HTTPS für das gesamte Forum

"Es kann aufgrund der fehlenden Transportverschlüsselung nämlich nicht sichergestellt werden, dass die Daten (und dazu zählt schon die IP, mit der ich diesen Beitrag abschicke) auf dem Weg von meinem Browser zu den Servern vom HiFi-Forum von unbefugten abgegriffen werden."

Werden hier personenbezogene Daten gesendet? Ich verwende keinen Klarnamen, noch sende ich weitere personenbezogene Daten an den Webserver.
Von daher wird keine https-Verbindung benötigt, sofern der Serverstandort ausserhalb der EU ist hat die DVSGO gar keine Gültigkeit.

IP-Adressen und E-Mail-Adressen zählen ebenso zu den personenbezogenen Daten.

Die DSGVO erlangt immer Gültigkeit, sofern Dienste innerhalb der EU angeboten werden. Anders sähe es jetzt aus, wenn das HiFi Forum per Geoblocking in der EU gesperrt werden würde, dann müsste man tatsächlich die DSGVO nicht erfüllen. Aber das wird ohnehin nicht passieren, da die Hauptzielgruppe des HiFi-Forums Deutschland (= EU) ist.

Diverse amerikanische Nachrichtenseiten haben ihre Dienste per Geoblocking in der EU gesperrt, um die DSGVO nicht erfüllen zu müssen.

analognerd (Beitrag #102) schrieb:

Werden hier personenbezogene Daten gesendet? Ich verwende keinen Klarnamen, noch sende ich weitere personenbezogene Daten an den Webserver.

Zum einen gilt auch eine IP Adresse als personenbezogenes Datum, hat der EuGH auch schonmal bestätigt.
Zum anderen ist u.A. das Kontaktformular nicht https-abgesichert, und da der Betreiber keine Kontrolle über darüber verschickte Inhalte hat gelten für solche Formulare automatisch die Grundregeln des Datenschutzes, und dazu gehört eine Transportverschlüsselung.

analognerd (Beitrag #102) schrieb:

Von daher wird keine https-Verbindung benötigt, sofern der Serverstandort ausserhalb der EU ist hat die DVSGO gar keine Gültigkeit.

Der Server steht aber in der EU, konkret im Rechenzentrum CGN3 der Plusserver in Köln.

Und was soll deine Argumentation genau bringen? Krampfhaft zu versuchen den Betreiber in Schutz zu nehmen der seit vielen Jahren nicht einmal seine grundlegendsten Hausaufgaben macht, konkret seinen grundlegendsten Pflichten nicht nachkommt? Wenn ja: Warum?

Ps: Der LDI NRW hat sich bei mir trotz Nachfragen seit Januar nicht mehr gemeldet, die letzte Info war "Ich bin an dem Sachverhalt auf jeden Fall dran, ich habe allerdings Ihre Beschwerde einem schon anhängigen Verfahren hinzugefügt."

Wie bereits geschrieben spielt der Standort des Rechenzentrums keine Rolle. Sonst könnten sich ja alle Anbieter davor drücken, indem Sie ihre Server ins Nicht-EU-Ausland verlegen. Das Zielgebiet ist ausschlaggebend. Der Betreiber muss die Datenverarbeitung von Bürgern aus der EU technisch unterbinden, um den Vorgaben der DSGVO zu entgehen.

Nun, dann nehme ich den Betreiber halt in Schutz der hier weder Geld verlang noch irgendwie hauptamtliche Mitarbeiter beschäftigt, mir egal.
Ich surfe hier halt und auf diversen anderen Seiten, bisher wurde weder das Konto leergeräumt noch sonst ist etwas passiert.
Ein jeder heute hat eine Orwell-Wanze in der Tasche, nickt den EULA von Android und Apple ab und freut sich des Lebens. Ebenso erbricht sich fast jeder was er grade macht, wo er ist etc.
Ich sehe das Problem hier also nicht. Ich arbeite seit 20 Jahren in der IT, nutze bestimmte Dienste halt einfach nicht die mir nicht zusagen, wie z.b Fratzenbuch und den Mist.
Man ist nie irgendwo anonym und wenn man Datensparsamkeit betreibt, dann ist das die halbe Miete.
Gut, vielleicht wird noch ein Zertifikat hier nachgepflegt, vielleicht bewirbt sich jemand hier beim Forum der das macht.

