SSL/TLS-Verschlüsselung auf den Seiten von yacy

Ereignisse, Vorschläge und Aktionen

SSL/TLS-Verschlüsselung auf den Seiten von yacy

Beitragvon gTSj » Mo Jan 27, 2014 11:17 pm

Ich fände es schön, wenn alle Seiten von yacy (yacy.net, bugs.yacy.net, yacy.de, forum.yacy-websuche.de, …) unter verschlüsselter Verbindung erreichbar wären. Gründe dafür:

1. Datenschutz: es geht niemanden – NSA eingeschlossen – etwas an, welcher Nutzer welche Seite ansurft

2. Sicherheit: Schützt angemeldete Nutzer davor, dass ihr login (Username+Passwort) oder ihr session-cookie mitgelesen und missbraucht wird. Das ist besonders wichtig für Leute, die aus einem nicht vertrauenswürdigen Umfeld heraus surfen (Tor, VPN, andere Proxys, WLAN-Netze/Hotspots, …).

3. Verschlüsselung treibt den Aufwand der NSA nach oben.

4. Es gibt den Nutzern wenigstens ein bisschen Sicherheit, dass ihnen nicht jemand x-beliebige Software statt dem Yacy-Installer unterschiebt.

Ich habe auch ein paar Tipps dazu, wie man das umsetzen könnte:

A. kostenlose Zertifikate gibt es z.B. bei https://startssl.com/ – sind in allen gängigen Browsern automatisch gültig (Root CA wird vertraut).

B. unter https://www.ssllabs.com/ gibt es einen Server-Test sowie diverse Tipps, wie man die Konfiguration des Servers richtig macht

C. für die Zeit, in der umgestellt wird: Links wie feed.php funktionieren sowohl für HTTP als auch für HTTPS, wenn man sie so verändert: //forum.yacy-websuche.de/feed.php . Somit werden apsolute (Protokoll-spezifische) URLs protokollunabhängig.

D. Auf Dauer wäre eine vollständige Umstellung auf HTTPS-only (mit HSTS: HTTP strict transport security) sinnvoll. Grund: Es ist sonst sehr leicht, auf eine nicht-HTTPS-Seite umzuleiten und die Cookies zu "entführen".

PS1: gibt es auch PGP-signierte Releases von Yacy?
gTSj
 
Beiträge: 21
Registriert: Mo Jan 27, 2014 10:49 pm

Re: SSL/TLS-Verschlüsselung auf den Seiten von yacy

Beitragvon Yududi » Di Jan 28, 2014 11:31 am

1. Ja
2. Nein. Macht es höchstens sicherer. Aber schützen: nein.
VPN-/, Proxy-Anbieter und Tor Exit-Node können trotz Verschlüsselung mit ein paar Tricks mitlesen. Was man dadurch nur absichern kann sind im Grunde die Strecken zwischen "Knotenpunkten". Nicht aber die "Knotenpunkte" an sich und wenn man sich in einer unsicheren Umgebung befindet bringt das leider nichts.
Es bringt aber wohl was wenn man sich in einem sicheren Umfeld befindet. Zwar hat man da keine Anonymität aber der Datenverkehr ist relativ sicher wenn auch nicht 100% aber das ist ja bekannt.
3. Ja
4. Ja
Worst Case: Certificate Authority arbeitet (un)freiwillig an der Maßnahme "User ärgern" mit. Man kriegt dann im schlimmsten Fall eine Seite vorgezeigt die wie das Original aussieht und von den Sicherheitsmaßnahmen des Standardbrowsers auch als Original akzeptiert wird. Was man dann runterlädt ist aber alles andere als das Original und ein ggf. auf der Webseite erwähnter PGP-Key, SHA-Hash auch.
A. Ja
NSA darf halt keinen Einfluss auf die Firma haben und die Firma darf kein Honeypot sein.
Ich hatte mal was von solchen Maßnahmen im Zusammenhang mit Snowden gelesen.
Im Prinzip kommt da jede CA in Frage.
B,C,D:
Weitere Developer könnten da helfen damit die Entwicklung an YaCy nicht auf der Strecke bleibt.

