Die Anmeldung bei TeXwelt läuft derzeit über unverschlüsseltes HTTP. Das bedeutet, dass jeder Punkt in der Route von meinem Rechner zur TeXwelt den Username und vor allem das Passwort im Klartext mitlesen kann (wenn ich mich einlogge).

Früher war es noch eine Kostenfrage, ob man sich ein Zertifikat zulegen will. Heutzutage gibt es mit Let's Encrypt jedoch eine kostenfreie Zertifizierungsstelle. Let's Encrypt bietet auch eine Software an, welche sich in den Apache-Webserver einklinkt und das Zertifikat vor Ablauf automatisch erneuert.

Daher halte ich eine Umstellung auf HTTPS für sinnvoll.

Dieser Frage ist "Community-Wiki" markiert.

gefragt 08 Jul, 03:15

Henri's gravatar image

Henri
10.1k31730
Akzeptiert: 85%

bearbeitet 08 Jul, 07:24


Es gibt immer noch Herausforderungen:

  • Kostenfrage: ja, auch wenn es vereinzelte kostenfreie Möglichkeiten gibt: der kostenfreie Anbieter muss irgendwie auch Geld verdienen; und bei kostenlosem Service riskiert die Website dass es mal eingestellt wird. Kostenlose Sachen werden auch am ehesten in Masse für nichtseriöse Sachen verwendet, womit das Vertrauen in den Zertifizierungsstelle sinkt. Soll nur heißen: Qualität und Akzeptanz kostet noch etwas zur Zeit.

  • Performance: kein Caching mehr, erhöhte CPU-Last durch Verschlüsselung statt simpler Auslieferung (damit teurerer Server nötig)

  • IP-Problem: virtuelle Server sind ein Problem für HTTPS. Von apache.org: "it is impossible to host more than one SSL virtual host on the same IP address and port". Ich bezahle dem Provider zusätzlich zu Servern pro IP monatlich einen Eurobetrag (plus mtl. 15,- Euro für das "Feature" mehrere IPs haben zu dürfen).

  • Nutzer-Irritation: wenn die Zertifizierungsstelle nicht by default im Betriebssystem X Version Y enthalten ist, erhält der Nutzer eine Sicherheitswarnung, Voreinstellung ist Verlassen der Seite. Ähnlich, wenn Teile der Seite (Bilder (etwa extern liegende) oder js oder css) noch per http kämen, das muss man konsistent machen.

Mit 2 Miet-Servern für TeX-Foren, Blogs und TeX-Seiten und deren Domains, DNS-Einträgen und IPs sind es bisher schon ca. 200,- Euro monatlich, daher wird es mit Mehrkosten für Zertifikate und IPs schwierig. DANTE hat die Serverkosten freundlicherweise seit Mai 2015 für 1 Jahr komplett gefördert, eine Verlängerung war bislang noch nicht konkret im Gespräch.

Dennoch, an Kosten soll es nicht scheitern: wenn jemand Zertifikat und Webserver passend einrichten kann, kriegt er gern SSH-Zugang zum Server von mir und es kann sofort umgesetzt werden. Es ist auf in meinem Plan, es selber einzurichten, momentan noch nicht möglich, so wie sich die HTTPS-Unterstützung entwickelt sollte es aber auch rasch noch einfacher werden, es umzusetzen.

Aktuell gilt halt noch: für ein Webforum ein Passwort verwenden, dass man nicht anderswo einsetzt (keinen PIN-Code etc.). Passwörter sind verschlüsselt gespeichert, doch es könnte ja jemand im Internet mitsniffen: wer Deinen Rechner hackt (dann ist's eh verloren...), wer den Server hackt, wer in Deinem lokalen Netzwerk ist oder zum Provider-Pfad Zugang hat. Die Schwelle ist hoch, und der Lohn? Keine Kreditkartendaten hier oder Fotos o.ä. Das vllt. einzig persönliche hier ist noch die Email-Adresse, die haben Spammer vllt. schon leichter gekriegt als sich mit einem gesnifften Passwort einzuloggen. Noch keine Krise, denke ich. Personenbezogene Hacks durch Abhören, worum es hier geht, sehe ich eher bei Promis oder tatsächlich sensiblen Daten und nicht in einem kleinen TeX-Diskussions-Forum. ;-) Gegen allgemeine Hacks musste ich mich tatsächlich trotz Sicherheitsmaßnahmen mehrfach konkret wehren, doch es ist nicht HTTPS, was gegen Angriffen auf Server und Softwaremodule hilft.

Und wie gesagt, meine vollste Unterstützung für HTTPS sobald als möglich.

Permanenter link

beantwortet 08 Jul, 14:20

stefan's gravatar image

stefan ♦♦
5.8k12234

bearbeitet 08 Jul, 14:39

Deine Antwort auf die Frage (nicht auf andere Antworten)
Knebel-Vorschau

Folge dieser Frage

Per E-Mail:

Wenn Du Dich anmeldest, kannst Du Updates hier abonnieren

Per RSS:

Antworten

Antworten und Kommentare

Aktuelle Buch-Infos

LaTeX Cookbook

LaTeX Beginners Guide

Limitierter Rabatt ebook
50% Coupon code tDRet6Y

Markdown-Grundlagen

  • *kursiv* oder _kursiv_
  • **Fett** oder __Fett__
  • Link:[Text](http://url.com/ "Titel")
  • Bild?![alt Text](/path/img.jpg "Titel")
  • nummerierte Liste: 1. Foo 2. Bar
  • zum Hinzufügen ein Zeilenumbruchs füge einfach zwei Leerzeichen an die Stelle ein, an der die neue Zeile sein soll.
  • grundlegende HTML-Tags werden ebenfalls unterstützt

Zugeordnete Themen:

×76

Frage gestellt: 08 Jul, 03:15

Frage wurde angeschaut: 422 Mal

Zuletzt aktualisiert: 08 Jul, 14:39