[quote="teufli"]
[quote="following"]
Warum ist das CAcert-Root-Zertifikat eigentlich immer noch nicht in den Browsern vorinstalliert? Geplant war das schon 2005 (http://www.heise.de/newsticker/meldung/Kostenlose-Zertifikate-bei-CAcert-org-143759.html), aber es stellte sich heraus, dass CAcert nicht die nötigen Mindeststandards an eine Zertifizierungsstelle erfüllt; siehe auch https://bugzilla.mozilla.org/show_bug.c ... 15243#c158 und http://www.heise.de/security/meldung/Downtime-und-Neuanfang-bei-CAcert-203475.html. Anscheinend war das Audit bis heute nicht erfolgreich. Wie soll man da den Usern glaubhaft erklären, dass das genauso sicher ist wie ein gekauftes Zertifikat?
[/quote]
[...]
Hier muss also noch viel für gearbeitet werden.
[/quote]
Das Bessere ist des Guten Feind. Wir sollten damit warten bis die Sache auf sicheren Füßen steht und bis dahin die bewährten Lösungen einsetzen.
Es haben sich ja Finanziers gefunden und falls noch Barmittel benötigt werden bin ich auch gerne bereit noch einen zweistelligen Eurobetrag beizusteuern.
Dem normalen Nutzer sind diese Sicherheitswarnungen nicht zu vermitteln. Genausowenig, das er sich von irgendwo ein RootCA herunterladen und selbst installieren muss. Dann können wir auch gleich ein selbstsigniertes Zertifikat verwenden.
Der, wenn auch oberflächliche Eindruck, bei der Masse der Nutzer wird der selbe sein -> Misstrauen.
Viele Grüße
Christian
Wann kommt https?
Hallo,
ich habe jetzt die Diskussion aufmerksam verfolgt und habe mir die Vor- und Nachteile genau angeschaut.
Ich bin (leider) auch zu der Meinung gekommen, dass wir hier aus "User Experience"-Sicht den "Windows"-Weg (ich weiß, dass das nichts mit Windoof zu tun hat, möchte nur ein vergleichbares Bildnis schaffen
gehen sollten, auch wenn dieser mit Kosten verbunden ist.
Auch wenn ich offene Projekte sehr schätze, so kann ich von keinem Geocacher erwarten, dass er sich mit dem Thema Zertifikat auseinadersetzt - auch wenn das eh zu wenige User machen, es ist nicht unsere Aufgabe bei OC zu missionieren.
Daher bin ich auch erstmal für die Variante "kostenpflichtig" und wenn sich dann in 2-3 Jahren etwas getan hat bzgl. CAcert und dieses in Browsern vorinstalliert ist, kann man den Schwenk immer noch durchführen.
In diesem Sinne möchte ich auf den Entschluss verweisen, dass wir uns ein notwendiges Zertifikat besorgen - Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren.
Ich werde auch nochmal was rüberschieben aufs Bankkonto und wenn sich sonst noch wer berufen fühlt das Ganze zu unterstützen - nur zu.
Lieben Gruß
Michael
ich habe jetzt die Diskussion aufmerksam verfolgt und habe mir die Vor- und Nachteile genau angeschaut.
Ich bin (leider) auch zu der Meinung gekommen, dass wir hier aus "User Experience"-Sicht den "Windows"-Weg (ich weiß, dass das nichts mit Windoof zu tun hat, möchte nur ein vergleichbares Bildnis schaffen
gehen sollten, auch wenn dieser mit Kosten verbunden ist.Auch wenn ich offene Projekte sehr schätze, so kann ich von keinem Geocacher erwarten, dass er sich mit dem Thema Zertifikat auseinadersetzt - auch wenn das eh zu wenige User machen, es ist nicht unsere Aufgabe bei OC zu missionieren.
Daher bin ich auch erstmal für die Variante "kostenpflichtig" und wenn sich dann in 2-3 Jahren etwas getan hat bzgl. CAcert und dieses in Browsern vorinstalliert ist, kann man den Schwenk immer noch durchführen.
In diesem Sinne möchte ich auf den Entschluss verweisen, dass wir uns ein notwendiges Zertifikat besorgen - Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren.
Ich werde auch nochmal was rüberschieben aufs Bankkonto und wenn sich sonst noch wer berufen fühlt das Ganze zu unterstützen - nur zu.
Lieben Gruß
Michael
Whenever I try to plan something, it doesn't seems to work out. So why plan, it only leads to disappointment! (Eddie van Halen)
[quote="4_Vs"]
... Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren ...
[/quote]
Mein Anteil fehlt übrigens noch
Edith: erledigt...
... Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren ...
[/quote]
Mein Anteil fehlt übrigens noch Edith: erledigt...
Zuletzt geändert von flopp am 04.06.2013, 15:44, insgesamt 1-mal geändert.
[url=http://www.flopp-caching.de/]Flopps Tolle Karte[/url] | [url=http://www.florian-pigorsch.de/oc]OC[/url] | [url=http://www.florian-pigorsch.de/gc]GC[/url] | [url=http://florian-pigorsch.de/+]G+[/url] | [url=http://florian-pigorsch.de/t]Tw[/url] | [url=http://florian-pigorsch.de/fb]Fb[/url]
[quote="4_Vs"]
... Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren ...
[/quote]
Super!
Ich habe heute auch noch einen kleinen Beitrag wie angekündigt angewiesen.
Viele Grüße
Christian
... Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren ...
[/quote]
Super!
Ich habe heute auch noch einen kleinen Beitrag wie angekündigt angewiesen.
