SSL-Verschlüsselung

[The Spoon]

Hallo zusammen,

in Zeiten von Überwachung und Internetkriminalität fände ich es super, wenn für das MB eine SSL-Verschlüsselung angeboten würde (sprich: https statt http). Im normalen Forums- und Newsbereich ist das natürlich nicht so wichtig (fände ich trotzdem nett und würde ich nutzen!), aber gerade im Nachrichtenbereich, wo in Verbindung mit dem Flohmarkt durchaus mal empfindlichere Daten ausgetauscht werden wie volle Namen, Adressen, Telefonnummern, Mail-Adressen oder gar PayPal-Adressen und Bankverbindungen, wäre es super, wenn die Kommunikation etwas besser geschützt würde!
Und um den obligatorischen Zynikern gleich zuvorzukommen: Bestimmt haben irgendwelche Geheimdienste, Hackergruppen etc. schon Mittel und Wege gefunden, eine solche Verschlüsselung zu knacken. Das darf mMn aber im Umkehrschluss nicht die Konsequenz haben, ganz auf Verschlüsselung zu verzichten.
Vielen Dank schon einmal im Voraus für die Beachtung meines Vorschlags!

Beste Grüße
Spoon

 

[netstalker]

Solange niemand irgendwelche Bankgeschäfte mit Eingabe von PIN abwickelt halte ich das für übertrieben.......Online-Shops, Bestellportale usw. brauchen so was - aber ein Forum?

TLS (so heißt SSL heute) authentifiziert lediglich die Webseite - mittels eines Zertifikats wird die "Echtheit" der Webseite bestätigt.
Dadurch sollen "gefakte" Webseiten von echten unterscheidbar werden.
Der Verbindungsaufbau wird auf Serverseite wesentlich Rechenintensiver - und somit langsamer.
SSL/TSL hält niemanden davon ab eine Kommunikation mitzulesen - schon gar nicht irgendwelche Dienste.

Wozu muss ich ein Hacker sein und alles ist verschlüsselt wenn ich die Adressen als Forumsmitglied jederzeit durch eine einfache Anfrage an den jeweiligen TO ohne Mühe kriegen kann?
Wenn man seine Bankverbindung austauscht sollte man eher auf eine PGP-Verschlüsstelte Mail-Lösung zurückgreifen...

 

[peter55]

Bei solchen Überlegungen bitte ich auch zu bedenken, dass es im Lauf des nächsten Jahres eine Migration auf eine andere Boardsoftware geben wird.

Von daher werden also bei der alten Software keine größeren "Umbauten" mehr vorgenommen werden können.

 

[The Spoon]

TLS (so heißt SSL heute) authentifiziert lediglich die Webseite - mittels eines Zertifikats wird die "Echtheit" der Webseite bestätigt. Dadurch sollen "gefakte" Webseiten von echten unterscheidbar werden. Der Verbindungsaufbau wird auf Serverseite wesentlich Rechenintensiver - und somit langsamer. SSL/TSL hält niemanden davon ab eine Kommunikation mitzulesen - schon gar nicht irgendwelche Dienste.

Weißt du das sicher? Ich bin selbst kein Programmierer und kann deswegen nur wiedergeben, wie ich Dinge verstehe, die anderswo gelesen habe. Ich zitiere hier einfach mal Wikipedia:

"HyperText Transfer Protocol Secure (kurz HTTPS, englisch für sicheres Hypertext-Übertragungsprotokoll) ist ein Kommunikationsprotokoll im World Wide Web, um Daten abhörsicher zu übertragen. [...]Das HTTPS-Protokoll wird zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen Webserver und Browser (Client) im World Wide Web verwendet."

Und noch ein Zitat der Electronic Frontier Foundation:

"HTTPS protects users from certain kinds of Internet surveillance. By encrypting your connection, HTTPS prevents eavesdroppers from seeing the contents of your communication with a website, including potentially sensitive data such as the contents of your email and chats, login credentials, search terms, and credit card numbers."

Das heißt für mich, dass das schon mehr ist als eine Authentifizierung und dass https schon gewährleisten kann, dass die übermittelten Inhalte nicht so ohne weiteres ausgelesen werden können - z.B. in einem offenen Netzwerk (Café etc.). Das sollte doch in jedermanns Interesse sein, denke ich! Und meines Wissens schränkt das auch die Informationen, die der Internetprovider sieht, deutlich ein. Die aufgerufene Domain bleibt natürlich ermittelbar, die tatsächlichen Inhalte sind meines Wissens aber auch für den Provider verschlüsselt. Das mag manchen egal sein, PRISM und Co. machen diese Tatsache aber vielleicht für den ein oder anderen interessant... Für die Provider-Sache aber keine Garantie, dafür hab ich auf die schnelle auch keine gute Quelle gefunden. Der Sicherheitsaspekt ist mir bei meinem Anliegen auch wichtiger! Ich fände daher eine SSL/TLS-Verschlüsselung durchaus angebracht. Viele Seiten verwenden standardmäßig unverschlüsseltes http, können aber auch mit https genutzt werden, wenn das gewünscht ist (z.B. Wikipedia, LEO, ...). Das wäre doch eventuell eine Option für das MB?

