Probebetrieb https

des Teams von Eisenbahnforum.de
Antworten
Benutzeravatar
Boris Merath
*Lebende Forenlegende*
Beiträge: 16123
Registriert: 18 Nov 2002, 23:57
Wohnort: München

Beitrag von Boris Merath »

Seit heute läuft das Forum im Probebetrieb über https. Falls jemand Probleme feststellt bitte ich um eine kurze Info.

Ein Problem ist bereits bekannt, nicht alle Grafiken werden korrekt über https geladen. Das Problem lässt sich leider nicht ganz trivial lösen, zumal diverse Grafiken (vorallem in Signaturen) von fremden Servern geladen werden. Aus dem Grund wird das Verschlüsselungssymbol teilweise mit einem Warnsymbol versehen.
Wie man damit am besten umgeht bin ich mir momentan noch nicht ganz sicher, ich fürchte aber dass es da keine wirkliche Lösung geben wird.
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
Benutzeravatar
Lobedan
Kaiser
Beiträge: 1466
Registriert: 01 Jan 2016, 15:02

Beitrag von Lobedan »

Ha hat mein Genörgel ja doch etwas bewirkt. B-) Danke!

Ganz einfache Lösung: Darstellung von Bildern nur noch , wenn sie per https eingebunden werden, alles andere wird nur als Link angezeigt.
Metropolenbahner
Lebende Forenlegende
Beiträge: 4860
Registriert: 23 Okt 2013, 05:14

Beitrag von Metropolenbahner »

Boris Merath @ 10 May 2017, 02:37 hat geschrieben: Seit heute läuft das Forum im Probebetrieb über https. Falls jemand Probleme feststellt bitte ich um eine kurze Info.

Ein Problem ist bereits bekannt, nicht alle Grafiken werden korrekt über https geladen. Das Problem lässt sich leider nicht ganz trivial lösen, zumal diverse Grafiken (vorallem in Signaturen) von fremden Servern geladen werden. Aus dem Grund wird das Verschlüsselungssymbol teilweise mit einem Warnsymbol versehen.
Wie man damit am besten umgeht bin ich mir momentan noch nicht ganz sicher, ich fürchte aber dass es da keine wirkliche Lösung geben wird.
Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?

Ansonsten meckert HTTPS Checker (neben den ganzen Userfotos) auch über Google:
Active Mixed Content Insecure Script: <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
Haben die wirklich kein https?

Auf alle Fälle Danke für die Mühen, besser als nix ists allemal ;)
Benutzeravatar
FloSch
Lebende Forenlegende
Beiträge: 4506
Registriert: 28 Mär 2003, 11:30
Wohnort: München
Kontaktdaten:

Beitrag von FloSch »

Metropolenbahner @ 10 May 2017, 12:34 hat geschrieben: Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?
Also zumindest u-bahn-muenchen.de gibt's seit längerem ohnehin auch per https, das kannst du gerne entsprechend updaten :)
Bild
Mastodon: muenchen.social/@ubahn | Instagram: @muenchnerubahn
Benutzeravatar
Boris Merath
*Lebende Forenlegende*
Beiträge: 16123
Registriert: 18 Nov 2002, 23:57
Wohnort: München

Beitrag von Boris Merath »

