zwingendes HTTPS??

Re(14): zwingendes HTTPS??

RoteVanNelle — Sat, 14 Dec 2013 20:15:32 GMT

Cookies sind nix besonderes - aber gäbe es sie nicht, müssten viele Web-Applikationen schrecklich umständlich programmiert werden.

Re(12): zwingendes HTTPS??

zeddicus — Fri, 13 Dec 2013 20:45:03 GMT

tech. Physikstudent

Das in dieser Diskussion hervorzuheben macht ungefähr so viel Sinn wie wenn einer sagt, er ist Bäckergeselle also kennt er sich mit Fleisch aus. Beides sind Lebensmittel, beides sind technische Gebiete. Das wars aber so ziemlich mit den Gemeinsamkeiten.

Edit:
Gerade erst gesehen daß da wer Leichen fleddert.

Edit 2:
Ok, du fledderst sie selber...

Re(12): zwingendes HTTPS??

zeddicus — Fri, 13 Dec 2013 20:45:03 GMT

tech. Physikstudent

Das in dieser Diskussion hervorzuheben macht ungefähr so viel Sinn wie wenn einer sagt, er ist Bäckergeselle also kennt er sich mit Fleisch aus. Beides sind Lebensmittel, beides sind technische Gebiete. Das wars aber so ziemlich mit den Gemeinsamkeiten.

Re(12): zwingendes HTTPS??

zeddicus — Fri, 13 Dec 2013 20:45:03 GMT

tech. Physikstudent

Das in dieser Diskussion hervorzuheben macht ungefähr so viel Sinn wie wenn einer sagt, er ist Bäckergeselle also kennt er sich mit Fleisch aus. Beides sind Lebensmittel, beides sind technische Gebiete. Das wars aber so ziemlich mit den Gemeinsamkeiten.

Re(12): zwingendes HTTPS??

zeddicus — Fri, 13 Dec 2013 20:45:03 GMT

tech. Physikstudent

Das in dieser Diskussion hervorzuheben macht ungefähr so viel Sinn wie wenn einer sagt, er ist Bäckergeselle also kennt er sich mit Fleisch aus. Beides sind Lebensmittel, beides sind technische Gebiete. Das wars aber so ziemlich mit den Gemeinsamkeiten.

Edit:
Gerade erst gesehen daß da wer Leichen fleddert.

Re(13): zwingendes HTTPS??

Sysiphus1981 — Fri, 13 Dec 2013 17:41:26 GMT
Ich hab jetzt keine Ahnung warum du das schreibst. Ich nehm mal an du hast noch nicht auf das Datum geschaut und die Diskusion die wir in Sommer so geführt haben und was jetzt rauskommt mit all den netten Möglichkeiten, die Leute so haben, die mehr Ahnung haben von Sicherheitstechnik als ich, siehe NSA-Skandal. Mich der Halbbildung zu bezichtigen ist ja schon ein starkes Stück, wenn ich der einzige hier war der gesagt hat was Sache ist. Komm mir vor wie Kassandra.
Aber macht nix, immer nur drauf hier mit den roten Strichen, die Unangenehmen wurden schon immer gebranntmarkt.

Re(13): zwingendes HTTPS??

Sysiphus1981 — Fri, 13 Dec 2013 17:41:26 GMT
Ich hab jetzt keine Ahnung warum du das schreibst. Ich nehm mal an du hast noch nicht auf das Datum geschaut und die Diskusion die wir in Sommer vor einem Jahr so geführt haben und was jetzt rauskommt mit all den netten Möglichkeiten, die Leute so haben, die mehr Ahnung haben von Sicherheitstechnik als ich, siehe NSA-Skandal. Mich der Halbbildung zu bezichtigen ist ja schon ein starkes Stück, wenn ich der einzige hier war der gesagt hat was Sache ist. Komm mir vor wie Kassandra.
Aber macht nix, immer nur drauf hier mit den roten Strichen, die Unangenehmen wurden schon immer gebranntmarkt.

Re(12): zwingendes HTTPS??

Paulas_Papa — Fri, 13 Dec 2013 12:21:08 GMT
Du machst mir den Eindruck eines Medizinstudenten, der während des Studiums immer an den Symptomen leidet, die gerade durchgenommen werden. Es geht nichts über eine gesunde Halbbildung.

mfg lukas

Re(14): zwingendes HTTPS??

