Verschlüsselte Verbindungen / Chats via https

[Webkicks]

Derzeit sind alle Chats unverschlüsselt via http zu erreichen was leider den Nachteil hat, dass sich Passwörter sehr einfach durch Dritte abfangen lassen. Es gibt dafür bereits Tools die dies simpel per Mausklick ermöglichen. Besonders hoch ist die Gefahr, wenn die Internetverbindung über ein öffentliches WLAN (in Hotels, Unis, etc.) oder direkt über ein öffentliches Netzwerk (PC in der Firma, in der Schule, etc.) hergestellt wird. Nutzer entsprechender Tools bekämen hier Eure Chatpasswörter offen im Klartext angezeigt. Dies betrifft natürlich auch jede andere Internetseite, weshalb Projekte mit Logins (z.B. facebook) fast ausschließlich https einsetzen.

Wir erwägen nun ebenfalls die Kommunikation mit den Chats auf https umzustellen, da die Verbindung hier verschlüsselt erfolgen würde. Für die Sicherheit der Chats wäre das ein erheblicher Zugewinn weil sich Daten hier nicht mehr von Dritten mitschneiden lassen. Aufrufe via http:// würden automatisch auf die entsprechende URL beginnend mit https:// umgeleitet, so dass bereits bestehende Links zum Chat nicht geändert werden müssen.

Leider ergibt sich folgende Problemsituation: Auch im Chat müssten alle Inhalte (Grafiken, Scripts, usw.) via https übertragen werden und dies wäre bei eigenen Erweiterungen (also bei selbst gehosteten Bilden usw.) ebenfalls nötig. Würden im Chat Inhalte via http:// eingebunden so führt das bei allen Chattern zu einer Warnmeldung seitens der Browser das die angezeigte Seite unsichere Elemente enthält.

In Hinblick auf sicheren Datenschutz führt mittelfristig kein Weg an https vorbei, für Chatbetreiber die eigene Scripte und Bilder im Chat verwenden kann die Umstellung aber einen erhöhten Aufwand bedeuten. Wir möchten daher an dieser Stelle gerne eine offene Diskussion führen, wie mit dem Thema künftig umgegangen soll. Aus unserer Sicht steht die Sicherheit Eurer Passwörter und sonstigen Daten über zusätzlichem Aufwand bei Nutzung eigener Bilder, Scripte, usw. - wie seht ihr das?

[Linus]

Hm!

Also, zuerst mal: Ich finds gut, das ihr euch auch ohne vorherigen Datenklau (*mal zu Sony hust) Gedanken über die Sicherheit macht.

Aber: SSL wird eine Menge Leute vor Probleme stellen, da viele Hoster (gerade die kostenlosen) keine SSL-Unterstützung anbieten. "Beglaubigte" SSL-Zertifikate gibts auch nicht für lau, und sich ein eigenes erstellen hilft auch nicht weiter, weil man dann wiederum eine Warnung bekommt (die im Chrome/Iron zudem keine Ausnahmeregelung für einzelne Seiten zulässt, im Firefox geht das zumindest). Ich z.B. müsste für ein beglaubigtes Zertifikat von Thawte (bei meinem Hoster für EINE Domain beantragt) 59€ im Jahr bezahlen.

Umgehen ließe sich das ganze durch die Wiedereinführung von wkhost, da ihr den direkt mit eurem Zertifikat versehen könntet (vllt sogar ohne Mehrkosten? Keine Ahnung wies mit Subdomains aussieht). Dieser müsste dann aber zumindest noch PHP beinhalten und evtl. noch mySQL, dann lassen sich zumindest die meisten Eigenbauten auch dahin verlegen.

//EDIT: Um meine SUBdomains mit zu sichern wären es bereits 429€ im Jahr. (Wildcard-Zertifikat)

[Webkicks]

Hosting werden wir nicht mehr anbieten, mit PHP und MySQL sowieso nicht (hierüber könnten dann beliebige Phishing-Seiten usw gebaut und mit unserem Zertifikat betrieben werden). Die angesprochenen Probleme sehen wir auch, diesen stehen leider große Sicherheitsprobleme bei Verzicht auf SSL gegenüber

[Linus]

Ok, das ist verständlich. Ich sage aber für mich: Sollte es dazu kommen werde ich wkstats.de nicht weiter betreiben können, da ich nicht bereit bin, für ein simples Script, was irgendwo eingebunden wird, ein komplettes SSL-Zertifikat zu bezahlen. Ich kann auch nicht vorhersagen, wie wktools das dann handlen will, und ohne wktools ständen wohl eine Menge Chats ohne Scripts da.

Radios im Chat einzubauen wäre ohne Sicherheitswarnung dann auch kaum mehr möglich, ebenso Streamboxen etc.pp., es würde also eine Menge Freiheit verloren gehen.

