Wann gibt es https zumindest für die Anmeldung im Forum?

Liebe Moderatoren und Amdin(s),

Leider erfolgt das login bei RC-Network immer noch nicht über eine verschlüsselte Verbindung mit https.
Wann gedenkt ihr dieses wichtige Feature endlich zu implementieren?

Seit die Erkenntnisse eines gewissen Herrn Snowden eigentlich schon seit zwei Jahren auch einem nicht so (Internet)technikaffinen Modellbauer und RC-Networknutzer klar gemacht haben sollten, dass alles(!) was über das Internet versendet wird mitgeschnitten wird, finde ich wäre es an der Zeit
das dieses wichtige Feature auch hier Einzug erhält.

Alle Passwörter werden unverschlüsselt übertragen.
Alle Passwörter werden ohne Wissen der ahnungslosen Nutzer von "anderen Diensten" gespeichert.
Diese Passwörter werden von den Nutzern vielleicht in gleicher Form bei anderen Logins verwendet
und diese Logins sind damit kompromitiert.
Sollten bei anderen Logins andere Passwörter verwendet werden, sind diese trotzdem gefährdet,
da bekannte Passwörter für eine Mustererkennung genutzt werden.

Bitte stellt zumindest das Login auf RC-Network auf eine https Verschlüsselung um.
Der Aufwand hält sich in Grenzen und wenn ihr nicht die Kapazitäten dafür zur Verfügung habt,
helfe ich euch gerne dabei weiter, da ich in diesem Bereich arbeite.

Viele Grüße,
Saxonia
 
Zuletzt bearbeitet:
Betroffenes Schweigen...

Betroffenes Schweigen...

und Aussitzen wie "Mutti"? Also eine kleine Regung in Form einer kurzen Antwort bei sovielen Clicks des Threads fände ich schon angebracht.:rolleyes:

Saxonia
 

Ulrich Horn

Moderator
Teammitglied
Moin,

wir werden uns das schon noch anschauen. Aber an einem langen Wochenende wie jetzt kann es auch mal sein, dass die zuständigen Gremien zum Beispiel beim Fliegen sind.
Also bitte nicht ganz so ungeduldig. In einem Verein wie RC-Network müssen solche Dinge besprochen werden, und das dauert seine Zeit.

Grüße, Ulrich Horn
 
to be continued...

to be continued...

Hallo Ulrich,

danke für deine Antwort. Und ja: ich war ja auch fliegen - wer kann denn nicht bei diesem Wetter. ;)

Immer noch wundert mich warum der technische Sicherheitsstand von RC-Network aber auch "im Nachbaruniversum"
im Zeitalter von vor mehr als 10 stehen geblieben ist. **line hat leider nur ein Plesk eigenes standard Zertifikat in Verwendung,
aber https leitet nur weiter auf eine leere Seite. "Überm Teich" gibt es auch nur ein redirect von https auf http.
Hier soll der "große Bruder" aber nicht als Maßstab für "state of the art" verstanden werden was machbar ist
und vernünftigerweise überall anderswo besser gemacht wird.

Bei Hetzner, dem Hoster von RC-Network, gibt es SSL Zertifikate schon ab 44€/Jahr.
Das wäre zumindest schon mal ein Anfang. Wie es dann im Backend von RC-Network aussieht, weiß nur der Verantworliche
und ich hoffe, dass er sorgsam mit den Passwörtern umgeht, sprich Hashwerte statt plaintextpasses, Salz und das übliche
Gerümpel für die Sicherheit der Passwörter verwendet um selbst beim "Einbruch oder Klau" der passwd tables diese nicht zu exponieren.

Wir sind gespannt ob oder was sich nun bewegen wird.

Saxonia

ps: im Sommer übrigens wird es dank Mozilla hoffentlich eine große Umwälzung im Bereich https geben:
pps: davon angesehen gibt es mittelfristig sowieso Handlungsbedarf: http://www.heise.de/newsticker/meldung/Mozilla-will-HTTP-ausrangieren-2631303.html
 

.Claus

User
Verstehe die Panik nicht, ist doch nur ein Forum :rolleyes:
Ich verwende hier ein eigenes, einfaches Passwort und gut ist es.
Hier sind keine Sicherheitsrelevanten Daten, das Forum ist öffentlich, wo ist das Problem?
Wenn ich natürlich mich hier mit meinem Online Banking Passwort anmelde bin ich selber schuld :D

Die NSA, BND und wie sie alle heißen lesen eh mit, verschlüsselt oder nicht :mad:
 
Für NSA, BND und Co. ist das Geschreibsel hier völlig irrelevant.

