+- Sponsor-Board.de (https://www.sponsor-board.de)
+-- Forum: Community (/forumdisplay.php?fid=56)
+--- Forum: Feedback (/forumdisplay.php?fid=58)
+--- Thema: SB auf https weiterleiten (/showthread.php?tid=63430)
SB auf https weiterleiten - eret12 - 17.06.2017 12:01
Hallo SB-Team,
heute ist mir aufgefallen, dass man beim Aufrufen von „sponsor-board.de“ in der Browserleiste bei http://... landet. Erst nach dem Login wurde ich auf https://... weitergeleitet.
Das ist mir aufgefallen, da bei Firefox seit einigen Wochen ein Warnmeldung beim Eingeben von Login Daten auf nicht https:// Seiten erfolgt.
An dieser Stelle wäre vielleicht eine generelle Weiterleitung auf https:// sinnvoll, auch wenn explizit http:// aufgerufen wird oder keine angaben gemacht wurden. Das wirkt von außen seriöser und da ja eh ein SSL-Zertifikat vorliegt, wäre das ja leicht umgeleitet.
Lg eret12
RE: SB auf https weiterleiten - Alex - 17.06.2017 12:12
heute ist mir aufgefallen, dass man beim Aufrufen von „sponsor-board.de“ in der Browserleiste bei http://... landet. Erst nach dem Login wurde ich auf https://... weitergeleitet.
Das ist mir aufgefallen, da bei Firefox seit einigen Wochen ein Warnmeldung beim Eingeben von Login Daten auf nicht https:// Seiten erfolgt.
An dieser Stelle wäre vielleicht eine generelle Weiterleitung auf https:// sinnvoll, auch wenn explizit http:// aufgerufen wird oder keine angaben gemacht wurden. Das wirkt von außen seriöser und da ja eh ein SSL-Zertifikat vorliegt, wäre das ja leicht umgeleitet.
Lg eret12
Hallo,
Das Thema hatten wir schon öfters. Leider ist es aber kein wirkliches Thema... Gerne darfst Du aber selber auf HTTPS, also SSL wechseln.
Das Hauptproblem liegt darin, das sehr viel http Content verlinkt, respektive in den Themen eingefügt werden und dies ergibt dann noch unschönere Fehler.
Jeder darf selber entscheiden ob er auf HTTPS wechseln will, und diese "Fehler" immer wegklicken möchte.
Lg Alex
RE: SB auf https weiterleiten - Jerr0w - 17.06.2017 12:28
Es gibt doch genug Addons und Möglichkeiten, womit du Bilder etc. auf HTTPS(SSL) forcen kannst. Schau mal nach SSL image proxy. Da solltsst du fündig werden
RE: SB auf https weiterleiten - eret12 - 17.06.2017 12:35
Hallo Alex,
danke für deine Antwort.
Deine Ausführung kann ich allerdings nicht ganz nachvollziehen.
Man kann die Datenbank ja Filtern und alle http:// auf https:// umstellen lassen. Dann wären ja keine Fehlermeldungen zu erwarten.
Ich finde in der heutigen Zeit ist http ja schon etwas auf dem Abstellgleis und meist nur noch auf den unseriöseren Seiten zu finden.
Deine Wahlmöglichkeit stimmt so ja leider nun auch nicht ganz, was ich anhand eines Beispiels demonstrieren möchte:
Ich möchte SB in Zukunft nur noch per https benutzen und rufe somit SB mit https aus. In einem Thema wurde von einem User ein Link zu einem anderen Thema erstellt, dieser nutzt allerdings http weshalb auch der Link http ist. Klicke ich den Link nun an, so verlasse ich den gesicherten https Bereich, den ich ja eigentlich wollte.
Ich bin mir ziemlich sicher, dass du technisch besser gebildet bist was das Umstellen von Webseiten auf https angeht, allerdings bezweifle ich, dass es dafür keine Lösung gibt.
In WordPress sind hierfür auch lediglich wenige Minuten und Handgriffe nötig, was auch für "Anfänger" leicht durchzuführen ist. Ich bin mir also sicher das MyBB hier auch Möglichkeiten bietet.