Wozu muss ich ein Hacker sein und alles ist verschlüsselt wenn ich die Adressen als Forumsmitglied jederzeit durch eine einfache Anfrage an den jeweiligen TO ohne Mühe kriegen kann?

Zum einen kann dann ja aber immer noch jeder selbst entscheiden, wem er welche Informationen übermittelt. Und zum anderen ist es ein ungleich größerer Aufwand, sich im Board anzumelden und PMs zu schreiben, anstatt unverschlüsseltes http auszulesen.

Wenn man seine Bankverbindung austauscht sollte man eher auf eine PGP-Verschlüsstelte Mail-Lösung zurückgreifen...

Das ist richtig. Aber PGP klappt nur, wenn es beide Seiten verwenden. Und was meinst du, wieviele Leute hier im Board PGP benutzen? Eben.

Bei solchen Überlegungen bitte ich auch zu bedenken, dass es im Lauf des nächsten Jahres eine Migration auf eine andere Boardsoftware geben wird. Von daher werden also bei der alten Software keine größeren "Umbauten" mehr vorgenommen können.

Alles klar, wusste ich noch gar nicht, ich sollte öfter mal den Bereich ganz oben im Board checken Ist denn schon bekannt, ob damit https -zumindest für die PM-Sektion- möglich wird?

 

[klaatu]

TLS (so heißt SSL heute) authentifiziert lediglich die Webseite - mittels eines Zertifikats wird die "Echtheit" der Webseite bestätigt.

Das stimmt eigentlich nur so weit, dass TSL die neue Bezeichnung für SSL ist und die "Echtheit" bestätigt wird. Der Datentransport danach geschieht aber verschlüsselt.

 

[netstalker]

Ich hab ja nicht gesagt dass da nicht verschlüsselt wird - ich hätte mich vielleicht klarer ausdrücken sollen:
Wenn man Kommunikation mitlesen möchte greift man nicht den Transport-Layer an - sondern den Application Layer.
Warum gilt denn mittlerweile selbst das ITAN-Verfahren als "geknackt"? Banken benutzen seit langen SSL/TSL-Verschlüsselung und Authentifizierung per Zertifikat - was hat es genutzt? Nix!!
Ein kleines Beispiel:
Sicherlich kann man verschlüsselte Handies benutzen um zu telefonieren - damit verschlüssle ich den Weg zum gegenüber; wenn ich aber im ICE neben dem Typ sitze der telefoniert höre ich trotzdem jedes Wort.

Wie gesagt - SSL halte ich da Sinnvoll wo wirklich sensible Daten abgeglichen werden müssen; meine Kreditkartendaten würde ich in kein Forum dieser Welt eingeben weil die Admins ohne jede Verschlüsselung auf diese Daten Zugriff hätten (ohne jetzt die Integrität der Admins in Frage zu stellen!!!)
Man sollte selbst mit seinen Daten verantwortlich umgehen - und nicht anderen den schwarzen Peter zuschieben.
Was nutzt es wenn hier SSL-Verschlüsselt wird, dadurch die Server langsamer werden (bei entsprechender Last) und der User dann am nächsten Tag die Kundenkarte an der Tankstelle durchzieht oder beim Gewinnspiel von EBay alle persönlichen Daten eingibt damit er eine Playstation gewinnen kann?

 

[Johannes Hofmann]

Ich habe das mal etwas recherchiert: Die Software, die wir künftig verwenden werden, könnte zwar TLS (SSL) benutzen, dann aber nur komplett - nicht eben einzelne Bereiche, wie das Private Messaging System.

Alle Vorteile haben idR auch Haken und Nachteile. Und der Nachteil der TLS-verschlüsselten Übertragung besteht darin, dass der Verbindungsaufbau auf Serverseite rechenintensiv und deshalb langsamer ist. Unser Ziel ist, unseren Usern ein flottes öffentliches Kommunihationsmedium zu bieten, wobei die Daten nicht unbedingt vor NSA und anderen Spitzbuben geschützt werden müssen, da ihr primärer Zweck ohnehin die Veröffentlichung ist. Die von uns ebenfalls bereitgestellte private Kommunikation ist eher ein Gimmick, als ein für das Musiker-Board essentielles Feature, so, wie eigentlich auch der gesamte Flohmarkt und der über das Musiker-Board abgewickelte private Handel ein Gimmick ist.

 

[The Spoon]

Ich hab ja nicht gesagt dass da nicht verschlüsselt wird - ich hätte mich vielleicht klarer ausdrücken sollen:
Wenn man Kommunikation mitlesen möchte greift man nicht den Transport-Layer an - sondern den Application Layer.
Warum gilt denn mittlerweile selbst das ITAN-Verfahren als "geknackt"? Banken benutzen seit langen SSL/TSL-Verschlüsselung und Authentifizierung per Zertifikat - was hat es genutzt? Nix!!

