Sie sind nicht angemeldet.

Chosen_One

Monster Kill

Beiträge: 6 555

Wohnort: In der Nähe von Bremen

Beruf: Admin

  • Nachricht senden

21

Donnerstag, 2. März 2017, 20:11

Mit wenigen Klicks eben Let's Encrypt auf meinem Webspace aktiviert. Schön mit SSL-Zwang und das Zertifikat ist auch nicht der letzte Rotz. Für mein Wiki reicht das locker.
Kostenpunkt: 0 EUR

Mein Anbieter: all-inkl.com

Beiträge: 12 607

Wohnort: A-8600, Bruck an der Mur, ÖSTERREICH

Beruf: UNIX Administrator

  • Nachricht senden

22

Donnerstag, 2. März 2017, 21:44

SSL

Is halt immer die Frage, wie es mit dem Support is. Ich hab mir Let's Encrypt natürlich auch schon überlegt. Aber wahrscheinlich müßte ich die Updatescripte massiv patchen/portieren, damit sie auf meinem *hust* Windows 2000 laufen. Ich mein, modernes Perl wär ja da... so isses ned.

Aber bisher hat mich schlicht und einfach der Aufwand davon abgehalten. Und modernes SSL/TLS kann ich sowieso ned. Mein feuchter Wunschtraum, die WAMPS Kette selbst für 2k zu kompilieren (theoretisch möglich, in der Praxis ein Suizidmotivator) wird wohl ein solcher bleiben. OpenSSL war noch simpel, also ein modernes SSL mit TLS 1.2 auf 2k zu bauen? Das is Sandkiste! Mit links! Aber den Rest, uargh....

Lehre? Es ist immer eine Frage des Aufwandes, entweder weil das Zielsystem aus der Steinzeit stammt wie bei mir, oder weil der Anbieter evtl. keinen Plan von Let's Encrypt hat. Was dann?

Serverumzug?

Antwort darauf ist in der Regel - und zu Recht - ein "rofl, sicher ned"...

Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:
  • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)
[http://wp.xin.at] - No RISC, no fun!

QotY: Girls Love, BEST Love; 2017 - The second Coming; The second great Year of Yuri!

23

Donnerstag, 2. März 2017, 22:21

Grad mal geschaut, weil ich eh Ordnung und Platz schaffen muß..

Bei mir läufts auch über Let's Encrypt Authority X3 mit sha256RSA
standartmäßig aktiviert ;)

24

Freitag, 3. März 2017, 12:49

Ob und wie sicher das Passwort sein muss, das möge jeder für sich selber entscheiden.

Aber ich finde es ziemlich fahrlässig heutzutage ein Passwort im Klartext zu übertragen, zumal es mit Let's encrypt ja nicht mal mit zusätzlichen Kosten verbunden ist.

HTTPS macht aber auch außerhalb vom Login Sinn. Zum Beispiel wenn man nicht möchte dass jeder andere sehen kann welche Seite genau man sich gerade ansieht. Oder weil sie sich auch positiv auf das Google Ranking auswirkt. Und die Last dürfte auch nicht so hoch sein, kleiner Auszug aus der Wikipedia:

Zitat

2010 verursachte die Verschlüsselung bei Gmail weniger als 1 % der CPUs-Last, weniger als 1 KB Arbeitsspeicherbedarf pro Verbindung und weniger als 2 % des Netzwerk-Datenverkehrs.


Alles in allem finde ich, dass eine https-Verbindung eigentlich mittlerweile Standard sein sollte, selbst wenn es nur für einen privaten Blog ist.

25

Freitag, 3. März 2017, 20:02

Ich hätte ja gerne eine web Ansicht von VA damit ich auf meinem Handy bessere Übersicht habe.

Beiträge: 12 607

Wohnort: A-8600, Bruck an der Mur, ÖSTERREICH

Beruf: UNIX Administrator

  • Nachricht senden

27

Mittwoch, 8. März 2017, 12:58

FF52

Schau schau, der neue Firefox 52 (der übrigens TLS 1.3 kann) motzt schon rum: ;)


Firefox 52 warnt vor dem Einloggen auf plaintext HTTP Seiten (Klicken zum Vergrößern)

Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:
  • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)
[http://wp.xin.at] - No RISC, no fun!

QotY: Girls Love, BEST Love; 2017 - The second Coming; The second great Year of Yuri!

