Kolumbienforum.net (k)eine sichere Seite?

hoffnung_2013 · Beitrag von **hoffnung_2013** » Fr 17. Mär 2017, 00:36

Hi,

seit gestern oder vorgestern bekomme ich beim Einloggen die Meldung, dass es sich bei dieser Webseite um keine sichere Seite handelt (siehe Foto).
Ich habe allerdings seit gestern Firefox aktualisiert, die neuester Version ist 52.
Vielleicht hängt es damit zusammen?
Hat jemand anders das gleiche Problem?

Kolumbienforum1.jpg

Beitrag von **Eisbaer** » Fr 17. Mär 2017, 01:05

Seit der Version 52 weißt der Browser von Firefox etwas unschön darauf hin, das die aufgerufene Seite nicht per SSL / HTTPS verschlüsselt ist. Durch seine Marktmacht treibt Google dieses Thema gehörig voran. Google Chrom in der aktuellen Version 57.x jedoch verwendet einen wesendlich dezenteren Hinweis. Für Opera zum Beispiel sind die Seiten genauso "unsicher", nur verschweigt er Dir diese Information. Das Forum ist genauso sicher/unsicher wie am ersten Tag. Um die Seiten verschlüsselt zu übertragen muss ein SSL-Zertifikat erworben und auf dem Server hinterlegt werden. Ich sehe keinen Sinn darin das Forum verschlüsselt ausliefern zu lassen denn es werden keine brisanten Daten übermittelt.

Kurze Anmerkung: Unser Forum läuft heute, genau wie zur Gründerzeit vor acht Jahren auf einem Shared Hosting Webspace. Da das Forum nicht durch Werbung finanziert wird, werden diese Kosten aus privater Hand getragen. Um nun ein SSL-Zertifikat dort einzubinden, sind wir auf die Zertifikate des Website Hosters angewiesen. Der Erwerb ist somit mit Kosten verbunden. Hätten wir einen eigenen Server, dann wäre eine verschlüsselte auslieferung der Seiten kostengünstiger zu bewerkstelligen, denn dort könnte man ein kostenloses Zertifikat verwenden. Abgesehen vom Zertifikat ist die Umstellung von HTTP auf HTTPS mit Arbeit verbunden, denn alle Bilder die verlinkt sind, sowie externe Scripte müssten ebenfalls auf HTTPS umgestellt werden. Ich denke, so wie es ist, ist alles ok.

hoffnung_2013 · Beitrag von **hoffnung_2013** » Fr 17. Mär 2017, 16:05

Danke Eisbär für die Aufklärung! Ich habe mir schon so etwas gedacht, darum habe ich dir den Hinweis mit dem Update auf Version 52 gegeben.
Ansonsten sehe ich das genauso wie Du. Obwohl zu bedenken gibt, dass damit auch Passwörter unverschlüsselt übermittelt werden.

Beitrag von **Eisbaer** » Fr 17. Mär 2017, 16:37

Wenn du eine sichere Übertragung des Passwortes willst, ist SSL sicherlich empfehlenswert.
Allerdings soll es auch per Javascript möglich sein ein Passwort verschlüsselt zu versenden - sprich das Script verschlüsselt das eingegebene Passwort vor dem Absenden an den Server. Es gibt auch das Diffie-Hellman Verfahren, mit dem man trotz unsicherer Verbindung einen Schlüssel erzeugen kann, den dann nur beide Seiten kennen. Sowas könnte man auch für die Mitteilung des Passworts verwenden, egal ob es nun in den Schlüssel eingebaut wird oder erst ein Schlüssel erzeugt wird und das Passwort dann anschließend verschlüsselt übertragen wird. Die lästige Meldung im Browser wird dennoch kommen, denn die bezieht sich ausschließlich auf SSL / HTTPS.

Beitrag von **Nasar** » Fr 17. Mär 2017, 17:51

Mich stört die Meldung nicht. Wenn ich mir darüber den Kopf zerbrechen würde, dürfte ich auch keinen Aguardiente mehr trinken.

hoffnung_2013 · Beitrag von **hoffnung_2013** » Fr 17. Mär 2017, 20:40

@Nasar, ich sehe, du hast dieses schwierige Thema komplett verstanden und mit einem Wort auf den Nenner gebracht: Aguardiente.

Beitrag von **Eisbaer** » Fr 17. Mär 2017, 22:35

Die Verbindung war schon immer unsicher, ist aber jetzt nicht unsicherer, nur weil Firefox diesen Warnhinweis verwendet. Es stimmt ja, was Firefox einblendet und es hindert niemand daran, sich anzumelden. Dies ist und bleibt auch "nur" ein Forum, kein E-Mail-Postfach und kein Online-Banking. Daher hoffe ich auf Euer wohlwollendes Verständnis.

