[DW] [RRD] Treff am Lagerfeuer

[Anachron]

Ja, stimmt, aber wozu muss denn unbedingt jede Website unter SSL laufen? Es gibt hier keine verschlüsselungswürdigen Informationen. Den Grund für den Verschlüsselungswahn hat mir bislang keiner schlüssig erklären können.

[Bogus Curry]

Ja, stimmt, aber wozu muss denn unbedingt jede Website unter SSL laufen? Es gibt hier keine verschlüsselungswürdigen Informationen. Den Grund für den Verschlüsselungswahn hat mir bislang keiner schlüssig erklären können.

Also das hier keine verschlüsselungswürdigen Daten gibt, da muss ich dir leider widersprechen. Willst du das jeder hier dein Passwort rausbekommt und damit hier im Forum unter deinen Namen was postes ?

Aber denke das ist hier nicht der richtige Thread dazu, das auszudiskutieren. Lass uns das Heute abend oder morgen Abend im Rockhouse das besprechen ;D

[Anachron]

Ja, stimmt, aber wozu muss denn unbedingt jede Website unter SSL laufen? Es gibt hier keine verschlüsselungswürdigen Informationen. Den Grund für den Verschlüsselungswahn hat mir bislang keiner schlüssig erklären können.

Also das hier keine verschlüsselungswürdigen Daten gibt, da muss ich dir leider widersprechen. Willst du das jeder hier dein Passwort rausbekommt und damit hier im Forum unter deinen Namen was postes ?

Aber denke das ist hier nicht der richtige Thread dazu, das auszudiskutieren. Lass uns das Heute abend oder morgen Abend im Rockhouse das besprechen ;D

Ich habe ja auch nicht von gridtalk.de gesprochen, das läuft als dynamischer content ja unter https, sondern über dorenas-world, von wo die Bilder kommen (oder eben nicht) - denn da liegt nur statisches Material ohne Sicherheitsrelevanz ...

[Bogus Curry]

Das muss die fragen, die sich das ausgedacht haben. Ist nun nicht auf meinen mist gewachsen

[nihal]

Ich habe ja auch nicht von gridtalk.de gesprochen, das läuft als dynamischer content ja unter https, sondern über dorenas-world, von wo die Bilder kommen (oder eben nicht) - denn da liegt nur statisches Material ohne Sicherheitsrelevanz ...

das Einbinden von unverschlüsseltem Content in eine https Seite stellt definitiv ein Sicherheitsrisiko dar, daher wird es geblockt.

[Dorena Verne]

Etwas mehr Details, die auch die Gefahr in dem speziellen Fall genau beschreibt, wäre auch mal hilfreich.

[nihal]

Das führt zu einer Diskusion im luftleeren Raum, die Entwickler der Browser müssten davon überzeugt werden. Das wird nicht geschehen, denn die sehen das genau so.

[Mareta Dagostino]

Etwas mehr Details, die auch die Gefahr in dem speziellen Fall genau beschreibt, wäre auch mal hilfreich.

In Gridtalk besteht keine Gefahr. Die HTTP-Seiten (also Fotos oder Links von Beitragsschreibenden) kommen nur auf Seiten vor, wo keine persönlichen Daten oder Passwörter eingegeben werden. Forenbeiträge sind eh öffentlich. Auf der Login-Seite oder Profil-Seite ist kein "mixed Content", da wird reines HTTPS verwendet.

Trotzdem haben Platzhirsch-Konzerne, Google voran, dem HTTP-Format den Kampf angesagt, sie drehen über die Jahre hinweg die Schrauben immer fester an und wollen Firmen dazu bringen, generell auf HTTPS zu wechseln; auch wegen der stetig steigenden Internet-Kriminalität (Phishing usw.). Leider können Betreiber einzelner Hobby-Foren da nichts dran ändern.

Ein Let's Encrypt Zertifikat auf dem eigenen, selbstadministrierten Server zu betreiben, ist nicht ganz ohne. Gekaufte Zertifikate kosten jährliche Abo-Gebühren. Meine Webseite betreibe ich deshalb auf einem von Hetzner fremdadministrierten Server, dann manchen die das für mich.

[Dorena Verne]

Ich hasse Fremdbestimmung nach dem Motto: "Friss oder stirb".

[Xenos Yifu]

Ein Let's Encrypt Zertifikat auf dem eigenen, selbstadministrierten Server zu betreiben, ist nicht ganz ohne. Gekaufte Zertifikate kosten jährliche Abo-Gebühren. Meine Webseite betreibe ich deshalb auf einem von Hetzner fremdadministrierten Server, dann manchen die das für mich.

Genau das mache ich auch, ich habe ein kleines Webhosting Paket gemietet auf dem ich Let's Encrypt Zertifikat verwende.
Dann eben noch ein Server den ich für Opensim etc. verwende.

ABER .... !
Ich hatte vorher einen (nackten) Server gemietet auf dem ich alles paralel betrieb. Auch da hatte ich kostenlos Let's Encrypt Zertifikat fürs https in Benutzung. Das habe ich alles selber eingerichtet.

Wie kommst du darauf das es ein kostenpflichtiges Abo wäre?

Zitat:

Die Schlüsselprinzipien hinter Let’s Encrypt sind:

Frei: Jeder, der einen Domainnamen besitzt, kann Let’s Encrypt benutzen, um sichere Zertifikate kostenfrei zu erhalten.
Automatisch: Die Software die auf dem Webserver läuft, kann auf einfache Website mit Let’s Encrypt Zertifikate beziehen, zur Benutzung abgesichert werden und automatisch Zertifikate erneuern.
Sicher: Let’s Encrypt stellt eine Plattform für erweiterte TLS-Sicherheit zur Verfügung, sowohl auf der CA-Seite als auch beim Betreiber, um ihn bei der Absicherung seines Servers zu unterstützen.
Transparent: Alle ausgestellten und widerrufenen Zertifikate werden öffentlich für jedermann zur Inspektion zur Verfügung gestellt.
Offen: Das automatische Ausstellungs- und Erneuerungsprotokoll wird als offener Standard veröffentlicht, damit es andere adaptieren können.
Kooperativ: Ähnlich wie die zugrundeliegenden Internetprotokolle selbst ist Let’s Encrypt eine gemeinsame Anstrengung, die der Community zugute kommt und außerhalb der Kontrolle einer einzelnen Organisation liegt.