"Neuer Login" Muss das sein?

Hallo,

hab' heute eine Nachricht bekommen, das ich eine neue Nachricht hier erhalten habe..

wollte ich mir dann gleich mal anschaun, also einfach mal auf den Link geklickt und einloggen.

Tja, funktioniert nicht.

"Sollte es nicht funktionieren [...]" alten Login verwendet, ging auch nicht.

Neues Passwort zugesendet...

Wieder versucht einzuloggen, weiterhin ohne Erfolg...

Noch ein letztes mal neues Passwort, vielleicht ja falsches c'n'p...

Wie zu erwarten geht es wieder nicht.

Und dann musste ich sehen das es auf einmal erforderlich ist Javascript zu erlauben um sich einzuloggen?!?! o.O

Das muss doch wirklich nicht sein, oder?

Also seit damals GN voll zugemüllt war mit Werbung lass' ich von dieser Seite kein Script mehr zu,

und das war bisher auch recht angenehm.

Jetzt soll das unterbunden werden? Wie schaut es aus mit Leuten deren Browser JS nicht unterstützt?

Barrierefreiheit zum Thema Browsergames sah ich zum ersten mal bei GN, und das fand ich eigentlich ganz gut.

Aber dann kommt soetwas?

> Das muss doch wirklich nicht sein, oder?
Siehst du eine bessere Möglichkeit, damit dass Passwort nicht im Klartext übertragen wird, außer SSL?

> Also seit damals GN voll zugemüllt war mit Werbung lass' ich von dieser Seite kein Script mehr zu, und das war bisher auch recht angenehm.
Ah ja, sich einen Dreck um die Finanzierung des Portals scheren, aber dann Support einfordern. Find' ich gut...

> Jetzt soll das unterbunden werden?
Das hat damit gar nichts zu tun. AdBlocker gibt es auch ohne Holzhammer...

> Wie schaut es aus mit Leuten deren Browser JS nicht unterstützt?
Die 2,3 Leute hatten schon immer Probleme, weil wesentliche Funktionen JS benötigen.

Was hat Javascript mit SSL zu tun?

Und was spricht gegen SSL?

Die entstehenden Kosten für jede Domain.

Original von Klaus

Die entstehenden Kosten für jede Domain.

OpenID Provider sein wollen, aber bei SSL sparen, finde ich dann allerdings doch ziemlich fragwuerdig - und gefaehrlich...

Javascript ersetzt da ganz sicher kein SSL... es ist eine Huerde, aber kein Hindernis. Im Gegenteil, eher ein Ansporn fuer moegliche h4x0rz (waere es zumindest fuer mich :P). Ob ich nun nur mitsniffe und versuche die Hashes zu cracken (die Salts, die fuer das Hashen genutzt werden, bekomm ich ja im Klartext frei Haus geliefert - danke! - was natuerlich auch bei einer Kompromittierung der Datenbank gefaehrlich ist, ausser ihr hashed da serverseitig nochmal mit anderen Salts drueber..) oder mich per MITM Attacke dazwischen schalte und das JS modifiziere.

Unabhaengig davon bleibt das Phishing Risiko, gegen welches SSL wohl den mit Abstand besten Schutz bietet.

Zudem kann man auch einfach ein und dieselbe URL als Loginrelay fuer andere nutzen. Das hilft zwar nicht gegen Session Hijacking, aber immerhin das Passwort ist dann sicher... Muss man nur den Usern von Anfang an vernuenftig erklaeren in Bezug auf Phishing Risiken.

Ah ja, sich einen Dreck um die Finanzierung des Portals scheren, aber dann Support einfordern. Find' ich gut...

Ich würde gerne, wenn ich mal GalaxyNews besuche, auch die Seite sehen, und nicht eine fremde Seite.
Das hat sich jetzt vielleicht geändert, aber ich muss ehrlich sagen seit damals finde ich passen GN und JS-zulassen für mich nicht zusammen.
Und nur weil ich zugebe JS zu blockieren, bin ich daher gleich böse, im Vergleich zu den anderen 90% die wahrscheinlich Noscript verwenden?

Die 2,3 Leute hatten schon immer Probleme, weil wesentliche Funktionen JS benötigen.

Und eine kleine Information das evtl. Javascript aktiv sein müsste wäre mir auch noch nicht aufgefallen...
Aber das soll ja auch nicht das Problem sein, kann man ja mit dem WebDev Adon in der Seite selbst ändern, das man das wichstigste auch trotz deaktiviertem JS verwenden kann. Das ist ja auch nur mehr c'n'p...
Trotzdem ein wenig umständlich.

Wenn einem SSL zu teuer ist (gibt ja auch recht günstige Möglichkeiten) darf man sich aber auch nicht wundern wenn einem User das ganze JS zu viel Rechenzeit "kostet"..
Zumindest eine kleine Information das JS aktiv sein muss wäre nett gewesen, aber das scheint wohl zu viel Zeit zu kosten...

Es gibt echt noch Leute die JS blockieren ... auweia *lach*

Ich finde das auch im Jahre 2008 und im Web 2.0 für arg weit hergeholt dass man noch ohne JS weit kommt.
Und Werbung zu blockieren ist ja eine schlechte Ausrede für so ein Verhalten. Auch wenn ich es nicht befürworte, aber dafür gibt es AdBlockPlus.

Sicherheits- und gerade Phishing-Risiken sind aber doch ein wichtiges Argument, findet ihr nicht?

Javascript komplett deaktivieren finde ich auch etwas zu viel des guten, aber noscript ist eine feine Sache.

Okay, ich habe Posting #2 von Klaus falsch verstanden; nach Sichtung des Javascripts frage ich mich aber auch, was der Sinn und Zweck ist. Es wird einzig alleine sichergestellt, dass das Passwort nicht im Klartext übertragen wird. Nun gut, man kann also Lauscher das Passwort nicht erfahren.. aber das Verfahren hindert mich nicht daran, einfach den Hash zum Einloggen zu verwenden (kein Schutz wie bei SSL). Wenn beim Passwort ändern nun auch die selbe Methode verwendet wird, ist das ganze Spiel nur eine zeitliche Hürde.. ka, würde mal 1 Minute kalkulieren.

Lösungsmöglichkeiten für mich: Wer kein JS hat, hat ein Klartextpasswort im Versand. Ist auch verständlich, denn diese Leute lieben ja kastierte Webdienste (vielleicht etwas polemisch, trifft's aber im Jahr 2008). Und/Oder ein SSL-Zertifikat für eine Domain.. muss ja nur für den Login verwendet werden, d.h. der Overhead wird ausschließlich für die Login-Prozedur verwendet.

Ich kann das Argument bezgl. Kosten durchaus verstehen, denn die Server-Zertifikate sind alles andere als billig. Aber die Lösung mit Javascript ist Augenwischerei. Bei einem echten MIM (zugegeben, man muss sich Aufwand/Nutzen vor Augen halten, sry @GN ;)) könnte man sogar eure general.js austauschen. Und dann?

Original von Kallisti

Sicherheits- und gerade Phishing-Risiken sind aber doch ein wichtiges Argument, findet ihr nicht?

Javascript komplett deaktivieren finde ich auch etwas zu viel des guten, aber noscript ist eine feine Sache.

Prinzipiell ist man aber dadurch nicht gefeit - nicht zuletzt, weil die Angreifer dazu lernen. Durch geschickte Kopie und eine gute Wahl der Adresse/Anbieters ist man selbst ohne Javascript machtlos. Bei entsprechenden Seiten sollte man den Namen gut angucken, einen vertrauenswürdigen DNS nutzen sowie auf das SSL-Zertifikat trauen (und das heißt in allen Punkten: Nicht einfach die Warnung bestätigen.)

Ich weiß nicht, wann die Theorie, dass diese Lösung SSL ersetzen soll, entstanden ist. Es ist einfach nur die "poor mans"-Lösung und sicher ist man auch nicht mit SSL und ohne Javascript. Phishing klappt doch auch ohne JS und bei MIM leite ich einfach auf einen Login ohne SSL. Welcher normale Nutzer achtet schon darauf wenn er es nicht mal bei seiner Bank gebacken kriegt?

Viele haben aber wenigstens von "Https", "Schlossymbol" und "gefärbte Internetlinkleiste" gehört. Neuerdings werden diese Seiten in den modernen Seiten auch noch deutlich hervorgehoben. Klar, wenn ich das SSL-Zertifikat weiterhin immer durchwinke, ist mir nicht zu helfen. Wenn ich meine PIN bei ner Umfrage am Automaten weitergebe, bin ich genauso intelligent.

Aber das ist eben ein ganz anderes Kaliber, ob man mit Javascript irgendwelche Hashs erstellt oder eben SSL. Die Sache ist halt: Wofür überhaupt den Aufwand - wen soll das abschrecken? Sind wir hier alle so überaus intelligent oder ist es einfach nur einfach?

Ja, selbst SSL kann man als Angreifer überwinden, wenn man den DNS und eine Lücke in OpenSSL - beides in den letzten Monaten vorgekommen - auf seiner Seite hat.

Original von knalli

Viele haben aber wenigstens von "Https", "Schlossymbol" und "gefärbte Internetlinkleiste" gehört.

Wobei letzteres ja wieder wegrationalisiert wurde, warum auch immer.

SSL ist imho der mit Abstand beste Phishing Schutz. Wie knalli schon schreibt - fast jeder hat in den letzten Monaten schon etwas von den Merkmalen einer SSL Verbindung gehoert. Im Firefox steht die echte verifizierte URL sogar unten rechts in der Statusleiste, vor Tricks wie Faking der URL mit www.galaxynews.de@ip_addr_im_dec_format wird zudem per Popup Menue gewarnt.

Im Firefox ist nix mit Zertifikat mal eben akzeptieren... es kommt eine Fehlermeldung bei einem fehlerhaften / nicht eingebundenen Zertifikat, bei der der Durchschnittsuser schon mehr als abgeschreckt ist.. dann muss man eine "Ausnahme" hinzufuegen, das Zertifikat herunterladen und dann nochmal bestaetigen. Wer das fuer eine Phishing Seite tut, der ist eben auch selbst schuld. Ka ob der IE 7/8 da auch endlich mal voran kommt.

Klar kompromittieren Luecken in SSL und DNS auch dieses System, aber sobald dergleichen grossflaechig genutzt wird, wird es auch bekannt und wird gefixt und bis zu dem Punkt ist galaxy-news wohl weniger primaere Angriffsflaeche als Banken/Paypal/Ebay, dazu gibt es hier einfach zu wenig zu holen. ;)

Original von Klaus

Ich weiß nicht, wann die Theorie, dass diese Lösung SSL ersetzen soll, entstanden ist. Es ist einfach nur die "poor mans"-Lösung und sicher ist man auch nicht mit SSL und ohne Javascript. Phishing klappt doch auch ohne JS und bei MIM leite ich einfach auf einen Login ohne SSL. Welcher normale Nutzer achtet schon darauf wenn er es nicht mal bei seiner Bank gebacken kriegt?

Na, wenn es nicht SSL ersetzen soll, wieso nimmt man dann nicht einfach SSL? Denn wenn man das tut, braucht man auch das Javascript nicht mehr. Wenn es die "poor mans" Loesung sein soll, dann soll es ja sehr wohl SSL ersetzen.  ;)

Ich denke die meisten User sind mittlerweile weit mehr fuer dergleichen sensibilisiert, als man meint. Dazu war das Thema einfach viel zu oft in der Presse.

Gerade bei OpenID finde ich es aber immens wichtig, dass SSL vorhanden ist und vor allem als Provider ist man imho in der Pflicht seine User bereits bei der Registrierung _ausdruecklich_ darauf hinzuweisen, dass sie immer das Vorhandensein von gueltigen SSL Zertifikaten beim Login ueberpruefen sollen. Genau dasselbe macht man bei Paypal ja auch - aus gutem Grund.

Auch wenn es etwas kostet, OpenID Provider ohne SSL spielen zu wollen, ist einfach absolut verantwortungslos. Und ohne OpenID ist es ja "ganz nett" um einfaches Sniffing zu vermeiden, aber wie gesagt, ich faende es eher als Ansporn.. wenn ich in nem Netz haenge und Passwoerter und Session IDs raussniffe, dann interessieren mich irgendwelche Gaming Webportale herzlich wenig. Wenn die aber mit Pseudo Sicherheitsmassnahmen anfangen, ist das eine Motivation sich reinzuknien. ;)

Original von Klaus

Original von knalli

Viele haben aber wenigstens von "Https", "Schlossymbol" und "gefärbte Internetlinkleiste" gehört.

Wobei letzteres ja wieder wegrationalisiert wurde, warum auch immer.

Also ich hab HTTPS, ein Schloss unten rechts, daneben die echte URL und eine gruene Leiste. FX 3.0.4.

Im Chrome ein gruen gefaerbtes HTTPS, Schloss rechts am Rend und eine gelbe Leiste.

Original von Kallisti

Original von Klaus

Original von knalli

Viele haben aber wenigstens von "Https", "Schlossymbol" und "gefärbte Internetlinkleiste" gehört.

Wobei letzteres ja wieder wegrationalisiert wurde, warum auch immer.

Also ich hab HTTPS, ein Schloss unten rechts, daneben die echte URL und eine gruene Leiste. FX 3.0.4.

Teilweise richtig. FF hinterlegt zum Schloss nur noch das Favicon blau - kaum zu erkennen. Lediglich die teuersten Zertifikate zeigen einen grünen Balken mit Namen darin - die gibt es bei wenigen Banken zu sehen.

Der IE ist ebenfalls recht sparsam mit den Merkmalen. Wenigstens wird vor einem ungesichertem Zertifikat ähnlich wie im FF groß gewarnt.

Nun, das mag an Firefox Themes oder Extensions liegen, aber bei mir sieht das so aus:

Und das habe ich sowohl bei selfsigned certs (akzeptierte), als auch CACert certs (root cert importiert - und ja, ich weiss dass ich das bei mir auf dem Server fuer IMAP, Jabber und HTTP noch updaten muesste und es derweil angreifbar ist, aber ausser mir selbst nutzt es niemand, SSH ist natuerlich gefixt), als auch Amazon, Ebay, Paypal, Heise, gad (Onlinebanking)... Sag mir irgendeine SSL Seite, bei mir sehen die alle so aus? Kann natuerlich wirklich an einem Plugin liegen, aber ich finde das ist so idiotensicher. ;)

Edit: Die drecks Breitenbegrenzung skaliert mein Bild kaputt.. -_- -> Rechtsklick und Bild allein anzeigen lassen.

>  Ka ob der IE 7/8 da auch endlich mal voran kommt.

Schon seit etwa 2 Jahren...

Wer die Seite dennoch besuchen möchte, der ist frei genug und wird nicht vom Browser bevormundet.

Okay, ich hatte bis vor kurzem ewig lang den 6er auf dem Firmenrechner und erinner mich noch an das "Ja / Nein" Fenster, was da aufpoppte. So wie oben geht es natuerlich, wobei noch eine Warnung kommen sollte, wenn man auf fortsetzen klickt. Aber ich geh mal davon aus, das ist der Fall. ;)

Original von Kallisti

Nun, das mag an Firefox Themes oder Extensions liegen, aber bei mir sieht das so aus:

Ja, da wirst du irgendetwas unabsichtlich konfiguriert haben. Ich fände es erschreckend, wenn ich nicht wüsste, welches Addon bei mir Änderungen hervorruft.

Die normale Ansicht sieht jedenfalls so aus:

1. Teuerstes Zertifikat (AFAIK "Extended Validation")
2. normales Zertifikat
3. normales Zertifkat nach Anpassung in der about:config

Okay, grad getestet, liegt tatsaechlich (wie vermutet) am Theme. Find ich aber nichtmal unbedingt schlecht. ;) - Woher soll man dergleichen auch wissen, wenn man nicht den Standard Theme nutzt / nie benutzt hat? ;) Es tut ja wie gewuenscht seinen Dienst.

Nichtsdestotrotz sind auch die Markierung des Favicons und vor allem Schloss und URL unten rechts alles andere als zu uebersehen, gerade wenn man weiss, dass man darauf achten muss. Und ich wiederhole mich hier gern, ebenso wie bei Paypal oder Banken, ist grad z.B. ein OpenID Provider in der absoluten Pflicht seine User darauf hinzuweisen, dass sie darauf zu achten haben. Ich find ja, dass OpenID eine feine Sache ist, aber Phishing und Sniffing sind ein reelles Risiko und durch die Zentralisierung des Logins darf man imho auf keinen Fall auf SSL verzichten.

Oder anders gesagt: sollte ich jemals openid implementieren, wuerde ich nur https IDs zulassen.

23:09 <@Klaus`> Artrey: ich versteh nicht was ihr mir im Forum sagen wollt
23:10 <@Klaus`> das SSL toll ist, dass Käse Löcher hat und Autos auf Reifen fahren?

-> Dass man um SSL nicht herum kommt, wenn man OpenID Provider spielen moechte (wollt ihr ja, oder? deshalb ja all der Krempel mit "Sicherheitsfunktionen" rund um den Account, siehe automatischer Logout letzte Woche...) und sich dergleichen unnoetige Spielereien sparen kann, da man sowieso ein SSL Zertifikat braucht, wenn man ernsthaft die Verantwortung den Usern gegenueber fuer ihre Logins uebernehmen meochte.

Ich bekomm jetzt dafür weder Prozente noch Süssigkeiten, wollte aber doch mal anmerken welchen SSL Anbieter ich persönlich bei vielen meiner Projekte in Anspruch genommen habe: https://www.psw.net/

Original Thawte Zertifikat für 1 Jahr, pro Domain, kostet da 39 Euro. Ich finde das ist es wert.

Mich perönlich stört das Thema JS Login nicht, aber um beim User Vertrauen zu schaffen finde ich 39 im Jahr nicht zuviel.

Die gibt es aber für den / einen ähnlichen Preis auf sehr vielen Seiten. Hab gestern ein wenig herumgeschaut, da hat Klaus aber schon recht, dass die Extended Validation Zertifikate alle 500-900$ pro Jahr kosten.

http://de.wikipedia.org/wiki/Extended-Validation-Zertifikat

Nur denke ich eben, wenn man die Anwender bewusst darauf hinweist, reicht auch ein "normales" Zertifikat. Und wenn es nicht unbedingt Thawte sein muss, bekommt man die sogar schon ab 15-20 Euro - in allen gängigen Browsern verinstallierte CA. - auch auf der von Dir verlinkten Seite: https://www.psw.net/ssl.cfm

Aber bei derartig geringen Beträgen muss man auch nicht wirklich um ein paar Euro streiten..