Lg eret12
PS: Alex für deine Antwort musste ich leider auch ein "Daumen runter" vergeben. Die Antwort ist für mich leider echt nicht nachvollziehbar und etwas sehr locker genommen. Immerhin sprechen wir hier auch von Benutzerdaten, die ich schon gerne gesichert übertragen möchte wie es eigentlich mittlerweile Standard ist. Für mich hört sich deine Antwort auch leider so an, als ob es dem SB-Team der Aufwand einfach nicht wert ist. (das soll keine Unterstellung sein, so wirkt es allerdings auf mich)
RE: SB auf https weiterleiten - TwiceGuys - 17.06.2017 13:55
Das Umstellen von MyBB sollte kein Problem darstellen, aber:
Ich glaube Alex bezieht sich eher auf in Beiträgen von Usern verlinkten Content, z.B. auf eigene Seiten, welche nicht mit SSL verschlüsselt werden - da würde es auch nichts bringen die Datenbankeinträge auf https zu ändern, wenn die verlinkte Seite das garnicht unterstützt.
RE: SB auf https weiterleiten - eret12 - 17.06.2017 14:05
Hallo TwiceGuys,
Ich glaube Alex bezieht sich eher auf in Beiträgen von Usern verlinkten Content, z.B. auf eigene Seiten, welche nicht mit SSL verschlüsselt werden - da würde es auch nichts bringen die Datenbankeinträge auf https zu ändern, wenn die verlinkte Seite das garnicht unterstützt.
hierfür gibt es garantiert die Möglichkeit, nur eigene Domain-Links anzupassen.
In Wordpress werden Links die auf externe Domains verweisen bei der Umstellen auch nicht angepasst.
Lg eret12
RE: SB auf https weiterleiten - Drejavu - 17.06.2017 14:12
-
RE: SB auf https weiterleiten - Alex - 17.06.2017 16:07
Ich glaube Alex bezieht sich eher auf in Beiträgen von Usern verlinkten Content, z.B. auf eigene Seiten, welche nicht mit SSL verschlüsselt werden - da würde es auch nichts bringen die Datenbankeinträge auf https zu ändern, wenn die verlinkte Seite das garnicht unterstützt.
Hallo Zusammen,
Es geht nicht um den Content von SB, diesen haben wir feinsäuberlich unter Kontrolle.
Es geht simple um den Content von den Usern. Welche in Thread/Post verwendet werden. Wenn wir auf SSL wechseln würde es hier einige Issue geben.
Schauen wir uns zum Beispiel folgendes Thema an:
[Link: Registrierung erforderlich]
Kein einziges Bild wurde im Thread verlinkt, aber das SSL Zeichen ist Weg und IE macht zum Beispiel aufmerksam, das unsicherer Inhalt. Bei Firefox wird das SSL Logo auch als unsicher angezeigt - kommt aber wenigstens keine Popup Nachricht.
In diesem Thread wird es übrigens nur wegen den Signaturbilder ausgelöst.
Das Thema Sicherheit wird von uns hier in keiner Weise auf die leichte Schulter genommen, oder gar verharmlost.
Aber bei diesem Thema, schwanken wir ein wenig zwischen "Pest und Cholora" - Vor einem Jahr als wir das Thema anschauten, hat jeder Browser grosse Meldungen gebracht, das es gefährlich ist. Dies scheint nun ein wenig verharmlost zu sein, und nur noch der IE gibt wirkliche Popup Meldungen raus..
Fact ist.... Hast Du eine SSL verschlüsselte Seite - nur ein nicht verschlüsseltes Element (Ich rede hier nicht von einem Link, sondern zb von eingebundenen Bilder) wird das ganze unschön.
Wir werden aber sicherlich den Input von SSL Proxy anschauen - Braucht aber auch seine Zeit. Maurice wird sich hier sicherlich darum kümmern.
Ich hoffe das es nun ein wenig verständlicher angekommen ist.
LG Alex
RE: SB auf https weiterleiten - eret12 - 17.06.2017 16:38
Hallo Alex,
ich finde es deutlich angenehmer, wenn die Seite SSL verschlüsselt ist und nur eine Meldung erscheint, dass einzelne Inhalte nicht verschlüsselt sind. In Firefox wird sogar darauf hingewiesen, dass es wahrscheinlich nur Bilder sind, die nicht verschlüsselt sind.
Die von mir im ersten Post angesprochene Login Seite war allerdings komplett ungeschützt und somit auch meine gesamten Daten. Ich sehe hier sicherheitstechnisch schon ein gravierenden unterschied.
Und mit der Einführung der Popups beim Login nicht SSL Verschlüsselter Seiten, würde ich mir darum mehr Sorgen machen. Das sieht deutlich "gefährlicher" aus als das kleine Dreieck neben dem Schloss bei aktivierter Verschlüsselung.
Lg eret12
RE: SB auf https weiterleiten - Linux-Scout.de - 17.06.2017 18:05
Hallo Alex,
Ein guter und unkomplizierter Image-Proxy ist z.B. Thumbor.
