Hallo Christian Kruse,
ich habe heute morgen HTTPS für das Forum eingeschaltet:
Cool.
Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind - das ist auch der Grund, warum ich HSTS nicht eingeschaltet habe und den Redirect von HTTP nach HTTPS nicht eingeschaltet habe (und dadurch bekommen wir auch nicht A+).
Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?
HSTS:
Ein Nachteil des HSTS-Verfahrens besteht in der Nachverfolgbarkeit des Nutzerverhaltens. Da es beim HSTS-Entwurf als umständlich galt, wenn ein Browser bei jedem Aufruf eine Umleitung durchläuft, wurde eine Richtlinie (englisch policy) implementiert, die sich an besuchte Seiten erinnert. Dies entspricht einem HTTPS-Super-Cookie, den jede Webseite lesen kann – auch im „Inkognito“- oder „Private“-Modus. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass Geheimdienste Cookies systematisch missbrauchten, um Spionagesoftware zielgerichtet auf Rechnern zu platzieren, um diese fernzusteuern. In Chrome, Firefox, Opera und Internet Explorer kann der Nutzer die Liste der besuchten Seiten mit aktiviertem HSTS leeren, in Apples Safari-Browser jedoch nicht.
Quelle: https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#HSTS
Die Weiterleitung würde ich begrüßen, einen Ausschluss von WindowsXP nicht, ich bin zum Beispiel noch auf XP angewiesen.
Bis demnächst
Matthias
Signaturen sind bloed (Steel) und Markdown ist mächtig.