Probebetrieb https

[Boris Merath]

Seit heute läuft das Forum im Probebetrieb über https. Falls jemand Probleme feststellt bitte ich um eine kurze Info.

Ein Problem ist bereits bekannt, nicht alle Grafiken werden korrekt über https geladen. Das Problem lässt sich leider nicht ganz trivial lösen, zumal diverse Grafiken (vorallem in Signaturen) von fremden Servern geladen werden. Aus dem Grund wird das Verschlüsselungssymbol teilweise mit einem Warnsymbol versehen.
Wie man damit am besten umgeht bin ich mir momentan noch nicht ganz sicher, ich fürchte aber dass es da keine wirkliche Lösung geben wird.

[Lobedan]

Ha hat mein Genörgel ja doch etwas bewirkt. B-) Danke!

Ganz einfache Lösung: Darstellung von Bildern nur noch , wenn sie per https eingebunden werden, alles andere wird nur als Link angezeigt.

[Metropolenbahner]

Seit heute läuft das Forum im Probebetrieb über https. Falls jemand Probleme feststellt bitte ich um eine kurze Info.

Ein Problem ist bereits bekannt, nicht alle Grafiken werden korrekt über https geladen. Das Problem lässt sich leider nicht ganz trivial lösen, zumal diverse Grafiken (vorallem in Signaturen) von fremden Servern geladen werden. Aus dem Grund wird das Verschlüsselungssymbol teilweise mit einem Warnsymbol versehen.
Wie man damit am besten umgeht bin ich mir momentan noch nicht ganz sicher, ich fürchte aber dass es da keine wirkliche Lösung geben wird.

Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?

Ansonsten meckert HTTPS Checker (neben den ganzen Userfotos) auch über Google:

Active Mixed Content Insecure Script: <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js">

Haben die wirklich kein https?

Auf alle Fälle Danke für die Mühen, besser als nix ists allemal

[FloSch]

Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?

Also zumindest u-bahn-muenchen.de gibt's seit längerem ohnehin auch per https, das kannst du gerne entsprechend updaten

[Boris Merath]

Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?

Die sind das kleinere Problem. Das größere Problem ist, dass die Beiträge in der Datenbank gecacht in bereits nach HTML umgewandelter Form vorliegen, damit das Forum die nicht bei jedem Seitenaufruf erneut umwandeln muss. Blöderweise steht da in allen Bild-URLs "http://". Ist natürlich ein lösbares Problem, aber doch ein etwas größerer Aufwand.

Ansonsten meckert HTTPS Checker (neben den ganzen Userfotos) auch über Google:

Das fliegt eh komplett raus, sobald ich die anderen Bilder angehe die fest eingebunden sind.

Ganz einfache Lösung: Darstellung von Bildern nur noch , wenn sie per https eingebunden werden, alles andere wird nur als Link angezeigt.

Ist die Frage nach dem Kosten/Nutzen-Verhältnis. Auf der Nutzenseite sehe ich da momentan eignetlich nur, dass das gelbe Dreieck im Firefox verschwindet, und dafür ein grünes Schloss erscheint. Solange hier jeder Nutzer beliebige Bilder einbinden kann, ist es eigentlich relativ witzlos, die Datenübertragung der Bilder gegen Manipulation zu schützen, oder habe ich hier irgendwas übersehen?
Betrifft ja auch alte Beiträge etc, wo der Hoster vielleicht sogar https unterstützt, der Link aber als http eingegeben ist. Die wollen wir ja nicht unbedingt kaputt machen?

[Lobedan]

Ist die Frage nach dem Kosten/Nutzen-Verhältnis. Auf der Nutzenseite sehe ich da momentan eignetlich nur, dass das gelbe Dreieck im Firefox verschwindet, und dafür ein grünes Schloss erscheint. Solange hier jeder Nutzer beliebige Bilder einbinden kann, ist es eigentlich relativ witzlos, die Datenübertragung der Bilder gegen Manipulation zu schützen, oder habe ich hier irgendwas übersehen?
Betrifft ja auch alte Beiträge etc, wo der Hoster vielleicht sogar https unterstützt, der Link aber als http eingegeben ist. Die wollen wir ja nicht unbedingt kaputt machen?

Das kommt darauf an, wie weit du langfristig gehen willst. Soll Google einfach nur zufrieden sein oder geht es um ein echtes Plus an Sicherheit?
Der Königsweg wäre CSP, aber das ist irgendwann mal ein Haufen Arbeit, wenn man es richtig ernst nimmt: https://scotthelme.co.uk/content-security-p...n-introduction/
Dass Bilder in älteren Beiträgen dann nicht mehr angezeigt werden, ist natürlich ein unschöner Nebeneffekt, den hast du aber sowieso schon immer, da die meisten Hoster kein endloses Speichern anbieten und damit auf kurz oder lang immer tote Links zurückbleiben.

[NJ Transit]

Dass Bilder in älteren Beiträgen dann nicht mehr angezeigt werden, ist natürlich ein unschöner Nebeneffekt, den hast du aber sowieso schon immer, da die meisten Hoster kein endloses Speichern anbieten und damit auf kurz oder lang immer tote Links zurückbleiben.

Viele Leute, die die zahlreichen Bilderthreads hier gefüllt haben, hosten aber selber (zum Beispiel Auer Trambahner als einer derer, von denen hier wirklich ein beträchtlicher Teil stammen dürfte) oder auf Flickr (Metrotram, Entenfang). Es wäre in meinen Augen ein gravierender Verlust für das Forum, wenn viele der sehr lesenswerten Reiseberichte hier drin (und auch viele ältere sind weiterhin lesbar) zwanglos aus dem Fenster geschmissen werden - denn einen Bericht, bei dem ich alle zwei Zeilen auf einen Link klicken muss, lese ich nicht.

[Lobedan]

Hm da könnte man eventuell ein Script über die Datenbank jagen und alles bestehende auf https umschreiben. Setzt voraus, dass alles auch über https erreichbar ist, aber das setzt sich inzwischen ja als Standard durch. Ist bei der Datenmenge von 15 Jahren Forum sicher nicht ganz ohne und sollte man vorher an einem Backup testen, wäre aber eine Möglichkeit.

Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus. Was beim Alter der Forensoftware am Ende aber vermutlich gar keine Rolle spielt.

[Galaxy]

Der Sicherheitsgewinn ist im Kontext sowieso irrelevant in einer Welt wo z.B. Email Provider immer noch, selbst bei unbekannten Absendern, nur den Display Name anzeigen und nicht die volle Email Adresse.

[Boris Merath]

Hm da könnte man eventuell ein Script über die Datenbank jagen und alles bestehende auf https umschreiben. Setzt voraus, dass alles auch über https erreichbar ist, aber das setzt sich inzwischen ja als Standard durch. Ist bei der Datenmenge von 15 Jahren Forum sicher nicht ganz ohne und sollte man vorher an einem Backup testen, wäre aber eine Möglichkeit.

Ach, die Datenmenge ist das geringste Problem, muss man sich halt einfach einmal durch die Tabelle durchwühlen. Das größere Problem ist, dass halt nach wie vor nicht jeder Hoster https unterstützt, man müsste es also mindestens testen.

Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus.

Was genau reduziert denn in Deinen Augen die Sicherheit, wenn eingebundene Bilder nicht über https übertragen werden? Ein wirklich revelanter Vorteil fällt mir bisher noch nicht ein, daher tendiere ich doch eher zur Meinung von NJ Transit.

[Lobedan]

Der Sicherheitsgewinn ist im Kontext sowieso irrelevant in einer Welt wo z.B. Email Provider immer noch, selbst bei unbekannten Absendern, nur den Display Name anzeigen und nicht die volle Email Adresse.

Schaff dir ein vernünftiges Mailprogramm an, bei dem du selbst einstellen kannst, ob das so sein soll. Oder wechsle den Anbieter, denn das macht nicht jeder.

Und nur weil an anderer Stelle mit der Gratissicherheit gespart wird, muss man das ja nicht nachmachen. :unsure:

[Didy]

Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus.

Der Sicherheitsgewinn ist, dass Username und Passwort nicht mehr als Plaintext übertragen wird.
Wo der Sicherheitsgewinn sein soll, extern gehostete Fotos per https zu übertragen, erschließt sich mir nicht.

[218 466-1]

Wo der Sicherheitsgewinn sein soll, extern gehostete Fotos per https zu übertragen, erschließt sich mir nicht.

Dass die ohne https nicht mehr angezeigt werden. Avatar & Signatur von @ Didy gehen bei mir jedoch schon seit Wochen nicht mehr. Wird wohl schon vom Feuerfuchs verweigert. :unsure:

[Galaxy]

Ist leider keine Frage von Gratis oder nicht. Outlook 2016 zeigt in der inbox nur die Alias an. Lässt sich nur via eigenes rumbasteln an der form configuration file ändern.

[Lobedan]

Ach, die Datenmenge ist das geringste Problem, muss man sich halt einfach einmal durch die Tabelle durchwühlen. Das größere Problem ist, dass halt nach wie vor nicht jeder Hoster https unterstützt, man müsste es also mindestens testen.

Zielte eher auf das Problem ab, dass eine unüberschaubare Menge an Änderungen bedeutet, dass hinterher etwas nicht (mehr) so funktionieren könnte, wie es soll.

Was genau reduziert denn in Deinen Augen die Sicherheit, wenn eingebundene Bilder nicht über https übertragen werden? Ein wirklich revelanter Vorteil fällt mir bisher noch nicht ein, daher tendiere ich doch eher zur Meinung von NJ Transit.

