Passwörter werden unverschlüsselt übertragen

    • Kein Fehler
    • Passwörter werden unverschlüsselt übertragen

      SaferChrome sagt mir gerade, dass die Passwörter im Spiel, Forum und Wiki unverschlüsselt übertragen werden. Das ist ja mal gar nicht gut! Nicht, dass hier irgendetwas wichtiges abgesichert werden müsste, aber so kann jeder Dritte, der Zugriff auf den Datenstrom hat (Mitnutzer im Wlan, Provider, Netzknoten) das Passwort mitlesen oder beliebig verändern. Gut, dass ich mein Passwort hier (so, wie man es sowieso tun sollte) nicht noch für andere Sachen nutze.

      Wann steht eine verschlüsselte Passwortübertragung auf der Tagesordnung?

      Edit: Das die Umsetzung nicht von heut auf morgen geht, ist klar. Gedanken sollte man sich aber schon darüber machen und auf die unverschlüsselte Übertragung hinweisen.
    • Ich sehe das nicht so dramatisch. Wie du sagtest steht man selber in der Verantwortung, keine wichtigen Passwörter auf irgendwelchen Internetseiten zu verwenden. Und falls jemand fremdes den eigenen Datenstrom ausliest, hat man ganz andere Probleme als ein aufgedecktes Passwort bei lstsim.de. Die allermeisten Internetforen und auch Dienste wie z. B. ICQ übertragen das Passwort in Klartext.

      Ich hab gerade mal geguckt, wie viel ein SSL-Zertifikat bei unserem Provider kostet. 99 Euro pro Jahr. Wenn die jemand zahlen möchte, können wir darüber reden. ;)
    • Oh, als Laie dachte ich, SSL bedeutet Programm installieren und bissl was in den Webseiten-Code einbauen. Na, bei den Kosten ist der Aufwand nicht gerechtfertigt. War da gestern ein bisschen über-aufmerksam geworden, aber kann dir mit nem Tag Abstand zustimmen. Danke für deine ausführliche Antwort!
    • Serhan schrieb:

      Ich sehe das nicht so dramatisch. Wie du sagtest steht man selber in der Verantwortung, keine wichtigen Passwörter auf irgendwelchen Internetseiten zu verwenden.


      Die Praxis sieht da allerdings anders aus. Ich sehe hier schon den Anbieter einer Website in der Pflicht, die etwas unbedarfteren Benutzer, die sich nicht tiefer mit dem Thema Security befasst haben, vor sich selbst zu schützen. Grundsätzlich sollten meiner Ansicht nach alle Verbindungen verschlüsselt werden, über die Anmelde- oder sonstige sensible Daten laufen.

      Serhan schrieb:

      Ich hab gerade mal geguckt, wie viel ein SSL-Zertifikat bei unserem Provider kostet. 99 Euro pro Jahr. Wenn die jemand zahlen möchte, können wir darüber reden. ;)


      Ein selbsterstelltes Zertifikat (self-signed oder von einer eigenen CA) kostet erst mal gar nix. Da wirft der Browser zwar eine Warnung, aber es ist allemal besser als gar kein SSL.
      Wenn man die Warnung auch noch loswerden will, gibt es kostenlose Zertifikate z. B. bei StartSSL, der CA wird von den aktuellen Browsern auch vertraut.

      Gruß,
      geckolino
    • geckolino schrieb:

      Serhan schrieb:

      Ich sehe das nicht so dramatisch. Wie du sagtest steht man selber in der Verantwortung, keine wichtigen Passwörter auf irgendwelchen Internetseiten zu verwenden.

      Die Praxis sieht da allerdings anders aus. Ich sehe hier schon den Anbieter einer Website in der Pflicht, die etwas unbedarfteren Benutzer, die sich nicht tiefer mit dem Thema Security befasst haben, vor sich selbst zu schützen. Grundsätzlich sollten meiner Ansicht nach alle Verbindungen verschlüsselt werden, über die Anmelde- oder sonstige sensible Daten laufen.

      Natürlich ist eine komplette Verschlüsselung toll. Es ist aber auch alles mit einem Aufwand verbunden (s. u.).
      Man kann den Benutzer außerdem nur bis zu einem bestimmten Punkt vor sich selber schützen. Seien es unsichere Passwörter (ein viel größeres Problem) oder die Eingabe von wichtigen Zugangsdaten über unsichere Internetverbindungen (offenes WLAN o. ä.).

      geckolino schrieb:

      Serhan schrieb:

      Ich hab gerade mal geguckt, wie viel ein SSL-Zertifikat bei unserem Provider kostet. 99 Euro pro Jahr. Wenn die jemand zahlen möchte, können wir darüber reden. ;)

      Ein selbsterstelltes Zertifikat (self-signed oder von einer eigenen CA) kostet erst mal gar nix. Da wirft der Browser zwar eine Warnung, aber es ist allemal besser als gar kein SSL.
      Wenn man die Warnung auch noch loswerden will, gibt es kostenlose Zertifikate z. B. bei StartSSL, der CA wird von den aktuellen Browsern auch vertraut.

      Ein Fremdzertifikat bei unserem Provider einzuspielen kostet 30 Euro pro Jahr. Da wir noch eine weitere Subdomain, auf der man sich einloggen kann, haben (Wiki), wäre diese Dienstleistung vermutlich auch zwei mal fällig.
    • Serhan schrieb:

      Natürlich ist eine komplette Verschlüsselung toll. Es ist aber auch alles mit einem Aufwand verbunden (s. u.).
      Man kann den Benutzer außerdem nur bis zu einem bestimmten Punkt vor sich selber schützen. Seien es unsichere Passwörter (ein viel größeres Problem) oder die Eingabe von wichtigen Zugangsdaten über unsichere Internetverbindungen (offenes WLAN o. ä.).


      Da gebe ich dir vollständig recht. Man sollte es IMO trotzdem so weit wie möglich versuchen. Die Tatsache

      Serhan schrieb:

      Ein Fremdzertifikat bei unserem Provider einzuspielen kostet 30 Euro pro Jahr. Da wir noch eine weitere Subdomain, auf der man sich einloggen kann, haben (Wiki), wäre diese Dienstleistung vermutlich auch zwei mal fällig.


      relativiert das ganze natürlich. Ich bin nur Root-Server gewöhnt, da kostet das Einspielen eines Zertifikats nix extra. Für den Preis, den euer Provider da haben will, krieg ich ja schon fast einen ordentlichen VServer...