HTTPS

Allgemeine Fragen zum Spiel und dem Drumrum.

Moderatoren: Stellwerk-Admin, Moderatoren

BadWolf97
Beiträge: 81
Registriert: Sa Jun 23, 2018 10:19 pm
StiTz: 739847

HTTPS

Beitrag von BadWolf97 »

Hallo,
noch eine Sache: Ich würde es, vor allem unter Datenschutzgesichtspunkten, eindeutig bevorzugen, wenn der normale HTTP-Zugangsweg automatisch auf HTTPS umgestellt wird. Ich möchte hier nicht den Teufel an die Wand malen, aber es mag Leute geben, die für so etwas Schmerzensgeld fordern ...
Nico
Stellwerkstester, Entwickler von FPH SpedV
Benutzeravatar
Delphinator
Beiträge: 204
Registriert: Mi Nov 17, 2010 6:23 pm
StiTz: 715278

Re: HTTPS

Beitrag von Delphinator »

Du kannst dir auch den HTTPS-Zugang als Lesezeichen speichern :)


LG
Delphi
Benutzeravatar
Lampenputzer
Beiträge: 216
Registriert: So Apr 08, 2007 6:56 pm

Re: HTTPS

Beitrag von Lampenputzer »

Hallo,

und es mag Leute geben,bei denen der Weg nicht funktioniert :-)

Du läßt dich von gewissen Konzernen vor deren Karren spannen, denn die einzigen die das wollen sind die "Datenkraken" des Web.
Jeanmarie
Beiträge: 5
Registriert: Mo Aug 06, 2012 12:29 am

Re: HTTPS

Beitrag von Jeanmarie »

BadWolf97 hat geschrieben:Hallo,
noch eine Sache: Ich würde es, vor allem unter Datenschutzgesichtspunkten, eindeutig bevorzugen, wenn der normale HTTP-Zugangsweg automatisch auf HTTPS umgestellt wird. Ich möchte hier nicht den Teufel an die Wand malen, aber es mag Leute geben, die für so etwas Schmerzensgeld fordern ...
Nico
Wieso? Muss ich stellwerksim.de spielen, falls ich Datenschutzprobleme habe?

Was für Erkenntnisse zieht die NSA aus meinem Spiel in stellwerksim.de?
BadWolf97
Beiträge: 81
Registriert: Sa Jun 23, 2018 10:19 pm
StiTz: 739847

Re: HTTPS

Beitrag von BadWolf97 »

Lampenputzer hat geschrieben:Hallo,

und es mag Leute geben,bei denen der Weg nicht funktioniert :-)

Du läßt dich von gewissen Konzernen vor deren Karren spannen, denn die einzigen die das wollen sind die "Datenkraken" des Web.
Nun ja - ich lasse mich vor keinen Karren spannen - das ganze entschließt sich aus der DSGVO und dem durchaus sinnvollem Ziel, Benutzerdaten zu sichern - und auch hier sind Daten vorhanden, als Beispiel ein Passwort ;)
Stellwerkstester, Entwickler von FPH SpedV
DLichti
Beiträge: 581
Registriert: Fr Mär 09, 2012 11:59 am
StiTz: 719231

Re: HTTPS

Beitrag von DLichti »

HTTPS-Verbindungen werden ja angenommen. Wer sein Passwort trotzdem über eine ungesicherte Verbindung schickt, der ist selbst schuld. Ein bisschen Eigeninitiative darf man durchaus auch vom Nutzer erwarten.

David
Benutzeravatar
Lampenputzer
Beiträge: 216
Registriert: So Apr 08, 2007 6:56 pm

Re: HTTPS

Beitrag von Lampenputzer »

Hallo Badwolf,

aber natürlich läßt du dich vor den Karren spannen :D

Frag dich doch einfach mal warum Gockel mit seinem Browser Silber HTTPS-Webseiten eines anderen Betreibes als Unsicher einstuft und nicht anzeigt.

Und wieviel diese angebliche "Sicherheit" des HTTPS Wert ist, hat ja wohl der Stuxnet-Virus gezeigt.

