht über https ausliefern und man keinen Mixed-Content (also Quellen mit abgesicherten Verbindungen und ohne) haben will.
 
AW: https

Wobei sich das laut ZAM mit dem neuen Vermarkter erledigt hat.
Trotzdem würde ich da noch etwas warten. Auch wenn ich einer derer bin die HTTPS schon ewig fordern: Einen Arbeitsaufwand hat man mit HTTPS dann trotzdem noch...
 
AW: https

Prinzipiell gebe ich dir ja recht, aber wozu genau? Der Login ist abgesichert mit TLS, und abseits davon fällt mir nichts schützenswertes ein in einem öffentlichen Forum, abgesehen evtl. von den privaten Nachrichten (falls das jemand nutzt).
Ich versuche mal ein bisschen technische Nachhilfe zu geben ;)
TLS ist eine Transportverschlüsselung die in der heutigen Zeit nur Sinn macht wenn diese auf jeglichen Inhalte angewendet wird, den eine Webseite ausliefert!

Gegenwärtiger stand bei pcgh:
Im Loginbereich wird man auf eine https Seite weitergeleitet.
Der Https bereich beschränkt sich nur auf eine paar vordefinierten Seiten.

Warum sollte Https(TLS) auf jeglichen Inhalt angewendet werden?
Eine Http/s Sitzung(session) wird einmalig zw client und server eingegangen(Session ID)
Das Problem, welches jetzt eben nur eine https-Verbindung in Teilbereichen vorsieht,
es ist angreifbar.Die Session ID wird meist in einem Cookie gespeichert und diese Information wird später auch weiter übertragen. Das heißt, obwohl anfänglich dieser ID geschützt über https übertragen wird, wird er auch später in Klartext übertragen.

Möglicher Angriff:
damit ein Session hijacking möglich ist, muss sich ein Angreifer als Mann in der Mitte positionieren
(Man in the middle) Viele werden sich jetzt denken, klingt irgendwie abwegig. Ist es leider nicht, ein BSP aus der Realität. Man sitzt in einem Cafee welches Wlan anbietet (ob das Wlan ein Pw hat oder nicht, macht nichts zur Sache, weil man recht leicht an diese Information herankommt)
Hier hat ein möglicher Angreifer ein leichtes Spiel, und kann so den besagten Angriff starten.
Weiters muss ein potenzieller Angreifer nicht technische ein Meister sein, da es Tools gibt die dies schon automatisiert machen.

Man muss sich vor Augen halten, dass TLS ein wichtiges Instrument ist, welches einen wichtigen Bereich in der IT hat. Weiters muss man auch noch erwähnen, dass eine TLS-Verbindung immer Zw Client und Server ausgehandelt wird. Das heißt, der Server kann/muss gewisse Verschlüsselungen können(in Abhängigkeit von der TLS version) und kann diese auch anfordern/blockieren.

Freu dich doch lieber darüber, dass du Contenfilterung (z.B. AdBlocking) schon auf Netzwerkebene durchführen kannst, bevor die Seite deinen Rechner erreicht :)

Auch wenn PCGH irgendwann auf volles TLS umstellt, wird man den Inhalt auch per DNS Filter blocken können. Die Drittanbieter werden dann einfach TLS nutzen.
Nur ein DNS-Filter reicht schon lange nicht mehr aus, eine gute Filterliste in Ublock und ein Scriptblocker(umatrix) ist heute leider schon eine Pflicht, da Tracking/Fingerprinting leider überhand genommen hat.
 
Zuletzt bearbeitet:
Website nicht sicher?

Bekomme seit kurzen beim Besuch der extreme.pcgameshardware Seite mit dem Ipad immer in der Browserzeile ‚Nicht sicher ‚. angezeigt.

Was hat es damit auf sich?

eed75b89-3df8-48c2-b516-c844668a327b-png.1039992


Vielen Dank im Voraus.
stef
 

Anhänge

  • EED75B89-3DF8-48C2-B516-C844668A327B.png
    EED75B89-3DF8-48C2-B516-C844668A327B.png
    282,8 KB · Aufrufe: 225
AW: Website nicht sicher?

Nur die Anmeldung läuft über HTTPS, der sonstige Teil der Seite, über normalen HTTP
 
AW: Website nicht sicher?

