SSL für Plugin-Site und Forum

Hier darf jeder ein Thema erstellen das nicht zu den Support-Themen passt
languitar

SSL für Plugin-Site und Forum

Beitrag von languitar » Di 3. Mai 2016, 20:23

Hallo,

momentan ist insbesondere die Plugin-Site für Jameica (neben dem Forum hier) nicht SSL-geschützt (also valide über https:// erreichbar) und die Plugins sind nicht signiert. Das bedeutet, dass einem hier problemlos ein irgendwie verändertes Plugin untergeschoben werden kann, um z. B. mal eben die Login-Daten für eine Bank abzugreifen, ohne dass der Nutzer eine ernsthafte Möglichkeit hat dies festzustellen. Das finde ich bei einer Finanz-Software äußerst unschön. Für das Forum bedeutet dies, dass die Passwörter bei jedem Login und Nachrichteninhalte wie PMs (in denen anscheinend ab und zu auch mal Login-Daten verschickt werden) unverschlüsselt durchs Netz fliegen und inzwischen mit wirklich einfachen Mitteln mitgelesen werden können.

Daher wäre es wirklich toll, wenn die entsprechenden Server mit validen und Zertifikaten ausgestattet werden könnten und am besten nur noch per SSL erreichbar wären. Mit https://letsencrypt.org/ ist das inzwischen ja auch ohne Kosten möglich.

Gruß,
Johannes

Benutzeravatar
Hibiscus-Scripter
Administrator
Administrator
Beiträge: 1694
Registriert: Mi 30. Okt 2013, 17:14
Wohnort: Würzburg

Re: SSL für Plugin-Site und Forum

Beitrag von Hibiscus-Scripter » Di 3. Mai 2016, 20:30

solche eine Diskussion brauchen wir hier gar nicht erst anfangen die hatten wir schon oft genug ...
Die Repositorys sind auch per Https erreichbar, wer will muss es nur so angeben aber braucht nicht erwarten dass ich ein Signiertes Zertifikat dafür einrichten werde denn das kostet sehr wohl was ...

Viel unsicherer finde ich es dass die PlugIns bei Jameica ja ohne jeglichen Check einfach angeboten werden ... z. B. gibt es / gab es PlugIns die z. B. Benutzername und Passwort umverschlüsselt in irgendwelchen Metas speichern die dann unverschlüsselt in den Logs auftauchen ... ja Prost Mahlzeit da ist HTTPs auch schon egal ...

Ansonsten habe ich echt vorher noch genug andere Sachen zu erledigen ...

Kurz um ... wer wegen Paranoia oder Zweifel an seiner Sicherheitssoftware und seinem Internet-Verhalten hat der muss diese kostenlose Arbeit hier von mir ja nicht nutzen ...
... wer lesen kann ist wie immer im klaren Vorteil ...

:!: Vor dem Posten: Bitte die Posting-Regeln für neue Beiträge lesen und bitte auch immer alle 4. Punkte zur Fehlermeldung beachten (Der Post wird ansonsten gelöscht)

:idea: Hilfe und Informationen zu den Test- und Nightly-Builds und deren Installation findet Ihr z. B. im Tipps und Tricks-Forum (Weitere hilfreiche Artikel findet man in der FAQ auf der Projekt-Website)

Wer ein Dankeschön für die Arbeit und Unkosten senden möchte, kann gerne auch :arrow: Spenden

Zurück zu „Allgemeine Diskussionen“