Verschlüsselte Verbindungen / Chats via https

Threads aus der Wunschecke landen hier, wenn eine Umsetzung geplant ist.
Maxs
Moderator
Beiträge: 551
Registriert: 09.10.2008, 18:21
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Maxs » 07.07.2011, 15:30

Hm, nun, ich finde es eigentlich ganz gut, dass man jetzt auf mehr Sicherheit setzen will, doch eine Gruppe wird das wohl nicht wirklich erfreuen: Die Leute, die ein Radio im Chat haben. Und ich glaube, dass sind nicht wenige. Ich habe bis jetzt noch kein Internetradio gesehen, dass via https betrieben wird.
Mein Webspace für den Chat unterstützt zum Glück https gleichermaßen wie http. Und ein Internetradio habe ich auch nicht im Chat, deshalb wirds mich kaum betreffen. Aber ich kenne viele Chats mit Radios, die nicht begeistert sein werden. Die müssen dann wohl oder übel auf ihr Radio im Chat verzichten und es "extern" anhören.
Oh oh, ich seh schon, das Geschrei im Forum wird groß sein. :)
Aber die Vorteile von SSL sind auch nicht zu unterschätzen, was die Sicherheit betrifft.
Wäre es nicht adäquat, den Usus heterogener Termini zu minimieren?

Benutzeravatar
Linus
Moderator
Beiträge: 1124
Registriert: 14.02.2005, 20:31
Wohnort: NRW
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Linus » 07.07.2011, 15:45

https://wkprojects.org/

Um meinen Meinungsumschwung zu erklären:
1.) Mit 3 Jahren Laufzeit komme ich auf 3,33€ im Monat, was in anbetracht der bisherigen Kosten auch keinen Unterschied mehr macht
2.) Für die anderen Chatscripts muss ich das sowieso machen
3.) Das Proxies und Virenscanner da keine Probleme mehr machen war mir bisher nicht bekannt, auch wenns ja an sich logisch ist^^

Allerdings bleibt dennoch das Problem der "kleinen" Chats, die diese Möglichkeiten leider nicht haben.. "Einfache" Scripts lassen sich ja ohne Probleme in die Ankündigung auslagern, aber sobald diese auf externe Ressourcen wie Bilder oder Radiostreams etc. zugreifen wäre wieder die Warnung da... Gut, Bilder lassen sich im Chat hosten, aber weil ich von Radios keine riesige Ahnung habe warte ich mal ab, was da als Idee präsentiert wird :)

PS.:
Bild
Bekomme ich im Iron/Chrome angezeigt, hat da jemand ne Idee wie ich das behebe? Alte Software kann ich ausschließen. Danke schonmal!
Kein Support per PN!

Technik
Webkicks - Team
Beiträge: 59
Registriert: 02.05.2003, 01:19

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Technik » 07.07.2011, 19:01

Chrome 12.aktuell

Bild

Benutzeravatar
Linus
Moderator
Beiträge: 1124
Registriert: 14.02.2005, 20:31
Wohnort: NRW
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Linus » 07.07.2011, 19:56

Komisch, zeigt er bei mir nun auch ohne Änderung meinerseits an. Hast du mich etwa gehackt :lol:

Ne Spaß, danke fürs nachsehen :)
Kein Support per PN!

Benutzeravatar
Rodi20
Beiträge: 69
Registriert: 11.09.2009, 09:00

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Rodi20 » 05.09.2011, 09:22

Also ich würde mal sagen, um tausenden von chatbetreibern unnötige Arbeit und teils massive mehrkosten zu ersparen, wäre ich ehr dafür, daß z.B. die Löschung des Chats aus sicherheitsgründen nicht so einfach von heute auf morgen möglich wäre.
In einem anderem Chat indem ich noch drin bin, ist sogar die Nick-Löschung aus sicherheitsgründen an eine Zeitliche frist gebunden.
Wenn man seinen Nick dort löscht, bekommt man die Meldung, daß dieser gelöscht wird, wenn man sich 2 Wochen lang nicht mehr einloggt, und im profil steht dann zusätzlich noch "Nick zur Löschung freigegeben"
Vllt. könnte man dies auf die Chatlöschung anpassen, indem man statt Chat-Löschung auf Chat-Schließung schaltet, die eigentliche Chat-Löschung erst 2 Wochen später stattfindet, sofern sich bis dahin kein Admin eingeloggt und dies verhindert hat.
Auch bei der Nick-Löschung gerade von Mod- und Admin-Nicks ist diese Funktion meiner Meinung nach nicht verkehrt.
Auf diese Art und Weise wären Probleme die durch Passwortmissbrauch entstehen schonmal einigermaßen unter kontrolle.
Natürlich könnte im Adminmenue noch mehr Unfug angestellt werden, daher wäre es natürlich gut, wenn es dort für die ein oder andere Funktion auch eine Undo-Funktion gäbe,
insbesondere da das Passwort-Problem nicht nur auf dem genanntem SSL-Problem beruht, und damit nur ein kleiner Teil der Passwortmissbräuche beseitigt wäre.
Wer sich nur n kleines bissel auskennt weiß, wie leicht man User dazu bringt ihre Passwörter irgendwo einzugeben, wo man sie selbst nachher abrufen kann.

