Beiträge von Martha

Inzwischen via Support gelöst. Selbst war es nicht möglich.

Hallo,

momentan habe ich ein seltsames Phänomen:

Ich habe seit Vertragsbeginn im Januar AWStats im WCP für meine Domains abgeschaltet (kein Haken). Das war auch tatsächlich aus.

Heute habe ich mehr oder weniger zufällig einmal wieder auf Statistik geklickt und siehe da, seit 9.8.17 wurde täglich eine Statistik durch AWStats erstellt. Zurück bei den Domains: Für alle Domains deaktiviert und noch schlimmer: Der Link und so die Statistiken sind ohne Passwortschutz für jeden einsehbar.

Hat dies noch jemand? Der Support wurde informiert.

Zusammengefasst:

- Statistiken sind seit 9.8. magisch aktiv, obwohl abgeschaltet

- Der Passwortschutz für das Verzeichnis ist hingegen nicht aktiv, also sind die Statistiken von jedem abrufbar (ist validiert)

- Aktivieren und Deaktivieren sowie manuelles Sperren des Verzeichnisses bringen nichts

Zitat von [netcup] Felix

Ich denke es ist kein Entscheidungsmerkmal für die meisten unserer Kunden die Shared-Webhosting nutzen (davon sind nur wenige hier in Forum aktiv), dass ein Webhoster Besucher aussperrt weil er deren Betriebssystem für unsicher hält.

Ich stelle da einmal in den Raum, dass vielleicht vielen Kunden gar nicht bewusst ist, wie genau TLS funktioniert oder wo Probleme mit SHA-1/DES bestehen, weil sie sich dafür nicht interessieren. Das liegt aber nicht an netcup, sondern hat andere Gründe. Aber auch ich finde die Begründung seltsam, dass die Sicherheit von TLS eingeschränkt werden muss, weil es noch einen Bruchteil von Internetnutzern mit unsicheren Betriebssystemen gibt.

Trotzdem danke für die Aussage, die zusammenfassend bedeutet, dass sich dieses Thema erledigt hat.

Nach etwas mehr als vier Monaten scheint es hier keinerlei Entwicklung zu geben. Das BSI empfiehlt in "BSI TR-02102-2 "Kryptographische Verfahren: Verwendung von Transport Layer Security (TLS)"" übrigens, ganz auf TLS 1.0 und TLS 1.1 zu verzichten (Grund konkret: Nutzung SHA-1 und kein Support für SHA-2).

Daneben stehen im verlinkten Dokument explizit als sicher eingestufte Cipher-Suites + die bekannte Mozilla-Seite (Modern, https://wiki.mozilla.org/Secur…_TLS#Modern_compatibility).

Könnte hier ein Verantwortlicher bitte ein Auge raufwerfen? TLS 1.3 steht vor der Tür und wir nutzen hier immer noch Cipher-Suites ohne PFS, aber mit 3DES und SHA-1.

Zitat von singha

Die Verbreitung von TLS 1.2 wurde immer nur Serverseitig behindert, die meisten haben einfach nicht ihre Webserver Configs aktualisiert, bzw. auch bei neuen Webseiten immer wieder die gleichen alten Vorlagen genommen.

Ich bringe an der Stelle einmal die Webseite Trustworthy Internet Movement - SSL Pulse ein.

83 % der dort überwachten Server unterstützten demnach TLS 1.2.

Ich würde mich aber viel mehr darüber freuen, wenn hier noch etwas Bewegung in die Sache käme, insbesondere wegen DES und SHA-1.

Okay, vielen Dank.

Vielen Dank,
die Fehler 403 und 404 habe ich direkt über die Webseite abgefangen und die funktionieren auch (da in .htaccess definiert).

Bleibt eben die Frage, ob Unterordner fehlen, aber das wird nicht so leicht feststellbar sein.

Mir fehlen auf jeden Fall die Ordner cgi-bin, error_docs und web (wobei ich nicht weiß, ob web ein regulärer Ordner ist). Das sind aber natürlich nur die Ordner im root-Verzeichnis. Ich weiß nicht, ob Unterordner gelöscht worden sind.

Hallo peng,

ich habe eben versehentlich den falschen Ordner (root) bei FileZilla ausgewählt gehabt (statt httpdocs) und per STRG + A, ENTF das Löschen begonnen. Nach kurzer Zeit habe ich dann gemerkt, dass ich im falschen Ordner war.

Nun fehlt bspw. der errordocs-Ordner, aber auch einige andere. Ich weiß aber nicht, welche …

Hallo,

ich habe einmal wieder eine Frage:
Wenn man erstmalig bspw. via FTP auf sein Web-Expert-Paket zugreift, gibt es dort neben dem httpdocs/-Verzeichnis noch viele andere Verzeichnisse.

Wenn man die jetzt *hust* dummerweise versehentlich gelöscht hat, kann man die dann irgendwie wiederherstellen? Im Prinzip also den Initialzustand des Hosting-Pakets wiederherstellen?

Es sollte aber so sein, wenn ich sowieso nur statische HTML-Dateien mit CSS hoste, dass ich all diese Ordner gar nicht brauche?!

Danke wie immer.

Es gibt viele Tools zum Testen von TLS (siehe Tools zum Test von TLS-Verbindungen).

Die Konfiguration muss ja nicht so sein, dass sich nur ein winziger Bruchteil von Besuchern noch verbinden kann (bspw. TLSv1.2-only). Wichtig wäre aber vor allem, die offensichtlich nicht mehr sicheren Cipher Suites zu entfernen (3DES, DES3 bzw. SHA-1).

Zitat von [netcup] Felix

Guten Tag,

um welche Suites geht es Ihnen denn? Wir versuchen hier immer ein Optimum aus Abwärtskompatibilität und neusten Sicherheitsanforderungen zu währen. Sicherheit geht dabei ganz klar vor.

Mit freundlichen Grüßen

Felix Preuß

Alles anzeigen

Wie schon geschrieben worden ist, sollten vor allem alle DES-unterstützenden Cipher Suites entfernt werden, da DES nirgendwo mehr als sicher eingestuft wird.

Außerdem haben alle großen Browser-Hersteller dieses Jahr SHA-1 entfernt bzw. sind dabei, was allgemein auch nicht mehr als sicher gilt. Also sollten auch keine Cipher Suites, die SHA-1 nutzen, unterstützt werden.

Es sollten außerdem nur Cipher Suites unterstützt werden, die Perfect Forward Secrecy unterstützen (s. tls - Perfect Forward Secrecy cipher suites - Information Security Stack Exchange).

Zu dem Thema gibt es auch viele Webseiten (wie Strong SSL Security on Apache2 - Raymii.org, Cipherli.st - Strong Ciphers for Apache, nginx and Lighttpd oder auch viele Antworten auf Information Security Stack Exchange), bloß hat man als Web-Expert-Nutzer eben leider keine Möglichkeit, entsprechend sicherere Einstellungen vorzunehmen.

Guten Abend,

ich habe meinen Webauftritt durch ein kostenloses Let's Encrypt Zertifikat geschützt (automatisch von netcup verwaltet), die HTTP Header modifiziert, HTTPS erzwungen usw.

Jetzt ist mir aber bei einem Test (CryptCheck) aufgefallen, dass ein paar Cipher Suites unterstützt werden, die deaktiviert sein sollten. Ist das mit Web Expert M möglich? Eher nicht oder, da ja httpd.conf bzw. ssl.conf editiert und Apache neugestartet werden müsste. Oder gibt es einen Trick?

Danke im Voraus!

Zitat von de_bonner

Mit HSTS erzwingst Du aber kein https. Der Benutzer muss die Seite hier beim ersten Mal trotzdem die Seite mit https aufrufen, sonst greift HSTS nicht. Danach wird der Brwoser dann sehr wohl immer auf https umgeleitet, aber das erzwingt es am Anfang nicht. Da solltest Du noch in der .htaccess eine Weiterleitung hinzufügen.

Ja, danke, das war mir bekannt und ist auch entsprechend konfiguriert.

Ja, damit war es möglich, danke

Hallo,

ich habe das Paket "Web Expert M" erworben und damit eine Domain. Für diese Domain habe ich bereits ein HTTPS-Zertifikat via Let's Encrypt automatisch eingerichtet. Jetzt ist es aber so, dass ich noch HTTP Header ergänzen müsste, damit ich laut Analyse your HTTP response headers HTTPS optimal konfigurieren kann. Beispielsweise will ich HSTS nutzen, HTTPS also erzwingen.

Kann es aber sein, dass all dies mit einem normalen Webhosting-Tarif gar nicht möglich ist?

Danke für Antworten im Voraus.