Beitrag von **Eisbaer** » Di 21. Mär 2017, 14:19

Das Wochenende war lang, der Tinto stark. Nun läuft das Forum über SSL. HSTS ist eine komplizierte Geschichte die häufig vom verwendetem Browser abhängt.
Wir hatten enorme Probleme diese anzupassen. Wenn man Zeit gegen Zertifikat rechnet, wäre es billiger gewesen dies zu kaufen! Auf einigen Seiten, auf denen Bilder/Videos etc. verlinkt sind, die nicht von SSL verschlüsselten Seiten stammen kommt in der Kopfzeile des Browser ein kleines gelbes Ausrufungszeichen im "Sicherheitsschloss" Das ist weiter nicht schlimm. Im Laufe der Zeit werden wir das eventuell anpassen.
Die Scripte die wir einsetzten haben wir umgeschrieben. Wiedermal ein aufregendes Wochenende.

bastians · Beitrag von **bastians** » Di 21. Mär 2017, 14:47

Super!!

Ein ganz herzliches dankeschön!

Bastian

Beitrag von **Eisbaer** » Di 21. Mär 2017, 14:57

Der direkte Aufruf als https:// funktioniert in allen getesteten Browsern problemlos.

Bei der Weiterleitung von http:// zu https:// ist beim Firefox leider noch der Wurm drin, denn die Startseite wird beim Aufruf als http:// für Gäste unverschlüsselt ausgegeben. Beim Einloggen kommt nach wie vor der "unschöne" Warnhinweis. Die Folgeseiten sind sicher. Wir arbeiten dran das auch die Startseite bei der Weiterleitung verschlüsselt angezeigt wird. Unser Hoster, der einen sehr hilfreichen Support bietet meint: Die Rewrite Regel ist soweit korrekt. Das es mit HSTS nicht ganz einfach werden würde war sehr wahrscheinlich. Es kann sich allerdings auch mit jeder Browser Version wieder ändern. Gerade Firefox bringt in den letzten Tagen/Wochen doch recht häufig Updates raus.

hoffnung_2013 · Beitrag von **hoffnung_2013** » Di 21. Mär 2017, 22:07

Vielen Dank für Eure Arbeit!

Beitrag von **Memrast** » Sa 25. Mär 2017, 00:38

Hallo Leute,

Eisbaer bat mich, das "SSL Problem" zu lösen. Die Arbeiten dazu habe ich gerade beendet. Die Verbindung ist nun Full SSL (strict). Dazu wurde auf dem Server ein, von einer vertrauenswürdigen Zertifizierungsstelle signiertes und vom Webspace-Hoster ausgestelltes SSL-Zertifikat installiert. Das Forum wurde intern auf SSL umgestellt. Am bestem löscht ihr einmal alle Cookies vom Forum, dazu klickt ihr unten im Forum auf Bordcookies löschen. Wünsche euch weiterhin viel Spaß hier im Forum.

ssl.jpg

Beitrag von **Nasar** » Sa 25. Mär 2017, 01:25

Duffte einfach duffte, da waren die Heinzelmännchen am Werk.

@hoffnung_2013
Aguardiente löst sogar Schrauben

Macondo · Beitrag von **Macondo** » Sa 25. Mär 2017, 02:36

Ich verstehe zwar kein Wort, was Memrast oben beschreibt, dennoch: Herzlichen Dank für Euren tollen job !!!

Beitrag von **Eisbaer** » Sa 25. Mär 2017, 02:46

@Macondo: Visualisierung zur SSL-Verschlüsselung wird leicht verständlich vom Institut für Telematik erklärt. Das Forum hätte ohne Verschlüsselung weiterleben können, nur die unschönen Warnhinweise, besonders im Firefox Browser hätten vielleicht den einen oder anderen abgeschreckt. Ich schrieb ja schon weiter oben, das wir lediglich ein Forum betreiben und keinen E-Mail Dienst oder gar Online-Banking.

Danke Memrast das Du noch vor dem Wochenende Zeit gefunden hast unser "SSL-Problem" zu lösen. Es läuft. Sollte jemand ein Fehlverhalten auffallen, dann dies bitte hier im Thema posten. Es müssen noch einige URL´s umgeschrieben werden sowie das eine oder andere eingebettete Video angepasst werden. Alles nicht so einfach wie es aussieht und, lieber Nasar mit Aguardiente im Kopf richtet man mehr Schaden als Nutzen an.

Wenn Du dieses Forum magst und etwas Wertschätzung zeigen möchtest, dann fühle Dich frei...

... helfen uns, das Forum aufrechtzuerhalten.

Kolumbienforum

Kolumbienforum