Login via https

Schon festgestellt? Dem Forum sind gerade alle Interaktionsmöglichkeiten genommen. :(

Mehr dazu unter: Abstimmung über das Forum

  • Kennt jemand eine Webseite mit einer Anleitung für https login?
    Irgentwie find ich nix weitreichendes.


    Bin soweit, dass ich weiß, dass https wohl über gekaufte Zertifikate läuft. Aber ob man das Ganze auch kostenlos hinbekommt, und wie man sein Loginsystem Schritt für Schritt auf https umstellt finde ich irgentwie nicht im Netz =(

  • also da musst du keine zeile code ändern vermute ich doch mal oder (vl weiß es einer besser)?


    das sagt einfach nur das die datenübertragung verschlüsselt ist. (desweiteren wird von einer 3 stelle bestätigt das du diese oder jene firma bist wenn ich das richtig verstanden habe)


    (ich selbst habe auch keine ahnung aber scheint so als müsste man sich so ein zertifikat kaufen (vll gibts auch kostenlose?) )
    zumindest wird bei meinen provider z.b. für 30€ im jahr ein AlphaSSL angeboten mh ka.


    aber solange du keine sensiblen daten hast brauchst du das ja nicht unbedingt

    Dieser Beitrag wurde bereits 2 Mal editiert, zuletzt von Roland ()

  • Naja, im Prinzip hat jeder sensible Daten, der ein Loginsystem auf seiner Seite hat.
    Ich hab da einiges gelesen zum Thema "Login ohne https". Und das beste Argument war, dass Nutzer nun mal doch überall die gleichen Passwörter nutzen. Heißt - wird Deine Seite "gehackt", dann sind Deine "Ich nutz überall ein Passwort"-User am A****.


    Fakt ist ja, das beim Absenden der Form das PW in Klartext gesendet wird. Und das will man ja verhindern.
    Es gibt zwar "schicke" Ideen wie zB ~onclick="machHierNenHashAusDemPWFunction(...)" aber, naja ... ist halt JS, und ohne JS läuft da nix.
    Gibt ein schönes Video, in dem gezeigt wird was man ohne https so alles anstellen kann. Aber ich finds nicht mehr =/

  • also das https ist dafür gut das der provider keine daten abfangen kann.
    bzw wenn du ein öffentliches wlan nutzt.


    deine webseite, vermutte ich mal, ist immernoch genausogut hackbar.

  • Ja, klar. Also men in the middle halt.
    Die website an sich ist ja dann ein ~anderes Thema.


    Ich hab lange gesucht und gelesen und es gibt wohl keine wirkliche einfache Möglichkeit sensible Daten wie zB den Login zu Verschlüsseln.
    Das beste was ich gelesen hab war bei CCC. Da stand ein Zitat von irgendwem, in dem es darum ging, dass es doch nur um die Verslüsselung sensible Daten geht und man doch dafür nicht zahlen müssen sollte.


    Also mein Fazit:
    Große Projekte => Zertifikat kaufen.
    Kleine Projekte => keine Verschlüsselung :(


    Ein selbst erstelltes Zertifikat würde Sicherheit bringen, allerdings bekommt der Benutzer eine Meldung vom Browser, dass dieses nicht sicher ist ect. Also => Benutzer verunsichert und "geht weg".


    Eine Hoffung hab ich allerdings noch: hat jemand Erfahrung ect mit kostenlosen Zertifikaten?

  • Es gibt doch OpenPGP Zertifikate, die sind kostenlos, und läuft halt so ab, dass sich die Nutzer gegenseitig verifizieren.
    Allerdings weiß ich nicht, ob man das auch in ne Website bauen kann.

  • Uuuuuum das Thema noch mal hoch zu holen, ... da es ja nun mal kein 0815 Thema ist ....


    Ich habe immernoch KEINE Möglichkeit gefunden ein kostenloses, vertrauenswürdiges Zertifikat zu bekommen.
    Über google stolpert man sofort über "StartCom".
    Dazu aber hier ein (älterer) Beitrag, der mich davon gleich wieder abhält: http://www.heise.de/newsticker…-Zertifikaten-137817.html

    Zitat


    Schon bei der Schlüsselerstellung geht StartCom nicht sonderlich seriös vor: Der "Certificate Creation Wizard" erzeugt den Private Key auf dem Server der israelischen Firma und übermittelt ihn dem Website-Betreiber über eine (SSL-gesicherte) Web-Seite. Eine Garantie, dass nicht eine Kopie des geheimen Schlüssels bei StartCom verbleibt, erhält er nicht.


    Ob das immernoch so ist, weiß ich nicht.


    Es finden sich also keine (zeitlich unbegrenzten) kostenlosen Zertifikate.
    Was nu?
    Ohne?
    Nö.


    Ich werd demächst wohl eigene Zertifikate erstellen, denen der Nutzer dann vertrauen muss.
    Ist zwar nicht "komisch" für den Nutzer, aber:

    Zitat


    Ein eigenes, selbst unterschriebenes SSL-Zertifikat kann man sich auch ohne offizielle Zertifizierungsstelle erstellen. Das ist im Zweifelsfall glaubwürdiger als eines, das von einer fragwürdigen Zertifizierungsstelle beglaubigt wurde. Die Anwender können es, nachdem sie sich selbst von der Echtheit überzeugt haben -- zum Beispiel indem sie den Fingerprint mit dem telefonisch erfragten vergleichen -- permanent in ihren Browser importieren.


    Außerdem sind "man in the middle"-Angriffe für "ich wills mal ausprobieren"-Hacker schon mal abgehakt.


    Ich hatte einen schönen Kommentar(?) im Netz gelesen, dass, wenn jeder eigene Zertifikate verwendet, der Nutzer die Gewohnheit findet alles zu bestätigen (Gewohnheitsklick).
    Aber das muss der Benutzer mit sich selbst ausmachen.


    Ich will nur endlich mal meinen Traffic (der eigenen Websites) Verschlüsseln, und das ohne zu zahlen.



    Wer Tipps hat - immer her damit!

  • Klar, Leistung kostet. Aber ich finde kleine Projekte sollten nicht "ungeschützter" sein.


    Hab noch was gefunden: https://www.cacert.org
    Das will ich die nächsten Tage mal testen. Das Prinzip soll so ne Art gegenseitiges Vertrauensdingens sein. .. mal sehn ...


    startssl sieht auch ganz nett aus. Die sind momentan in maintenance. Hatte heute aber bei denen gesehen, dass es ein free cert für 1 Jahr gibt.

  • Ich möchte die Party nicht sprengen, aber es gibt neben der Sicherheit auch noch Wichtigeresr:


    Bei Sicherheit gibt es nur ganz oder gar nicht! Wenn SSL dann bitte richtig und dafür muss man eben ein paar Euro springen lassen! Man muss eben vorher auch gut einschätzen ob SSL überhaupt notwendig ist, ist es nämlich in den meisten Fällen absolut nicht da kaum persönliche Daten verarbeitet werden. Facebook hat allen Grund dazu SSL Zertifikate zu nutzen, ebenso Ebay, Amazon und die anderen ganz großen. Die eigene private Homepage mit Urlaubsbildern, das eigene kleine Forum oder der selbst programmierte JavaScript Taschenrechner brauchen definitiv kein SSL.


    Grundsätzlich würde ich das so verallgemeinern:
    - private Seite: kein SSL
    - kommerzielle Seite mit keiner oder wenig Verarbeitung von persönlichen Daten: kein SSL
    - kommerzielle Seite mit viel Verarbeitung persönlicher Daten: auf jeden Fall SSL



    Also wenn schon, dann vernünftigen Anbieter suchen, alles andere erfüllt wenig Sinn und endet meistens so:


    seminar.jpg

  • Also wenn schon, dann vernünftigen Anbieter suchen, alles andere erfüllt wenig Sinn und endet meistens so:


    Japp, das ist ja das, was ich mit "Gewohnheitsklick" meinte.


    Aber ich sehe es ein bissl kritischer. Denn sobald ich auf meinen Seiten einen Login anbiete, sollte ich doch auch dafür sorgen, dass die Übertragung des Logins verschlüsselt ist.
    (mal jetzt davon abgesehen, WIE denn eigtl der Angreifer da ran kommen könnte)

  • Das kommt eben auf den Zweck deiner Seite an, dieses Forum nutzt auch kein SSL Zertifikat und braucht auch nicht wirklich eines.


    Könntest du ein Beispiel nennen wieso du denkst das man das unbedingt braucht? :)

  • "unbedingt" ist ja Ansichtssache =)
    Aber für mich reicht es schon wenn ich weiß, dass man per man in the middle die Daten im Klartext mitlesen kann.
    Klar, dazu muss der Angreifer erstmal "in the middle" kommen. Und wenn das zB bei nem WLAN der Fall ist, ist nicht die Website "schuld".


    Aber angenommen Du bist irgentwo mit Deinem Smartphone unterwegs (zB Hotel) und loggst Dich in das dort vorhandene WLAN ein.
    Und das Netz wird von nem Bösewicht abgelauscht. Dann kann der Deine Logindaten im Klartext mitlesen, sobald Du Dich auf einer unverschlüsselten Seite anmeldest.


    Die Frage wer dann schuld hat ist mir in dem Moment erstmal egal. Mir wäre eher wichtig, ob ich mit ner einmalig eingerichteten Verschlüsselung (wenn auch nicht die Beste) das Ganze hätte verhindert werden können.