Von den generellen Argumenten pro-https mal abgesehen? Solange es mixed content gibt, ist es nun mal nur eine Scheinsicherheit, deswegen werden Webseiten mit gemischten Inhalten ja zurecht gekennzeichnet und es würde mich nicht wundern, wenn man mittelfristig damit rechnen muss, dass auf die simple Warnung echte Einschränkungen folgen. Ich verweise auf Flashinhalte, die glücklicherweise konsequent von vielen Seiten eingedämmt wurden, indem aus anfänglichen Warnungen des Browsers echte Blockaden wurden bis hin, dass man jedes Flash-Element händisch freischalten muss (sofern man 2017 überhaupt noch so unklug ist, einen Flashplayer installiert zu haben). Google, Mozilla und Co. haben diese Kennzeichnung ja nicht eingeführt, um Webseitenbetreiber zu ärgern oder den SSL-Zertifikatehandel zu unterstützen (schließlich geht es längst kostenlos), sondern weil jedes http-Element nun mal ein potentielles Einfallstor für dritte ist. Ja, passive Inhalte wie Bilder sind verhältnismäßig wenig gefährlich. Auf kurz oder lang würde ich aber definitiv dazu übergehen, von gemischten Inhalten wegzukommen und alles auf https umzustellen.

[Lobedan]

Ist leider keine Frage von Gratis oder nicht. Outlook 2016 zeigt in der inbox nur die Alias an. Lässt sich nur via eigenes rumbasteln an der form configuration file ändern.

Tja und Thunderbird beispielsweise hat dafür eine nette Checkbox in den Einstellungen.

[Rev]

Das Problem bei gemixten Inhalten ist halt das man nicht so genau weiß was da über http geschubst wird... Wenn man es ned explizit prüft.

Der erste Schritt wäre auf jeden Fall mal die Hauptseite frei von Http zu bekommen damit wäre der Login schon mal als eindeutig sicher gekennzeichnet.

Als nächstes konsequent das einbinden von http Inhalten im Beiträge und Signaturen unterbinden somit kommt keiner neuer Mixed content hinzu. Als letztes könnte man noch alle nicht https Bilder zu nem normalen Link umwandeln.

Theoretisch kann man das ganze Forum auch hinter nen reverse proxy hängen dann wären alle meldungen weg das hat aber auch diverse Nachteile

[Galaxy]

Tja und Thunderbird beispielsweise hat dafür eine nette Checkbox in den Einstellungen.

Dafür hat Thunderbird keine Unterstützung für Azure Multi Faktor Authentifizierung.

[Didy]

Dass die ohne https nicht mehr angezeigt werden. Avatar & Signatur von @ Didy gehen bei mir jedoch schon seit Wochen nicht mehr. Wird wohl schon vom Feuerfuchs verweigert. :unsure:

Was aber sicher nicht an fehlendem https liegt, wenn es seit Wochen so ist, denn das Forum selbst ist ja erst seit heute https.
(Außerdem kein "Sicherheits" Thema.)

Edit: Liegt wohl daran, dass der Server auf der dem Ava liegt gerade eine Weiterleitung macht, habs noch nicht geschafft den DNS-Eintrag upzudaten.
Ist aber auch wieder ne Firefox-Eigenheit, in Opera wirds ganz normal angezeigt.

[Didy]

Solange es mixed content gibt, ist es nun mal nur eine Scheinsicherheit, deswegen werden Webseiten mit gemischten Inhalten ja zurecht gekennzeichnet und es würde mich nicht wundern, wenn man mittelfristig damit rechnen muss, dass auf die simple Warnung echte Einschränkungen folgen.

Ich lese da nur Argumente, die den Grund haben, den "grafischen Haken im Browser" zu verbessern.
Eine reelle Gefährdung, wenn externe Bilder unverschlüsselt angezeigt werden, kann ich auch nach deinen neuerlichen Ausführungen nicht erkennen. Das wichtige - allen voran die Logindaten, gefolgt von Einstellungen, PN-Textinhalt usw. - sind verschlüsselt übertragen.

Die wenigen Grafiken auf der Startseite alle per https auf dem eigenen Server zu kriegen damit der Login als sicher angezeigt wird, da geh ich noch mit. Geht aber nur für die Nicht-Eingeloggte Startseite - wenn ich eingeloggt bin wird da mein Ava angezeigt.

[Iarn]

Ich würde die ganze Fremdlinks kappen, ist eh besser für die Performance und ganz ehrlich wer braucht schon Signaturbilder,

[TramBahnFreak]

Dass die ohne https nicht mehr angezeigt werden. Avatar & Signatur von @ Didy gehen bei mir jedoch schon seit Wochen nicht mehr. Wird wohl schon vom Feuerfuchs verweigert. :unsure:

Beruhigend, dass ich da nicht alleine bin. (Allerdings mit Chrome...)