Sicherheit in GLF und Internet - Wichtig für neue User!
Benutzeravatar
Horizonzero
Beiträge: 13321
Registriert: 29.01.2009, 18:08
AoA: ab 8 aufwärts
Wohnort: [email protected]

Re: GLF mit https

Beitrag von Horizonzero »

hatte ich vorher schon. :mrgreen:
679KCNGQQ (Teleguard)
Benutzeravatar
Lolimat
Beiträge: 1497
Registriert: 04.07.2010, 14:37
AoA: 7-12 ungefähr

Re: GLF mit https

Beitrag von Lolimat »

Ovid hat geschrieben:Interessant in dem Zusammenhang:
http://girlloverforum.net/forum/viewtop ... 74#p156668
Ovid, was Du über mögliche Man-in-the-Middle-Angriffe geschrieben hast, ist sicherlich richtig. Ich halte ein solches Szenario persönlich aber für ziemlich unwahrscheinlich, ohne das jetzt fundiert Begründen zu wollen (bzw. können).
Ich wollte einfach nur darauf hinweisen, dass das GLF eine kleine aber nützliche Sicherheitsfunktion anbietet, die man ohne Mühe und Aufwand nutzen kann.

Für viel gefährlicher als einen Man-in-the-middle-Angriff halte ich die Dummheit des Benutzers. Da habe ich mich doch selbst grade dabei erwischt, wie ich Deinen o.g. Link kopiert und in einen neuen Tab eingefügt habe. Natürlich ohne vor dem Enter-Drücken noch ein "s" einzufügen. Und schon habe ich wieder unverschlüsselt gesurft. :roll: :roll:
Ovid hat geschrieben: Herausfinden, dass man das GLF ansurft, wenn man abhört, kann man sowieso.
Eben. Und grade weil keine Anonymität herrscht, ist es besonders wichtig dass es auch davei bleibt, dass ein unbefugter Mitleser "nur" weiss, wer Du bist und dass Du das GLF kontaktierst - und nicht auch noch erfährt, wer Du im GLF bist und was Du im GLF schreibst.
Im übrigen werde ich nicht müde, darauf hinzuweisen, dass man bei fehlender Anonymität Tor verwenden sollte und dass das GLF mit Tor bestens läuft, auch über https.


P.S.
Exhis Winke-Smiley kommt übrigens von einem anderen Server (http://www.myvowclan.de/forum/images/smilies/wave.gif) und diese Verbindung ist auch nicht verschlüsselt.
Ich möchte an dieser Stelle höflichst aber nachdrücklich alle User dazu auffordern, auschließlich verschlüsselte Winke-Smileys zu posten, die meine gepflegte https-Verbindung nicht beeinträchtigen. Tsss. Naserümpf.

... und sie sah die Welt nicht so wie sie war, sondern wie sie sein könnte. aus Cinderella

TorChat: klick auf Profil.
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Lolimat hat geschrieben: Ovid, was Du über mögliche Man-in-the-Middle-Angriffe geschrieben hast, ist sicherlich richtig. Ich halte ein solches Szenario persönlich aber für ziemlich unwahrscheinlich, ohne das jetzt fundiert Begründen zu wollen (bzw. können).
Ich wollte einfach nur darauf hinweisen, dass das GLF eine kleine aber nützliche Sicherheitsfunktion anbietet, die man ohne Mühe und Aufwand nutzen kann.
Mhh. Ja.
Ich wollte auf folgendes hinaus:
Wenn man SSL nutzt, dann ist das nur dann besser als http-only, wenn man sich daran hält, was ich sagte.

Denn, wenn es jemand es schon schafft allgemein abzuhören, dann wird er auch eine MitM-Attacke hinkriegen. Und dagegen kann man sich wehren, wenn gewusst wie. (Zertifikatsgleichheit/Fingerprinting)
Benutzeravatar
Sandy
Beiträge: 170
Registriert: 01.03.2011, 14:58
AoA: 4-11
Wohnort: Meistens zu hause....

Re: GLF mit https

Beitrag von Sandy »

Ich bin gerade umgestiegen! Also *Meld*

Aber, macht es denn überhaupt einen Sinn?
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Sandy hat geschrieben: Aber, macht es denn überhaupt einen Sinn?
Steht doch alles da. :? (+Link oben)
Benutzeravatar
Waldbär
Beiträge: 2078
Registriert: 08.10.2008, 21:21
AoA: 7-17
Kontaktdaten:

Re: Urin Fetisch

Beitrag von Waldbär »

@Smaragd
Wo wir gerade bei "Kacke" sind: Deine Links (die hier ja eh keine sind) empfinde ich als solche. Dein Hang zu "https" bewirkt nämlich, dass ich das "s" (oder die Protokollangabe an sich) immer erst wegmachen muss, wenn ich den Link aufrufe. Wenn ich es vergesse, werde ich abgemeldet, ausserdem öffnet sich ein Sicherheitsloch, weil mein Proxomitron verschlüsselte Seiten nicht filtert. Die eigentlichen (externen) Verschlüsselungsebenen bleiben zwar vorhanden, aber die Identität ändert sich willkürlich.
Na ja, vielleicht finde ich noch 'ne eigene Methode, um die SSL-Verschlüsselung in diesem Kontext bei mir unmöglich zu machen, aber bis dahin macht mich das :evil:.