[Link: Registrierung erforderlich]
Ist easy zu installieren und außerdem kann man so auch kontrollieren ob ein Bild zu "groß" ist und es dementsprechend mit ein paar Handgriffen resizen lassen, was natürlich auch die Ladezeiten positiv beeinflusst. Kann Maurice ja mal einen Blick drauf werfen
Gruß,
Max
RE: SB auf https weiterleiten - Jerr0w - 19.06.2017 23:39
Wenn unter SSL Links im normalen HTTP-Format verlinkt werden, wirst du keine Socherheitsmeldung kriegen, denn normale Verlinkungen jucken SSL so gut wie gar nicht. Anders sieht es bei Bildern aus.
Da gibt es aber, wie gesagt, Abhilfe durch einen Image Proxy, wodurch Bilder dementsprechend (auch in Signaturen) per HTTPS verlinkt werden und somit der Content wieder sicher wäre.
Ebenfalls stört SSL unsichere Javascripts oder Verlinkungen im Code von Fonts, welche per normalem HTTP verlinkt werden.
Ich denke nicht, dass es viel Arbeit wäre, wenn man generell auf SSL umsteigt. Es wirkt einfach besser und hat einen netten Nebeneffekt zwecks Sicherheit.
RE: SB auf https weiterleiten - gamerzhost - 20.06.2017 00:52
Hallo Alex,
Es geht nicht um den Content von SB, diesen haben wir feinsäuberlich unter Kontrolle.
Es geht simple um den Content von den Usern. Welche in Thread/Post verwendet werden. Wenn wir auf SSL wechseln würde es hier einige Issue geben.
Schauen wir uns zum Beispiel folgendes Thema an:
[Link: Registrierung erforderlich]
Kein einziges Bild wurde im Thread verlinkt, aber das SSL Zeichen ist Weg und IE macht zum Beispiel aufmerksam, das unsicherer Inhalt. Bei Firefox wird das SSL Logo auch als unsicher angezeigt - kommt aber wenigstens keine Popup Nachricht.
In diesem Thread wird es übrigens nur wegen den Signaturbilder ausgelöst.
Das Thema Sicherheit wird von uns hier in keiner Weise auf die leichte Schulter genommen, oder gar verharmlost.
Wobei bei der Beispielseite welche Du uns genannt hast, die Fehlermeldung nicht durch den Usercontent erscheint, auch die Signaturen und Bilder darin sind auf https.
Lässt Du Dir bei Mozilla mal den Quelltext anzeigen und suchst nach "http:" wirst Du sehen das die Ursache am Sp Code liegt, welche wahrscheinlich relativ einfach behoben werden kann.
z.B.
<div><img src="http://www.sponsor-board.de/images/stammuser.png"></div>
oder
[Link: Registrierung erforderlich]
Also immer die Rank Grafiken .....
weiter weiss ich nicht in wie weit sowas Einfluss auf diverse Meldungen hat:
<a href="javascript:void(0)" onclick="MyBB.popupWindow('http://www.sponsor-board.de/pnviewer.php', 'pnviewer_popup', 900, 600);">Viewer</a>
aber ich denke auch das kann man via .htacess regulieren, vieleicht muss die Url auch nur in den Boardeinstellungen auf https umgestellt werden um das zu bereinigen. Dazu kenne ich die Boardsoftware zu wenig.
RE: SB auf https weiterleiten - _DEL16584 - 26.06.2017 09:43
-
RE: SB auf https weiterleiten - Alex - 26.06.2017 09:54
Hallo,
Ich kann Dir hier keine News durchgeben - Dazu muss sich @Maurice äussern.
RE: SB auf https weiterleiten - italian-power - 26.06.2017 17:24
So einfach wird das wohl nicht, Alex hat hier recht.
Was spricht dagegen einfach SB über [Link: Registrierung erforderlich] aufzurufen ? Funktioniert bei mir wunderbar.
*Edit:
War nicht ganz so up2date, grad erst gesehen, dass mein Kommentar eigentlich obsolet ist.
Naja, abwarten und Tee trinken, es wird wohl irgendwann mal definitiv was passieren =)
NSA is watching us - lol
RE: SB auf https weiterleiten - Alex - 12.07.2017 17:59
Hallo Zusammen,
Das Thema ging gerade in den letzten Tagen unter. Die Webseite wurde aber in der Zwischenzeit komplett auf https (SSL verschlüsselt) umgestellt.
Ich hoffe wir konnten euch damit einen Dienst erweisen und zu der gewünschten Sicherheit beitragen.Danke an dieser Stelle auch von meiner Seite an Maurice.
LG Alex