Die angesprochenen Konzerne verwenden alle sowohl HTTPS und halten sich an die DSGVO. Dazu sind sie gesetzlich verpflichtet. Der Betreiber des Forums übrigens auch. Wenn er nicht die Kapazitäten hat, gesetzliche Vorgaben umzusetzen, dann darf er seine Dienste nicht weiter in der EU anbieten. Dass der Betreiber bisher davongekommen ist, ist im wesentlichen der Trägheit unserer Behörden geschuldet, nimmt ihn aber nicht aus der Verantwortung.

analognerd (Beitrag #106) schrieb:

Nun, dann nehme ich den Betreiber halt in Schutz der hier weder Geld verlang noch irgendwie hauptamtliche Mitarbeiter beschäftigt, mir egal.

Der Betreiber verdient mit diesem Forum Geld, das ist eine GmbH die dieses Forum betreibt die wirtschaftlich handelt und mit unserem Content Werbung verkauft und dadurch in 2021 knapp 100k Gewinn erzielt hat. Es ist seine Pflicht und bei diesen Zahlen auch innerhalb seiner Möglichkeiten die gesetzlichen Vorgaben einzuhalten und sich um den Datenschutz zu kümmern. Wir reden hier nicht von einem 14jährigen der von seinem Taschengeld einen Server für seine Freunde betreibt.

Man hat ja laut Impressum einen Rechtsanwalt als Datenschutzbeauftragten. Ich will dem guten Herrn ja nichts vorwerfen, aber als Anwalt hätte ich die GmbH auf die Rechtslage aufmerksam gemacht. Oder er hat es bereits und es wurde nur noch nicht erhört.

Hat eigentlich jemand von euch mal versucht, den Betreiber direkt zu kontaktieren, wie es hier ja immer empfohlen wird?

Ich war ja schon kurz davor, den Beitrag #101 einfach mal in das Kontaktformular zu kopieren und direkt an den Betreiber zu schicken.

TrueHighFidelity (Beitrag #110) schrieb:

Hat eigentlich jemand von euch mal versucht, den Betreiber direkt zu kontaktieren, wie es hier ja immer empfohlen wird? Ich war ja schon kurz davor, den Beitrag #101 einfach mal in das Kontaktformular zu kopieren und direkt an den Betreiber zu schicken. :D

Ich gehe schon davon aus, dass hier mitgelesen wird. Weitere Threads, in denen die Einführung von HTTPS gefordert wird, wurden ja auch schnell geschlossen und an diesen Thread hier verwiesen, ohne dass man sich zum fehlenden HTTPS äußern wollte.

b098 (Beitrag #111) schrieb:

Ich gehe schon davon aus, dass hier mitgelesen wird.

Ich nicht. Sonst hätte es ja mal eine Antwort vom Betreiber gegeben.

Der Betreiber (ich vermute jedenfalls das er das ist) hat sich mal auf einen meiner Posts hier im Thread gemeldet: http://www.hifi-foru...ad=1218&postID=20#20

Ich habe das Gefühl, der Anwalt weiß nicht, was er hier vertritt. Privatnachrichten sind keine öffentlich einsehbaren Daten und die sind hier nicht TLS-verschlüsselt! Und allein schon die unverschlüsselte Übertragung der IP-Adresse beim Posten eines Beitrags ist eine Verletzung der DSGVO, von meiner E-Mail-Adresse ganz zu schweigen.

Zudem verstehe ich nicht, wieso man dann für HIFI.de ein TLS-Zertifikat hat. Das sind doch erst recht nur öffentlich einsehbare Daten. Ich habe hier das Gefühl, das Forum wird als reines "Abschreibeobjekt" betrachtet und kein Aufwand reingesteckt. Ich habe in der Firma schon mehrere TLS-Zertifikate ausgerollt, das kann man ganz einfach auf Domainebene machen und muss es nicht pro Subdomain machen. Es wäre also kein Problem gewesen, das Zertifikat von login.hifi-forum.de auch aufs restliche Forum anzuwenden. Will man noch weniger Aufwand, verschiebt man das Forum auf forum.hifi.de, dann braucht man sogar nur ein Wildcard-Zertifikat für alles.

