[LukeLR]

Hallo allerseits,

das HTTPS-Zertifikat der Seite ist seit 28. Juli abgelaufen. Dadurch lässt sich die Seite nur noch per HTTP benutzen. Dass das seit mehreren Jahren veraltet ist, und große Sicherheitslücken aufwirft, ist ja vermutlich bekannt. Ist euch das Problem bewusst? Es ist ja auch im Interesse des Forums, wenn nicht die Passwörter sämtlicher User unverschlüsselt übers Netz gesendet werden, denn das öffnet Angreifern Tor und Tür...

Und ein HTTPS-Zertifikat kostet seit der Einführung von Let's Encrypt nichts mehr. Falls es also der Kostengrund ist, dass es kein neues HTTPS-Zertifikat gibt: Sicherheit muss nichts kosten

Ich hoffe, dahingehend wird seitens des Admin-Teams etwas unternommen.

LG,
Lukas

[RaZerBenQ]

Apple hat das iSzene.com Forum automatisch auf die Blacklist gesetzt, da das Zertifikat abgelaufen ist. Ich muss jedes Mal drei verschiede Meldungen wegdrücken, damit ich überhaupt auf die Seite komme. Das darf nicht passieren!

[deluxestyle]

Interessant.
In der App sieht man ja gar nicht ob die Daten verschlüsselt übertragen werden oder nicht.

[Denner]

Genau

[LukeLR]

Also wir stellen fest, so oder so muss da eigentlich was gemacht werden Mir ist auch aufgefallen, dass das gar nicht am abgelaufenen Zertifikat liegt, habe gar nicht genau genug hingeschaut. Tatsächlich ist es sogar ein selbsterstelltes Zertifikat, was noch nichtmal auf den richtigen Namen der Seite läuft. Und das ist auch noch abgelaufen Da das Forum ja scheinbar mit Plesk betrieben wird, hier gibt es auch eine gute Anleitung für Let's Encrypt in Plesk (kostenlose Zertifikate)

[LukeLR]

Und? Liebe Forenbetreiber, lässt sich da was machen? Es kann ja auch nicht in eurem Interesse sein, dass die ganzen Nutzerdaten für jedermann lesbar übertragen werden, das ist ja auch ein Angriffsvektor

[JarvisRoot]

//iszene.com/thread-184361-post-2339342.html#pid2339342]@LukeLR[/URL] Ich werde mit den Admins sprechen.

---

Allgemeine Info: https:// ist davon nicht betroffen, das Zertifikat ist abgelaufen und kann somit nicht offiziell überprüft werden bzw. die Gültigkeit ist „erloschen“. Hat jedoch mit der verschlüsselten Übertragen nichts zu tun!

[Böhse Tina]

Das wird ziemlich sicher kein Weltuntergang sein ?

[markavel]

Auch wenn ich mich mit diesem Post bei manchen unbeliebt machen werde finde ich es doch sehr erschrecken wie hier manche Moderatoren auf berechtigtes Feedback von Usern reagieren.

Ganz konkret ist mit das bei dir, Böhse Tina doch immer wieder mal aufgefallen..
Das Forum könnte meiner Meinung nach noch ein ganzes Stück besser sein wenn hier mal mit dieser „Vetterleswirtschaft“ aufgehört wird

[LukeLR]

Ja, ich dachte erst, dass es an dem abgelaufenen Zertifikat liegt. Dann fiel mir auf, dass das Forum gar nicht (und scheinbar noch nie) über HTTPS erreichbar war.

@Böhse Tina Naja, die Passwörter werden im Klartext übermittelt. Das heißt, jeder kann mitlesen. Nicht nur der Internetanbieter oder die NSA, sondern auch jeder, der im selben WLAN sitzt. Dazu braucht man auch kein know-how, die Freeware, die frei verfügbar ist, macht das vollautomatisch. Und da die meisten auf mehreren Webseiten das gleiche Passwort verwenden, hat man damit nicht nur den Zugang zu iSzene von dieser Person, sondern mit großer auch noch zu anderen Webseiten. Zudem werden solche Passwörter dann in Wortlisten für Passwortcracker gesammelt. Damit ist dieses Passwort quasi sofort unsicher, denn egal wie komplex es ist, wenn es in einer Wortliste auftaucht, wird jedes damit geschützte System geknackt (Die Wortlisten enthalten Passwörter, die nacheinander durchprobiert werden) Und mit nem Datensatz an gültigen Logins für iszene.com kann man auch nen guten Angriff auf eure Server durchführen Nur um mal ein paar mögliche Szenarien zu nennen, die Nachteile liegen auf der Hand, egal, wie sehr man sie abstreitet.

Demgegenüber steht der wirklich minimale Aufwand, HTTPS zu aktivieren. Seit letztem Jahr gibt Let’s Encrypt, ein Unternehmen, das man nicht genug loben kann, kostenfrei Zertifikate heraus. Man muss also noch nichtmal was bezahlen, die Zeiten von teuren Zertifikaten sind vorbei. Die offenbar von euch eingesetzte Software zum Management der Webseite, Plesk, bietet sogar eine integrierte Funktion, und HTTPS automatisch zu aktivieren. Das Tutorial dazu hatte ich bereits verlinkt. Also, was spricht dagegen, es zu machen?

[LukeLR]

Ich stimme meinem Vorredner zu Ich finde es schade, dass dieses Problem nicht ernstgenommen wird. Für mich ist das ein bitterer Beigeschmack, wenn ich iSzene benutze, dass meine Zugangsdaten öffentlich ins Internet posaunt werden. Klar, es ist kein Weltuntergang, aber es würde doch trotzdem nicht schaden, etwas dagegen zu tun?

[JarvisRoot]

@LukeLR Ich kläre es intern ab - habe bisher nicht darauf geachtet - die Seite (Domain) ist per https erreichbar - jedoch scheint es hier ein allgemeines Thema zu geben! Info folgt!

@markavel Wir nehmen sicher Hinweise ernst ?

[markavel]

@JarvisRoot
Das glaube ich dir, trotzdem empfand ich gewisse Kommentare einfach nur mehr als überflüssig.
Will hier keinen Krieg vom Zaun brechen aber das musste ich einfach loswerden

[LukeLR]

@JarvisRoot Vielen Dank! Super, dass ihr euch drum kümmert Wie gesagt, es ist kein Weltuntergang, aber es wäre wirklich cool, wenn iSzene auch mit der Zeit gehen und HTTPS umsetzen würde Sogar das Bundesinnenministerium empfiehlt mittlerweile HTTPS als Standard, und wenn es sogar schon zur Regierung durchgedrungen ist, dann wird’s wirklich Zeit ?? Bei mir sieht die Seite https://iszene.com (mit und ohne „www.“) momentan noch so aus: Deshalb kam ich auch darauf, dass bei euch Plesk läuft

[Böhse Tina]

@markavel

Aber erst mal schön persönlich werden [emoji23] Hauptsache ihr nutzt alle Facebook, Insta, WhatsApp und Co

Ich habe lediglich geschrieben das es kein Weltuntergang ist. Nichts gegen dich persönlich. Wenn du deine Tage hast musst du die nicht an mir auslassen [emoji23]

Und wenn wer für iSzene das gleiche Passwort wie für sein Homebanking nimmt, dem ist eh nicht mehr zu helfen.
Aber nun wird sich ja drum gekümmert und alles ist Prima [emoji1303]

[markavel]

@Böhse Tina ich denke mit deinem Post hast du meine Aussage nur bestätigt.
Mit deinem Insta/FB/WA Argument hatte meine ursprüngliche Feststellung absolut null zu tun.
Aber wie sagt man so schön, „Betroffene Hunde bellen“.

An die leitenden Personen in diesem Forum, ich würde mir ernsthaft Gedanken machen ob so ein Verhalten förderlich für dieses Forum ist

[olivergermany]

Naja, die Passwörter werden im Klartext übermittelt. Das heißt, jeder kann mitlesen. Nicht nur der Internetanbieter oder die NSA, sondern auch jeder, der im selben WLAN sitzt. Dazu braucht man auch kein know-how, die Freeware, die frei verfügbar ist, macht das vollautomatisch.

Zu allererst, Deine Beweggründe sind einwandfrei. Was Seitenbetreiber tun können, müssen sie tun, schon im eigenen Interesse. 

Ich greife mir trotzdem mal das oben genannte Argument raus. Meiner Meinung ist eh niemandem zu helfen der in wlan, sei es das eigene oder ganz besondere fremde wlan, ohne VPN unterwegs ist.

Das steht für mich ganz oben an der Aufklärung über sicheres Verhalten im Netz.

[Böhse Tina]

@markavel Jetzt hör aber auf ?. Du hast den Schuss nicht gehört oder?
Wenn du ein Problem mit mir hast dann schick mir ne PN. Oder denkst die schmeißen mich jetzt raus weil ich halt so denke?
Noch eher hast du ein Problem wenn du nicht aufhörst über mich herzuziehen.

[olivergermany]

@Böhse Tina

Wäre eine PN für Dich nicht auch ein gangbarer Weg (gewesen)?

[SK6722s]

Finds albern es herunter zu spielen das ein fehlendes Zertifikat dafür sorgt das andere mein KW einfach herausfinden können, unabhängig davon ob ich es nur bei iSzene verwende oder nicht, viele Leute tuen sowas nicht.

Also wird hier ein sicherheits Risiko festgestellt und anstatt sich drum zu kümmern zieht man es ins lächerliche, das ist natürlich an Professionalität nicht mehr zu toppen.

Und ich habe sonst keine Probleme mit dem was Tina schreibt oder wie sie es schreibt aber das geht garnicht.

---

Frag mich grade wie sie wohl darauf reagiert wenn sie ausversehen den Schlüssel stecken lässt und der Nachbar klingelt, wahrscheinlich erstmal ne runde auslachen anstatt einfach mal „Danke“ sagen zu können.