Powered by Invision Board
 Willkommen Gast ( Einloggen | Registrieren )

Portal | Board | TV | Kalender | Suche | Mitglieder | Regeln | Impressum | Datenschutzerklärung | Hilfe

Seiten: (2) [1] 2  ( Zum ersten neuen Beitrag ) Antworten | Neues Thema |
Probebetrieb https [Zur Themenübersicht]
« Älteres Thema | Neueres Thema » Thema abonnieren | Thema versenden | Thema drucken
Boris Merath
  Geschrieben am: 10 May 2017, 01:37


Lebende Forenlegende


Status: Admin
Mitglied seit: 18 Nov 02
Beiträge: 17991
Chat: BorisM 

Alter: 34
Wohnort: München


Seit heute läuft das Forum im Probebetrieb über https. Falls jemand Probleme feststellt bitte ich um eine kurze Info.

Ein Problem ist bereits bekannt, nicht alle Grafiken werden korrekt über https geladen. Das Problem lässt sich leider nicht ganz trivial lösen, zumal diverse Grafiken (vorallem in Signaturen) von fremden Servern geladen werden. Aus dem Grund wird das Verschlüsselungssymbol teilweise mit einem Warnsymbol versehen.
Wie man damit am besten umgeht bin ich mir momentan noch nicht ganz sicher, ich fürchte aber dass es da keine wirkliche Lösung geben wird.

--------------------
user posted image
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
    
              Link zum BeitragTop
Lobedan
  Geschrieben am: 10 May 2017, 11:15


Kaiser


Status: Mitglied
Mitglied seit: 1 Jan 16
Beiträge: 1030

Alter: 28



Ha hat mein Genörgel ja doch etwas bewirkt. cool.gif Danke!

Ganz einfache Lösung: Darstellung von Bildern nur noch , wenn sie per https eingebunden werden, alles andere wird nur als Link angezeigt.
    
    Link zum BeitragTop
Metropolenbahner
  Geschrieben am: 10 May 2017, 11:34


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 23 Oct 13
Beiträge: 3255




QUOTE (Boris Merath @ 10 May 2017, 02:37)
Seit heute läuft das Forum im Probebetrieb über https. Falls jemand Probleme feststellt bitte ich um eine kurze Info.

Ein Problem ist bereits bekannt, nicht alle Grafiken werden korrekt über https geladen. Das Problem lässt sich leider nicht ganz trivial lösen, zumal diverse Grafiken (vorallem in Signaturen) von fremden Servern geladen werden. Aus dem Grund wird das Verschlüsselungssymbol teilweise mit einem Warnsymbol versehen.
Wie man damit am besten umgeht bin ich mir momentan noch nicht ganz sicher, ich fürchte aber dass es da keine wirkliche Lösung geben wird.

Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?

Ansonsten meckert HTTPS Checker (neben den ganzen Userfotos) auch über Google:
QUOTE
Active Mixed Content Insecure Script: <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js">


Haben die wirklich kein https?

Auf alle Fälle Danke für die Mühen, besser als nix ists allemal wink.gif

Bearbeitet von Metropolenbahner am 10 May 2017, 11:35
    
     Link zum BeitragTop
FloSch
  Geschrieben am: 10 May 2017, 11:45


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 28 Mar 03
Beiträge: 4574
Chat: FloSch 

Alter: 38
Wohnort: München


QUOTE (Metropolenbahner @ 10 May 2017, 12:34)
Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?

Also zumindest u-bahn-muenchen.de gibt's seit längerem ohnehin auch per https, das kannst du gerne entsprechend updaten smile.gif

--------------------
user posted image
Twitter: @muenchnerubahn | Facebook: facebook.com/muenchnerubahn | Instagram: @muenchnerubahn
    
          Link zum BeitragTop
Boris Merath
  Geschrieben am: 10 May 2017, 12:31


Lebende Forenlegende


Status: Admin
Mitglied seit: 18 Nov 02
Beiträge: 17991
Chat: BorisM 

Alter: 34
Wohnort: München


QUOTE (Metropolenbahner @ 10 May 2017, 12:34)
Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?