Chrome warnt übrigens wegen dem fehlenden Zertifikat beim erstmaligen Aufruf von hifi-forum.de, dass die Seite unsicher sei. Man muss die Meldung dann wegklicken. Sehr vertrauenserweckend, insbesondere für neue Nutzer. Bei HIFI.de, womit schlussendlich das Geld verdient wird, will man sich diesen Prestigeverlust wohl nicht geben.

Ich denke, lange wird es nicht mehr dauern und Seiten mit http werden komplett vom Browser geblockt, wenn dieser aktuell gehalten wird.

Ich habe plötzlich keine Berechtigung zum Verschicken von PMs mehr

Hat man mir jetzt deswegen, weil ich die unverschlüsselte Übertragung von PMs kritisiert habe, die Rechte dafür entzogen? Kindisch

b098 (Beitrag #116) schrieb:

Hat man mir jetzt deswegen, weil ich die unverschlüsselte Übertragung von PMs kritisiert habe, die Rechte dafür entzogen? Kindisch :.

Mit Sicherheit nicht. Schicke dir selbst ein PM mit einer kurzen Nachricht zu, z.B. Betreff: Text und Nachricht: Text

Wenn die dann bei dir ankommt, hat es andere Ursachen, dass du keine PM schicken konntest. Dazu gibt es hier auch einen laaaangen Thread.


Gruß

Uwe

Danke für den Tipp, die PM an mich ging durch. Komisch warum ich dann auf die PM eines anderen Nutzers nicht antworten kann, da kommt dann immer "Keine Berechtigung".

Dann kann das der Spam-Filter sein. Der reagiert auf irgendwelche Schlüsselworte, die man eigentlich auch als unbedenklich einstuft, wie z.B. das Wort „Video“.

Ich denke aber, dass du da lieber in dem entsprechenden Thread reinschaust und bei Bedarf dort auch deine Fragen stellst: Klick mich


Gruß

Uwe

Tatsache, in meiner PM kam das Wort "Video" vor. Nach rauslöschen des bösen Wortes ging die PM nun durch. Wer sich das nur ausgedacht hat in einem Audio/Video-Forum

Naja egal, zumindest hat sich mein "Anfangsverdacht" nicht erhärtet.

b098 (Beitrag #120) schrieb:

Wer sich das nur ausgedacht hat in einem Audio/Video-Forum

Nachdem das Forum bereits mehrfach massiven Spam-Attacken ausgesetzt war und sich infolgedessen zahlreiche Nutzer gelöscht hatten, hat man halt zu diesem Instrument gegriffen.
Aber das könnte man auch alles in dem von Uwe_Mettmann verlinkten Thread erlesen.


Gruß
Toni

Und ist hier komplett off-topic...

2024 und das Forum läuft immer noch über http? Wow...

Kurios, das war mir zwar schon aufgefallen, aber das es einen Thread aus 2018 dazu gibt wusse ich nicht.

Da stimmt was nicht. Kann nicht legitim sein.

Zumal inzwischen auch ein Bussgeldbescheid vom Landesbeauftragten für Datenschutz NRW vorliegen sollte, jedenfalls wurde mir das im Februar mitgeteilt das solch einer ausgestellt werden würde.

dan_oldb (Beitrag #125) schrieb:

Zumal inzwischen auch ein Bussgeldbescheid vom Landesbeauftragten für Datenschutz NRW vorliegen sollte, jedenfalls wurde mir das im Februar mitgeteilt das solch einer ausgestellt werden würde.

Inreressant wirds wenn tatsächlich ein infolge der fehlenden Verschlüsselung stattfindender Datenabgriff passiert. Das wird für den Betreiber dann sehr teuer.

b098 (Beitrag #114) schrieb:

Und allein schon die unverschlüsselte Übertragung der IP-Adresse beim Posten eines Beitrags ist eine Verletzung der DSGVO, von meiner E-Mail-Adresse ganz zu schweigen.

Deine IP-Adresse wird bei jeder Anfrage die du von einem deiner Geräte an eine Interseite schickst immer unverschlüsselt übertragen. Lediglich der Inhalt deiner Anfragen wird bei aktiver Verschlüsselung (im Web SSL bzw. TLS) verschlüsselt übertragen: https://de.wikipedia.org/wiki/OSI-Modell#Die_sieben_Schichten

Und wer überträgt hier wie und wo deine E-Mail Adresse?

Ps: Vom Landesbeauftragten für Datenschutz NRW habe ich seit Februar nichts mehr gehört, weiss aber auch nicht ob ich nach der Info über den Bussgeldbescheid über den weiteren Verlauf informiert werden darf.

Warum läuft das Forum eigentlich immer noch über HTTP und nicht HTTPS? Ist ziemlich nervig, wenn man in jedem Browser erstmal die Seite zulassen muss. Ist es geplant das Forum auslaufen zu lassen oder gar abzuschalten?

Siehe oben.

Kannst gerne den Betreiber anrufen...

Heute ist wieder das Zertifikat abgelaufen!

Gruß
Rainer

Jap,

einloggen hier momentan auch nur mit zurück gedrehter Uhr möglich ...

P@Freak

Wäre es nicht so traurig könnte man drüber lachen...

Und bevor hier wieder Menschen um die Ecke kommen mit "Ach, der arme Betreiber, und Personal ist so knapp und so teuer, und mimimi": Die Firma die hinter diesem Forum steht hat in 2022 über 200.000 Euro Gewinn erwirtschaftet. https://www.northdata.de/HiFi.de+GmbH,+K%C3%B6ln/HRB+95170

Das hier technisch seit Jahren nichts, aber auch gar nichts passiert ist daher in meinen Augen einzig und allein der absoluten Gewinnmaximierung geschuldet. Das kann man als Firma machen, muss man als User aber nicht gut finden.

Die verdienen ihr Geld allerdings mit Hifi.de.
Möglich, dass die Werbung über das Forum noch ein paar Euro besteuert.
Ich glaube aber nicht, dass es das Forum zum Betrieb oder ankurbeln von Hifi.de heute noch braucht.

analognerd (Beitrag #102) schrieb:

... Werden hier personenbezogene Daten gesendet? Ich verwende keinen Klarnamen, noch sende ich weitere personenbezogene Daten an den Webserver. Von daher wird keine https-Verbindung benötigt, sofern der Serverstandort ausserhalb der EU ist hat die DVSGO gar keine Gültigkeit.

Der Fehler taucht wieder auf. (11.10.24)
Und sobald ein Anbieter Daten eines EU Bürgers verarbeitet, gilt die DSGVO. Weltweit.
Die Aussage oben war und ist komplett falsch.

Hab hier noch eine "alte" f5 BigIP Lizenz rumfliegen, die ich gerne spende. Damit eine Reverseproxy-VM aufsetzen, welcher zum Client https und zum Server http spricht. Schon 100x realisiert und funktioniert problemlos.

y0r (Beitrag #135) schrieb:

Hab hier noch eine "alte" f5 BigIP Lizenz rumfliegen, die ich gerne spende. Damit eine Reverseproxy-VM aufsetzen, welcher zum Client https und zum Server http spricht. Schon 100x realisiert und funktioniert problemlos. :)

Das dürfte vom Aufwand her mehr, als ein neues Zertifikat einzuspielen.
Die 12 Monatsfrist ist jetzt seit Jahren seitens Google und Mozilla bekannt.
Vereinfacht gesagt, wenn die Moderation keinen Bock auf die 5 Schritte bei der Verwaltung hat, sollen Sie das Forum dicht machen.
Man muss ja überlegen, ob noch Sicherheitspatches eingespielt werden, und wie sicher Email und andere Userdaten noch sind.
Oder will jemand demnächst sehen, das Seine Daten im Darknet und bei haveibeenpwned gelistet sind?

Das Forum KANN kein https. Das ist doch das Problem.