PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Warez Seite mit TLS SSL



hooligan
12.01.2016, 22:05
macht es Sinn eine Warez Seite mit TLS SSL auszustatten?
Kriegt dies der Normalo User mit?
wird er vllt dadurch verschreckt?

Was sind eure gedanken dazu?

fritzi
13.01.2016, 10:49
Warum sollte er abgeschreckt sein? Immerhin ist das auch ne gewisse Sicherheit für die User.

hooligan
13.01.2016, 11:00
klar ist das etwas sicherheit..
hab irgendwie nur angst vor folgenden meldungen:

https://www.szenebox.org/images/_imported/2016/01/26.jpg

https://www.szenebox.org/images/_imported/2016/01/27.jpg

aber in der regel wollte das nicht kommen :-/

syrius
13.01.2016, 11:36
Diese meldung kommt nur wenn man ein selbstsigniertes Zertifikat einsetzt (was man im öffentlichen Bereich nie tun sollte) oder das Zertifikat falsch "verbaut" wurde. Letzteres ist einfach auf mangelndes Fachwissen zurückzuführen...

Im obigen Fall z.B. (Firefox) ist das SSL-Zertifikat nicht für die aufgerufene Domain pop.backslash.ch ausgestellt.

Ein Zertifikat für backslash AG - die Internetagentur (http://www.backslash.ch) gilt auch NUR für den Aufruf genau dieser Domain in diesem Muster. Es gilt nicht für pop.backslash.ch oder backslash.ch ... außer man nutzt ein Wildcard SSL Zertifikat was ca 200€ kostet. Daher machen wir hier bei szenebox.org z.b. einen redirect von szenebox.org auf www .szenebox.org da unser SSL-Zertifikat für die domain www .szenebox.org ausgestellt ist.

hooligan
13.01.2016, 16:07
danke, das hilft mir schon was weiter

Nimbus
13.01.2016, 16:37
macht es Sinn eine Warez Seite mit TLS SSL auszustatten?
Ich gehe mal davon aus, dass du die konkreten Vorteile kennst und gehen da nicht genauer darauf ein. Man muss sich die Frage stellen, ob man die Verifikation und Sicherheit, die man bekommt, braucht. Wenn man ehrlich ist, dann kann man bei einer Warez-Seite wohl auf beides verzichten..


Kriegt dies der Normalo User mit?
wird er vllt dadurch verschreckt?
Der Durchschnittsuser wird das nicht mitbekommen. Einigen Usern wird es auffallen und besonders selbsternannte Sicherheitsexperten werden begeistert sein. Abschrecken wird es weniger.
Vor den angesprochenen Fehlermeldungen muss man nur Angst haben, wenn man Fehler macht (*höhö*). Das klingt jetzt recht albern, aber so ist es eben. Wenn man grundlegende Dinge beachtet (auf die richtige Domain und von einer vernünftigen CA ausstellen lassen), dann bekommt man diese Meldungen eigentlich nicht zu Gesicht.

Erwähnen würde ich gerne noch, dass man für ein "schönes Bild" keine externen Ressourcen (Scripts, Stylesheets, Bilder) per http einbinden darf. Möchte man seinen Usern zum Beispiel erlauben Bilder/Signaturen (aus externer Quelle) einzubinden, dann muss man sie entweder dazu zwingen nur https zu nutzen oder die URLs selbst umwandeln (z.B. indem man sie bei sich zwischenspeichert). Tut man das nicht, dann tauchen Fehlermeldungen auf oder das Laden wird blockiert.

hooligan
13.01.2016, 17:10
da wird es wieder happig mit bildern von extern...

syrius
13.01.2016, 19:34
da wird es wieder happig mit bildern von extern...

Das haben wir bei vBulletin einfach so gelöst, dass die Bilder automatisch gezogen und lokal gespeichert werden. Wenn du ein eigenes CMS nutzt, lass dir sowas programmieren - hat auch den Vorteil wenn der Imagehoster mal off ist, trotzdem noch alles angezeigt wird. Außerdem loggt der Imagehoster dann zudem die IP's beim Aufruf... nicht nur deine sonder halt auch die aller Besucher :(

Gruß

Cannonau
14.01.2016, 09:38
Man muss sich die Frage stellen, ob man die Verifikation und Sicherheit, die man bekommt, braucht. Wenn man ehrlich ist, dann kann man bei einer Warez-Seite wohl auf beides verzichten..