PS1: Wär eine prima Maßnahme wenn man YaCy herunterlädt und sich sicher sein kann der auf der Webseite dargestellte PGP-Key, SHA-Hash ist auch der richtige und der stimmt dann mit YaCy überein. Da Orbiter das Projekt aber auch aus Gitorious heraus bastelt kann man sich auch die Sources bei Gitorious ziehen und YaCy selbst kompilieren.
Yududi
 
Beiträge: 64
Registriert: Di Dez 10, 2013 12:30 pm

Re: SSL/TLS-Verschlüsselung auf den Seiten von yacy

Beitragvon gTSj » Di Jul 21, 2015 7:24 pm

Irgendwelche Fortschritte? Kann ich helfen?
Über die Website und deren Konfiguration kann ich leider nichts im Netz finden. Ich hab tote Links gefunden, und hätte noch ein paar Verbesserungsvorschläge für die Website, die ich einbringen würde.
gTSj
 
Beiträge: 21
Registriert: Mo Jan 27, 2014 10:49 pm

Re: SSL/TLS-Verschlüsselung auf den Seiten von yacy

Beitragvon LA_FORGE » Mi Jul 29, 2015 12:14 pm

Die Idee begrüße ich sehr. Ich fände es gut, wenn wir einen Ansprechpartner im Projekt dafür hätten, der sich mit dieser Thematik & deren Implementierung befasst.
LA_FORGE
 
Beiträge: 542
Registriert: Sa Okt 11, 2008 5:24 pm

Re: SSL/TLS-Verschlüsselung auf den Seiten von yacy

Beitragvon AkDk7 » Mi Jul 29, 2015 12:36 pm

Ich habe schon des Öfteres Apache mit Zertifikaten gefüttert.
Das ist eine Arbeit von rund 15 Minuten.

Meine Zertifikate sind von Startssl.
Anfangs etwas undurchschaubar, aber wenn man es einmal raus hat, kein Problem.

Das Modul muss dann noch geladen werden.
# a2enmod ssl

Und der Port 443 als Listener neben dem Port 80 eingetragen werden.

Meine Config sieht z. B. so aus:
Code: Alles auswählen
<VirtualHost ???IP???:443>
...

       SSLEngine On
       SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:HIGH:!RC4:!MD5:!aNULL:!EDH
       SSLCertificateFile /path/to/certificate.crt
       SSLCertificateKeyFile /path/to/keyfile.key

       ProxyHTMLExtended On
       ProxyPass / http://localhost:8090/
       ProxyHTMLURLMap http://localhost:8090 /

       <Location />
               ProxyPassReverse /
               RequestHeader    unset  Accept-Encoding
       </Location>

...
</VirtualHost>



Ach so, haha... geht natürlich nur, wenn man den Kram zusätzlich noch über https aufrufen möchte.
Bei mir wäre das dann: https://yacy.msging.de

Aber der normale Aufruf, über Port 8090, bleibt unverschlüsselt ;)
AkDk7
 
Beiträge: 6
Registriert: Fr Mai 22, 2015 5:29 am

Re: SSL/TLS-Verschlüsselung auf den Seiten von yacy

Beitragvon biolizard89 » Mi Nov 25, 2015 2:00 am

Is there any progress on this front? It's a bit unfortunate that the only way to get YaCy over HTTPS is to clone the GitHub repo. Also I'm sure that the forum users who use Tor wish that the exit relays couldn't see their login details.

If there's no progress, may I ask what the bottleneck is? Developer time? Money?

Cheers.
biolizard89
 
Beiträge: 58
Registriert: Do Jan 03, 2013 12:42 am


Zurück zu Mitmachen

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast