Forum mit variablen SSL Zugang
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
Forum mit variablen SSL Zugang
Hi!
Die Zeiten für "Horch und Kuck" werden in diesem Lande ja leider immer besser... ¦9
Es gibt ja die Möglichkeit das Forum auf SSL Zugang umzuschalten. Dies habe ich Testweise mit meinem Forum und einem selbst erstellten privaten Key getan. Soweit so gut. Nur leider fehlt mir die Möglichkeit diesen Zugang variabel zu gestalten. D.h. der User soll selbst entscheiden ob er sich per SSL oder ohne einloggen will und diese Wahl soll bis zum ausloggen erhalten bleiben.
Aktuell landet er auf dem Portal ohne SSL und nach dem Einloggen hat er eine SSL Verbindung. Das ist insofern unschön, als das ich mich ab und zu von meiner Fa. einlogge und dort der Port 443 gesperrt ist.
Bye
Die Zeiten für "Horch und Kuck" werden in diesem Lande ja leider immer besser... ¦9
Es gibt ja die Möglichkeit das Forum auf SSL Zugang umzuschalten. Dies habe ich Testweise mit meinem Forum und einem selbst erstellten privaten Key getan. Soweit so gut. Nur leider fehlt mir die Möglichkeit diesen Zugang variabel zu gestalten. D.h. der User soll selbst entscheiden ob er sich per SSL oder ohne einloggen will und diese Wahl soll bis zum ausloggen erhalten bleiben.
Aktuell landet er auf dem Portal ohne SSL und nach dem Einloggen hat er eine SSL Verbindung. Das ist insofern unschön, als das ich mich ab und zu von meiner Fa. einlogge und dort der Port 443 gesperrt ist.
Bye
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Und wieder einmal Netzwerktechniker am werkeln, die von Sicherheit Null Ahnung haben...[...] und dort der Port 443 gesperrt ist.
Nun, das phpBB kann man entweder mit Sicherheit (SSL) oder ohne betreiben, da ja auch eben sicherere, bzw. unsichere Cookies verwendet werden.
Da wäre eine Menge anzupassen, wenn man das userabhängig gestalten will.
BTW: Was bringt es dann insgesamt an Mehrwert, wenn User das ablehnen kann?
Sicherer/unsicherer wird das Board mit dieser Möglichkeit auch nicht wirklich...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
Hi!
[quote="oxpus";p="79628"]
Naja, über die Techniker meiner Behörde sage ich jetzt mal lieber nichts weiter...
[quote="oxpus";p="79628"]
Und wieder einmal Netzwerktechniker am werkeln, die von Sicherheit Null Ahnung haben...[/quote][...] und dort der Port 443 gesperrt ist.
Naja, über die Techniker meiner Behörde sage ich jetzt mal lieber nichts weiter...
Es muss ja nicht direkt Userabhängig sein, reicht es nicht wenn es Sessionabhängig ist? Ich denke da so an einen "Haken" der bei "SSL" auf dem Portal zu entfernen ist und dann geht es weiter ohne SSL.Nun, das phpBB kann man entweder mit Sicherheit (SSL) oder ohne betreiben, da ja auch eben sicherere, bzw. unsichere Cookies verwendet werden.
Da wäre eine Menge anzupassen, wenn man das userabhängig gestalten will.
Mir geht es einfach nur darum, das ich das "mitlesen" der Daten im "Klartext" verhindern will.BTW: Was bringt es dann insgesamt an Mehrwert, wenn User das ablehnen kann?
Sicherer/unsicherer wird das Board mit dieser Möglichkeit auch nicht wirklich...
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Irrtum: SSL wurde bereits schon mehrfach geknackt!
Im Internet ist eben nur eins sicher: Das nichts sicher ist
Im Internet ist eben nur eins sicher: Das nichts sicher ist
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
Hi!
Trotzdem muss doch nicht alles auf dem "Silbertablett" präsentiert werden, oder?
Abgesehen davon, dürfte es doch etwas dauern dies zu "knacken":
SSL-Version: 3
Bevorzugte Verschlüsselung: Triple-DES (168/112 Bit)
Prüfsummenverfahren: SHA-1 (160 Bit)
RSA-Modulus: 2048
und wenn ich dann noch dies dazu sehe:
"Verbindung hochgradig verschlüsselt (AES-256 256-bit)"
dann bin ich schon sicher das das mit vertretbarem Aufwand nicht zu knacken ist.
Trotzdem muss doch nicht alles auf dem "Silbertablett" präsentiert werden, oder?
Abgesehen davon, dürfte es doch etwas dauern dies zu "knacken":
SSL-Version: 3
Bevorzugte Verschlüsselung: Triple-DES (168/112 Bit)
Prüfsummenverfahren: SHA-1 (160 Bit)
RSA-Modulus: 2048
und wenn ich dann noch dies dazu sehe:
"Verbindung hochgradig verschlüsselt (AES-256 256-bit)"
dann bin ich schon sicher das das mit vertretbarem Aufwand nicht zu knacken ist.
Zuletzt geändert von Dungeonwatcher am So 02.Dez, 2007 14:44, insgesamt 2-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Sofern die Inhalte Deines Boards sooooo geheim sind, daß die keiner lesen sollTrotzdem muss doch nicht alles auf dem "Silbertablett" präsentiert werden, oder?
Nochmal:
Ob nun session- oder userbezogen die SSL-Verschlüsselung nicht aktiviert sein soll, bedeutet so oder so eine Menge Arbeit am Forum, genau das zu erreichen.
Denn man muss dem Board ja erst einmal beibringen, überall und in allen Stellen des Boards, wo eben Links zum Forum erstellt werden, zu unterscheiden, ob SSL ja oder nein.
Und ich halte das gerade bei der Aufbereitung von Benachrichtungen zu neuen Beiträgen für eher unmöglich.
Beispiel:
Es wird ein neuer Beitrag erstellt und es sind User zu benachrichtigen.
Nun muss der Server-Link an dieser Stelle (und wie gesagt: Es gibt hier "viele" Stellen im Forum, an denen das gemacht werden muss) eben entschieden werden, für welche Session oder welchen User (je nachdem, wie man das einrichten will) eben SSL gelten soll oder auch nicht.
Aktuell passiert das ja nach den Board-Einstellungen, was einfacher geht, da die Angaben global in der $board_config vorhanden sind.
Mit Umstellzung auf Session/User muss das immer mit abgefragt werden und genau hier gibt es dann Probleme:
Wenn sich ein User mit seiner Session per SSL auf dem Board angemeldet hat, würde er auch z. B. SSL-Links per EMail erhalten. Dann könnte es Schwierigkeiten geben, wenn der User aus dem Link das https:// durch http:// ersetzt, daß Cookie und Session-Code nicht mehr dazu passen.
Auch hier wäre viel Arbeit angesagt, genau das zu berücksichtigen.
Anders herum würde das Forum eine neue Session erstellen, wenn vorher ohne und nun mit SSL das Board besucht wurde, was auch wieder zu einem Cookie-Fehler führen kann.
Ergo:
Abgesehen von der mords Arbeit, hier geziehlt in die vorhandenen Sessions einzugreifen, und das im schlimmsten Fall durch alle Scripte des Boards hindurch(!), müsste man nach meinen Wissen vorhandene Cookies erst löschen, bevor ein Session-Wechsel mit und ohne SSL sauber vollzogen werden kann.
Die Folge wären ggf. Verluste der neuen Beiträge (wenn man keine MODs wie den UPi2DB verwendet) und man müsste auch jedesmal das Login bedienen.
Ich weiß nicht, ob das wirklich soooo viel Sinn macht, wenn eben User dabei sind, die SSL nicht bedienen können, weil z. B. die Ports gesperrt sind.
Und mal unter uns:
Wenn ich den SSL Schlüssel nicht schnell genug knacken kann, melde ich mich einfach am Forum an und spiele zunächst "guter Junge". Bin ich dann nach der Reg. drinnen, habe ich auch alles, was ich will
Eine von vielen Möglichkeiten, ein Forumsystem bezogen auf diese Art der Sicherheit auszuhebeln...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
Moin!
[quote="oxpus";p="79648"]
Das nun wieder nicht, aber rein aus Prinzip und Protest gg. die aktuelle Politik ala Schäuble und Co.
[quote="oxpus";p="79648"]
Sofern die Inhalte Deines Boards sooooo geheim sind, daß die keiner lesen soll [/quote]Trotzdem muss doch nicht alles auf dem "Silbertablett" präsentiert werden, oder?
Das nun wieder nicht, aber rein aus Prinzip und Protest gg. die aktuelle Politik ala Schäuble und Co.
Das will ich dir dann mal glauben.Nochmal:
Ob nun session- oder userbezogen die SSL-Verschlüsselung nicht aktiviert sein soll, bedeutet so oder so eine Menge Arbeit am Forum, genau das zu erreichen.
Denn man muss dem Board ja erst einmal beibringen, überall und in allen Stellen des Boards, wo eben Links zum Forum erstellt werden, zu unterscheiden, ob SSL ja oder nein.
Und ich halte das gerade bei der Aufbereitung von Benachrichtungen zu neuen Beiträgen für eher unmöglich.
Die und auch werden mich dann daran gewöhnen müssen.Ich weiß nicht, ob das wirklich soooo viel Sinn macht, wenn eben User dabei sind, die SSL nicht bedienen können, weil z. B. die Ports gesperrt sind.