Für die vielen zigtausend Hacker und Cyberkriminellen jedoch, die weltweit ständig auf der Suche nach Passwörtern sind, ist die fehlende Verschlüsselung von RCN eine Offenbarung.

Solange dies hier nicht implementiert ist, empfehle ich jedem RCN user, hier ein Passwort einzurichten was nirgendwo sonst verwendet wird.

Gruß Stephan
 

Claus Eckert

Moderator
Teammitglied
Hallo Stephan

Was meinst Du mit "fehlender Verschlüsselung"?
 
Er meint ziemlich sicher die fehlende Verschlüsselung der http-Kommunikation - eben das fehlende https.

Dass es in der DB letztlich verschlüsselt landet nützt ja nix, wenn es einer MITM-Attacke einfach so ausgesetzt ist.

Ich frage diejenigen, die Verschlüsselung für wichtig erachten jeweils, wieso die NSA eigentlich so blöd sein soll, erst bei der Datenübermittlung anzusetzen, hat doch ein US-Unternehmen wie Microsoft, Apple oder Google wohl ihr Betriebssystem programmiert oder im Fall von Intel / AMD den Prozessor hergestellt. Da kann doch einfachst bereits weit vorher mitgehört werden ;)
 

Claus Eckert

Moderator
Teammitglied
Hallo Raphael

MITM-Attacken setzen aber beim User im dortigen Netzwerk oder eben auf dem Transportweg an. Da allerdings weniger von Hackern. Denn denen fehlen die Netz-Zugangsmöglichkeiten der Geheimdienste. Tja und da stellt sich die Frage wie sicher https-Verbindungen denn tatsächlich sind. Sicher erschweren sie massiv das reine Lauschen. Aber absolute Sicherheit? Wo werden die Zertifikate gleich wieder ausgestellt? :cry:
Dem Interessierten hilft es, mal nach Bullrun und Edgehill zu googeln.
 
Zuletzt bearbeitet:

guckux

Vereinsmitglied, Seniorenbeauftragter
Guckux Saxonia

Leider erfolgt das login bei RC-Network immer noch nicht über eine verschlüsselte Verbindung mit https.
Wann gedenkt ihr dieses wichtige Feature endlich zu implementieren?

Bei der Verfolgung dieser Diskussion stellt sich mir die Frage, was man will...?
Dem User eine scheinbare Sicherheit geben?
Wäre es nicht sinnvoller, den internet-Führerschein einzuführen, so daß nur noch Wissende um die Gefahren und die Technik, dem Umgang damit etc. das internet nutzen? Hier wurden viele einfache und grundsätzliche wichtige Vorgehensweisen genannt, wie man sicherheitsbewußt sich im internet bewegen soll.
https - für ein öffentliches Forum - wird hier überbewertet, hier gibt es nix Geheimes, keine Bankverbindung, keine Geschäftsvorgänge, keine Zahlungsvorgänge etc.
 
Zuletzt bearbeitet:
Sehe ich genauso.
Mir ist kein Hobbyforum bekannt welches https verwendet.
RCN ist nicht besser oder schlechter als andere.

Es ist immer eine Abwägung des potentiellen Schadens durch Cyberkriminelle.
"große Foren" wie Twitter oder Facebook verwenden https. Mit einem in einem dubiosen Wlan hotspot abgefangenen Twitter Passwort kann man eine Menge übler Dinge anrichten. In einer vergleichsweise kleinen und ständig moderierten community wie ein Modellbauforum sind die Gefahren dass da jemand unter deinem Namen zB illegale Inhalte verbreitet eher gering.

Außerdem sollte das Passwort im Forum natürlich ein anderes als das vom Online Banking, Facebook, Amazon, etc
sein. Das ist ja selbstverständlich, oder? ;)
Gruß Stephan
 

Claus Eckert

Moderator
Teammitglied
BTW:
Zumindest hat die Diskussion bei mir dazu geführt diverse Passworte in verschiedensten Systemen zu ändern. ;)
Was in der Arbeit automatisch geschieht, ist privat eher dem Zufall überlassen.
 

Maistaucher

Vereinsmitglied, Offizieller 1. Avatarbeauftragter

Claus Eckert

Moderator
Teammitglied
Nee mein Lieber. Die sind überall anders. Mit denen in der Arbeit sind es momentan zweiunddreißig. Irgendwas muss man sich ja merken können. :D
 

guckux

Vereinsmitglied, Seniorenbeauftragter
Guckux Maisi

Das bedeutet, du hast jetzt überall das gleiche?
Mache ich auch so. Ansonsten kann sich das doch kein Mensch merken...

ich kann Dir keepass empfehlen - gibt's auch für schmartphones :) - und austauschkompatibel... (Schmartphone-DB mit PC-DB)
 

Herbert Stammler

Vereinsmitglied
Teammitglied
Moin moin,


Leider erfolgt das login bei RC-Network immer noch nicht über eine verschlüsselte Verbindung mit https.
Wann gedenkt ihr dieses wichtige Feature endlich zu implementieren?
Seit die Erkenntnisse eines gewissen Herrn Snowden eigentlich schon seit zwei Jahren(...)

und Aussitzen wie "Mutti"? Also eine kleine Regung in Form einer kurzen Antwort bei sovielen Clicks des Threads fände ich schon angebracht.:rolleyes:

Tja... ich würde umgekehrt sagen: für das Wetter und die Feiertags-/Brückentagssituation rund um Deine Posts gab es schon recht ordentliche Hits innerhalb eines Tages. ;)
Trotzdem kann ich nicht erkennen, woher Du eine Dringlichkeit für eine kurzfristige Antwort ableitest. Immerhin bist Du mit Deiner Frage, wie Du selbst anmerkst, etwa zwei Jahre abzüglich einer angemessenen Reaktionszeit zu spät dran:
Entweder hat RCN seit zwei Jahren nichts mitgekriegt (die Forensuche fördert ja "nur" eine zweistellige Zahl von Threads mit dem Stichwort zu Tage), wird also von Deiner Nachfrage kalt erwischt und stellt innerhalb eines (sonnigen Feier-)Tages sofort durch Umlegen des einen großen Schalters alles auf "super extra sicher" um.
Oder RCN hat sich schon vor zwei Jahren Gedanken gemacht und für einen Weg entschieden, es Dir persönlich aber nicht mitgeteilt und Du hast Dich in der ganzen Zeit verdammt lange wie "Mutti" geduldet und im Stillen gehofft. :rolleyes:


(...)
**line hat leider nur ein Plesk eigenes standard Zertifikat in Verwendung,
aber https leitet nur weiter auf eine leere Seite. "Überm Teich" gibt es auch nur ein redirect von https auf http.(...)

Vielleicht ist es nur ein Reflex von Dir, es ist aber unnötig, "Andere" nicht beim Namen zu nennen. Hier im Forum gibt es, auch wenn Einzelne, die unbedingt immer wieder den Bogen überspannen und etwas anderes behaupten, keine Zensur und vor allem keine Nicht-Nennungs-Gebote. RCLine, RCGroups und wie sie alle heißen müssen nicht ge-***-t werden.

ps: im Sommer übrigens wird es dank Mozilla hoffentlich eine große Umwälzung im Bereich https geben
Bekannt. Der Heise-Newsticker ist jetzt nicht gerade Speziallektüre. ;)

Klar. Wird sich vermutlich ähnlich wie IPv6 ganz unterschiedlich schnell in verschiedenen Bereichen durchsetzen. Vor allem bei den ganzen Embedded Devices, wo es aktuell viele Hersteller noch nicht mal auf die Reihe kriegen, sichere Wartungsoberflächen bzw. Updatefunktionen zu programmieren bzw. nachträglich zu korrigieren.

Bei Hetzner, dem Hoster von RC-Network, gibt es SSL Zertifikate schon ab 44€/Jahr.
Das wäre zumindest schon mal ein Anfang. Wie es dann im Backend von RC-Network aussieht, weiß nur der Verantworliche
(...)
Da Du in diesem Bereich arbeitest, hast Du sicherlich auch unsere Software- bzw. Hardwarebasis betrachtet und wirst mir sicherlich zustimmen, dass die komplette Absicherung der CDN-gestützten Architektur mit diesem Traffic nicht mal eben mit einem Zertifikat für eine Domain getan ist. Und sicherlich siehst Du es genauso, dass man zwar neue geplante Projekte bzw. Projekte mit sehr gut normalisierten Quelldaten sehr einfach und schnell gleich richtig starten oder auch umstellen kann, leider trifft das aber hier nicht zu; die Historie lässt sich nicht mal eben über Bord werfen.
Es gibt nun mal Datenbestände aus mehr als einem Jahrzehnt und dazu noch viele Hardlinks auf externe Inhalte in "http", da kann man zwar den Schalter umlegen, wird aber dem User durch die stetigen Sicherheitswarnungen wegen unsicher eingebundenen Altdaten kaum einen Gefallen tun. Für mich sind unnötige und falsche Sicherheitswarnungen, die den User abstumpfen, eine weitaus größere Gefahr (Und Du kennst sicher auch die Fehlerbeschreibung: "Nee, hab' nur die Fehlermeldung weggeklickt, was weiß ich, was da drin stand...").

