Christian Kruse: HTTPS für forum.selfhtml.org

2 46

HTTPS für forum.selfhtml.org

Christian Kruse
  • zu diesem forum
  1. 0
    Matthias Apsel
    1. 0
      Christian Kruse
  2. 0
    Auge
    1. 0
      woodfighter
      1. 0
        Matthias Apsel
      2. 0
        Auge
  3. 0
    woodfighter
    1. 0

      Bug mit der Hauptseitenaktualisierung über TLS?

      woodfighter
      1. 0
        Christian Kruse
        • bug
        • zu diesem forum
      2. 0
        Christian Kruse
    2. 0
      Christian Kruse
      1. 0
        woodfighter
        1. 0
          Christian Kruse
  4. 0
    ralphi
    1. 1
      Matthias Apsel
      1. 0
        ralphi
        1. 2
          Auge
          1. 0
            Christian Kruse
    2. 0
      woodfighter
  5. 0

    HTTPS für forum.selfhtml.org, Problem mit User-CSS und -JS

    Auge
    1. 0
      dedlfix
      1. 0
        Auge
      2. 0
        Christian Kruse
    2. 1
      woodfighter
  6. 0

    HTTPS und SSL im Wiki

    Matthias Scharwies
    • selfhtml-wiki
    • tls
    • zu diesem forum
    1. 0
      woodfighter
      1. 0
        Matthias Apsel
        • selfhtml-wiki
        1. 0
          dedlfix
      2. 1
        woodfighter
        1. 0
          Matthias Scharwies
        2. 1
          woodfighter
          1. 1
            Julius
            1. 0
              Matthias Scharwies
  7. 0
    Christian Kruse
    1. 0
      Christian Kruse
    2. 0
      Christian Kruse
    3. 0
      Matthias Apsel
      1. 0
        Christian Kruse
        1. 0
          Matthias Apsel
          1. 0
            Christian Kruse
        2. 0
          Der Martin
          1. 0
            Christian Kruse
            1. 0
              Der Martin
              1. 0
                Christian Kruse
  8. 0
    rugk

Sers,

ich habe heute morgen HTTPS für das Forum eingeschaltet:

https://forum.selfhtml.org/

Das ist ein „offizielles“ Zertifikat von StartSSL, so dass keiner Probleme damit haben sollte.

Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind - das ist auch der Grund, warum ich HSTS nicht eingeschaltet habe und den Redirect von HTTP nach HTTPS nicht eingeschaltet habe (und dadurch bekommen wir auch nicht A+).

Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?

LG,
CK

  1. Hallo Christian Kruse,

    ich habe heute morgen HTTPS für das Forum eingeschaltet:

    Cool.

    Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind - das ist auch der Grund, warum ich HSTS nicht eingeschaltet habe und den Redirect von HTTP nach HTTPS nicht eingeschaltet habe (und dadurch bekommen wir auch nicht A+).

    Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?

    HSTS:

    Ein Nachteil des HSTS-Verfahrens besteht in der Nachverfolgbarkeit des Nutzerverhaltens. Da es beim HSTS-Entwurf als umständlich galt, wenn ein Browser bei jedem Aufruf eine Umleitung durchläuft, wurde eine Richtlinie (englisch policy) implementiert, die sich an besuchte Seiten erinnert. Dies entspricht einem HTTPS-Super-Cookie, den jede Webseite lesen kann – auch im „Inkognito“- oder „Private“-Modus. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass Geheimdienste Cookies systematisch missbrauchten, um Spionagesoftware zielgerichtet auf Rechnern zu platzieren, um diese fernzusteuern. In Chrome, Firefox, Opera und Internet Explorer kann der Nutzer die Liste der besuchten Seiten mit aktiviertem HSTS leeren, in Apples Safari-Browser jedoch nicht.

    Quelle: https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#HSTS

    Die Weiterleitung würde ich begrüßen, einen Ausschluss von WindowsXP nicht, ich bin zum Beispiel noch auf XP angewiesen.