    BTW:
    per JS könnte man das Loginproblem lösen, WENN ich dahinter kommen würde, wie ich richtige Private und Public Keys erstellen kann :D
    Hatte mal nen Keyaustausch angefangen - funktionierte auch. Aber die Schlüssel waren nur numerisch und zu kurz (also nutzlos :D)

  • Die absolute clientseitige Sicherheit die du erreichen möchtest hast du niemals, auch mit einem SSL Zertifikat nicht, wenn der Bösewicht im selben Netzwerk sitzt. Dein JavaScript ist einsehbar, der Angreifer weiß sofort wie du Daten verarbeitest und braucht wenn es hoch kommt 5 Minuten um alles im Klartext vorzufinden.


    Moderne Browser leisten übrigens auch schon eine gewisse Arbeit in Sachen Verschlüsselung, ich würde mir da also nicht zu viele Gedanken machen.


    Die Sicherheit von Seite des Clients geht auch nur vom Client aus, der beste Weg ist es die Leute darüber zu informieren wie sie sich aktiv schützen können, dies tun selbst die großen Seiten mit SSL Zertifikaten.


    Das einfache Grundprinzip dahinter ist es Daten direkt nach dem Absenden durch den Benutzer abzufangen (z.B. indem man im selben Netzwerk sitzt und den Datenverkehr einsehen kann), in dem Moment hilft auch SSL nicht.

  • Zitat

    Dein JavaScript ist einsehbar, der Angreifer weiß sofort wie du Daten verarbeitest und braucht wenn es hoch kommt 5 Minuten um alles im Klartext vorzufinden.


    Naja, das Prinzip ist das Gleiche. Die SSL Verschlüsselung kann man ja sicherlich auch einsehen.
    Ich denke nicht, dass es so ein großes Geheimis ist, wie der Ablauf der Verschlüsselung ist.
    Und das ist ja auch der Punkt: Ablauf offen einsehbar. Das "Knacken" aber dennoch Rechenintensiv.
    Und klar - wie schon gesagt - bei meinem Script sind die Schlüssel zu simpel. Daher kein Großes Ding die zu knacken.


    Zitat

    Die Sicherheit von Seite des Clients geht auch nur vom Client aus


    Sicher. Aber wir kennen das doch alle -> User x nutzt PW "klaus1979" auf allen Logins.
    Wird er nun in SEINEM Netz beim Login auf MEINER Seite belauscht, dann fühle ich mich mitschuldig ... auch wenn ichs nicht wirklich bin - ich hätte es doch evtl verhindern können.


    Zitat

    Das einfache Grundprinzip dahinter ist es Daten direkt nach dem Absenden durch den Benutzer abzufangen (z.B. indem man im selben Netzwerk sitzt und den Datenverkehr einsehen kann), in dem Moment hilft auch SSL nicht.


    Doch(?).
    Also wenn ich das Thema jetzt von Anfang an nicht komlett verfehlt hab (kann mich ja auch irren), dann muss der Angreifer die empfangenen Daten entschlüsseln.
    Er bekommt keinen clear text. Und ohne dem PrivateKey des Users (der zu keinem Zeitpunkt durchs netz geht) kommt er da nicht ran.
    Heißt letzten Endes für den Angreifer : rechnen lassen.
    Und welcher "möchtegern"-Hacker will denn schon ewig warten, bis er evtl die Chance hat an noch komplett unbekannte Daten zu kommen?
    Dann heißt es doch eher : ab zum nächsten "Opfer".


    Also wie gesagt - ich kann mich auch irren. Hab mir das Thema (privateKey/publicKey ...) ne Weile angesehen und denke, dass es immernoch wert ist seine "normalo-Website" zu verschlüsseln, sobald ein Login ins Spiel kommt.

  • Den Quellcode der Verschlüsselung durch den SSL Dienst kann man selbstverständlich nicht einsehen und ebenso selbstverständlich ist der genaue Ablauf der Verschlüsselung geheim und wird nicht aus dem Firmengebäude getragen.


    Das du dich mitschuldig fühlst und denkst du brauchst SSL nur weil du einen Login hast dann ist das Ansichtssache und wir sehen das Ganze unterschiedlich, da braucht man nicht weiter drauf eingehen, außer das ich dir dann vielleicht leicht sarkastisch unterstellen würde das du zu viel Geld hast und mir gerne etwas zuschicken darfst ;)


    Im selben Netzwerk kannst du die Daten in der Theorie unverschlüsselt abfangen, selbst wenn eine SSL Verschlüsselung stattfindet

  • Also mit dem Geld ... das können wir gleich mal abhacken :D


    Wegen der Daten im gleichen Netzwerk - ja, wie?
    Wenn das möglich wäre, dann hätte ja jegliche Verschlüsselung null Sinn.
    Der Hickhack zwecks PrivateKey und PublicKey (...) passiert ja zwischen Browser und Webserver.

  • Das ist richtig aber wenn wir von der Grundlage ausgehen das der Angreifer im selben Netzwerk sitzt kann er theoretisch auch direkt auf deine Software zugreifen und deine Eingabe abfangen, ist natürlich utopisch aber möglich. Utopie ist in diesem Thread meiner Meinung nach ja schon länger der Fall :)