Waldbär
Liebst du die Sonne? ©Mima

http://waldbaer.leadhoster.com/
Benutzeravatar
Der Bunte
Beiträge: 1046
Registriert: 09.10.2008, 06:54
AoA: 9-13
Kontaktdaten:

Re: Urin Fetisch

Beitrag von Der Bunte »

Waldbär hat geschrieben:Dein Hang zu "https" bewirkt nämlich, dass ich das "s" (oder die Protokollangabe an sich) immer erst wegmachen muss, wenn ich den Link aufrufe. Wenn ich es vergesse, werde ich abgemeldet
Das ist nicht nur bei Smaragd so, auch bei anderen Usern, die was Zitieren oder als Bild einstellen.... bei anderen dann wiederrum nicht...
Ich hatte es auch schon mal irgendwo erwähnt, finde den Post aber grad nicht wieder....
Nervig ist das allemal....
Ansich ist ja an Https nichts verwerfliches, nur sollte sich das GLF entscheiden.. Http oder Https. Dann passiert so etwas auch nicht mehr.

Sollte vielleicht in den entsprechenden Thread verschoben werden... hat hier nichts zu suchen... http://girlloverforum.net/forum/viewtop ... =23&t=7077
http://lmgtfy.com/?q=Kindessexualitaet
-------------------------------------------------------------------------
Benutzeravatar
Smaragd aus Oz
Beiträge: 12755
Registriert: 09.05.2009, 10:34
Kontaktdaten:

Re: Urin Fetisch

Beitrag von Smaragd aus Oz »

[color=#000000]Waldbär[/color] hat geschrieben:Wo wir gerade bei "Kacke" sind: Deine Links empfinde ich als solche.
Danke für die Blumen. @->-----
Ich bin untröstlich, Dich in :evil: zu verwandeln. Hoffentlich wäschst Du Dir nach jedem meiner Links auch gut die Hände.

[color=#000000]Sarahlie[/color] hat geschrieben:Http oder Https.
Wir prüfen das mal.
... Und hab’s Pflücken nicht gemacht.
Benutzeravatar
Follower of Mara
Beiträge: 353
Registriert: 18.07.2010, 20:08
Wohnort: ★☆★ Tausendjähriges Loli-Reich ★☆★
Kontaktdaten:

Re: GLF mit https

Beitrag von Follower of Mara »

Für alle Firefox-Nutzer: Girllover-Forum komplett auf https umstellen mit der Erweiterung https everywhere

Anleitung:
1) https everywhere installieren und anschließend neustarten ( gibts hier http://www.eff.org/https-everywhere)
2) Alle GLF-Cookies löschen
3) Den Inhalt folgender Code-Box in einen Text-Editor kopieren und unter in euerem privaten Firefox-Ordner als glf.xml speichern.

Code: Alles auswählen

<ruleset name="Girlloverforum">
  <target host="www.girlloverforum.net" />
  <target host="girlloverforum.net" />
  <securecookie host="^www\.girlloverforum\.net$" name=".*" />
  <rule from="^http://(www\.)?girlloverforum\.net/" to="https://www.girlloverforum.net/"/>
</ruleset>
Zielordner (je nach Betriebssystem):

Code: Alles auswählen

C:\Documents and Settings\%USERNAME%\Local Settings\Application Data\Mozilla\Firefox\Profiles\%PROFIL%\HTTPSEverywhereUserRules
C:\Users\%USERNAME%\Local Settings\Application Data\Mozilla\Firefox\Profiles\%USERNAME%\HTTPSEverywhereUserRules
[...]
4) Browser neustarten und ausprobieren

Das ganze hat den Vorteil, dass für das GLF garantiert immer die https-Verbindung benutzt wird, auch wenn ihr einem Link wie http://www.girlloverforum.net/forum/mem ... ile&u=2196 folgt (klickbar per https://addons.mozilla.org/en-us/firefo ... ification/). Das klappt nämlich sonst nur, wenn man stets manuell 'https://' statt 'http:/' eingibt.
Besonders zu empfehlen ist das allen Tor-Benutzern, da sonst die Exit-Nodes eure Login-Daten klauen können.

