Anzeige 
RC-Network Hangflugführer
Seite 2 von 3 ErsteErste 123 LetzteLetzte
Ergebnis 16 bis 30 von 39

Thema: Wann gibt es https zumindest für die Anmeldung im Forum?

  1. #16
    Vereinsmitglied Avatar von Herbert Stammler
    Registriert seit
    26.06.2002
    Ort
    Hessen
    Beiträge
    5.969
    Daumen erhalten
    67
    Daumen vergeben
    55
    0 Nicht erlaubt!

    Hinweis

    Moin moin,


    Zitat Zitat von saxonia, 14.05.2015, 13:07 Beitrag anzeigen
    Leider erfolgt das login bei RC-Network immer noch nicht über eine verschlüsselte Verbindung mit https.
    Wann gedenkt ihr dieses wichtige Feature endlich zu implementieren?
    Seit die Erkenntnisse eines gewissen Herrn Snowden eigentlich schon seit zwei Jahren(...)
    Zitat Zitat von saxonia, 15.05.2015, 15:12 Beitrag anzeigen
    und Aussitzen wie "Mutti"? Also eine kleine Regung in Form einer kurzen Antwort bei sovielen Clicks des Threads fände ich schon angebracht.
    Tja... ich würde umgekehrt sagen: für das Wetter und die Feiertags-/Brückentagssituation rund um Deine Posts gab es schon recht ordentliche Hits innerhalb eines Tages.
    Trotzdem kann ich nicht erkennen, woher Du eine Dringlichkeit für eine kurzfristige Antwort ableitest. Immerhin bist Du mit Deiner Frage, wie Du selbst anmerkst, etwa zwei Jahre abzüglich einer angemessenen Reaktionszeit zu spät dran:
    Entweder hat RCN seit zwei Jahren nichts mitgekriegt (die Forensuche fördert ja "nur" eine zweistellige Zahl von Threads mit dem Stichwort zu Tage), wird also von Deiner Nachfrage kalt erwischt und stellt innerhalb eines (sonnigen Feier-)Tages sofort durch Umlegen des einen großen Schalters alles auf "super extra sicher" um.
    Oder RCN hat sich schon vor zwei Jahren Gedanken gemacht und für einen Weg entschieden, es Dir persönlich aber nicht mitgeteilt und Du hast Dich in der ganzen Zeit verdammt lange wie "Mutti" geduldet und im Stillen gehofft.


    Zitat Zitat von saxonia Beitrag anzeigen
    (...)
    **line hat leider nur ein Plesk eigenes standard Zertifikat in Verwendung,
    aber https leitet nur weiter auf eine leere Seite. "Überm Teich" gibt es auch nur ein redirect von https auf http.(...)
    Vielleicht ist es nur ein Reflex von Dir, es ist aber unnötig, "Andere" nicht beim Namen zu nennen. Hier im Forum gibt es, auch wenn Einzelne, die unbedingt immer wieder den Bogen überspannen und etwas anderes behaupten, keine Zensur und vor allem keine Nicht-Nennungs-Gebote. RCLine, RCGroups und wie sie alle heißen müssen nicht ge-***-t werden.

    Zitat Zitat von saxonia Beitrag anzeigen
    ps: im Sommer übrigens wird es dank Mozilla hoffentlich eine große Umwälzung im Bereich https geben
    Bekannt. Der Heise-Newsticker ist jetzt nicht gerade Speziallektüre.

    Zitat Zitat von saxonia Beitrag anzeigen
    pps: davon angesehen gibt es mittelfristig sowieso Handlungsbedarf: http://www.heise.de/newsticker/meldu...n-2631303.html
    Klar. Wird sich vermutlich ähnlich wie IPv6 ganz unterschiedlich schnell in verschiedenen Bereichen durchsetzen. Vor allem bei den ganzen Embedded Devices, wo es aktuell viele Hersteller noch nicht mal auf die Reihe kriegen, sichere Wartungsoberflächen bzw. Updatefunktionen zu programmieren bzw. nachträglich zu korrigieren.

