Ich habe mal eine Anmerkung bezüglich dem Login mit Benutzername und Passwort auf Wikipedia.
Mir ist eben gerade aufgefallen, dass der Login anscheinend ja "nur" über HTTP läuft. Ich denke, dass man dort vielleicht lieber HTTPS nutzen sollte, um zu vermeiden, dass Benutzername und Passwort eventuell mitgelesen werden.
Hier ist es mir aufgefallen: http://de.wikipedia.org/wiki/Spezial:Anmelden
Vielleicht liege ich mit meiner Meinung ja auch falsch, aber ich denke schon, dass man durch die Benutzung von HTTPS den Missbrauch von Anmeldedaten verhindern könnte. Ich weiß ja nicht, wie viele solcher Fälle bereits aufgetreten sind; schaden kann eine sichere Anmeldung auf jeden Fall nicht. Und nicht umsonst läuft der Login bei zum Beispiel Email-Diensten ja auch über HTTPS.
So, ihr könnt ja mal eure Meinung dazu abgeben, wie gesagt, es ist mir nur mal so aufgefallen.
2008/4/9 Tim Engemann tim.engemann@gmx.de:
Mir ist eben gerade aufgefallen, dass der Login anscheinend ja "nur" über HTTP läuft. Ich denke, dass man dort vielleicht lieber HTTPS nutzen sollte, um zu vermeiden, dass Benutzername und Passwort eventuell mitgelesen werden.
Ein secure gateway gibt hier:
https://secure.wikimedia.org/wikipedia/de/wiki/Spezial:Anmelden
Grüsse, Michael
2008/4/9, Michael Bimmler mbimmler@gmail.com:
2008/4/9 Tim Engemann tim.engemann@gmx.de:
Mir ist eben gerade aufgefallen, dass der Login anscheinend ja "nur" über HTTP läuft. Ich denke, dass man dort vielleicht lieber HTTPS nutzen sollte, um zu vermeiden, dass Benutzername und Passwort eventuell mitgelesen werden.
Ein secure gateway gibt hier: https://secure.wikimedia.org/wikipedia/de/wiki/Spezial:Anmelden
IMHO sollte das per default so sein. Die meisten User (mich eingeschlossen) kennen das HTTPS-Login nicht.
Es scheint eine CMS-Operator Krankheit zu sein, Passwört mit dem unverschlüsselten HTTP Protokoll zu übertragen. UNIX Sys Admins setzten schliesslich auch kein Telnet mehr ein :-)
beste Grüsse Simon
On Wed, Apr 9, 2008 at 3:01 PM, Simon Jolle urandomdev@gmail.com wrote:
Ein secure gateway gibt hier: https://secure.wikimedia.org/wikipedia/de/wiki/Spezial:Anmelden
IMHO sollte das per default so sein. Die meisten User (mich eingeschlossen) kennen das HTTPS-Login nicht.
Bei enwp wird darauf aufmerksam gemacht (http://en.wikipedia.org/wiki/Special:UserLogin) unter dem Login-Formular, bei dewp fehlt ein solcher Hinweis (oder dann ist er so klein, dass ich ihn überlese, was nicht Sinn der Sache sein kann).
So etwas wäre wohl mal ein Fortschritt, ob das als Default kommen wird, weiss ich nicht (ich glaube, momenten läuft der https-dienst nur auf Nebenservern (yf1015 soweit ich sehe von den yahoo-servern, früher mal goeje, aber der ist afaik ausser Rotation und jetzt wohl Bart)
Möglicherweise ist das aber alles immer noch im "Beta-Stadium", da müsste man mal auf wikitech-l anfragen.
Grüsse, Michael
Michael Bimmler schrieb:
2008/4/9 Tim Engemann tim.engemann@gmx.de:
Mir ist eben gerade aufgefallen, dass der Login anscheinend ja "nur" über HTTP läuft. Ich denke, dass man dort vielleicht lieber HTTPS nutzen sollte, um zu vermeiden, dass Benutzername und Passwort eventuell mitgelesen werden.
