Ohne jetzt das Thema komplett aufzurollen mit allen "Variablen" - wir reden über:
HTTPS (1) - HTTP mit Verschlüsselung der Daten mittels
SSL/TLS (2) und unter Berücksichtigung der aktuellen Einschätzung was als sicher gilt, dann ist das kein Boot mit 50 Löchern, welches am Sinken ist.
Wir haben z.B. ein Loch im Rechenzentrum, weil dort welche Zugriff auf die Hardware des Servers haben. Damit muss man in den meisten Fällen leben.
Aber wenn man nun die Dienste von Cloudflare einsetzt hat man ein zusätzliches Loch, welches Cloudflare als MITM (3) ist. Da muss man sich halt überlegen wie sehr man Cloudflare vertraut und zwischen Sicherheit, Komfort und Kosten abwägen. (Also ich verteufele Cloudflare nicht)
Um nochmal kurz deren Produkt "Flexible SSL" (4) anzusprechen. Das ist einfach total sinnlos, weil der Weg von deinem Server zu Cloudflare unverschlüsselt ist. Nehmen wir mal als Beispiel, dass du das nutzt. Also ein Angreifer muss sich nur dort reinhängen. Zwischen deinem Server und Cloudflare ist auch keine direkte Leitung, sondern mehrere Netzknoten (kannst ja mal mit Traceroute gucken). Das der Weg von Cloudflare zu deinem Besucher verschlüsselt ist, macht das auch nicht mehr wett. "Lustig" ist auch, dass dein Besucher ein grünes Schloss sieht und "geschützt, sicher" denkt, aber dann bei "Flexible SSL" sowas gemacht wird. Da müsstest du mir doch wohl zustimmen oder nicht?
Es wird aber ja auch noch "Full SSL" und "Full SSL (Strict)" angeboten.
(1)
de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure
(2)
de.wikipedia.org/wiki/Transport_Layer_Security
(3)
de.wikipedia.org/wiki/Man-in-the-Middle-Angriff
(4)
www.cloudflare.com/ssl
Zuletzt modifiziert von blackcoder am 26.10.2015 - 20:52:05
Do. 22.10.2015
15:54 Uhr
#1
