# Kein SSL für buffed.de?



## xyba (26. Juni 2018)

Hallo,

wieso habt ihr kein SSL Aktiv bei euren Domains?

 


buffed.de
forum.buffed.de
gamesaktuell.de
Nachtrag: habe mir eure anderen Seite alle auch angesehen dort gibt es ja nirgends ein SSL Zertifikat...

 

Das einzige wo ich es gesehen habe ist bei eurem Login => login.buffed.de und auch nur das von cloudflare... wäre gut wenn ihr das nachzieht aus Security Gründen. 

 

PS: Eure Firmen Seite computec.de wird nur ein ISS Bild mit Links angezeigt, keine Informationen über euch?!


----------



## ZAM (26. Juni 2018)

Olla,

wir haben das bei PCGH schon dargelegt. Aktuell bezieht sich SSL nur auf die Logins und Profil-Settings. Wir haben es jedoch natürlich(!) auf dem Radar, die Seiten komplett anzupassen. Jedoch gibt es hier neben Abhängigkeiten von Drittanbietern noch ein paar notwendige Anpassungen auf den Seiten.
Einen Zeitpunkt kann ich aber nicht nennen, aktuell gibt es andere Prioritäten - vielleicht bis Ende des Jahres. Die DSGVO-Vorbereitungen sind uns leider auch dazwischen gerutscht. Eine echte Sicherheitsrelevanz für die hier unkritischen Daten ist jedoch übertrieben. 

Btw. "auch nur das von Cloudflare" ? Die haben bei uns nichts mit SSL am Hut  Das sind schon unsere ausgespielten Zertifikate.

 
PS: Eure Firmen Seite computec.de wird nur ein ISS Bild mit Links angezeigt, keine Informationen über euch?!


Was meinst du?


----------



## xyba (26. Juni 2018)

Danke mal für die Infos.

 

 

Naja wenn ich auf die Seite schaue bekomme ich dieses Bild.


----------



## ZAM (26. Juni 2018)

Versuchs mal mit www. davor 

Die domain wird auch bzw. mittlerweile fast ausschließlich für Interna verwenden, ohne Subdomain läuft da nix. Die offizielle Seite ist mittlerweile auch https://www.computecmediagroup.de


----------



## Aldaria (3. Juli 2018)

&#8230;. aktuell gibt es andere Prioritäten &#8230;.

 

Ich fasse mal zusammen. Datenschutz/Sicherheit steht nicht an erster Stelle.


----------



## ZAM (3. Juli 2018)

Ich antworte mal auf gleichem Level:


----------



## Aldaria (3. Juli 2018)

Findest du das etwa komisch ZAM?


----------



## spectrumizer (3. Juli 2018)

So lange keine persönlichen oder vertraulichen Daten übermittelt werden, ist SSL nicht zwingend erforderlich.


----------



## Aldaria (3. Juli 2018)

So lange keine persönlichen oder vertraulichen Daten übermittelt werden, ist SSL nicht zwingend erforderlich.

 

Schon durch die URL kann man persönliche Daten erheben. Zum Beispiel ob ich  mich für "Shooter" intressiere oder doch lieber für die "Kleine Ponyfarm".


----------



## ZAM (3. Juli 2018)

Dann hast du schon ein anderes Problem, wenn jemand als Man in the Middle mitlauscht.
Und ja, ich finde die Behauptung durchaus amüsant, wenn ich auf den Aufwand bzgl. DSGVO-Anpassungen (und teils ePrivacy-Vorbereitungen) der letzten 12 - 18 Monate so zurückblicke. :-)


----------



## Aldaria (3. Juli 2018)

Dann hast du schon ein anderes Problem, wenn jemand als Man in the Middle mitlauscht.

 

Das ist dein Argument, kein SSL zu benützen. *facepalm*


----------



## spectrumizer (4. Juli 2018)

Schon durch die URL kann man persönliche Daten erheben. Zum Beispiel ob ich  mich für "Shooter" intressiere oder doch lieber für die "Kleine Ponyfarm".


Teilweise richtig. Aber halt auch ganz schön übertrieben und übers Ziel hinaus geschossen.

