Verbesserungsvorschlag: Login über https?

[Bastler]

Als Paranoiker muss ich mal vorschlagen, das Login über https zu implementieren

Ist das technisch machbar? Oder läuft das Forum auf ner hosted solution und ssl kostet nen Hunderter extra im Monat oder so?


Gruß vom Bastler

[F]

Man bräuchte ein Zeritifikat(quasi einmalig).

[Bastler]

Naja, aber da gibts doch auch kostengünstige Möglichkeiten. Zum Einen kann man ja auch gerne ein selbstsigniertes Zertifikat nehmen. Solange der Fingerprint einmal bekannt ist ist das auch nicht unsicherer als ein fremdsigniertes, und den könnte man ja z. B. an der TU in irgend einem verschlossenen Schaukasten aushängen etc.

Alternativ bietet sich zum Beispiel <a href="http://www.cacert.org" target="new">CA Cert</a> an, die nehmen nichts und sollen demnächst sogar genauso wie Verisign und andere standardmäßig in verschiedene Browser integriert werden.


[edit] Sehe gerade, daß das Forum ja direkt auf der c4media.de - second level domain läuft. Da wird das mit dem Zertifikat natürlich schwierig, weil man exakt die zertifizieren müsste... damit das mit dem Zertifikat funktioniert müsste man also das Talking auf ne Subdomain oder ne eigene domain setzen... Das würde dann natürlich in der Tat weitere Kosten verursachen (obwohl ich mir sicher bin, daß man 10 Euro im Jahr für eine eigene Domain durchaus aus Spenden zusammenbekommen könnte )

[ups]

auf nem rootserver wäre nen selbstsigniertes zertifikat ja kein problem. denke aber, dass talking auf "normalem" webspace läuft und da wird der hoster das wohl nicht erlauben. die meisten bieten ja ssl-proxys an, wenn man kein eigenes zertifikat kaufen will (teuer).

ehrlich gesagt halte ich https aber nicht für nötig...

entscheidet über nen domainnamen und ich sponsor die. EK sind die wesentlich billiger als 10e

[Bastler]

auch auf men hosted webspace kann man Zertifikate verwenden, man braucht halt nur eine eigene Domain. Das Problem sehe ich eher darin, den Provider dazu zu bringen, das Zertifikat in die Apache-Konfiguration einzubinden...

Ist auch nicht 100% ernstgemeint gewesen, aber es läuft ja gerade die Diskussion über Datenschutz und Verschlüsselung und so, und da müsste man doch eigentlich gleich hier anfangen

Allerdings ist es tatsächlich ohne eigenen rootserver/vserver relativ anstrengend und den Aufwand wahrscheinlich nicht wert.

Das hatte ich beim Stellen der Frage nicht so bedacht, da ich nen eigenen vserver habe und davon irgendwie in Erinnerung hatte, daß das Einbauen eines SSL-Zertifikates eine Sache von ungefähr 5 Minuten ist, vorausgesetzt natürlich man hat schreibzugriff auf die httpd.conf...

[plaicy]

Für HTTPs braucht man IIRC auch eine einge IP. Soetwas lassen die sich meistens auch etwas mehr bezahlen. Die meisten Homepages haben ja keine eigene IP (Unterscheidung läuft per HTTP 1.1). c4media.de hat scheinbar aber auch keine IP (sonst müsste ja das gleiche rauskommen, wenn ich eine Seite per HTTP 1.0 und HTTP 1.1 abfrage).

Wenn man es richtig macht, sollte man dann auch noch das Cookie per SSL übertragen und kein Autologin machen. Der ganze Aufwand steht aber in keinem Verhältnis zum Nutzen. Der einzige Account der überhaupt schützenswert sein könnte, wäre ein Account mit Admin-Rechten. Dann sollte man aber auch die Homepage nicht per FTP verwalten...

[veloxx]

So ein Quatsch.

Vielleicht sollte man das Forum auch nur auf einem Rechner, in einem gesicherten Raum als Inselsystem, betreiben, so dass nur einer zur Zeit an den Rechner darf und er immer von einem der Moderatoren beaufsichtigt wird.

[Bastler]

Dann sollte man aber auch die Homepage nicht per FTP verwalten...

Richtig, sollte man nicht. Ich schreie ja auch nicht die Kombination für das Zahlenschloss zum Lager quer durch den Elektroladen

Aber wie gesagt, als ich diesen Thread eröffnete hatte ich nicht bedacht, daß das Forum auf hosted Webspace läuft. Und mit einem dedizierten (virtuellen-) Server ist Verschlüsselung eine Sache von 5 Minuten und null Mehrkosten, während sie auf hosted webspace praktisch unmöglich ist....

Vielleicht sollte man das Forum auch nur auf einem Rechner, in einem gesicherten Raum als Inselsystem, betreiben, so dass nur einer zur Zeit an den Rechner darf und er immer von einem der Moderatoren beaufsichtigt wird.

Angesichts der Tatsache, daß laut des Gerichtsurteiles von letzter Woche gegen Heise der Admin-C einer Website (also auch eines Forums) für sämtliche auf dieser Internetpräsenz verfügbaren Informationen voll persönlich haftet, unabhängig davon, ob es sich dabei vielleicht um die ausdrücklich gekennzeichnete Meinungsäußerung eines Dritten handelt, ist das leider nicht so bizarr, wie es eigentlich sein sollte.

Wenn ich Dich hier im Forum böse beschimpfe (rein hypothetisch natürlich), dann kannst Du den Talking-Admin wegen Beleidigung verklagen, und bekommst nach diesem Musterurteil mit großer Wahrscheinlichkeit recht. Denn ich habe es nur geschrieben, der Admin hat es veröffentlicht.