User545539 — Fri, 13 Dec 2013 07:40:21 GMT
ich  bin Radio und Fernsehtechniker und hab keine Ahnung von der Materie. Eine Ausbildung in einem Bereich bedeutet nicht das du dich auskennst....

Re(13): zwingendes HTTPS??

Sysiphus1981 — Fri, 13 Dec 2013 00:01:01 GMT
http://forum.geizhals.at/t836489,7191932.html#7191932  q. e. d. würd ich mal sagen

Re(5): zwingendes HTTPS??

mjy@geizhals.at — Tue, 24 Jul 2012 14:37:44 GMT
Ach so, das passiert wohl bei Signaturen mit Grafiken, die per http:// eingebunden sind ... Die könnten wir irgendwann mal umschreiben / per Proxy anzeigen.

Re(4): zwingendes HTTPS??

thE — Tue, 24 Jul 2012 14:30:44 GMT
Mhm.. Naja, bei mir ist das https durchgestrichen und beim ersten Refresh gab es eine Warnung..

Re(4): zwingendes HTTPS??

thE — Tue, 24 Jul 2012 14:30:44 GMT
Mhm.. Naja, bei mir ist das https durchgestrichen und beim ersten Refresh gab es eine Warnung..

Ädit: Seite auf und zu gemacht und einmal STRG + F5 und weg ist das Problem..

Re(3): zwingendes HTTPS??

mjy@geizhals.at — Tue, 24 Jul 2012 14:27:55 GMT
Wir haben da etwas angepasst, weil IE6 geschrien hat. Das RapidSSL-cert brauchte ein 2. intermediary cert, das haben wir ins bundle getan. An sich gibt es keinen Grund für den Chrome etwas zu melden, außer dass sich die Zertifikatkette verändert hat (das Zertifikat selbst aber nicht).

Re(2): zwingendes HTTPS??

thE — Tue, 24 Jul 2012 14:26:27 GMT
Hats da gerade wieder was zusammengehauen?!

Weil laut Chrome ist das Cert aufeinmal nicht mehr vertrauenswürdig..

Re(8): zwingendes HTTPS??

user96106 — Thu, 19 Jul 2012 11:48:34 GMT
keine ahnung:

vielleicht falsche geolocation oder forum.geizhals.net domain

Re(7): zwingendes HTTPS??

mjy@geizhals.at — Thu, 19 Jul 2012 11:18:32 GMT
Tja ich hab kurz versucht herauszufinden, wie es dazu kommt. <html lang="de"> scheint jedenfalls nicht zu helfen.

Re(6): zwingendes HTTPS??

user96106 — Thu, 19 Jul 2012 11:03:30 GMT
das problem hast aber auf 1000 anderen servern auch, dass google irgendeine übersetzung anbieten will. drum hab ich das bei mir generell deaktiviert. ich brauch das einfach nicht.

Re(5): zwingendes HTTPS??

mjy@geizhals.at — Thu, 19 Jul 2012 11:01:24 GMT
Das Problem muss aber am Server behoben werden wenn möglich, warum sollten 1000e User das extra abdrehen ...

Re(4): zwingendes HTTPS??

user96106 — Thu, 19 Jul 2012 09:47:48 GMT

Edit: gerade mit Chrome auf OSX getestet, jetzt gibt es keine Warnungen (außer
der bescheuerten Chrome-Frage, ob die Seite, die angeblich auf Englisch ist,
übersetzt werden soll ...)

den schwachsinn kann man aber auch am mac komplett ausschalten

Re(10): zwingendes HTTPS??

bigboss007 — Thu, 19 Jul 2012 06:48:37 GMT
ui..danke, falschen link kopiert - meinte natürlich in verbindung mit cert-warnungen IMMER httpS seiten

Re(9): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 17:25:04 GMT
Da: https://forum.geizhals.at/t799681,6850036.html#6850036

Re(8): zwingendes HTTPS??

bigboss007 — Wed, 18 Jul 2012 17:08:01 GMT
was willst du mit deinem http?? wo siehst du im link eine http adresse??

Re(18): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 14:19:18 GMT
Bitte spar dir das. Ich hab genug Ahnung davon und deine ganzen Links erzählen mir NICHTS neues.

