Forum nur noch über SSL Verschlüsselung erreichbar

[1ST1]

Nein, ein einfacher Proxy hilft da nicht ansatzweise, der muss nämlich per Spezifikation die SSL-Verschlüsselung durchreichen. Außer es ist ein teures Profi-Gerät von Bluecoat oder so, solche Geräte können die SSL-Verschlüsselung aufbrechen. Ob die dann die Seiten auch an Clients vollständig unverschlüsselt weitergeben können, das weiß ich auch nicht. Johannes und Yalsi wissen das wahrscheinlich eher.

Wenn Matthias eben keine moderne Systeme nutzen möchte, dann ist das so, aber er schließt sich damit moderner Kommunikation flächendeckend aus, entweder oder... Nichtmal mehr Nachrichtenportale, sei es allgemeiner Natur, noch IT-Magazine oder sonstwas geht heutzutage ohne HTTPS, ja selbst sämtlicher Verkehr mit Mailservern oder Webmailern läuft heute über SSL/TLS-Verschlüsselung. Und schon garkeine Seiten mit FakeNews, wie Sputnik, RT, Telepolis, linksunten oder Trumps Tweet usw... Schrecklich! Bedankt euch bei einem gewissen Herrn Snowden, der hat auf die Wichtigkeit sehr deutlich hingewiesen und mit den alten Schätzchen geht das eben nicht. Und HTTPS-Zertifikate gibts ja dank diesen Enthüllungen zwischenzeitlich vierteljährig für Lau, ist also für einen Webseitenbetreiber alle drei Monate mit ein paar Minuten Arbeit verbunden, aber ohne sonstige Kosten: https://letsencrypt.org/

Einserseits verstehe ich ja Matthias, die jüngsten Meldungen zu Intel/AMD/ARM Sicherheitslücken (Spectre, meltdown) bestätigen mal wieder, das moderne Rechner und Betriebssysteme nicht sicher sind. Aber Autofahren oder über eine Straße laufen ist auch nicht sicher, selbt auf dem Rad und im Zug kann einem was passieren.

No Risk, no Fun, sagte der Papagei und flog in den Ventilator!

Ps: Auf der CES, abrufbar bei SPON per HTTPS, wird eine Herrenunterhose mit Abschirmung gegen Handystrahlung gezeigt, das gute Stück kostet nur 45 Dollar. Passt sicher gut zu Aluhüten! 

[Johannes]

Bei HTTPS gleich wieder die große Mainstreamkeule rauszuholen halte ich für reichlich daneben. Es geht nicht nur um Personendaten.

SSL bietet nunmal handfeste Vorteile. Natürlich kann man IT-Systeme nicht vollständig sicher machen, sobald sie am Netz hängen, aber man kann die Angriffsvektoren einschränken. HTTP-Verkehr zu belauschen ist nun wirklich kein Hexenwerk. Und jetzt stehe der bitte auf und sage: Ich finde es nicht gut, dass man meinen Benutzernamen und mein Kennwort nicht mehr so einfach beim Login mitlesen kann.

Die Forensoftware kann nunmal nur ein Protokoll, und die Entscheidung ist pro HTTPS gefallen - eigentlich schon längst überfällig - auch ohne DSGVO. Wir leben nunmal nicht in einer heilen Welt und ich wette viele hier benutzen hier Passwörter, die sie auch woanders einsetzen. Insofern war das der richtige Schritt.

[Johannes]

Und um nochmal ein bisschen Wind hier rauszunehmen: Mit meinem Falcon und Netsurf kann ich mir das Forum prima angucken... Und soweit ich weiss, läuft Netsurf auch auf der Firebee. Ich bin gespannt auf die Erklärung @Mathias ... Veränderung ist manchmal nicht einfach, aber man kann sich auch mal darauf einlassen und versuchen dem Ganzen etwas Gutes abzugewinnen.

[goetz @ 3rz]

Es ist auch nicht richtig daß eine Verschlüsselung unumgänglich ist. Im Art. 32 DSGVO Abs. 1 (a) geht es nämlich erstens um Firmen (!) und zweitens um "personenbezogene Daten" die gespeichert werden (als ob ein Forum nicht sowieso pseudonymisiert wäre). Warum sogar das Lesen damit nur mehr per https möglich sein sollte erschließt sich mir nicht.

IANAL, aber da liegst du falsch im zweiten Teil. Gerade eine Pseudonymisierung schützt nicht vor Anwendung des Datenschutzes (schon des alten BDSGs, ist nichtmal eine Änderung), denn solange eine Identifikation möglich ist, durch zuweisbare Merkmale, ist man „dabei“. Nur eine komplette Anonymisierung würde „helfen“, aber das will auch keiner.

