MOTOR-TALK - Wir stellen komplett auf HTTPS um

[MT-Christoph]

Hallo,

wir haben in den letzten Wochen hinter den Kulissen viel Arbeit investiert um MOTOR-TALK für Euch sicherer zu machen.

Das Ergebnis unserer Bemühungen ist dass wir MOTOR-TALK ab heute komplett mit dem https Protokoll ausliefern.

Was bedeutet das?

Die Übertragung von Daten zwischen Eurem Rechner/Mobilgerät und unseren Servern erfolgt komplett verschlüsselt und somit abhörsicher für eventuelle dritte.

Was ändert sich dadurch für Euch?

Nichts. :) Also Ihr müsst aktiv nichts tun.

Denn das Cockpit also Bereiche wo private Daten übertragen werden liefern wir schon immer per https aus.

Je nachdem welchen Browser ihr verwendet seht ihr vorne in der Adressleiste ein grünes Symbol wenn Ihr auf einer Seite surft welche per https ausgeliefert wird.

 

Wir haben intensiv und gründlich getestet, dennoch besteht die Möglichkeit dass es irgendwo hakt. Aber wir beobachten das ganze heute und die nächste Zeit intensiv und sind darauf vorbeitet schnell zu reagieren.

Viele Grüße

Christoph

[schrauber10]

Wie funktioniert das denn?

Wenn ich auf der anderen Seite wieder entschlüsseln will, muß ich doch ein Codewort dazu wissen.

Und woher weiß die Gegenseite überhaupt, daß das Bitmuster verschlüsselt ist?

Wenn das Codewort zum Entschlüsseln nicht ewig gleich sein soll, muß es doch erst mal an die Empfangsseite übermittelt werden. In diesem Moment kann doch noch nicht verschlüsselt worden sein.

Kann mir das jemand erklären?

schrauber

[wellental]

@schrauber10 : Das geht mit asymmetrischer Verschlüsselung. Da gibt es zwei Schlüssel. Einen geheimen und einen, der jedem bekannt ist.

Primitiv gesagt, wird da bei der Auslieferung der Webseite zum Browser des Benutzers mit einem privaten, nur MT bekannten Schlüssel verschlüsselt. Entschlüsselt kann das NUR mit dem sogenannten öffentlichen Schlüssel werden. Dieser ist jedem bekannt. Somit ist sichergestellt, dass 1. jeder den Inhalt der Webseite lesen kann und 2. niemand den Inhalt, den MT ausliefert, verändern kann, denn dazu bräuchte er den privaten Schlüssel, um die veränderte Webseite erneut zu verschlüsseln.

Sendet der Benutzer nun Daten zum MT-Server, beispielsweise um sein Passwort zu ändern, wird dieser Datenstrom mit dem öffentlichen Schlüssel (jedem bekannt) verschlüsselt und kann NUR mit dem privaten (nur MT bekannten) Schlüssel entschlüsselt werden. Somit ist sichergestellt, dass 1. keiner die Daten des Benutzers verändern kann und 2. keiner mitlesen kann, der nicht den privaten Schlüssel besitzt.

Hier stehts genauer: https://de.wikipedia.org/.../Public-Key-Verschl%C3%BCsselungsverfahren

@MT-Christoph : Super Sache!

[schrauber10]

Danke für die INfo!

Ich bin immer von der Vorstellung ausgegangen, daß niemand, außer dem Empfänger, die Nachricht lesen kann.

Jetzt kann also doch jeder mit dem öffentlichen Schlüssel lesen und damit ist die Nachricht nicht mehr vollständig geheim. Dann geht es natürlich.

schrauber

[metalhead79]

Zitat:

@schrauber10 schrieb am 19. Mai 2017 um 18:7:12 Uhr:

Jetzt kann also doch jeder mit dem öffentlichen Schlüssel lesen und damit ist die Nachricht nicht mehr vollständig geheim.

Nein entschlüsseln kannst du nur mit dem Private Key, verschlüsselt (kann jeder) wird mit dem Public-Key.

Das findest du im Netz aber alles.

Schlüssel werden beispielsweise mit dem Diffie-Hellman-Algorythmus ausgetauscht ohne daß ein Lauscher den Private-Key erfährt.

 

Gruß Metalhead

[wellental]

Zitat:

@schrauber10 schrieb am 19. Mai 2017 um 18:07:12 Uhr:

Jetzt kann also doch jeder mit dem öffentlichen Schlüssel lesen und damit ist die Nachricht nicht mehr vollständig geheim. Dann geht es natürlich.

Die Webseite soll ja auch jeder lesen können. Nur die kann mit dem Public Key entschlüsselt werden. Die Daten, die der User an den Server schickt können dagegen nur mit dem Private Key entschlüsselt werden. Somit sind die Daten geheim.

[metalhead79]

Nein, ganz falsch.

Es ist immer in beide Richtungen verschlüsselt. Dafür gibt's ja ein Schlüsselpaar. Auch was ihr zu lesen bekommt ist verschlüsselt damit keiner zwischendrin die Daten verfälschen kann.

 

Gruß Metalhead

[Go}][{esZorN]

Ich grade mal eben meinen Keylogger aus, mal sehen, wem ich ihn "schenke". :D

[metalhead79]

Darf mit MT aber nur noch verwendet werden wenn er dir die Daten verschlüsselt sendet. :D

[apfelgruener]

Vielleicht sollte man sich bei MT erstmal um Perfomance Probleme und grundsätzliche Erreichbarkeits Dinge kümmern.

Die App reißt auch keinen vom Hocker, jeder Drei Mann Betrieb hat ne bessere (etwas überspitzt) ...

[wellental]

Zitat:

@metalhead79 schrieb am 19. Mai 2017 um 20:25:32 Uhr:

Nein, ganz falsch.

Es ist immer in beide Richtungen verschlüsselt. Dafür gibt's ja ein Schlüsselpaar. Auch was ihr zu lesen bekommt ist verschlüsselt damit keiner zwischendrin die Daten verfälschen kann.

Gruß Metalhead

nix anderes hab ich geschrieben. nur wird halt einmal mit dem private und in die andere richtung mit dem public key verschlüsselt . entschlüsselt kann es jeweils nur mit dem anderen partner des schlüsselpärchens werden.

[twindance]

Zitat:

@apfelgruener schrieb am 20. Mai 2017 um 17:58:37 Uhr:

Vielleicht sollte man sich bei MT erstmal um Perfomance Probleme und grundsätzliche Erreichbarkeits Dinge kümmern.

Die App reißt auch keinen vom Hocker, jeder Drei Mann Betrieb hat ne bessere (etwas überspitzt) ...

Sprich doch bitte das konkrete Problem der app im entsprechenden Thread an, statt hier nur völlig substanzlos und themenfern herumzumotzen :rolleyes: . Das Thema hier heißt "MOTOR-TALK - Wir stellen komplett auf HTTPS um".

[apfelgruener]

@twindance

Generell finde ich die Umstellung auf HTTPS durchaus super mega giga toll. Allerdings gibts auf MT auch noch deutlich andere Baustellen, was ich damit zum Ausdruck bringen wollte.

Selbstverständlich wurden die von mir genannten Probleme in entsprechenden Threads schon angesprochen, allerding stößt man da nur auf die Resonanz "Wir kümmern uns drum" ... :D

[Salamipizza]

Zitat:

Das Ergebnis unserer Bemühungen ist dass wir MOTOR-TALK ab heute komplett mit dem https Protokoll ausliefern

Meine Debugging-Konsole sagt da aber etwas anderes... :P

Code:
23:44:30.391 Gemischte (unsichere) Anzeige-Inhalte von "http://static.motor-talk.de/img/global/logos/motortalk.png" werden auf einer sicheren Seite geladen[Weitere Informationen] lalala
23:44:30.394 Gemischte (unsichere) Anzeige-Inhalte von "https://static.motor-talk.de/img/global/logos/motortalk.png" werden auf einer sicheren Seite geladen[Weitere Informationen]


Es ist einfach zu reproduzieren: Provoziert einfach einen Server-Error (z.B. 404). Hier werden Inhalte immer noch gemischt ausgeliefert. Ist jetzt überhaupt nicht tragisch, aber dennoch ein Bug. :P

[wellental]

Zitat:

@wellental schrieb am 20. Mai 2017 um 18:12:13 Uhr:

Zitat:

@metalhead79 schrieb am 19. Mai 2017 um 20:25:32 Uhr:

Nein, ganz falsch.

Es ist immer in beide Richtungen verschlüsselt. Dafür gibt's ja ein Schlüsselpaar. Auch was ihr zu lesen bekommt ist verschlüsselt damit keiner zwischendrin die Daten verfälschen kann.

Gruß Metalhead

nix anderes hab ich geschrieben. nur wird halt einmal mit dem private und in die andere richtung mit dem public key verschlüsselt . entschlüsselt kann es jeweils nur mit dem anderen partner des schlüsselpärchens werden.

ok, da bin ich wohl "gefaehrlichem halbwissen" zum opfer gefallen. es wird browser ein sitzungsschlüssel generiert und per diffie-hellman zum server übertragen und dann in form einer symmetrischen verschlüsselung für beide richtungen verwendet. hatte das anders im kopf, sorry.