Deutscher Hanfverband Forum

Habe gerade seit meiner Erstanmeldung hier in den beiden Anmelde-Kästchen das erste Mal die Anzeige "diese Verbindung ist nicht sicher" angezeigt bekommen.

Die letzte Aktualisierung vom Norton etc. liegt schon etwas zurück, an was kann es also dann liegen?
War die Verbindung früher auch unsicher?

Ideen?

Hallo Aurora.

Die Anzeige "Verbindung ist nicht sicher" bekommst Du immer dann angezeigt, wenn eine Verbindung rein über "http" und nicht "https" läuft. Das "s" steht dabei für "secure", also eine sichere http Verbindung mit Serverzertifikat. So was kostet zwischen 20 und 100 € pro Jahr, je nach Gewährleistungsanspruch.

Das wird hier schon immer so gewesen sein. Letztlich bedeutet es, daß Deine Zugangsdaten "abgehört" werden könnten, mit einer sogenannten "man in the middle" Attacke. Das ist aber nicht ganz einfach und lohnt den Aufwand für ein paar Zugangsdaten auf einem privat betriebenen Server eher nicht.

Trotzdem könnte man im dem Bereich mal ein paar Euro investieren und den Benutzern des Forums ein wenig mehr Sicherheit bieten.

Gruß, Martin

Martin Mainz hat geschrieben:Hallo Aurora.

Die Anzeige "Verbindung ist nicht sicher" bekommst Du immer dann angezeigt, wenn eine Verbindung rein über "http" und nicht "https" läuft. Das "s" steht dabei für "secure", also eine sichere http Verbindung mit Serverzertifikat. So was kostet zwischen 20 und 100 € pro Jahr, je nach Gewährleistungsanspruch.

Das wird hier schon immer so gewesen sein. Letztlich bedeutet es, daß Deine Zugangsdaten "abgehört" werden könnten, mit einer sogenannten "man in the middle" Attacke. Das ist aber nicht ganz einfach und lohnt den Aufwand für ein paar Zugangsdaten auf einem privat betriebenen Server eher nicht.

Trotzdem könnte man im dem Bereich mal ein paar Euro investieren und den Benutzern des Forums ein wenig mehr Sicherheit bieten.

Gruß, Martin

Sehr schön erklärt! Als Ergänzung vielleicht noch:
Es bedeutet, dass wenn eine Seite ohne S (= http) gehackt wird (ist garnicht so schwer), dann kann der Eindringling jede Tastatureingabe der Nutzer unverschlüsselt mitlesen, was besonders bei PW und PINs von Bedeutung ist. Denn hier bekommt der Eindringling nicht deine Sternchen aus dem Eingabefeld, sondern die Buchstaben und Zahlen in Klarschrift.

Ein https Zertifikat gibt es mittlerweile auch KOSTENLOS bei letsencrypt.org. Daher sollte jede Webseite mit Passworteingabe dieses Mindestmaß an Sicherheit m.E. erfüllen, um Privatsphäre zu gewährleisten.

Als Faustregel: Auf http Seiten im Allgemeinen NIE ein Passwort oder eure vertraulichen Daten eingeben.

cmuede hat geschrieben:Ein https Zertifikat gibt es mittlerweile auch KOSTENLOS bei letsencrypt.org. Daher sollte jede Webseite mit Passworteingabe dieses Mindestmaß an Sicherheit m.E. erfüllen, um Privatsphäre zu gewährleisten.

Als Faustregel: Auf http Seiten im Allgemeinen NIE ein Passwort oder eure vertraulichen Daten eingeben.

Ersteres läßt nicht jeder Provider zu (die verdienen da auch dran)
Zweiteres ist schwierig, weil man sich nun mal am Forum anmelden muss.

[Edit]PS: No Planned Support for HostEurope.de (via email reply from customer support; LetsEncrypt can be installed manually, but not recommended) - wird vom Hoster des Forums nicht unterstützt.

Martin Mainz hat geschrieben:

cmuede hat geschrieben:Ein https Zertifikat gibt es mittlerweile auch KOSTENLOS bei letsencrypt.org. Daher sollte jede Webseite mit Passworteingabe dieses Mindestmaß an Sicherheit m.E. erfüllen, um Privatsphäre zu gewährleisten.

