Powered by Invision Board
 Willkommen Gast ( Einloggen | Registrieren )

Portal | Board | TV | Kalender | Suche | Mitglieder | Regeln | Impressum | Datenschutzerklärung | Hilfe

  Antworten | Neues Thema |
Firefox 52 -- Warnung -- kein https [Zur Themenübersicht]
« Älteres Thema | Neueres Thema » Thema abonnieren | Thema versenden | Thema drucken
AndiFant
  Geschrieben am: 13 Mar 2017, 23:34


Haudegen


Status: Mitglied
Mitglied seit: 15 Nov 11
Beiträge: 592

Wohnort: Münih


Hallo,
firefox 52 "meckert", weil die Benutzername/Passworteingabe bei www.eisenbahnforum.de nicht verschlüsselt übertragen wird. Wenn ich versuche, das eisenbahnforum mit https://www.eisenbahnforum.de aufzurufen, gibt firefox eine Fehlerseite aus, die meldet:
"Your connection is not secure.
The owner of www. eisenbahnforum.de has configured their webite improperly. To protect your information from being stolen, Firefox has not connected to this website."

Muss ich mir jetzt Gedanken machen?
    
    Link zum BeitragTop
Mark8031
  Geschrieben am: 14 Mar 2017, 00:10


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 9 Apr 12
Beiträge: 2161

Alter: 42
Wohnort: Maisach


Nein. Sofern du die allgemeinen Empfehlungen, für alles ein separates Passwort zu verwenden, beherzigst. Und auch wenn du das nicht tust, ist es nur halb so schlimm. Das EF ist 1. mit so einer alten Software unterwegs, dass es nicht mehr im Fokus von kriminellen steht und 2. ein zu kleines Licht um im Fokus von Kriminellen zu stehen. Nichtsdestotrotz würde ein Umstieg auf SSL gut tun, insbesondere im Hinblick auf die Bestrafung von Suchmaschinen, die bald für "unsichere" Websites ansteht

--------------------
Gibt es auch etwas sinnvolles beizutragen oder ist das Pasing und kann weg?
    
        Link zum BeitragTop
Didy
  Geschrieben am: 14 Mar 2017, 10:36


Lebende Forenlegende


Status: Mitglied.
Mitglied seit: 26 Jul 06
Beiträge: 3404




QUOTE (Mark8031 @ 14 Mar 2017, 01:10)
Und auch wenn du das nicht tust, ist es nur halb so schlimm. Das EF ist 1. mit so einer alten Software unterwegs, dass es nicht mehr im Fokus von kriminellen steht und 2. ein zu kleines Licht um im Fokus von Kriminellen zu stehen.

Die Aussage ist so nicht ganz korrekt.

Du spielst jetzt auf einen Angriff auf die Forensoftware an. Das hat aber nichts mit der Übertragung per http oder https zu tun.

Die Frage http oder https betrifft hingegen: Kann jemand, der sich in die Übertragung einklinkt, das Passwort im Klartext mitlesen (http) oder nicht (https).

Daher ist es grundsätzlich empfehlenswert, für jede Anwendung ein eigenes Passwort zu haben (-> Angriff auf das Forum), bei Übertragung mit http aber besonders (-> Jeder "unterwegs" kann das Passwort im Klartext mitlesen).

--------------------
user posted image
    
    Link zum BeitragTop
FloSch
  Geschrieben am: 14 Mar 2017, 12:23


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 28 Mar 03
Beiträge: 4568
Chat: FloSch 

Alter: 38
Wohnort: München


QUOTE (Didy @ 14 Mar 2017, 10:36)
-> Jeder "unterwegs" kann das Passwort im Klartext mitlesen

Insbesondere in öffentlichen WLANs...

--------------------
user posted image
Twitter: @muenchnerubahn | Facebook: facebook.com/muenchnerubahn | Instagram: @muenchnerubahn
    
          Link zum BeitragTop
Iarn
  Geschrieben am: 14 Mar 2017, 13:48


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 20 Jul 07
Beiträge: 17449




Das größte Risiko sehe ich eigentlich wenn irgendein Spammer, Spinner, Scherzkeks etc mal Boris Passwort abfängt und damit richtig Unsinn anstellt.