    Bis demnächst
    Matthias

    --
    Signaturen sind bloed (Steel) und Markdown ist mächtig.
    1. Hallo Matthias,

      HSTS:

      Ein Nachteil des HSTS-Verfahrens besteht in der Nachverfolgbarkeit des Nutzerverhaltens. Da es beim HSTS-Entwurf als umständlich galt, wenn ein Browser bei jedem Aufruf eine Umleitung durchläuft, wurde eine Richtlinie (englisch policy) implementiert, die sich an besuchte Seiten erinnert. Dies entspricht einem HTTPS-Super-Cookie, den jede Webseite lesen kann – auch im „Inkognito“- oder „Private“-Modus. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass Geheimdienste Cookies systematisch missbrauchten, um Spionagesoftware zielgerichtet auf Rechnern zu platzieren, um diese fernzusteuern. In Chrome, Firefox, Opera und Internet Explorer kann der Nutzer die Liste der besuchten Seiten mit aktiviertem HSTS leeren, in Apples Safari-Browser jedoch nicht.

      Da geht es hauptsächlich um eine Tracking-Methode, wie man User als Betreiber tracken kann. Ein richtiger Cookie wird hier nicht gesetzt. Das Verfahren hat Heise beschrieben. Es ist also nicht etwas, was wir auslösen (ausser wir möchten das explizit) sondern etwas, was etwa Ad-Netzwerke (oder die NSA) praktizieren könnten um die Nutzer besser zu tracken. Wenn wir das für unsere Domains aktivieren ist das nicht die Gefahrenquelle.

      Die Weiterleitung würde ich begrüßen, einen Ausschluss von WindowsXP nicht, ich bin zum Beispiel noch auf XP angewiesen.

      Es geht "nur" um den IE.

      LG,
      CK

  2. Hallo

    ich habe heute morgen HTTPS für das Forum eingeschaltet:

    https://forum.selfhtml.org/

    Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind

    Sind sie – die genannten Betriebssysteme – das per se oder nur die standardmäßig auf ihnen installierten Browser? Würde z.B. ein aktueller Firefox auf Win XP die HTTPS-Seite laden können, weil der seinen eigenen Kram mitbringt? Auf der von dir verlinkten Testseite wird ja jeweils explizit die Browser-OS-Kombi (z.B. eben IE6/XP) genannt.

    … - das ist auch der Grund, warum ich HSTS nicht eingeschaltet habe und den Redirect von HTTP nach HTTPS nicht eingeschaltet habe (und dadurch bekommen wir auch nicht A+).

    Wer es weiß und wer es will, kann sein Bookmark oder seinen Aufruf anpassen. Bequemer ist natürlich das Folgende mit UA-Check [1].

    Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?

    Wenn du XP „ausschaltest“ kommt bestimmt jemand um die Ecke und weint. [edit]Da, da isser schon![/edit] ;-)

    Tschö, Auge

    --
    Es schimmerte ein Licht am Ende des Tunnels und es stammte von einem Flammenwerfer.
    Terry Pratchett, „Gevatter Tod“

    1. Bevor jemand damit angfängt: Ja, auch wenn wir alle wissen, dass der nicht 100%-ig funktionieren kann. ↩︎

    1. Tach,

      Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind

      Sind sie – die genannten Betriebssysteme – das per se oder nur die standardmäßig auf ihnen installierten Browser?

      letzteres

      mfg
      Woodfighter

      1. Hallo woodfighter,

        Sind sie – die genannten Betriebssysteme – das per se oder nur die standardmäßig auf ihnen installierten Browser?

        letzteres

        Dann bin ich dafür weiterzuleiten.

        Bis demnächst
        Matthias

        --
        Signaturen sind bloed (Steel) und Markdown ist mächtig.
      2. Hallo

        Zu beachten ist allerdings, dass Windows XP und alte Android-Clients aufgrund der Cipher-Wahl ausgeschlossen sind

        Sind sie – die genannten Betriebssysteme – das per se oder nur die standardmäßig auf ihnen installierten Browser?

        letzteres

        Dann sollte konsequent eine Weiterleitung mit Ausschluss erfolgen.

        Kann man den Ausgeschlossenen eine Informationsseite präsentieren? Nicht, dass vorher schon die Browserstandardanzeigen zuschlagen und die Ausgeschlossenen nie erfahren, warum sie nicht mehr rein dürfen und was sie tun müssen, um es wieder zu können.

        Tschö, Auge

        --
        Es schimmerte ein Licht am Ende des Tunnels und es stammte von einem Flammenwerfer.
        Terry Pratchett, „Gevatter Tod“
  3. Tach,

    ich habe heute morgen HTTPS für das Forum eingeschaltet:

    https://forum.selfhtml.org/

    sehr schön, danke!

    Ein Secure Flag für über HTTPS ausgelieferte Cookies wäre noch nett oder passiert das eh schon und ich habe eben nur vergessen, den cookie zu löschen.

    Ich tendiere dennoch dazu beides einzuschalten. Ggfls mit Check des User-Agents, der Windows XP nicht weiterleitet - oder sogar XP ganz auszuschliessen. Was meint ihr dazu?

    dafür, aber du hast die Logs, um zu sehen, ob das tatsächlich noch jemanden betrifft.

    mfg
    Woodfighter

    1. Tach,

      könnte auch ein unabhängiger Bug sein, aber bei mir funktioniert das Nachladen von neuen Nachrichten nicht mehr.

      mfg
      Woodfighter

      1. Hallo woodfighter,

        könnte auch ein unabhängiger Bug sein, aber bei mir funktioniert das Nachladen von neuen Nachrichten nicht mehr.

        Hm. Muss ich prüfen, ich könnte mir vorstellen, dass das ein Problem mit der URL-Konstruktion ist.

        LG,
        CK

      2. Hallo woodfighter,

        könnte auch ein unabhängiger Bug sein, aber bei mir funktioniert das Nachladen von neuen Nachrichten nicht mehr.

        Fixed.

        LG,
        CK

    2. Hallo woodfighter,

      Ein Secure Flag für über HTTPS ausgelieferte Cookies wäre noch nett oder passiert das eh schon und ich habe eben nur vergessen, den cookie zu löschen.

      Guter Einwand. Momentan bin ich allerdings geschäftlich unterwegs, ich hoffe, dass ich nachher im Hotel dazu komme.

      LG,
      CK

      1. Tach,

        Guter Einwand. Momentan bin ich allerdings geschäftlich unterwegs, ich hoffe, dass ich nachher im Hotel dazu komme.

        du brauchst dich nicht zu entschuldigen.

        Mein Firefox zu Hause beschwert sich übrigens, dass er die Zertifizierungsstelle nicht kennt, lieferst du das Intermediate-Zertifikat aus?

        mfg
        Woodfighter

        1. Hallo woodfighter,

          Mein Firefox zu Hause beschwert sich übrigens, dass er die Zertifizierungsstelle nicht kennt, lieferst du das Intermediate-Zertifikat aus?

          Jup:

          ➜ ckruse@vali ~  % openssl s_client -connect forum.selfhtml.org:443 -showcerts -CAfile ./ca.pem
          CONNECTED(00000003)
          depth=2 /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
          verify return:1
          depth=1 /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA
          verify return:1
          depth=0 /C=DE/ST=Nordrhein-Westfalen/L=Steinfurt/O=Christian Kruse/CN=*.selfhtml.org/emailAddress=postmaster@selfhtml.org
          verify return:1
          ---
          Certificate chain
           0 s:/C=DE/ST=Nordrhein-Westfalen/L=Steinfurt/O=Christian Kruse/CN=*.selfhtml.org/emailAddress=postmaster@selfhtml.org
             i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA
          -----BEGIN CERTIFICATE-----
          …
          -----END CERTIFICATE-----
           1 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA
             i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
          -----BEGIN CERTIFICATE-----
          …
          -----END CERTIFICATE-----
          ---
          Server certificate
          subject=/C=DE/ST=Nordrhein-Westfalen/L=Steinfurt/O=Christian Kruse/CN=*.selfhtml.org/emailAddress=postmaster@selfhtml.org
          issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 2 Primary Intermediate Server CA
          ---
          No client certificate CA names sent
          ---
          SSL handshake has read 4661 bytes and written 712 bytes
          ---
          New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
          Server public key is 2048 bit
          Secure Renegotiation IS supported
          Compression: NONE
          Expansion: NONE
          SSL-Session:
              Protocol  : TLSv1
              Cipher    : DHE-RSA-AES256-SHA
              Session-ID: 368644E6348D65E6CDB2C41F5A855FD8910328CEA64DF5642349A64C8CD9B09A
              Session-ID-ctx:
              Master-Key: F961AC3F39755EC6EEFC9FCE0C35CA183BD4B86664E7847460EE9A97C6D533AB2E4A7A9341DC160110A895D97B7420F2
              Key-Arg   : None
              Start Time: 1441741532
              Timeout   : 300 (sec)
              Verify return code: 0 (ok)
          ---
          