Metropolenbahner @ 10 May 2017, 12:34 hat geschrieben: Naja, zumindest die Bilder der Partnerseiten auf der Hauptseite (igs, u-bahn München, etc.) könntest Du auf den eigenen Server laden, oder?
Die sind das kleinere Problem. Das größere Problem ist, dass die Beiträge in der Datenbank gecacht in bereits nach HTML umgewandelter Form vorliegen, damit das Forum die nicht bei jedem Seitenaufruf erneut umwandeln muss. Blöderweise steht da in allen Bild-URLs "http://". Ist natürlich ein lösbares Problem, aber doch ein etwas größerer Aufwand.
Ansonsten meckert HTTPS Checker (neben den ganzen Userfotos) auch über Google:
Das fliegt eh komplett raus, sobald ich die anderen Bilder angehe die fest eingebunden sind.
Lobedan @ 10 May 2017, 12:15 hat geschrieben:Ganz einfache Lösung: Darstellung von Bildern nur noch , wenn sie per https eingebunden werden, alles andere wird nur als Link angezeigt.
Ist die Frage nach dem Kosten/Nutzen-Verhältnis. Auf der Nutzenseite sehe ich da momentan eignetlich nur, dass das gelbe Dreieck im Firefox verschwindet, und dafür ein grünes Schloss erscheint. Solange hier jeder Nutzer beliebige Bilder einbinden kann, ist es eigentlich relativ witzlos, die Datenübertragung der Bilder gegen Manipulation zu schützen, oder habe ich hier irgendwas übersehen?
Betrifft ja auch alte Beiträge etc, wo der Hoster vielleicht sogar https unterstützt, der Link aber als http eingegeben ist. Die wollen wir ja nicht unbedingt kaputt machen?
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
Benutzeravatar
Lobedan
Kaiser
Beiträge: 1466
Registriert: 01 Jan 2016, 15:02

Beitrag von Lobedan »

Boris Merath @ 10 May 2017, 13:31 hat geschrieben: Ist die Frage nach dem Kosten/Nutzen-Verhältnis. Auf der Nutzenseite sehe ich da momentan eignetlich nur, dass das gelbe Dreieck im Firefox verschwindet, und dafür ein grünes Schloss erscheint. Solange hier jeder Nutzer beliebige Bilder einbinden kann, ist es eigentlich relativ witzlos, die Datenübertragung der Bilder gegen Manipulation zu schützen, oder habe ich hier irgendwas übersehen?
Betrifft ja auch alte Beiträge etc, wo der Hoster vielleicht sogar https unterstützt, der Link aber als http eingegeben ist. Die wollen wir ja nicht unbedingt kaputt machen?
Das kommt darauf an, wie weit du langfristig gehen willst. Soll Google einfach nur zufrieden sein oder geht es um ein echtes Plus an Sicherheit?
Der Königsweg wäre CSP, aber das ist irgendwann mal ein Haufen Arbeit, wenn man es richtig ernst nimmt: https://scotthelme.co.uk/content-security-p...n-introduction/
Dass Bilder in älteren Beiträgen dann nicht mehr angezeigt werden, ist natürlich ein unschöner Nebeneffekt, den hast du aber sowieso schon immer, da die meisten Hoster kein endloses Speichern anbieten und damit auf kurz oder lang immer tote Links zurückbleiben.
NJ Transit
"Lebende Forenlegende"
Beiträge: 5149
Registriert: 07 Sep 2009, 15:55
Wohnort: Wabe 320
Kontaktdaten:

Beitrag von NJ Transit »

Lobedan @ 10 May 2017, 13:58 hat geschrieben: Dass Bilder in älteren Beiträgen dann nicht mehr angezeigt werden, ist natürlich ein unschöner Nebeneffekt, den hast du aber sowieso schon immer, da die meisten Hoster kein endloses Speichern anbieten und damit auf kurz oder lang immer tote Links zurückbleiben.
Viele Leute, die die zahlreichen Bilderthreads hier gefüllt haben, hosten aber selber (zum Beispiel Auer Trambahner als einer derer, von denen hier wirklich ein beträchtlicher Teil stammen dürfte) oder auf Flickr (Metrotram, Entenfang). Es wäre in meinen Augen ein gravierender Verlust für das Forum, wenn viele der sehr lesenswerten Reiseberichte hier drin (und auch viele ältere sind weiterhin lesbar) zwanglos aus dem Fenster geschmissen werden - denn einen Bericht, bei dem ich alle zwei Zeilen auf einen Link klicken muss, lese ich nicht.
My hovercraft is full of eels.

SWMdrölf. Jetzt noch nächer, noch hältiger, noch fitter. Bist auch du Glasfaser und P-Wagen?
Benutzeravatar
Lobedan
Kaiser
Beiträge: 1466
Registriert: 01 Jan 2016, 15:02

Beitrag von Lobedan »

Hm da könnte man eventuell ein Script über die Datenbank jagen und alles bestehende auf https umschreiben. Setzt voraus, dass alles auch über https erreichbar ist, aber das setzt sich inzwischen ja als Standard durch. Ist bei der Datenmenge von 15 Jahren Forum sicher nicht ganz ohne und sollte man vorher an einem Backup testen, wäre aber eine Möglichkeit.

Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus. Was beim Alter der Forensoftware am Ende aber vermutlich gar keine Rolle spielt.
Benutzeravatar
Galaxy
Lebende Forenlegende
Beiträge: 3285
Registriert: 07 Mär 2011, 18:17

Beitrag von Galaxy »

Der Sicherheitsgewinn ist im Kontext sowieso irrelevant in einer Welt wo z.B. Email Provider immer noch, selbst bei unbekannten Absendern, nur den Display Name anzeigen und nicht die volle Email Adresse.
Benutzeravatar
Boris Merath
*Lebende Forenlegende*
Beiträge: 16123
Registriert: 18 Nov 2002, 23:57
Wohnort: München

Beitrag von Boris Merath »

Lobedan @ 10 May 2017, 15:31 hat geschrieben: Hm da könnte man eventuell ein Script über die Datenbank jagen und alles bestehende auf https umschreiben. Setzt voraus, dass alles auch über https erreichbar ist, aber das setzt sich inzwischen ja als Standard durch. Ist bei der Datenmenge von 15 Jahren Forum sicher nicht ganz ohne und sollte man vorher an einem Backup testen, wäre aber eine Möglichkeit.
Ach, die Datenmenge ist das geringste Problem, muss man sich halt einfach einmal durch die Tabelle durchwühlen. Das größere Problem ist, dass halt nach wie vor nicht jeder Hoster https unterstützt, man müsste es also mindestens testen.
Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus.
Was genau reduziert denn in Deinen Augen die Sicherheit, wenn eingebundene Bilder nicht über https übertragen werden? Ein wirklich revelanter Vorteil fällt mir bisher noch nicht ein, daher tendiere ich doch eher zur Meinung von NJ Transit.
Bis zur vollzogenen Anbringung von ausreichenden Sandstreuapparaten an allen Maschinen haben die Bahnwärter bei aufwärtsgehenden Zügen auf stärkeren Steigungen die Schienen ausgiebig mit trockenem Sand zu bestreuen und für die Bereithaltung eines entsprechenden Vorrathes zu sorgen.

Fahrdienstvorschrift bayerische Staatsbahnen 1876
Benutzeravatar
Lobedan
Kaiser
Beiträge: 1466
Registriert: 01 Jan 2016, 15:02

Beitrag von Lobedan »

Galaxy @ 10 May 2017, 15:37 hat geschrieben: Der Sicherheitsgewinn ist im Kontext sowieso irrelevant in einer Welt wo z.B. Email Provider immer noch, selbst bei unbekannten Absendern, nur den Display Name anzeigen und nicht die volle Email Adresse.
Schaff dir ein vernünftiges Mailprogramm an, bei dem du selbst einstellen kannst, ob das so sein soll. Oder wechsle den Anbieter, denn das macht nicht jeder.

Und nur weil an anderer Stelle mit der Gratissicherheit gespart wird, muss man das ja nicht nachmachen. :unsure:
Didy
Lebende Forenlegende
Beiträge: 3602
Registriert: 26 Jul 2006, 10:11

Beitrag von Didy »

Lobedan @ 10 May 2017, 15:31 hat geschrieben: Aber wie gesagt: Hängt alles davon ab, welcher Zweck hier mit https verfolgt werden soll. Wenn Login und Forum darüber laufen, dürften Google & Co. erstmal glücklich sein. Der Sicherheitsgewinn fällt dann aber entsprechend kleiner aus.
Der Sicherheitsgewinn ist, dass Username und Passwort nicht mehr als Plaintext übertragen wird.
Wo der Sicherheitsgewinn sein soll, extern gehostete Fotos per https zu übertragen, erschließt sich mir nicht.
Benutzeravatar
218 466-1
"Lebende Forenlegende"
Beiträge: 7771
Registriert: 02 Aug 2010, 15:13
Wohnort: Red Bank NJ, ex-Ingolstadt

Beitrag von 218 466-1 »