Die sind das kleinere Problem. Das größere Problem ist, dass die Beiträge in der Datenbank gecacht in bereits nach HTML umgewandelter Form vorliegen, damit das Forum die nicht bei jedem Seitenaufruf erneut umwandeln muss. Blöderweise steht da in allen Bild-URLs "http://". Ist natürlich ein lösbares Problem, aber doch ein etwas größerer Aufwand.

QUOTE
Ansonsten meckert HTTPS Checker (neben den ganzen Userfotos) auch über Google:

Das fliegt eh komplett raus, sobald ich die anderen Bilder angehe die fest eingebunden sind.

QUOTE (Lobedan @ 10 May 2017, 12:15)
Ganz einfache Lösung: Darstellung von Bildern nur noch , wenn sie per https eingebunden werden, alles andere wird nur als Link angezeigt.

Ist die Frage nach dem Kosten/Nutzen-Verhältnis. Auf der Nutzenseite sehe ich da momentan eignetlich nur, dass das gelbe Dreieck im Firefox verschwindet, und dafür ein grünes Schloss erscheint. Solange hier jeder Nutzer beliebige Bilder einbinden kann, ist es eigentlich relativ witzlos, die Datenübertragung der Bilder gegen Manipulation zu schützen, oder habe ich hier irgendwas übersehen?
Betrifft ja auch alte Beiträge etc, wo der Hoster vielleicht sogar https unterstützt, der Link aber als http eingegeben ist. Die wollen wir ja nicht unbedingt kaputt machen?

Bearbeitet von Boris Merath am 10 May 2017, 12:38

--------------------
user posted image
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
    
              Link zum BeitragTop
Lobedan
  Geschrieben am: 10 May 2017, 12:58


Kaiser


Status: Mitglied
Mitglied seit: 1 Jan 16
Beiträge: 1030

Alter: 28



QUOTE (Boris Merath @ 10 May 2017, 13:31)
Ist die Frage nach dem Kosten/Nutzen-Verhältnis. Auf der Nutzenseite sehe ich da momentan eignetlich nur, dass das gelbe Dreieck im Firefox verschwindet, und dafür ein grünes Schloss erscheint. Solange hier jeder Nutzer beliebige Bilder einbinden kann, ist es eigentlich relativ witzlos, die Datenübertragung der Bilder gegen Manipulation zu schützen, oder habe ich hier irgendwas übersehen?
Betrifft ja auch alte Beiträge etc, wo der Hoster vielleicht sogar https unterstützt, der Link aber als http eingegeben ist. Die wollen wir ja nicht unbedingt kaputt machen?

Das kommt darauf an, wie weit du langfristig gehen willst. Soll Google einfach nur zufrieden sein oder geht es um ein echtes Plus an Sicherheit?
Der Königsweg wäre CSP, aber das ist irgendwann mal ein Haufen Arbeit, wenn man es richtig ernst nimmt: https://scotthelme.co.uk/content-security-p...n-introduction/
Dass Bilder in älteren Beiträgen dann nicht mehr angezeigt werden, ist natürlich ein unschöner Nebeneffekt, den hast du aber sowieso schon immer, da die meisten Hoster kein endloses Speichern anbieten und damit auf kurz oder lang immer tote Links zurückbleiben.
    
    Link zum BeitragTop
NJ Transit
  Geschrieben am: 10 May 2017, 13:06


EF-Pensionist


Status: EF-Pensionist
Mitglied seit: 7 Sep 09
Beiträge: 5638

Alter: 22
Wohnort: Wabe 320


QUOTE (Lobedan @ 10 May 2017, 13:58)
Dass Bilder in älteren Beiträgen dann nicht mehr angezeigt werden, ist natürlich ein unschöner Nebeneffekt, den hast du aber sowieso schon immer, da die meisten Hoster kein endloses Speichern anbieten und damit auf kurz oder lang immer tote Links zurückbleiben.