Der Domainname (abc.xyz.com) ist bei einem DNS-Lookup zB nicht verschlüsselt, weil es ein anderes Protokoll ist und diese Kommunikation noch vor dem TLS-Handshake mit dem Web-Server passiert. Also das heißt, wenn dein Browser eine DNS-Abfrage macht, um die IP von "abc.xyz.com" zu erhalten, kann hier schon "erhoben" werden, wie oft am Tag die IP Adresse "1.2.3.4" die Domain "abc.xyz.com" besucht. Die TTL des DNS-Caches von Browsern wie Chrome oder Firefox beträgt standardmäßig ca. 1 Minute.

Und um Daten wie die URL zu personalisieren, müsste ein MitM-Angreifer hier erstmal wissen, von was für einer Person die Daten kommen. Er sieht nur, dass die IP "1.2.3.4" die URL abc.xyz.com/shooter-ponies aufruft. Daraus ergibt sich aber nicht wer die URL aufgerufen hat. Oder dessen Name, Wohnort, Alter, Geschlecht, etc. Die URL kann von sonstwem aus dem Haushalt hinter dem Router aufgerufen worden sein. Oder automatisch durch ein Werbebanner oder ähnlichem.

Abgesehen davon werden diese Daten - und noch viel mehr - sowieso im Klartext in den Logfiles der Web-Server gespeichert, die du besuchst. Selbst mit SSL.

Und wie ZAM schon sagte: Wenn ein "Man-in-the-Middle" Angreifer erstmal soweit gekommen ist, wird er wohl ganz andere Ziele verfolgen, als Statistiken darüber zu erheben, ob sich Hinz und Kunz eher für "Shooter" oder "Kleine Ponyfarm" interessieren.

Wenn du ein Apple-, Google- oder Microsoft-Konto hast, Android oder iOS, Facebook, Instagram, Twitter oder WhatsApp nutzt, kostenlose oder spotbillige Apps oder Spiele auf deinem Handy betreibst, bist du ohnehin schon "personalisiert."

Da ist die Wahrscheinlichkeit höher, einen Sechser mit Zuatzzahl im Lotto zu treffen, als dass jemand über einen "MitM"-Angriff deine URLs ausliest, um persönliche Daten über dich zu erheben.


----------



## Aldaria (4. Juli 2018)

Was ich hier lese sind nur ausreden. Oder die andern oder was auch immer. 

Wenn Apple-, Google, Microsoft etc Daten erheben, bedeutet das nicht, dass ich meine nicht Schützen muss.
Wenn ich sehe, dass Client mit Server spricht, bedeutet das auch nicht, dass ich auch gleich offenlegen muss, worüber sie sprechen.

Und Klartext logfiles bedeutet auch nicht, dass diese auch wirklich unverschlüsselt sind. Gegen aussen sollten diese durch eine Firewall geschützt sein und vor Ort durch einen Abgeschlossen Raum und Hardwareverschlüsslung.


----------



## spectrumizer (4. Juli 2018)

Wie ZAM schon sagte: Login- und Profil-Operationen sind SSL-geschützt. Damit sind auch die persönlichen Daten gesichert.

Du gewährst den größten Datenkraken der Welt freiwillig Zugriff auf deine persönlichen Daten und dein Nutzungsverhalten, schimpfst aber darüber, dass jemand per "Man-in-the-Middle"-Angriff "persönliche Daten" aus den URLs erheben könnte, die du (hier) aufrufst. Sorry, aber das zeugt nicht gerade davon, dass dir klar ist, worüber du hier meckerst.

Und doch, "Klartext" bedeutet "unverschlüsselt." Und hier ist es egal, ob der Server-Raum abgeschlossen ist oder in einem Atombunker in den Alpen der Schweiz steht oder sonstwas. Da die meisten Server heutzutage VPS sind, hat der Hosting Provider theoretisch Zugriff alles, was auf den Festplatten des Host-Systems abgelegt wird. Da muss nur jemand das Festplatten-Image auslesen.


----------



## Aldaria (4. Juli 2018)

. Sorry, aber das zeugt nicht gerade davon, dass dir klar ist, worüber du hier meckerst.

 

Jetzt ist es mir aber klar geworden.  Jetzt kommen langsam Beleidigungen, weil man keine vernünftige Argumente hat. Und dazu noch bisschen Speicherung von Daten mit Übertragung vermischen. Und weiterhin auf Google und co zeigen, obwohl das überhaupt nicht eure Baustelle ist.