Avenger

Double Kill

Beiträge: 924

Wohnort: Osnabrück

Beruf: Student

  • Nachricht senden

28

Mittwoch, 8. März 2017, 13:34

Schau schau, der neue Firefox 52 (der übrigens TLS 1.3 kann) motzt schon rum: ;)
Nicht nur Firefox ;)

Die Pixel beschleunigt, die Kanten gefixt, lang leben die Karten von 3dfx! :D

29

Sonntag, 19. März 2017, 16:01

Sicherheitsaspekt

Ich fände es nicht schlecht, mal etwas von Seiten der Administration zur Thematik zu vernehmen ;)

30

Sonntag, 19. März 2017, 21:02

Hah? Ich hoffe doch Mal sehr stark, daß das Forum das Passwort stark hashed überträgt, alles andere wäre ja heutzutage kompletter Wahnsinn. Bei klassischem htpasswd/htdigest isses halt nur MD5 (nutze ich für Lowsec), bei besserer Webauth so wie hier wird das Pwd doch wohl hoffentlich von einem JavaScript stark hashed und nur der Hash übertragen? Mei meinen Webforms mit PHP Backend nehme ich da aktuell SHA256.


Moment, verwechselst Du jetzt Hashing mit Verschlüsselung? Das Hashing passiert doch immer erst auf dem Server, nicht auf dem Client. Alles andere ergibt auch keinen Sinn.

Aber gerade weil das Hashing auf dem Server passiert, ist es natürlich um so wichtiger, dass eine Transportverschlüsselung existiert.

Seit letsencrypt gibt es da eigentlich auch keine Ausreden mehr. Und selbst wenn DER Aufwand schon zu viel sein sollte, könnte man im Notfall ja sogar auf self-signed-Zertifikate setzen.
We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

Beiträge: 12 607

Wohnort: A-8600, Bruck an der Mur, ÖSTERREICH

Beruf: UNIX Administrator

  • Nachricht senden

31

Sonntag, 19. März 2017, 21:27

PWD

Du irrst in dem Punkt: Ein gutes Passwort sollte am Client hashed werden, und nur der Hash sollte übertragen, und am Server in einer Datenbank hinterlegt werden. Beim Login erzeugt der Client den Hash aus dem eingegebenen Passwort erneut, und der wird übertragen, und mit dem serverseitig hinterlegten verglichen. Stimmen sie überein, gelingt der Login. Die einzige Maschine die jemals ein Plaintext Passwort gesehen hat, ist die Clientmaschine unter der völligen Kontrolle des Benutzers.

Der Server darf das Plaintextpasswort gar nie erst sehen!

So funktioniert auch das simple htdigest (statt plain htpasswd), auch wenn es nur einen schwachen MD5 Hash nutzt. Es ist recht wahnsinnig, ein Formularfeld, das ein Passwort beinhaltet einfach so zu übertragen, selbst wenn man HTTPS hat. Wer sagt denn, daß der Serverbetreiber nicht selbst korrumpiert ist? Der Server darf nie ein Plaintextpasswort sehen.

Um sicherzustellen, daß das funktioniert, muß nur gewährleistet sein, daß das Javascript am Frontend und das serverseitige Script im Backend den selben Hashingalgorithmus nutzen. Dann funktioniert das!

Moderne Browser können per JavaScript stark hashen. Und serverseitige Interpreter wie PHP oder Perl können das selbstverständlich auch - und so sollte man es machen!

Edit: Ah, selbst wenn der Server keine Hashinglibraries hätte, auch egal. Der muß ja nicht wissen welche Hashtypen er vergleicht. Ein simpler Stringvergleich reicht ja auch...

Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:
  • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)
[http://wp.xin.at] - No RISC, no fun!

QotY: Girls Love, BEST Love; 2017 - The second Coming; The second great Year of Yuri!

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »GrandAdmiralThrawn« (19. März 2017, 21:31)


32

Sonntag, 19. März 2017, 21:41

Der Server darf das Plaintextpasswort gar nie erst sehen!


Der Satz ist völlig richtig, Deine Schlussfolgerung aber imho falsch. Wenn Du clientseitig hashst, ist ja gerade der Hash das "neue" Passwort. Es reicht also völlig aus, den Hash mitzuschneiden um Zugriff zu erlangen - das ursprüngliche Passwort ist ja nicht mehr nötig.
Das ist doch gerade der Sinn des Hashings: Trotz bekanntgewordenem Hash (z.B. durch Datenbankleak) kann ich nicht auf den oder andere Dienste zugreifen. Wenn aber der Hash ohne weitere Berechnung zur Authentifikation reicht, ist doch das Ursprungspasswort völlig irrelevant. Ich kann das auf dem Client noch 100 mal hashen - das was authentifiziert, was an den Server geht, ist entscheidend.

Das sieht übrigens auch Apache so und empfiehlt htdigest gerade NICHT:

Zitat von »"Apache"«

However, this does not lead to a significant security advantage over basic authentication. On the other hand, the password storage on the server is much less secure with digest authentication than with basic authentication. Therefore, using basic auth and encrypting the whole connection using mod_ssl is a much better alternative.


und weiter:

Zitat von »"Apache"«

Another problem is that the storage of the passwords on the server is insecure. The contents of a stolen htdigest file can be used directly for digest authentication. Therefore using mod_ssl to encrypt the whole connection is strongly recommended.