Das liegt daran, dass sich die PCGH(X)-Administration aktuell noch gegen HTTPS wehrt bzw. entschieden hat.
Da aber an einem neuen Forum gearbeitet wird gehe ich mal davon aus, dass man dementsprechend keine Arbeit mehr ins alte Forum steckt, um es HTTPS-fähig zu machen. Daher einfach mal abwarten.

Im Sommer kann man meckern, ists dann doch schon über sechs Monate mit dem neuen Vermarkter her, der wohl HTTPS ermöglichen soll.
 
AW: Website nicht sicher?

Das liegt daran, dass sich die PCGH(X)-Administration aktuell noch gegen HTTPS wehrt bzw. entschieden hat.
Da aber an einem neuen Forum gearbeitet wird gehe ich mal davon aus, dass man dementsprechend keine Arbeit mehr ins alte Forum steckt, um es HTTPS-fähig zu machen. Daher einfach mal abwarten.

Nicht ganz. ^^ Die Entscheidung ist schon lange gefallen, es gab nur immer Hürden - damals war es die Werbung, mittlerweile sind es notwendige Anpassungen, die nicht nur das Forum betreffen und nicht nur eine Webseite. Wir sind da schon länger dran, aber wegen der eher geringen Notwendigkeit (was ich schon mehrfach erläutert habe) eher nebenbei. Aber die Umstellung wird kommen - TBA. Es passiert Stück für Stück - unsere Wordpress-Derivate wie linux-magazin.de sind bspw. umgestellt.
 
AW: Website nicht sicher?

[...] aber wegen der eher geringen Notwendigkeit (was ich schon mehrfach erläutert habe)

Kannst du auf diese Erläuterungen verlinken? Mich würden Begründungen für die folgenden Fragen interessieren:

Warum ist es nicht notwendig, den Session-Cookie verschlüsselt zu übertragen?
Warum ist es nicht notwendig, den Benutzer vor Identifizierung durch Browsing-Verhalten zu schützen?
Warum ist es nicht notwendig, den Benutzer vor Manipulation des Webseiten-Inhalts durch Dritte zu schützen?

Ich will nicht faul sein, deswegen habe ich deine letzten 400 Beiträge grob durchsucht (STRG+F nach "ssl", "tls" und "http") aber nur Folgendes gefunden:

29.11.2018: "Nope, [in dem Link in dem erklärt wird warum HTTPS/TLS wichtig ist] animiert [uns] nichts [dazu, HTTPS umzusetzen]. Gründe wurden umfangreich genannt. :)"

16.11.2018: "Ja, genau das [HTTP-Werbung wirft mehr Geld ab und die Administratoren wollen sich nicht den Aufwand machen] ist der Grund [für die fehlende Umsetzung von HTTPS/TLS]. Und wir produzieren übrigens auch Waffen."

21.09.2018: "Usernamen sind in der Regel keine personenbezogenen Daten [...]"

10.08.2018: "[...] und es nicht akut ist, bei dem was auf freiwilliger Basis an komplett unkritischen Daten (wenn überhaupt) beim surfen hin und hergeschubst [wird]... "

23.04.2018: "[...] wir haben [das Thema HTTPS/TLS] bereits vor längerer Zeit angegangen, wie auch schon erwähnt, aber haben noch Abhängigkeiten, durch die es noch nicht umgesetzt werden kann"

22.04.2018: "Wir legen keinen Zeitplan fest, weil es immer noch Abhängigkeiten gibt, daher ist ["[HTTPS] kommt, wenn es kommt"] sehr wohl die einzig passende Antwort und damit eine Antwort. "

27.02.2018: "Also, von unserer Seite aus sind die Systeme schon länger auf die Umstellung [auf HTTPS/TLS] vorbereitet."

Keiner dieser Beiträge enthält eine richtige Begründung dafür, warum HTTPS/TLS abgesehen von Login-Feldern nicht wichtig ist beziehungsweise meine drei Fragen von oben. Wie man weiter zurück liegende Beiträge finden kann habe ich auf die Schnelle nicht gefunden, es wäre also nett, entweder auf die entsprechenden Erklärungen/Begründungen zu verweisen oder sie nochmal kurz zu notieren.

Vielen Dank.
 
Zurück