SSL Zertifikat?

Sie wollen in gewisser Hinsicht nicht. Das Problem ist bekann, man orientiert sich aber an der Konkurrenz und dem Markt. Solange es genug nicht https-Seiten gibt ist für die GS die Welt in Ordnung

 

Trotzdem wär es höchste Zeit zu handeln. Bei meinen Stammseiten kommt momentan gefühlt wöchentlich eine neue mit https dazu.
Golem, Heise, Computerbase, RPS, alle mittlerweile über https. Laut Google nutzen mittlerweile über 50% der mit Chrome angesurften Seiten https. Gerade eine Techseite sollte da hinterher sein.

Man läuft auch hier wieder Gefahr, den Anschluss zu verlieren.

Dass Logins und Gewinnspiele ohne HTTPS laufen, ist selbst im Vergleich zu ähnlichen Konkurrenzangeboten äußerst schwach. Browser sollten da noch viel stärker warnen, am besten solche Seiten standardmäßig blockieren, damit es auch der letzte merkt

 

Welche "Konkurrenz" auf welchem "Markt" nutzt als E-Commerce Seite, wo echte Kundendaten und Kontoverbindungen verwaltet werden (GS+) kein https? Ist ernst gemeint, die Frage. Ich nutze selbst nur eine handvoll Anbieter/Shops im Web, daher fällt mir da niemand ein.
Bei der einzigen *direkten* Konkurrenz, die mir da spontan einfällt ist es zumindest nicht so ;-)

 

Hieß es nicht, gewisse Werbung funktioniere nicht mit https? Da deren Vermarkter offenkundig auf alle Ewigkeit gesetzt ist, wird man sich bei GS wohl erst dahingehend rühren, wenn dem Vermarkter danach ist.

 

Dann können Plus-Kunden ja https bekommen...

 

Das kann ich dir nicht sagen, aber die Aussage kam im Kern damals von Philip Elsner (?) dem zu der Zeit aktiven Community Manager

 

Die haben doch schon kein Autoplay und einen Videoplayer, der zumindest nicht aus der Steinzeit stammt, das muss reichen...

 

Ah, okay. Trotzdem danke.

 

http://www.gamestar.de/community/gspinboard/showpost.php?p=17791013&postcount=2 und http://www.gamestar.de/community/gspinboard/showpost.php?p=17653403&postcount=6
Also doch nicht per se ablehnend, sondern nur punktuell eingesetzt. LogIn ist aber kein https, scheint nicht wichtig genug zu sein

 

Sollte das nicht Standard sein? Ach halt, sollte Verschlüsselung auch...

 

Hi, danke nochmal für's raussuchen. "Punktuell" ist nur leider völlig witzlos, wenn der Login nicht dabei ist. Über http wird alles im Klartext übermittelt. Auch Passwörter. D.h. wenn da einer "mitlauscht" ist völlig egal, ob an irgendeiner anderen Stelle verschlüsselt wird: denn dann hat er ja bereits das Passwort und somit vollen Zugriff auf das Kundenkonto.

 

Lustige Geschichte in dem Zusammenhang:
https://arstechnica.com/security/20...for-labeling-unencrypted-login-page-insecure/

 

So lustig ist das eigentlich gar nicht. Aufgrund solcher "Experten" entsteht häufig viel Schaden bei den Nutzern.

 

Sich aufregen und dann auch noch Kreditkarten-Daten unverschlüsselt übertragen ... holy shit.

 

Wenn Google die Keule mit neuen neuen Index-Kriterien rausholt, wird jeder brav TLS einsetzen.

 

Können wir dann auch endlich auf ein mobil-optimiertes Layout bei Gamestar hoffen?

 

Das kommt auf jeden Fall, aber man kann halt nicht die gesamte Seite umstellen. Das neue Forum ist responsive. Ab morgen früh geht's los.

 

Das könnte vielleicht noch öfter passieren, wenn die anderen Browser auch Meldungen am Login deswegen anzeigen.
Zumindest Opera hat das jetzt auch im aktuellen Dev Build

 

Ist auch richtig so und das wird in Zukunft auch noch ausgeweitet. Aktuell betrifft es ja nur Seiten, die ein Passwort-Feld im Quelltext haben. Irgendwann zeigen Chrome und Firefox die Meldung auch auf normalen Seiten an.

Damit soll ja nicht nur die Sicherheit forciert werden, sondern auch der Einsatz von HTTP/2. Dessen größte Hürde ist der verpflichtende Einsatz von TLS. Werden die Seiten dann also verschlüsselt, steht HTTP/2 deutlich weniger im Weg als vorher.

 

Seit Letsencrypt ist TLS ja kein Problem mehr.

Wobei ich auf manchen HTTP-Seiten im Chrome "Nicht sicher" ausgeschrieben stehen habe, hier auf Gamestar hingegen nicht.

 

Der Chrome bringt die deutliche Anzeige "nicht sicher" eigentlich nur auf Seiten auf denen er Passwort-Formulare erkennt. Ansonsten wird auf nicht https-Seiten nur das Ausrufezeichen dargestellt.

Der aktuelle Firefox ist da schon ein wenig offensiver.

 

So langsam solltet Ihr mal in die puschen kommen was SSL-Verschlüßelung angeht. Selbst Pornhub und Youporn sind mittlerweile über https erreichbar...
https://www.heise.de/newsticker/meldung/Pornhub-und-YouPorn-verschluesseln-mit-HTTPS-3672189.html

Liebe Kinder, wenn ihr nicht wisst, was das für Seiten sind, das macht nichts, fragt ruhig euren Papa, der weiß das bestimmt... ganz wichtig fragt ihn wenn Mama dabei ist

PS: Ich weiß ja, das dass ugly-Smily beliebt ist, aber 3 Mal? Das ist echt albern:

 

Einmal Standard (ugly), einmal topmodel und einmal mally.
Für jede Gelegenheit den richtigen ugly halt.

 

Und das ist auch schon seit ca. zehn Jahren so.

 

Echt? Da sieht man mal wie unübersichtlich die alte Smiley Liste war.

 

Hatte heute morgen was gelesen gehabt das PC-Welt demnächst auf "https" umsteigt.*

http://www.pcwelt.de/a/warum-sie-ihre-webseite-auf-https-umstellen-sollten,3445548

Wen die es schaffen sollte es doch Gamestar auch schaffen.

Quelle: Facebook

 

Mein Ublock Origin läuft da ja noch mehr Amok als bei Gamestar

 

Wie die konsequent TLS falsch schreiben...

 

...

 

Die Plus-Anmeldung ist ssl-gesichert

 

Nur der Kauf-Vorgang. Da die normale Anmeldung mit deinem Gamestar-Konto ist weiterhin Klartext.

Mich würde die rechtliche Seite mal interessieren, wenn mir jemand das Passwort wegkapert. Passwörter im Klatext übermitteln ist schließlich nix anderes, als das Cabrio offen zu lassen.

 

Du wirst ja hoffentlich nicht ein Passwort für Alles verwenden.

 

Aber Email Adressen stehen im Profil, eventuell Anschriften und Bankverbindungen

 

Die "rechtliche Seite" würde dann vermutlich erstmal davon ausgehen das du dein Netzwerk/PC nicht richtig/ausreichend gegen den zugriff von 3. gesichert hast.

 

Mittlerweile bin ich vollparanoid: Dank Passwortmanager kenne ich keines meiner Passwörter selbst. Aber dennoch könnte jemand auf meine Kosten Plus nutzen oder unangebrachte Posts schreiben, wenn dieses eine Passwort in erfahrung gebracht wäre.

Man surft ja heutzutage nicht mehr nur von zuhause. Öffentliche Hotspots, Uni-WLAN, bei Freunden surfen, das ist ja alles alltäglich. Und alles, was nach dem eigenen Router kommt, kann man sowieso nicht mehr kontrollieren.

Edit: Alles rein hypothetisch! Ich habe keine konkrete Angst, dass böse Hacker mein Gamestar-Konto haben wollen!

 

Ja. Wenn du denen nicht vertraust, darfst du diese nicht für unverschlüsselten Traffic benutzen.

 

²
Genau deshalb sollte Traffic heute nicht mehr unverschlüsselt sein. Gar keiner.

 

Zumal es ja seit Letsencrypt keine Gründe mehr für HTTP-Only gibt.

 

Das wäre ja alles rein theoretisch noch immer nichts wofür der Betreiber der Seite belangt werden könnte, nur weil die Übertragungen nicht verschlüsselt sind, da ja die Art und Weise wie man in das Internet kommt und eventuelle Sicherungen zwischen dem Gerät & dem verwendeten Zugangspunkt nicht in deren Gefahrenbereich fallen.

Wenn so etwas rein hypothetisch passiert wenn du z.b. einen öffentlichen hotspot etc. nutzt, darüber irgendwie auf dein Gerät zugegriffen oder die Übertragung abgefangen wird, müsste man (wenn man es den deswegen kann) versuchen den Betreiber davon erstmal zu belangen.