Auch der kleine Weg, nur den Login per https durchzuführen, ist eine durchaus ehrenhafte Idee. In der Realität führt er aber bei unserem Forensystem kaum zu einem Sicherheitsgewinn, dafür aber deutlich mehr Fehleranfälligkeiten. Der Login per https kann den MITM unterbinden, stimmt. Der anschließende MITM mit Cookie-Klau ist aber nach wie vor möglich. Einziger Unterschied: Entweder hat man das Passwort oder halt "nur" eine Session, die aber trotzdem sehr, sehr lange offen gehalten werden kann.
Darüber hinaus war auch hier vBulletin ohne https schon sehr früh sehr gut, indem das Login-Passwort vor dem Abschicken lokal im Browser per Javascript gehasht und erst dann an den Server übermittelt wird. Im Gegensatz dazu führt die Weiterleitung http/https/http vor allem bei Usern in einfacheren, älteren "sicheren" (Hotel-/Firmen-) Intranet-Umgebungen hin und wieder zu unlösbaren Login-Problemen, weil ggf. https-Seiten per se geblockt werden, da diese nicht "mal eben" auf Schadcode oder Kinderschutzfilter geprüft werden können. Inzwischen gibt es ja schlaue Geräte, die stattdessen selber Zertifikate vorschieben und sich zum perfekten MITM machen... ob das dann immer sicherer ist, sei mal dahingestellt (siehe auch oben meinen Kommentar zu Embedded Devices).


tl;dr

  • Wer das selbe Passwort für verschiedene Dienste benutzt, dem wird auch nicht per https geholfen. Irgendwann werden immer irgendwo durch einen Exploit oder fahrlässig Logindaten in die falschen Hände geraten, man kann nur die möglichen Auswirkungen gering halten.
  • Ein Umstieg auf https ist sicherlich generell sinnvoll, aber nicht immer mit Bestandssystemen auch sinnvoll im Rahmen des Möglichen umsetzbar.
  • https stellt ein falsches Sicherheitsgefühl "nach Snowden" dar, solange nicht die CAs verantwortungsvoller agieren und CRLs besser implementiert werden.


cu
Herbert
 
Mir ist diese Diskussion leidig.

Solange rc-network das https Protokoll nicht unterstützt, und somit nicht einmal den Mindeststandard umsetzt, ist es unmöglich ein sicheres Passwort für rc-network festzulegen. Ich lehne hiermit jegliche Verantwortung für Meldungen ab, die unter meinem Namen getätigt werden, sollte einmal mein Account hier gekapert werden.

Und ja, das ganze technische Geplänkel oben ist hier sowieso hinfällig (ich bin auch vom Fach, danke).
 

onki

User
Hallo,

Durch seitenlanges Passwortgelaber wird die Seite auch nicht sicher.
Und wenn ihr das nicht hinbekommt hat RCN ein generelles Problem weil.

Die Lektüre der aktuellen ct' bringt euch sicher weiter, falls es sooo schwierig ist.

Gruß
Onki
 

BZFrank

User
Die Lektüre der aktuellen ct' bringt euch sicher weiter, falls es sooo schwierig ist.

Den Hinweis findest du zielführend nachdem der Heise-Verlag (C't, IX, etc.) seine Seiten selbst nicht per HTTPS ausliefert? ;)

(Ok, zugegeben deren Anmeldung ist wenigstens secure)
 
Bitte stellt zumindest das Login auf RC-Network auf eine https Verschlüsselung um.
Saxonia

Aktuell können wir das nicht.

Der Aufwand hält sich in Grenzen und wenn ihr nicht die Kapazitäten dafür zur Verfügung habt,
helfe ich euch gerne dabei weiter, da ich in diesem Bereich arbeite.

Viele Grüße,
Saxonia

Ich finde es sportlich von dir - gerade, wo du doch in dem Bereich arbeitest - beurteilen zu können, wie groß der Aufwand ist/wäre, ohne unsere Umgebung zu kennen.

Richtig ist, dass wir aktuell tatsächlich keine Kapazitäten dafür haben, da jeder der nicht bei 3 auf dem Baum ist, am kommenden Update der Plattform beteiligt ist.
Gerne komme ich nach dem Update auf dich zu und erkläre dir, warum wir bisher kein https haben. Wenn es mal eben gemacht wäre, hätten wir es schon. So viel sei mal sicher.
Durch das Update werfen wir übrigens auch einiges an Altlast über Board, was zwar beim single-sign-on nichts ändert, aber zumindest einige "hacks" am vbulletin beseitigt.

MfG, Nik
 
Zuletzt bearbeitet:
Ansicht hell / dunkel umschalten
Oben Unten