Das Sicherheitsbewusstsein ist „seit Snowden“ sicherlich gewachsen. Und bereits vorher war natürlich klar, dass man Name/Passwort nur verschlüsselt übertragen sollte. Wenn nun jemand ein Homepagepaket mit 10 Domainnamen kauft, sind sicherlich auch mehrere Webseiten darunter, die daher unbedingt per SSL zu schützen sind.

In dem Paket 1blu-Homepage „Ultra“ sind sogar 12 Domains enthalten – und kein einziges SSL-Zertifikat. Alle Sites, die man hier installiert, sind also nur per http verfügbar und der gesamte Datentransfer geschieht dementsprechend unverschlüsselt. Das ist nicht nur bedauerlich, sondern verleitet natürlich dazu, auf SSL schlicht zu verzichten.

Natürlich bietet 1blu sehr wohl Zertifikate an. Allerdings kosten die momentan 1.59 Doppelmark pro Monat. Ehrlich…, wenn der Preis einmalig oder vielleicht pro Jahr anfiele wäre er in Ordnung. Wenn man alle 12 Domains 12 Monate absichern will ergeben sich (ohne Rabatt, nicht recherchiert) 228.96 Euro. Welcher private Homepagebetreiber wird auch nur einen Bruchteil davon investieren???

Möglicher Workaround: für Systeme https://antibiotictabs.com/levaquin/index.html , die Zwei-Faktor-Authentifizierung erlauben und bei denen lediglich der Anmeldeprozess, nicht aber der eigentlichen Inhalt der Webseite gesichert übertragen werden soll, kann ein zweiter Faktor bereits hinreichend sein. Dabei gibt man beim Anmelden nicht nur name+passwort ein, sondern zusätzlich einen Code, der sich ständig verändert und nicht vorhersagbar ist. 100% sicher ist das nicht, aber das Zeitfenster für den Missbrauch eines abgefangenen Zugangscodes ist sehr klein.

Diese WordPress-Installation verwendet den Google-Authenticator („Time based On Time Paassword“) als zweiten Faktor. Der Code gilt immer nur für 1 Minute, ein Angreifer hat im Schnitt also weniger als 30 Sekunden Zeit…