Viele Grüße
Christian
Zuletzt geändert von cmanie am 04.06.2013, 15:17, insgesamt 1-mal geändert.
-
teufli
Hallo Michael,
[quote="4_Vs"]
ich habe jetzt die Diskussion aufmerksam verfolgt und habe mir die Vor- und Nachteile genau angeschaut.
Ich bin (leider) auch zu der Meinung gekommen, dass wir hier aus "User Experience"-Sicht den "Windows"-Weg (ich weiß, dass das nichts mit Windoof zu tun hat, möchte nur ein vergleichbares Bildnis schaffen gehen sollten, auch wenn dieser mit Kosten verbunden ist.
[/quote]
Ok, ich habe halt den Feature-Request "bitte SSL-Seite anbieten" vor Augen. Darin wird aus meiner Sicht nicht erwartet, dass Opencaching viel Geld investiert, vor allem nicht, wenn es kostenlos sicher geht. Jemand, der einen entsprechenden Feature-Request stellt, weiß aus meiner Sicht, dass Browser diese Warnmeldungen erzeugen können. Deshalb bin ich der Ansicht, dass die User, die gerne Sicherheit möchten, auch mit einem CAcert-Zertifikat glücklich. Für alle anderen ist es ein Zusatznutzen, den sie nutzen können, aber nicht müssen. Für diese User sollte es einen Hinweis geben, was man tun muss, damit keine Warnmeldung erscheint und sie OC sicher benutzen können.
Insofern sehe ich hier an dieser Stelle für eine Seite mit CAcert-Zertifikat überhaupt gar kein Problem, dazu ist weder Missionieren, sonst sonstige Überzeugungsarbeit erforderlich.
[quote="4_Vs"]
Daher bin ich auch erstmal für die Variante "kostenpflichtig" und wenn sich dann in 2-3 Jahren etwas getan hat bzgl. CAcert und dieses in Browsern vorinstalliert ist, kann man den Schwenk immer noch durchführen.
[/quote]
Ich hätte es umgekehrt gemacht: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" für eine Funktionalität entsteht, die vorher noch gar nicht da war, dann kann ich nachvollziehen, dass man ein Zertifikat kauft. Hat man erstmal überhaupt eine SSL-Seite aufgesetzt - das ist übrigens etwas, was mir bis heute fehlt, denn dafür ist weder ein gekauftes, noch ein CAcert-Zertifikat erforderlich - kann man sehr leicht entweder das eine oder das andere ausprobieren und installieren.
[quote="4_Vs"]
In diesem Sinne möchte ich auf den Entschluss verweisen, dass wir uns ein notwendiges Zertifikat besorgen - Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren.
[/quote]
Deshalb habe ich ja den Vorschlag gemacht, der meines Erachtens für die Aufgabenstellung genau richtig ist. Ich persönlich habe den Eindruck, dass eurerseits hier zuviel Ängste sind, für etwas, von dem ihr gar nicht wisst, wie es sich entwickelt. Macht euch vor Augen, dass die SSL-Seite bis jetzt überhaupt noch nicht existiert, jegliche SSL-Seite, selbst mit einem self-signed Zertifikat ist bereits ein Zugewinn an Sicherheit. Dann schreibt man kurz, das es mit einem CAcert-Zertifikat ganz toll ist, einzig als Empfehlung das CAcert-Root zu installieren und alles ist prima! Welches Risiko besteht dabei? Die User werden das aus meiner Sicht dankend annehmen!
Viele Grüße, Alexander.
[quote="4_Vs"]
ich habe jetzt die Diskussion aufmerksam verfolgt und habe mir die Vor- und Nachteile genau angeschaut.
Ich bin (leider) auch zu der Meinung gekommen, dass wir hier aus "User Experience"-Sicht den "Windows"-Weg (ich weiß, dass das nichts mit Windoof zu tun hat, möchte nur ein vergleichbares Bildnis schaffen
gehen sollten, auch wenn dieser mit Kosten verbunden ist.[/quote]
Ok, ich habe halt den Feature-Request "bitte SSL-Seite anbieten" vor Augen. Darin wird aus meiner Sicht nicht erwartet, dass Opencaching viel Geld investiert, vor allem nicht, wenn es kostenlos sicher geht. Jemand, der einen entsprechenden Feature-Request stellt, weiß aus meiner Sicht, dass Browser diese Warnmeldungen erzeugen können. Deshalb bin ich der Ansicht, dass die User, die gerne Sicherheit möchten, auch mit einem CAcert-Zertifikat glücklich. Für alle anderen ist es ein Zusatznutzen, den sie nutzen können, aber nicht müssen. Für diese User sollte es einen Hinweis geben, was man tun muss, damit keine Warnmeldung erscheint und sie OC sicher benutzen können.
Insofern sehe ich hier an dieser Stelle für eine Seite mit CAcert-Zertifikat überhaupt gar kein Problem, dazu ist weder Missionieren, sonst sonstige Überzeugungsarbeit erforderlich.
[quote="4_Vs"]
Daher bin ich auch erstmal für die Variante "kostenpflichtig" und wenn sich dann in 2-3 Jahren etwas getan hat bzgl. CAcert und dieses in Browsern vorinstalliert ist, kann man den Schwenk immer noch durchführen.
[/quote]
Ich hätte es umgekehrt gemacht: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" für eine Funktionalität entsteht, die vorher noch gar nicht da war, dann kann ich nachvollziehen, dass man ein Zertifikat kauft. Hat man erstmal überhaupt eine SSL-Seite aufgesetzt - das ist übrigens etwas, was mir bis heute fehlt, denn dafür ist weder ein gekauftes, noch ein CAcert-Zertifikat erforderlich - kann man sehr leicht entweder das eine oder das andere ausprobieren und installieren.