Re(17): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 14:11:47 GMT
Da du dich nicht umstimmen lässt, du mir auch nicht glaubst und ich weg muss werd ich einfach mal einen Link posten und später erst wieder antworten.
http://www.datenschutz-praxis.de/fachwissen/fachartikel/neue-gefahren-durch-cookies/  die Seite ist im übrigen ein guter Einstieg um sich zu informieren.
Lg

Re(16): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 13:35:49 GMT

  da ist das Cookie, naja der Rest ist bekannt, ok, dann darf ich neben
dem Onlinebanking keine andere Seite aufmachen, und den Browser dann
schliessen, wird dann hoffentlich gelöscht.

Das hier ist ein Sicherheitsgewinn, da eine Session ID in der URL ganz klar als unsicher anzusehen ist!

Man wäre sehr dumm, würde man hier das Cookie blockieren.

Außerdem ist es völlig irrelevant, ob im Browser andere Seiten offen sind oder nicht.

Re(16): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 13:35:49 GMT

  da ist das Cookie, naja der Rest ist bekannt, ok, dann darf ich neben
dem Onlinebanking keine andere Seite aufmachen, und den Browser dann
schliessen, wird dann hoffentlich gelöscht.

Das hier ist ein Sicherheitsgewinn, da eine Session ID in der URL ganz klar als unsicher anzusehen ist!

Man wäre sehr dumm, würde man hier das Cookie blockieren.

Re(15): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 13:31:20 GMT
http://www.heise.de/security/meldung/Postbank-fuehrt-Session-Cookie-im-Online-Banking-ein-217179.html  da ist das Cookie, naja der Rest ist bekannt, ok, dann darf ich neben dem Onlinebanking keine andere Seite aufmachen, und den Browser dann schliessen, wird dann hoffentlich gelöscht.

Re(12): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 13:26:45 GMT

Cookies gibts schon lange und es ist nicht wirklich besser geworden mit ihnen

Es gibt ja auch für das session-handling keine Alternative, obwohl es so einfach wäre, eine zu implementieren: Browser müssten nur eine ID generieren (so oft / wann immer man möchte) und diese in einem Request-Header mitschicken. Websites müssten dann eben sämtliche Informationen über diesen Browser am Server speichern (eine Bequemlichkeit, die Cookies bieten, ist ja, dass man am Server viel Platz spart wenn man alle möglichen Daten in den Cookies speichert).

Re(12): zwingendes HTTPS??

Akilae — Wed, 18 Jul 2012 13:21:55 GMT

Cookies sind vor allem "böse" weil sie bei jedem Request mitgeschickt werden
und unnötig Bandbreite verbrauchen.

Korrekt. Aber bei Sicherheit sollte man halt immer dort ansetzen wo es Sinn macht. Man kann natürlich einem Benutzer alle Cookies wegnehmen. Die Supportkosten will ich nicht haben wenn er bei jeder Webseite wo er sich einloggen will zuerst das Cookie freigeben muss das dafür verantwortlich ist. (Ich rede von nicht IT-affinen Leuten.)

Re(12): zwingendes HTTPS??

Akilae — Wed, 18 Jul 2012 13:19:57 GMT
Der Vergleich hinkt nicht und bist genauso ein "Lemming" wie alle anderen da du die Technologie auf Seiten die du ansurfen willst und denen du vertraust benutzt. Nur bist du im Unterschied zu vielen ein sicherheitsbewusster Lemming. Es gibt nichts dagegen einzuwenden NoScript zu verwenden. Tatsache ist jedoch willst du ein Service nutzen das Session Handling im Internet benötigt bist auch du auf die Technologie Cookie angewiesen (bzw. wie mjy schon hingewiesen hat auf die dementsprechenden Alternativen). Aber gerade NoScript ist eben ein Ansatz diese Technologie sicher zu machen jedoch kannst NoScript einem normalen User nicht antun weil der eben von der Materie dahinter keinen Plan hat.