Als Faustregel: Auf http Seiten im Allgemeinen NIE ein Passwort oder eure vertraulichen Daten eingeben.

Ersteres läßt nicht jeder Provider zu (die verdienen da auch dran)
Zweiteres ist schwierig, weil man sich nun mal am Forum anmelden muss.

[Edit]PS: No Planned Support for HostEurope.de (via email reply from customer support; LetsEncrypt can be installed manually, but not recommended) - wird vom Hoster des Forums nicht unterstützt.

Ah Ok. Kundenorientiert ist der Kundenservice von Host Europe definitiv nicht! Hoffe die machen nicht Ihr Gros an Einnahmen von SSL Zertifikaten, sonst sind die bald weg vom Fenster.

Verstehe den DHV natürlich seine Gelder sinnvoll anzulegen.
Wobei ich mich etwas unwohler fühle, wenn ich weiß das hier quasi jeder ohne Mitgliedschaft rumgeistern kann oder ob die Autoren wirklich die echten Urheber von Beiträgen sind.

Letsencrypt ist sowohl im automatischen als auch im manuellen Modus super leicht zu bedienen ist. Hier eine Anleitung.
http://andydunkel.net/webseiten/compute ... urope.html

Ich biete meine Hilfe auch gerne an, wenn es nicht auf Anhieb klappt.

cmuede hat geschrieben:Wobei ich mich etwas unwohler fühle, wenn ich weiß das hier quasi jeder ohne Mitgliedschaft rumgeistern kann oder ob die Autoren wirklich die echten Urheber von Beiträgen sind.

Letsencrypt ist sowohl im automatischen als auch im manuellen Modus super leicht zu bedienen ist. Hier eine Anleitung.
http://andydunkel.net/webseiten/compute ... urope.html

Ich biete meine Hilfe auch gerne an, wenn es nicht auf Anhieb klappt.

"Rumgeistern" - das Forum ist in den meisten Bereichen öffentlich zugänglich, auch ohne Anmeldung. Das ist so gewollt. Daran wird auch eine Verschlüsselung nichts ändern. Schreiben können nur angemeldete Benutzer.

Das Problem bei der manuellen Installation von LE ist das händische Updaten bis zu vier mal im Jahr. Den automatischen Update gibts nur, wenn der Provider das Format unterstützt.

Was das sinnvolle Anlegen von Geld angeht, erachte ich ein Zertifikat durchaus als sinnvoll investiert.
Ich hab Florian angeschrieben, daß er sich mal damit beschäftigt.

Gruß, Martin


PS: Und so simpel ist das Abgreifen der Daten nicht. Dazu bräuchte man Zugriff auf die Infrastruktur des Providers. Allerdings könnte der Provider selbst oder einer der dortigen Administratoren sich diese Daten ohne viel Aufwand beschaffen, wenn nur http benutzt wird, das stimmt. https ist aber auch kein Allheilmittel gegen Trojaner auf dem eigenen Rechner und die Gefahr ist viel höher als eine "man in the middle"-Attacke. Nur mal so am Rande.

Schreiben können nur angemeldete Benutzer.
--> Gut. Wenn sich jemand Nutzeranmeldedaten auf diese Weise erschleicht und in dessen Namen postet ist zwar doof, aber das merkt der eigentliche Nutzer hoffentlich und korrigiert es.
Bei PN wird es dann schon kritischer, wenn jemand sich so Logindaten verschafft hat.

Das Problem bei der manuellen Installation von LE ist das händische Updaten bis zu vier mal im Jahr. Den automatischen Update gibts nur, wenn der Provider das Format unterstützt.
--> alle drei Monate muss man LE updaten, korrekt. Trotzdem schicken die auch im manuellen Modus Erinnerungsmails, sodass ich bei selbsgehosten Google und 1und1 Serverinstanzen alle drei Monate 5 Min Arbeit habe.