[quote="4_Vs"]
In diesem Sinne möchte ich auf den Entschluss verweisen, dass wir uns ein notwendiges Zertifikat besorgen - Spenden/Beiträge dazu haben wir bereits erhalten, die mehr als die Hälfte davon finanzieren.
[/quote]
Deshalb habe ich ja den Vorschlag gemacht, der meines Erachtens für die Aufgabenstellung genau richtig ist. Ich persönlich habe den Eindruck, dass eurerseits hier zuviel Ängste sind, für etwas, von dem ihr gar nicht wisst, wie es sich entwickelt. Macht euch vor Augen, dass die SSL-Seite bis jetzt überhaupt noch nicht existiert, jegliche SSL-Seite, selbst mit einem self-signed Zertifikat ist bereits ein Zugewinn an Sicherheit. Dann schreibt man kurz, das es mit einem CAcert-Zertifikat ganz toll ist, einzig als Empfehlung das CAcert-Root zu installieren und alles ist prima! Welches Risiko besteht dabei? Die User werden das aus meiner Sicht dankend annehmen!
Viele Grüße, Alexander.
[quote="teufli"]
Ok, ich habe halt den Feature-Request "bitte SSL-Seite anbieten" vor Augen. Darin wird aus meiner Sicht nicht erwartet, dass Opencaching viel Geld investiert, vor allem nicht, wenn es kostenlos sicher geht.
[/quote]
Mit Erwartungen ist das so eine Sache. In der Regel wird erwartet dass das Portal funktioniert. Ob da was investiert werden muss interessiert die meisten (außer lobenswerte Ausnahmen wie dich) nicht.
Wenn so eine Sicherheitsfunktion angeboten wird, dann sollte das zudem für alle Nutzer gleichermaßen einfach anzuwenden sein. Wir machen ein Portal für alle Nutzer, nicht nur für ein paar Web-Profis.
Sobald SSL verfügbar ist wird der Wunsch auch von wenig technikaffinen Nutzern kommen. Außerdem wette ich, das diejenigen, die SSL in der Vergangenheit wünschten von CACert noch nie was gehört haben.
Das was an Kosten gespart wird muss dann der Support ausbügeln. Schau dir mal an wie die Einführung von SSL bei Facebook gelaufen ist. Dann weißt du wie man es nicht macht.
Man muss ja nicht die teuerste Lösung wählen und es gibt ja auch durchaus Leute, die gewillt sind etwas zu investieren.
Ich kann deinen Ansatz durchaus verstehen, er ist in diesem Projekt aber nicht unbedingt praktikabel.
Ein Projekt bei dem das gut funktionieren würde wäre zum Beispiel GitHub. Ich glaube das fast alle Nutzer dort kein Problem damit hätte, CACert zu installieren.
Viele Grüße
Christian
P.S.: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" losbricht, dann ist es zu spät und der schlechte Ruf ist zementiert. Sowas dann wieder glattzubügeln kostet unglaublich Energie.
Ok, ich habe halt den Feature-Request "bitte SSL-Seite anbieten" vor Augen. Darin wird aus meiner Sicht nicht erwartet, dass Opencaching viel Geld investiert, vor allem nicht, wenn es kostenlos sicher geht.
[/quote]
Mit Erwartungen ist das so eine Sache. In der Regel wird erwartet dass das Portal funktioniert. Ob da was investiert werden muss interessiert die meisten (außer lobenswerte Ausnahmen wie dich) nicht.
Wenn so eine Sicherheitsfunktion angeboten wird, dann sollte das zudem für alle Nutzer gleichermaßen einfach anzuwenden sein. Wir machen ein Portal für alle Nutzer, nicht nur für ein paar Web-Profis.
Sobald SSL verfügbar ist wird der Wunsch auch von wenig technikaffinen Nutzern kommen. Außerdem wette ich, das diejenigen, die SSL in der Vergangenheit wünschten von CACert noch nie was gehört haben.
Das was an Kosten gespart wird muss dann der Support ausbügeln. Schau dir mal an wie die Einführung von SSL bei Facebook gelaufen ist. Dann weißt du wie man es nicht macht.
Man muss ja nicht die teuerste Lösung wählen und es gibt ja auch durchaus Leute, die gewillt sind etwas zu investieren.
Ich kann deinen Ansatz durchaus verstehen, er ist in diesem Projekt aber nicht unbedingt praktikabel.
Ein Projekt bei dem das gut funktionieren würde wäre zum Beispiel GitHub. Ich glaube das fast alle Nutzer dort kein Problem damit hätte, CACert zu installieren.
Viele Grüße
Christian
P.S.: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" losbricht, dann ist es zu spät und der schlechte Ruf ist zementiert. Sowas dann wieder glattzubügeln kostet unglaublich Energie.
Zuletzt geändert von cmanie am 04.06.2013, 20:56, insgesamt 1-mal geändert.
-
teufli
Hallo Christian,
[quote="cmanie"]
Das was an Kosten gespart wird muss dann der Support ausbügeln. Schau dir mal an wie die Einführung von SSL bei Facebook gelaufen ist. Dann weißt du wie man es nicht macht.
[...]
Man muss ja nicht die teuerste Lösung wählen und es gibt ja auch durchaus Leute, die gewillt sind etwas zu investieren.
[/quote]
Was ist Facebook? :-D (ich weiß übrigens tatsächlich nicht, was bei denen passiert ist, ich interessiere mich nicht für Facebook)
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
Wenn man selbst bei CAcert Mitglied ist kann man sich mit einem eigenen CAcert-Client-Zertifikat einloggen (muss programmiert werden, aber das ist einfach; natürlich funktioniert das auch mit jedem anderen Client-Zertifikat). So entfällt das Merken von Passwörtern.
[quote="cmanie"]
P.S.: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" losbricht, dann ist es zu spät und der schlechte Ruf ist zementiert. Sowas dann wieder glattzubügeln kostet unglaublich Energie.
[/quote]
Nochmal die Frage: Welchen "Sturm der Entrüstung" erwartest Du? Es gibt zurzeit überhaupt kein SSL bei OC. Wenn überhaupt, dann würde ich dagegen einen "Sturm der Entrüstung" erwarten!
Wenn man die Seite jetzt mit https aufruft, kommt stattdessen eine Fehlermeldung, dass die Seite vom Server geschlossen wurde, also praktisch dafür kein Server läuft. Es müsste überhaupt erstmal die Basis geschaffen werden! Oder willst Du das Zertifikat kaufen und dann feststellen "ups, ich muss ja meinen Server erstmal flott machen"? Und diese Basis kann man sogar mit einem self-signed Zertifikat installieren - besser als nix. Und wenn der Server läuft, kann, je nach Admin-Auslastung, das Zertifikat gegen eins von CAcert
getauscht und schon gibt es keine Warnmeldungen mehr für diejenigen, die das CAcert-Root-Zertifikat installiert haben. Die Installationsanleitung ist bis auf wenige Ausnahmen trivial und entsprechende Supportanfragen können, wenn sie überhaupt kommen, zumeist mit einem xxxxx beantwortet werden. Dafür, bzw. alternativ für die schwierigen Fälle, die es bei kommerziellen Zertifikaten übrigens in gewissem Umfang auch geben dürfte, kann ich mich auch gerne einbringen.
Viele Grüße, Alexander.
[quote="cmanie"]
Das was an Kosten gespart wird muss dann der Support ausbügeln. Schau dir mal an wie die Einführung von SSL bei Facebook gelaufen ist. Dann weißt du wie man es nicht macht.
[...]
Man muss ja nicht die teuerste Lösung wählen und es gibt ja auch durchaus Leute, die gewillt sind etwas zu investieren.
[/quote]
Was ist Facebook? :-D (ich weiß übrigens tatsächlich nicht, was bei denen passiert ist, ich interessiere mich nicht für Facebook)
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
Wenn man selbst bei CAcert Mitglied ist kann man sich mit einem eigenen CAcert-Client-Zertifikat einloggen (muss programmiert werden, aber das ist einfach; natürlich funktioniert das auch mit jedem anderen Client-Zertifikat). So entfällt das Merken von Passwörtern.
[quote="cmanie"]
P.S.: Sollte sich wider Erwarten herausstellen, dass "ein Sturm der Entrüstung" losbricht, dann ist es zu spät und der schlechte Ruf ist zementiert. Sowas dann wieder glattzubügeln kostet unglaublich Energie.
[/quote]
Nochmal die Frage: Welchen "Sturm der Entrüstung" erwartest Du? Es gibt zurzeit überhaupt kein SSL bei OC. Wenn überhaupt, dann würde ich dagegen einen "Sturm der Entrüstung" erwarten!
Wenn man die Seite jetzt mit https aufruft, kommt stattdessen eine Fehlermeldung, dass die Seite vom Server geschlossen wurde, also praktisch dafür kein Server läuft. Es müsste überhaupt erstmal die Basis geschaffen werden! Oder willst Du das Zertifikat kaufen und dann feststellen "ups, ich muss ja meinen Server erstmal flott machen"? Und diese Basis kann man sogar mit einem self-signed Zertifikat installieren - besser als nix. Und wenn der Server läuft, kann, je nach Admin-Auslastung, das Zertifikat gegen eins von CAcert
getauscht und schon gibt es keine Warnmeldungen mehr für diejenigen, die das CAcert-Root-Zertifikat installiert haben. Die Installationsanleitung ist bis auf wenige Ausnahmen trivial und entsprechende Supportanfragen können, wenn sie überhaupt kommen, zumeist mit einem xxxxx beantwortet werden. Dafür, bzw. alternativ für die schwierigen Fälle, die es bei kommerziellen Zertifikaten übrigens in gewissem Umfang auch geben dürfte, kann ich mich auch gerne einbringen.Viele Grüße, Alexander.
Zuletzt geändert von teufli am 05.06.2013, 01:04, insgesamt 1-mal geändert.
[quote="teufli"]
Was ist Facebook? :-D (ich weiß übrigens tatsächlich nicht, was bei denen passiert ist, ich interessiere mich nicht für Facebook)
[/quote]
Das sollte man aber. Aus den Fehlern anderer kann man selbst viel lernen.
[quote="teufli"]
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
[/quote]
Es geht erst mal nur um opencaching.de. Nichts anderes.
[quote="teufli"]
Wenn man selbst bei CAcert Mitglied ist kann man sich mit einem eigenen CAcert-Client-Zertifikat einloggen (muss programmiert werden, aber das ist einfach; natürlich funktioniert das auch mit jedem anderen Client-Zertifikat). So entfällt das Merken von Passwörtern.
[/quote]
Wie Michael oben bereits schrieb, ist das Thema nicht abgeschrieben. Später werden wir uns das Thema noch mal anschauen und erneut abwägen ob es für die Bedürfnisse unserer Nutzer anwendbar ist.
Es ist aber müßig über das für und wieder zu diskutieren da die Entscheidung bereits gefallen und die Finanzierung dafür größtenteils steht.
Alle Argumente wurden jetzt mehrfach erschöpfend ausgetauscht.
Viele Grüße
Christian
Was ist Facebook? :-D (ich weiß übrigens tatsächlich nicht, was bei denen passiert ist, ich interessiere mich nicht für Facebook)
[/quote]
Das sollte man aber. Aus den Fehlern anderer kann man selbst viel lernen.
[quote="teufli"]
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
[/quote]
Es geht erst mal nur um opencaching.de. Nichts anderes.
[quote="teufli"]
Wenn man selbst bei CAcert Mitglied ist kann man sich mit einem eigenen CAcert-Client-Zertifikat einloggen (muss programmiert werden, aber das ist einfach; natürlich funktioniert das auch mit jedem anderen Client-Zertifikat). So entfällt das Merken von Passwörtern.
[/quote]
Wie Michael oben bereits schrieb, ist das Thema nicht abgeschrieben. Später werden wir uns das Thema noch mal anschauen und erneut abwägen ob es für die Bedürfnisse unserer Nutzer anwendbar ist.
Es ist aber müßig über das für und wieder zu diskutieren da die Entscheidung bereits gefallen und die Finanzierung dafür größtenteils steht.
Alle Argumente wurden jetzt mehrfach erschöpfend ausgetauscht.
Viele Grüße
Christian
-
teufli
Hallo Christian,
[quote="cmanie"]
[quote="teufli"]
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
[/quote]
Es geht erst mal nur um opencaching.de. Nichts anderes.
[/quote]
Ja, das steht da oben: www, wiki, forum, api (vorher noch gar nicht erwähnt, weil ich nicht weiß, auf welcher Domain es läuft und wie zumindest die Logindaten geschützt werden); nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank. Ok, Forum hat eine andere Domain, das ist aber für die Betrachtung insgesamt uninteressant. Was nützt es denn, Fassadenmalerei auf www zu betreiben, den Dienst in Wirklichkeit aber alles andere als sicher zu gestalten, weil man die anderen Server unter der gleichen Domain nicht sichert?
[quote="cmanie"]
Es ist aber müßig über das für und wieder zu diskutieren da die Entscheidung bereits gefallen und die Finanzierung dafür größtenteils steht.
Alle Argumente wurden jetzt mehrfach erschöpfend ausgetauscht.
[/quote]
Ich sehe hier die Gefahr sich etwas grob fahrlässig in die falsche Richtung zu bewegen, nur weil "mal jemand etwas gesagt hat" - so nenne ich es jetzt mal - bevor die Folgen komplett durchdacht worden sind. Ich bin der Ansicht, dass lediglich www mit einem gekauften Zertifikat auszustatten den Dienst nur wenig sicherer macht, sondern vielmehr Augenwischerei betreibt und deshalb am Bedürfnis der Benutzer vorbeigeht. Ich möchte an dieser Stelle auch daran erinnern, dass ihr hier Benutzerdaten der Dienstenutzer (der "normalen" Geocacher von opencaching.de, die "einfach nur einen funktionierenden Dienst erwarten") speichert. Ich verweise dazu mal auf http://www.heise.de/newsticker/meldung/Zwei-Faktor-Authentifizierung-LinkedIn-nun-auch-an-Bord-1876515.html. Der Artikel geht u.a. auf sichere Passwortspeicherung auf dem Server ein, um Identitätsklau zu verhindern. Soweit möchte ich hier nicht gehen, bei OC fehlt mir dafür aber auch nur ansatzweise der Versuch, Datenschutz zu betreiben, den man eigentlich ganz einfach zumindest bereits durch Verschlüsselung aller Systeme mit Userdaten erhält. Dazu gehören auf jeden Fall auch API, Datenbank, E-Mail und Ticket und selbst Wiki und das Forum zähle ich im Grunde dazu, selbst wenn es womöglich nur Satellitensysteme im Universum von opencaching.de sind. Wenn Du mir nun erzählst, www reicht doch, dann glaube ich, dass man gar nicht erst anfangen braucht.
Im Gegensatz zu Dir glaube ich deshalb keineswegs, dass alle Argumente bereits mehrfach erschöpfend ausgetauscht worden sind. Im Übrigen versuche ich mich möglichst nicht zu wiederholen. Du solltest in jedem Posting von mir einen neuen Aspekt, eine neue Sichtweise entdecken, die zum Nachdenken anregen soll. Und das die Finanzierung dafür größtenteils steht, habe ich hoffentlich in meinem Vorposting und in der von Dir gewünschten genaueren Erläuterung dazu in diesem Posting zum Einsturz gebracht: Jeder Dienst, der unter einem anderen Server als www erreichbar ist, erfordert ein weiteres Zertifikat. Für die Datenbank, möglicherweise auch je nach Größe des Nutzerkreises der E-Mail kann ich sogar möglicherweise ein self-signed Server-Zertifikat nachvollziehen, für alle anderen Dienste sehe ich ein Problem mit der von Dir präferierten Lösung.
Viele Grüße, Alexander.
[quote="cmanie"]
[quote="teufli"]
Die nicht so teure Lösung ist aber immer noch teuer, denn neben dem für den normalen Geocacher typischerweise sichtbaren Webfrontend müssen ja sinnvollerweise weitere Domains abgesichert werden: Nach außen: www, wiki, forum; nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank - so explodieren die Kosten für "ein Zertifikat" :-)
[/quote]
Es geht erst mal nur um opencaching.de. Nichts anderes.
[/quote]
Ja, das steht da oben: www, wiki, forum, api (vorher noch gar nicht erwähnt, weil ich nicht weiß, auf welcher Domain es läuft und wie zumindest die Logindaten geschützt werden); nach innen: email (imap/pop und ggf. webzugang), ticket, datenbank. Ok, Forum hat eine andere Domain, das ist aber für die Betrachtung insgesamt uninteressant. Was nützt es denn, Fassadenmalerei auf www zu betreiben, den Dienst in Wirklichkeit aber alles andere als sicher zu gestalten, weil man die anderen Server unter der gleichen Domain nicht sichert?
[quote="cmanie"]
Es ist aber müßig über das für und wieder zu diskutieren da die Entscheidung bereits gefallen und die Finanzierung dafür größtenteils steht.
Alle Argumente wurden jetzt mehrfach erschöpfend ausgetauscht.
[/quote]
Ich sehe hier die Gefahr sich etwas grob fahrlässig in die falsche Richtung zu bewegen, nur weil "mal jemand etwas gesagt hat" - so nenne ich es jetzt mal - bevor die Folgen komplett durchdacht worden sind. Ich bin der Ansicht, dass lediglich www mit einem gekauften Zertifikat auszustatten den Dienst nur wenig sicherer macht, sondern vielmehr Augenwischerei betreibt und deshalb am Bedürfnis der Benutzer vorbeigeht. Ich möchte an dieser Stelle auch daran erinnern, dass ihr hier Benutzerdaten der Dienstenutzer (der "normalen" Geocacher von opencaching.de, die "einfach nur einen funktionierenden Dienst erwarten") speichert. Ich verweise dazu mal auf http://www.heise.de/newsticker/meldung/Zwei-Faktor-Authentifizierung-LinkedIn-nun-auch-an-Bord-1876515.html. Der Artikel geht u.a. auf sichere Passwortspeicherung auf dem Server ein, um Identitätsklau zu verhindern. Soweit möchte ich hier nicht gehen, bei OC fehlt mir dafür aber auch nur ansatzweise der Versuch, Datenschutz zu betreiben, den man eigentlich ganz einfach zumindest bereits durch Verschlüsselung aller Systeme mit Userdaten erhält. Dazu gehören auf jeden Fall auch API, Datenbank, E-Mail und Ticket und selbst Wiki und das Forum zähle ich im Grunde dazu, selbst wenn es womöglich nur Satellitensysteme im Universum von opencaching.de sind. Wenn Du mir nun erzählst, www reicht doch, dann glaube ich, dass man gar nicht erst anfangen braucht.
Im Gegensatz zu Dir glaube ich deshalb keineswegs, dass alle Argumente bereits mehrfach erschöpfend ausgetauscht worden sind. Im Übrigen versuche ich mich möglichst nicht zu wiederholen. Du solltest in jedem Posting von mir einen neuen Aspekt, eine neue Sichtweise entdecken, die zum Nachdenken anregen soll. Und das die Finanzierung dafür größtenteils steht, habe ich hoffentlich in meinem Vorposting und in der von Dir gewünschten genaueren Erläuterung dazu in diesem Posting zum Einsturz gebracht: Jeder Dienst, der unter einem anderen Server als www erreichbar ist, erfordert ein weiteres Zertifikat. Für die Datenbank, möglicherweise auch je nach Größe des Nutzerkreises der E-Mail kann ich sogar möglicherweise ein self-signed Server-Zertifikat nachvollziehen, für alle anderen Dienste sehe ich ein Problem mit der von Dir präferierten Lösung.
Viele Grüße, Alexander.
Zuletzt geändert von teufli am 06.06.2013, 00:26, insgesamt 1-mal geändert.
Hallo Alexander,
[quote="teufli"]
Ich sehe hier die Gefahr sich etwas grob fahrlässig in die falsche Richtung zu bewegen [...] am Bedürfnis der Benutzer vorbeigeht.
[/quote]
Dementsprechend handeln alle Banken, E-Mail-Dienstleister, Sozialen Netzwerke, usw. grob fahrlässig, weil sie kein Zertifikat von CACert einsetzen sondern ein kommerzielles? Das ist ja wirklich ein bisschen weit hergeholt.
Genau das ist aber das Bedürfnis der Nutzer, nämlich das was die Nutzer angefragt haben.
Vielleicht kannst du ja mal ein Projekt nennen, das CACert einsetzt und in etwa die Größenordnung und die Nutzerstruktur von opencaching.de hat.
Alles weitere lasse ich mal unkommentiert. Vielleicht lassen wir einfach die Kirche im Dorf. Ich sehe nicht, was das alles mit dem SSL-Zertifikat zu tun hat. Langsam schweift der Beitrag nämlich ein wenig ab. Es ging hier, wie gesagt, um ein SSL-Zertifikat für das Portal www.opencaching.de.
Wegen eines fehlenden/"falschen"/teilweise eingesetzten SSL-Zertifikats jedoch gleich die Sicherheit der ganzen Plattform, inkl. der Satellitenseiten, in Frage zu stellen ohne Details zu kennen ist doch sehr gewagt.
Viele Grüße
Christian
[quote="teufli"]
Ich sehe hier die Gefahr sich etwas grob fahrlässig in die falsche Richtung zu bewegen [...] am Bedürfnis der Benutzer vorbeigeht.
[/quote]
Dementsprechend handeln alle Banken, E-Mail-Dienstleister, Sozialen Netzwerke, usw. grob fahrlässig, weil sie kein Zertifikat von CACert einsetzen sondern ein kommerzielles? Das ist ja wirklich ein bisschen weit hergeholt.
Genau das ist aber das Bedürfnis der Nutzer, nämlich das was die Nutzer angefragt haben.
Vielleicht kannst du ja mal ein Projekt nennen, das CACert einsetzt und in etwa die Größenordnung und die Nutzerstruktur von opencaching.de hat.
Alles weitere lasse ich mal unkommentiert. Vielleicht lassen wir einfach die Kirche im Dorf. Ich sehe nicht, was das alles mit dem SSL-Zertifikat zu tun hat. Langsam schweift der Beitrag nämlich ein wenig ab. Es ging hier, wie gesagt, um ein SSL-Zertifikat für das Portal www.opencaching.de.
Wegen eines fehlenden/"falschen"/teilweise eingesetzten SSL-Zertifikats jedoch gleich die Sicherheit der ganzen Plattform, inkl. der Satellitenseiten, in Frage zu stellen ohne Details zu kennen ist doch sehr gewagt.
Viele Grüße
Christian
-
following
Heho teufli ...
Die Entscheidung ist gefallen, und zwar nicht weil irgendwer "mal was gesagt hat", sondern weil mehrere kompletente und verantwortungsbewusste Leute die Argumente gegeneinander abgewogen haben und sich alle einig darin sind, dass ein professionelles Zertifikat für www.opencaching.de derzeit die bessere Alternative ist.
So eine Entscheidung kann man auch mal respektieren und akzeptieren. Wenn du Opencaching voranbringen möchtest, kannst du das z.B. auch tun indem du deine Argumentationskünste einsetzt und im Netz Werbung für die beste Geocaching-Plattform machst.
Die Entscheidung ist gefallen, und zwar nicht weil irgendwer "mal was gesagt hat", sondern weil mehrere kompletente und verantwortungsbewusste Leute die Argumente gegeneinander abgewogen haben und sich alle einig darin sind, dass ein professionelles Zertifikat für www.opencaching.de derzeit die bessere Alternative ist.
So eine Entscheidung kann man auch mal respektieren und akzeptieren. Wenn du Opencaching voranbringen möchtest, kannst du das z.B. auch tun indem du deine Argumentationskünste einsetzt und im Netz Werbung für die beste Geocaching-Plattform machst.
-
teufli
Hi following,
deshalb habe ich "irgendwer mal was gesagt hat" in Anführungsstriche gesetzt. Es geht mir, das sollte aus meinen Beiträgen hervorgehen, nicht alleine darum, kein kommerzielles Zertifikat einzusetzen, sondern wie man es tut. Hier soll in Torschlusspanik etwas voreilig gekauft und falsch eingesetzt werden, mit Begründungen, die hahnebüchener nicht sein könnten: "Weil wir etwas beschlossen haben". Das ist Unfug! Richtig wäre es, wenn man begründen könnte, wofür man was einsetzt. Dazu habe ich bislang genau ein einziges Argument gehört: Weil es dem User leichter zu vermitteln ist. Das ist in Ordnung, reicht mir aber bei weitem nicht aus, um das im selben Ticket geforderte Thema Sicherheit umzusetzen. Die Details habe ich bereits genannt, einen Umsetzungsvorschlag auch. Darauf wurde von niemandem bis jetzt eingegangen.
Ich fasse nochmal (unsortiert) zusammen:
- Die Domain opencaching.de soll verschlüsselt werden.
- Der Dienst soll sicher werden.
- Das betrifft wahrscheinlich mindestens vier Hosts, was nicht einem, sondern vier Zertifikaten (ggf. Kosten * 4) entspricht. Zusätzlich besteht ggf. Bedarf für noch weitere, bereits genannte Hosts.
- Aufwände müssen sich aus Ressourcengründen in Grenzen halten.
- Die Kosten müssen sich aus Kostengründen in Grenzen halten.
- Es gibt zurzeit keine Verschlüsselung, die meisten können zurzeit damit leben.
- Es gibt in den Geschäftsbedingungen der Zertifikatsanbieter keine Garantie dafür, dass sich das gekaufte Zertifikat im Browser befindet oder dort bleibt.
- opencaching.de will sich vorteilhaft von dem Angebot der Konkurrenz abheben (das formuliere ich jetzt mal für OC so).
Ich habe noch mehr geschrieben, das bezieht sich aber auf Philosophie-Unterschiede zwischen CAcert und einem kommerziellen Anbieter, die für die Betrachtung für welches Zertifikat ich mich entscheide eine Rolle spielen können, aber nicht müssen.
Dann geht es darum, wie man gescheit vorgeht (in dieser Reihenfolge!):
1. Die Dienste werden so umgebaut, dass sie unter https erreichbar sind und funktionieren.
2. Es wird ein CAcert-Zertifikat eingesetzt.
3. Benutzerfreundlichkeit und Massenkompatibilität werden so wichtig, dass für www.opencaching.de ein kommerzielles Zertifikat gekauft wird - und, je nachdem, auch für die anderen Hosts.
Je nach Vorankommen können sich die einzelnen Phasen überlappen. Ob und wann man das SSL-Angebot bewirbt, ist abhängig von der Einschätzung der Benutzer seitens der Betreiber. Und ich habe sogar vollstes Verständnis für Punkt 3 in dieser Reihenfolge - aber es wurde ja noch nicht einmal mit Punkt 1 begonnen!
Und mehrfach habe ich gehört, es gehe ja nur über opencaching.de, der betreffende Autor hat aber übersehen, das ein Zertifikat nur für einen einzigen Host funktioniert (es sei denn, man verwendet ein sehr teures Wildcard-Zertifikat)!
Und ich habe vor allem ein Problem damit, wenn der dritte Schritt vor dem ersten gemacht wird und wenn wichtige Dinge übersehen werden, auf die ich mehrfach hingewiesen habe, zu denen ich aber noch keine Rückmeldung gehört habe. Was Dein Gefallen mit der Werbung angeht, so wird diese CAcert sicher gerne machen, wenn ihr ein CAcert-Zertifikat einsetzt. Wie im echten Leben auch: Wenn ihr lieber kommerzielle Dienstleister nutzt, muss auch für Werbung bezahlt werden (die dann aus verständlichen Gründen natürlich nicht im Rahmen von CAcert stattfindet)
Viele Grüße, Alexander.
deshalb habe ich "irgendwer mal was gesagt hat" in Anführungsstriche gesetzt. Es geht mir, das sollte aus meinen Beiträgen hervorgehen, nicht alleine darum, kein kommerzielles Zertifikat einzusetzen, sondern wie man es tut. Hier soll in Torschlusspanik etwas voreilig gekauft und falsch eingesetzt werden, mit Begründungen, die hahnebüchener nicht sein könnten: "Weil wir etwas beschlossen haben". Das ist Unfug! Richtig wäre es, wenn man begründen könnte, wofür man was einsetzt. Dazu habe ich bislang genau ein einziges Argument gehört: Weil es dem User leichter zu vermitteln ist. Das ist in Ordnung, reicht mir aber bei weitem nicht aus, um das im selben Ticket geforderte Thema Sicherheit umzusetzen. Die Details habe ich bereits genannt, einen Umsetzungsvorschlag auch. Darauf wurde von niemandem bis jetzt eingegangen.
Ich fasse nochmal (unsortiert) zusammen:
- Die Domain opencaching.de soll verschlüsselt werden.
- Der Dienst soll sicher werden.
- Das betrifft wahrscheinlich mindestens vier Hosts, was nicht einem, sondern vier Zertifikaten (ggf. Kosten * 4) entspricht. Zusätzlich besteht ggf. Bedarf für noch weitere, bereits genannte Hosts.
- Aufwände müssen sich aus Ressourcengründen in Grenzen halten.
- Die Kosten müssen sich aus Kostengründen in Grenzen halten.
- Es gibt zurzeit keine Verschlüsselung, die meisten können zurzeit damit leben.
- Es gibt in den Geschäftsbedingungen der Zertifikatsanbieter keine Garantie dafür, dass sich das gekaufte Zertifikat im Browser befindet oder dort bleibt.
- opencaching.de will sich vorteilhaft von dem Angebot der Konkurrenz abheben (das formuliere ich jetzt mal für OC so).
Ich habe noch mehr geschrieben, das bezieht sich aber auf Philosophie-Unterschiede zwischen CAcert und einem kommerziellen Anbieter, die für die Betrachtung für welches Zertifikat ich mich entscheide eine Rolle spielen können, aber nicht müssen.
Dann geht es darum, wie man gescheit vorgeht (in dieser Reihenfolge!):
1. Die Dienste werden so umgebaut, dass sie unter https erreichbar sind und funktionieren.
2. Es wird ein CAcert-Zertifikat eingesetzt.
3. Benutzerfreundlichkeit und Massenkompatibilität werden so wichtig, dass für www.opencaching.de ein kommerzielles Zertifikat gekauft wird - und, je nachdem, auch für die anderen Hosts.
Je nach Vorankommen können sich die einzelnen Phasen überlappen. Ob und wann man das SSL-Angebot bewirbt, ist abhängig von der Einschätzung der Benutzer seitens der Betreiber. Und ich habe sogar vollstes Verständnis für Punkt 3 in dieser Reihenfolge - aber es wurde ja noch nicht einmal mit Punkt 1 begonnen!
Und mehrfach habe ich gehört, es gehe ja nur über opencaching.de, der betreffende Autor hat aber übersehen, das ein Zertifikat nur für einen einzigen Host funktioniert (es sei denn, man verwendet ein sehr teures Wildcard-Zertifikat)!
Und ich habe vor allem ein Problem damit, wenn der dritte Schritt vor dem ersten gemacht wird und wenn wichtige Dinge übersehen werden, auf die ich mehrfach hingewiesen habe, zu denen ich aber noch keine Rückmeldung gehört habe. Was Dein Gefallen mit der Werbung angeht, so wird diese CAcert sicher gerne machen, wenn ihr ein CAcert-Zertifikat einsetzt. Wie im echten Leben auch: Wenn ihr lieber kommerzielle Dienstleister nutzt, muss auch für Werbung bezahlt werden
(die dann aus verständlichen Gründen natürlich nicht im Rahmen von CAcert stattfindet)Viele Grüße, Alexander.
Zuletzt geändert von teufli am 06.06.2013, 21:28, insgesamt 1-mal geändert.
-
following
Wie ist denn hier der Stand? Die Spenden für das HTTPS müssten längst eingegangen sein, oder?
-
Schrottie
[quote="following"]
Die Spenden für das HTTPS müssten längst eingegangen sein, oder?
[/quote]
Derer zwei in Höhe von insgesamt 45 Euro.
Die Spenden für das HTTPS müssten längst eingegangen sein, oder?
[/quote]
Derer zwei in Höhe von insgesamt 45 Euro.
-
Team_Planlos
Ich weiß nicht, ob es nicht bereits vorgeschlagen wurde, aber wie wäre es mit einem Cert. von
http://www.startssl.com/ ?
Ebenfalls kostenlos und die CA ist den Browsern vorhanden.
http://www.startssl.com/ ?
Ebenfalls kostenlos und die CA ist den Browsern vorhanden.