Didy @ 10 May 2017, 15:48 hat geschrieben:Wo der Sicherheitsgewinn sein soll, extern gehostete Fotos per https zu übertragen, erschließt sich mir nicht.
Dass die ohne https nicht mehr angezeigt werden. Avatar & Signatur von @ Didy gehen bei mir jedoch schon seit Wochen nicht mehr. Wird wohl schon vom Feuerfuchs verweigert. :unsure:
Keine Alternative zum Transrapid MUC
Bild
Benutzeravatar
Galaxy
Lebende Forenlegende
Beiträge: 3285
Registriert: 07 Mär 2011, 18:17

Beitrag von Galaxy »

Ist leider keine Frage von Gratis oder nicht. Outlook 2016 zeigt in der inbox nur die Alias an. Lässt sich nur via eigenes rumbasteln an der form configuration file ändern.
Benutzeravatar
Lobedan
Kaiser
Beiträge: 1466
Registriert: 01 Jan 2016, 15:02

Beitrag von Lobedan »

Boris Merath @ 10 May 2017, 15:38 hat geschrieben:Ach, die Datenmenge ist das geringste Problem, muss man sich halt einfach einmal durch die Tabelle durchwühlen. Das größere Problem ist, dass halt nach wie vor nicht jeder Hoster https unterstützt, man müsste es also mindestens testen.
Zielte eher auf das Problem ab, dass eine unüberschaubare Menge an Änderungen bedeutet, dass hinterher etwas nicht (mehr) so funktionieren könnte, wie es soll.
Boris Merath @ 10 May 2017, 15:38 hat geschrieben:Was genau reduziert denn in Deinen Augen die Sicherheit, wenn eingebundene Bilder nicht über https übertragen werden? Ein wirklich revelanter Vorteil fällt mir bisher noch nicht ein, daher tendiere ich doch eher zur Meinung von NJ Transit.
Von den generellen Argumenten pro-https mal abgesehen? Solange es mixed content gibt, ist es nun mal nur eine Scheinsicherheit, deswegen werden Webseiten mit gemischten Inhalten ja zurecht gekennzeichnet und es würde mich nicht wundern, wenn man mittelfristig damit rechnen muss, dass auf die simple Warnung echte Einschränkungen folgen. Ich verweise auf Flashinhalte, die glücklicherweise konsequent von vielen Seiten eingedämmt wurden, indem aus anfänglichen Warnungen des Browsers echte Blockaden wurden bis hin, dass man jedes Flash-Element händisch freischalten muss (sofern man 2017 überhaupt noch so unklug ist, einen Flashplayer installiert zu haben). Google, Mozilla und Co. haben diese Kennzeichnung ja nicht eingeführt, um Webseitenbetreiber zu ärgern oder den SSL-Zertifikatehandel zu unterstützen (schließlich geht es längst kostenlos), sondern weil jedes http-Element nun mal ein potentielles Einfallstor für dritte ist. Ja, passive Inhalte wie Bilder sind verhältnismäßig wenig gefährlich. Auf kurz oder lang würde ich aber definitiv dazu übergehen, von gemischten Inhalten wegzukommen und alles auf https umzustellen.
Benutzeravatar
Lobedan
Kaiser
Beiträge: 1466
Registriert: 01 Jan 2016, 15:02

Beitrag von Lobedan »

Galaxy @ 10 May 2017, 16:00 hat geschrieben: Ist leider keine Frage von Gratis oder nicht. Outlook 2016 zeigt in der inbox nur die Alias an. Lässt sich nur via eigenes rumbasteln an der form configuration file ändern.
Tja und Thunderbird beispielsweise hat dafür eine nette Checkbox in den Einstellungen.
Rev
Lebende Forenlegende
Beiträge: 3323
Registriert: 28 Nov 2011, 20:15

Beitrag von Rev »

Das Problem bei gemixten Inhalten ist halt das man nicht so genau weiß was da über http geschubst wird... Wenn man es ned explizit prüft.

Der erste Schritt wäre auf jeden Fall mal die Hauptseite frei von Http zu bekommen damit wäre der Login schon mal als eindeutig sicher gekennzeichnet.

Als nächstes konsequent das einbinden von http Inhalten im Beiträge und Signaturen unterbinden somit kommt keiner neuer Mixed content hinzu. Als letztes könnte man noch alle nicht https Bilder zu nem normalen Link umwandeln.

Theoretisch kann man das ganze Forum auch hinter nen reverse proxy hängen dann wären alle meldungen weg das hat aber auch diverse Nachteile
Benutzeravatar
Galaxy
Lebende Forenlegende
Beiträge: 3285
Registriert: 07 Mär 2011, 18:17

Beitrag von Galaxy »

Lobedan @ 10 May 2017, 16:36 hat geschrieben: Tja und Thunderbird beispielsweise hat dafür eine nette Checkbox in den Einstellungen.
Dafür hat Thunderbird keine Unterstützung für Azure Multi Faktor Authentifizierung.
Didy
Lebende Forenlegende
Beiträge: 3602
Registriert: 26 Jul 2006, 10:11

Beitrag von Didy »

218 466-1 @ 10 May 2017, 15:59 hat geschrieben: Dass die ohne https nicht mehr angezeigt werden. Avatar & Signatur von @ Didy gehen bei mir jedoch schon seit Wochen nicht mehr. Wird wohl schon vom Feuerfuchs verweigert. :unsure:
Was aber sicher nicht an fehlendem https liegt, wenn es seit Wochen so ist, denn das Forum selbst ist ja erst seit heute https.
(Außerdem kein "Sicherheits" Thema.)

Edit: Liegt wohl daran, dass der Server auf der dem Ava liegt gerade eine Weiterleitung macht, habs noch nicht geschafft den DNS-Eintrag upzudaten.
Ist aber auch wieder ne Firefox-Eigenheit, in Opera wirds ganz normal angezeigt.
Didy
Lebende Forenlegende
Beiträge: 3602
Registriert: 26 Jul 2006, 10:11

Beitrag von Didy »

Lobedan @ 10 May 2017, 16:33 hat geschrieben: Solange es mixed content gibt, ist es nun mal nur eine Scheinsicherheit, deswegen werden Webseiten mit gemischten Inhalten ja zurecht gekennzeichnet und es würde mich nicht wundern, wenn man mittelfristig damit rechnen muss, dass auf die simple Warnung echte Einschränkungen folgen.
Ich lese da nur Argumente, die den Grund haben, den "grafischen Haken im Browser" zu verbessern.
Eine reelle Gefährdung, wenn externe Bilder unverschlüsselt angezeigt werden, kann ich auch nach deinen neuerlichen Ausführungen nicht erkennen. Das wichtige - allen voran die Logindaten, gefolgt von Einstellungen, PN-Textinhalt usw. - sind verschlüsselt übertragen.

Die wenigen Grafiken auf der Startseite alle per https auf dem eigenen Server zu kriegen damit der Login als sicher angezeigt wird, da geh ich noch mit. Geht aber nur für die Nicht-Eingeloggte Startseite - wenn ich eingeloggt bin wird da mein Ava angezeigt.
Benutzeravatar
Iarn
*Lebende Forenlegende*
Beiträge: 23968
Registriert: 20 Jul 2007, 13:22

Beitrag von Iarn »

Ich würde die ganze Fremdlinks kappen, ist eh besser für die Performance und ganz ehrlich wer braucht schon Signaturbilder,
Autonome Volksfront für die Wiedererrichtung der klassischen 22er Tram in München
Nicht zu verwechseln mit der Populären Front
Benutzeravatar
TramBahnFreak
*Lebende Forenlegende*
Beiträge: 12143
Registriert: 02 Okt 2009, 16:28
Wohnort: Da drüben, gleich da hinter'm Wellblechzaun

Beitrag von TramBahnFreak »

218 466-1 @ 10 May 2017, 15:59 hat geschrieben: Dass die ohne https nicht mehr angezeigt werden. Avatar & Signatur von @ Didy gehen bei mir jedoch schon seit Wochen nicht mehr. Wird wohl schon vom Feuerfuchs verweigert. :unsure:
Beruhigend, dass ich da nicht alleine bin. (Allerdings mit Chrome...)
Antworten