[hamigra]

Was sagen denn die Erfahrungswerte von Webkicks aus?
Wurden bereits Paßwörter etc. abgefangen?
Wie verhält sich das bei den vielen eigenen Loginseiten?
Fragen über Fragen werden dann von den Usern kommen.
Ich persönlich halte das Sicherheitsdenken für übertrieben. Das Problem mit den Paßwörtern der User löst sich dadurch auch nicht. Wenn sich ein User einen Nick 'Eisenherz' zulegt und das Paßwort von hinten ist - also 'zrehnesie' - dann ist ihm eh nicht zu helfen.

[Webkicks]

Es kommt immer wieder vor das Chats unberechtigt gelöscht werden, wobei sich die Ursache in der Regel aber nicht eindeutig klären lässt. Der Aufbau des Passwortes bringt in einem Netzwerk leider keine Sicherheit, d.h. wenn man sich am Arbeitsplatz oder in der Schule mit dem vergleichsweise sicheren Passwort "xDJ92acMqj" einloggt, dann wird das einem Angreifer per Mausklick genauso angezeigt wie "123456". Da die im ersten Beitrag ansprochenen Tools durch Medienberichte immer populärer werden steigt leider auch das Gefahrenpotenzial erheblich. Auch haben wir in letzter Zeit vermehrt Mails bekommen, die uns auf den grob fahrlässigen Umgang mit Nutzerdaten hinweisen - ein Zustand, der uns schon etwas schmerzt.

[ZischDings]

...Ich kann auch nicht vorhersagen, wie wktools das dann handlen will...

wieso solltest du auch?
wktools ist jedenfalls keine kostenlose domain

[Linus]

Es redet niemand von kostenlos, ich rede von den Kosten für ein beglaubigtes SSL-Zertifikat. Ob ihr da überhaupt eines benutzen könnt ist ja noch eine andere Frage.

Mit meiner Aussage will ich lediglich sagen, das wktools nunmal sehr wichtig für viele Chats ist und ein Wegfall aufgrund der SSL-Beschränkung durchaus deutliche Konsequenzen haben kann.

Genauer gesagt: Für min. 95% der Chats kämen extern gehostete Scripts dadurch nichtmehr in Frage. Unabhängig davon, ob die nun bei wktools oder sonst irgendeinem Hoster liegen.

[Technik]

StartSSL bietet die einfachste Art von SSL-Zertifikaten für 0,00€. Gilt IIRC für die eigentliche Domain incl einem Hostnamen ( z.B. wkstats.de und www.wkstats.de). Muss jährlich erneuert werden.
Heise hatte glaube vor ca 1,5 Jahren mal darüber berichtet und privat hatte ich mir so Zertifikate mal zugelegt.
Werden von den gängigen Browsern akzeptiert, Chrome, Firefox, (Mobile) Safari und Internet Explorer auf jeden Fall.

[hamigra]

Das war mal ist lahmgelegt
Bloß so ein Zertifikat ist für 'normale' Webseiten unnötig und darauf liegen ja wohl die meisten Scripte.
Ich frage mich sowieso warum das alles jetzt passieren muß. ich kenne kein Chatsystem welches mit Zertifikaten arbeitet.
Und was heißt schon '... grob fahrlässigen Umgang mit Nutzerdaten ...'?
Die einzigen Userdaten die eventuell abgefangen werden könnten sind doch nur Nick, E-Mail Adresse und Paßwort für den Nick. Damit allein kann doch keiner was anfangen. Und außerdem: gib doch mal bei Google ein - hamigra - da siehst du was Webkicks an Daten herausgibt, ob hier aus dem Forum oder von allen Chats. Bisher hat sich noch keiner daran gestört.

[1. FC Keller]

Moni und ich haben eben ssl für wktools eingerichtet.. über einen sog. ssl-proxy ist das kostenlos im Paket unseres Hosters enthalten (deshalb Monis "zwinkernder" Beitrag oben).
Die Scripts des Scriptmanagers müssten natürlich alle neu eingebunden werden. Und an der Seite von wktools müssten wir noch einiges anpassen, damit sie über diesen ssl-proxy richtig funktioniert... eine Nutzung von wktools ohne SSL wäre dann ja auch nichtmehr zu vertreten..

Wir sind nun also zusätzlich über https://ssl-account.com/wktools.net erreichbar. (wobei dort noch nicht alles funktioniert, aber für die Scripts reichts schon).
Evtl. sind ja ähnliche Lösungen auch für wkstats und co. möglich?

