GLF

hatte ich vorher schon.

Ovid hat geschrieben:Interessant in dem Zusammenhang:
http://girlloverforum.net/forum/viewtop ... 74#p156668

Ovid, was Du über mögliche Man-in-the-Middle-Angriffe geschrieben hast, ist sicherlich richtig. Ich halte ein solches Szenario persönlich aber für ziemlich unwahrscheinlich, ohne das jetzt fundiert Begründen zu wollen (bzw. können).
Ich wollte einfach nur darauf hinweisen, dass das GLF eine kleine aber nützliche Sicherheitsfunktion anbietet, die man ohne Mühe und Aufwand nutzen kann.

Für viel gefährlicher als einen Man-in-the-middle-Angriff halte ich die Dummheit des Benutzers. Da habe ich mich doch selbst grade dabei erwischt, wie ich Deinen o.g. Link kopiert und in einen neuen Tab eingefügt habe. Natürlich ohne vor dem Enter-Drücken noch ein "s" einzufügen. Und schon habe ich wieder unverschlüsselt gesurft.

Ovid hat geschrieben: Herausfinden, dass man das GLF ansurft, wenn man abhört, kann man sowieso.

Eben. Und grade weil keine Anonymität herrscht, ist es besonders wichtig dass es auch davei bleibt, dass ein unbefugter Mitleser "nur" weiss, wer Du bist und dass Du das GLF kontaktierst - und nicht auch noch erfährt, wer Du im GLF bist und was Du im GLF schreibst.
Im übrigen werde ich nicht müde, darauf hinzuweisen, dass man bei fehlender Anonymität Tor verwenden sollte und dass das GLF mit Tor bestens läuft, auch über https.


P.S.
Exhis Winke-Smiley kommt übrigens von einem anderen Server (http://www.myvowclan.de/forum/images/smilies/wave.gif) und diese Verbindung ist auch nicht verschlüsselt.
Ich möchte an dieser Stelle höflichst aber nachdrücklich alle User dazu auffordern, auschließlich verschlüsselte Winke-Smileys zu posten, die meine gepflegte https-Verbindung nicht beeinträchtigen. Tsss. Naserümpf.

Lolimat hat geschrieben: Ovid, was Du über mögliche Man-in-the-Middle-Angriffe geschrieben hast, ist sicherlich richtig. Ich halte ein solches Szenario persönlich aber für ziemlich unwahrscheinlich, ohne das jetzt fundiert Begründen zu wollen (bzw. können).
Ich wollte einfach nur darauf hinweisen, dass das GLF eine kleine aber nützliche Sicherheitsfunktion anbietet, die man ohne Mühe und Aufwand nutzen kann.

Mhh. Ja.
Ich wollte auf folgendes hinaus:
Wenn man SSL nutzt, dann ist das nur dann besser als http-only, wenn man sich daran hält, was ich sagte.

Denn, wenn es jemand es schon schafft allgemein abzuhören, dann wird er auch eine MitM-Attacke hinkriegen. Und dagegen kann man sich wehren, wenn gewusst wie. (Zertifikatsgleichheit/Fingerprinting)

Ich bin gerade umgestiegen! Also *Meld*

Aber, macht es denn überhaupt einen Sinn?

Sandy hat geschrieben: Aber, macht es denn überhaupt einen Sinn?

Steht doch alles da. (+Link oben)

@Smaragd
Wo wir gerade bei "Kacke" sind: Deine Links (die hier ja eh keine sind) empfinde ich als solche. Dein Hang zu "https" bewirkt nämlich, dass ich das "s" (oder die Protokollangabe an sich) immer erst wegmachen muss, wenn ich den Link aufrufe. Wenn ich es vergesse, werde ich abgemeldet, ausserdem öffnet sich ein Sicherheitsloch, weil mein Proxomitron verschlüsselte Seiten nicht filtert. Die eigentlichen (externen) Verschlüsselungsebenen bleiben zwar vorhanden, aber die Identität ändert sich willkürlich.
Na ja, vielleicht finde ich noch 'ne eigene Methode, um die SSL-Verschlüsselung in diesem Kontext bei mir unmöglich zu machen, aber bis dahin macht mich das .

Waldbär

Waldbär hat geschrieben:Dein Hang zu "https" bewirkt nämlich, dass ich das "s" (oder die Protokollangabe an sich) immer erst wegmachen muss, wenn ich den Link aufrufe. Wenn ich es vergesse, werde ich abgemeldet

Das ist nicht nur bei Smaragd so, auch bei anderen Usern, die was Zitieren oder als Bild einstellen.... bei anderen dann wiederrum nicht...
Ich hatte es auch schon mal irgendwo erwähnt, finde den Post aber grad nicht wieder....
Nervig ist das allemal....
Ansich ist ja an Https nichts verwerfliches, nur sollte sich das GLF entscheiden.. Http oder Https. Dann passiert so etwas auch nicht mehr.

Sollte vielleicht in den entsprechenden Thread verschoben werden... hat hier nichts zu suchen... http://girlloverforum.net/forum/viewtop ... =23&t=7077

[color=#000000]Waldbär[/color] hat geschrieben:Wo wir gerade bei "Kacke" sind: Deine Links empfinde ich als solche.

Danke für die Blumen. @->-----
Ich bin untröstlich, Dich in zu verwandeln. Hoffentlich wäschst Du Dir nach jedem meiner Links auch gut die Hände.

[color=#000000]Sarahlie[/color] hat geschrieben:Http oder Https.

Wir prüfen das mal.

Für alle Firefox-Nutzer: Girllover-Forum komplett auf https umstellen mit der Erweiterung https everywhere

Anleitung:
1) https everywhere installieren und anschließend neustarten ( gibts hier http://www.eff.org/https-everywhere)
2) Alle GLF-Cookies löschen
3) Den Inhalt folgender Code-Box in einen Text-Editor kopieren und unter in euerem privaten Firefox-Ordner als glf.xml speichern. Zielordner (je nach Betriebssystem):
4) Browser neustarten und ausprobieren

Das ganze hat den Vorteil, dass für das GLF garantiert immer die https-Verbindung benutzt wird, auch wenn ihr einem Link wie http://www.girlloverforum.net/forum/mem ... ile&u=2196 folgt (klickbar per https://addons.mozilla.org/en-us/firefo ... ification/). Das klappt nämlich sonst nur, wenn man stets manuell 'https://' statt 'http:/' eingibt.
Besonders zu empfehlen ist das allen Tor-Benutzern, da sonst die Exit-Nodes eure Login-Daten klauen können.

Ich habe es noch nicht lange getestet. Sollte es Probleme geben, könnt ihr einfach in die Einstellungen von https-everywhere gehen und "Girlloverforum" dort deaktivieren (oder die Datei glf.xml löschen und den Browser neustarten)

Allerdings habe ich keine Lösung für die nicht-https-Nutzer. Die müssen das 's' wohl weiterhin per Hand entfernen, wenn sie es nicht wollen

kleine Anmerkung. Das einzige was ihr (Middle-Man Attacke ausgenommen) mit https verhindern könnt, ist das Mitlesen eures Passwortes. Darum bin ich der Meinung den Login auf jeden Fall auf SSL umzustellen. Alles andere wird eh eindeutig vom ISP geloggt: was ihr gelesen oder geschrieben habt kann anhand der Url erkannt werden. Eine bloße inhaltliche Textüberprüfung mit Schlüsselwörtern durch den ISP kann durch https natürlich abgewendet werden. Ist aber wohl unwahrscheinlich und unerheblich

Für paranoide User wäre es weit wichtiger nach dem Ausloggen die "Board-Cookies" zu löschen, ansonsten ist euer Konto auch ohne Cookies zugänglich. Susi weiß sicherlich noch wovon ich rede ^^


PS.
den Zugang über die SID per https (ohne Cookies) hab ich noch nicht probiert, aber ist wohl das selbe wie per http. Offenbar werden auch hier keine Cookies gesetzt. Kann ich aber nicht genau sagen, da ich über ein Online-Proxy gehe und nur von dem die Cookies belomme.

Wenn natürlich in der "SSL-SID-Siganatur" der Public Key des Nutzers enthalten wäre (den nur dieser zu Entschlüsseln im Stande ist), dann wäre das ein zusätzlicher Schritt für mehr Sicherheit im Internet (ausgenommen Middleman Attacke). Ist aber wohl nur Zukunfts-Phantasie)

I*like*the*dawn hat geschrieben:Allerdings habe ich keine Lösung für die nicht-https-Nutzer. Die müssen das 's' wohl weiterhin per Hand entfernen, wenn sie es nicht wollen

Jo, hab nicht gesehen, dass mein Proxomitron das alles schon eingebaut hat, ich hätt's nur aktivieren müssen. Automatisieren wäre dann auch kein Thema mehr. So kriege ich halt 'ne Nachfrage, was mir eigentlich am liebsten ist.

Waldbär

Also bei mir funzt es sowohl mit als auch ohne....-weiß nicht was Ihr habt.

Ich habs nur mit "https" gespeichert und so SOLLTE es auch bei anderen funktionieren! Es gibt schließlich keinen Grund warum nicht.

-Es sei denn natürlich das man mit der Weiterleitung durch den Prov. schon Probleme hat und sich bereits jemand dazwischen gehängt hat.....

Sandy hat geschrieben:und so SOLLTE es auch bei anderen funktionieren! Es gibt schließlich keinen Grund warum nicht

Einige der mannigfaltigen Gründe wurden weiter oben dargelegt.

Waldbär

Waldbär hat geschrieben: Einige der mannigfaltigen Gründe wurden weiter oben dargelegt.

Waldbär

Waldbär, dass sind HINDERNISSE, keine GRÜNDE!

Moin zusammen,

seit ich hier im Forum bin, sagt mir Chrome, dass https nicht möglich ist (bin also bisher immer unverschlüsselt drin gewesen). Ist das mein persönliches, technisches oder softwaremäßiges Problem oder ist das bei euch auch? Und ist es überhaupt ein Problem? (Mal abgesehen davon, dass meine Logins unverschlüsselt rüberkommen... )

@ Mod. - Danke fürs Verschieben