Und die DSGVO vergiss mal ganz schnell.....ich sage nur § 6 :evil:

Oder Fotoaufnahmen.....das wird wohl noch ein teueres Jahr werden für viele Fotobegeisterte, denn die ERklärung des BMI dazu kannste vergessen, weil das ist weder Gesetz noch Verordnung.
stg
Störungshotline
Beiträge: 250
Registriert: Mi Jul 22, 2009 1:42 pm
StiTz: 710841

Re: HTTPS

Beitrag von stg »

Guten Tag,

eine durchaus spannende aber auch überflüssige Diskussion, da seitens des Betreibers die Möglichkeit einer gesicherten Übertragung gegeben ist. Somit ist von dieser Seite den Wünschen der DSGVO (in meinen Augen) Rechnung getragen.
Lampenputzer hat geschrieben:Und die DSGVO vergiss mal ganz schnell.....ich sage nur § 6
Du meinst sicherlich Artikel 6 der DSGVO (die keine Paragraphen mehr kennt), und dann Absatz 1, Lit. a) - auch hier sehe ich keine Probleme.
Lampenputzer hat geschrieben:Oder Fotoaufnahmen.....das wird wohl noch ein teueres Jahr werden für viele Fotobegeisterte, denn die ERklärung des BMI dazu kannste vergessen, weil das ist weder Gesetz noch Verordnung.
Hier greift eher das KunstUrhG. Hier gibt es bereits erste Enscheidungen der Aufsichtsbehörden, die den Stand vor Ende Mai 2018 bestätigen. Auch hier wird in meinen Augen viel Wind mit Gewinnerzielungsabsichten gemacht. Außerdem: *IRONIE ON: Seit wann gibt es aus einem Ministerium (zudem unter CSU Führung) irgendeine Erklärung, die weiterhilft oder Klarheit schafft? *IRONIE OFF

Einen schönen Sonntag wünscht

stg
seit über 8 Jahren Datenschutzbeauftragter in einem Krankenhaus
StiTZ: 710841
Mitarbeiter in der Störungshotline
JonasH
Beiträge: 8
Registriert: Sa Jun 23, 2018 4:56 pm

Re: HTTPS

Beitrag von JonasH »

Hallo,
Lampenputzer hat geschrieben: Und wieviel diese angebliche "Sicherheit" des HTTPS Wert ist, hat ja wohl der Stuxnet-Virus gezeigt.
Beim Stuxnet-Virus ging es um gestohlene Treiberzertifikate von JMicron und Realtek.
Was hat das jetzt mit HTTPS zu tun?
stg hat geschrieben: eine durchaus spannende aber auch überflüssige Diskussion, da seitens des Betreibers die Möglichkeit einer gesicherten Übertragung gegeben ist. Somit ist von dieser Seite den Wünschen der DSGVO (in meinen Augen) Rechnung getragen.
Das mag wohl stimmen, aber nicht jeder hat Ahnung von der Materie und wird von sich aus den Zugriff auf HTTPS umstellen.


Ich würde vorschlagen, dass man standardmäßig auf die HTTPS Seite geleitet wird, und trotzdem noch auf HTTP umstellen kann (so wie jetzt, nur quasi andersherum).

Allein schon damit nicht jeder auf dem gesamten Übertragungsweg das Passwort mitlesen kann (was schlimmstenfalls auch noch auf anderen Seiten benutzt wird!).

Alternative: wenigstens die Authentifizierung (Anmeldung) über HTTPS abwickeln.


JonasH
Sintbert
Beiträge: 9
Registriert: Di Mär 27, 2018 11:49 am

Re: HTTPS

Beitrag von Sintbert »

Da sowiso ein HTTPS Zertifikat vorhanden ist und auch schon konfiguriert ist, gibt es absolut keinen Grund das nicht gleich zum Standart für alles zu machen.
Macht auch die konfiguration dann einfacher, da nicht mehr für unterschiedliche seiten mal HTTP und mal HTTPS aktiv ist. Respektive auch die HTTP ziele zu reinen weiterleitungen gemacht werden können.
BadWolf97
Beiträge: 81
Registriert: Sa Jun 23, 2018 10:19 pm
StiTz: 739847

Re: HTTPS

Beitrag von BadWolf97 »

Desweiteren kann ohne HTTPS beim Login das Benutzerpasswort ohne Probleme aus der Kommunikation ausgelesen werden, daher ist es eindeutig nicht zu empfehlen, heutzutage überhaupt noch HTTP anzubieten. Man schaue sich dazu einfach mal diesen Screenshot aus Wireshark an.
Stellwerkstester, Entwickler von FPH SpedV
VHGK
R-Admin [Frankfurt/Main U-Bahn, Lehrregion, Sachsen]Fernverkehr-Team [FR]Erbauer
Beiträge: 472
Registriert: Fr Jan 08, 2016 7:37 pm

Re: HTTPS

Beitrag von VHGK »

Ich verstehe dein Problem nicht, du musst doch HTTP nicht nutzen und stattdessen HTTPS. Es ist jedem selbst überlassen und jeder der HTTP nutzt sollte es Wissen das es "ungeschützt" ist, jedoch kann jeder selber über seine Schnittstelle entscheiden, da es auch Vorteile für HTTP gibt, welche HTTPS noch nicht bietet/unterstüzt sollten beide Wege offen bleiben.

Gruß VHGK
Aktuell (in alphabetical order): A+Z in Grand Est | A+Z in Hauts-de-France | A+Z in Frankfurt/Main U-Bahn | A in Sachsen, Sonstiges
Derzeitige Planungen: Tergnier, Mitry - Claye, Cambrai, La Ferté-Milon, Laon, Villers-Cotterêts, Frankfurt/Main U-Bahn, Sonstiges
R-Admin von Frankfurt/Main U-Bahn
Benutzeravatar
Lampenputzer
Beiträge: 216
Registriert: So Apr 08, 2007 6:56 pm

Re: HTTPS

Beitrag von Lampenputzer »

Das kann es auch mit HTTPS, siehe Gockel.

HTTPS würde nur Sinn machen, wenn Zertifikate von unabhängigen Stellen erzeugt würden und nicht von auf Gewinnmaximierung getrimmten Konzernen.
BadWolf97
Beiträge: 81
Registriert: Sa Jun 23, 2018 10:19 pm
StiTz: 739847

Re: HTTPS

Beitrag von BadWolf97 »

Hallo,
als Betreiber einer Nutzerdaten-verarbeitenden Seite hat man meiner Meinung nach (die sich nach der DSGVO auch mit der des Gesetzgebers deckt) die Pflicht, diese Daten so gut es geht zu schützen. Grundsätzlich muss hierbei davon ausgegangen werden, dass der Nutzer ein DAU ist, und daher auf "Security by Design" gesetzt werden. Der einzige mir bekannte Vorteil von HTTP gegenüber HTTPS ist die leichtere Ausnutzung einer Man-in-the-middle-Stellung.
Außerdem: Dem EFF oder der Mozilla Foundation vorzuwerfen, sie sein "auf Gewinnmaximierung getrimmte Konzerne" ist wohl sehr weit hergeholt. Außerdem - selbst wenn: Was ist das Problem damit? Es geht darum, eine sichere Verbindung herzustellen, um Nutzerdaten zu schützen, dabei ist es doch egal, ob SSL von Google oder vom CCC kommt.
stg hat geschrieben:eine durchaus spannende aber auch überflüssige Diskussion, da seitens des Betreibers die Möglichkeit einer gesicherten Übertragung gegeben ist. Somit ist von dieser Seite den Wünschen der DSGVO (in meinen Augen) Rechnung getragen.
In meinen Augen nicht, da diese Lösung nicht dem Grundgedanken "Security/Privacy by Design" entspricht, sondern eine aktive Handlung des Nutzers voraussetzt, welcher unter Umständen Oma Hilde aus Mücka ist. Desweiteren verlangt Art. 25 der DSGVO "datenschutzfreundliche Voreinstellungen".
Desweiteren ist trotz der Verarbeitung von datenschutzrelevanten Inhalten hier keine Datenschutzerklärung vorhanden bzw nicht korrekt verlinkt.
Nico
Stellwerkstester, Entwickler von FPH SpedV
Benutzeravatar
abrixas
Stellwerk-AdminSupport-TeamHandbuch-TeamR-Admin [Test-Manager]Erbauer
Beiträge: 18098
Registriert: Mo Okt 30, 2006 7:46 am
StiTz: 703390

Re: HTTPS

Beitrag von abrixas »

BadWolf97 hat geschrieben:Desweiteren ist trotz der Verarbeitung von datenschutzrelevanten Inhalten hier keine Datenschutzerklärung vorhanden bzw nicht korrekt verlinkt.
Nico
An dieser wird rege gearbeitet. Datenschutz hin oder her, leider ist die DSGVO bestens dazu geeignet solche Freizeitprojekte in den Boden zu stampfen.
Ich gehe allerdings auch davon aus das jeder, der das Internet benutzt, eine gewisse Grundkenntnis haben sollte und den Unterschied zwischen http und https im Ansatz kennen sollte.

Gruß
abrixas
Bitte PN nur für private, vertrauliche Mitteilungen verwenden, für alle anderen Beiträge ist das Forum der beste Platz.
Antworten