--------------------
Autonome Volksfront für die Wiedererrichtung der klassischen 22er Tram in München
Nicht zu verwechseln mit der Populären Front
    
     Link zum BeitragTop
Bayernlover
  Geschrieben am: 14 Mar 2017, 13:53


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 2 Aug 09
Beiträge: 13896
Chat: Bayernlover 

Alter: 30
Wohnort: Dresden (4, 6, 10, 12, 65, 85)


QUOTE (Iarn @ 14 Mar 2017, 13:48)
Das größte Risiko sehe ich eigentlich wenn irgendein Spammer, Spinner, Scherzkeks etc mal Boris Passwort abfängt und damit richtig Unsinn anstellt.

Gegen die Löschung von ein paar Trollen hätte ich allerdings nix ph34r.gif

--------------------
Für mehr Administration. Gegen Sittenverfall. Für den Ausschluss nerviger Weiber.
    
     Link zum BeitragTop
218 466-1
  Geschrieben am: 14 Mar 2017, 15:47


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 2 Aug 10
Beiträge: 6209

Alter: 39
Wohnort: Red Bank NJ, ex-Ingolstadt


QUOTE (AndiFant @ 14 Mar 2017, 00:34)
Hallo,
firefox 52 "meckert", weil die Benutzername/Passworteingabe bei www.eisenbahnforum.de nicht verschlüsselt übertragen wird. (...) Fehlerseite aus, die meldet:
"Your connection is not secure.
The owner of www. eisenbahnforum.de has configured their webite improperly. To protect your information from being stolen, Firefox has not connected to this website."

Muss ich mir jetzt Gedanken machen?
Nein. Das ist nur ein neues Feature, das bei allen Logins ohne https angezeigt wird.

Wer diese Warnung nicht will, gibt im URL Feld "about:config" ein, akzeptiert den Risiko-Hinweis, scrollt hinuter zu "security.insecure_field_warning.contextual.enabled" (einfacher das hier ohne "" kopieren und dort oben im Suchfeld einfügen) und stellt das per Doppelclick von "true" auf "false" um.

--------------------
Keine Alternative zum Transrapid MUC
user posted image
    
     Link zum BeitragTop
Boris Merath
  Geschrieben am: 14 Mar 2017, 16:09


Lebende Forenlegende


Status: Admin
Mitglied seit: 18 Nov 02
Beiträge: 17962
Chat: BorisM 

Alter: 33
Wohnort: München


Also grundsätzlich habe ich den Umstieg auf https schon geplant und hatte auch auf einer anderen Domain schon einen Testlauf. Das Problem war hier die regelmäßige Erneuerung der Zertifikate, was nicht so lief wie ich es gerne hätte - der offizielle lets encrypt-Client war mir da einfach zu selbstständig - ich mag es nicht, wenn Programme als root automatisiert ausgeführt werden wollen, dabei selbstständig in der Konfiguration des Servers rumpfuschen und sich auch noch selbst updaten/Code aus dem Internet nachladen.

Aber gut, wenn Firefox es jetzt "erzwingt" (was ja grundsätzlich sinnvoll ist) weiß ich ja, womit ich dann mein Wochenende verbringe, und inzwischen hat sich auf dem Bereich der Zugriffsmöglichkeiten durch weitere Clients/Scripte etc. ja auch einiges getan.

Bearbeitet von Boris Merath am 14 Mar 2017, 16:11

--------------------
user posted image
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
    
              Link zum BeitragTop
AndiFant
  Geschrieben am: 14 Mar 2017, 16:50


Haudegen


Status: Mitglied
Mitglied seit: 15 Nov 11
Beiträge: 592

Wohnort: Münih


Danke, Boris für die Erklärung und die viele Zeit, die du investiert, das Forum am Laufen zu halten!
    