Beispiel:
"Hallo ich hab hier nen super Bot für deinen Chat gefunden, schau dir den mal an ..."
bot.exe - Bitte gib deinen nick und dein Passwort ein:

das krigt jeder 12-jährige depp der n bissel mit vb rumspielt in max 10 min irgendwie hin, und kein ssl kanns verhindern, und ich bin sicher es gibt noch dümmere bei denen reicht Beispiel 2:

/comment Webkicks führt eine Maßnahme zur Passwortsicherheit ein, damit wird verhindert daß das eigene Passwort per Scripts abgerufen wird. Es ist danach nicht mehr möglich das eigene Passwort in den Chat zu schreiben. Damit dein Passwort jetzt geschützt wird, gib nun in die folgende Zeile ausschließlich dein Passwort ein und klicke auf Chat (natürlich wird das Passwort nicht im Chat dargestellt).

Und damit hätte ich schon wieder einen sinnvolleren Verbesserungsvorschlag angesprochen :))

Code: Alles auswählen

<?php
if ($question = $old)
{
echo "Es ist schon alles gesagt worden, nur noch nicht von jedem."; // Karl Valentin 
}
else
{
echo "Fortschritt ist das Werk der Unzufriedenheit."; // Jean-Paul Sartre
}
?>

Webkicks
Webkicks - Team
Beiträge: 752
Registriert: 02.05.2003, 00:16
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Webkicks » 06.09.2011, 20:33

Bitte für neue Themen auch einen neuen Thread eröffnen, ansonsten schweifen wir hier zu sehr ab. Das es Nutzer gibt die unachtsam mit ihren Passwörtern umgehen ist leider korrekt. Allerdings gibt es auch Nutzer auf die das nicht zutrifft. Und ohne verschlüsselte Übertragungen können diese leider völlig unverschuldet ebenfalls in große Probleme geraten.

Auch wenn Verschlüsselung nicht die eine allumfassende Lösung ist wäre es daher zumindest ein Ansatz der einen Teil der Chatter schützt. Die Probleme sehen wir aber natürlich auch, weshalb es in diesem Thread hier aktuell auch noch keine Neuigkeiten gibt. Die einzig sinnvolle Lösung wäre vermutlich die Verschlüsselung optional über das Adminmenü zur Verfügung zu stellen. Inwiefern dies möglich ist wird aktuell noch geprüft.

Benutzeravatar
Linus
Moderator
Beiträge: 1124
Registriert: 14.02.2005, 20:31
Wohnort: NRW
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Linus » 22.04.2012, 15:38

Gibts hierzu eigentlich mittlerweile was neues? :)
Kein Support per PN!

Webkicks
Webkicks - Team
Beiträge: 752
Registriert: 02.05.2003, 00:16
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Webkicks » 22.04.2012, 16:22

Leider nein, bzw. sehen wir derzeit einfach zu viele Probleme und werden die Option daher vorerst nicht einführen. Sie war ja auch nicht gedacht um Chatbetreiber und Chatter zu ärgern, sondern um einen zusätzlichen Nutzen zu bieten. Komplett tot ist die Idee aber trotzdem nicht, sie ist aber erstmal auf Eis gelegt.

Benutzeravatar
Mogli
Beiträge: 485
Registriert: 18.10.2010, 23:42
Wohnort: Bayern
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Mogli » 16.08.2013, 07:26

Hallo Webkicks-Team,

aufgrund der aktuellen Überwachungsproblematik stelle ich mal die Frage in den Raum, ob es seitens Webkicks angedacht ist, die Chats auf HTTPS umzustellen?

