HTTPS

[BadWolf97]

Hallo,
noch eine Sache: Ich würde es, vor allem unter Datenschutzgesichtspunkten, eindeutig bevorzugen, wenn der normale HTTP-Zugangsweg automatisch auf HTTPS umgestellt wird. Ich möchte hier nicht den Teufel an die Wand malen, aber es mag Leute geben, die für so etwas Schmerzensgeld fordern ...
Nico

[Delphinator]

Du kannst dir auch den HTTPS-Zugang als Lesezeichen speichern


LG
Delphi

[Lampenputzer]

Hallo,

und es mag Leute geben,bei denen der Weg nicht funktioniert

Du läßt dich von gewissen Konzernen vor deren Karren spannen, denn die einzigen die das wollen sind die "Datenkraken" des Web.

[Jeanmarie]

Hallo,
noch eine Sache: Ich würde es, vor allem unter Datenschutzgesichtspunkten, eindeutig bevorzugen, wenn der normale HTTP-Zugangsweg automatisch auf HTTPS umgestellt wird. Ich möchte hier nicht den Teufel an die Wand malen, aber es mag Leute geben, die für so etwas Schmerzensgeld fordern ...
Nico

Wieso? Muss ich stellwerksim.de spielen, falls ich Datenschutzprobleme habe?

Was für Erkenntnisse zieht die NSA aus meinem Spiel in stellwerksim.de?

[BadWolf97]

Hallo,

und es mag Leute geben,bei denen der Weg nicht funktioniert

Du läßt dich von gewissen Konzernen vor deren Karren spannen, denn die einzigen die das wollen sind die "Datenkraken" des Web.

Nun ja - ich lasse mich vor keinen Karren spannen - das ganze entschließt sich aus der DSGVO und dem durchaus sinnvollem Ziel, Benutzerdaten zu sichern - und auch hier sind Daten vorhanden, als Beispiel ein Passwort

[DLichti]

HTTPS-Verbindungen werden ja angenommen. Wer sein Passwort trotzdem über eine ungesicherte Verbindung schickt, der ist selbst schuld. Ein bisschen Eigeninitiative darf man durchaus auch vom Nutzer erwarten.

David

[Lampenputzer]

Hallo Badwolf,

aber natürlich läßt du dich vor den Karren spannen

Frag dich doch einfach mal warum Gockel mit seinem Browser Silber HTTPS-Webseiten eines anderen Betreibes als Unsicher einstuft und nicht anzeigt.

Und wieviel diese angebliche "Sicherheit" des HTTPS Wert ist, hat ja wohl der Stuxnet-Virus gezeigt.

Und die DSGVO vergiss mal ganz schnell.....ich sage nur § 6

Oder Fotoaufnahmen.....das wird wohl noch ein teueres Jahr werden für viele Fotobegeisterte, denn die ERklärung des BMI dazu kannste vergessen, weil das ist weder Gesetz noch Verordnung.

[stg]

Guten Tag,

eine durchaus spannende aber auch überflüssige Diskussion, da seitens des Betreibers die Möglichkeit einer gesicherten Übertragung gegeben ist. Somit ist von dieser Seite den Wünschen der DSGVO (in meinen Augen) Rechnung getragen.

Und die DSGVO vergiss mal ganz schnell.....ich sage nur § 6

Du meinst sicherlich Artikel 6 der DSGVO (die keine Paragraphen mehr kennt), und dann Absatz 1, Lit. a) - auch hier sehe ich keine Probleme.

Oder Fotoaufnahmen.....das wird wohl noch ein teueres Jahr werden für viele Fotobegeisterte, denn die ERklärung des BMI dazu kannste vergessen, weil das ist weder Gesetz noch Verordnung.

Hier greift eher das KunstUrhG. Hier gibt es bereits erste Enscheidungen der Aufsichtsbehörden, die den Stand vor Ende Mai 2018 bestätigen. Auch hier wird in meinen Augen viel Wind mit Gewinnerzielungsabsichten gemacht. Außerdem: *IRONIE ON: Seit wann gibt es aus einem Ministerium (zudem unter CSU Führung) irgendeine Erklärung, die weiterhilft oder Klarheit schafft? *IRONIE OFF

Einen schönen Sonntag wünscht

stg
seit über 8 Jahren Datenschutzbeauftragter in einem Krankenhaus

[JonasH]

Hallo,

Und wieviel diese angebliche "Sicherheit" des HTTPS Wert ist, hat ja wohl der Stuxnet-Virus gezeigt.

Beim Stuxnet-Virus ging es um gestohlene Treiberzertifikate von JMicron und Realtek.
Was hat das jetzt mit HTTPS zu tun?

eine durchaus spannende aber auch überflüssige Diskussion, da seitens des Betreibers die Möglichkeit einer gesicherten Übertragung gegeben ist. Somit ist von dieser Seite den Wünschen der DSGVO (in meinen Augen) Rechnung getragen.