    Link zum BeitragTop
Rev
  Geschrieben am: 14 Mar 2017, 17:38


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 28 Nov 11
Beiträge: 2958

Alter: 34



QUOTE (Boris Merath @ 14 Mar 2017, 17:09)
Also grundsätzlich habe ich den Umstieg auf https schon geplant und hatte auch auf einer anderen Domain schon einen Testlauf. Das Problem war hier die regelmäßige Erneuerung der Zertifikate, was nicht so lief wie ich es gerne hätte - der offizielle lets encrypt-Client war mir da einfach zu selbstständig - ich mag es nicht, wenn Programme als root automatisiert ausgeführt werden wollen, dabei selbstständig in der Konfiguration des Servers rumpfuschen und sich auch noch selbst updaten/Code aus dem Internet nachladen.

Aber gut, wenn Firefox es jetzt "erzwingt" (was ja grundsätzlich sinnvoll ist) weiß ich ja, womit ich dann mein Wochenende verbringe, und inzwischen hat sich auf dem Bereich der Zugriffsmöglichkeiten durch weitere Clients/Scripte etc. ja auch einiges getan.

Ich verstehe nicht ganz warum du da ein wochende einplanst aber ich helfe ja gern bei sowas wink.gif.

Das hier in nen Crontab von einem X beliebiegen user den man einsperren kann

CODE
/certbot/certbot-auto certonly --keep-until-expiring --quiet --webroot -w /www/pfad/zum/boad -d eisenbahnforum.de -d www.eisenbahnforum.de

Damit pfuscht dir Letsencrypt auch nicht in deiner config rum sondern legt lediglich das fertig cert unter /etc/letsencrypt/live/eisenbahnforum.de ab da kann man den apache dann direkt drauf zugreifen lassen oder man verschiebt es nochmal um es "sichere" zu machen... certonly ist hier das Stichwort

QUOTE
/etc/init.d/apache2 reload

Den Apache einmal am tag durch laden


Und hier die saubere vohost config damit auch keine user versehentlich in irgendwelche unsicheren netzt noch auf HTTP geht und der Client trotzdem weiter verifizieren kann....

CODE
<VirtualHost 176.9.90.201:80>
       ErrorLog /var/log/apache2/domains/eisenbahnforum.de-error.log
       CustomLog /var/log/apache2/domains/eisenbahnforum.de-access.log common
       ServerName eisenbahnforum.de
       DocumentRoot /www/domains/eisenbahnforum
       RewriteEngine On
       # Redirect all hits except for Let's Encrypt's ACME Challenge verification to example.com
       RewriteCond %{REQUEST_URI} !^.well-known/acme-challenge
       RewriteRule ^(.*) https://eisenbahnforum.de/$1 [R=301,L]
</VirtualHost>

<VirtualHost 176.9.90.201:80>
       ErrorLog /var/log/apache2/domains/eisenbahnforum.de-error.log
       CustomLog /var/log/apache2/domains/eisenbahnforum.de-access.log common
       ServerName www.eisenbahnforum.de
       DocumentRoot /www/domains/eisenbahnforum
       RewriteEngine On
       # Redirect all hits except for Let's Encrypt's ACME Challenge verification to example.com
       RewriteCond %{REQUEST_URI} !^.well-known/acme-challenge
       RewriteRule ^(.*) https://www.eisenbahnforum.de/$1 [R=301,L]
</VirtualHost>

<VirtualHost 176.9.90.201:443>
       ServerName eisenbahnforum.de
       ServerAlias www.eisenbahnforum.de
       ServerAdmin webmaster@eisenbahnforum.de
       DocumentRoot /www/domains/eisenbahnforum
       ErrorLog /var/log/apache2/domains/eisenbahnforum.de-error.log
       CustomLog /var/log/apache2/domains/eisenbahnforum.de-access.log common
       SSLEngine on
       Header always set Strict-Transport-Security max-age=15768000
       SSLCertificateFile /etc/letsencrypt/live/eisenbahnforum.de/fullchain.pem
       SSLCertificateKeyFile /etc/letsencrypt/live/eisenbahnforum.de/privkey.pem
</VirtualHost>



Das Auto update kannst du verhindern in dem du den client von den debian backports reps lädst... wobei das automatisch nachladen von Code nichts schlimmes ist wenn es von einer sicheren quelle kommt... man weiß eh nicht was bei nem Update vom z.b dem OS passiert da kann auch weiß Gott was installiert werden nur weil man den befehl selber eintippt gibt einen das nicht mehr Sicherheit... Es kommt immer auf die quelle an nicht das man es manuell macht...

Sache von 10 Minuten ...bei fragen helfen ich gern

Bearbeitet von Rev am 14 Mar 2017, 17:42
    
     Link zum BeitragTop
Boris Merath
  Geschrieben am: 14 Mar 2017, 17:52


Lebende Forenlegende


Status: Admin
Mitglied seit: 18 Nov 02
Beiträge: 17962
Chat: BorisM 

Alter: 33
Wohnort: München


Zu dem Zeitpunkt meiner Tests damals war der letsencrypt-client ziemlich störrisch, und hat sich ziemlich massiv gegen Einschränkungen gewehrt. Aber wie ich ja geschrieben habe, seitdem hat sich einiges getan, von daher bin ich zuversichtlich dass das jetzt besser läuft.

QUOTE
Das Auto update kannst du verhindern in dem du den client von den debian backports reps lädst...

Na dann bin ich mal gespannt - vor einigen Monaten hat zumindest bei mir auch der Client der über Debian kam als erstes angefangen irgendwelche zusätzlichen Scripte runterzuladen und auszuführen. Das fand ich persönlich jedenfalls nicht so lustig.

Das Problem war nicht das Erstellen der Apache-Config (das ist in der Tat in 10 Minuten gemacht), sondern zu sehen was dieses Programm macht und negative Auswirkungen auszuschließen. Und da überzeuge ich mich doch lieber selber dass das kein Eigenleben entwickelt das ich nicht möchte.

Bearbeitet von Boris Merath am 14 Mar 2017, 17:56

--------------------
user posted image
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
    
              Link zum BeitragTop
Rev
  Geschrieben am: 14 Mar 2017, 17:59


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 28 Nov 11
Beiträge: 2958

Alter: 34



QUOTE
Zu dem Zeitpunkt meiner Tests damals war der letsencrypt-client ziemlich störrisch, und hat sich ziemlich massiv gegen ein Einsperren geweigert. Aber wie ich ja geschrieben habe, seitdem hat sich einiges getan, von daher bin ich zuversichtlich dass das jetzt besser läuft.

Er braucht halt die recht für das eigene Verzeichnis und für das Verzeichnis wo er die ACME Challenge ablegt bei letzterem muss der Apache auch noch drauf können....

QUOTE
Na dann bin ich mal gespannt - vor einigen Monaten hat zumindest bei mir auch der Client der über Debian kam als erstes angefangen irgendwelche zusätzlichen Scripte runterzuladen und auszuführen. Das fand ich persönlich jedenfalls nicht so lustig.

Das kenneich nur vom GIT client. Der Debian installiert zwar auch nach aber über apt ...das hat man nur etwas sub optimal ohne nachfrage gemacht... aber wie gesagt die quelle ist sauber das Läuft mittlerweile auf zig hunderttausend seiten.... da hätte ich derzeit eher angst das jemand sich nen debian mirror unter den nagel reist und darüber sein Unwesen treibt...

Wenn du ganz paranoid bist kannst das sogar auf nem anderen Server laufen lassen der nur das macht... hab ich auch bei einigen Sachen im Einsatz...

Bearbeitet von Rev am 14 Mar 2017, 18:01
    
     Link zum BeitragTop
Boris Merath
  Geschrieben am: 14 Mar 2017, 18:04


Lebende Forenlegende


Status: Admin
Mitglied seit: 18 Nov 02
Beiträge: 17962
Chat: BorisM 

Alter: 33
Wohnort: München


QUOTE (Rev @ 14 Mar 2017, 18:59)
Der Debian installiert zwar auch nach aber über apt ...das hat man nur etwas sub optimal ohne nachfrage gemacht...

