Hallo Christian Kruse,

ich habe heute morgen HTTPS für das Forum eingeschaltet:

Cool.

Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind - das ist auch der Grund, warum ich HSTS nicht eingeschaltet habe und den Redirect von HTTP nach HTTPS nicht eingeschaltet habe (und dadurch bekommen wir auch nicht A+).

Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?

HSTS:

Ein Nachteil des HSTS-Verfahrens besteht in der Nachverfolgbarkeit des Nutzerverhaltens. Da es beim HSTS-Entwurf als umständlich galt, wenn ein Browser bei jedem Aufruf eine Umleitung durchläuft, wurde eine Richtlinie (englisch policy) implementiert, die sich an besuchte Seiten erinnert. Dies entspricht einem HTTPS-Super-Cookie, den jede Webseite lesen kann – auch im „Inkognito“- oder „Private“-Modus. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass Geheimdienste Cookies systematisch missbrauchten, um Spionagesoftware zielgerichtet auf Rechnern zu platzieren, um diese fernzusteuern. In Chrome, Firefox, Opera und Internet Explorer kann der Nutzer die Liste der besuchten Seiten mit aktiviertem HSTS leeren, in Apples Safari-Browser jedoch nicht.

Quelle: https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#HSTS

Die Weiterleitung würde ich begrüßen, einen Ausschluss von WindowsXP nicht, ich bin zum Beispiel noch auf XP angewiesen.

Bis demnächst
Matthias

Hallo

ich habe heute morgen HTTPS für das Forum eingeschaltet:

https://forum.selfhtml.org/

Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind …

Sind sie – die genannten Betriebssysteme – das per se oder nur die standardmäßig auf ihnen installierten Browser? Würde z.B. ein aktueller Firefox auf Win XP die HTTPS-Seite laden können, weil der seinen eigenen Kram mitbringt? Auf der von dir verlinkten Testseite wird ja jeweils explizit die Browser-OS-Kombi (z.B. eben IE6/XP) genannt.

… - das ist auch der Grund, warum ich HSTS nicht eingeschaltet habe und den Redirect von HTTP nach HTTPS nicht eingeschaltet habe (und dadurch bekommen wir auch nicht A+).

Wer es weiß und wer es will, kann sein Bookmark oder seinen Aufruf anpassen. Bequemer ist natürlich das Folgende mit UA-Check ^[1].

Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?

Wenn du XP „ausschaltest“ kommt bestimmt jemand um die Ecke und weint. [edit]Da, da isser schon![/edit] ;-)

Tschö, Auge

Tach,

ich habe heute morgen HTTPS für das Forum eingeschaltet:

https://forum.selfhtml.org/

sehr schön, danke!

Ein Secure Flag für über HTTPS ausgelieferte Cookies wäre noch nett oder passiert das eh schon und ich habe eben nur vergessen, den cookie zu löschen.

Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?

dafür, aber du hast die Logs, um zu sehen, ob das tatsächlich noch jemanden betrifft.

mfg
Woodfighter

Hi Christian,

Verschlüsselung? - darf irgendjemand im Klartext nicht mitlesen, was man ans Forum sendet? Oder ist das nur zum Test? Steh aufn Schlauch :-|

Hallo

ich habe heute morgen HTTPS für das Forum eingeschaltet:

https://forum.selfhtml.org/

Ist es so vorgesehen, dass Inhalte, die per HTTP (mit ohne „S“) nachgeladen werden sollen, nicht wollen?

Weil mein auf meiner Domain liegendes User-CSS und -JS nicht will, habe ich mal „Live HTTP Headers“ angeworfen. Da funktioniert noch mehr nicht oder nicht so richtig, z.B. die Aufrufe gen startssl.com ^[1].

http://ocsp.startssl.com/sub/class2/server/ca

POST /sub/class2/server/ca HTTP/1.1
Host: ocsp.startssl.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de,en;q=0.7
Accept-Encoding: gzip, deflate
DNT: 1
Content-Length: 74
Content-Type: application/ocsp-request
Connection: keep-alive
0H0F0D0B0@0	+
HTTP/1.1 503 Service Unavailable
Retry-After: 5
Content-Type: text/html
Cache-Control: no-cache
Connection: close
Content-Length: 660
X-Iinfo: 7-96534300-0 0NNY RT(1441725603558 6) q(0 -1 -1 -1) r(0 -1) U6
Set-Cookie: visid_incap_[irgendwas]; expires=Wed, 06 Sep 2017 15:49:49 GMT; path=/; Domain=.startssl.com
Set-Cookie: incap_ses_[irgendwas]; path=/; Domain=.startssl.com

Die Aufrufe meiner persönlichen Erweiterungen finden laut Live HTTP Headers erst garnicht statt.

Tschö, Auge

Liebe Selfer,

wir haben im Wiki nur einen "Stub" zu HTTPS und SSL.

Könnte sich jemand erbarmen und anfangen, die aktuellen Erkenntnisse dort zu veröffentlichen?

Vielen Dank im Voraus.

Herzliche Grüße!

Matthias Scharwies

Moin,

so, ich habe das Forum gerade auf HTTPS-Only umgestellt. Um das Secure-Flag bei den Cookies kümmere ich mich noch.

LG,
CK

Mir ist noch etwas aufgefallen: http://de.selfhtml.org/ leitet zu http://wiki.selfhtml.org/wiki/Startseite um, aber https://de.selfhtml.org/ gibt stattdessen 'default' aus.

Siehe natürlich auch meine restlichen Hinweise hier: https://forum.selfhtml.org/meta/2015/sep/9/https-bei-selfhtml/1649877#m1649877