Schöne Grüße
Mogli

Webkicks
Webkicks - Team
Beiträge: 752
Registriert: 02.05.2003, 00:16
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Webkicks » 16.08.2013, 12:42

Die Frage drängt sich derzeit tatsächlich wieder auf, eine uneingeschränkte Umstellung auf https scheint aufgrund der vielen Probleme allerdings nicht (sinnvoll) möglich. Wir prüfen daher derzeit https bzw. SSL als optionales - und ggf. kostenpflichtiges - Feature anzubieten.

Die Kostenpflicht wäre vermutlich nötig, weil nicht nur eine höhere Serverlast entsteht, sondern das Feature auch mit einer Bannerbefreiung kombiniert werden müsste - denn die Einblendung von Werbebannern würde wohl auch zu Problemen führen. Konkret würde das also bedeuten, dass in Chats mit SSL generell keine Bannerwerbung von uns eingeblendet würde. Die anfallenden Kosten dürften daher dann in etwa auf dem Niveau der Bannerbefreiung liegen.

Benutzeravatar
Linus
Moderator
Beiträge: 1124
Registriert: 14.02.2005, 20:31
Wohnort: NRW
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Linus » 16.08.2013, 13:08

HTTPS auf Chatbasis? Da stell ich mir die Umsetzung spannend vor.. Für den Webserver muss es ja allgemein aktivierbar sein, aber dann bei jedem Chataufruf eine Abfrage an den Server ("Premium" gebucht?), und davon abhängig ein Redirect? Allzu sauber klingt das nicht :? Auf jeden Fall bin ich gespannt was ihr daraus macht! :)
Kein Support per PN!

Webkicks
Webkicks - Team
Beiträge: 752
Registriert: 02.05.2003, 00:16
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Webkicks » 16.08.2013, 17:31

Das Frameset sowie einige URLs je nach Einstellung per http oder https aufzubauen sollte eigentlich schon fast reichen.

Benutzeravatar
Linus
Moderator
Beiträge: 1124
Registriert: 14.02.2005, 20:31
Wohnort: NRW
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Linus » 27.08.2013, 12:18

Solange die Loginseite standardmäßig geschützt wird.. Denn genau da laufen die unverschlüsselten Passwörter (neben dem Gästebucheintrag im Profil) drüber.. Genau die sind ja das größere Problem, die SID ist zwar knackbar aber da spielt dann wenigstens der Aufwand mit rein und bei Passwörtern die länger als 8 Zeichen sind sind dann auch "nur" die ersten 8 Zeichen kompromittiert, das Maximum im Chat liegt ja bei 15 Zeichen wenn ich nicht irre? Eine Erhöhung auf 25 (oder so) Zeichen kann dann die etwas sicherheitsbewussteren User schützen, denn 7 verbleibende Zeichen (und die sind der Bestfall!) lassen sich bei Hashverfahren wie MD5 oder SHA1 (vorausgesetzt man kennt die Anzahl der Iterationen und den Salt (Falls beides überhaupt vorhanden ist :?) recht schnell zerlegen ;) Zugegeben, das Szenario, dass ein Angreifer die Verbindung zu WK abhört UND eine geleakte User-DB einer Seite besitzt, bei der der User angemeldet ist ist schon recht konstruiert, aber da seh ich dann lieber alles abgedeckt :)

Ich schweif bei dem Thema leider immer gerne ab :oops: Ich hoff dass ist noch zu verzeihen ;)

PS: Da man sowohl gut als auch schlecht konfigurieren kann, stell ich an dieser Stelle mal eines meiner Ergebnisse des SSL-Tests von Qualys rein, vielleicht möchte ja manch einer mal seine Bank prüfen? ;)
https://www.ssllabs.com/ssltest/analyze.html?d=wk.is
Das Ergebnis ist so leider nicht bei jeder meiner Seiten umsetzbar, aber was nicht ist.. ;) Wens interessiert: openSSL 1.0.1e und nginx 1.4.2 unter Arch Linux :mrgreen:
Kein Support per PN!

Webkicks
Webkicks - Team
Beiträge: 752
Registriert: 02.05.2003, 00:16
Kontaktdaten:

Re: Verschlüsselte Verbindungen / Chats via https

Ungelesener Beitrag von Webkicks » 26.09.2013, 14:54

Verschlüsselung per SSL/TLS ist nun verfügbar, weiter geht es daher hier.

Gesperrt

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste