Abgelaufenes SSL Zertifikat

  • Abgelaufenes SSL Zertifikat

    Hi. Euer Zertifikat ist mit dem Mittwoch, 11. Juli 2018, 21:21:01 GMT abgelaufen - wäre toll das wieder zu haben dangö <3
    _______________________________________________________________________
    Wissen ist Macht und Wissen ist wie Liebe - es wird mehr wenn man es Teilt -Art3mis
  • Wir sind dabei zu schauen woran es genau liegt und was wir machen müssen. Es wird als bald behoben.
    “I don't care what you think about me. I don't think about you at all.” (Coco Chanel)
    Leitung der RPvX Gilde Graufalken
  • Ich würde allen Usern die per offenem WLAN zusteigen raten dies währenddessen NICHT mehr zu tun! (und nach der Zertifikatserneuerung undbedingt das Passwort zu erneuern, sollte euch was daran liegen)
    Potenziell kann man eure Anmelde- als auch Sessiondaten in Klartext auslesen.

    mehr dazu

    P.S.: man kann auch sog. Sessionhijacking betreiben bzw. euch die aktive Anmeldung klauen.

    LG, ein besorgter Nerd.
    _______________________________________________________________________
    Wissen ist Macht und Wissen ist wie Liebe - es wird mehr wenn man es Teilt -Art3mis
  • Da hat wohl irgendein Serverupdate was bei den automatischen Erneuerungen durcheinander gebracht :D

    Nebenbei verwendet die Forensoftware für die Speicherung und Übermittlung von Passwörtern eine gesonderte Verschlüsselung. Daher können Passwörter auch nicht als Klartext ausgelesen werden, selbst wenn SSL nicht aktiv ist. Diesbzeüglich besteht also meines erachtens kein Grund zur Panik. Mit SSL ist aber natürlich trotzdem immer besser, daher wurde das Zertifikat nun auch erneuert und das Forum kann sorglos wieder genutzt werden. ;)

    P.S. Habe deinen Beitrag mal in den richtigen Bereich geschoben :)
    _____________________________________

    Ich habe keine Lösung aber ich bewundere das Problem.
  • skeygeta schrieb:

    Nebenbei verwendet die Forensoftware für die Speicherung und Übermittlung von Passwörtern eine gesonderte Verschlüsselung.
    Soweit ich jetzt feststellen konnte arbeitet wcf2 mit Blowfish. Mal vorweg gesagt hat auch dieser plausible Angriffsvektoren.

    skeygeta schrieb:

    Daher können Passwörter auch nicht als Klartext ausgelesen werden, selbst wenn SSL nicht aktiv ist.
    Das ist schön wenn dahinter noch ne Verschlüsselung liegt, hält mich aber weiterhin nicht vom Sessionhijacking ab. Nur weil ein Passwort gehashed/verschlüsselt ist, ist der Prozess(zb. die POST/GET Parameter und Sessionvariablen) nicht gleich sicher!

    skeygeta schrieb:

    Diesbzeüglich besteht also meines erachtens kein Grund zur Panik.
    Mit Panik hat das meines Erachtens nichts zu tun wenn ich auf die Risiken einer fehlenden SSL Verschlüsselung in einem Forum hinweisen möchte. Das ist trockenes Aufklären im Sinne aller, auch für die weniger Versierten ;)

    Kinman schrieb:

    Es geht um die Übertragung und da findet keine Vorverschlüsselung mittels JavaScript statt. Aber die Angriffswahrscheinlichkeit ist auch äußert gering (trotzdem schadet es nicht, auch daran zu denken).
    *nick*
    Wie gesagt, in öffentlichen WLANS ist man schneller in deiner Session als du dein nächstes Katzenvideo posten kannst :P

    Mir persönlich ist es lieber, die Sicherheit meiner Passwörter nicht in die Hände und unbewiesenen Aussagen von Administratoren zu legen. SSL/TLS kann ich jedoch tatsächlich vertrauen - eine korrekte Implementierung vorausgesetzt.
    _______________________________________________________________________
    Wissen ist Macht und Wissen ist wie Liebe - es wird mehr wenn man es Teilt -Art3mis
  • Jetzt funktioniert doch alles wieder oder?
    Ich glaube das möchten die Meisten gerne wissen.
    Ich glaube das skeygeta genau so auf Sicherheit aus ist wie wir. Alleine aus Rechtlichen Gründen.
    Damit jeder Abgesichert ist. :)
    ______________________________________________
    ◄Mit freundlichen Grüßen, Wolfrad►
  • Wolfrad schrieb:

    Jetzt funktioniert doch alles wieder oder?
    Ich glaube das möchten die Meisten gerne wissen.
    Ich glaube das skeygeta genau so auf Sicherheit aus ist wie wir. Alleine aus Rechtlichen Gründen.
    Damit jeder Abgesichert ist. :)
    Ja das tut es und ich denke auch dass ihr da beide guter Dinge seid! ^^
    Es sollte jetzt auch genug Info daliegen wieso es denn auch seine Wichtigkeit hat - um das ging es mir eben noch.
    Für mich hat sich das Thema also nun auch geklärt :)

