User Tag List

Ergebnis 1 bis 16 von 16

Thema: TLS verpflichtend einführen (oder zumindest nur für den Login)

  1. #1
    Mitglied Avatar von Inaba-san
    Registriert seit
    12.2009
    Beiträge
    515
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    Blog-Einträge
    2

    TLS verpflichtend einführen

    Hallo, ich hatte das Thema bereits 2012 in der damaligen Projektverwaltung vorgeschlagen und würde dies gern wieder anregen. Ich halte es für wichtig, bisher ist TLS zwar verfügbar, aber nur wenn man es explizit selbst eingibt. div. Browser wie z.B. Firefox warnen ja auch mittlerweile davor: https://www.heise.de/security/meldun...n-3505996.html

  2. #2
    Mitglied Avatar von Inaba-san
    Registriert seit
    12.2009
    Beiträge
    515
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    Blog-Einträge
    2
    Im Zuge der kommenden Datenschutzgrundverordnung, die dann im Mai 2018 komplett in Kraft tritt, möchte ich das Thema nochmal hervorheben. Da ihr personenbezogene Daten (E-Mail-Adresse) verarbeitet, müsst ihr diese auch schützen.

    EDIT: Private Nachrichten gehören natürlich auch dazu.

  3. #3
    Mitglied Avatar von Inaba-san
    Registriert seit
    12.2009
    Beiträge
    515
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    Blog-Einträge
    2
    Wenn man selbst auf https umstellt, dann hat man als nicht eingeloggter Nutzer ein Problem, dass man sich nicht einloggen kann, weil Firefox bsp. standardmäßig unsichere Inhalte blockiert:

    Laden von gemischten aktiven Inhalten "http://www.comicforum.de/clientscript/vbulletin-core.js?v=423" wurde blockiert.
    Laden von gemischten aktiven Inhalten "http://www.comicforum.de/clientscript/vbulletin_facebook.js?v=423" wurde blockiert.

  4. #4
    Mitglied Avatar von Bastbra
    Registriert seit
    12.2016
    Ort
    Eifel
    Beiträge
    1.493
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    Wenn ich mich einlogge, dann gibt es immer Angriffsversuche, um mein Passwort zu bekommen. Ziemlich ärgerlich. Mit https z.B. passiert mir das nicht, da ist dann alles in Ordnung. Ich kann das immer mit Kaspersky einsehen. Ich will das nur mal als Anmerkung sagen, ich wäre nämlich auch dafür, schließlich ist das hier nicht irgendein Forum, oder?

  5. #5
    Mitglied Avatar von Inaba-san
    Registriert seit
    12.2009
    Beiträge
    515
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    Blog-Einträge
    2
    Zumal es nach dem 25. Mai dann hohe Bußgelder gibt (bis zu 10 Millionen EUR oder 4% des weltweiten Umsatze), wenn das nicht umgesetzt wird.

    Zudem tut Google SSL Seiten besser berücksichtigen im Ranking als ohne SSL. Ich hoffe, dass man nicht so lange drauf wartet. Es ist echt blöd, dass man im Moment den Editor nicht richtig nutzen kann, nur weil die JS-Dateien auf http linken. Außerdem habe ich festgestellt, dass euer Webserver HTTP/2 unterstützt (getestet mit https://tools.keycdn.com/http2-test). D.h. mit einer kompletten Umstellung, würde es sogar schneller geladen werden. Natürlich werden jetzt Gegenargumente kommen wie, dass externe Bilder geladen werden und die verschlüsselung bricht. Hier müsste man das Problem so lösen, dass entweder nur HTTPS-Bilder zugelassen sind oder man macht ein Bildproxy (so eine Funktion hat Xenforo eingebaut) oder man unterbindet es grundsätzlich.

    Eventuell hilft dieses Thema weiter: https://www.vbulletin.org/forum/showthread.php?t=319155 und bzgl. Zertifikate kann ich Let's encrypt empfehlen, die sind kostenlos und obendrein leicht einzurichten.

  6. #6
    Mitglied Avatar von Elena M
    Registriert seit
    10.2015
    Beiträge
    3.625
    Mentioned
    17 Post(s)
    Tagged
    1 Thread(s)
    Und antworten tut doch keiner.
    Unsere Vollkommenheit besteht zum großen Teil darin, dass wir einander in unseren Unvollkommenheiten ertragen.

    Franz von Sales

  7. #7

  8. #8
    Mitglied Avatar von Elena M
    Registriert seit
    10.2015
    Beiträge
    3.625
    Mentioned
    17 Post(s)
    Tagged
    1 Thread(s)
    Na ja, mit einem Kontaktformular lässt sich das Forum jetzt aber doch nicht vergleichen.
    Unsere Vollkommenheit besteht zum großen Teil darin, dass wir einander in unseren Unvollkommenheiten ertragen.

    Franz von Sales

  9. #9
    Mitglied Avatar von Inaba-san
    Registriert seit
    12.2009
    Beiträge
    515
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    Blog-Einträge
    2
    Zwar sind Beiträge öffentlich, es hat aber auch ein Kontaktformular unten und außerdem sind "Private Nachrichten" auch nicht öffentlich und können personenbezogene Daten enthalten. Meine Meinung halt.