Ich habe es noch nicht lange getestet. Sollte es Probleme geben, könnt ihr einfach in die Einstellungen von https-everywhere gehen und "Girlloverforum" dort deaktivieren (oder die Datei glf.xml löschen und den Browser neustarten)

Allerdings habe ich keine Lösung für die nicht-https-Nutzer. Die müssen das 's' wohl weiterhin per Hand entfernen, wenn sie es nicht wollen ;)
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Re: GLF mit https

Beitrag von Annika »

kleine Anmerkung. Das einzige was ihr (Middle-Man Attacke ausgenommen) mit https verhindern könnt, ist das Mitlesen eures Passwortes. Darum bin ich der Meinung den Login auf jeden Fall auf SSL umzustellen. Alles andere wird eh eindeutig vom ISP geloggt: was ihr gelesen oder geschrieben habt kann anhand der Url erkannt werden. Eine bloße inhaltliche Textüberprüfung mit Schlüsselwörtern durch den ISP kann durch https natürlich abgewendet werden. Ist aber wohl unwahrscheinlich und unerheblich

Für paranoide User wäre es weit wichtiger nach dem Ausloggen die "Board-Cookies" zu löschen, ansonsten ist euer Konto auch ohne Cookies zugänglich. Susi weiß sicherlich noch wovon ich rede ^^


PS.
den Zugang über die SID per https (ohne Cookies) hab ich noch nicht probiert, aber ist wohl das selbe wie per http. Offenbar werden auch hier keine Cookies gesetzt. Kann ich aber nicht genau sagen, da ich über ein Online-Proxy gehe und nur von dem die Cookies belomme.

Wenn natürlich in der "SSL-SID-Siganatur" der Public Key des Nutzers enthalten wäre (den nur dieser zu Entschlüsseln im Stande ist), dann wäre das ein zusätzlicher Schritt für mehr Sicherheit im Internet (ausgenommen Middleman Attacke). Ist aber wohl nur Zukunfts-Phantasie)
Dumm fickt gut. Noch Fragen ??
Benutzeravatar
Waldbär
Beiträge: 2078
Registriert: 08.10.2008, 21:21
AoA: 7-17
Kontaktdaten:

Re: GLF mit https

Beitrag von Waldbär »

I*like*the*dawn hat geschrieben:Allerdings habe ich keine Lösung für die nicht-https-Nutzer. Die müssen das 's' wohl weiterhin per Hand entfernen, wenn sie es nicht wollen ;)
Jo, hab nicht gesehen, dass mein Proxomitron das alles schon eingebaut hat, ich hätt's nur aktivieren müssen. Automatisieren wäre dann auch kein Thema mehr. So kriege ich halt 'ne Nachfrage, was mir eigentlich am liebsten ist.

Waldbär
Liebst du die Sonne? ©Mima

http://waldbaer.leadhoster.com/
Benutzeravatar
Sandy
Beiträge: 170
Registriert: 01.03.2011, 14:58
AoA: 4-11
Wohnort: Meistens zu hause....

Re: GLF mit https

Beitrag von Sandy »

Also bei mir funzt es sowohl mit als auch ohne....-weiß nicht was Ihr habt.

Ich habs nur mit "https" gespeichert und so SOLLTE es auch bei anderen funktionieren! Es gibt schließlich keinen Grund warum nicht.

-Es sei denn natürlich das man mit der Weiterleitung durch den Prov. schon Probleme hat und sich bereits jemand dazwischen gehängt hat.....
Benutzeravatar
Waldbär
Beiträge: 2078
Registriert: 08.10.2008, 21:21
AoA: 7-17
Kontaktdaten:

Re: GLF mit https

Beitrag von Waldbär »

Sandy hat geschrieben:und so SOLLTE es auch bei anderen funktionieren! Es gibt schließlich keinen Grund warum nicht
Einige der mannigfaltigen Gründe wurden weiter oben dargelegt.

Waldbär
Liebst du die Sonne? ©Mima

http://waldbaer.leadhoster.com/
Benutzeravatar
Sandy
Beiträge: 170
Registriert: 01.03.2011, 14:58
AoA: 4-11
Wohnort: Meistens zu hause....

Re: GLF mit https

Beitrag von Sandy »

Waldbär hat geschrieben: Einige der mannigfaltigen Gründe wurden weiter oben dargelegt.

Waldbär
Waldbär, dass sind HINDERNISSE, keine GRÜNDE!
Benutzeravatar
Peter Pan
Beiträge: 212
Registriert: 04.03.2014, 20:13
AoA: 6-10
Wohnort: Deutschland

GLF nur unter http zu erreichen

Beitrag von Peter Pan »

Moin zusammen,

seit ich hier im Forum bin, sagt mir Chrome, dass https nicht möglich ist (bin also bisher immer unverschlüsselt drin gewesen). Ist das mein persönliches, technisches oder softwaremäßiges Problem oder ist das bei euch auch? Und ist es überhaupt ein Problem? (Mal abgesehen davon, dass meine Logins unverschlüsselt rüberkommen... :?)

@ Mod. - Danke fürs Verschieben :oops:
Zuletzt geändert von Peter Pan am 01.04.2014, 06:46, insgesamt 1-mal geändert.
"Und manchmal, während wir so schmerzhaft reifen, dass wir beinahe daran sterben, erhebt sich aus allem, was wir nicht begreifen, ein Gesicht und sieht uns strahlend an" Rainer Maria Rilke
Antworten