Wenn selfsigned würde ich vorschlagen ssl für jeden User optional zu machen. Aber mir würde ein selfsigned reichen wenn du das nötige ca cert für die Keychain zum Download bereitstellst.

Mal ne Frage eines unbedarften : was bringt mir ne SSL-Verbindung wenn hier Werbung läuft die evtl Browsereingaben cached ? Beispiel : ich suche im Forum nach Beiträgen in denen der Begriff Futaba vorkommt und erhalte beim nächsten Login gezielt Werbung eines Elektronik-Anbieters bzgl. Futaba-Produkten eingeblendet. Nur als simples Beispiel, ob so oder im Detail anders sei dahingestellt.

Ich sehe da ganz einfach eine Sicherheitslücke die SSL nicht schließen wird, und außer bei der Erstanmeldung macht es m.E. wenig bis keinen Sinn, da wie schon geschrieben wurde eigentlich keine sensiblen Daten gehandlet werden.

Ich sehe das Problem dass beis elber geschrieben Zertifikaten eine Fehlermeldung kommt und eine Ausnahme für das Forum erstellt werden muss, was wiederum bösartiger Software Tür und Tor öffnen kann.
Wenn dann Bitte als Option zum anwählen.
Kaum ist hier was gepostet wird es bei Google gefunden, das hat Micha sehr gut gemacht, aber macht uns andererseits absolut "gläsern".

Sepp

ColaFreak hat geschrieben:Wenn selfsigned würde ich vorschlagen ssl für jeden User optional zu machen. Aber mir würde ein selfsigned reichen wenn du das nötige ca cert für die Keychain zum Download bereitstellst.

Das würde den Problem welcher satsepp erwähnt auf jededn Fall beheben, da muss dann keine Ausnahme definiert werden, sondern lediglich der CA cert im Keystore vom Browser hinterlegt werden.

[/quote]
Habe ich im Hinterkopf.

Aber, Tapatalk ist nun für jeden User frei, was spricht dagegen?[/quote]

Nja, es ist immer schön mit Bordmitteln arbeiten zu können, ohne einen Haufen Apps,
die wieder einen Haufen neuer Probleme bringen können. (Sicherheit und Absturzgefahr).
Insofern habe ich bisher für kein Forum Tapatalk installiert.

Gruß Sven

Ein Zertifikat eines Anbieter ist nicht nur Geld hascherei, sondern es wird auch sichergestellt das es sich um vertrauenswürdige Anbieter handelt. Es gibt natürlich auch Ausnahmen.

Zum Thema Werbung. Es ist ein Unterschied ob ich meine Daten via Ssl versende (Passwort) oder mein Verhalten getrackt wird für Aids und Statistik. Ohne Ads gäbe es die Seite sicher nicht in dieser Form.

Aber wenn es nicht voll durchgezogen wird, kann man es auch lassen. Am Ende interessiert es die wenigsten ob die Seite wirklich Sicher ist.

Gruß
Sven

OK, das sind ja schon mal ein paar Meinungen.

Soll ich nun nen Poll aufmachen?

Für ein "verifiziertes" Zertifikat würde ich dann versuchen, via "Crowdsourcing" Geld zu sammeln.

Ein von mir erstelltes Zertifikat kost nichts, muss aber jeder im Browser importieren.

Hetzner bietet mir aktuell (u.a) folgende Optionen an:

Thawte SSL 256 Bit
1 Jahr 49 EUR
2 Jahre 89 EUR
3 Jahre 119 EUR

Details hier: http://www.hetzner.de/en/hosting/ssl/zertifikat

GLORIEN hat geschrieben: Ohne Ads gäbe es die Seite sicher nicht in dieser Form.

Sicher nicht, leider sieht das nicht jeder so.

Hier ist es schonmal 10 Euro günstiger:
http://www.ready2host.de/zertifikate/po ... fikat.html

ColaFreak hat geschrieben:Hier ist es schonmal 10 Euro günstiger:

Wo wird der Schlüssel hinterlegt?

?

Na, der Browser muss die CA kennen.

Anfragen aber normalerweise Commodo oder Verisign.

Hier gehts noch günstiger:
http://alfahosting.de/ssl-zertifikate-vergleich/

Btw noch:
http://www.heise.de/security/artikel/SS ... 80221.html