Habe ich ein Sicherheitsproblem im Forum RN ?

[oberallgeier]

Hallo Frank,
danke für Deine Ausführungen. Den "Trick" mit dem "https://.." hatte ich natürlich schon versucht, das Ergebnis war lausig:

......Bild hier  

und die Warnung blieb.

.. das Problem ist eigentlich kein Problem .. also keine unnötige Panik ..
.. aber der Warnhinweis bleibt wegen der Scripte ..

Der Hinweis auf die Warnungen in >letzter> Zeit war mir selbst eingefallen - solche und ähnliche Lösungen sind ja mittlerweile oft Standard um mögliche Schadenersatzforderungen zu umgehen. Ich werde die Ratschläge beherzigen und ansonsten gemütlich weitermachen (müssen).

[i_make_it]

Das Problem sind halt die Anmeldedaten, vor allem das Passwort, das so unverschlüsselt übers Netz geht. Eine Möglichkeit ohne SSL wäre ein Client Script in die Anmeldung einzubauen, das den öffentlichen Schlüssel enthält und das PW chiffriert bevor es an die POST Variable übergeben wird. Das kann dann nur der Server mit dem privaten Schlüssel entschlüsseln oder einfacher alle PW's werden verschlüsselt in der Datenbank gespeichert, dann wird das Chiffrat einfach mit dem Chiffrat in der Datenbank verglichen und der private Schlüssel muß auch nicht auf dem Webserver liegen. Auf den Clients muß dann hat Scriptausführung erlaubt sein. Geht ab auch wenn das Script per Zertifikat signiert ist.

[Frank]

@i_make_it: Ich denke der Aufwand ist für den Nutzen zu hoch, jede Script Änderung macht immer wieder Aufwand bei Updates und Wartung. Vermutlich wird ohnehin irgendwann Forum Software mal erneuert werden, dann wird da sicher eine bessere einheitliche Lösung geschaffen die dann Update fähig ist. Zum Teil gehen die Daten jetzt schon verschlüsselt durch das Netz, ich habe irgendwo gelesen das das manche Internet Knoten ohnehin Daten nur verschlüsselt austauschen, davon bekommt man so gar nichts mit.

[Frank]

Jetzt verschlüsselt
Das Forum wurde jetzt noch mal komplett aktualisiert, kleine Änderungen können die nächsten Tage und Wochen noch folgen um den neuen DSGVO Richtlinien bestmöglichst zu entsprechen. Zudem sind jetzt alle wichtigen Seiten wie Anmeldung/Registrierung sowie viele andere verschlüsselt. Die persönlichen Daten sind also jetzt noch sicherer, falls da jemand bedenken hatte.
Da jedoch in einigen Beiträgen Bilder per http von vielen Usern eingebunden wurden, ist es noch nicht möglich das alle Beiträge verschlüsselt übertragen werden. Da wo das nicht der Fall ist, werden auch diese Seiten verschlüsselt übertragen. Ein Sicherheitsrisiko sehe ich bei diesen Seiten nicht, da die Beiträge ja ohnehin öffentlich angezeigt werden - eine Verschlüsselung ist demnach hier sowieso wenig hilfreich.
Dennoch solltet Ihr Bilder zukünftig entweder auf das Roboternetz hochladen oder per https:// einbinden, dann wird diese Seite ebenfalls als "SICHER" gekennzeichnet und es ist sichergestellt das diese Bilder zukünftig auch immer dargestellt werden.

[Ceos]

Daumen hoch für die Arbeit und fürs Informieren

[oberallgeier]

Jetzt verschlüsselt . . .

Wieder mal Klasse, dass/wie Du Dich um solche Fragen/Bitten/Probleme kümmerst. Danke dafür - und all die Arbeit mit dem Forum.

[Frank]

Danke, ich versuche mein möglichstes, damit das Forum ein weiteres Jahrzehnt stabil erhalten bleibt, auch wenn es einem die vielen neuen Vorschriften wirklich sehr schwer machen. Die zahlreichen Richtlinien (z.B. Datenschutz) sind meiner Meinung inzwischen stark überzogen und nur auf Großfirmen wie Google / Amazon etc. zugeschnitten. Für normale Webseitenbetreiber die das doch vorwiegend aus Spaß machen und etwas Werbung zur Finanzierung einbauen ist der Betreiber Aufwand heute doch immens. Das wird sicher dazu führen das viele andere Betreiber das nicht mehr mitmachen und viele schöne Seiten in diesem Jahr verschwinden. Echt traurig.

[Thomas$]

Da ich mich wieder einloggen kann, bin ich froh dieses Forum wieder nutzen zu können. Sehr schön
Die dsgvo wird für Webseitenbetreiber nicht der Untergang sein