    Zitat Zitat von saxonia Beitrag anzeigen
    Bei Hetzner, dem Hoster von RC-Network, gibt es SSL Zertifikate schon ab 44€/Jahr.
    Das wäre zumindest schon mal ein Anfang. Wie es dann im Backend von RC-Network aussieht, weiß nur der Verantworliche
    (...)
    Da Du in diesem Bereich arbeitest, hast Du sicherlich auch unsere Software- bzw. Hardwarebasis betrachtet und wirst mir sicherlich zustimmen, dass die komplette Absicherung der CDN-gestützten Architektur mit diesem Traffic nicht mal eben mit einem Zertifikat für eine Domain getan ist. Und sicherlich siehst Du es genauso, dass man zwar neue geplante Projekte bzw. Projekte mit sehr gut normalisierten Quelldaten sehr einfach und schnell gleich richtig starten oder auch umstellen kann, leider trifft das aber hier nicht zu; die Historie lässt sich nicht mal eben über Bord werfen.
    Es gibt nun mal Datenbestände aus mehr als einem Jahrzehnt und dazu noch viele Hardlinks auf externe Inhalte in "http", da kann man zwar den Schalter umlegen, wird aber dem User durch die stetigen Sicherheitswarnungen wegen unsicher eingebundenen Altdaten kaum einen Gefallen tun. Für mich sind unnötige und falsche Sicherheitswarnungen, die den User abstumpfen, eine weitaus größere Gefahr (Und Du kennst sicher auch die Fehlerbeschreibung: "Nee, hab' nur die Fehlermeldung weggeklickt, was weiß ich, was da drin stand...").

    Auch der kleine Weg, nur den Login per https durchzuführen, ist eine durchaus ehrenhafte Idee. In der Realität führt er aber bei unserem Forensystem kaum zu einem Sicherheitsgewinn, dafür aber deutlich mehr Fehleranfälligkeiten. Der Login per https kann den MITM unterbinden, stimmt. Der anschließende MITM mit Cookie-Klau ist aber nach wie vor möglich. Einziger Unterschied: Entweder hat man das Passwort oder halt "nur" eine Session, die aber trotzdem sehr, sehr lange offen gehalten werden kann.
    Darüber hinaus war auch hier vBulletin ohne https schon sehr früh sehr gut, indem das Login-Passwort vor dem Abschicken lokal im Browser per Javascript gehasht und erst dann an den Server übermittelt wird. Im Gegensatz dazu führt die Weiterleitung http/https/http vor allem bei Usern in einfacheren, älteren "sicheren" (Hotel-/Firmen-) Intranet-Umgebungen hin und wieder zu unlösbaren Login-Problemen, weil ggf. https-Seiten per se geblockt werden, da diese nicht "mal eben" auf Schadcode oder Kinderschutzfilter geprüft werden können. Inzwischen gibt es ja schlaue Geräte, die stattdessen selber Zertifikate vorschieben und sich zum perfekten MITM machen... ob das dann immer sicherer ist, sei mal dahingestellt (siehe auch oben meinen Kommentar zu Embedded Devices).


    tl;dr

    • Wer das selbe Passwort für verschiedene Dienste benutzt, dem wird auch nicht per https geholfen. Irgendwann werden immer irgendwo durch einen Exploit oder fahrlässig Logindaten in die falschen Hände geraten, man kann nur die möglichen Auswirkungen gering halten.
    • Ein Umstieg auf https ist sicherlich generell sinnvoll, aber nicht immer mit Bestandssystemen auch sinnvoll im Rahmen des Möglichen umsetzbar.
    • https stellt ein falsches Sicherheitsgefühl "nach Snowden" dar, solange nicht die CAs verantwortungsvoller agieren und CRLs besser implementiert werden.



    cu
    Herbert
    Like it!

  2. #17
    User
    Registriert seit
    18.07.2006
    Ort
    Schweiz
    Beiträge
    246
    Daumen erhalten
    0
    Daumen vergeben
    0
    0 Nicht erlaubt!

    Standard

    Mir ist diese Diskussion leidig.

    Solange rc-network das https Protokoll nicht unterstützt, und somit nicht einmal den Mindeststandard umsetzt, ist es unmöglich ein sicheres Passwort für rc-network festzulegen. Ich lehne hiermit jegliche Verantwortung für Meldungen ab, die unter meinem Namen getätigt werden, sollte einmal mein Account hier gekapert werden.