Gut, das kann natürlich sein dass ich das übersehen habe - allerdings frage ich mich wieso und wie ein Programm, das im Idealfall nicht als root läuft, etwas über apt nachinstalliert? Klar, damit kann man natürlich dafür sorgen, dass bei jedem Aufruf ein Update eingespielt wird, macht aber über diesen weiteren nicht regulären Updatemechanismus ein weiteres prinzipielles Einfallstor auf.

Ich hatte damals versucht zu verstehen was das Ding genau macht, die Details weiß ich jetzt nach einigen Monaten aber auch nicht mehr.

QUOTE
da hätte ich derzeit eher angst das jemand sich nen debian mirror unter den nagel reist und darüber sein Unwesen treibt...

Selbstverständlich ist das eine Gefahr, die habe ich aber so oder. Wenn jetzt aber einzelne Programme anfangen sich über irgendwelche abweichenden Wege selbst upzudaten, hat man pro Programm ein weiteres Einfallstor.

Bearbeitet von Boris Merath am 14 Mar 2017, 18:12

--------------------
user posted image
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
    
              Link zum BeitragTop
Rev
  Geschrieben am: 14 Mar 2017, 18:20


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 28 Nov 11
Beiträge: 2958

Alter: 34



Na ja die Installation / first run an sich macht man schon über root das ist halt der Easy way das mann nicht selbst nachinstallieren muss...

Das upgrade kann man auch verbieten das gibt es mindest schon seit nem Jahr oder so... dann wird auch kein apt-get mehr ausgeführt... das ohne sudo etc natürlich sonst auf die fresse fliegt....

QUOTE
  --no-self-upgrade                         do not download updates
  --os-packages-only                        install OS dependencies and exit


QUOTE
Ich hatte damals versucht zu verstehen was das Ding genau macht, die Details weiß ich jetzt nach einigen Monaten aber auch nicht mehr.

Das ding ist eigentlich relativ simpel /certbot/certbot-auto certonly ist sogar nur ein bash script ... und der rest ist in Python geschrieben...

Vereinfacht gesagt legt das teil ne Datei in das web Verzeichnis damit wird geprüft ob dir die Datei gehört anschließend lässt der client das csr vom letsencrypt signieren und legt es auf dem eigenen Server ab...



Die Einfallstore würde ich nicht überbewerten. Mit veralteter Software hat man auch genug davon... so gesehen dürfte es im gesamten und über alle Server sichere sein wenn das Automatisch gemacht wird... und nicht einmalig bei der Installation und dann nie wieder auf tausenden von Servern...

Bearbeitet von Rev am 14 Mar 2017, 18:25
    
     Link zum BeitragTop
Lobedan
  Geschrieben am: 14 Mar 2017, 20:19


Kaiser


Status: Mitglied
Mitglied seit: 1 Jan 16
Beiträge: 1013

Alter: 28



QUOTE (218 466-1 @ 14 Mar 2017, 15:47)

Nein. Das ist nur ein neues Feature, das bei allen Logins ohne https angezeigt wird.

Wer diese Warnung nicht will, gibt im URL Feld "about:config" ein, akzeptiert den Risiko-Hinweis, scrollt hinuter zu "security.insecure_field_warning.contextual.enabled" (einfacher das hier ohne "" kopieren und dort oben im Suchfeld einfügen) und stellt das per Doppelclick von "true" auf "false" um.

Ja genau, ignorieren von Sicherheitsproblemen war schon immer der Königsweg. rolleyes.gif
    
    Link zum BeitragTop
Thema wird von 0 Benutzer gelesen (0 Gäste und 0 Anonyme Benutzer)
0 Mitglieder:
14 Antworten seit 13 Mar 2017, 23:34 Thema abonnieren | Thema versenden | Thema drucken

<< Back to Anregungen & Kritik
Antworten | Neues Thema |