Quelle: http://httpd.apache.org/docs/2.2/mod/mod_auth_digest.html
We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

33

Sonntag, 19. März 2017, 21:43

Edit: Ah, selbst wenn der Server keine Hashinglibraries hätte, auch egal. Der muß ja nicht wissen welche Hashtypen er vergleicht. Ein simpler Stringvergleich reicht ja auch...


Genau das ist der Denkfehler. Wenn ich nur noch Stringvergleiche mache, ist vollkommen irrelevant ob der String vor der Übertragung mit 0 Hashings entstanden ist oder mit 1000. Fange ich den String ab (auf dem Transportweg oder in der Datenbank), habe ich alles was ich brauche.

Und noch mal gut formuliert auf Stackoverflow: http://stackoverflow.com/questions/20910…an-basic-or-not (erste Antwort)
We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »LoB« (19. März 2017, 21:47)


Beiträge: 12 607

Wohnort: A-8600, Bruck an der Mur, ÖSTERREICH

Beruf: UNIX Administrator

  • Nachricht senden

34

Sonntag, 19. März 2017, 22:04

!

Ah, du hast völlig recht!

Das war in der Tat mein Denkfehler und nicht der deine! Ich habe mir meine Implementierung nochmal angesehen, und es ist eine Kombination aus beidem. Ich hashe scheints clientseitig um den Transfer über's Kabel zu sichern, und serverseitig ein zweites Mal mit Salt.. Deswegen mußte ich das Passwort auch einmal von Plain in PHP hashen, jetzt weiß ich's wieder..

Eh, jo, mein Fehler, und ein schwerwiegender dazu.

Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:
  • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)
[http://wp.xin.at] - No RISC, no fun!

QotY: Girls Love, BEST Love; 2017 - The second Coming; The second great Year of Yuri!

35

Sonntag, 19. März 2017, 22:07

OK, danke, Du hast mich echt zum Zweifeln gebracht. :D
Also - zurück zum Thema: HTTPS (zumindest optional) auch für VA anzubieten fänd ich richtig! :)
We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

Beiträge: 12 607

Wohnort: A-8600, Bruck an der Mur, ÖSTERREICH

Beruf: UNIX Administrator

  • Nachricht senden

36

Sonntag, 19. März 2017, 22:13

SSL

Hmm, ich sehe grade, VA liegt bei HostEurope. Die bieten SSL an, aber nur von kommerziellen CAs, soweit ich das sehen kann. Es läuft also letzten Endes wohl einfach auf's Geld hinaus. Die billigste SSL Option kostet bei denen 2.49€ im Monat, dazu gibt's einen Testzeitraum von 30 Tagen.

Klingt nicht nach viel, aber ein bissl was isses halt auch. Knapp 30€ im Jahr.

Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:
  • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)
[http://wp.xin.at] - No RISC, no fun!

QotY: Girls Love, BEST Love; 2017 - The second Coming; The second great Year of Yuri!

37

Dienstag, 21. März 2017, 12:00

Vielleicht finden sich ja ein paar Mitglieder die die 30 € spenden? ;) Oder vielleicht gleich mehr, damit wir nicht nächstes Jahr wieder anfangen müssen zu sammeln.

Chosen_One

Monster Kill

Beiträge: 6 555

Wohnort: In der Nähe von Bremen

Beruf: Admin

  • Nachricht senden

38

Dienstag, 21. März 2017, 14:45

Wenn man quartalsweise selbst Hand anlegt ist ein kostenloser Betrieb via Let's Encrypt möglich.
https://sebastianbrosch.blog/2017/host-e…ypt-einrichten/

Verstehe ich nicht, warum die das nicht anbieten. :(

Beiträge: 12 607

Wohnort: A-8600, Bruck an der Mur, ÖSTERREICH

Beruf: UNIX Administrator

  • Nachricht senden

39

Dienstag, 21. März 2017, 14:59

SSL

Wenn man das als Admin manuell machen muß, geht einem das halt sehr schnell Mal gewaltig auf die Nerven...

Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:
  • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)
[http://wp.xin.at] - No RISC, no fun!

QotY: Girls Love, BEST Love; 2017 - The second Coming; The second great Year of Yuri!

Chosen_One

Monster Kill

Beiträge: 6 555

Wohnort: In der Nähe von Bremen

Beruf: Admin

  • Nachricht senden

40

Dienstag, 21. März 2017, 15:02

In der Tat. Da würde sich HostEurope wohl auch keinen Zacken aus der Krone brechen, wenn Sie das automatisert und kostenlos mit anbieten würden.

Ähnliche Themen