Ich kann deinen persönlichen Schmerz nachvollziehen, ich habe den wo anders auch ähnlich. Aber: Die Zeit dreht weiter, der Atari bzw. seine Software ist halt vor 20 Jahren stehengeblieben. Es ist halt absehbar, dass das nicht mehr beliebig funktioniert. Mit einem meiner anderen Hobby-Rechner kann ich effektiv keine Mails mehr lesen, weil der noch kein MIME, kein QPE und kein UTF-8 kann. Muss man halt selbst drumrumarbeiten, oder es akzeptieren. Die IT-Welt bleibt nicht auf dem Stand von Atari 1999 stehen.

Oder du nimmst einen Proxy. Es muss kein Bluecoat sein, und er muss keine Verschlüsselung „aufbrechen“, wenn es dir nur ums Forum geht, er kann einfach „Endpunkt“ der Verschlüsselung sein. Sowas geht durchaus. Aber das führt hier zuweit.

[goetz @ 3rz]

[…]

Einserseits verstehe ich ja Matthias, die jüngsten Meldungen zu Intel/AMD/ARM Sicherheitslücken (Spectre, meltdown) bestätigen mal wieder, das moderne Rechner und Betriebssysteme nicht sicher sind. Aber Autofahren oder über eine Straße laufen ist auch nicht sicher, selbt auf dem Rad und im Zug kann einem was passieren.
[…]

Bei aller Begeisterung, aber der Atari ist nur deswegen nicht betroffen von Sicherheitslücken, weil er unterm Radar nicht detektierbar ist. „Sicher“ ist er nicht, im Gegenteil, da ist jede Menge sowas von im Argen, einfach weil das damals bei den meisten Autoren nicht auf dem Programm stand und keinen kümmerte. Und peer reviews oder Audits von exponierter Software am Atari hat mWn auch noch keiner gemacht, nicht in den TCP-IP-Stacks, nicht im Browser-Renderer, nicht in den Bilddarstellungsroutinen. Da wette ich eine Kiste Bier drauf, dass das löchriger Käse ist. Zumal den meisten Ataris prinzipiell jede Menge aktueller Sicherheitsmechanismen fehlen.

(Gilt genau so übrigens auch für Acorn, Amiga, Apple Mac 68k/PPC …)

[goetz @ 3rz]

SSL bietet nunmal handfeste Vorteile. Natürlich kann man IT-Systeme nicht vollständig sicher machen, sobald sie am Netz hängen, aber man kann die Angriffsvektoren einschränken. HTTP-Verkehr zu belauschen ist nun wirklich kein Hexenwerk. Und jetzt stehe der bitte auf und sage: Ich finde es nicht gut, dass man meinen Benutzernamen und mein Kennwort nicht mehr so einfach beim Login mitlesen kann.

Full ACK. (und ergänzend: HTTPS verhindert/erschwert auch, dass fremder Code injiziert werden kann, vom Provider oder anderen dritten)

[1ST1]

gh-baden, du hast natürlich vollkommen recht. Im Atari gibt es keinen Speicherschutz, ja unter MiNT kann man das einschalten, aber dann läuft noch weniger. Und per Default ist es zumindestens in easymint sowieso ausgeschaltet. TOS und MiNT und alle Programme sind sicher voll von Code-Injection-Lücken und was man sich sonst noch so vorstellen kann. Es gibt keine Festplattenverschlüsselung, keine Rechteverwaltung im Dateisystem, auch unter MiNT ist das wirkungslos weil es nur einen User gibt, der Root ist und somit sowieso alles darf, und Daten sind nur deswegen vor neugierigen Blicken versteckt, weil bei vielen Programmen das Dateiformat nicht dokumentiert ist. Mit genug Rechenleistung ist das alles kein Hexenwerk. Wer glaubt, weil er ein - aus heutiger Sicht - Nischensystem nutzt, sicher zu sein, irrt gewaltig. Wahrscheinlich kann man heute sogar das analoge Monitorsignal in absoluter Schärfe per Antenne aus 100 Meter Entfernung empfangen und darstellen und aufzeichnen, vielleicht schafft man es sogar, per Funk auf dem Prozessorbus mit zu lauschen., so starke Störstrahlenaussendung (Thema EMV) haben die ollen Dinger.

Wer sicher sein will, soll sich den Linux-Quellcode vorknöpfen, den Compiler-Quellcode natürlich auch, und sich sein System selber kompilieren, das ist dann vielleicht sicher. Vorrausgesetzt, man findet die Zeit das alles zu lesen und zu verstehen. Und am Ende sitzt der lauschende Trojaner auf Johannes seinem Forenserver und lauscht dort für die NSA vor der Verschlüsselung mit, da ist es dann ganz egal ob man einen Windows-10-PC mit Edge oder eine Firebee mit Netsurf nutzt...

[Johannes]

Leute, lasst uns nicht zu sehr abdriften, bitte ;-)

[1ST1]

Leute, lasst uns nicht zu sehr abdriften, bitte ;-)

Komm, gibts zu, dein Server lauscht mit!!! ... (der weiß alles!)