Was das sinnvolle Anlegen von Geld angeht, erachte ich ein Zertifikat durchaus als sinnvoll investiert.
Ich hab Florian angeschrieben, daß er sich mal damit beschäftigt.
--> Vielen lieben Dank Martin

https ist aber auch kein Allheilmittel gegen Trojaner auf dem eigenen Rechner und die Gefahr ist viel höher als eine "man in the middle"-Attacke. Nur mal so am Rande.
--> Natürlich nicht. Jeder kann nur so viel tun, wie in seinem Zuständigkeitsbereich liegt. Man sollte aber nicht nachlässig mit Privatsphäre umgehen, vor allem wenn der Aufwand circa 20 Minuten im Jahr (=4 x Manuell LE Zertifikat erneuern) oder 2,99 pro Monat für das Zertifikat von hosteurope, wenn es denn sein muss.

Ohne Sicherheit keine adäquate Privatsphäre. und was die großen können, kann der DHV auch auf smarte Weise kostengünstig finde ich. Spricht nur für euch und danke, dass wir drüber sprechen konnten.

Okay, dann weiss ich jetzt etwas mehr, sofern ich es verstanden habe.

In dem Zusammenhang ein anderes Problem :

Was bei mir noch nie geklappt hat, ist mich dauerhaft einzuloggen. Das Häkchen bei der Anmeldung wird vom System? schlichtweg ignoriert.

Meist liegt es daran, dass entweder dein Browser bei jedem Schließen deine Surfeinstellungen löscht oder du eine Reinigungssoftware unabhängig vom Browser im Hintergrund laufen lässt wie z.B. ein "ccleaner".

Dann wird das Häkchen nicht gespeichert.
Probier es mal mit einem anderen Browser wie Google Chrome oder Firefox. Wenn es dann immer noch nicht funktioniert, ist es womöglich eine Reinigungssoftware die deinen Internetverlauf nach jeder Session reinigt/löscht.

In beiden Fällen ist es eine Einstellungssache auf deinem Computer, damit deine Browsereinstellungen für Webseiten nicht nach jedem Surfen gelöscht werden.

Ah, Danke, bei den Sachen bin ich "blond".

Wahrscheinlich liegt es daran, das ich irgendwann mal das Häkchen "Browserverlauf löschen" gesetzt habe. Kann mich da dunkel erinnern.

Kein Ding und schön das es nun läuft! Dafür sind wir ja hier füreinander da
Und dass dich das als mitunter aktivster Mitglied störte kann ich gut verstehen.

Eine andere Möglichkeit ist noch, dass Du beim Firefox ggf. "private Fenster" benutzt (hast)?! Dann werden Cookies (hat jetzt nichts mit meinem Pseudonym zu tun ) nicht gespeichert.

Hi

Ich habe diese Anzeige auch ständig und das seit wenigen Tagen. Ich denke, es liegt wohl eher am Browserupdate, dass es uns jetzt auffällt?

hi,
SSL-Zertifikate bekommt man auch kostenlos

https://letsencrypt.org/

phil35 hat geschrieben:hi,
SSL-Zertifikate bekommt man auch kostenlos

https://letsencrypt.org/

Martin Mainz hat geschrieben:

cmuede hat geschrieben:Ein https Zertifikat gibt es mittlerweile auch KOSTENLOS bei letsencrypt.org. Daher sollte jede Webseite mit Passworteingabe dieses Mindestmaß an Sicherheit m.E. erfüllen, um Privatsphäre zu gewährleisten.

Als Faustregel: Auf http Seiten im Allgemeinen NIE ein Passwort oder eure vertraulichen Daten eingeben.

Ersteres läßt nicht jeder Provider zu (die verdienen da auch dran)
Zweiteres ist schwierig, weil man sich nun mal am Forum anmelden muss.

[Edit]PS: No Planned Support for HostEurope.de (via email reply from customer support; LetsEncrypt can be installed manually, but not recommended) - wird vom Hoster des Forums nicht unterstützt.

Ich sprechs aber trotzdem nochmal am Wochenende an..

Gruß, Martin

Wir bekommen SSL, das Zertifikat ist bereits eingebunden, Umleitung auf https kommt noch. (Danke Florian vom DHV!)

Das ist super - vielen Dank!

Nice, Danke

Automatische Umleitung auf https eingebaut