HTTPS für den Forum-Marktplatz

[McMOK]

Hallo ComputerBase Team,

Mir ist aufgefallen, dass im Forum kein HTTPS angewandt wird, wenn man PM`s untereinanderschreibt.
Speziell für den Foren-Markplatz halte ich es für sehr fahrlässig, da man beim Kaufen/Verkaufen sich untereinander Sensible Daten per PM schreibt (Bankdaten, Paypal, Klarnamen, Anschriften, usw.). Diese Pm´s kann man wunderbar via "Man-in-the-Middle-Angriff" abgreifen und die Informationen darin nach Belieben einsehen und sogar manipulieren. Gleiches gilt auch für den Loginbereich (Nicknames, Passwörter und E-Mail-Adressen).

Aus diesem Grund halte Ich es für wichtig darauf hinzuweißen.


Zur Untermauerung von Wayne Luke
vBulletin Technical Support Leader:

Link: http://www.vbulletin.com/forum/foru...in-connect-5-1-0-release-candidate-1-released

Doesn't this expose my user's passwords on transmission?
For a brief period, yes. The passwords could be exposed with a "man in the middle" attack. However this means someone needs to actively be watching network traffic for your server and have set up a means to intercept it. The chances of this are less likely than other attacks. The transmission behavior is the same as previous versions.

How do I provide secure log in functionality?
vBulletin 5 Connect support SSL based log in functionality. Using this encrypts the log in traffic betweeen the user's device and your server.

Freundliche Grüße

 

[Labtec]

Werbung und HTTPS vertragen sich nicht (außer mit Google).

 

[McMOK]

Muss ja nicht auf der ganzen Seite sein, aber Nachrichten und der Loginbereich sollte abgesichert sein.
Irgendwie Traurig das nicht mal einer der Mods hier antwortet.

 

[Humptidumpti]

Der Loginbereich ist schon seit geraumer Zeit nur in HTTPS verfügbar.

Auch findest du dort einen Link wieso nur im Login derzeit HTTPS genutzt wird.



Desweiteren sind wir Mods nichts für die Technik der Seite zuständig. Das wäre der Administrator Steffen.

 

[McMOK]

Danke für die Info, Ich habe eigentlich gehofft das ihr das euren Admin mittteilt.
Weil, woher soll ich den kennen?

 

[Steffen]

Ich hatte letzte Woche leider keine Zeit, mich mit diesem Anliegen auseinanderzusetzen. Und nächste Woche habe ich Urlaub. Bitte also noch etwas Geduld.

 

[McMOK]

Garkein Problem, wollte eigentlich nur auf den umstand hinweißen, das da schon schon was getan werden sollte, speziel was die PMs angeht.

Viel Spass im Urlaub.

 

[Phimosis]

Jeder sollte sich darüber im Klaren sein, dass die PMs (und somit die dort gemachten Angaben) vermutlich auch im Klartext in der Datenbank liegen. Ich denke nicht, dass die PMs verschlüsselt abgelegt werden. Ich halte das Risiko für überschaubar, aber wenn Du vor Sniffing Angst hast, dann solltest Du darüber auch nachdenken.

 

[Steffen]

Zusätzlich zu den Login-, Registrieren- und Einstellungen-Seiten wird jetzt auch auf den PN-Seiten HTTPS genutzt und auf Anzeigen verzichtet. Das verhindert das Mitlesen der übertragenen Daten durch einen passiven Angreifer. Gegen aktive Angreifer hilft das nicht, denn dazu müsste jede ComputerBase-Seite HTTPS nutzen, was derzeit leider nicht möglich ist: https://www.computerbase.de/forum/threads/https-tls-ssl-support-auf-computerbase.1320377/

 

[Labtec]

Schöne Anpassung im Rahmen des möglichen!

 

[McMOK]

Naja ist ja schonmal was wert.

Dankeschön und bitte weiter bei solchen Dingen am Ball bleiben.

Gruß

 

[Steffen]

ComputerBase nutzt jetzt vollständig HTTPS: https://www.computerbase.de/2016-06/computerbase-https-http-2/