Support Bereich Hier finden Sie Antworten auf alle Fragen zu Ihrem Xobor Forum.
Wählen Sie zunächst einen Hilfe-Bereich.

Zitat von Rabendolch im Beitrag #15

---

So, jetzt hast Du de facto eine Gegenstimme eingesammelt, wo "nichts sagen" für euren Wunsch sicher dienlicher gewesen wäre. Besser?

---

Zitat von joesachse im Beitrag #17

---

Der Aufwand, verschlüsselte Kommunikation allgemein und in großem Stile zu überwachen ist heute noch sehr groß, wenn dies nicht nahezu unmöglich ist. Deshalb macht Verschlüsselungen den Überwachern die Arbeit ungleich schwerer. Und deshalb würde ich es begrüßen, wenn dies hier möglich wäre.

---

Ich habe mich inzwischen in die Thematik ein bissele eingelesen und würde sagen ja dafür. Aber mit einer Einschränkung. Es müste so umgesetzt werden das man es im Adminmenü einfach einstellen kann da ja nicht alle so bewandert sind wie Tausendstern oder andere.

Entschuldigt bitte, wenn ich mich hier einmische, aber es ist eine Illusion, dass verschlüsselte Seiten nicht ausgelesen werden können und bereits ausgelesen werden.

Die Nachrichten in Bezug auf die NSA z.B. befassten sich auch mit verschlüsselten Daten wie Bankverkehr etc. Es wurde eindeutig gesagt, dass auch diese ausgelesen werden können.

LG
River

Hey Johannes,

Es war nicht gegen die Server von Xobor gerichtet.

Es ist nur so, ich denke nicht, dass Foren abgehört oder Daten hiervon ausgelesen werden, sofern kein potentieller Terrorist ein Forum als Basis benutzt. Außerdem denke ich, dass die Daten von einer privaten Person, die sich legal im Netz bewegt sowieso nutzlos für Geheimdienste sind. Drittens denke ich, dass nur spezifische Daten aufgrund eines Anfangsverdachts ausgelesen werden.

Aber auch wenn wir hier Server in Deutschland haben, so glaube ich dennoch, dass der BND darauf zugreifen kann, wenn er das denn für nötig hält. Auch auf die von Xobor.

Mein Vertrauen insgesamt auf Datenschutz ist praktisch nicht vorhanden, weil wir mit Sicherheit nur das wissen, was Einzelne bekannt machen und es ist gut, dass es diese Menschen gibt. Aber auch sie wissen mit Sicherheit nicht alles.

LG
River

PS: Bei einem autarken Serversystem schicken die halt einen IT-Spezialisten vorbei. Ist doch klar.

Generell richtete sich eine solche Maßnahme gegen "Mitleser" oder "Datenschnüffler" ja nicht gegen NSA & Co, die allein in diesem Jahr rund 250 Millionen US Dollar dafür ausgeben können, dass selbst sichere Methoden der Datenübertragung im Internet erfolgreich ausgehebelt werden können.

Nein, hier geht es allein um die Kleinkriminellen, die offenbar einen Heiden-Spaß daran haben, wenn sie irgendwo Sicherheitsschranken knacken und Unfug treiben können. Sicher ist nicht davon auszugehen, dass jeder Hacker auch gleich ein Superprofi ist. Doch gerade die Nachzügler, jene also, die sich erst in ihrem bescheuerten Handwerk noch üben wollen, suchen sich dann erst einmal die eher schwächer geschützten Bereiche im Internet heraus.

Die Zeiten sind einfach vorbei, wo man noch mit dem beruhigenden Gefühl davon ausgehen konnte, "dass einem so etwas schon nicht passieren wird" (denn warum soll es denn ausgerechnet mich treffen ...).

Und ehrlich gestanden, ich finde es auch beinahe schon beschämend, dass ich in meiner Datenschutzerklärung einen Satz wie diesen drin stehen haben muss:
Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hier könnte durchaus ein ganz anderer Hinweis stehen:

Zu Ihrem Schutz vor Datenmissbrauch haben wir größtmögliche Anstrengungen unternommen, indem Ihre gesendeten und empfangenen Daten grundsätzlich SSL-verschlüsselt übertragen werden. Wir fänden es unseriös, wenn wir Ihnen diese Sicherheitsvorkehrung in heutiger Zeit nicht zur Verfügung stellen würden.

Das hat nichts mit Paranoia zu tun, sondern eher mit Service.

De facto ist der Satz mit dem nicht möglichen lückenlosen Datenschutz aber die richtigere und fairere Variante.

Es gibt nirgendwo 100%tigen Schutz gegen alles, das Leben an sich ist lebensgefährlich!

Ich vertraue der Sicherheit von Xobor. Meine größeren Bedenken sind immer noch eher die User und zwar aus folgenden (allgemeinen) Gründen, die Menschen immer noch häufig machen:

- Passwörter auf dem Rechner speichern
- privateste Infos und Fotos (Kids!) öffentlich sichtbar einstellen
- Payback-Karten nutzen (und sich hinterher über die Werbung wundern, die im Kleingedruckten angekündigt wurde)
- Freunden, Familie und/oder Bekannten Zugriff auf eigene Logins geben oder unbeaufsichtigt an den eigenen Rechner lassen
- etc.

Und ja, es gibt auch genügend Admins, die ihren Hauptadmin-Zugang einfach hergeben, damit irgendein entfernter Bekannter oder Techniker ihr Forum aufhübscht. Oder wo sich mehrere Admins einen Zugang teilen. Vielfach würde es schon helfen, wenn die Admins sich mal durchlesen, was sie hier so in der Hand haben und ihre Foren wirklich dicht machen (Lese/Schreibrechte, nicht nur Kategorien zuklappen, Mitgliederliste nach aussen unsichtbar machen und so weiter). Aber häufig scheitert es schon an der schlichten Bequemlichkeit der Admins. Und das in Foren (generell, egal welcher Anbieter) mitgelesen werden kann oder auf andern Plattformen (fb!) so einfach an Infos zu kommen ist, liegt einfach daran, dass die vorhandenen Möglichkeiten nicht mal ansatzweise angetastet werden.

Darüber hinaus, die Daten, an die NSA & Co gekommen sind, haben sich für gewöhnlich nicht über Hacks erreicht, sondern dass ihnen Direktzugriffe über die Anbieter gegeben wurde. Hier muss man aber auch wissen, dass in Amerika andere Gesetze herrschen und Unternehmen dort gezwungen sind, diese Daten auf Anfrage rauszugeben und dass sie darüber nichts verlautbaren dürfen. Wir haben hier in Deutschland andere Voraussetzungen.

So habe ich das nicht gesehen, Tausendstern. Natürlich hat sich mein Beitrag schon auf 'übergeordnete' Organisationen bezogen.

Ehrlich gesagt, graust es mich auch vor Hackern und ich glaube, bei mir hätte jeder leichtes Spiel - also auf meinem PC.

Wenn also wenigstens vor diesen Umtrieben geschützt ist, so fände ich die Verschlüsselung seitens Xobor schon sinnvoll. Zumal offensichtlich schon eine gewisse Unsicherheit herrscht.

Aber ich denke, das weiß Johannes wirklich besser als ich - bin ja nur ein verschreckter Bürger angesichts der täglichen Nachrichten.

Übrigens halte ich eben vieles für Panikmache, aber vorsichtig und skeptisch sollte man dennoch sein.

Danke noch, Johannes, für deine Erklärung bezüglich der Server.

LG
River

Danke River!

Und @Rabendolch : Selbstverständlich obliegt es unserer eigenen Pflicht, dafür Sorge zu tragen, dass Daten, etwa jene in den Benutzerprofilen, nicht nur für Gäste oder ggf. auch für bestimmte Benutzergruppen nicht zugänglich gemacht werden, sondern generell auch für Suchmaschinen zu blockieren. Da reden wir nun wirklich über das Kleine Einmaleins, hinter das man eigentlich schon nach ein bisschen Überlegen kommen sollte, bevor man sein eigenes Forum online stellt.

Das eine schließt hier aber leider nicht das andere aus. Und das sind nun mal die bösen Buben, und wohl seltener vielleicht auch böse Mädels, die ihren Spaß beim Unheil stiften haben.

Ich setze ebenso mein Vertrauen in die Fähigkeiten der "xoborianischen" Technik und Erfahrung. Doch ich würde niemals behaupten, dass eine verschlüsselte Datenübertragung eine überflüssige Sache wäre. Wollen wir nicht alle, dass sich unsere User auch wirklich wohl fühlen? Dazu gehört dann aber auch, dass dem Bedürfnis nach Sicherheit, das sich im Internet ohnehin immer weiter verbreitet, in entsprechender Weise Rechnung getragen werden sollte.

So sehe ich das.

Sicher ist es nützlich. Genauso wie es nützlich ist, ein ordentliches Sicherheitsschloss an der heimischen Tür zu haben, um nicht, salopp gesagt, jeder Neugiernase Tür und Tor zu öffnen.

Was ich aber als falsch empfinde, ist es, den Nutzer (in dem Fall auch den andern Admins) zu suggerieren, diese Verschlüsselung würde mehr Sicherheit bieten, als sie tatsächlich kann. Insofern sollte der Satz mit dem eben nicht 100%tigen Schutz auf jeden Fall drin bleiben (nur als Beispiel).

Und, wie Du sicher hier selbst jeden Tag lesen kannst, die hiesigen User, also die Admins, stolpern eben schon oft genug über das kleine Einmaleins, wie Du es so schön nennst. Es kommen die Nachfragen, warum Beiträge über Google findbar sind, die Leute setzen sich ungeprüften Code in die Titelzeile, weil es ein hübsches buntes Bildchen oder ein Game liefert, und so weiter.

Sicher, die https-Verschlüsselung bietet ein höheres Sicherheitslevel, aber es ist kein Allheilmittel. Und vor allem, und das muss halt wirklich jedem Admin klar und deutlich um die Ohren gebeutelt werden, es ist nur ein Zusatz zu allen bisherigen Mitteln, kein Ersatz.

Ich selber nutze, wo es möglich ist, https-Verschlüsselungen, aus verschiedenen Gründen. Aber diese hoch aufgehängten Sachen wie NSA&Co finde ich übertriebene Panikmache. Und der Hacker von nebenan kommt eher über eine ungesicherte Lan-Verbindung, eine Bluetooth-Schnittstelle oder eben die vorgenannten Punkte an sensible Daten als über das Knacken eines Forums.

Es ist in den meisten Fällen nicht notwendig, den Code einer Community, eines Forums oder ähnlicher Dinge zu hacken, wenn es doch so viel einfacher ist, einen User-Account zu übernehmen, indem man sich Passwörter erschleicht (pishing) oder einfach mit Querverweisen ausprobiert (von fb das Geburtsdatum geholt und im Forum als PW ausprobiert).

Bitte nicht falsch verstehen, grundsätzlich stehe ich SSL-Verschlüsselungen immer positiv gegenüber, aber ich sehe auch, dass es prozentual nur sehr wenige Foren gibt, wo diese Verschlüsselung wirklich einen Mehrwert bringen dürfte, wo es um Thematiken geht, die wirklich diffizil sind. In den allermeisten Fällen sind es profane Freizeitforen oder andernweitig eher unbedenkliche Inhalte.

Und: Es soll, bzw. es darf nicht suggeriert werden, dass diese Verschlüsselung 100% Sicherheit gibt, es muss deutlich sein, dass trotzdem sorgsam mit den eigenen Daten und Postings umgegangen werden muss, dass nicht alles für den elektronischen Weg geeignet ist.

Ich könnte mir hier sogar nicht nur eine Bepreisung so allgemein vorstellen (halt SSL für kostenpflichtige Tarife), sondern eine Einzelbepreisung pro Domain (manche Foren werden über mehrere externe Domains angesteuert, ähnlich regulären Webseiten). Was wünschenswert wäre: Dass dann hauseigene Adressen, also die Grundnummer oder ein x.xobor-Name nicht extra gezählt werden.

Guten Morgen zusammen

Erst einmal an alle die hier so fleißig mitdiskutieren (ihr wisst ja das ich es liebe, wenn hier im Forum sachlich und durchaus auch detailliert diskutiert wird ).

Nachdem ich mir die verschiedenen Standpunkte durchgelesen habe, gebe ich nochmal meine eigene Meinung (als Person, nicht als Admin) dazu ab:

Im Grunde genommen kann ich jeden der hier genannten Einwände irgendwo nachvollziehen, da sie sich meiner Meinung nach auch nicht unbedingt ausschließen.
Natürlich sollte man seinen Mitgliedern nichts versprechen in dem Sinne, was dann hinterher gar nicht geleistet/garantiert werden kann, wie etwa die 100% Sicherheit. Allerdings fasse ich Tausendsterns Aussage:

Zitat

---

Zu Ihrem Schutz vor Datenmissbrauch haben wir größtmögliche Anstrengungen unternommen, indem Ihre gesendeten und empfangenen Daten grundsätzlich SSL-verschlüsselt übertragen werden. Wir fänden es unseriös, wenn wir Ihnen diese Sicherheitsvorkehrung in heutiger Zeit nicht zur Verfügung stellen würden.

---

auch nicht so auf. Er sagt seinen Mitgliedern damit ja nur, das er all das getan hat, was er allein und persönlich alles tun konnte, um seinen Mitgliedern den größtmöglichen (aber eben nicht den vollen) Schutz bieten zu können.
Kann er auch nicht, denn ich sehe es so, wie Rabendolch es sagt: Das Leben ist lebensgefährlich und nirgendwo ist man zu hundert Prozent vor irgendwas sicher.

Die Frage ist hier meiner Meinung nach auch weniger: "Kann ich meinen Mitgliedern 100% Sicherheit versprechen?", sondern eher "Kann ich meinen Mitgliedern _mehr_ Sicherheit besorgen und ihnen dadurch ein besseres Gefühl vermitteln?"

Es geht nicht darum, die ultimative Festung im Internet zu errichten, ein Forum zu führen das den Untertitel "Fort Knox" trägt.
Sondern darum, den eigenen Mitgliedern, die - wie River es so treffend beschrieben hat - zu den durch die Nachrichten verschreckten Bürgern zählen, einfach ein bisschen mehr Sicherheit zu bieten.
Ihnen einen Ort zu geben, an dem sie sich wohl fühlen und sich relativ frei bewegen können, ohne hinter jedem Klick eine von der NSA überwachte Seite zu vermuten.

Sicherheit fängt bei jedem selbst an, da liegt ihr völlig richtig und leider sind viel zu viele Foren immer noch wie Troja nachdem ein Admin oder ein Mitglied das Holzpferd eingelassen hat.
Aber ich denke auch, dass allein wenn man seinen Mitgliedern diesen Zusatz bietet, das man ihn dann auch gesondert erwähnt und damit seine Mitglieder auch nochmal auf das Thema Sicherheit an sich bringt - viele sicherlich (erschreckenderweise) zum ersten Mal, aber immerhin.

Es ist also nicht unbedingt (nur) der Verschlüssellungs-Zugewinn den man mit der zusätzlichen Sicherung macht (denn auch hier stimme ich Rabendolch zu: Es ist nur zusätzlich, nicht ersetzend), sondern auch ein Zugewinn ganz anderer Art.
Ein besseres Gefühl und mehr Vertrauen von seinen Mitgliedern. Außerdem ist es ein Service in der heutigen Zeit der Servicewüsten, den nicht jede Plattform bereit ist aufzubringen.
Vielleicht ändert sich das aber zukünftigt, wenn irgendjemand mal den Anfang macht.

Ich persönlich bin daher unter Betrachtung aller Pro und Contra Argumente für diesen Vorschlag.

Auch Dir einen guten Morgen, Alice - und vielen herzlichen Dank für Deine beachtenswerte und wirklich gelungene Zusammenfassung zu diesem nicht unbedingt einfachen Thema! (Dich möchte man ja am liebsten sofort für das eigene Forum als Mitglied gewinnen, wenn ich mal ganz offen sein darf.)

Ich möchte an dieser Stelle noch eine kleine Ergänzung zu meinem Beitrag in Posting #23 schreiben. Ich schrieb da: "Zu Ihrem Schutz vor Datenmissbrauch haben wir größtmögliche Anstrengungen unternommen, indem Ihre gesendeten und empfangenen Daten grundsätzlich SSL-verschlüsselt übertragen werden."

Beim Formulieren dieses Satzes, der ja für eine mögliche zukünftige Datenschutzerklärung in meinem Forum gedacht ist, dachte ich mir noch: "Schreibst Du da jetzt nicht sofort dazu, dass es dennoch keinen lückenlosen Schutz der Daten vor Zugriff durch Dritte gibt", dann wird Dir diese Aussage wahrscheinlich wieder als unrichtig ausgelegt.

Zum einen gebe ich Rabendolch ja Recht: strenggenommen müsste dieser Nachsatz mit dazu, weil es, wie wir wissen, tatsächlich keinen lückenlosen Schutz geben kann. SSL-Verschlüsselung hin oder her. Doch auf der anderen Seite: warum sollte man seine eigenen Anstrengungen auf negativ-suggestive Weise selber untergraben bloß weil manche Regierungs-Organisationen auf mafiöse Art und Weise das Recht auf Privatsphäre und Datenschutzgesetze verletzen wie es ihnen passt. Das sehe ich nicht ein.

Aus diesem Grund würde ich mich ganz bewusst für eine Formulierung ohne den erwähnten Nachsatz in meiner Datenschutzerklärung entscheiden. Denn im Falle einer SSL-Verschlüsselung bei Datenübertragungen biete ich ja bereits den größtmöglichen Schutz an. Nicht mehr und nicht weniger.

Ein weiterer Punkt, der klar für die Sinnhaftigkeit einer https-Seite spricht, ist folgender: Viele Forenbetreiber (ich selber mit eingeschlossen) verlangen bei der Registrierung eines Benutzers eine Verifizierung der E-Mail-Adresse, damit man auch weiß, ob es überhaupt ein Mensch ist, der sich da anmelden möchte. Wir erfahren da recht locker solche Dinge wie die IP-Adresse, das Geschlecht, das Geburtsdatum oder Wohnanschriften (falls bei der Anmeldung als Pflichtfelder markiert). Doch in welche Hände übergibt denn ein Benutzer eigentlich seine Daten?

Ja, hierfür gibt es dann das Impressum, und ich könnte mich, wäre ich selber ein Benutzer, der sich in einem Forum anmeldet, auch ganz leicht über die Identität des jeweiligen Forenbetreibers schlau machen. Alles kein Problem. Aber wie sieht es in der Praxis aus?

Hat ein Benutzer überhaupt die Lust dazu, sich zunächst genau über den "Verwalter und Verwahrer" seiner Daten, die von ihm verlangt werden, zu informieren? Ich würde sagen, kaum. Denn in erster Linie möchte man ja schreiben und seinen Kopf nicht mit so einem Kram belasten. Die meisten werden sich wohl auf ihren ersten Eindruck verlassen und dann aus freien Stücken selber entscheiden, ob es sich im jeweiligen Fall um eine seriöse Seite handelt oder sie lieber gleich die Finger davon lassen sollten.

Damit möchte ich darauf hinweisen, dass man als Seitenbetreiber durchaus mit gutem Beispiel vorangehen könnte, und dem Benutzer ebenfalls eine ordentliche Verifizierung von sich selber als Betreiber anbietet. Ich versuchte auf diesen Punkt bereits in Posting #2 in Ansätzen darauf hinzuweisen (siehe dort den Screenshot).

Ich würde mich wirklich sehr darüber freuen, wenn Xobor hier ein Zeichen setzten würde. Was für eine erfrischende Erweiterung das wäre! Die Nachfrage nach mehr Sicherheit im Internet ist inzwischen sicher nicht mehr gering. Und wenn schon nicht für uns Admins, so doch in jedem Fall für die zahllosen Menschen, die wir dazu bewegen möchten, dass sie sich in unseren Foren gerne anmelden.

Vielmehr kann ich dazu nun wirklich nicht mehr sagen.

Hi
Ich sage es mal sicher ist man nur wenn man seine Daten gar nicht im Netz angibt, aber dann könnte man auch gleich wieder zu Hause bleiben und ist genauso sicher wie vorher.
Ich finde das mit dem https-verschlüsseln, einfach nur eine Sicherheitsmaßnahme die man haben kann aber nicht muß. Ob sie Sinnvoll ist, mag im Auge des Betrachters liegen, ich würde diese nur nutzen aber nicht wirklich brauchen wollen. Da das kriminelle nur aufhält und nicht abschreckt. Ich finde es schon bedenklich das man überhaupt an so etwas denken muß wie ich es den kriminelle Leuten schwerer mache anstatt zu verhindern, denn am verhindern das sie es überhaupt schaffen können sich unerlaubt Zugang zu verschaffen das würde mich Interessieren aber das würde momentan bedeuten Stecker ziehen

Lg Carsten