[Webkicks]

@hamigra: Es ist bekannt, dass Nutzer (egal welcher Website) dazu neigen Passwörter mehrfach zu verwenden. Bei der Flut der im Internet benötigten Passwörter ist das auch nachvollziehbar (sollte selbstverständlich aber dennoch vermieden werden). Es ist also mehr als wahrscheinlich, dass unter den hunderttausenden Logindaten die jeden Monat - unverschlüsselt - an unsere Server gesendet werden mindestens einige zehntausend dabei sind, bei denen das Passwort auch Zugang zur Mailadresse und/oder dem Account bei eBay, PayPal, facebook usw. gewähren. Das ist natürlich einerseits fahrlässig von den Nutzern - andererseits aber auch von uns, da dieser Umstand nunmal allgemein bekannt ist.

Desweiteren ist aktuell z.B. jeder Student besonders gefährdet der sich z.B. über ein Uni-WLAN in den Chat einloggt oder in einem Wohnheim wohnt. Gleiches gilt auch für Personen in Krankenhäusern, Hotels, Schulen, Heimen, Pflegeeinrichtungen usw. - diese Nutzer haben selbst keinerlei Möglichkeit ihre Daten ausreichend zu schützen. Selbst wenn sie dieses vorbildlich nur in genau einem Chat nutzen könnte ihr Account dort (oder bei Chatbetreibern dann der gesamte Chat) gelöscht werden ohne das die Nutzer irgendeinen Fehler gemacht hätten.

Wie gesagt, die sich ergebenden technischen Probleme sind uns bewusst und diese sollten im Vorfeld in jedem Fall ausführlich diskutiert werden (und ggf. auch am Ende die Einführung von SSL verhindern wenn keine Lösungen absehbar sind). Rein inhaltlich spricht aus unserer Sicht aber definitiv nichts gegen verschlüsselte Verbindungen und es steht auch außer Frage, dass dadurch in jedem Fall unbefugte Aktionen verhindert werden (wie viele das sind lässt sich hingegen nicht abschätzen).

@Keller: Super, das ist schon eine sehr vielversprechende Entwicklung! Hoffen wir, dass andere Beteiligte vielleicht ebenso möglichliche Lösungen ausmachen können

[Brause-Junior]

Hallo.

Ich finde es sehr possitiv dass Webkicks über ssl nachdenkt.
Sicherlich kann ich die Probleme verstehen die die meisten dann eventuell haben werden, dennoch finde ich das die Sicherheit vorgeht!

Die einzigen Userdaten die eventuell abgefangen werden könnten sind doch nur Nick, E-Mail Adresse und Paßwort für den Nick. Damit allein kann doch keiner was anfangen.

Es sind zwar nicht viele Daten aber es sind welche! Ich würde es gut finden, wenn man dadurch E-Mailadressen ect schützt. Ach damit kann keiner was anfangen? Alleine schonmal was von "Datenverkauf" gehört? Das ist sicherlich auch mit E-Mailadressen ect möglich!

Ich persönlich habe einen Server, bei dem ich folgendes machen kann:

SSL-Proxy
https://ssl-id1.de/IhrDomainname/

EasySSL
3,90 €/Mon. bei 2Jahren laufzeit.
2 Jahre.


Vielleicht gibt es auch Möglichkeiten, dass sowas wie "wkhost" nicht zwangsläufig von webkicks kommen muss... !?

[1. FC Keller]

Eventuell wäre es ja auch möglich, eine gemischte Variante zwischen http und https zu schaffen... die Onlineliste enthält ja zum Beispiel keine sensiblen Daten - und da dort viele externe Daten (radios, iframes, uhren, nick-grafiken, ...) eingebunden werden wäre hier eine Lösung ohne ssl doch keine schlechte Idee.. Ich weiß noch nicht inwiefern der IE da evtl. Probleme macht oder Fehlermeldungen bringt... der Firefox scheint zuminest keine Probleme damit zu haben.. nur die same origin policy macht mir aktuell einen Strich durch die Rechnung

Ich habe ein frameset auf einer https-Seite angelegt. von einer https-Seite im frameset aus kann ich die URLs aller Frames ändern bzw. die Frames neu laden, aber per javascript komme ich auf kein Frame in dem eine http-Adresse geladen ist (auch nicht von anderen http-Frames aus)

[Webkicks]

Ein Mischbetrieb ist durch die Same-Origin-Policy leider nicht möglich da neben der Domain auch das Protokoll übereinstimmen muss um per JavaScript auf andere Frames zugreifen zu können. Diese Option dürfte daher entfallen.

Eine Verschlüsselung der Verbindung würde aber noch eine für sehr viele Chatter positive Änderung mit sich bringen: Proxyserver und Virenscanner hätten hier keine Möglichkeit mehr sich in die Verbindung einzuklinken, d.h. ein inzwischen sehr großer Teil der Chatter würde nicht mehr automatisch (wenn auch meist unbemerkt) im Problemmodus landen. Viele Chatter würden den Chat daher vermutlich als deutlich schneller empfinden bzw. würde es generell deutlich weniger Probleme mit dem Chatstream geben.