Kein SSL für buffed.de?

xyba

Quest-Mob
Mitglied seit
09.07.2006
Beiträge
17
Reaktionspunkte
0
Kommentare
71
Hallo,

wieso habt ihr kein SSL Aktiv bei euren Domains?

 

  • buffed.de
  • forum.buffed.de
  • gamesaktuell.de
Nachtrag: habe mir eure anderen Seite alle auch angesehen dort gibt es ja nirgends ein SSL Zertifikat...

 

Das einzige wo ich es gesehen habe ist bei eurem Login => login.buffed.de und auch nur das von cloudflare... wäre gut wenn ihr das nachzieht aus Security Gründen. :)

 

PS: Eure Firmen Seite computec.de wird nur ein ISS Bild mit Links angezeigt, keine Informationen über euch?!

 
 
Zuletzt bearbeitet von einem Moderator:
Olla,

wir haben das bei PCGH schon dargelegt. Aktuell bezieht sich SSL nur auf die Logins und Profil-Settings. Wir haben es jedoch natürlich(!) auf dem Radar, die Seiten komplett anzupassen. Jedoch gibt es hier neben Abhängigkeiten von Drittanbietern noch ein paar notwendige Anpassungen auf den Seiten.
Einen Zeitpunkt kann ich aber nicht nennen, aktuell gibt es andere Prioritäten - vielleicht bis Ende des Jahres. Die DSGVO-Vorbereitungen sind uns leider auch dazwischen gerutscht. Eine echte Sicherheitsrelevanz für die hier unkritischen Daten ist jedoch übertrieben. ;)

Btw. "auch nur das von Cloudflare" ? Die haben bei uns nichts mit SSL am Hut ;) Das sind schon unsere ausgespielten Zertifikate.

 
PS: Eure Firmen Seite computec.de wird nur ein ISS Bild mit Links angezeigt, keine Informationen über euch?!


Was meinst du?
 
Zuletzt bearbeitet von einem Moderator:
Danke mal für die Infos.

 

 

Naja wenn ich auf die Seite schaue bekomme ich dieses Bild.

 
 
Zuletzt bearbeitet von einem Moderator:
Versuchs mal mit www. davor ;)

Die domain wird auch bzw. mittlerweile fast ausschließlich für Interna verwenden, ohne Subdomain läuft da nix. Die offizielle Seite ist mittlerweile auch https://www.computecmediagroup.de
 
Zuletzt bearbeitet von einem Moderator:
…. aktuell gibt es andere Prioritäten ….

 

Ich fasse mal zusammen. Datenschutz/Sicherheit steht nicht an erster Stelle. 
 
Ich antworte mal auf gleichem Level:  :ablach:
 
So lange keine persönlichen oder vertraulichen Daten übermittelt werden, ist SSL nicht zwingend erforderlich.
 
  • Upvote
Reaktionen: ZAM
So lange keine persönlichen oder vertraulichen Daten übermittelt werden, ist SSL nicht zwingend erforderlich.

 

Schon durch die URL kann man persönliche Daten erheben. Zum Beispiel ob ich  mich für "Shooter" intressiere oder doch lieber für die "Kleine Ponyfarm".
 
Dann hast du schon ein anderes Problem, wenn jemand als Man in the Middle mitlauscht.
Und ja, ich finde die Behauptung durchaus amüsant, wenn ich auf den Aufwand bzgl. DSGVO-Anpassungen (und teils ePrivacy-Vorbereitungen) der letzten 12 - 18 Monate so zurückblicke. :-)
 
Zuletzt bearbeitet von einem Moderator:
Dann hast du schon ein anderes Problem, wenn jemand als Man in the Middle mitlauscht.

 

Das ist dein Argument, kein SSL zu benützen. *facepalm*
 
Schon durch die URL kann man persönliche Daten erheben. Zum Beispiel ob ich  mich für "Shooter" intressiere oder doch lieber für die "Kleine Ponyfarm".


Teilweise richtig. Aber halt auch ganz schön übertrieben und übers Ziel hinaus geschossen.

Der Domainname (abc.xyz.com) ist bei einem DNS-Lookup zB nicht verschlüsselt, weil es ein anderes Protokoll ist und diese Kommunikation noch vor dem TLS-Handshake mit dem Web-Server passiert. Also das heißt, wenn dein Browser eine DNS-Abfrage macht, um die IP von "abc.xyz.com" zu erhalten, kann hier schon "erhoben" werden, wie oft am Tag die IP Adresse "1.2.3.4" die Domain "abc.xyz.com" besucht. Die TTL des DNS-Caches von Browsern wie Chrome oder Firefox beträgt standardmäßig ca. 1 Minute.

Und um Daten wie die URL zu personalisieren, müsste ein MitM-Angreifer hier erstmal wissen, von was für einer Person die Daten kommen. Er sieht nur, dass die IP "1.2.3.4" die URL abc.xyz.com/shooter-ponies aufruft. Daraus ergibt sich aber nicht wer die URL aufgerufen hat. Oder dessen Name, Wohnort, Alter, Geschlecht, etc. Die URL kann von sonstwem aus dem Haushalt hinter dem Router aufgerufen worden sein. Oder automatisch durch ein Werbebanner oder ähnlichem.

Abgesehen davon werden diese Daten - und noch viel mehr - sowieso im Klartext in den Logfiles der Web-Server gespeichert, die du besuchst. Selbst mit SSL.

Und wie ZAM schon sagte: Wenn ein "Man-in-the-Middle" Angreifer erstmal soweit gekommen ist, wird er wohl ganz andere Ziele verfolgen, als Statistiken darüber zu erheben, ob sich Hinz und Kunz eher für "Shooter" oder "Kleine Ponyfarm" interessieren.

Wenn du ein Apple-, Google- oder Microsoft-Konto hast, Android oder iOS, Facebook, Instagram, Twitter oder WhatsApp nutzt, kostenlose oder spotbillige Apps oder Spiele auf deinem Handy betreibst, bist du ohnehin schon "personalisiert."

Da ist die Wahrscheinlichkeit höher, einen Sechser mit Zuatzzahl im Lotto zu treffen, als dass jemand über einen "MitM"-Angriff deine URLs ausliest, um persönliche Daten über dich zu erheben.
 
Zuletzt bearbeitet von einem Moderator:
Was ich hier lese sind nur ausreden. Oder die andern oder was auch immer. 

Wenn Apple-, Google, Microsoft etc Daten erheben, bedeutet das nicht, dass ich meine nicht Schützen muss.
Wenn ich sehe, dass Client mit Server spricht, bedeutet das auch nicht, dass ich auch gleich offenlegen muss, worüber sie sprechen.

Und Klartext logfiles bedeutet auch nicht, dass diese auch wirklich unverschlüsselt sind. Gegen aussen sollten diese durch eine Firewall geschützt sein und vor Ort durch einen Abgeschlossen Raum und Hardwareverschlüsslung.

 
 
Wie ZAM schon sagte: Login- und Profil-Operationen sind SSL-geschützt. Damit sind auch die persönlichen Daten gesichert.

Du gewährst den größten Datenkraken der Welt freiwillig Zugriff auf deine persönlichen Daten und dein Nutzungsverhalten, schimpfst aber darüber, dass jemand per "Man-in-the-Middle"-Angriff "persönliche Daten" aus den URLs erheben könnte, die du (hier) aufrufst. Sorry, aber das zeugt nicht gerade davon, dass dir klar ist, worüber du hier meckerst.

Und doch, "Klartext" bedeutet "unverschlüsselt." Und hier ist es egal, ob der Server-Raum abgeschlossen ist oder in einem Atombunker in den Alpen der Schweiz steht oder sonstwas. Da die meisten Server heutzutage VPS sind, hat der Hosting Provider theoretisch Zugriff alles, was auf den Festplatten des Host-Systems abgelegt wird. Da muss nur jemand das Festplatten-Image auslesen.
 
Zuletzt bearbeitet von einem Moderator:
. Sorry, aber das zeugt nicht gerade davon, dass dir klar ist, worüber du hier meckerst.

 

Jetzt ist es mir aber klar geworden. :) Jetzt kommen langsam Beleidigungen, weil man keine vernünftige Argumente hat. Und dazu noch bisschen Speicherung von Daten mit Übertragung vermischen. Und weiterhin auf Google und co zeigen, obwohl das überhaupt nicht eure Baustelle ist.
 
Zuletzt bearbeitet:
Das sind keine Beleidigungen, sondern lediglich Feststellungen: Du machst aus einer Mücke einen Elefanten, weil der normale Forumbetrieb hier nicht per SSL verschlüsselt ist. Und deine einzige Begründung ist, dass ein "Man-in-the-Middle" dich über die URLs, die du hier aufrufst, profilen könnte. Ich sehe da keine "vernünftigen Argumente" von dir, sondern viel Wind um nichts.

