Moin Moin,

wir haben gerade einige Updates an dem Webserver durchgefuehrt. Schuldigung, fuer die kurzzeitigen Aussetzer ;-) Jedenfalls koennen wir dir mitteilen, dass nun keinerlei IPs mehr gespeichert werden. Siehe auch http://www.wirspeichernnicht.de/ und http://www.daten-speicherung.de/?page_id=198

Ausserdem haben wir dem Server ein SSL Zertifikat spendiert. Du solltest nun also, wann immer es geht, https://www.fb18.de benutzen um eine sichere Verbindung zum Server aufzubauen.

Fuer Fragen wende dich einfach an uns, also an Muelli oder Tri.
MfG
Muelli && Tri

ist es richtig so, dass nur die mainpage geSSLt wird??

Nein und auch zumindest hier nicht der Fall? ggf. mal nen richtigen reload machen oder den Cache leeren?

Cool :)

Oh, sehr nett. Vielleicht kannst du noch einstellen, dass man unter http://3773.fb18.de/ auf die per SSL verschlüsselte Suche nach neuen Beiträgen kommt?

Edit: Hmmm, wenn man sich das hier so durchliest, ist das bei dieser CA "StartCom" eigentlich nur vorgetäuschte Sicherheit. Oder haben die sich inzwischen gebessert? Bei mir war das Stammzertifikat jedenfalls installiert. Ob das nun so gut ist?

http://fb18.de/ zeigt nur die apache test seite

zum ssl: startcom hat wohl ein wenig nachgebessert, man kann sich das zertifikat nur an bestimmte adressen schicken lassen,
damit ist das ganze ähnlich (un)sicher wie verisign's instant-zertifikat.
wer die möglichkeit hat, die verbindung zum https server abzufangen, hat meistens auch die möglichkeit, die emails abzufangen..

Siehe auch http://www.wirspeichernnicht.de/

Wird dann auch von euch das entsprechende Siegel angefordert?

Triphoenix: so schnell hast du selten einen Hinweis umgesetzt (heise-Artikel von gestern). ;-)

bekommt man die Meldung auf jeder Seite (Du benutzt kein SSL..) jetzt immer angezeigt oder kann man sie in den Optionen wegschalten? ;)

Bis jetzt bekommt man sie immer angezeigt, SSL beißt nicht wirklich. Eine Option vielelicht später mal aber dafür habe ich diese Woche einfach keine Zeit.

Die 3773-Umleitung arbeitet jetzt auf SSL.

http://fb18.de/ zeigt nur die apache test seite

Sollte nun auch gefixt sein.

Bin ich jetzt ein Freak, wenn ich sage, SSL brauche ich hier nicht und um aus Umweltgründen den Stromverbrauch niedrig zu halten und das Netz zu entlasten, lasse ich es aus? [15] Ich meine, ist ja nicht nur der Strom, den die CPUs dort und hier zum Verschlüsseln und Entschlüsseln brauchen. Die Rechner der ganzen Geheimdienste sitzen ja auch noch dran. [24]

LOL

Und wenn sie dann glauben, in deinem Datenverkehr was gefunden zu haben, dann fahren sie mit Ausdrucken wedelnd ins Hauptquartier, um es dem Chef zu zeigen – was das wieder an Benzin kostet…

mal so ne frage…ich benutz *gaanz ganz böse* den IE 7…
jetzt hab ich das problem, dass der jedesmal wenn ich ne https://fb18/** seite öffne,
die Nachricht: "Es besteht ein Problem mit dem Sicherheitszertifikat der Website" kommt. Man warnt mich:
"Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen"
Ich kann wählen zwischen "Klicken Sie hier, um diese Webseite zu schließen. " oder "Laden dieser Website fortsetzen (nicht empfohlen).". Microsoft legt mir nahe, "dass Sie die Webseite schließen und nicht zu dieser Website wechseln. "

wenn ich das Zertifikat installier, hilft das irgendwie nix :( wie krich ich diese Affenarsch-fehlermeldung weg, OHNE den Brausa zu wechseln!!

Sicherheitseinstellung vom IE durchgucken? Vielleicht kann man da Warnungen abschalten.

Aber ist schön zu wissen, dass MS wie bei nicht signierten Treibern (sehr nervig imo) auch bei Nichbezahlzertifikaten meckert. [22]

Nun, ohne jetzt die komplette Theorie dieser Nichtbezahl-Zertifikate zu kennen, ist es doch nicht schlecht, den User vor vorgetäuschter Sicherheit oder gar einer konkreten Attacke zu warnen.

(Mal ganz abgesehen davon, daß Sicherheitsmeldungen eh nix bringen, weil man immer auf OK klickt.)

[offtopic]

Nun, ohne jetzt die komplette Theorie dieser Nichtbezahl-Zertifikate zu kennen, ist es doch nicht schlecht, den User vor vorgetäuschter Sicherheit oder gar einer konkreten Attacke zu warnen.

Wenn es denn darum ginge. Bei den Treibern hat die Signatur - soweit ich weiß - hauptsächlich zur Folge, dass der HW-Hersteller Geld an MS gezahlt hat dafür.

Ich könnte mir vorstellen, dass dies bei Zertifikatausstellern ähnlich ist.

Inwiefern jeweils etwas überprüft/getestet wird, weiß ich nicht, jemand anderes?
Edit2: Habe dazu etwas gefunden: http://www.worldofvista.de/index.php?a=content/news..1111.

Zahlreiche ordnungsgemäß signierte Treiber für die 64-Bit-Versionen von Windows Vista sind nämlich so schlecht programmiert, dass sie als Einfallstor für Schadprogramme missbraucht werden können.