  10. #10
    Mitglied Avatar von Elena M
    Registriert seit
    10.2015
    Beiträge
    3.625
    Mentioned
    17 Post(s)
    Tagged
    1 Thread(s)
    Zitat Zitat von Inaba-san Beitrag anzeigen
    Zwar sind Beiträge öffentlich, es hat aber auch ein Kontaktformular unten und außerdem sind "Private Nachrichten" auch nicht öffentlich und können personenbezogene Daten enthalten. Meine Meinung halt.
    Das mit den personenbezogenen Daten sehe ich auch so, aber was hat das mit der Öffentlichkeit zu tun?
    Unsere Vollkommenheit besteht zum großen Teil darin, dass wir einander in unseren Unvollkommenheiten ertragen.

    Franz von Sales

  11. #11
    Administrator und mehr Avatar von scribble
    Registriert seit
    07.2002
    Ort
    Darmstadt
    Beiträge
    6.721
    Mentioned
    41 Post(s)
    Tagged
    1 Thread(s)
    Blog-Einträge
    3
    Zitat Zitat von Inaba-san Beitrag anzeigen
    Hallo, ich hatte das Thema bereits 2012 in der damaligen Projektverwaltung vorgeschlagen und würde dies gern wieder anregen. Ich halte es für wichtig, bisher ist TLS zwar verfügbar, aber nur wenn man es explizit selbst eingibt. div. Browser wie z.B. Firefox warnen ja auch mittlerweile davor: https://www.heise.de/security/meldun...n-3505996.html
    Das sehen wir ähnlich und arbeiten daran, das Comicforum vollständig über SSL/LTS anzubieten. Allerdings geht das leider nicht von heute auf morgen, unter anderem weil wir damit einige größere Modernisierungen im "technischen Unterbau" des Forum verbinden wollen. Wenn alles so klappt, wie wir es im Moment planen, sollte das Comicforum im Sommer komplett mit verschlüsselten Verbindungen arbeiten.

    Bis dann,

    scribble
    If you have enough book space, I don't want to talk to you - Terry Pratchett

    Populistische Vereinfachungen und autokratische Durchgriffsideologien verheißen, den Zumutungen der modernen Welt schadlos entkommen zu können.
    Deswegen machen sie den sachlichen Diskurs ebenso verächtlich wie die methodische Wahrheitssuche und die Begründungsbedürftigkeit von Geltungsansprüchen.

    - Peter Strohschneider, Präsident der Deutschen Forschungsgemeinschaft


  12. #12
    Mitglied Avatar von Elena M
    Registriert seit
    10.2015
    Beiträge
    3.625
    Mentioned
    17 Post(s)
    Tagged
    1 Thread(s)
    Dann drücke ich Euch mal die Daumen, dass es auch so klappt wie geplant.
    Unsere Vollkommenheit besteht zum großen Teil darin, dass wir einander in unseren Unvollkommenheiten ertragen.

    Franz von Sales

  13. #13
    Annerose
    Gast
    Hoffentlich klappt das. Finde es auch sehr wichtig.

  14. #14
    Mitglied Avatar von Inaba-san
    Registriert seit
    12.2009
    Beiträge
    515
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    Blog-Einträge
    2
    Ein weiteres Argument, warum man übrigens Bilder besser über einen Proxy oder nur mittels eigener Anhang-Funktion laden sollte:



    @ scribble

    Was ist mit Modernisierung gemeint? Ist damit ein Wechsel oder Aktualisierung auf die neueste Version der Forensoftware gemeint?

  15. #15
    Administrator und mehr Avatar von scribble
    Registriert seit
    07.2002
    Ort
    Darmstadt
    Beiträge
    6.721
    Mentioned
    41 Post(s)
    Tagged
    1 Thread(s)
    Blog-Einträge
    3
    Zitat Zitat von Inaba-san Beitrag anzeigen
    @ scribble

    Was ist mit Modernisierung gemeint? Ist damit ein Wechsel oder Aktualisierung auf die neueste Version der Forensoftware gemeint?
    Wir arbeiten an einer umfassenden Modernisierung. Das reicht von der Technologie, mit der wir virtuelle Server verwalten, über die Technologien auf diesen virtuellen Servern (Webserver, Datenbank, PHP, ...) bis zu einer aktuelleren Version der Forensoftware.

    Bis dann,

    scribble
    If you have enough book space, I don't want to talk to you - Terry Pratchett

    Populistische Vereinfachungen und autokratische Durchgriffsideologien verheißen, den Zumutungen der modernen Welt schadlos entkommen zu können.
    Deswegen machen sie den sachlichen Diskurs ebenso verächtlich wie die methodische Wahrheitssuche und die Begründungsbedürftigkeit von Geltungsansprüchen.

    - Peter Strohschneider, Präsident der Deutschen Forschungsgemeinschaft


  16. #16
    Mitglied Avatar von Inaba-san
    Registriert seit
    12.2009
    Beiträge
    515
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    Blog-Einträge
    2
    Vielen Dank nochmals für die Umsetzung.

    Und für die Leute, die das "externe" Laden von Bilder stört, weil dann das Schloss-Symbol wegen unsichere Verbindung meckert: Unter Mein CF -> Einstellungen ändern -> Sichtbare Elemente in Beiträgen -> Grafiken anzeigen das Häckchen wegmachen.

    Somit ist es bis auf einige Verlagsforen die angepasste Styles nutzen mit https vollständig nutzbar.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Das Splash-Netzwerk: Splashp@ges - Splashbooks - Splashcomics - Splashgames
Unsere Kooperationspartner: Sammlerecke - Chinabooks - Salleck Publications - Splitter - Cross Cult - Paninicomics - Die Neunte
Comicsalon Erlangen
Lustige Taschenbücher