Seltener Besucher hat geschrieben:
https:// wäre nicht schlecht, gerade im Hotel oder offenen Netzwerken wäre die Verbindung sicherer.
Sofern man nur was lesen will wäre ein Login nicht zwingend erforderlich.
Andererseits: Warum immer diese Angst vor man-in-the-middle? Der sitzt eher gleich auf dem PC. Ansonsten: Möglichkeiten gäbe es da viele . Man könnte, wenn kein ipv6 gefahren wird es aber keine Adressverteilung gibt, einfach v6-Adressen verteilen und ist der m-i-t-m. Auch hier: Wer macht das, wo sitzt der (wenn uberhaupt eher nicht in Rußland, sondern meist viel näher) und warum sollte gerade mysnip so relevant sein? Und noch was zur ganzen Kryptographie: Sicher? 100%? Eher nicht, die Bugs dürfen gerne selbst gesucht werden , oder man schaue mal kurz bei Heise. Selbst schuld wenn jemand sich zum Online-Banking hinreißen läßt...
Klar, was ist schon wirklich sicher im Leben? Eigentlich doch nur, dass es für jeden irgendwann mal zu Ende ist.
Trotzdem. Wenn ich aus dem Haus gehe, ziehe ich die Tür zu. Wenn keiner mehr im Haus ist, sperre ich auch ab. Auch mein Auto lasse ich nicht offen mitten in der Stadt stehen, sondern sperre es ab und sorge dafür, dass keine Wertgegenstände von außen einsehbar drin rumliegen. Das ist halt einfach Standard.
Und genauso ist es ehrlich gesagt schon seit Jahren Standard, dass zumindest Login-Daten verschlüsselt, also über https, gesendet werden. Klar, auch das ist nicht 100%ig sicher. Die Verriegelung eines Autos oder einer Haustür wird es aber auch nicht sein - mit dem richtigen Material kommt man trotzdem rein. Aber man sagt auch "Gelegenheit macht Diebe", und unnötig Gelegenheit muss man eigentlich nicht geben. Auch nicht bei seinen Passwörtern.
Und ja, wir sollten uns hier alle direkt auch an mysnip wenden. Aber ich denke, es schadet auch nicht, wenn die Admins und Moderatoren dieses Forenverbundes wissen, wenn User nicht mit dem unverschlüsselten Login einverstanden sind - und dann vielleicht auch etwas Druck auf mysnip machen können, das zu ändern.
Ich bin mir da gerade nicht sicher, aber kann man anhand der Metadaten auch mit https nicht trotzdem sehen, welche Webseite aufgerufen wurde? Ein unverschlüsselter Login im Klartext ist natürlich immer ungünstig. Allerdings kann man als einfacher User nicht viel daran ändern, wenn eine Webseite kein https anbietet.
Deshalb stört mich beim neuen Firefox die eingeblendete Warnung ein wenig. Die kann man aber wenigsten abstellen. Leider wird bei unverschlüsselten Seiten der Login nicht direkt in die Felder eingetragen. Einfach Seite aufrufen und Enter drücken geht so leider nicht, immer erst den Login anwählen.. Das konnte ich leider noch nicht abstellen. Oder gibts da noch eine Lösung?
delicious hat geschrieben:
Ein unverschlüsselter Login im Klartext ist natürlich immer ungünstig. Allerdings kann man als einfacher User nicht viel daran ändern, wenn eine Webseite kein https anbietet.
Man kann sich über den Umstand beschweren oder die Webseite gar nicht mehr nutzen. Letzteres finde ich persönlich hier für das Radioforum übertrieben (bei Online-Banking würde ich es aber nicht übertrieben finden). Ersteres machen einige User ja gerade hier und ich habe gerade eben auch mysnip über deren Kontaktformular angeschrieben und rate den anderen Usern hier, das gleiche zu tun.
Na klar, gar nicht mehr nutzen ist mitunter übertrieben. Beschweren ist sinnvoll, aber ob und wann es zu Änderungen kommt liegt dann nicht mehr beim User.
Allerdings dürfte das sowieso kaum mehr Online-Banking betreffen, vielleicht noch einige (oder auch einige mehr) Online-Shops...
Deswegen hätte ich schon gerne den alten Zustand des Firefox wieder, wenigstens komplett abzuschalten sollte das sein...
Ich habe gerade eben den Firefox über die Updateverwaltung von Mint (Linux) aktualisiert. Der Warnhinweis ist doch eigentlich sehr dezent und ich finden den auch absolut berechtigt. Ich kann da nichts verwerfliches dran finden, dass man den User drauf aufmerksam macht, dass er sich da gerade unverschlüsselt irgendwo einloggt.
Edit: Ehrlich gesagt bin ich sogar für den Hinweis dankbar. Habe gerade ein zweites Forum gefunden, in dem ich User bin und bei dem das Login ebenfalls unverschlüsselt ist... und muss zugeben, dass mir das vorher ohne den Warnhinweis gar nicht aufgefallen ist.
Naja, eigentlich war das auch vorher schon erkenntlich. Der Warnhinweis ist zwar gut und schön, ich habe es schon lange zur Kenntnis genommen und deshalb stört es jetzt schon ein wenig. Deshalb wäre es schön, wenn es deaktivierbar wäre - default aber gerne on.
delicious hat geschrieben:
Ich bin mir da gerade nicht sicher, aber kann man anhand der Metadaten auch mit https nicht trotzdem sehen, welche Webseite aufgerufen wurde?
Richtig; generell würde man weiterhin sehen können, dass du irgendwo auf mysnip.de bist (allerdings nicht wo und was du machst).
Wenn man im unverschlüsselten Hotel-WLAN ist, empfiehlt es sich unabhängig von HTTPS-Seiten, zusätzlich noch ein VPN oder einen SOCKS-Proxy zu benutzen.
Das Leben ist riskant.
Ich muss allerdings zustimmen, dass //https inzwischen Standard sein sollte.
Wenngleich auch das keine 100 % Sicherheit bieten kann.
Also nochmal: Welches Problem kann mir in diesem Forum entstehen, wenn ich mich unverschlüsselt einlogge?
Eigentlich keins. Aber manchmal neigen Leute dazu auf unterschiedlichen Webseiten gleiche log-ins zu verwenden. Wenn jetzt wirklich hier jemand dein login und passwort rausfindet könnte er zum Beispiel versuchen sich mit den selben log-in Zugangsdaten z.B. bei facebook (oder anderswo) einzuloggen.
Wenn das Login (wie hier) unverschlüsselt ist, heißt das, dass im Prinzip jeder, über dessen Netzwerk die Verbindung vom mysnip-Server zu deinem Rechner gerouted wird, die Login-Daten mitschneiden kann.
D.h. er kennt dann deine Login-Daten hier.
Was kann er damit machen? Im am wenigsten schlimmen Fall sich hier unter deinem Namen einloggen und Schabernack treiben (in deinem Namen Blödsinn posten, deine Einstellungen im Kontrollzentrum ändern usw.). Aber auch das ist bereits ärgerlich. Er kann im Kontrollzentrum alles, was du da angegeben hast, auslesen (mindestens deine richtige Emailadresse ist da drin) und ändern. Kann man jetzt alles ganz harmlos finden, aber es sorgt für Ärger, den man gewiss nicht unbedingt braucht.
Im schlimmeren Fall hast du denselben Usernamen und dasselbe Passwort (auch ein ähnliches reicht oft!) auch woanders benutzt, so dass weitere Accounts von dir dann auch "gehackt" werden. Und dann wird es natürlich richtig unschön.
. Man könnte, wenn kein ipv6 gefahren wird es aber keine Adressverteilung gibt, einfach v6-Adressen verteilen und ist der m-i-t-m. Auch hier: Wer macht das, wo sitzt der (wenn uberhaupt eher nicht in Rußland, sondern meist viel näher) und warum sollte gerade mysnip so relevant sein? Und noch was zur ganzen Kryptographie: Sicher? 100%? Eher nicht, die Bugs dürfen gerne selbst gesucht werden 