Ein secure gateway gibt hier:
https://secure.wikimedia.org/wikipedia/de/wiki/Spezial:Anmelden
Grüsse, Michael
WikiDE-l mailing list WikiDE-l@lists.wikimedia.org https://lists.wikimedia.org/mailman/listinfo/wikide-l
Ok, ich hatte nur mal versucht den Link auf der "normalen" Anmeldeseite in https zu ändern....
DaB. schrieb:
HTTPS braucht zwischen 3 und 10 Mal soviel Rechenzeit wie HTTP; daher verwenden wir nur HTTP, ganz einfach, weil wir sonst ein paar Mal soviele Rechner bräuchten. HTTPS nur bei der Anmeldung ist auch Blödsinn, weil das Cookie bei jeder Anfrage mitgesendet wird und du mit einem abgefangenden Cookie genauso viel Unheil in der WP anrichten kannst, wie mit dem Passwort.
Und, ja, das mit der Rechenzeit stimmt auch, da hast du schon recht. Und, das mit dem Cookie, ja das ist wohl auch so.
Naja, war ja nur ne Idee, bzw. ist mir aufgefallen.
Tschüss
Hallo, Am Mittwoch 09 April 2008 14:25:50 schrieb Tim Engemann:
Mir ist eben gerade aufgefallen, dass der Login anscheinend ja "nur" über HTTP läuft. Ich denke, dass man dort vielleicht lieber HTTPS nutzen sollte, um zu vermeiden, dass Benutzername und Passwort eventuell mitgelesen werden.
HTTPS braucht zwischen 3 und 10 Mal soviel Rechenzeit wie HTTP; daher verwenden wir nur HTTP, ganz einfach, weil wir sonst ein paar Mal soviele Rechner bräuchten. HTTPS nur bei der Anmeldung ist auch Blödsinn, weil das Cookie bei jeder Anfrage mitgesendet wird und du mit einem abgefangenden Cookie genauso viel Unheil in der WP anrichten kannst, wie mit dem Passwort.
Mit freundlichen Grüßen DaB.
"DaB." schrieb:
HTTPS braucht zwischen 3 und 10 Mal soviel Rechenzeit wie HTTP; daher verwenden wir nur HTTP, ganz einfach, weil wir sonst ein paar Mal soviele Rechner bräuchten. HTTPS nur bei der Anmeldung ist auch Blödsinn, weil das Cookie bei jeder Anfrage mitgesendet wird und du mit einem abgefangenden Cookie genauso viel Unheil in der WP anrichten kannst, wie mit dem Passwort.
Wenn das Passwort nicht im Cookie enthalten ist und das Cookie nur eine begrenzte Zeit gültig ist (und vor allem, wenn es beim Abmelden automatisch ungültig wird), kann man mit abgefangenen Cookies schon mal deutlich seltener Unsinn machen als mit einem mitgelesenen Passwort; und man hat noch eine realistische Chance darauf, dass beim Unheilanrichten der Accountbesitzer es auf der Stelle mitbekommt.
Hallo, Am Mittwoch 09 April 2008 20:47:38 schrieb Stefan Knauf:
Wenn das Passwort nicht im Cookie enthalten ist und das Cookie nur eine begrenzte Zeit gültig ist
das Cookie beinhaltet einen Identifikationsstring. Mit dem kannst du innerhalb der WP (fast) alles machen, wie mit dem Passwort an sich.
Es bringt also nix, das Passwort zu schützen, das Cookie aber nicht.
Mit freundlichen Grüßen DaB.
"DaB." schrieb:
Am Mittwoch 09 April 2008 20:47:38 schrieb Stefan Knauf:
Wenn das Passwort nicht im Cookie enthalten ist und das Cookie nur eine begrenzte Zeit gültig ist
das Cookie beinhaltet einen Identifikationsstring. Mit dem kannst du innerhalb der WP (fast) alles machen, wie mit dem Passwort an sich.
Heißt das, dass der Identifikationsstring ewig gültig ist?