    *stellt die Alarmsirene ab, lässt sich einen dieser wässrigen Automatenkaffees herunter und verschwindet wieder in der großen Produktionshalle*

    LG ;)
    _______________________________________________________________________
    Wissen ist Macht und Wissen ist wie Liebe - es wird mehr wenn man es Teilt -Art3mis
  • Es mag ja sein, dass deine Punkte rein faktisch korrekt sind, Artemis. Aber rein faktisch besteht auch immer eine Chance, dass ich abstürze, wenn ich ins Flugzeug steige. Sich deswegen Sorgen zu machen, hilft mir aber kein Stück weiter, wenn ich in den Urlaub fliege. Soll heißen: Du wirfst mit technischen Fakten um dich in einer Zielgruppe in der sich viele überhaupt nicht mit solchen Themen auskennen oder befassen. Dabei vermittelst du in deiner Art und Weise ein wesentlich höheres Risiko und machst mehr Grund zur Sorge, als eigentlich nötig ist, da du zwar erklärst was alles passieren kann, nicht aber wie realistisch oder wahrscheinlich das Ganze überhaupt ist. Denn um ein Risiko abzuschätzen zählt nicht nur, ob die Möglichkeit besteht, dass das Flugzeug abstürzt, sondern auch, wie wahrscheinlich ich beim Fliegen tatsächlich abstürze.

    Kinman schrieb:

    Aber die Angriffswahrscheinlichkeit ist auch äußert gering

    Genau das. Das alte RP-Forum ist im übrigen während seiner gesamten Existenzzeit ohne SSL betrieben worden. Und auch unser Forum lief zu Anfang lange ohne SSL. Da hat kein Hahn danach gekräht. Es ist gut und richtig, darauf hinzuweisen, wenn etwas nicht funktioniert. Und Sicherheit ist für uns als Team auch ein wichtiges Thema, das wir sehr ernst nehmen - sonst hätten wir uns damals ja nicht aus eigenem Antrieb heraus dafür entschieden, dass wir unser Forum mit SSL-Verschlüsselung absichern möchten. Aber sobald du anfängst mit Argumenten und Risiken um dich zu werfen, ohne näher darauf einzugehen wie hoch das Risiko wirklich ist, ist das Panikmacherei. Denn gerade die weniger versierten, wie du sie nennst, machen sich dann verständlicherweise nen Kopf und sind verunsichert, da sie selbst das eben nicht so gut einschätzen können, wie du vielleicht.

    Bedenke aber auch bitte, dass wir als Team unsere Freizeit in dieses Forum stecken und nicht immer sofort springen können, wenn etwas ist, da wir auch andere Verpflichtungen haben. Ein Zeitfenster von knapp über 24 Stunden vom Erkennen des Problems bis zur Lösung sollte wohl im Rahmen des vertretbaren sein. Und wenn wir sagen, wir kümmern uns darum, dann tun wir das. Den Druck zu erhöhen, indem du den Nutzern unnötig Panik machst, ist nicht hilfreich und schneller geht es davon auch nicht. Übrigens auch nicht, wenn du zusätzlich noch in der SB mit demselbem Aufruf nochmal kommst, obwohl man Anas Antwort in diesem Thread ja bereits lesen konnte, das wir das Thema gesehen und auf dem Schirm haben und uns darum kümmern...


    Noch ein Abschlussfazit zum Thema:

    Wie bereits erwähnt ist SSL jetzt wieder aktiv und das Forum läuft über sichere Verschlüsselung. Einigen dürfte vielleicht aber aufgefallen sein, dass der Browser eventuell immernoch davor warnt das "Teile der Seite" nicht sicher sind. Hierbei handelt es sich um vor allem um externe Links, sprich: Unsere Seite läuft zwar über sicheres HTTPS aber wenn ihr als Nutzer natürlich Bilder oder Links von Seiten einbindet, die kein HTTPS nutzen, dann warnt euch der Browser, dass solche nicht als sicher eingestuften Inhalte auf der Seite existieren. Dies lässt sich nie vollkommen verhindern, es sei denn wir verbieten das Verlinken von externen Inhalten in Beiträgen (Bilder, Videos, Textlinks). Die Sicherheit eurer Passwörter und Anmeldedaten sollten davon aber auch nicht beeinträchtigt werden.

    Einige der bei uns fest verlinkten Grafiken, wie z.b. das Spendenkisten-Bild sind ebenfalls noch über externe Hosts eingebunden. Ich werde mich am Wochenende einmal hinsetzen und diese Überbleibsel bereinigen, bzw. auf unserem Server hosten und neu einbinden. Wie erwähnt kann es jedoch sein, dass am Ende dennoch die Warnung bleibt, so lange sich externe Links aus euren Beiträgen in unserem Forum befinden.


    Das Thema wird hiermit als erledigt markiert und geschlossen.
    _____________________________________

    Ich habe keine Lösung aber ich bewundere das Problem.
  • Benutzer online 1

    1 Besucher