Hallo,

auch wenn ich den Rest Deines Beitrages unterstreichen würde, hier denke ich anders - allein die sichere Übertragung meines Logins ist mir ziemlich wichtig. Es gibt Foren, da kann man nach dem Login im UCP schon sehen, mit welcher Mailadresse der User angemeldet ist ... und dann wären wir u.U., wenn sich der User etwas blöd angestellt hat, bei einem Szenario ähnlich dem BBZ-Bust. Sicherheit ist immer ein Gesamkonzept und https gehört heute m.E. standardmäßig dazu.


Das haben wir bei vBulletin einfach so gelöst, dass die Bilder automatisch gezogen und lokal gespeichert werden.

Mein Wissen ist, zugegeben, hier nur lückenhaft, aber ich sehe sogar bei großen Sites, daß sich Admins gegen die Einführung von https wehren, weil diese Methoden nicht bekannt sind (oder vielleicht auch nicht ohne Aufwand implementiert werden können, warum auch immer).

Ich finde es von daher richtig und wichtig, daß genau dieses Thema hier diskutiert wird. Vielleicht fragt ja der eine oder andere User nach einen Fallbeispiel, dann muß ich das nicht machen und es gibt Beispielcode dafür hier ;-) Ich plane zwar im Moment keine Sites, ich muß erstmal wieder in den Tritt kommen, aber sowas ist tolle Werbung für SZB, finde ich.

Gibt's für vB und WBB nicht sogar ein fertige Plugins dafür? Bin nicht sicher, länger her, daß ich mich dahingehend umgesehen habe. darklight.to beispielsweise setzen auf ihrem Board (z.Zt. offline) sowas z.B. ein.

Cannonau

syrius
14.01.2016, 09:46
Mein Wissen ist, zugegeben, hier nur lückenhaft, aber ich sehe sogar bei großen Sites, daß sich Admins gegen die Einführung von https wehren, weil diese Methoden nicht bekannt sind (oder vielleicht auch nicht ohne Aufwand implementiert werden können, warum auch immer).

Einzige was mir in den Sinn kommt, dass sie durch externe Uploads am Ende Mixed-Kontent Probleme haben und einige User eine Zertifikatsfehlermeldung sehen - was sich durch extern eingebundene Inhalte entweder auch per https (sofern vorhanden) lösen lässt oder man so organisiert ist, dass man sein System dahingehend erweitert und externe Inhalte ausschließt. Meiner Einschätzung nach handelt es sich dabei um gefährliches Halbwissen ... was zu der nicht-etablierung von SSL in der Warez-Szene führt.



Gibt's für vB und WBB nicht sogar ein fertige Plugins dafür? Bin nicht sicher, länger her, daß ich mich dahingehend umgesehen habe. darklight.to beispielsweise setzen auf ihrem Board (z.Zt. offline) sowas z.B. ein.

Da gibt es in der Tat ein Plugin - gleiches nutzen auch wir: "vB4 Import External Images". Aber ich würde mir sowas auch z.B. für jede beliebige Seite in Shell/Bash schreiben. Select auf die Datenbank, externe Bilder filtern, Wget auf die URL machen (Bild herunterladen) und mit neuem Link ein Update auf die DB. Das ganze lässt man jede Minute per Cronjob ausführen und Voilà: hat man sich eine einfache Brücke gebaut.

hooligan
14.01.2016, 13:50
bilder auf den eigenen host laden ist keine alternative für mich.
wie schaut das dann auch mit werbung von extern aus?
würde das auch zu einem zerti fehler führen wenn kein https?
Ich finde verschlüsselung solange es noch performant ist schon gut beim surfen
aber ich denke sobald irgendwelche fehler oder hinweise kommen ist das alles andere als
0815 user freundlich. und genau diese user braucht es ;-)
sonst kann man das ganze nonpublic machen

Unlimiter
14.01.2016, 14:03
Dazu hat der FC-Support etwas sogar geschrieben: https://www.szenebox.org/149-filecrypt-cc-anregung-kritik/1891-https-einstellungen/