Das mag wohl stimmen, aber nicht jeder hat Ahnung von der Materie und wird von sich aus den Zugriff auf HTTPS umstellen.


Ich würde vorschlagen, dass man standardmäßig auf die HTTPS Seite geleitet wird, und trotzdem noch auf HTTP umstellen kann (so wie jetzt, nur quasi andersherum).

Allein schon damit nicht jeder auf dem gesamten Übertragungsweg das Passwort mitlesen kann (was schlimmstenfalls auch noch auf anderen Seiten benutzt wird!).

Alternative: wenigstens die Authentifizierung (Anmeldung) über HTTPS abwickeln.


JonasH

[Sintbert]

Da sowiso ein HTTPS Zertifikat vorhanden ist und auch schon konfiguriert ist, gibt es absolut keinen Grund das nicht gleich zum Standart für alles zu machen.
Macht auch die konfiguration dann einfacher, da nicht mehr für unterschiedliche seiten mal HTTP und mal HTTPS aktiv ist. Respektive auch die HTTP ziele zu reinen weiterleitungen gemacht werden können.

[BadWolf97]

Desweiteren kann ohne HTTPS beim Login das Benutzerpasswort ohne Probleme aus der Kommunikation ausgelesen werden, daher ist es eindeutig nicht zu empfehlen, heutzutage überhaupt noch HTTP anzubieten. Man schaue sich dazu einfach mal diesen Screenshot aus Wireshark an.

[VHGK]

Ich verstehe dein Problem nicht, du musst doch HTTP nicht nutzen und stattdessen HTTPS. Es ist jedem selbst überlassen und jeder der HTTP nutzt sollte es Wissen das es "ungeschützt" ist, jedoch kann jeder selber über seine Schnittstelle entscheiden, da es auch Vorteile für HTTP gibt, welche HTTPS noch nicht bietet/unterstüzt sollten beide Wege offen bleiben.

Gruß VHGK

[Lampenputzer]

Das kann es auch mit HTTPS, siehe Gockel.

HTTPS würde nur Sinn machen, wenn Zertifikate von unabhängigen Stellen erzeugt würden und nicht von auf Gewinnmaximierung getrimmten Konzernen.

[BadWolf97]

Hallo,
als Betreiber einer Nutzerdaten-verarbeitenden Seite hat man meiner Meinung nach (die sich nach der DSGVO auch mit der des Gesetzgebers deckt) die Pflicht, diese Daten so gut es geht zu schützen. Grundsätzlich muss hierbei davon ausgegangen werden, dass der Nutzer ein DAU ist, und daher auf "Security by Design" gesetzt werden. Der einzige mir bekannte Vorteil von HTTP gegenüber HTTPS ist die leichtere Ausnutzung einer Man-in-the-middle-Stellung.
Außerdem: Dem EFF oder der Mozilla Foundation vorzuwerfen, sie sein "auf Gewinnmaximierung getrimmte Konzerne" ist wohl sehr weit hergeholt. Außerdem - selbst wenn: Was ist das Problem damit? Es geht darum, eine sichere Verbindung herzustellen, um Nutzerdaten zu schützen, dabei ist es doch egal, ob SSL von Google oder vom CCC kommt.

eine durchaus spannende aber auch überflüssige Diskussion, da seitens des Betreibers die Möglichkeit einer gesicherten Übertragung gegeben ist. Somit ist von dieser Seite den Wünschen der DSGVO (in meinen Augen) Rechnung getragen.

In meinen Augen nicht, da diese Lösung nicht dem Grundgedanken "Security/Privacy by Design" entspricht, sondern eine aktive Handlung des Nutzers voraussetzt, welcher unter Umständen Oma Hilde aus Mücka ist. Desweiteren verlangt Art. 25 der DSGVO "datenschutzfreundliche Voreinstellungen".
Desweiteren ist trotz der Verarbeitung von datenschutzrelevanten Inhalten hier keine Datenschutzerklärung vorhanden bzw nicht korrekt verlinkt.
Nico

[abrixas]

Desweiteren ist trotz der Verarbeitung von datenschutzrelevanten Inhalten hier keine Datenschutzerklärung vorhanden bzw nicht korrekt verlinkt.
Nico

An dieser wird rege gearbeitet. Datenschutz hin oder her, leider ist die DSGVO bestens dazu geeignet solche Freizeitprojekte in den Boden zu stampfen.
Ich gehe allerdings auch davon aus das jeder, der das Internet benutzt, eine gewisse Grundkenntnis haben sollte und den Unterschied zwischen http und https im Ansatz kennen sollte.

Gruß
abrixas