----------



## spectrumizer (4. Juli 2018)

Das sind keine Beleidigungen, sondern lediglich Feststellungen: Du machst aus einer Mücke einen Elefanten, weil der normale Forumbetrieb hier nicht per SSL verschlüsselt ist. Und deine einzige Begründung ist, dass ein "Man-in-the-Middle" dich über die URLs, die du hier aufrufst, profilen könnte. Ich sehe da keine "vernünftigen Argumente" von dir, sondern viel Wind um nichts.

Denn dir scheint die Tragweite eines solchen MitM-Angriffs offensichtlich nicht bewußt zu sein. Was es für Resourcen, Aufwand und Leistung ist, sich in einen der Knoten- und Routingpunkte des Internet-Datenverkehrs einzuhacken. Und die einzigen "MitM"-Angriffe solchen Ausmaßes wurden bislang nur von Regierungen oder ISPs durchgeführt, meist auch nur in Ländern des nahen Ostens wie Iran, Türkei und Ägypten. Und natürlich Geheimdienste wie NSA oder BND. Die hacken sich in der Regel aber nicht unbemerkt ein, sondern erhalten ganz legal und direkt Kopien des Traffics. Und die sind mit Sicherheit nicht daran interessiert, was "Aldaria" so für URLs auf "buffed.de" aufruft.

Oder anders gesagt: Deine "Argumentation" legt ein absurdes und höchst unwahrscheinliches Szenario zu Grunde. Nämlich dass ein MitM dich über die URLs profilen könnte. Die Wahrscheinlichkeit eines Lottohauptgewinns ist höher, als die Wahrscheinlichkeit eines solchen Szenarios.

Und die Beispiele mit Google & Co. sind nicht dazu da, um auf andere zu zeigen. Sondern um den Schwachpunkt in deiner "Argumentation" zu verdeutlichen: Du hast Angst vor einem höchst unwahrscheinlichen Szenario, während dich die größten Datenkranken fröhlig und mit deiner Zustimmung 24/7 profilen.

Oder kurz gesagt: Du hast Angst, ungewollt profiled zu werden, während du gewollt profiled wirst.


----------



## Aldaria (4. Juli 2018)

Die URL war die Antwort auf dein Argument das SSL nicht notwendig ist, wenn keine Persönlichen Daten übertragen werden. *Siehe oben*. Ich hab dich nur darauf hingewissen, dass die Infos in der URL schon persönlich sind. Die Man in the Middle Attacke kam von ZAM.  

 

Irgendwie führt das zu nichts. Hier ist offensichtlich die Ansicht verbreitet, dass man lieber reagiert als vorbeugt.


----------



## spectrumizer (4. Juli 2018)

Prinzipiell hast du recht. Eine komplette SSL-Verschlüsselung wäre besser. Aber wie gesagt ist es nicht zwingend notwendig und vom Gesetzgeber auch nicht gefordert, da hier keine Gefahr für den Datenschutz besteht.

Wenn du davon ausgehst, dass die URL schon persönlich ist, dann nur, weil ein MitM existiert. Von daher ist ZAM's Argument korrekt. Wer soll die URL sonst abfangen? Dazu kommt noch, dass TCP-Pakete in der Regel fragmentiert übertragen werden und nicht unbedingt gewährleistet werden kann, dass alle Pakete die gleiche Route nehmen. Und am Ende stehen deine ganzen Requests ohnehin im Klartext in den Server-Logs, auch mit SSL.

Desweiteren ist eine URL nicht per se persönlich, wenn keine personenbezogenen Informationen darin vorkommen. Persönlich bedeutet, dass etwas einer Person zugeordnet oder eine Person identifiziert werden kann. Eine URL kann aber nur einer IP zugeordnet werden, von der wiederum nur der jeweilige ISP diese einem (Anschluss-)Inhaber zuordnen kann. Und selbst diese IP kann in einem Mehrpersonenhaushalt mehrere Nutzer beschreiben. Und es ist an Hand der IP nicht ersichtlich, ob Mama, Papa, Klausi, Lena oder deren Freunde und Kumpels etwas aufgerufen haben.

Es führt zu nichts, weil du dich über den kleinen Tropfen auf deinem Kopf aufregst, während du ohnehin schon bis zum Bauchnabel im Wasser stehst. Was soll man da noch sagen?


----------



## Tikume (4. Juli 2018)

Zam hätte auch sowas schreiben können: Vielen Dank für deinen Hinweis. Wir nehmen deinen Hinweis gerne mit und werden die Realisierung prüfen.

Hättest Du von einem aalglatten Dodge mehr gehabt?

 

Dass ein kompletter Aufruf über https:// wünschenswert ist, ist klar. Aber das ist am Ende nur ein kleines Spieleforum, es gibt Abhängigkeiten die man als Außenstehender nicht am Plan hat und es wird eben auch noch andere Prioritäten geben.

 

Also don't panic.


----------



## ZAM (4. Juli 2018)

Zam hätte auch sowas schreiben können: Vielen Dank für deinen Hinweis. Wir nehmen deinen Hinweis gerne mit und werden die Realisierung prüfen.

Hättest Du von einem aalglatten Dodge mehr gehabt?

 

Dass ein kompletter Aufruf über https:// wünschenswert ist, ist klar. Aber das ist am Ende nur ein kleines Spieleforum, es gibt Abhängigkeiten die man als Außenstehender nicht am Plan hat und es wird eben auch noch andere Prioritäten geben.

 

Also don't panic.

 

Und mal abgesehen davon, dass ich sogar erwähnt habe, dass wir das Thema durchaus auf dem Radar haben - Im Gegensatz zu dem was Scheuklappen-Teilnehmern sich gern mal einreden.

Wir sind uns bewusst, dass wir es noch einführen müssen und auch werden. Aber es hat aktuell einfach nicht die Priorität, um eben mal alle noch notwendigen Hürden anzupassen. Und wie hier schon festgehalten wurde, gibt es zudem keine unfreiwillig(!) übertragenen, brisanten Daten, die sich dazu noch außerhalb der bereits SSL-geschützten Bereiche befinden.

Und Profilbildung ist nicht mal im Ansatz das Problem von fehlender SSL-Verschlüsselungen - Dagegen ist man im Internet eh nicht geschützt, auch nicht nach DSGVO-Anpassungen. Maximal ePrivacy wird es erst etwas mehr erschweren. So leid es mir tut es in dem Zusammenhang erwähnen zu müssen, aber die geäußerte Angst vor Profilbildung ist ein Hinweis auf das Anhäufen von "Wissen" durch reines Hörensagen. Das würde ich jedoch durchaus ernster nehmen, wenn nicht irgendwelche haltlosen Behauptungen und Unterstellungen bzgl. "Interessiert offenbar nicht" vorangegangen wären.


----------



## Aun (6. Juli 2018)

wenn ich mir das zunehmende geflenne durchlese:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Derulu (6. Juli 2018)

Ich habe eben Kommentare gelöscht. Beiträge die offensichtlich der reinen Provokation der Gesprächsteilnehmer dienen, also beispielsweise bewusst ein Thema nieder machen sollen, sowie bewusst ausschließlich Offtopic darstellen sind nicht gestattet. Kritik ist erwünscht, jedoch in einem angemessenen Umgangston.


----------



## Head-Crash (24. August 2018)

Hallo,

 

ich finde, in 2018 noch plain http Services anzubieten, ist schon sehr gewagt. Schließlich ist das Thema ja auch nicht gerade neu und ein Multi-Domain-Zertifikat kostet auch nicht die Welt. Das Problem ist halt die Implementierung, wenn man möchte, daß auch danach noch alles funktioniert. Gerade auch Euer gutes Tool und Addon-Verwaltung, diverse Datennbanken und externe Komponenten mögen danach auch bitte weiterhin funktionieren.

 

Und da ist es mir dann schon lieber, wenn das als ordentliches Projekt durchgeführt wird und Ihr Raum zum Testen bekommt, weil das Ganze ist zwar keine Raketenwissenschaft, aber auch nicht trivial. Aber die Uhr tickt, im Chrome steht "nicht sicher" und das ist das, was der User sieht. 

 

Die Art und Weise und auch die Vergleiche, die in der vorangegangenen Konversation herangezogen wurden, geben mir persönlich jetzt auch nicht gerade das Gefühl, daß bei Euch hier ein großes Verständnis bzw. Sicherheitsbewusstsein vorherrscht. Vor gut fünf Jahren wurde über Eure Plattformen Schadcode (ich glaube, es ist über einen Werbedienstleister geschehen) verteilt und das war eine längere Geschichte und nicht innerhalb von Stunden bemerkt und behoben. Neben einem Redesign des Frontends wurde im Hintergrund gefühlt wenig verändert. 

 

Ich bin mir sicher, daß auf Euren Servern auch noch veraltete Komponenten laufen und da ist https dann auch egal. Irgendein Einfallstor gibt es immer und es sind doch nicht nur "wertlose" Daten. Es geht doch immer darum, was man mit solchen Daten später noch alles anstellen kann und das Ganze steht und fällt doch damit, die Daten irgendwie sinnvoll zu verknüpfen. Das ist mit der geballten Power der Cloud doch kein Problem. Irgendein Vorteil ergibt sich schon.  Wenn nicht heute, dann in der Zukunft. Und man merkt doch meistens gar nicht, wenn man ein Problem hat. Sichere Systeme gibt es nicht, deshalb ist Datensparsamkeit ja auch wichtig.

 

Das ist jetzt auch kein Problem, das nur Euch betrifft. Irgendwie laufen die Systeme ja und das Tagesgeschäft ist auch wichtig. Schließlich muß man Geld verdienen.

 

Deshalb geht es für mich durchaus in Ordnung, wie Ihr Eure Prioritäten setzt. Schließlich kann ja keiner entscheiden, Euer Angebot zu nutzen oder halt nicht.

 

Trotzdem würde ich so nicht mit Usern kommunizieren, die sich mit einem ernstgemeinten SIcherheitsanliegen an Euch wenden. Die nehmen sich Zeit, um mit Euch zu kommunizieren und Ihr antwortet mit lapidaren Antworten. Bitte entschuldigt hier meine harsche Kritik, aber jemanden Ernst zu nehmen geht anders. Ich würde nicht wollen, daß man meinen Kunden so vor den Kopf stößt. Wen interessiert es, wenn es in Timbuktu bei ähnlichen Rahmenbedingungen unter Zuhilfenahme von Aluhüten funktioniert? Wichtig ist doch, im Browser steht "nicht sicher", bei Google wird´s bald im Ranking eng und Ihr macht einen guten Job. Ich lese Euch immer gerne und deshalb surfe ich Euch auch mit http an. Und gerade Ihr habt die beste Infrastruktur verdient!


----------



## MikolajPL (24. August 2018)

Schließlich kann ja keiner entscheiden, Euer Angebot zu nutzen oder halt nicht.

Was?!? Der Besuch von buffed.de ist alternativlos? Ich habe es geahnt ...
Schöner Vertipper ...


----------



## ZAM (24. August 2018)

Ich habe dargelegt, warum die Seiten nicht vollständig auf SSL laufen. Mehr können wir darüber auch nicht sagen.

 

Wenn wir aber uns die Zeit nehmen um mit jedem Anfragenden ausführlich im Detail zu Pro und Contra zu diskutieren, würde die Zeit wegfallen, um die Prioritäten abzuarbeiten und damit zögert sich SSL-Anpassung auf unbekannte Zeit hinaus. Hier sitzen ja nicht dutzende von Entwicklern an den mittlerweile 15 Webseiten und der Infrastruktur, sondern nur ein kleines Team. :-)

 

Das, entschuldige, Geblubber von wegen Sicherheit nicht ernst zu nehmen, nehme ich übrigens nicht ernst.


----------



## spectrumizer (24. August 2018)

Trotzdem würde ich so nicht mit Usern kommunizieren, die sich mit einem ernstgemeinten SIcherheitsanliegen an Euch wenden. Die nehmen sich Zeit, um mit Euch zu kommunizieren und Ihr antwortet mit lapidaren Antworten.


Wer sich mit ernst gemeinten Sicherheitsanliegen an uns wendet, wird mit Sicherheit auch ernst genommen.

Wer aber - wie zum Beispiel "Aldaria" - mit lapidaren und laschen Phrasen antwortet, aus einer Mücke einen Elefanten macht und offensichtlich Scheuklappen auf hat und für keine Argumente zugänglich ist, braucht sich nicht wundern, wenn die Antworten dann auf einem ähnlichen Niveau ausfallen.


----------