    Und ja, das ganze technische Geplänkel oben ist hier sowieso hinfällig (ich bin auch vom Fach, danke).
    Like it!

  3. #18
    User
    Registriert seit
    09.08.2005
    Ort
    Bad Wildbad
    Beiträge
    6.248
    Daumen erhalten
    244
    Daumen vergeben
    27
    0 Nicht erlaubt!

    Standard

    Hallo,

    Durch seitenlanges Passwortgelaber wird die Seite auch nicht sicher.
    Und wenn ihr das nicht hinbekommt hat RCN ein generelles Problem weil.

    Die Lektüre der aktuellen ct' bringt euch sicher weiter, falls es sooo schwierig ist.

    Gruß
    Onki
    Gruß aus dem Nordschwarzwald
    Rainer aka Onki
    Meine Homepage
    Like it!

  4. #19
    User Avatar von BZFrank
    Registriert seit
    28.12.2006
    Ort
    Metzingen
    Beiträge
    3.522
    Daumen erhalten
    323
    Daumen vergeben
    19
    0 Nicht erlaubt!

    Standard

    Zitat Zitat von onki Beitrag anzeigen
    Die Lektüre der aktuellen ct' bringt euch sicher weiter, falls es sooo schwierig ist.
    Den Hinweis findest du zielführend nachdem der Heise-Verlag (C't, IX, etc.) seine Seiten selbst nicht per HTTPS ausliefert?

    (Ok, zugegeben deren Anmeldung ist wenigstens secure)
    Like it!

  5. #20
    OV Avatar von Niklas Fischer
    Registriert seit
    02.06.2006
    Ort
    Niedersachsen
    Beiträge
    4.475
    Blog-Einträge
    13
    Daumen erhalten
    37
    Daumen vergeben
    35
    0 Nicht erlaubt!

    Standard

    Zitat Zitat von saxonia Beitrag anzeigen
    Bitte stellt zumindest das Login auf RC-Network auf eine https Verschlüsselung um.
    Saxonia
    Aktuell können wir das nicht.

    Zitat Zitat von saxonia Beitrag anzeigen
    Der Aufwand hält sich in Grenzen und wenn ihr nicht die Kapazitäten dafür zur Verfügung habt,
    helfe ich euch gerne dabei weiter, da ich in diesem Bereich arbeite.

    Viele Grüße,
    Saxonia
    Ich finde es sportlich von dir - gerade, wo du doch in dem Bereich arbeitest - beurteilen zu können, wie groß der Aufwand ist/wäre, ohne unsere Umgebung zu kennen.

    Richtig ist, dass wir aktuell tatsächlich keine Kapazitäten dafür haben, da jeder der nicht bei 3 auf dem Baum ist, am kommenden Update der Plattform beteiligt ist.
    Gerne komme ich nach dem Update auf dich zu und erkläre dir, warum wir bisher kein https haben. Wenn es mal eben gemacht wäre, hätten wir es schon. So viel sei mal sicher.
    Durch das Update werfen wir übrigens auch einiges an Altlast über Board, was zwar beim single-sign-on nichts ändert, aber zumindest einige "hacks" am vbulletin beseitigt.

    MfG, Nik
    Geändert von Niklas Fischer (17.11.2015 um 22:26 Uhr)
    Like it!

  6. #21
    User
    Registriert seit
    06.08.2007
    Ort
    Leipzig
    Beiträge
    129
    Daumen erhalten
    4
    Daumen vergeben
    14
    3 Nicht erlaubt!

    Frage 3 Jahre später, Let's Encrypt ist quasi Standard & kostenlos, nur RCN hängt hinterher

    Hallo RC-Network Admins,

    wie schaut es aus mit der Raketentechnik https?

    Nikolas Fischer schrieb im letzten Beitrag das "Aktuell können wir das nicht." (auf https umgestellen).
    Wie schaut es 3 Jahre später, aus wo wirklich jeden mit Let's encrypt eine zuverlässige, solide und dazu noch
    kostenlose Möglichkeit zur Verfügung steht, Webseiten zeitgemäß mit https zu verschlüsseln?

    Was sind die Argumente warum RC-Network immer noch kein https verwendet?

    Meine Frage ist nicht als "rant" gemeint sondern mich würden die tatsächlichen, technischen Hintergründe interessieren
    warum es bis heute nicht möglich war diese mittlerweile trivial gewordene Technk für das Foum zu integrieren.

    Hintergrund:

    - über die Börse werden Bankverbindungen und Anschriften ausgetauscht
    - Anmeldepasswörter werden mit Sicherheit von einigen Nutzern auch anderswo verwendet
    - DGSVO

    Im Backend ist übrigens das Add-CDN veraltet und es existieren exploits dafür.
    Verwendet wird das über 4 Jahre veraltete Revive Adserver v3.0.5 http://www.revive-adserver.com
    Aktuell ist Version v4.1.4. und ein Blick in die Security Advisories https://www.revive-adserver.com/security
    ist bisher keinem aufgefallen?

    PHP 5.5.9 SRLY? Es gibt 5 CVE mit "Risk Level" 10 von maximal 10

    Sicher würde es auch andere Nutzer freuen wenn zumindest ein Hauch von Fortschritt oder Aktualität Einzug ins Forum erhielte.

    Braucht ihr Hilfe? Gerne biete ich meine erneut an.

    Viele Grüße,
    Saxonia
    Like it!

  7. #22
    Moderator
    Akkus & Ladegeräte
    Rechtsfragen
    RC-Cars
    Avatar von Ulrich Horn
    Registriert seit
    03.04.2002
    Ort
    Zimmern ob Rottweil
    Beiträge
    7.691
    Blog-Einträge
    10
    Daumen erhalten
    53
    Daumen vergeben
    26
    0 Nicht erlaubt!

    Standard

    Hallo Saxonia,
    Braucht ihr Hilfe? Gerne biete ich meine erneut an.
    das habe ich jetzt notiert

    Grüße, Ulrich
    Like it!

  8. #23
    User
    Registriert seit
    13.08.2016
    Ort
    Schwäbische Alb
    Beiträge
    29
    Daumen erhalten
    3
    Daumen vergeben
    1
    1 Nicht erlaubt!

    Standard

    Hier tut sich anscheinend nichts mehr! Wird das nun ausgesessen?

    Nicht nur dass hier keine verschlüsselte Anmeldung möglich ist, was ich für wichtig halte,
    hier hat man auch keine Möglichkeit das was man mal zum Verkauf angeboten hat und verkauft wurde zu löschen.
    Das wandert für Jahre ins Archiv! Das hat da eigentlich nichts mehr zu suchen, es müsste dem User schon möglich sein dies
    zu löschen, so wie bei Ebay es auch möglich ist.

    Ich habe das schon mal angefragt und folgende Antwort bekommen.:


    "Hallo!

    Es tut mir leid, aber bei uns ist ein Löschung nicht möglich.
    Grundsätzlich werden alle Beiträge archiviert, egal ob es Fachbeiträge sind oder Verkaufsanzeigen. Unsere Rahmen und Nutzungsbedingungen sehen das halt so vor und wir haben unsere Gründe, warum wir danach verfahren.

    Gruß
    Arno Wetzel
    RCN-Registratur"


    Nicht zufriedenstellend!
    Und ob das alles dem Datenschutz entspricht, wage ich zu bezweifeln.
    Schön, dass es so eine Plattform gibt aber man sollte sich dann auch darum Kümmern und
    wenn einer schon seine Hilfe anbietet, warum nimmt man diese nicht an, wenn man es selber nicht hinbekommt?
    Gruß Alexander
    Like it!

  9. #24
    Vereinsmitglied Avatar von Thomas Ebert
    Registriert seit
    09.06.2005
    Ort
    EDTG
    Beiträge
    2.224
    Daumen erhalten
    85
    Daumen vergeben
    184
    0 Nicht erlaubt!

    Standard

    Zitat Zitat von Alexander G. Beitrag anzeigen
    hier hat man auch keine Möglichkeit das was man mal zum Verkauf angeboten hat und verkauft wurde zu löschen.
    Das wandert für Jahre ins Archiv! Das hat da eigentlich nichts mehr zu suchen, es müsste dem User schon möglich sein dies
    zu löschen, so wie bei Ebay es auch möglich ist.
    An den Gründen warum Börsenangebote grundsätzlich stehen bleiben hat sich nichts geändert, und die wurden auch schon öfter genannt:
    1. Kann man sehen, für welche Preise bestimmte Artikel verkauft wurden. Durch das Elefantengedächtnis funktioniert das auch für sehr selten gehandelte Dinge. Und das ist ein Mehrwert für Alle im Sinne des Grundgedanken des Forums.
    2. Gewerbliche Anzeigen in der Börse sind nicht erlaubt. Wir haben aber ziemlich viele User mit sehr(!) wenigen Forumsbeiträgen aber so vielen Verkaufsangeboten, dass zumindest das Finanzamt gewerblichen Charakter vermuten könnte. Warum sollten wir die durch Löschung schützen, und damit unter Umständen Beihilfe zur Steuerhinterziehung leisten?
    Gruß, Thomas
    Schwarmintelligenz lässt sich berechnen: 1/IQ(Ges) = 1/IQ(1) + 1/IQ(2) + ... + 1/IQ(n)
    Jeder Blick auf das aktuelle Weltgeschehen bestätigt die Formel
    Like it!

  10. #25
    User
    Registriert seit
    13.08.2016
    Ort
    Schwäbische Alb
    Beiträge
    29
    Daumen erhalten
    3
    Daumen vergeben
    1
    1 Nicht erlaubt!

    Standard

    Zitat Zitat von Thomas Ebert Beitrag anzeigen
    An den Gründen warum Börsenangebote grundsätzlich stehen bleiben hat sich nichts geändert, und die wurden auch schon öfter genannt:
    Wir haben aber ziemlich viele User mit sehr(!) wenigen Forumsbeiträgen aber so vielen Verkaufsangeboten, dass zumindest das Finanzamt gewerblichen Charakter vermuten könnte. Warum sollten wir die durch Löschung schützen, und damit unter Umständen Beihilfe zur Steuerhinterziehung leisten?
    Na ihr seid ja so Moralapostel!
    Wenn du doch einen Verdacht hast, dass hier einer Gewerblich verkauft und am Fiskus vorbei, warum machst du dann keine Anzeige?
    Wenn das der Grund ist, dass man Angebote nicht löschen kann!?

    Ich lasse das gerade überprüfen, in wie weit ihr Daten speichern dürft und ob ihr auf Verlangen nicht mehr gültigen Angebote aus dem Archiv löschen müsst.

    Ach ja, die Gründe, warum Börsenangebote grundsätzlich stehen bleiben, wo kann ich die nachlesen?
    Gruß Alexander
    Like it!

  11. #26
    Vereinsmitglied Avatar von Thomas Ebert
    Registriert seit
    09.06.2005
    Ort
    EDTG
    Beiträge
    2.224
    Daumen erhalten
    85
    Daumen vergeben
    184
    1 Nicht erlaubt!

    Standard

    Das wichtigere 1. Argument, das für den gesamten Forumsinhalt gilt, übergehst Du einfach?
    Und warum sollte ich die Suchfunktion für Dich bemühen?
    Andere Frage: Hast Du das Einverständnis von Arno, seine Mail/PN an Dich zu veröffentlichen?
    Den Link zu den Nutzungsregeln findest Du ganz unten auf der Seite.
    Gruß, Thomas
    Schwarmintelligenz lässt sich berechnen: 1/IQ(Ges) = 1/IQ(1) + 1/IQ(2) + ... + 1/IQ(n)
    Jeder Blick auf das aktuelle Weltgeschehen bestätigt die Formel
    Like it!

  12. #27
    User Avatar von alfatreiber
    Registriert seit
    29.05.2011
    Ort
    Oberösterreich
    Beiträge
    3.091
    Daumen erhalten
    216
    Daumen vergeben
    379
    1 Nicht erlaubt!

