Zum Inhalt springen

Firefox Meldung "Verbindung ist nicht sicher"


Phil268
 Teilen

Empfohlene Beiträge

Guten Morgen zusammen,

wenn ich die Monstercafe-Website aufrufe gibt mir Firefox (aktuellste Version) oben links neben der Browserzeile die Information, dass die "Verbindung zu monstercafe.de nicht sicher ist". Die Website unterstütz keine verschlüsselte Verbindung.

Ist das bei euch auch so bzw. ist das technisch bedingt nicht anders möglich ? Oder liegt es an individuellen Einstellungen ?

Danke vorab

Gruß

Philipp

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo Philipp

ist natürlich nicht verschlüsselt monster.de - würde auch kein Sinn machen für ein öffentliches Forum.

Leicht zu erkennen sind verschlüsselte Webseiten an : https://...

Fangen sie mit: http://... an - so sind sie unverschlüsselt.

Verschlüsselte Webseiten machen nur dort Sinn, wo vertrauliche Informationen ausgetauscht werden, wie bei Banken, Firmen, allen Onlineshops, Versicherungen etc...

Um die Seite zu verschlüsseln muss der Betreiber ein Zeritifikat kaufen (verisign.de) für die Domain, die jährlich knapp 1000 euro kostet.

hoffe konnte weiterhelfen :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 16.3.2017 um 07:36 schrieb Phil268:

Guten Morgen zusammen,

wenn ich die Monstercafe-Website aufrufe gibt mir Firefox (aktuellste Version) oben links neben der Browserzeile die Information, dass die "Verbindung zu monstercafe.de nicht sicher ist". Die Website unterstütz keine verschlüsselte Verbindung.

Ist das bei euch auch so bzw. ist das technisch bedingt nicht anders möglich ? Oder liegt es an individuellen Einstellungen ?

Danke vorab

Gruß

Philipp

Bei mir auch 2x...kam gestern nicht von zuhause rein !!

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Natürlich sind öffentliche Foren sinnvoll, die eine SSL-Verschlüsselung anbieten. Sollte im Jahr 2017 eigentlich Standard sein, ohne das ein Browser darauf aufmerksam machen muss.

 

Wird eigentlich Benutzer + PW auch nur über http oder schon über https übertragen? Das letztere wäre wichtiger, wenn dem Betreiber die Benutzer lieb und teuer wären. ;) Benutzernamen und Passwörter sind Informationen die über SSL verschlüsselt ausgetauscht werden sollen, aber 50 EURO im Jahr für so ein Zertifikat sind vermutlich zu teuer.

 

Zertifikate für 1000 EURO im Jahr, wo gibt es das denn? 

 

BTW: Die Website wird nicht verschlüsselt, die Kommunikation von Server zum Client wird verschlüsselt. D.h. das was vom Monstercafe.de zum Browser auf dem Tablet oder dem Telefon übertragen wird, wird verschlüsselt übertragen. Für alle die etwas lesen wollen: https://de.wikipedia.org/wiki/Transport_Layer_Security

Link zu diesem Kommentar
Auf anderen Seiten teilen

Moin,

Anmeldefunktionen gehören heute verschlüsselt.

Wenn nicht, kann jeder das PW plus Account im Klartext mitlesen.

Alles andere an Postingaktivitäten ist dann nicht mehr problematisch ( inhaltlich da eh für alle zu sehen).

Alle Accountbezogenen Daten sollten dann schon verschlüsselt laufen.

Dazu ist nicht einmal ein offizielles Zertifikat notwendig.

Self a signed würde ausreichen.

Muss man eben nur seinem Browser einmal mitteilen, das dem Root bzw. CA vertraut wird.

Die Verschlüsselung funktioniert auf jeden Fall.

 

Sollte hier kein ssl -Kontext  über die php Module genutzt werden, kann ich eigentlich nur jedem raten, sich nicht anzumelden, bzw. mindestens keine weiteren Daten von sich preis zu geben umd in jedem anderen anmeldepflichtigen Zugang andere Daten zu benutzen.

 

Holger

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Will jetzt niemanden wild machen, genutzt werden hier und in anderen auf ähnlicher Software basierenden Foren, schon Maßnahmen die Daten bei der Anmeldung zu schützen, ist aber eben nicht der Weisheits letzter Schluß

Sorry

Holger

Bearbeitet von hanoiman
Link zu diesem Kommentar
Auf anderen Seiten teilen

Kann eurer Diskussion gerade nicht folgen. SSL bzw HTTPS hat doch nichts mit der Software, die hier eingesetzt wird, zu tun. Die verschlüsselte Verbindung stellt der Webserver her und nicht die Forensoftware. Der ist das furchtbar egal. Alleine der Admin bestimmt, ob verschlüsselt wird, oder nicht

Wie hier auch schon geschrieben: Zertifikate kosten nichts mehr, wenn man z.B. Letsencrypt einsetzt. Je nachdem wie aktuell das OS ist, und ich gehe davon aus dass hier irgendein Linux benutzt wird, ist Letsencrypt schon in den Paketen vorhanden. Installation dauert dann 2 Minuten. Wenn nicht kann man das auch per Hand installieren, dauert dann 10-15 Minuten. Dann mit dem Client das Zertifikat ausstellen lassen und einen Job einrichten, der das Zertifikat 1 mal im Monat aktualisiert, da es nur 3 Monate gültig ist. Zuletzt den Apache, oder was als Webserver benutz wird, auf SSL umstellen und ihm das Zertifikat vor die Füsse werfen. Done.

Ob das jetzt soviel Sicherheit bringt, lasse ich mal dahin gestellt. Allerdings beschweren sich zunehmend die Browser und dies wird sich nicht mehr ändern, ganz im Gegenteil. Und die Benutzer "fühlen" sich sicher.

@Ben

Ich kann dir, wenn gewünscht, gern behilflich sein auf HTTPS umzustellen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 54 Minuten schrieb hanoiman:

... für die SSL Umsetzung ...

Nope, das ist nicht korrekt. Das entbindet Ben nicht davon all das zu machen, was ich vorhin ausgeführt habe. Das ist der letzte Schritt, um der Forensoftware zu sagen, dass jetzt HTTPS anstelle von HTTP verwendet wird und die Links dementsprechend von der Software angepasst werden. Wenn nur das Login, oder gar die ganze Seite, was ich machen würde, dort umgestellt wird, dann wird das Forum ausgeknipst, da SSL im Webserver nicht aktiviert wurde und auch kein Zertifikat erstellt wurde. :$ 

Wie schon gesagt, die verschlüsselte Kommunikation hat, bis auf das Anpassen der URL in der Configdatei der Forensoftware, nichts mit der Software zu tun und ist ausschließlich Aufgabe des Webservers.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Die ganze Seite muss nicht umgestellt werden, geht auch mit den Links zu anderen Seiten schlecht, aber der Login und die Benutzerdaten sollte man schon für so wichtig erachten dass man sie nur verschlüsselt anbietet.

Wenn die Browser jetzt schon anfangen zu meckern, wird das in Zukunft eher noch zunehmen als abnehmen. Und irgendwann hinterfragen Benutzer vielleicht das ganze.

Man kann natürlich auch bestimmte Bereiche auf http und/oder https verfügbar machen. Erst wenn ich auf https only umswitche ist mit http Feierabend.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn du nicht die komplette Seite umstellst, dann kannst du es auch gleich lassen, da der Browser auch dann meckert. Startseite HTTP ... mecker ... Login HTTPS ... nicht mecker ... alles andere HTTP ... mecker ...

Und einzelne Bereiche absichern macht nur mehr Arbeit, weil die Forensoftware selbst offensichtlich nur Login, oder alles kann. Links auf andere Seiten wären von einer Umstellung übrigens überhaupt nicht betroffen.

Ob die Benutzerdaten so wichtig sind, wenn der überwiegende Teil wahrscheinlich Tapatalk benutzt und die dort hinterlässt, lasse ich auch mal im Raum stehen. Nichtsdestotrotz würde ich umstellen und zwar komplett.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 19 Stunden schrieb hanoiman:

Will jetzt niemanden wild machen, genutzt werden hier und in anderen auf ähnlicher Software basierenden Foren, schon Maßnahmen die Daten bei der Anmeldung zu schützen, ist aber eben nicht der Weisheits letzter Schluß

Sorry

Holger

Naja man kann auch mit Kanonen auf Spatzen schießen. Diese Seite hier ist php basiert. Das ist schon mal sehr sicher. Auch hier können Passwörter verschlüsselt werden, wenn der Admin seine Hausaufgaben richtig gemacht hat. Den Aufwand die zu knacken lohnt sich für ein Public-Forum schon mal garnicht und macht auch niemand.

Sorry das mit den 1000 euro jährlich für ein ssl zertifikat - Das war einmal. Hab grad gesehen die Preise sind in den letzen Jahren drastisch gefallen. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Stunde schrieb veniceline:

Naja man kann auch mit Kanonen auf Spatzen schießen. Diese Seite hier ist php basiert. Das ist schon mal sehr sicher.

Ok, das wird der letzte Post meiner seits zu diesem Thema,

php und Sicherheit, ist wie schwarz und weiß.

vor 2 Stunden schrieb veniceline:

Den Aufwand die zu knacken lohnt sich für ein Public-Forum schon mal garnicht und macht auch niemand.

Das glaubst du nicht selbst.

Der Normalo hat User und PW in vielen Bereichen identisch im Einsatz.

Ist immer Klasse wenn dein Mailkonto im "best case" zum Spammen genutzt wird.

Mal abgesehen von den Daten die dann sonst noch abgezogen werden können.

Weiß ja nicht wo die 1000€ Ansage für ein Zertifikat herkommen, die Preise liegen für ein zwei Jahre gültiges Zertifikat schon seit mindestens einem Jahrzehnt bei ca. 150€ +-20%

Gruß

Holger

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb veniceline:

Diese Seite hier ist php basiert. Das ist schon mal sehr sicher.

Dieser Illusion darfst du dich gerne hingeben. Gerade findet in Kanada der Hacker-Wettbewerb Pwn2Own statt. Da werden Reihenweise Betriebssyteme und Browser durch sogenannte Zero Day Lücken geknackt. Software ist per se nicht sicher. Gerade Forensoftware, Wordpress, CMS Syteme etc werden immer und jeden Tag sehr gerne genommen. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 12 Stunden schrieb Braineater:

Dieser Illusion darfst du dich gerne hingeben. Gerade findet in Kanada der Hacker-Wettbewerb Pwn2Own statt. Da werden Reihenweise Betriebssyteme und Browser durch sogenannte Zero Day Lücken geknackt. Software ist per se nicht sicher. Gerade Forensoftware, Wordpress, CMS Syteme etc werden immer und jeden Tag sehr gerne genommen. 

Ist dann auch mein letzter Post zu dem Thema, da sehr komplex, man kann Bücher darüber schreiben :P

Zu aller Erst - sicher ist garnichts! SSL ist genauso hackbar, ganz sicher auch ein Thema auf diesem von dir angeführten Hackerwettberwerb und mit einem 0 Euro Zertifkat holst du dir die Katze im Sack. 

Ich weis nicht ob monstercafe.de eine eigene IP hat oder wie die meisten privaten einen Virtual-Host - ich vermute zu 90% virtual gehostet.
Dann läuft SSL über einen Proxy, was schon wieder als relativ unsicher gilt. Aber die meisten sehen das Schloss im Browser und https und denken *yeah* Sicher. 
Sprich wenn du relativ sicher sein willst, brauchst eine eigene IP auf der Domain und ein SSL mit einer relativ hohen Validierung und das zusammen gibt es nicht zum Nulltarif.

PHP ist natürlich ebenso hackbar, aber in der Regel nur dann wenn es schlampig programmiert wurde. Es ist "open Source" was bekanntermaßen schon für einen hohen Sicherheitsgrad steht.

Wie gesagt das Thema ist komplex. Es reicht eine Schwachstelle in der Kette, muss nicht mal die Webseite an sich sein. Selbst beim Hoster können Schwachstellen sein für einen Angriff.

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Verstehe gar nicht, warum du mir jetzt irgendwas über Sicherheit erzählst. Habe nirgendwo erwähnt, dass etwas sicher ist. 

Ich habe nur meine Hilfe angeboten, die Seite kostenlos, mit etwas Arbeit auf HTTPS umzustellen und erklärt, dass es nicht von der Forensoftware abhängt. Mir persönlich geht es 10 Meter am Ascheimer vorbei, ob die Seite eine verschlüsselte Verbindung benutzt, oder nicht. Die Email zum Anmelden benutze ich nur in ein paar Foren, und das Passwort nur hier. Wenn das jemand abgreift, kann er, bis auf die paar PNs, exakt das lesen, was alle anderen hier auch lesen können.

Ben wird etwas tun, oder auch nicht. Wenn er Hilfe benötigt, dann bekommt er die. Ansonsten werde ich mich jetzt auch wieder ausschließlich dem Thema Monster widmen und mich mit IT erst wieder am Montag auf Arbeit beschäftigen.

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 18.3.2017 um 18:53 schrieb Braineater:

Ob die Benutzerdaten so wichtig sind, wenn der überwiegende Teil wahrscheinlich Tapatalk benutzt und die dort hinterlässt, lasse ich auch mal im Raum stehen. Nichtsdestotrotz würde ich umstellen und zwar komplett.

Wenn die Benutzerdaten dem Admin nicht wichtig sind, soll er das kundtun, dann weiß ich was zu tun ist.

 

Und wenn jeder seine Logindaten bei einem Anbieter im Netz liegen hat, um möglichst bequem sicher immer und überall anmelden zu können, wünsche ich all diesen Leuten etwas. :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Deine Meinung

Du kannst jetzt schreiben und dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen

×
×
  • Neu erstellen...

Wichtige Information

Indem Sie unsere Webseite nutzen, bestätigen Sie die Annahme unserer Nutzungsbedingungen und Datenschutzerklärung. In der Datenschutzerklärung wird erklärt, wie wir personalisierte Daten und Cookies für personalisierte Werbeanzeigen nutzen. Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.. Lesen Sie auch Google’s Privacy & Terms.