Leider nicht möglich, da so keine Werbung (http) mehr eingebunden werden kann. Die sonstigen Informationen werde ich der richtigen Stelle zukommen lassen.

usw.

syrius
14.01.2016, 20:15
bilder auf den eigenen host laden ist keine alternative für mich.
wie schaut das dann auch mit werbung von extern aus?
würde das auch zu einem zerti fehler führen wenn kein https?
Ich finde verschlüsselung solange es noch performant ist schon gut beim surfen
aber ich denke sobald irgendwelche fehler oder hinweise kommen ist das alles andere als
0815 user freundlich. und genau diese user braucht es ;-)
sonst kann man das ganze nonpublic machen

Geld ist halt wichtiger als Datenschutz - geh doch in die Politik ^^

Nimbus
14.01.2016, 21:21
Wenn das Zwischenspeichern (warum auch immer) keine Option ist, dann gibt es dafür auch Dienste, die derartiges Anbieten. Im Prinzip wandelt man dann alle URLs um, sodass die durch diesen Anbieter geladen werden. Dort wird dann oft auch zusätzlich automatisches Zuschneiden/Optimieren angeboten. Stichworte hierzu wäre z.B. "Image Proxy" oder "SSL Image Proxy", "Image Resize Proxy"


allein die sichere Übertragung meines Logins ist mir ziemlich wichtig. Es gibt Foren, da kann man nach dem Login im UCP schon sehen, mit welcher Mailadresse der User angemeldet ist ... und dann wären wir u.U., wenn sich der User etwas blöd angestellt hat, bei einem Szenario ähnlich dem BBZ-Bust. Sicherheit ist immer ein Gesamkonzept und https gehört heute m.E. standardmäßig dazu.
SSL sichert (sofern vernünftig gegen diverse Attacken gesichert) den Datenverkehr zwischen dir und dem Server. Die Seite meiner Bank möchte ich theoretisch auch mal unterwegs besuchen während ich in einer unsicheren Umgebung bin. Brauch ich das bei einem Warez-Board? Ein Warez-Board braucht man tendenziell eher in einem Netzwerk, dass gegen MITM-Angriffe, weitestgehend gesichert ist. Private Hobby Schnüffler sind also schon mal außen vor. Zusätzlich läuft m.E. schon etwas falsch, wenn ein kompromittierter Login abgesehen vom Offensichtlichen direkt ein Problem darstellt.

Gegen wen muss ich mich dann noch absichern? Irgendwelche richtig fiese (staatliche?) Typen/Institutionen, die mich komplett abhören mit Deep-Packet-Inspection und derartigen Späßen. Da hilft mir dann eine HTTPS-Verbindung für den Login von einem Warez-Board nicht mehr viel, da sollte dann schon ein VPN eingesetzt werden.

Das ist jetzt natürlich alles etwas übertrieben bzw. vereinfacht.
SSL gesicherte Verbindungen sind toll keine Frage. Ich meine nur, dass der gebotene Schutz an einigen Stellen schlichtweg eher weniger dringend ist und an anderer Stelle einfach nicht ausreicht.

Abhängig von der Seite und dem Betreiber ist es unter Umständen wahrscheinlicher, dass die Daten direkt von der Seite abgegriffen wird (z.B. eklatante Lücken, Fehlkonfiguration, unsichere Passwörter, etc.). Da erweckt ein SSL-Zertifikat, dann maximal den falschen Eindruck einer sicheren Seite.

Ich nutze auch SSL und wandle externe Ressourcen (sprich Bilder) zu SSL-Links. Dennoch sollte man dem Ganzen nicht unnötig viel Bedeutung andichten.

hooligan
15.01.2016, 00:12
ich rede nicht von einem forum, sondern von eine link seite ohne anmeldung etc.

xTear
15.01.2016, 11:50
ich rede nicht von einem forum, sondern von eine link seite ohne anmeldung etc.

Falls du Click n Load einsetzen willst, brauchst du noch ne Domain ohne HTTPS da sonst das lokale JS nicht geladen werden kann, und Click n Load nicht funktioniert.

Siehe Filecrypt, wenn du bei der HTTPS verbindung auf Click n Load drückst, öffnet sich ein Popup ohne HTTPS.