Das mit dem unverschlüsselten Cookie ist ein guter Hinweis, und in der Tat sollte dieser nicht das Passwort im Klartext enthalten.
Vielleicht sollte man hier auch das Prinzip von Heise erwähnen, nach eine verschlüsselten Login den weiteren unverschlüsselten Verkehr nur an eine IP-Adresse zu senden. Das könnte bei den großen Übertragungen von OTR viel Prozessorleistung einsparen.
Unter anderem wird bei jedem Seitenaufruf übertragen:
- Emailadresse im Klartext
- OTRID im Klartext
- Passwort gehasht (und höchstwahrscheinlich auch gesalzen)
Mit diesen Daten kann ein Angreifer einen Account problemlos nutzen und die einzige Möglichkeit dies zu ändern wäre alle Seiten SSL zu verschlüsseln.
Dies wäre optional zumindest schon möglich, wenn der https-login auch die Logindaten nach https posten würde, aber um alle User zu schützen müsste die Seite auf http komplett abgestellt werden und dafür würde die Rechenleistung der aktuellen Server die jetzt ja schon manchmal in die Knie gehn wahrscheinlich nicht ausreichen, aber das kann nur ein Admin beantworten..
Ich wäre dafür, dass man die https-Seite repariert und es wahlweise macht. Also normal gehen alle über die normale Seite, aber diejenigen, die den dringenden Bedarf verspüren, weil sie z.B. gerade im Krankenhaus sind und dort nur das WLAN nutzen können, können auch https nutzen. Irgendwo dann vielleicht noch der Hinweis, dass dies möglich ist.
Moin,Zitat von Cineatic
Das Problem dürften hier auch die Kosten für ein Sicherheitszertifikat sein. Denn die belaufen sich im Jahr auf mehrere hundert Euro. Wenn man es von einem vertrauenswürdigen Institut kauft, was man ja nun machen sollte.
Und was würde dies bedeuten?
das stimmt so nicht ganz. Ich kann SSL Zertifikate von vertrauenswürdigen Ausstellern wie z.B. Thawte über unsere Firma (Provider ;-) ab 59 EUR/Jahr inkl. MwST. anbieten. Wildcard Zertifikate oder spezielle wie z.B. EV Zertifikate bewegen sich natürlich im XXX Bereich. Bei Interesse kann OTR gerne auf mich zukommen um das passende Zertifikat zu einem günstigen Preis zu finden und zu beraten. In diesem Fall bitte kurze PM an mich.
Als Hinweis, selbst ausgestellte und/oder kostenlos generierte Zertifikate bereiten evtl. Probleme mit der Vertrauenswürdigkeit sowie mit der Browserkompatibilität.
Viele Grüße
Dude
Das existierende Zertifikat sieht doch gut aus, abgesehen davon, das es in 18 Tagen abläuft!
http://www.ssltest.net/onlinetvrecorder.com
Jetzt sieht es so aus, daß auch das Login über https gesichert ist, jedenfalls beschwert sich mein Browser nicht mehr.
Ja, der Login wird verschlüsselt übertragen(auf verschlüsselter und unverschlüsselter Login-Seite), danach wird man allerdings auf http umgeleitet, so dass der Cookie direkt unverschlüsselt übertragen wird.
Alternative: https://www.cacert.org/
Berechtigungen