Dies hatte die Sicherheitsexpertin Joanna Rutkowska auf der Security-Konferenz Black Hat vor kurzem während einer Präsentation nachgewiesen. Im Fall von Atsiv war eine schnelle Reaktion von Microsoft zwar möglich, doch wie man auf Angriffe mit Hilfe anderer Treiber von Drittanbietern reagieren will ist unklar.

[/offtopic]

Edit: Das Problem scheint auch bei DFN-Zertifikaten zu bestehen: http://www.uni-muenster.de/WWUCA/info/howto-import-ie.html

Nun, ohne jetzt die komplette Theorie dieser Nichtbezahl-Zertifikate zu kennen, ist es doch nicht schlecht, den User vor vorgetäuschter Sicherheit oder gar einer konkreten Attacke zu warnen.

Wenn es denn darum ginge. Bei den Treibern hat die Signatur - soweit ich weiß - hauptsächlich zur Folge, dass der HW-Hersteller Geld an MS gezahlt hat dafür.

Klar, je höher die Hürde (Kosten/Nichtanonymität), desto geringer die Wahrscheinlichkeit, daß Schindluder mit den Zertifikaten getrieben wird.

Kann mir nicht vorstellen, daß die Infrastruktur, die mit einer hohen Vertrauensfähigkeit einhergeht, kostenlos oder von kleineren freien Projekten getragen werden kann.

Ich könnte mir vorstellen, dass dies bei Zertifikatausstellern ähnlich ist.

Davon gehe ich auch aus.

Zahlreiche ordnungsgemäß signierte Treiber für die 64-Bit-Versionen von Windows Vista sind nämlich so schlecht programmiert, dass sie als Einfallstor für Schadprogramme missbraucht werden können.

Hm? Soll die Zertifizierung nur nach einem vollständigen code audit oder sowas vergeben werden, um zeitgemäße Sicherheitsmaßnahmen und Hintertür-Freiheit zuzusichern? Ich glaube kaum, daß das machbar ist. Ich dachte immer, diese Zertifizierung soll nur sicherstellen, daß der Claim "kommt von X und ist seitdem nicht verändert worden" bewiesen wird? Aber wie gesagt, ich bin da nicht so der Experte.

Zahlreiche ordnungsgemäß signierte Treiber für die 64-Bit-Versionen von Windows Vista sind nämlich so schlecht programmiert, dass sie als Einfallstor für Schadprogramme missbraucht werden können.

Hm? Soll die Zertifizierung nur nach einem vollständigen code audit oder sowas vergeben werden, um zeitgemäße Sicherheitsmaßnahmen und Hintertür-Freiheit zuzusichern? Ich glaube kaum, daß das machbar ist. Ich dachte immer, diese Zertifizierung soll nur sicherstellen, daß der Claim "kommt von X und ist seitdem nicht verändert worden" bewiesen wird? Aber wie gesagt, ich bin da nicht so der Experte.

Codequalität wird durchaus immer wieder als Grund für solche Treiberzertifizierungen genannt. Zum erhaltene ines soclehn Zertifikates gehört meines wissens nach auch ein längerer Test der Treiber, der aber natürlich auch nur "einfache" Dinge wie memory leaks oder Korruption von Datenstrukturen auftun wird und nicht etwas interessantere Sicherheitslücken.

Codequalität wird durchaus immer wieder als Grund für solche Treiberzertifizierungen genannt. Zum erhaltene ines soclehn Zertifikates gehört meines wissens nach auch ein längerer Test der Treiber, der aber natürlich auch nur "einfache" Dinge wie memory leaks oder Korruption von Datenstrukturen auftun wird und nicht etwas interessantere Sicherheitslücken.

Ah, das ist interessant. Na immerhin, besser wie nix! ;)

Spricht was dagegen, alle http://www.fb18.de/...-Requests auf https umzubiegen?

Spricht was dagegen, alle http://www.fb18.de/...-Requests auf https umzubiegen?

Ja, Browser, die kein SSL können.

Spricht was dagegen, alle http://www.fb18.de/...-Requests auf https umzubiegen?

Ja, Browser, die kein SSL können.

Es gibt diverse Länder in denen es nicht so einfach erlaubt ist Kryptographie zu benutzen (Russland, Israel, China, Venezuela, Vietnam, Pakistan, Saudi Arabien, …).

Es gibt diverse Länder in denen es nicht so einfach erlaubt ist Kryptographie zu benutzen (Russland, Israel, China, Venezuela, Vietnam, Pakistan, Saudi Arabien, …).

Und bald auch Teutschland bzw. Schland

Es gab vor 1998 tatsächlich Bestrebungen Kryptographie zu reglementieren. Also nur mit Lizenz, Lizenz gibt es nur wenn man den private key beim Staat einreicht.

[offtopic]irgendwie klingt das "vor 1998" gerade fast so wie "vor 1989" oder gar "vor 1945" …[/offtopic]

http://www.heise.de/newsticker/meldung/97050

Seit vergangener Woche gilt in Großbritannien Teil Drei des Regulation of Investigatory Powers Act (RIPA). Strafverfolgungsbehörden können damit die Herausgabe von Passwörtern und Krypto-Schlüsseln unter Androhung von bis zu fünfjährigen Haftstrafen erzwingen.

Dort haben wir im Prinzip schon ein Crypto Verbot.

sorry, ich brauch einen antwort um ein eMail Problem zu investigieren

MfG
Muelli

A propos SSL: Der selbstreferenzierende Forum-Link unter fb18.de verweist auf http und nicht auf https… Nur so am Rande.