Viele Leute, die die zahlreichen Bilderthreads hier gefüllt haben, hosten aber selber (zum Beispiel Auer Trambahner als einer derer, von denen hier wirklich ein beträchtlicher Teil stammen dürfte) oder auf Flickr (Metrotram, Entenfang). Es wäre in meinen Augen ein gravierender Verlust für das Forum, wenn viele der sehr lesenswerten Reiseberichte hier drin (und auch viele ältere sind weiterhin lesbar) zwanglos aus dem Fenster geschmissen werden - denn einen Bericht, bei dem ich alle zwei Zeilen auf einen Link klicken muss, lese ich nicht.

--------------------
My hovercraft is full of eels.

SWMdrölf. Jetzt noch nächer, noch hältiger, noch fitter. Bist auch du Glasfaser und P-Wagen?
    
      Link zum BeitragTop
Lobedan
  Geschrieben am: 10 May 2017, 14:31


Kaiser


Status: Mitglied
Mitglied seit: 1 Jan 16
Beiträge: 1030

Alter: 28



Hm da könnte man eventuell ein Script über die Datenbank jagen und alles bestehende auf https umschreiben. Setzt voraus, dass alles auch über https erreichbar ist, aber das setzt sich inzwischen ja als Standard durch. Ist bei der Datenmenge von 15 Jahren Forum sicher nicht ganz ohne und sollte man vorher an einem Backup testen, wäre aber eine Möglichkeit.

Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus. Was beim Alter der Forensoftware am Ende aber vermutlich gar keine Rolle spielt.
    
    Link zum BeitragTop
Galaxy
  Geschrieben am: 10 May 2017, 14:37


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 7 Mar 11
Beiträge: 3213




Der Sicherheitsgewinn ist im Kontext sowieso irrelevant in einer Welt wo z.B. Email Provider immer noch, selbst bei unbekannten Absendern, nur den Display Name anzeigen und nicht die volle Email Adresse.
    
     Link zum BeitragTop
Boris Merath
  Geschrieben am: 10 May 2017, 14:38


Lebende Forenlegende


Status: Admin
Mitglied seit: 18 Nov 02
Beiträge: 17991
Chat: BorisM 

Alter: 34
Wohnort: München


QUOTE (Lobedan @ 10 May 2017, 15:31)
Hm da könnte man eventuell ein Script über die Datenbank jagen und alles bestehende auf https umschreiben. Setzt voraus, dass alles auch über https erreichbar ist, aber das setzt sich inzwischen ja als Standard durch. Ist bei der Datenmenge von 15 Jahren Forum sicher nicht ganz ohne und sollte man vorher an einem Backup testen, wäre aber eine Möglichkeit.

Ach, die Datenmenge ist das geringste Problem, muss man sich halt einfach einmal durch die Tabelle durchwühlen. Das größere Problem ist, dass halt nach wie vor nicht jeder Hoster https unterstützt, man müsste es also mindestens testen.

QUOTE
Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus.

Was genau reduziert denn in Deinen Augen die Sicherheit, wenn eingebundene Bilder nicht über https übertragen werden? Ein wirklich revelanter Vorteil fällt mir bisher noch nicht ein, daher tendiere ich doch eher zur Meinung von NJ Transit.

--------------------
user posted image
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
    
              Link zum BeitragTop
Lobedan
  Geschrieben am: 10 May 2017, 14:41


Kaiser


Status: Mitglied
Mitglied seit: 1 Jan 16
Beiträge: 1030

Alter: 28



QUOTE (Galaxy @ 10 May 2017, 15:37)
Der Sicherheitsgewinn ist im Kontext sowieso irrelevant in einer Welt wo z.B. Email Provider immer noch, selbst bei unbekannten Absendern, nur den Display Name anzeigen und nicht die volle Email Adresse.

Schaff dir ein vernünftiges Mailprogramm an, bei dem du selbst einstellen kannst, ob das so sein soll. Oder wechsle den Anbieter, denn das macht nicht jeder.

Und nur weil an anderer Stelle mit der Gratissicherheit gespart wird, muss man das ja nicht nachmachen. unsure.gif
    
    Link zum BeitragTop
Didy
  Geschrieben am: 10 May 2017, 14:48


Lebende Forenlegende


Status: Mitglied.
Mitglied seit: 26 Jul 06
Beiträge: 3471




QUOTE (Lobedan @ 10 May 2017, 15:31)
Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus.