Re(14): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 13:18:36 GMT

Das bringt leider nix, hast schon mal geschaut wie sich das Internet in den
letzten 5 Jahren verändert hat, es kommt ja nicht von ungefähr das jeder guter
Virenscanner die Updaterate auf 1-2 Stunden verkürzt hat. Und selbst die haben
noch eine nicht zu verachtende Fehlerquote, kann man bei jedem
Virenscannertest nachlesen.
http://www.chip.de/news/Bundespolizei-Virus-entfernen-PC-entsperren_50761972.html  das
ist ein gutes Beispiel, mein Freund (wirklich^^) hat sich das Ding bei youporn
geholt, das is jetzt keine unbekannte Seite, Windows 7 aktuell, Firefox
aktuell, Virenscanner aktuell (avira), leider kein Noscript, Adblock und
Adaware installiert, das ist jetzt nicht mal 1 Woche her. Du kannst dir alles
mögliche holen, und auch auf bekannten Seiten, die brauchen nur den
Werbebanneranbieter hacken (ist schon oft passiert) und du bist am A.

Nur hat das alles nichts mit Cookies zu tun.

Hast du Cookies aktiviert, wissen die, wenn sies anlegen darauf, jeden
Webseitenzugang und deine Surfstatistik, was nicht sehr cool ist, wennst auch
deine Banksachen drauf machst (drum Firefox im Absicherten Modus bei
Zahlungsverkehr).

Auf deiner Online-Banking-Seite gibts Werbebanner? Außerdem laufen die üblicherweise über HTTPS.

Ich kann nur sagen, das Internet ist ein Battleground, und je weniger
Angriffsfläche du bietest, desto seltener wirst du getroffen.

Je mehr du dich einmauerst, desto weniger Kontakt hast du zur Außenwelt. Prinzipiell stimme ich dir zu. Man sollte nicht mehr freigeben als notwendig. Aber zu viel Paranoia ist auch nicht gut. 99% der Angriffe könnten schon abgewehrt werden, würde man regelmäßig Sicherheitsupdates installieren. Aber oft ist nicht mal das der Fall. Wieviele Leute surfen mit veralteten Browsern, veralten Java/Flash-Versionen, veralten PDF-Readern, etc. herum?

Re(11): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 13:10:04 GMT
Sei mir nicht böse, aber weils jeder macht... bin ja kein Lemming. Cookies gibts schon lange und es ist nicht wirklich besser geworden mit ihnen. Der Vergleich hinkt ein bisschen, passen würd "Windows 95 ist böse im Internet", weil Sicherheitstechnisch am selben Stand.

Re(11): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 13:06:17 GMT
Die Bösewichte verwenden heutzutage eh auch Flash Cookies und HTML5 local storage.

Cookies sind vor allem "böse" weil sie bei jedem Request mitgeschickt werden und unnötig Bandbreite verbrauchen.

Re(13): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 13:02:30 GMT
Das bringt leider nix, hast schon mal geschaut wie sich das Internet in den letzten 5 Jahren verändert hat, es kommt ja nicht von ungefähr das jeder guter Virenscanner die Updaterate auf 1-2 Stunden verkürzt hat. Und selbst die haben noch eine nicht zu verachtende Fehlerquote, kann man bei jedem Virenscannertest nachlesen.
http://www.chip.de/news/Bundespolizei-Virus-entfernen-PC-entsperren_50761972.html  das ist ein gutes Beispiel, mein Freund (wirklich^^) hat sich das Ding bei youporn geholt, das is jetzt keine unbekannte Seite, Windows 7 aktuell, Firefox aktuell, Virenscanner aktuell (avira), leider kein Noscript, Adblock und Adaware installiert, das ist jetzt nicht mal 1 Woche her. Du kannst dir alles mögliche holen, und auch auf bekannten Seiten, die brauchen nur den Werbebanneranbieter hacken (ist schon oft passiert) und du bist am A. Hast du Cookies aktiviert, wissen die, wenn sies anlegen darauf, jeden Webseitenzugang und deine Surfstatistik, was nicht sehr cool ist, wennst auch deine Banksachen drauf machst (drum Firefox im Absicherten Modus bei Zahlungsverkehr).
Ich kann nur sagen, das Internet ist ein Battleground, und je weniger Angriffsfläche du bietest, desto seltener wirst du getroffen.

Re(7): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 12:58:19 GMT
https:// != http://

Auf https://forum.geizhals.de  kommt man nur über den "mit SSL"-Link.

Re(10): zwingendes HTTPS??