Denn dir scheint die Tragweite eines solchen MitM-Angriffs offensichtlich nicht bewußt zu sein. Was es für Resourcen, Aufwand und Leistung ist, sich in einen der Knoten- und Routingpunkte des Internet-Datenverkehrs einzuhacken. Und die einzigen "MitM"-Angriffe solchen Ausmaßes wurden bislang nur von Regierungen oder ISPs durchgeführt, meist auch nur in Ländern des nahen Ostens wie Iran, Türkei und Ägypten. Und natürlich Geheimdienste wie NSA oder BND. Die hacken sich in der Regel aber nicht unbemerkt ein, sondern erhalten ganz legal und direkt Kopien des Traffics. Und die sind mit Sicherheit nicht daran interessiert, was "Aldaria" so für URLs auf "buffed.de" aufruft.

Oder anders gesagt: Deine "Argumentation" legt ein absurdes und höchst unwahrscheinliches Szenario zu Grunde. Nämlich dass ein MitM dich über die URLs profilen könnte. Die Wahrscheinlichkeit eines Lottohauptgewinns ist höher, als die Wahrscheinlichkeit eines solchen Szenarios.

Und die Beispiele mit Google & Co. sind nicht dazu da, um auf andere zu zeigen. Sondern um den Schwachpunkt in deiner "Argumentation" zu verdeutlichen: Du hast Angst vor einem höchst unwahrscheinlichen Szenario, während dich die größten Datenkranken fröhlig und mit deiner Zustimmung 24/7 profilen.

Oder kurz gesagt: Du hast Angst, ungewollt profiled zu werden, während du gewollt profiled wirst. :ucrazy:
 
Die URL war die Antwort auf dein Argument das SSL nicht notwendig ist, wenn keine Persönlichen Daten übertragen werden. Siehe oben. Ich hab dich nur darauf hingewissen, dass die Infos in der URL schon persönlich sind. Die Man in the Middle Attacke kam von ZAM.  

 

Irgendwie führt das zu nichts. Hier ist offensichtlich die Ansicht verbreitet, dass man lieber reagiert als vorbeugt. 
 
Zuletzt bearbeitet:
Prinzipiell hast du recht. Eine komplette SSL-Verschlüsselung wäre besser. Aber wie gesagt ist es nicht zwingend notwendig und vom Gesetzgeber auch nicht gefordert, da hier keine Gefahr für den Datenschutz besteht.

Wenn du davon ausgehst, dass die URL schon persönlich ist, dann nur, weil ein MitM existiert. Von daher ist ZAM's Argument korrekt. Wer soll die URL sonst abfangen? Dazu kommt noch, dass TCP-Pakete in der Regel fragmentiert übertragen werden und nicht unbedingt gewährleistet werden kann, dass alle Pakete die gleiche Route nehmen. Und am Ende stehen deine ganzen Requests ohnehin im Klartext in den Server-Logs, auch mit SSL.

Desweiteren ist eine URL nicht per se persönlich, wenn keine personenbezogenen Informationen darin vorkommen. Persönlich bedeutet, dass etwas einer Person zugeordnet oder eine Person identifiziert werden kann. Eine URL kann aber nur einer IP zugeordnet werden, von der wiederum nur der jeweilige ISP diese einem (Anschluss-)Inhaber zuordnen kann. Und selbst diese IP kann in einem Mehrpersonenhaushalt mehrere Nutzer beschreiben. Und es ist an Hand der IP nicht ersichtlich, ob Mama, Papa, Klausi, Lena oder deren Freunde und Kumpels etwas aufgerufen haben.

Es führt zu nichts, weil du dich über den kleinen Tropfen auf deinem Kopf aufregst, während du ohnehin schon bis zum Bauchnabel im Wasser stehst. Was soll man da noch sagen?
 
Zam hätte auch sowas schreiben können: Vielen Dank für deinen Hinweis. Wir nehmen deinen Hinweis gerne mit und werden die Realisierung prüfen.

Hättest Du von einem aalglatten Dodge mehr gehabt?

 

Dass ein kompletter Aufruf über https:// wünschenswert ist, ist klar. Aber das ist am Ende nur ein kleines Spieleforum, es gibt Abhängigkeiten die man als Außenstehender nicht am Plan hat und es wird eben auch noch andere Prioritäten geben.

 

Also don't panic.
 
Zurück