Wie sicher ist de.indymedia.org
von: anonym am: 30.10.2017 - 00:53
Regionen:
Es gibt zu der Webseite eine Warnung.
Der Inhaber von de.indymedia.org hat die Website nicht richtig konfiguriert. Tor-Browser hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
webadresse:
Lizenz des Artikels und aller eingebetteten Medien:
Creative Commons by-nc-sa: Weitergabe unter gleichen Bedingungen - nicht kommerziell
Ergänzungen
vogel
nimm deine tabletten lieber mal oder benutz den onion service. damits dir egal sein kann
http://4sy6ebszykvcv2n6.onion
Ursache
Das zugrunde liegende Problem wurde hier angesprochen: https://de.indymedia.org/node/14458 Dabei auch den Kommentar vom 29.10.2017 - 15:14 berücksichtigen.
admin
Wenn du die .onion-Seite aufrufst und dabei ssl benutzt kommt es immer zu dieser Warnmeldung.
Das liegt daran, dass wir ein Zertifikat von lets encrypt benutzen und diese keine Zertifikate für .onion-Seiten ausgeben. Daher hast du leider nur zwei Möglichkeiten:
1.) Du überprüfst händisch, ob das Zertifikat von der .onion-Seite mit dem übereinstimmt, welches du von der de.indymedia.org Adresse bekommst. Dazu musst du dir beide Zertifikate im Detail angucken und eben miteinander vergleichen. Stimmen diese, so kannst du beruhigt eine Ausnahme hinzufügen. Leider musst du das aber alle drei Monate wiederholen, da dann das Zertifikat von letsencrypt abgelaufen ist und wir ein neues benutzen.
2.) Du verzichtest auf die ssl-Verschlüsselung und surfst direkt über http://4sy6ebszykvcv2n6.onion oder fügst für die .onion-Seite immer eine Ausnahme hinzu. Das hat auch keinerlei Sicherheitseinbußen, da die Verschlüsselung bei .onion-Seiten durch das Tor-Netzwerk gewährleistet ist. Die Verifizierung, dass du auch auf unserer richtigen Seite gelandet bist und es keinen Man-in-the-Middle-Angriff gibt (also dass sich jemand zwischen deinen Rechner und unsere Server hängt) ist ebenfalls durch die Tor-Technik erledigt, denn nur mit unserem privaten Schlüssel kann unsere .onion-Adresse betrieben werden.
Im Endeffekt ist die .onion-Verschlüsselung imho sogar besser, da hier auch ohne zentrale Stelle und Zertifizierungsinstanz (bei uns letsencrypt) unserer Seite vertraut werden kann. Bei SSL gäbe es die Möglichkeit, dass ein falsches Zertifikat von einem Zertifikataussteller dem dein Browser/Betriebssystem vertraut auf de.indymedia.org ausgestellt wird und die Mehrheit dies wohl nicht einmal merken würde. Solche Angriffe gab es in der Vergangenheit, wenn auch nicht Indymedia betreffend. Beim .onion-Server muss eben dieser unser .onion-Server gehackt werden um an den privaten Schlüssel zu kommen, da nur unser Privater Schlüssel die alleinige Instanz ist, die das absichert. Wenn aber unser Server gehackt werden würde wäre ein Man-in-the-middle-Angriff überflüssig ;)
Von daher: Nutzt Tor, nutzt http://4sy6ebszykvcv2n6.onion und spread the Word!