Akilae — Wed, 18 Jul 2012 12:55:36 GMT
Mir sind die zu verwendenden Technologien durchaus bewusst. Tatsache ist das ein Cookie per se nicht böse ist sondern die Intention dahinter es zu dem macht. Cookies sind im Moment die am häufigst verwendete Methode zum Session Handling im Internet. Die Aussage, "Cookies sind böse" ist in etwa so sinnvoll wie zu sagen "Betriebssysteme sind böse" weil auf denen könnten Viren / Trojaner etc. sein.

Re(9): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:51:25 GMT
Arg, ja, aber nicht von vertrauenswürdigen Seiten, hab ja auch Noscript auf FF, da musst du dir eben eine Whitelists aufbauen. Wobei Cookies nach dem Schliessen von FF gelöscht werden bei mir.

Re(8): zwingendes HTTPS??

Akilae — Wed, 18 Jul 2012 12:47:07 GMT
Dachte Cookies sind böse?

Re(6): zwingendes HTTPS??

bigboss007 — Wed, 18 Jul 2012 12:42:24 GMT

Bei http:// wird gar kein cert verwendet...

bitte verkauf mich nicht für dumm...
aber extra für dich:
http://f.666kb.com/i/c5m76xpxpup8v2uc3.gif

Re(14): zwingendes HTTPS??

bigboss007 — Wed, 18 Jul 2012 12:40:04 GMT

Und es wurde explizit nach meinem Können gefragt.

das lässt sich aber nicht mal im ansatz aus deiner aussage dass du nachrichtentechniker/informatiker etc bist ablesen

Re(5): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 12:38:41 GMT

korrekt - behoben, danke!eine kleine => aber nur eben weil das cert auf
geizhals.at ausgestellt ist und nicht auf den .de link
____________________________________________________________________

Bei http:// wird gar kein cert verwendet...

Re(12): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 12:35:57 GMT

Es ist nicht per se unsicher, wirds nur dann, wenn der Maschinencode
andere Benutzerrechte bekommt und wild herumspringen kann, weil deine
Sicherheitsmaßahmen von CPU, Betriebssystem und/oder deiner Applikation
ausgehebelt wurden, is ja der Sinn eines Exploits. Davon leben die Exploits,
dass sie ein Loch finden und es ausnutzen und es gibts viele Löcher.

Wie gesagt, Maschinencode kann man auf verschiedene Arten übergeben. Cookie ist nur eine von vielen Möglichkeiten. Willst du das verhinden, musst du deinen Netzwerkstecker ziehen bzw. dein WLAN-Modul deaktivieren.

Sinnvoller als Cookies als böse zu erklären wäre seine Software auf einem aktuellen Stand zu halten.

Re(12): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 12:35:57 GMT

Es ist nicht per se unsicher, wirds nur dann, wenn der Maschinencode
andere Benutzerrechte bekommt und wild herumspringen kann, weil deine
Sicherheitsmaßahmen von CPU, Betriebssystem und/oder deiner Applikation
ausgehebelt wurden, is ja der Sinn eines Exploits. Davon leben die Exploits,
dass sie ein Loch finden und es ausnutzen und es gibts viele Löcher.

Wie gesagt, Maschinencode kann man auf verschiedene Arten übergeben. Cookie ist nur eine von vielen Möglichkeiten. Willst du das verhinden, musst du deinen Netzwerkstecker ziehen bzw. dein WLAN-Modul deaktivieren.

Re(4): zwingendes HTTPS??

bigboss007 — Wed, 18 Jul 2012 12:35:18 GMT

Vor ca. 14:00 heute wurde aber beim Login auf https://forum.geizhals.at   über
https://forum.geizhals.de   weitergeleitet (um Cookies zu setzen). Das ist
jetzt nicht mehr der Fall.

korrekt - behoben, danke!

http://forum.geizhals.de

eine kleine => aber nur eben weil das cert auf geizhals.at ausgestellt ist und nicht auf den .de link

Re(13): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:32:52 GMT
Ich bin nicht meine Ausbildung oder mein Job, nur sollte das betonen, dass ich Ahnung habe, wie sonst hät ich das machen sollen, ausser einen Aufsatz schreiben.

Re(13): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:32:52 GMT
Ich bin nicht meine Ausbildung oder mein Job, nur sollte das betonen, dass ich Ahnung habe, wie sonst hät ich das machen sollen, ausser einen Aufsatz schreiben. Und es wurde explizit nach meinem Können gefragt.