    Standard

    Zitat Zitat von Alexander G. Beitrag anzeigen
    Na ihr seid ja so Moralapostel!
    Und immer wieder wird die Suppe aufgewärmt!

    Melde dich einfach von RCN ab und jedem ist geholfen!

    Es zwingt dich keiner, hier einen Account zu haben!
    Grüsse Robert
    MC20/HoTT, MC15, TT- Helis und ein paar Flieger!
    Like it!

  13. #28
    User
    Registriert seit
    13.08.2016
    Ort
    Schwäbische Alb
    Beiträge
    29
    Daumen erhalten
    3
    Daumen vergeben
    1
    1 Nicht erlaubt!

    Standard

    Zitat Zitat von alfatreiber Beitrag anzeigen
    Und immer wieder wird die Suppe aufgewärmt!

    Melde dich einfach von RCN ab und jedem ist geholfen!

    Es zwingt dich keiner, hier einen Account zu haben!
    Die Antwort kannst du dir auch sparen, dich zwingt ja auch niemand das zu lesen!
    Wenn man hier etwas kritisiert, dann wird man gleich aufgefordert seinen Account zu löschen!
    Wusste nicht, dass man seine Meinung hier nicht sagen darf!
    Gruß Alexander
    Like it!

  14. #29
    User Avatar von airshow
    Registriert seit
    05.08.2009
    Ort
    Karlstadt, D
    Beiträge
    125
    Daumen erhalten
    9
    Daumen vergeben
    4
    1 Nicht erlaubt!

    Standard

    Zitat Zitat von alfatreiber Beitrag anzeigen
    Und immer wieder wird die Suppe aufgewärmt!

    Melde dich einfach von RCN ab und jedem ist geholfen!

    Es zwingt dich keiner, hier einen Account zu haben!
    Du sprichst mir aus der Seele. Wenn es jemanden nicht gefällt, muß er auch hier nicht "unterwegs" sein. Seid doch froh ein so gutes Forum zu haben.
    mit freundlichen Grüßen Walter
    Like it!

  15. #30
    User Avatar von postler
    Registriert seit
    29.06.2005
    Ort
    49439
    Beiträge
    254
    Daumen erhalten
    16
    Daumen vergeben
    37
    0 Nicht erlaubt!

    Standard

    Hallo, natürlich darf Jeder seine Meinung posten!

    Du scheinst aber noch einiges mehr zu veranstalten...

    Zitat Zitat von Alexander G. Beitrag anzeigen
    ....
    Ich lasse das gerade überprüfen, in wie weit ihr Daten speichern dürft und ob ihr auf Verlangen nicht mehr gültigen Angebote aus dem Archiv löschen müsst.
    ...

    Gruß Heinrich

    PS: mir ist lieber ich weiß, was von meinem Geschriebenen gespeichert wird (und kann es ggf. nachlesen); als das es heimlich ohne mein Wissen geschieht (einmal Google-Suche und 1 Jahr passende Werbung dazu auf dem Bildschirm...)
    Like it!

Seite 2 von 3 ErsteErste 123 LetzteLetzte

Ähnliche Themen

  1. Warum ist für mich trotz Anmeldung im Forum die Antwortfunktion deaktiviert?
    Von Octavian im Forum Fragen zum FORUM, WIKI, GRUPPEN und BLOGS
    Antworten: 7
    Letzter Beitrag: 02.02.2014, 21:23
  2. Wann gibt´s eine neue Software (V.18) für die Graupner MC 20?
    Von Bruchvogel im Forum Fernsteuerungstechnik
    Antworten: 7
    Letzter Beitrag: 24.03.2013, 19:42
  3. Die Anmeldung für Siziano läuft.
    Von Achim Kaiser im Forum F3D Pylonrennen mit Verbrennungsmotor
    Antworten: 0
    Letzter Beitrag: 21.04.2011, 20:21
  4. Wann erscheint die neue Firmware für die Royal EVO?
    Von Nowawes im Forum Fernsteuerungstechnik
    Antworten: 4
    Letzter Beitrag: 27.07.2006, 15:04
  5. Antworten: 2
    Letzter Beitrag: 05.11.2005, 10:04

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •