Beiträge von whoami0501

Zitat von panel_ulm

ECDSA ist mir bisher keiner untergekommen aber du kannst ja ein 4096 Bit machen oder noch mehr

Kann man, sollte man aber meiner Meinung nach eher nicht.

Ich bin jetzt kein Verschlüsselungsspezialist oder so, aber mein Wissensstand ist folgender:

RSA ist ein symmetrisches Verschlüsselungsverfahren. Für mehr Sicherheit muss man hier ziemlich hohe Bitzahlen einsetzen, was zur Verwendung von mehr CPU Zeit bei Ver- und Entschlüsselung führt. Das geht auf die Performance.

Mit ECDSA als asymmetrisches Verschlüsselungsverfahren erreicht man meines Wissens mit weitaus weniger Bits (=weniger CPU Zeit bei Ver- und Entschlüsselung nötig) das gleiche Level an Sicherheit.

Zitat von panel_ulm

Okay dann kann man auch 3x Wildcard machen ich persönlich nutze immer Wildcards von Alfa weil ich an die fast für umme ran komme. Daher gebe ich mir das mit LE nicht einmal einrichten im Jahr und Wildcard aber ja gut normalerweise sind die halt nicht für fast umme

Umme= umsonst...

Mal so als Frage - generell eigentlich.

Kann man bei "Bezahlanbietern" auch ECDSA bekommen? Ich habe bisher immer nur von RSA Zertifikaten mit teilweise sogar bloß 2048 Bit gehört bzw. gelesen.

Zitat von aRaphael

Bei den rootservern hier sind ja Kerne und RAM zugesichert.

Ich gehe mal davon aus, dass das beim Netzwerk (also die 100Mbit) nicht der Fall ist?

Meines Erachtens nicht, dafür gibt es die dedizierte Netzwerkkarte als Erweiterung.

Zitat von panel_ulm

Man könnte das ganze auch in einem SAN Zertifikat lösen 3 Domains ins SAN geht auch als wildcard *.

Kann man machen, aber ich finde, zumindest wenn man LetsEncrypt nutzt, lassen sich die Zertifikate wenn sie einzeln sind einfacher verwalten. Ist aber nur meine subjektive Sicht der Sache.

Technisch möglich ist es natürlich.

Zitat von mainziman

aber nur ohne Einbeziehung der externen Kosten;

Doch? Ich habe Kaufkosten + Treibstoff + Steuer + Wartung inkl. Ersatzteile + Versicherung. Man nehme diese, bilde einen montalichen Wert daraus und wenn dieser Wert nicht mein monatliches Einkommen (welches ich ohne das Fahrzeug nicht hätte) übersteigt, dann hat sich die Sache je nach Höhe der Kosten früher oder später amortisiert.

Zitat von mainziman

genau das ist der Fehler, es gibt diesen Zwang einfach nicht;

so komisch es klingt, aber mit dem Fortschritt passieren auch so seltsame Side-Effekts¹,

die man nicht mehr rückgängig machen kann, aber dennoch niemand wirklich will;

¹ man kann sich schneller von A nach B bewegen, das ist ja ganz nett,

aber muss man damit auch längere Strecken auf sich nehmen,

und damit wieder die selbe Zeit auf Strecke lassen?

Alles anzeigen

Du hast nie auf dem Land bzw. am A... der Welt gelebt, oder?

Bei mir mag das ja noch gehen, ich kann problemlos vom Homeoffice aus arbeiten.

Aber wagen wir doch mal ein Blick in die Familie oder das Umfeld - ich hätte hier z.B. spontan Logistiker, Tiefbauer und Krankenpfleger im Angebot. In die Arbeitsorte aller dieser Leute fahren von hier aus keine Öffis und für das Fahrrad ist es sowieso viel zu weit + zu gefährlich, weil Radwege gibt es auf den Strecken nicht - nur Land-/Bundes-/Kraftfahrbundesstraßen.

Wir reden hier nicht von Zeit - wir reden hier von: entweder du hast ein Auto und kannst dich zu deiner Arbeitsstelle bewegen oder du solltest dir ein Zelt besorgen, weil du nicht mehr zur Arbeit kommst und dir damit dein Dach über dem Kopf nicht mehr leisten kannst.

Und? Nun?

Zitat von mainziman

¹ man kann sich schneller von A nach B bewegen, das ist ja ganz nett,

aber muss man damit auch längere Strecken auf sich nehmen,

und damit wieder die selbe Zeit auf Strecke lassen?

Das zeigst du mir mal praktisch, wenn der Zug z.B. nur alle zwei Stunden fährt und du jeweils noch 15-30 Minuten Laufstrecke auf erster und letzter Meile hast. Die effektive Fahrzeit ist kürzer, zweifelsfrei. Aber über erste und letzte Meile sowie Wartezeiten denkt ja mal wieder keiner nach...

Und falls du mit der exzellenten Idee kommst, das Fahrrad doch mit in den Zug zu nehmen, um die erste und letzte Meile zu vereinfachen: Vergiss es, die Züge sind immer überfüllt.

Zitat von mainziman

des musst jetzt aber genauer erklären; weil ein Auto amortisiert sich grundsätzlich NIE;

-> externe Kosten(!)

Und der Gaul lebt von Luft und Liebe? Der verursacht auch externe Kosten.

Ein Auto kann sich sehr wohl amortisieren - genau dann, wenn man es zwangsweise braucht, um jeden Tag auf Arbeit zu kommen und sein täglich Brot zu verdienen. Genauso können sich da auch der Gaul oder die Öffis amortisieren, wenn man die zur Bewältigung dieses Weges nutzt.

Inwiefern und wie schnell sich das amortisiert, liegt halt an den jeweiligen Kosten, die das Verkehrsmittel verursacht.

So lange du den Server selbst managest oder ein Webhosting nutzt, dass es unterstützt, rate ich zu ECDSA Zertifikaten (gibt es z.B. von LetsEncrypt kostenfrei mit bis zu 384 Bit). Die verwenden asymmetrische Verschlüsselungstechniken und sind damit sehr sicher.

Zudem sollte der Webserver nur TLS1.2 und TLS1.3 anbieten.

Die Kompatibilität von ECDSA ist auch durchaus in Ordnung --> https://support.globalsign.com…e-cycle/ecc-compatibility

Von RSA sollte wo möglich Abstand gehalten werden, wenn ECDSA möglich ist. Sollte nur RSA möglich sein, sollte man ein 4096 Bit Zertifikat wählen.

Mehr Infos gibt es hier --> https://www.kuketz-blog.de/ngi…nd-moderne-cipher-suiten/
Zudem empfehle ich zur Geschwindikeitsverbesserung OCSP Must Staple. Mehr dazu hier --> https://www.kuketz-blog.de/ngi…must-staple-ohne-timeout/

Hier auch nochmal etwas zum Thema ECDSA vs. RSA --> https://bitcoin.stackexchange.…sing-ecdsa-instead-of-rsa

Zitat

ECDSA offers same levels of security as RSA, but with a much smaller footprint.

In fact, the more you increase the security, the larger the RSA keys become compared to ECDSA.

Der Preis sagt nichts über die Sicherheit eines Zertifikats aus. Die Seriosität... naja, also ich habe noch niemanden gesehen, der schaut, wer das Zertifikat nun ausgestellt hat.

Da schaue ich als "Techniker" eher danach und Runzel die Stirn, wenn ich RSA sehe.

Zitat von H6G

Dieser Toyota, Baujahr 2008, der amortisiert sich jetzt schon nach 3 Jahren - im Vergleich zu deinem Pferd.

Ich würde dem das Pferd nicht abkaufen.

Netter Vergleich...

Zitat von timkoop

Ich habe doch auch von den ganz kleinen VPS 10/20/50 gesprochen und darauf Bezug genommen?! Was willst du da mit deinen 2,69€?

Naja doch, er hat schon recht. Er vergleicht mit dem kleinsten aktuell erhältlichen VPS, das ist der VPS 200 G8 zu 2,69€/Monat.

Wenn man sich den mal nimmt und mit dem VPS 50 G7 zu 0,79€/Monat vergleicht, dann hat man da 1,90€ Unterschied. Die 25€ Umzugsgebühr durch diese 1,90€ geteilt machen dann etwas über 13 Monate, bis der Spaß sich gegenüber einem VPS 200 G8 amortisiert.

Die Frage ist halt, inwiefern man das jetzt vergleichen kann oder sollte. Immerhin bietet der VPS 200 G8 auch an einigen Stellen mehr Leistung...

Bei den noch kleineren wird sich das sicher schneller amortisieren, aber man hat da halt noch weniger Leistung im Vergleich zum VPS 200 G8.

Preise + Mindestvertragslaufzeit und Technische Details wären noch cool.

Zitat von peng

Habe hier noch einen VPS 50 G7 aus irgend einer Aktion...

Jemand eine Idee was man damit vernünftiges anstellen könnte?

Dachte jetzt spontan an einen Munin server.. Aber ob das von der Leistung her ausreicht? (1vCore, 512mb).
Als System würde ich Debian nehmen.

Irgendwie weiß ich nicht was ich mit dem Kleinen anstellen soll

Also wenn die IP nicht bei Microsoft "verbrannt" ist, kannst du ihn ja mit Postfix als SMTP Relay betreiben.

Zitat von mainziman

wie sieht hier das aus, wenn der Provider ein 'verbranntes' Subnetz bekommt, wen bittet er f. den Aufwand wegen dieser Sachen zur Kasse?

Die Frage ist doch eigentlich - wer legt fest bzw. woran wird fest gemacht, wann ein Subnetz verbrannt ist?

Microsoft ist ja nur einer von vielen großen Anbietern, der dieses Subnetz geblockt haben könnte. Und allein die lassen sich ja schon nicht in die Karten schauen, inwiefern da etwas geblockt ist oder nicht.

Bei dem Beispiel mit der Mietwohnung ist das prüfbar, klar. Aber hier nicht wirklich. Zudem, wie willt man sowas gewährleisten, wenn man auf die Minute abgerechnete Server bucht? Theoretisch... hmm. Aber praktisch halte ich das für nahezu nicht realisierbar.

Zitat von Paul

Warum eigentlich ? Wenn der Server 24/7 läuft, ist auch die Festplatte 24/7 entschlüsselt. Jetzt mal unabhängig von einem Häkchen in der Compliance Liste, welche Art der Sicherheit wird denn hier erwartet? Netcup kann von der VM jederzeit einen Snapshot (inkl. RAM) machen und hat damit theoretisch auch immer Zugriff auf die Daten. Davor schützt es schon mal nicht. Wenn ein Angreifer auf das System kommt, hat er auch Zugriff auf die Daten. Die Festplatte ist ja zur Laufzeit entschlüsselt. Jede Art der automatisierten Entschlüsselung ist hier auch relativ sinnfrei. Am Ende macht man sich die Sache nur unnötig kompliziert. Zumindest aus meiner Sicht. Davon abgesehen, wichtige Daten würde ich dann lieber an sich verschlüsseln und hochladen (z.B. in Nextcloud). Eine Basis Debian Installation muss jetzt nicht unbedingt verschlüsselt werden. Und wenn das System so schützenswert ist, dass das doch nötig ist, würde ich es vielleicht gar nicht erst in einem fremden Rechenzentrum bei einem fremden Provider hosten wollen .

Fremder Zugriff auf die Hardware? Ich glaube wir hatten hier irgendwann schonmal das Thema von wegen "Was ist, wenn jemand Mist baut?"

Meines Wissens nimmt z.B. die Polizei nämlich gerne den ganzen Hardware Host inkl. aller anderen virtuellen Systeme darauf mit.

Zudem möchte ich, falls es doch mal zu einer kritischen Lage kommt, die Möglichkeit haben, den Server herunterzufahren und meine Daten zumindest dann erstmal in Sicherheit zu wissen.

Also ich habe fast alle meine produktiven Server verschlüsselt und gebe das Passwort immer händisch ein. So oft kommt es nicht vor und man kann es ja in der Regel auch steuern.

Mein Tipp hier: ein Passwort Manager mit AutoType. VNC auf, ein Mausklick, kurz warten und das Thema ist erledigt. Kann ich so nur weiterempfehlen.

Zitat von Track1991

Sobald man teuere Diagnosesoftware von Hersteller kann man die Wegfahrsperre einfach deaktivieren, daher Verbauen manche auch eigene System versteckt ins eigene Auto ein.

Trick 17: Sicherung der Benzinpumpe ziehen und mitnehmen. Erstmal kommt da kaum einer drauf und dann hat kaum einer die passende Sicherung am Start, geschweige denn findet er gleich auf Anhieb den Sicherungskasten am Auto.

Hat jemand von euch Erfahrungen mit Typo3 unter nginx?

Ich verzweifel hier gerade ein bisschen... der liefert mir immer nur leere Seiten zurück. Witzigerweise aber mit Statuscode 200, nicht etwas 500 oder so.

Zitat von 03simon10

Passend zu diesem Thema wurden gerade erst wieder zahlreiche Instagram Accounts gehackt... Zumindest hab ich heute ne Menge Rumgeheule mitgekriegt

Und das bei nem Dienst, der 2FA anbietet...

Tja... also ich weiß, warum ich so nen Schrott nicht nutze.

Wenngleich es vermutlich eher an den unsicheren Passwörtern der User lag. Layer 8 und so, aber was will man da machen. Bildung könnte helfen, aber bevor wir unseren Lehrern das Internet erklären, müssen wir ihnen erst die Bedienung der Videorekorder im Klassenraum beibringen. Man muss ja Prioritäten setzen.

Zitat von H6G

Erlöse uns bloß, welch geniales Produkt du hier verwendest.

All die Jahre schleppe ich schon meinen Autoschlüssel, Wohnungsschlüssel, Haustürschlüssel, Wohnungsschlüssel #2, Fahrradschlüssel, Schaltschrankschlüssel und Briefkastenschlüssel mit mir herum. Wie unnötig und welch ein Designfehler.

Jetzt wo er es sagt! Warum lege ich mir eigentlich zig Passwörter an und benutze nicht einfach bei jedem Dienst das selbe? Das wäre ja viel einfacher!

Zitat von mainziman

Profi != Gelegenheitstäter

in Analogie

Profi != Skript Kiddie

Ist doch auch richtig. Aber wo es einen Profi braucht, um einen Auto ohne Schlüssel zu starten, braucht es eben keinen Profi, um auf einen öffentlichen Samba Share (=keinerlei authentication), welcher ohne Firewall o.Ä. im Internet steht, zuzugreifen. Mehr wollte ich garnicht damit aussagen.

Zitat von mainziman

weil sonst dürfte es ohne Autoschlüssel nicht möglich sein, die Kiste doch in Gang zu bringen

Na dann starte mal ein heutiges Auto ohne den dazugehörigen Zündschlüssel bzw. keyless Transponder. Ich hole mir derweil Popcorn.