Nicht wirklich. Auch im Forum direkt kann man ja gut mit den jeweiligen Rechten arbeiten und "verstecken". Es geht mir echt nur um das "ausschnüffeln" auf der Leitung und da ist SSL momentan die beste Möglichkeit.Und mal unter uns:
Wenn ich den SSL Schlüssel nicht schnell genug knacken kann, melde ich mich einfach am Forum an und spiele zunächst "guter Junge". Bin ich dann nach der Reg. drinnen, habe ich auch alles, was ich will
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Sehr blauäugig gedacht, denn der Gesetzgeber würde sich sicherlich auch hier etwas einfallen lassenDas nun wieder nicht, aber rein aus Prinzip und Protest gg. die aktuelle Politik ala Schäuble und Co.
Zumindest nach dem, was bekannt ist.Nicht wirklich. Auch im Forum direkt kann man ja gut mit den jeweiligen Rechten arbeiten und "verstecken". Es geht mir echt nur um das "ausschnüffeln" auf der Leitung und da ist SSL momentan die beste Möglichkeit.
Ich möchte nicht wissen, welche Methoden und Hintertüren existieren, um den Strom live mitlesen zu können und das mit dem jeweils gültigen Schlüssel.
Merke: Wenn jemand das ernsthaft will und "ganz oben" sitzt, bekommt er auch, was er will.
Da nützt dann auch SSL überhaupt nichts mehr, sondern nur noch "Stecker ziehen"
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- Dungeonwatcher
- Beiträge: 1055
- Registriert: Sa 19.Feb, 2005 01:16
- Wohnort: Berlin
- Kontaktdaten:
[quote="oxpus";p="79664"]
Wenn es denn soweit ist dann fällt auch den Gegnern was neues ein.
[quote="oxpus";p="79664"]
Ich möchte nicht wissen, welche Methoden und Hintertüren existieren, um den Strom live mitlesen zu können und das mit dem jeweils gültigen Schlüssel.[/quote]
Das dürfte bei Open Source SW (OpenSSL) ziemlich schnell auffallen, erst recht bei einem solch sensiblem Thema.
Bleibt also nur die Frage: Warum gibt es SSL überhaupt, wenn es keinerlei Sinn macht/hat es einzusetzen?
Sehr blauäugig gedacht, denn der Gesetzgeber würde sich sicherlich auch hier etwas einfallen lassen [/quote]Das nun wieder nicht, aber rein aus Prinzip und Protest gg. die aktuelle Politik ala Schäuble und Co.
Wenn es denn soweit ist dann fällt auch den Gegnern was neues ein.
[quote="oxpus";p="79664"]
Zumindest nach dem, was bekannt ist.Nicht wirklich. Auch im Forum direkt kann man ja gut mit den jeweiligen Rechten arbeiten und "verstecken". Es geht mir echt nur um das "ausschnüffeln" auf der Leitung und da ist SSL momentan die beste Möglichkeit.
Ich möchte nicht wissen, welche Methoden und Hintertüren existieren, um den Strom live mitlesen zu können und das mit dem jeweils gültigen Schlüssel.[/quote]
Das dürfte bei Open Source SW (OpenSSL) ziemlich schnell auffallen, erst recht bei einem solch sensiblem Thema.
Da stimmt zwar, nur muss ich es ihm doch nicht so leicht wie möglich machen.Merke: Wenn jemand das ernsthaft will und "ganz oben" sitzt, bekommt er auch, was er will.
Da nützt dann auch SSL überhaupt nichts mehr, sondern nur noch "Stecker ziehen"
Bleibt also nur die Frage: Warum gibt es SSL überhaupt, wenn es keinerlei Sinn macht/hat es einzusetzen?
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Davon ist auszugehen.Wenn es denn soweit ist dann fällt auch den Gegnern was neues ein
Sitzen die auch beim Provider, bzw. beim Gesetzgeber?Das dürfte bei Open Source SW (OpenSSL) ziemlich schnell auffallen, erst recht bei einem solch sensiblem Thema.
Eher nicht...
Noch mal: Wer dem Provider vorschreiben kann, alle Schlüssel und Inhalte zur Verfügung zu stellen, der liest in Echtzeit mit und leider ist der Gesetzgeber jederzeit dazu in der LageDa stimmt zwar, nur muss ich es ihm doch nicht so leicht wie möglich machen.
Sinn macht das schon, wenn man an alle "anderen" Unbefugten denkt, die keinen Provider anzapfen können, sondern lediglich den Datenstrom ohne zunächst passenden Schlüssel mitschneiden.Bleibt also nur die Frage: Warum gibt es SSL überhaupt, wenn es keinerlei Sinn macht/hat es einzusetzen?
Für alle diese "Mitleser" ist SSL gedacht. Für alle, die mehr "Macht" haben, und das ist nun einmal Mr. Schäuble mit seinen Mannen, nutzt SSL nicht wirklich was...
Aber die Diskussion sollte hier besser abgebrochen werden, denn sie führt zu keine Lösung und ist nur philosophisch.
Fakt ist, daß der Umbau am Forum für SSL ja/nein enorm ist und daher dem Sinn nicht gerechtfertigt ist. Zumal dann Verbindungen ohne SSL auch wieder zugängliche Teile des Boards zum Mitlesen "einladen"...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!