Re(11): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:30:04 GMT
Es ist nicht per se unsicher, wirds nur dann, wenn der Maschinencode andere Benutzerrechte bekommt und wild herumspringen kann, weil deine Sicherheitsmaßahmen von CPU, Betriebssystem und/oder deiner Applikation ausgehebelt wurden, is ja der Sinn eines Exploits. Davon leben die Exploits, dass sie ein Loch finden und es ausnutzen und es gibts viele Löcher.

Re(3): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 12:29:04 GMT
Ist das noch immer so?

Bei http://forum.geizhals.de  gibt es wohl keine cert-Warnung und auf https://forum.geizhals.at  kommt man nur wenn man auf "mit SSL" klickt.

Vor ca. 14:00 heute wurde aber beim Login auf https://forum.geizhals.at  über https://forum.geizhals.de  weitergeleitet (um Cookies zu setzen). Das ist jetzt nicht mehr der Fall.

Re(3): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 12:29:04 GMT
Ist das noch immer so?

Bei http://forum.geizhals.de  gibt es wohl keine cert-Warnung und auf https://forum.geizhals.at  kommt man nur wenn man auf "mit SSL" klickt.

Vor ca. 14:00 heute wurde aber beim Login auf https://forum.geizhals.at  über https://forum.geizhals.de  weitergeleitet (um Cookies zu setzen). Das ist jetzt nicht mehr der Fall.

Edit: gerade mit Chrome auf OSX getestet, jetzt gibt es keine Warnungen (außer der bescheuerten Chrome-Frage, ob die Seite, die angeblich auf Englisch ist, übersetzt werden soll ...)

Re(12): zwingendes HTTPS??

bigboss007 — Wed, 18 Jul 2012 12:27:06 GMT

Nachrichtentechniker/Informatik und tech. Physikstudent mit dir

und jetzt bist du was besseres weil du das so schön betont hast oder wie?

Re(2): zwingendes HTTPS??

bigboss007 — Wed, 18 Jul 2012 12:25:37 GMT

Wo?

im chrome - beim logout - redirect auf die HTTPS seite und dann blank seite mit dem logout.jsp

teilweise ist mir auch aufgefallen dass die links im https dann auf forum.geizhals.DE verweisen und dort gibts die cert-warnung

Re(10): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 12:19:24 GMT

http://de.wikipedia.org/wiki/HTTP-Cookie#Gefahren  ist  mal das erste

Dieses Problem hast du aber bei jeder (dauerhaften) Authentifizierungsmethode. Hier ist nicht das Cookie das Problem, sondern dessen Anwendung.

da kann alles drinstehen, also auch Maschinencode, Programmaufrufe (wird bei PDF-Exploits oft gemacht) and so on.

Und? Solange der Server bzw. die Applikation nicht so dumm ist und diesen Code ausführt, ist alles gut. Maschinencode kannst du übrigens auch per ganz normalen GET- und POST-Request übergeben. Ist das also auch per se unsicher und nicht zu verwenden?

Re(10): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 12:19:24 GMT

http://de.wikipedia.org/wiki/HTTP-Cookie#Gefahren  ist  mal das erste

Dieses Problem hast du aber bei jeder (dauerhaften) Authentifizierungsmethode. Hier ist nicht das Cookie das Problem, sondern dessen Anwendung.

da kann alles drinstehen, also auch Maschinencode, Programmaufrufe (wird bei PDF-Exploits oft gemacht) and so on.

Und? Solange der Server bzw. die Applikation nicht so dumm ist und diesen Code ausführt, ist alles gut. Maschinencode kannst du übrigens auch per ganz normalen GET- und POST-Request übergeben. Ist das also auch per se unsicher?

Re(7): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:19:08 GMT
Geizhals hab ich natürlich in den Ausnahmen.

Re(6): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 12:16:53 GMT
Ohne Cookies kannst du hier aber kaum posten, zumindest ein Session-Cookie wird benötigt...

Re(13): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:14:22 GMT
Wie? Und natürlich hab ich nicht deutsche sondern deutschsprachige Zeitungen gemeint.

Re(9): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:12:32 GMT
http://de.wikipedia.org/wiki/HTTP-Cookie#Gefahren  ist mal das erste, das zweite ist das es noch immer keine Zugriffsberechtigung auf Cookies gibt, und natürlich, mein Favorite, da kann alles drinstehen, also auch Maschinencode, Programmaufrufe (wird bei PDF-Exploits oft gemacht) and so on.

Re(12): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 12:10:42 GMT

Ja kann ich, es spricht ein Nachrichtentechniker/Informatik und tech. Physikstudent mit dir, hab von der Materie ziemlich viel Ahnung.

Traurig, traurig. Du hast eben das Gegenteil bewiesen. So von Nachrichtentechniker/Informatiker zu Nachrichtentechniker/Informatiker.

Re(11): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:09:48 GMT
Ja kann ich, es spricht ein Nachrichtentechniker/Informatik und tech. Physikstudent mit dir, hab von der Materie ziemlich viel Ahnung. Und wer deutsche Technikzeitungen liest, ausser vielleicht die vom Heiseverlag, ist sowieso verloren. Lustige Bilder transportieren Nachrichten am besten ohne Trolle aufzuwecken

Re(8): zwingendes HTTPS??

hellbringer — Wed, 18 Jul 2012 12:09:38 GMT

Cookies sind per se eine Sicherheitslücke, die du aufmachst, wenn du sie zulässt.

Wie lautet die technische Begründung?

Re(10): zwingendes HTTPS??

Justin B. — Wed, 18 Jul 2012 12:06:05 GMT
kannst du noch was anderes ausser die computerbild nachplappern und lustige bilder posten?

Re(9): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:05:29 GMT

Re(8): zwingendes HTTPS??

Justin B. — Wed, 18 Jul 2012 12:03:37 GMT
lol schwachsinn.

Re(7): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 12:02:44 GMT
Cookies sind per se eine Sicherheitslücke, die du aufmachst, wenn du sie zulässt.

Re(6): zwingendes HTTPS??

Justin B. — Wed, 18 Jul 2012 11:41:15 GMT
hä? was haben cookies mit den sicherheitslücken des IE zu tun?

Re(5): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 11:39:49 GMT
Cookies gibts bei meine Firefox nicht, sonst könnt ich gleich den Internet Explorer nehmen ^^

Re(4): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 11:34:08 GMT
Wenn man ein permanentes Login will, müssen Cookies gesetzt werden - diese werden dann für forum.geizhals.at und forum.geizhals.de gesetzt (daher ein Redirect zwischendurch).

Es sollte aber nicht https://forum.geizhals.de  genommen werden (das müssen wir wohl noch ändern).

Re(3): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 11:31:53 GMT
habe gerade ein Problem mit Firefox gehabt, dass das Sicherheitzertifikat nicht überprüft werden kann, auf die Adressleiste und im Report geschaut, gab irgendwie ein redirect auf geizhals.de, hab ne Ausnahme gemacht, und bin dann wieder auf geizhals.at gelandet, sehr komisch das ^^
Login über forum.geizhals.at -> auf de gekommen -> dann wieder auf at, alles https

Re(3): zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 11:31:53 GMT
habe gerade ein Problem mit Firefox gehabt, dass das Sicherheitzertifikat nicht überprüft werden kann, auf die Adressleiste und im Report geschaut, gab irgendwie ein redirect auf geizhals.de, hab ne Ausnahme gemacht, und bin dann wieder auf geizhals.at gelandet, sehr komisch das ^^

Re(2): zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 11:26:21 GMT
Wo ist ein redirect?

Re: zwingendes HTTPS??

Sysiphus1981 — Wed, 18 Jul 2012 11:21:37 GMT
Der Redirect führt auf die de seite, is sicher ein Fehler. HTTPS ist immer immer gut, nur zuhause mehr oder weniger egal.

Re: zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 11:15:14 GMT
Nein, gibt's nicht ... Wo?

(und eine cert-Warnung für https://forum.geizhals.at  sollte es auch nicht geben)

Re: zwingendes HTTPS??

mjy@geizhals.at — Wed, 18 Jul 2012 11:15:14 GMT
Nein, gibt's nicht ... Wo?

zwingendes HTTPS??

bigboss007 — Wed, 18 Jul 2012 11:01:14 GMT
Kurze Frage. Gibts jetzt ein Zwingendes Redirect auf HTTPS?

Warum,Wieso? ich persönlich finds nervig und sinnlos forumspostings zu verschlüsseln und noch dazu wenn immer ne cert-warnung kommt...

kann man das redirect irgendwie abstellen?