Damit wären wir im Prinzip wieder beim Ausgangspost:

Und um den obligatorischen Zynikern gleich zuvorzukommen: Bestimmt haben irgendwelche Geheimdienste, Hackergruppen etc. schon Mittel und Wege gefunden, eine solche Verschlüsselung zu knacken. Das darf mMn aber im Umkehrschluss nicht die Konsequenz haben, ganz auf Verschlüsselung zu verzichten.

Man muss davon ausgehen, dass jeder Schutzmechanismus - ob in der "realen" oder der digitalen Welt - irgendwie geknackt oder umgangen werden kann. Da macht sich, denke ich, auch kaum jemand was vor. Wann das passiert, dürfte immer nur eine Frage der Zeit sein. Und so wie du es schreibst, ist das bei SSL/TLS-Verschlüsselung anscheinend schon eingetreten.
Das heißt, wie gesagt, für mich aber im Umkehrschluss nicht, dass ich auf jegliche Sicherung verzichte, nur weil sie evtl. mit entsprechender Anstrengung ausgehebelt werden könnte. Dann bräuchten wir auch keine Schlösser an Haus- und Autotüren mehr!
Man kann im Internet sicher allen möglichen Beteiligten alles mögliche unterstellen. Aber spätestens bei einer Bank sehe ich nicht, wo die Interesse daran haben kann, dass ihr Online-Banking-Verfahren geknackt wird. Da, wie du selbst schreibst, Banken nach wie vor auf SSL/TLS setzen, kann es also so ganz nutzlos nicht sein, auch wenn es wohlmöglich nicht perfekt ist. Im Prinzip sagst du das ja sogar selbst:

Wie gesagt - SSL halte ich da Sinnvoll wo wirklich sensible Daten abgeglichen werden müssen;

Wenn es so wenig bringen würde, wie du anfangs angedeutet hast, würdest du es ja auch an dieser Stelle nicht sinnvoll finden.

meine Kreditkartendaten würde ich in kein Forum dieser Welt eingeben weil die Admins ohne jede Verschlüsselung auf diese Daten Zugriff hätten (ohne jetzt die Integrität der Admins in Frage zu stellen!!!)
Man sollte selbst mit seinen Daten verantwortlich umgehen - und nicht anderen den schwarzen Peter zuschieben.
Was nutzt es wenn hier SSL-Verschlüsselt wird, dadurch die Server langsamer werden (bei entsprechender Last) und der User dann am nächsten Tag die Kundenkarte an der Tankstelle durchzieht oder beim Gewinnspiel von EBay alle persönlichen Daten eingibt damit er eine Playstation gewinnen kann?

Im Prinzip volle Zustimmung. Ich denke aber, dass das vielen Usern einfach gar nicht so bewusst ist. Gerade die Flohmarkt-Funktion macht es ja notwendig, dass Adressen und Daten irgendeiner Zahlungsmethode ausgetauscht werden. Wenn jemand seine Daten aktiv für Gewinnspiele etc. preisgibt, dann ist das seine bewusste und aktive Entscheidung und das steht für mich auf einem ganz anderen Blatt, als wenn jemand wohlmöglich davon ausgeht, seine Daten seien sicher - einfach, weil das notwenidge Hintergrundwissen fehlt! Ich muss zugeben, mir ist das in diesem Umfang auch erst seit recht kurzer Zeit klar!

Alle Vorteile haben idR auch Haken und Nachteile. Und der Nachteil der TLS-verschlüsselten Übertragung besteht darin, dass der Verbindungsaufbau auf Serverseite rechenintensiv und deshalb langsamer ist. Unser Ziel ist, unseren Usern ein flottes öffentliches Kommunihationsmedium zu bieten, wobei die Daten nicht unbedingt vor NSA und anderen Spitzbuben geschützt werden müssen, da ihr primärer Zweck ohnehin die Veröffentlichung ist. Die von uns ebenfalls bereitgestellte private Kommunikation ist eher ein Gimmick, als ein für das Musiker-Board essentielles Feature, so, wie eigentlich auch der gesamte Flohmarkt und der über das Musiker-Board abgewickelte private Handel ein Gimmick ist.

Alles klar, vielen Dank für dieses Statement. Damit hat sich meine Anfrage ja (aus meiner Sicht: leider) auch erst mal erledigt. Ich persönlich tausche gerne etwas Geschwindigkeit gegen eine erhöhte Privatssphäre, aber ich kann die Entscheidung schon verstehen.Insbesondere wenn das eine deutliche Belastung für die Server darstellt, sind da ja auch ökonomische Gründe abzuwägen.
Im Flohmarkt werde ich dann in Zukunft versuchen, vor dem Austausch empfindlicher Daten auf ein anderen Kommunikationsmittel zurückzugreifen.

 

[cello und bass]

Im Flohmarkt werde ich dann in Zukunft versuchen, vor dem Austausch empfindlicher Daten auf ein anderen Kommunikationsmittel zurückzugreifen.

Auch wegen persönlicher Sicherheit (ja - nur aus dem Gefühl heraus, etwas besser Bescheid zu wissen und mir ist klar, dass das Beste Abholung,... ist) telefoniere ich gerne mit Verkäufern (Festnetz - Tel Nr über Telefonbuch abgleichen,...) und versuche, mehrere Kontaktmöglichkeiten zu haben.