Diskussion:Hypertext Transfer Protocol Secure

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Diese Diskussionsseite dient dazu, Verbesserungen am Artikel „Hypertext Transfer Protocol Secure“ zu besprechen.

Persönliche Betrachtungen zum Thema gehören nicht hierher. Für allgemeine Wissensfragen gibt es die Auskunft.

Füge neue Diskussionsthemen unten an: Klicke auf Abschnitt hinzufügen, um ein neues Diskussionsthema zu beginnen, und unterschreibe deinen Beitrag bitte mit oder --~~~~.

Hinweise

Archiv-Tabelle Archiv
Zum Archiv
Wie wird ein Archiv angelegt?
Automatische Archivierung
Auf dieser Seite werden Abschnitte automatisch archiviert, deren jüngster Beitrag mehr als 90 Tage zurückliegt und die mindestens 2 signierte Beiträge enthalten. Um die Diskussionsseite nicht komplett zu leeren, verbleibt mindestens ein Abschnitt.

HTTPS und die Weitergabe von Daten an eigentlich in der Verbindung nicht beteiligte Dritte[Quelltext bearbeiten]

innerhalb einer HTTPS Verbindung / Webseite werden auf vielen Seiten in der Zwischenzeit aus welchen Gründen auch immer Daten an unbeteiligte Dritte weitergeben. dazu gehören unter anderem Einbindung von Captcha als auch Statistikgenerierung auf Drittsystemen. da das https eine sichere one to one Verbindung suggeriert sollte das Augenmerk hier auch auf die strikte Einhaltung geachtet werden das KEINE Daten dieser Verbindung an Dritte abfliesen. Es kann nicht sein das in einer solchen Verbindung Cookies von Drittanbietern welche auch auf anderen Seiten wieder ausgelesen werden können als auch das globale Dienste alleine mit der Übernmittlung der IP ein Bewegungsprofil erstellen können. mit https wird unter anderem eine Datensicherheit vermittelt welche viele Seitenbetreiber bewusst umgehen. sauköpsche

Self-Signed Certs[Quelltext bearbeiten]

Der Abschnitt zu selbst-signierten Zertifikaten wurde geändert auf: "Bei einem so erstellten Zertifikat garantiert nicht unmittelbar ein Dritter die Authentizität des Anbieters, wodurch durch falsches Benutzerverhalten ein Erfolg eines Man-in-the-middle-Angriffs wahrscheinlicher ist." Die Begründung erscheint mir zu kompliziert. 1. Wozu "unmittelbar"? Ein Dritter (CA) ist nicht im Spiel, nicht mittel- und auch nicht unmittelbar. 2. Wieso wird die Gefahr eines MTM-Angriffs durch falsches Benutzerverhalten größer? Ohne Prüfung der Authentizität hat der Nutzer schlicht keine Sicherheit, wer ihm gegenüber sitzt. Sein Verhalten spielt dafür keine Rolle. Der Autor der Änderung hat offenbar ein bestimmtes Szenario im Hinterkopf, das aber nicht erklärt wird. Dann kann man dazu einen eigenen Artikel schreiben, und den dann hier verlinken. --Bernd.Brincken (Diskussion) 09:41, 29. Jul. 2017 (CEST)

Trifft so auch schlicht nicht alle Anwendungszenarien. Der Nutzer kann auch eine eigene CA aufsetzen und diese auf den legitimen Clients hinzufügen. Ist in Firmen ein weit verbreiteter Mechanismus. Das Risiko eines Man-in-the-middle-Angriffs wird dadurch sogar noch reduziert, wenn gleichzeitig Zertifikatspinning genutzt wird (da die CA unter eigener Kontrolle steht und sich nicht auf einen Dritten verlassen werden muss). Anders sieht es natürlich bei öffentlichen Diensten aus. --Häuslebauer (Diskussion) 14:21, 29. Jul. 2017 (CEST)
  1. Ein Dritter kann auch bei selbst signierten Zertifikaten bestätigen, dass das Zertifikat wirklich vom Anbieter stammt. Das geht dann eben nicht über Zertifizierungsstellen, sondern zum Beispiel, indem jemand, der den Anbieter persönlich kennt und das Zertifikat darüber verifiziert hat (oder sogar einfach der Anbieter selbst), den Fingerprint des Zertifikats über einen bestehenden sicheren Kommunikationsweg (z.B. per Veröffentlichung auf einer anderen, ausreichend gesicherten Website) dem Nutzer bekannt gibt.
  2. Das Auslassen der Prüfung ist bereits falsches Benutzerverhalten. Wenn jemand bei einem CA-signierten Zertifikat bei einem MitM-Angriff eine entsprechende Fehlermeldung ignoriert ist das genauso auch "nur" falsches Benutzerverhalten. Die Frage ist eher andersrum: Wieso wird ein MitM-Angriff wahrscheinlicher erfolgreich, wenn sich der Nutzer korrekt verhält?
  3. Die Version nach deiner Änderung ist also für mich diesbezüglich in Ordnung, lediglich stört mich das „kostenlos“ etwas: Oh, ich kann Textdokumente auf meinem eigenen Rechner kostenlos erstellen? Wie überraschend! Nein, kann ich nicht, kostet Strom, leider.
--nenntmichruhigip (Diskussion) 21:01, 29. Jul. 2017 (CEST)