Allmy über https

Warum hat Allmystery eigentlich keinen https-Zugang? Im Zuge des Datenschutzes und der Erhaltung der Anonymität bzw. wenigstens eines sicheren Pseudonyms sollte diese Funktion gegeben sein.

Ich möchte speziell auf ein Szenario hinweisen. Es gibt eine Allmy Android App. Die Verwendung von mobilen Geräten und damit auch der mobile Zugriff auf Allmy nimmt zu. Logt man sich nun in einem öffentlichen Hotspot ein und geht per App auf Allmy, dann kann jeder im WLAN sowohl die Anmeldedaten wie auch die geschriebenen Beiträge mitschneiden und wohl auch einer bestimmten Person zuordnen.

Da ijn Allm y häufig auch Details des Lebens behandelt werden, bei denen man lieber keine bekannte Zuordnung zur Person haben möchte (Drogen, persönliche Notsituation, Herzensangelegenheiten) sollte wenisgtens eine Absicherung der Verbindung durch https möglich sein.

Es muss ja nicht ein teures, gekauftes (grünes Banner-)Zertifkat sein. Ein selbstsigniertes tuts auch, solange der Fingerprint auf der Allmy-Startseite mit veröffentlicht wird.

Die Apps kommunizieren aus diesem Grund alle schon über HTTPS.

Im Web gibt es allerdings ein simples Problem, auch wenn es doof klingt. Die Werbeanzeigen (Google Adsense) sind leider noch nicht über HTTPS verfügbar und Allmystery finanziert sich durch diese Werbung. Wenn wir die Seite auf HTTPS umstellen würden, können die Anzeigen nicht mehr geladen werden, bzw. würde eine Warnung im Browser angezeigt werden.

Der Login findet übrigens auch im Web schon über HTTPS statt, sodass zumindest die Passwörter nicht abgehört werden können. In Zukunft kann eventuell der PN-Verkehr auf HTTPS umgestellt werden.

http://www.allmystery.de/blogs/dns/verschluesselter_login

dns schrieb:bzw. würde eine Warnung im Browser angezeigt werden.

es würde eine Meldung erscheinen dass ein Teil der Webseite über eine unsichere Verbindung geladen wird (je nach Browser und Einsztellungen). Diese Warnung erscheint einmal und kann dann für die Allmy Domäne quittiert werden.

Scheint mir nicht so tragisch. Wer https-Everywhere einsetzt kennt das zu genüge.

dns schrieb:Die Apps kommunizieren aus diesem Grund alle schon über HTTPS.

Das ist schon mal positiv und betrifft wohl das gefährlichste Szenario.

Das nächste Szenario wäre eines, das auch viele kennen. Nämlich das man heimlich im Firmennetz zu Allmy sürft und der nette Admin von Tisch nebenan seinen Wireshark packetsniffer am laufen hat. Der nette Admin dürfte das zwar auch nicht (jedenfalls nicht zum privaten Vergnügen), aber wer will schon sicher sein dass nicht zufällig gerade ein Netzzwerkproblem zu lösen ist dass den Einsatz eines Packetsniffers erfordert. Jedenfalls ist mir genau das vor kurzem passiert. Habe eigentlich nach den Verbindungsproblemen einer (Fernseher) Skype-Box gesnifft und dabei gingen mir http-Pakete von einem Forum in den log.

Ich denke nichtmal https macht uns sicherer, nur dass Scriptkiddis schwerer uns nicht abhören können - wenn wir was Systemkrtisisches sagen, finden die Politiker es heraus

Letztens wurde doch eine ältere Dame von 2 CDU Politikern abgemahnt, weil sie sich in einem Leserbrief über deren Leistungen beschwert hatte. Oder bestimmt sind wir schon dank diverser Posts auf der "Beobachtungsliste"

@RobbyRobbe
Was hat https mit dem Inhalt diverser posts zu tun? Die sind öffentlich einsehbar.

@Fennek
Abfangen der Daten und identifizierung der Person hinter dem Pseudonym.

@RobbyRobbe

Das wäre auch mit HTTPS noch möglich, man kann sehen zu welchem Zeitpunkt du einen Request machst und zu welchem Zeitpunkt der Beitrag eingestellt wurde. Wenn das zur gleichen Sekunde war, ist der Beitrag höchstwahrscheinlich von dir.

@dns
Ah danke :)

@UffTaTa

Man kann nun schon mal testweise, nur wenn man eingeloggt ist, über HTTPS auf Allmy surfen. Wenn es irgendwo Probleme gibt, sag bescheid.

https://www.allmystery.de

@dns


Danke, schön das du das gemacht hast.

Gibst du den Link zu Allmy an den Macher von https-Everywhere weiter oder soll ich das machen?

oder ist dir das, wegen den Werbeeinnahmen, eher nicht so Recht. Würde ich verstehen und wer meint eh kein https zu brauchen .......

Ich warte damit noch, da Allmystery aktuell nur für Mitglieder mit HTTPS funktioniert, ich teste nach noch einiges rum in den nächsten Wochen.