andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.015
Wenn man das Argument mit dem Datenschutz führt, dann kann man das natürlich machen. Aber da würden mir noch viele andere Dinge einfallen. Zum Beispiel könnte man standardmäßig die Verbindung zu Google-Servern (und anderen Datenkraken) verbieten. Benutzer die das wollen können es freischalten. Diese Maßnahme würde hinsichtlich des Datenschutzes sehr viel mehr bringen als Package-Repositories default-mäßig per https anzusprechen.riloka schrieb:
Versteh mich nicht falsch. Ich finde das ja wichtig. Aber wenn ich ein zugemülltes Zimmer aufräumen will fang ich nicht mit nem Staubwedel an, sondern räum zunächst mal die groben Teile beseite. Das staubwedeln steht eher zum Schluss an wenn ich mit allem anderen durch bin.
Naja. Proxies gibts ja nicht nur im internen LAN. Die gibts ja auch schon auf der Strecke. Zum Beispiel beim Provider damit die möglichst viel in ihrem eigenen Netz machen können damit man InterconnectivitätsTraffc spart.riloka schrieb:
Das alles ist durch https sehr viel schwerer geworden.
Auf der anderen Seite ist natürlich https ne gute Sache. Aber ich sehe da halt unterschiedliche Wichtigkeiten.
Als Extrembeispiel Online-Banking. Da will ich natürlich ne möglichst gute Verschlüsselung. Bei Package-Repositories will ich die vielleicht auch, aber da ist sie nicht so wichtig. Da ist auch das Nutz-Relation nicht so groß. Beim Online-Banking hab ich ein hohes Schutzbedürfnis vergleichweise niedrigen Traffik. Beim Package-Repository ist das umgekehrt.
Übrigens. Mal so am Rande. Das Caching-Problem bei https zieht ja durchaus Kreise. Denn nicht nur für Provider ist es attraktiv zu cachen. Auch für die Serverbetreiber war das super, weil ihre Server entlastet wurden. Mit https muss jetzt wirklich jeder Download vom Orginalserver kommen.
Das hat zu zwei Dingen geführt, die Datenschutz eher untergraben. Nämlich das Sachen extern gehostet werden (z.B. Javascript-Bibliotheken die direkt von irgendwelchen Google-Servern kommen) zweitens um die Last von eigenen Server abzumildern nimmt man Dienste wie Cloudflare in Anspruch. Das untergräbt natürlich die Absicht von https teilweise, weil Du dann doch wieder ne dritte Partei im Boot hast.
Man kann natürlich trotzdem sagen das die Vorteile von https hinsichtlich Datenschutz überwiegen. Aber es ist keinesfalls so das es nicht auch Effekte ist, die dem entgegenwirken. Von daher finde ich ne Argumentation wie "Na wir machen einfach und in jedem Fall https und es kann ja nur besser werden" schwierig.
Ich sprech vom Probleme beim Nutzer. das es für die Seitenbetreiber kein Problem ist, ja. Ist sicher so. Doch was nützt das dem Nutzer der dann Probleme kriegt weil es die Seitenbetreiber - trotz aller Einfachheit - nicht gebacken kriegen.riloka schrieb:
Ergänzung ()
Mit Gefühlen ist es immer so ne Sache. Die können stimmen. Müssen aber nicht. :-)SCP-067 schrieb:
Sicherheit ist auch immer die Frage, vor was Du Dich schützen willst. Also das Dir manipulierte Packages untergeschoben werden wird ohnehin durch Signaturen abgesichert. Bleibt der Aspekt das "auf der Internetstrecke" niemand sehen können soll, was Du vom ubuntu-Server runter ziehst.SCP-067 schrieb:
Die pragmatische Trivial-Antwort wäre: Wenn Du Dich damit wohler fühlst, schalte überall https ein und wenns irgendwie Probleme gibt dann schalte an den konkret betroffenen Stellen https wieder aus.
Zuletzt bearbeitet:
