Hallo,
ich melde mich kurz als IT-ler zur Wort. Der Grund für die obige Meldung ist, dass die pilzforum.eu Webseite keine Verschlüsselung über https anbietet. Man kann also nur über http://, nicht aber über https:// darauf zugreifen. Daten, die über http:// übertragen werden, können von dritten Personen mit entsprechenden technischen Sachverstand mitgelesen werden. Wenn man Zugriff auf die "Leitung" (bzw. das WLAN) zwischen euren Computern und dem Pilzforum.eu-Server hat, über die die Daten laufen, dann ist das nicht einmal besonders schwierig, ja fast schon trivial.
Die meisten Inhalte des Forums sind nicht besonders sicherheitsrelevant würde ich meinen. Ein "Hacker", aber auch Internetprovider, BND, NSA und Co. können sehen, welche Forenbeiträge man besucht und geschrieben hat und welche Privatnachrichten man verschickt und empfangen hat. Das ist den meisten Leuten wahrscheinlich ziemlich egal. Ggf. könnten so ein "Hacker" auch in eurem Namen irgendwelchen Blödsinn posten, aber das passiert eher selten, da der "Hacker" ja dann schnell auffliegen würde.
Anders sieht es beim Anmeldeformular aus: Das Passwort wird unverschlüsselt übertragen und kann daher leicht ausgespäht werden. Das ist sehr problematisch, weil ein sehr großer Prozentsatz der Internetnutzer nur wenige Passworte hat und diese auf vielen Seiten verwendet. Facebook, Onlinebanking, Email-Provider ... Man sollte das nicht machen, aber es ist gängige Praxis. Kennt ein Hacker also euer Pilzforum.eu-Passwort, dann kann er damit wahrscheinlich auch andere Dienste "hacken", die nun wiederum doch sehr sicherheitsrelevant sind (Email, Onlinebanking, uvm.). Ein "Hacker" muss nicht unbedingt eine menschliche Person sein. Hacking-Angriffe werden heute auch von Computern automatisiert durchgeführt (Stichwort "Botnetze"). Pilzforum.eu verwendet die MyBB Forensoftware, also eine Standardsoftware, die besonders gut automatisiert angegriffen werden kann. Aber das ist ein anderes Thema und hat nicht direkt mit https:// zu tun.
Kurzum: Webbrowser warnen aus sehr sehr gutem Grund davor, Logindaten (Nutzername und Passwort) unverschlüsselt über das Internet zu übertragen.
Die einzige Lösung ist, Logindaten (und aus meiner Sicht am Besten den gesamten Datenverkehr) verschlüsselt zu übertragen. Dazu muss pilzforum.eu https:// anbieten. Der Foren-IT-Admin muss dafür ein SSL/TLS-Zertifikat besorgen und den Server damit entsprechend konfigurieren. Das gibt es entweder gegen Geld oder kostenlos über z.B. https://letsencrypt.org (wäre für das Forum wohl ausreichend). Die technischen Details erspare ich euch jetzt, stehe aber gerne für weitere Fragen zur Verfügung.
Liebe Grüße,
Christian
[hr]
Korrektur: pilzforum.eu bietet bereits https:// an, aber die Seite https://pilzforum.eu/board/ funktioniert z.B. unter Firefox nicht richtig, da versucht wird, einige Inhalte über http:// nachzuladen. Mit solchen "gemischten Inhalten" kann man dem Internetnutzer leicht Sicherheit vorgaukeln, was neuere Webbrowser ebenso aus gutem Grund blockieren.
Einer der pilzforum.eu Admins müsste also die https://pilzforum.eu/board/ reparieren. Aus meiner Sicht sollte der Zugriff über http:// gleich deaktiviert werden und nur noch https:// angeboten werden. Das ist der aktuelle Trend und meiner Meinung nach sinnvoll.
Liebe Grüße,
Christian