[Kometenhafte_Knalltüte]

Hach, wenn doch die Lösung wirklich so einfach wäre, wie uns der Spiegel hier glauben machen will.

HTTPS einfach überall, fertig.

Tja, vielleicht wäre dem Redakteur mangels Kenntnis zu verzeihen. Aber hier gehört Recherche eines Journalisten dazu!

HTTPS setzt ein Zertifikat voraus, welches widerum eine eigene IP voraussetzt.

Erstens: Ein signiertes Zertifikat kostest Geld, mehr Geld wie eine Domain. Das wird schonmal einen Großteil der (zumeist privaten) Webseitenbetreiber von der Nutzung verschlüsselter Verbindungen abhalten, denn kaum einer will seine Nutzer mit dem Warnhinweis jedes Browsers vergraulen (Diese Seite verwendet ein unsigniertes Zertifikat: Von der Benutzung wird abgeraten!)

Zweitens: Jedes Zertifkat setzt eine eigene IP voraus. Und da gefühlt 90% der Internetangebote auf shared Webspace gehostet werden, wo man sich eine IP mit 50 anderen Kunden seines Anbieters teilt, fällt damit ein anderer gewichtiger Grund gegen HTTPS auf!

Dann gebe es da immer noch die Möglichkeit über SSL-Proxies Webseiten abzurufen. Welcher Anbieter will seine Domain aber bitteschön als z.B. www.ssl-proxy.de/Domain.vom.Anbieter.de bewerben???

Tja, vielleicht ist HTTP über SSL doch nicht so leicht seitens der Betreiber zu verwenden, wie es der Artikel suggeriert?

[signalgrau]

In erster Linie scheint es doch um Facebook, Twitter, Amazon, etc. zu gehen. Die werden sich sicher ein SSL Zertifikat leisten können. Zudem gibt es auch kostenlose Anbieter.
Man ja jetzt schon https://facebook.com eingeben. Diese Erweiterungen für die Browser übernehmen das einfach für einen.

Hier ein Artikel dazu:
http://techcrunch.com/2010/10/25/firesheep/

[etheReal]

Wer sein WLAN unverschlüsselt betreibt, oder in öffentlichen, offenen WLANs surft, und dort private Passwörter preisgibt, dem ist einfach nicht zu helfen.

Wer seine EC-Karte mit dem PIN beschriftet, und sie dann verliert, der braucht sich auch nicht zu wundern, wenn das Konto leer ist... und wer seinen Ersatz-Haustürschlüssel unter dem Stein neben der Tür "versteckt", der wird auch ganz einfach ausgeraubt.

Das sind simple Tatsachen, und keine Bedrohung durch ein "neuartiges" Hacking Tool.
Das einzige was neu daran ist, ist nur, dass mit diesem Tool nun wirklich JEDER Idiot dazu in der Lage ist, solche Situationen auszunutzen.

[pax]

Zweitens: Jedes Zertifkat setzt eine eigene IP voraus. Und da gefühlt 90% der Internetangebote auf shared Webspace gehostet werden, wo man sich eine IP mit 50 anderen Kunden seines Anbieters teilt, fällt damit ein anderer gewichtiger Grund gegen HTTPS auf!

Das wäre doch mal ein schöner Grund um endlich konsequent auf IPv6 umzusteigen.

[mcbexx]

Keines der stichprobenartig angeklickten Musikvideos aus dem Gaga-Artikel ist in Deutschland verfügbar.

Wahnsinn, wie die Musikindustrie sich gegen Youtube als Werbeinstrument sträubt. Wie viele der abermillionen Viewer sind wohl hypothetische Käufer?

Die bösen Raubkopierer werden nicht losrennen und die Musik käuflich erwerben, nur weil sie die Videos bei Youtube nicht hören/sehen dürfen. Die finden andere Mittel und Wege, sich umsonst zu bedienen. Vermutlich mit der Genugtuung des "Jetzt erst recht"-Gefühls.

Aber wer dort was entdeckt und nicht nur am PC reinhören will, kauft sich vielleicht doch mal 'nen Song als MP3 oder eine CD im Laden.

Deppenmanagement.

