Bugliste / To-Do

[TheChip]

Gegebenenfalls gibts da was kostenfreies bei https://letsencrypt.org/. Allerdings muss das dann regelmäßig erneuert werden.

[JR__]

Guten Morgen.

Habe nun einiges getestet - und Anleitungen zusammengesammelt, zum Thema SSL Verschlüsselung. Diese Seite bringt die Umstellung nun gut auf den Punkt. Soweit für mich alles einfach - Schritt für Schritt - nach zu vollziehen:

phpBB richtig auf HTTPS umstellen

Nun kommt das Problem:
Klar, brauchen wir ein SSL Zertifikat. Die Zertifikate haben eine Gültigkeitsbegrenzung. Bei den meisten 365 Tage. Leider kann man bei unserem Hoster hosteurope.de nicht einfach ein SSL Zertifikat nach eigener Wahl einbauen. Der Hoster möchte am liebsten seine Zertifikat verkaufen - für gut 36€ im Jahr. Bei den neuen / aktuellen Webhosting Angeboten sind SSL Zertifikate inklusive. Dafür kostet ein vergleichbares Paket auch ordentlich.

Wie schon von Thechip vorgeschlagen, gibt/gab es eine Lösung z.B. ein kostenloses Zertifikat von Let's Encrypt über die Administrierkonsole beim Webhoster einzubinden. Hier gibt es wieder das Problem mit den Logindaten - die liegen zurecht bei Pangi (Andrea). Sie bezahlt derzeit auch diesen ganzen Spaß. Vielen Dank dafür

Allerdings scheinen die Tage gezählt, um bei diesem Webhoster noch kostenlos SSL Zertifikate einbinden zu können. Ich habe einen Blog gefunden, der sehr aktuell von einer Änderung bei hosteurope.de berichtet:

Host Europe – SSL-Zertifikate von Let’s Encrypt einrichten

Kurz zitiert: "Allerdings werden auch die 1-Domäne-Zetifikate nicht mehr bei Hosteurope akzeptiert"

Also haben wir an dem Punkt nun eine sehr grundsätzliche Frage zu klären:
Wir könnten uns als kleine Gruppe zusammenschließen, und Pangi aus den Pflichten entlassen und gleich dabei neben Kosten für Domain, Datenbank und Webserver auch aufstocken um ein kostenpflichtiges SSL Zertifikat. Oder wechseln auf ein aktuelles Komplettangebot inkl. SSL Verschlüsselung.

Die Frage ist nur: Wer ist bereit sich selber intensiv für das Forum einzubringen?

Ich mache ja gern den Admin, Moderator und den Tekki. Aber zusätzlich noch das finanzielle und vertragliche machen - und dahinter steht auch ein gewisses rechtliches Risiko wie Urheberverletzungen und Abmahnungen - bin ich nicht bereit. Außerdem brauchen wir ein gemeinsames regelmässiges Budget. Wie in anderen Foren müssten wir jährlich Spendenaufrufe starten - oder jemand (nicht ich) verkauft sein Cabrio und bezahlt davon die nächsten 20 Jahre ACF

Was meint Ihr? Ohne SSL weitermachen? Oder die Organisation des ACF komplett umstellen?

Ich habe in der Datenbank mal nachgeschaut: Wir haben gerade mal 95 vollregistrierte User die in den letzten 12 Monaten gepostet haben. Ob sich dafür der Auswand lohnt

Gruß Jürgen

[TheChip]

Über welche Kosten reden wir denn? Ich selber wäre durchaus bereit, etwas mehr Verantwortung zu übernehmen (war selber längere Zeit Moderator in nem Forum für Set-Boxen/Software). Ich selber kann zwar keine Unterstützung für die F und G-Cabs geben, dafür aber hab ich noch etwas Wissen über den Twinnie, hatte ja jahrelang selber einen. Und natürlich aktuell über meinen geliebten Cassi.

Das hält mich natürlich nicht davon ab, mich hier einzubringen.

[Osirus]

Ich komme hier auch ohne SSL rein, ist mir Wurst.
Verstehe den ganzen Blödsinn mit ssl für alles sowieso nicht, ist bei sowas wie nem Forum total unnütz.

[Der Sash!]

Grundsätzlich hab ich kein Problem finanziell etwas beizusteuern. Wäre ja auch nicht das erste mal. Ich möchte mich nur ungern rechtlich an ein Forum oder sonstige IT Einrichtung binden wovon ich am Ende zu wenig Ahnung habe um in einem rechtlichen Schlagabtausch ohne anwaltliche Hilfe gegenzuhalten.

Ich brauche ehrlich gesagt auch kein SSL. Der Firefox zeigt mir zwar ein durchgestrichenes Schloss, was mir aber völlig egal ist.

Gruß, Sascha

[JR__]

Hi.

Nur damit sich nachher keiner beschwert: SSL verschlüsselt halt die Kommunikation vom PC zum Server. Was wir hier austauschen ist eigentlich unkritisch - nicht wegen Behörden, eher was Hacker und Betrüger angeht. Fotos sind eh für jeden sichtbar - soweit ist es in jeden eigenen Interesse zu entscheiden, ob das Kennzeichen oder das eigene Gesicht sichtbar ist.

Bei einen Angriff (betrifft auch bei Verschlüsselung) können alle Daten kopiert werden - daher ist es auch zu empfehlen nicht alle Kanäle anzugeben, wie man erreicht werden kann. Außer diese Schnittstellen sind eh für die Öffentlichkeit gedacht. Auch habe ich mein Geburtsdatum nicht eingetragen - das ist mit Namen und Adresse schon eine recht "gefährliche" Datenmenge, mit der man bei einer Person schon ordentlich Schaden anrichten kann.

Die einzigen wirklich interessanten und immer vorhandenen Daten für den Angreifer sind unsere eMail Adressen, mit dem unser User registriert wurde, und das Passwort. Das Passwort ist verschlüsselt oder Hashwert.

Daraus ergeben sich von mir ein paar Verhaltenstipps, wo wir auch prima ohne SSL Verschlüsselung hinkommen:

1. Das ACF Passwort nicht für andere Dienste verwenden! Theoretisch kann man sich auch mit dem Passwort Hashwert einloggen. Damit könnte ein Angreifer mit der eMail/PasswortHashwert Kombination auf anderen Seiten versuchen sich unberechtigt Zugriff zu verschaffen

2. Wenn Ihr Adresse und andere sensible Daten per PN austauscht: Löscht die PNs, wenn die Daten nicht mehr benötigt werden. Was nicht da ist, kann auch nicht missbraucht werden.

3. Skeptisch sein! Abgesehen von durch Euch veranlasste Schritte im Zusammenhang mit der Registrierung, versenden wir keine Mails im Namen vom ACF Forum. Daher bitte in solchen Mails keine Links anklicken.

4. Und der worst case: Sollte das Forum ge-hijackt sein, dann wird es hier eh anders aussehen. Klar, das keiner Euch auffordert sensible Daten herauszurücken oder Geld zu überweisen usw. In dem Fall werde ich schnellstmöglich den "Stecker ziehen" und zuerst für neue Passwörter auf den Servern sorgen bevor ich mit einem Backup das ACF wiederbelebe. Dann wird es auch einen Hinweis auf die Hintergründe geben. Auch werde ich alle User sperren, und auffordern sich ein neues Passwort zu geben...

Ist das für Euch ok?

Daher meine Empfehlung: Wir lassen alles weiterlaufen, wie bisher.

@TheChip: Danke für Dein Angebot. Sollte es Gründe geben, die einen weiteren Admin erfordern, werden wir uns melden. Es ist nichts persönliches - aber wie geschrieben: Wir haben in 12 Monaten gerade mal 95 aktive Volluser. Ich bin irgendwie immer Online - da glaube ich hat Der Sash! schon Langeweile beim Moderieren, weil ich ihm die gefühlten 5 Tasks pro Woche schon längst alle vor der Nase gegriffen habe

Was uns fehlte, war der Zugang zu den Servern - oder jemanden, der die Software aktualisieren kann. Das wurde mir nun gegeben. Somit sind wir meiner Meinung gut aufgestellt: 95 User, 2 Admins, 1 Tekki für den "Maschinenraum" - und eine leider total außen stehende "Gönnerin"

Gruß Jürgen

[TheChip]

Keine Angst, ich nehm das nicht persönlich. War einfach nur ein Angebot.

[peterpan76]

Hi.

Nur damit sich nachher keiner beschwert: SSL verschlüsselt halt die Kommunikation vom PC zum Server. Was wir hier austauschen ist eigentlich unkritisch - nicht wegen Behörden, eher was Hacker und Betrüger angeht. Fotos sind eh für jeden sichtbar - soweit ist es in jeden eigenen Interesse zu entscheiden, ob das Kennzeichen oder das eigene Gesicht sichtbar ist.

..... Vollzitat gekürzt (durch JR__) .....

Was uns fehlte, war der Zugang zu den Servern - oder jemanden, der die Software aktualisieren kann. Das wurde mir nun gegeben. Somit sind wir meiner Meinung gut aufgestellt: 95 User, 2 Admins, 1 Tekki für den "Maschinenraum" - und eine leider total außen stehende "Gönnerin"

Gruß Jürgen

Hallo Jürgen,
bin Deiner Meinung.
Für 95 User sind wird ausreichend gut aufgestellt. Kann m.M.n. ohne SSL weitergehen.

Gruß, Peter

[Osirus]

Vielleicht macht es sinn im Dialog für die Neuregistrierung einen Hinweis darauf einzubauen, auch dass es so gewollt ist.

[virtuellerfreund]

@ JR__

Jürgen, habe mehrfach versucht Dich mittels PN anzuschreiben.
Bezüglich Deiner Dachsteuerung habe ich Informationen, anscheinend kommen die Nachrichten nicht durch.
Schau mal bitte nach.

BG
Andreas