Project

General

Profile

Actions
Copy link

Bug / Feature #813

closed

https für Login auf Webressourcen der PP

Added by elbe over 13 years ago. Updated over 11 years ago.

Status:
Closed
Priority:
Low
Assignee:
elbe
Category:
-
Target version:
-
Start date:
23 January 2011
Due date:
12 March 2013
% Done:

100%

Estimated time:
Request Type:
Bug Report

Description

Wenn ich mich im Wiki oder auf dem Webserver (PPS oder PPZH) anmelden möchte, wird das Login-Fenster auf einer http-Seite angezeigt.
Wenn ich dieses Formular in dieser Form ausfülle, wird mein Passwort unverschlüsselt übertragen und kann von einem Passwort-Sniffer ohne Probleme aufgefangen und in der Folge missbraucht werden.

Die Argumentation auf http://forum.piratenpartei.ch/viewtopic.php?f=162&t=2484 kann ich nicht nachvollziehen. Speziell das Argument "Anmeldungen können wie gesagt auf wunsch per SSL verschlüsselt werden - wir wollen es nur niemandem aufzwingen." erscheint mir nicht überzeugend.

Als Internetsurfer gehe ich davon aus, dass sich ein Login-Formular ausschliesslich auf einer Seite befindet, welche über https aufgerufen wurde. Ich kenne keinen seriösen Anbieter, welcher ein Login ohne https erlauben würde. Ganz im Gegenteil gehe ich davon aus, dass ein Login auf einer http-Seite auf eine hochgradig suspekten Anbieter schliessen lässt.

Gerade im Fall der PP bin ich (bis anhin) ganz selbstverständlich davon ausgegangen, dass einem ordentlichen Schutz eines solch hochgradig schützenswerten Guts wie einem Passwort eine sehr hohe Priorität eingeräumt wird. Entsprechend habe ich mich bisher nie darauf geachtet, ob die Login-Seite über https aufgerufen wird. Als Folge davon ist mein Passwort bisher, ohne dass ich das wollte und ohne dass mir das bewusst gewesen wäre, unverschlüsselt über das Internet verschickt worden.
Ich finde das in hohem Mass fahrlässig und ich bin äussest unzufrieden, dass ich nicht von Seiten der PP nachdrücklich auf diese Gefahr hingewiesen worden bin!

Wenn es um Sicherheit geht, müsst ihr von einem Worst-Case-Szenario ausgehen. SSL ist ein Muss, keine Option. Eine Warnmeldung, die weggeklickt werden muss, ist definitiv das kleiner Übel als ein unbewuss in Klartext verschicktes Passwort.

Ich bitte euch deshalb eindringlich um eine erneute Diskussion dieses Anliegens und um eine Lösung, welche den aufgeführten Sicherheitsbedenken entspricht.

Viele Grüsse
Benno

Related issues 1 (0 open1 closed)

Is duplicate of SMF Forum - Bug / Feature #4196: CAS fürs ForumClosedLukyLuke09 December 201231 May 2013

Actions
Actions
Copy link

Also available in: Atom PDF