[CharlieMike]

Nie war Identitätsdiebstahl einfacher: Mit einem simplen Hackprogramm kann sich jetzt jeder in Facebook-, Amazon-, Ebay-Konten anderer Menschen einloggen. Außerdem im Überblick: Code-Sperre auf neuen iPhones ist kein Hindernis und angeblich gehen täglich 25.000 Filesharer-Beschwerden bei Hadopi ein.

http://www.spiegel.de/netzwelt/web/0...725405,00.html

Also ich finde die Qualität dieses Artikel zumindest fragwürdig: Amazon und Ebay nutzen doch bereits https bei der Anmeldung. Und wenn es jemand schafft über ein Netzwerk an ein Cookie zu kommen, und sich damit bei Amazon oder Ebay anzumelden: Bevor jemand bei einer Versteigerung(ebay) mitmachen kann, oder Waren bestellen kann (Amazon) wird nach dem Passwort gefragt. Sofern man aus dem Cookie Inhalt nicht das Passwort berechnen kann, gibt es die im Artikel beschriebene Sicherheitslücke gar nicht. -Wenn es diese Möglichkeit geben sollte (was ich für unwahrscheinlich halte) dann wäre das zugegebenermaßen eine katastrophale Sicherheitslücke. Anderenfalls wäre dieser Text imho nichts weiter als Panikmache und Desinformation: Wenn nämlich die Anmeldedaten über eine SSL gesicherte Verbindung übertragen werden, (was bei allen genannten Webseiten meines Wissens der Fall ist), dann kann der Rest der öffentlichen Website selbst ruhig unverschlüsselt bleiben. -Ein Lauscher bekommt bei Amazon schlimmstenfalls zu sehen, was mir Amazon ganz persönlich empfiehlt... Die Behauptung, das sich viele Websitenbetreiber scheuen, eine Verschlüsselung zu verwenden ist daher imho schlicht eine sachlich falsche Unterstellung! Klar es gibt viele Foren, bei denen die Anmeldedaten ungesichert übertragen werden. Aber das sind meist Foren, bei denen es um Kommunikation mit naja, "geringer Geheimhaltungsstufe" geht. Bei Onlineshopping oder gar Banking sieht es zum Glück deutlich besser aus.

Ich würde mir wünschen, dass die Presse mich auf dem laufenden hält, nicht umgekehrt^^

[mcb]

Nie war Identitätsdiebstahl einfacher: Mit einem simplen Hackprogramm kann sich jetzt jeder in Facebook-, Amazon-, Ebay-Konten anderer Menschen einloggen.

nun, eigentlich war es nie sehr schwer. das war seit der erfindung des internet mit jedem netzwerksniffer bereits möglich. nur kann es jetzt jeder, sogar spiegeljournalisten. seit anbeginn der elektronischen kommunikation wird gepredigt, das wirklich jeder, der auf dem weg der datn die möglichkeit zum mithören hat unverschlüsselte daten problemlos abfangen kann. ins bewusstsein der medien scheint das aber erst dann zu rücken, wenn es mit nur einem einzigen klick zu bewerkstelligen ist. und nun darf man sich überlegen, das zur zeit innenminister und bka präsident anfangen, an privater verschlüsselung herumzukritisieren.

mfg
mcb

[Develin]

Keines der stichprobenartig angeklickten Musikvideos aus dem Gaga-Artikel ist in Deutschland verfügbar.

Wahnsinn, wie die Musikindustrie sich gegen Youtube als Werbeinstrument sträubt. Wie viele der abermillionen Viewer sind wohl hypothetische Käufer?

Liegt das nicht an der GEMA, die mit YouTube im Moment einen Kleinkrieg in Deutschland fuehrt ? Und deren Meinungen sind ja oft nicht direkt identisch mit der der Platenfirmen.

[cc_zero]

Bevor jemand bei einer Versteigerung(ebay) mitmachen kann, oder Waren bestellen kann (Amazon) wird nach dem Passwort gefragt.

Das Problem ist, dass das so nicht stimmt.
Wenn ich mich bei Amazon angemeldet habe, dann gibt es nur sehr wenige Aktionen, die eine erneute Eingabe des Passwortes erfordern, eine Bestellung gehört nicht dazu. (gleiches bei ebay)

Davon abgesehen, braucht es nichtmal HTTPS für die gesamte Seite um das Problem zu mindern. Einfache Gelegenheitscracker wird man schon durch eine server-seitige Sessionverwaltung los.

Und @SPON: Wenn die Lösung doch so einfach ist, warum ist dann nicht mal die Anmeldung im Spiegel Forum über HTTPS verschlüsselt?