Der Sicherheitsgewinn ist, dass Username und Passwort nicht mehr als Plaintext übertragen wird.
Wo der Sicherheitsgewinn sein soll, extern gehostete Fotos per https zu übertragen, erschließt sich mir nicht.

--------------------
user posted image
    
    Link zum BeitragTop
218 466-1
  Geschrieben am: 10 May 2017, 14:59


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 2 Aug 10
Beiträge: 6362

Alter: 40
Wohnort: Red Bank NJ, ex-Ingolstadt


QUOTE (Didy @ 10 May 2017, 15:48)
Wo der Sicherheitsgewinn sein soll, extern gehostete Fotos per https zu übertragen, erschließt sich mir nicht.
Dass die ohne https nicht mehr angezeigt werden. Avatar & Signatur von @ Didy gehen bei mir jedoch schon seit Wochen nicht mehr. Wird wohl schon vom Feuerfuchs verweigert. unsure.gif

--------------------
Keine Alternative zum Transrapid MUC
user posted image
    
     Link zum BeitragTop
Galaxy
  Geschrieben am: 10 May 2017, 15:00


Lebende Forenlegende


Status: Mitglied
Mitglied seit: 7 Mar 11
Beiträge: 3213




Ist leider keine Frage von Gratis oder nicht. Outlook 2016 zeigt in der inbox nur die Alias an. Lässt sich nur via eigenes rumbasteln an der form configuration file ändern.
    
     Link zum BeitragTop
Lobedan
  Geschrieben am: 10 May 2017, 15:33


Kaiser


Status: Mitglied
Mitglied seit: 1 Jan 16
Beiträge: 1030

Alter: 28



QUOTE (Boris Merath @ 10 May 2017, 15:38)
Ach, die Datenmenge ist das geringste Problem, muss man sich halt einfach einmal durch die Tabelle durchwühlen. Das größere Problem ist, dass halt nach wie vor nicht jeder Hoster https unterstützt, man müsste es also mindestens testen.

Zielte eher auf das Problem ab, dass eine unüberschaubare Menge an Änderungen bedeutet, dass hinterher etwas nicht (mehr) so funktionieren könnte, wie es soll.
QUOTE (Boris Merath @ 10 May 2017, 15:38)
Was genau reduziert denn in Deinen Augen die Sicherheit, wenn eingebundene Bilder nicht über https übertragen werden? Ein wirklich revelanter Vorteil fällt mir bisher noch nicht ein, daher tendiere ich doch eher zur Meinung von NJ Transit.

Von den generellen Argumenten pro-https mal abgesehen? Solange es mixed content gibt, ist es nun mal nur eine Scheinsicherheit, deswegen werden Webseiten mit gemischten Inhalten ja zurecht gekennzeichnet und es würde mich nicht wundern, wenn man mittelfristig damit rechnen muss, dass auf die simple Warnung echte Einschränkungen folgen. Ich verweise auf Flashinhalte, die glücklicherweise konsequent von vielen Seiten eingedämmt wurden, indem aus anfänglichen Warnungen des Browsers echte Blockaden wurden bis hin, dass man jedes Flash-Element händisch freischalten muss (sofern man 2017 überhaupt noch so unklug ist, einen Flashplayer installiert zu haben). Google, Mozilla und Co. haben diese Kennzeichnung ja nicht eingeführt, um Webseitenbetreiber zu ärgern oder den SSL-Zertifikatehandel zu unterstützen (schließlich geht es längst kostenlos), sondern weil jedes http-Element nun mal ein potentielles Einfallstor für dritte ist. Ja, passive Inhalte wie Bilder sind verhältnismäßig wenig gefährlich. Auf kurz oder lang würde ich aber definitiv dazu übergehen, von gemischten Inhalten wegzukommen und alles auf https umzustellen.
    
    Link zum BeitragTop
Thema wird von 0 Benutzer gelesen (0 Gäste und 0 Anonyme Benutzer)
0 Mitglieder:
21 Antworten seit 10 May 2017, 01:37 Thema abonnieren | Thema versenden | Thema drucken
Seiten: (2) [1] 2 
<< Back to Neuigkeiten und Ankündigungen
Antworten | Neues Thema |