Project

General

Profile

Actions

Bug / Feature #813

closed

https für Login auf Webressourcen der PP

Added by elbe almost 14 years ago. Updated almost 12 years ago.

Status:
Closed
Priority:
Low
Assignee:
Category:
-
Target version:
-
Start date:
23 January 2011
Due date:
12 March 2013
% Done:

100%

Estimated time:
Request Type:
Bug Report

Description

Wenn ich mich im Wiki oder auf dem Webserver (PPS oder PPZH) anmelden möchte, wird das Login-Fenster auf einer http-Seite angezeigt.
Wenn ich dieses Formular in dieser Form ausfülle, wird mein Passwort unverschlüsselt übertragen und kann von einem Passwort-Sniffer ohne Probleme aufgefangen und in der Folge missbraucht werden.

Die Argumentation auf http://forum.piratenpartei.ch/viewtopic.php?f=162&t=2484 kann ich nicht nachvollziehen. Speziell das Argument "Anmeldungen können wie gesagt auf wunsch per SSL verschlüsselt werden - wir wollen es nur niemandem aufzwingen." erscheint mir nicht überzeugend.

Als Internetsurfer gehe ich davon aus, dass sich ein Login-Formular ausschliesslich auf einer Seite befindet, welche über https aufgerufen wurde. Ich kenne keinen seriösen Anbieter, welcher ein Login ohne https erlauben würde. Ganz im Gegenteil gehe ich davon aus, dass ein Login auf einer http-Seite auf eine hochgradig suspekten Anbieter schliessen lässt.

Gerade im Fall der PP bin ich (bis anhin) ganz selbstverständlich davon ausgegangen, dass einem ordentlichen Schutz eines solch hochgradig schützenswerten Guts wie einem Passwort eine sehr hohe Priorität eingeräumt wird. Entsprechend habe ich mich bisher nie darauf geachtet, ob die Login-Seite über https aufgerufen wird. Als Folge davon ist mein Passwort bisher, ohne dass ich das wollte und ohne dass mir das bewusst gewesen wäre, unverschlüsselt über das Internet verschickt worden.
Ich finde das in hohem Mass fahrlässig und ich bin äussest unzufrieden, dass ich nicht von Seiten der PP nachdrücklich auf diese Gefahr hingewiesen worden bin!

Wenn es um Sicherheit geht, müsst ihr von einem Worst-Case-Szenario ausgehen. SSL ist ein Muss, keine Option. Eine Warnmeldung, die weggeklickt werden muss, ist definitiv das kleiner Übel als ein unbewuss in Klartext verschicktes Passwort.

Ich bitte euch deshalb eindringlich um eine erneute Diskussion dieses Anliegens und um eine Lösung, welche den aufgeführten Sicherheitsbedenken entspricht.

Viele Grüsse
Benno


Related issues 1 (0 open1 closed)

Is duplicate of SMF Forum - Bug / Feature #4196: CAS fürs ForumClosedLukyLuke09 December 201231 May 2013

Actions
Actions #1

Updated by Apophis almost 14 years ago

  • Priority changed from Normal to Low
Actions #2

Updated by corvus almost 14 years ago

  • Status changed from New to 9

Wir werden auf lange Frist ein Single Password oder sogar ein Single Login realisieren. Dies wird über einen mit einem offiziellem (kein self signed) Server realisiert. Bis es soweit ist müssen wir die bestehende Lösung beibehalten. Die uns bekannten Lösungen sind entweder für uns nicht zu bezahlen oder mit den zur Verfügung stehenden Ressourcen nicht so schnell zu realisieren.

Actions #3

Updated by Apophis almost 12 years ago

  • Status changed from 9 to 15
Actions #4

Updated by admin almost 12 years ago

  • Due date set to 12 March 2013

Automatically enforce due date for Low Priority after 60 days in the future

Actions #5

Updated by Apophis almost 12 years ago

  • Status changed from Needs Work to Done

CAS gibt es nun für Drupal und Redmine, das Forum fehlt noch, ein Ticket dazu existiert, es magelt nur an einer Implementierung, daher diese Ticket auf done. Sie related tickets.

Actions #6

Updated by admin almost 12 years ago

  • Assignee set to elbe

Automaticaclly enforce assigned-to to the author of the ticket

Actions #7

Updated by admin almost 12 years ago

  • Status changed from Done to Closed

Automatically close after 30 days

Actions

Also available in: Atom PDF