          LG,
          CK

  4. Hi Christian,

    Verschlüsselung? - darf irgendjemand im Klartext nicht mitlesen, was man ans Forum sendet? Oder ist das nur zum Test? Steh aufn Schlauch :-|

    --
    Viele Grüße aus LA ralphi
    1. Hallo ralphi,

      Verschlüsselung? - darf irgendjemand im Klartext nicht mitlesen, was man ans Forum sendet? Oder ist das nur zum Test? Steh aufn Schlauch :-|

      Die Kurzfassung: Je mehr Traffik verschlüsselt ist, um so sicherer sind auch die wirklich wichtigen Daten.

      Bis demnächst Matthias

      --
      Signaturen sind bloed (Steel) und Markdown ist mächtig.
      1. Hi Leute, ich verstehe Euch so, dass es überwiegend eine Vorbildfunktion haben soll. Ist nachvollziehbar ;-). Viele dies brauchen würden, achten nicht drauf.

        --
        Viele Grüße aus LA ralphi
        1. Hallo

          ich verstehe Euch so, dass es überwiegend eine Vorbildfunktion haben soll.

          Das auch. Matthias wollte aber vermutlich darauf hinaus, dass die Chance, dass „wichtige“ verschlüsselte Daten im Rauschen aller gesendeten Daten untergehen, größer wird, je mehr Daten verschlüsselt gesendet werden.

          Tschö, Auge

          --
          Es schimmerte ein Licht am Ende des Tunnels und es stammte von einem Flammenwerfer.
          Terry Pratchett, „Gevatter Tod“
          1. Hallo Auge,

            Das auch. Matthias wollte aber vermutlich darauf hinaus, dass die Chance, dass „wichtige“ verschlüsselte Daten im Rauschen aller gesendeten Daten untergehen, größer wird, je mehr Daten verschlüsselt gesendet werden.

            Exakt. Bis vor kurzem mussten die Services nur den Traffic abgreifen, der verschlüsselt war: denn da kaum wer verschlüsselt hat, war dieser Traffic automatisch der interessante. Jetzt, da es immer mehr verschlüsselten Traffic gibt, ist das kein Alleinstellungsmerkmal mehr.

            LG,
            CK

    2. Tach,

      Verschlüsselung? - darf irgendjemand im Klartext nicht mitlesen, was man ans Forum sendet? Oder ist das nur zum Test? Steh aufn Schlauch :-|

      ich habe hier einen Useraccount und ein Passwort; der Account ist relativ leicht mit meiner echten Person verknüpfbar, dann möchte ich auch, dass das PW nur mir zugänglich ist.

      Außerdem ist alles verschlüsseln ein sinnvoller Ansatz: Ich verweise mal auf Bruce Schneier — Warum wir verschlüsseln.

      mfg
      Woodfighter

  5. Hallo

    ich habe heute morgen HTTPS für das Forum eingeschaltet:

    https://forum.selfhtml.org/

    Ist es so vorgesehen, dass Inhalte, die per HTTP (mit ohne „S“) nachgeladen werden sollen, nicht wollen?

    Weil mein auf meiner Domain liegendes User-CSS und -JS nicht will, habe ich mal „Live HTTP Headers“ angeworfen. Da funktioniert noch mehr nicht oder nicht so richtig, z.B. die Aufrufe gen startssl.com [1].

    http://ocsp.startssl.com/sub/class2/server/ca
    
    POST /sub/class2/server/ca HTTP/1.1
    Host: ocsp.startssl.com
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: de,en;q=0.7
    Accept-Encoding: gzip, deflate
    DNT: 1
    Content-Length: 74
    Content-Type: application/ocsp-request
    Connection: keep-alive
    0H0F0D0B0@0	+
    HTTP/1.1 503 Service Unavailable
    Retry-After: 5
    Content-Type: text/html
    Cache-Control: no-cache
    Connection: close
    Content-Length: 660
    X-Iinfo: 7-96534300-0 0NNY RT(1441725603558 6) q(0 -1 -1 -1) r(0 -1) U6
    Set-Cookie: visid_incap_[irgendwas]; expires=Wed, 06 Sep 2017 15:49:49 GMT; path=/; Domain=.startssl.com
    Set-Cookie: incap_ses_[irgendwas]; path=/; Domain=.startssl.com
    

    Die Aufrufe meiner persönlichen Erweiterungen finden laut Live HTTP Headers erst garnicht statt.

    Tschö, Auge

    --
    Es schimmerte ein Licht am Ende des Tunnels und es stammte von einem Flammenwerfer.
    Terry Pratchett, „Gevatter Tod“

    1. Ausgerechnet dorthin wird mit HTTP verbunden. ↩︎

    1. Tach!

      Ist es so vorgesehen, dass Inhalte, die per HTTP (mit ohne „S“) nachgeladen werden sollen, nicht wollen?

      Ja, aber das ist eine Arbeitsweise der Browser, namentlich vor allem Chrome. Man kann da irgendwie unsicheres Nachladen aktivieren. Als Seitenbetreiber kann man meines Wissens nicht viel tun, außer alles als "S" auszuliefern. Nur klappt das nicht, wenn Ressourcen eingebunden werden, auf die man keinen Einfluss hat.

      dedlfix.

      1. Hallo

        Ist es so vorgesehen, dass Inhalte, die per HTTP (mit ohne „S“) nachgeladen werden sollen, nicht wollen?

        Ja, aber das ist eine Arbeitsweise der Browser, namentlich vor allem Chrome. Man kann da irgendwie unsicheres Nachladen aktivieren.

        Ja, das kenne ich als Abfrage „Wollen Sie … zulassen?“ auch vom Firefox. Der hat mich aber genau diesmal nicht gefragt. *grml*

        Edit: Die Benachrichtigungsfunktion des Forums funktioniert, die Thread-aktualisieren-Funktion aber nicht.

        Tschö, Auge

        --
        Es schimmerte ein Licht am Ende des Tunnels und es stammte von einem Flammenwerfer.
        Terry Pratchett, „Gevatter Tod“
      2. Hallo dedlfix,

        Ja, aber das ist eine Arbeitsweise der Browser, namentlich vor allem Chrome.

        Firefox hat das Default-Verhalten in dieser Hinsicht auch geändert: der lädt bei https auch nicht mehr einfach http nach. Safari tuts noch, wie das bei Safari 9 aussieht weiss ich nicht.

        LG,
        CK

    2. Tach,

      Weil mein auf meiner Domain liegendes User-CSS und -JS nicht will, habe ich mal „Live HTTP Headers“ angeworfen. Da funktioniert noch mehr nicht oder nicht so richtig, z.B. die Aufrufe gen startssl.com [1].

      OCSP muss über HTTP laufen, den wie fragst du sonst den OCSP-Server für das TLS-Zertifikat des OCSP-Servers an? OCSP-Antworten sind dann allerdings signiert und diese Signatur lässt sich mit den Schlüsseln die der ursprüngliche Server geliefert hat testen.

      mfg
      Woodfighter


      1. Ausgerechnet dorthin wird mit HTTP verbunden. ↩︎

  6. Liebe Selfer,

    wir haben im Wiki nur einen "Stub" zu HTTPS und SSL.

    Könnte sich jemand erbarmen und anfangen, die aktuellen Erkenntnisse dort zu veröffentlichen?

    Vielen Dank im Voraus.

    Herzliche Grüße!

    Matthias Scharwies

    1. Tach,

      Könnte sich jemand erbarmen und anfangen, die aktuellen Erkenntnisse dort zu veröffentlichen?

      ich werfe mal einen Blick drauf, aber im Moment ist das Wiki nur schwer erreichbar.

      mfg
      Woodfighter

      1. Hallo woodfighter,

        ich werfe mal einen Blick drauf, aber im Moment ist das Wiki nur schwer erreichbar.

        Danke. Die Erreichbarkeit ist schon eine ganze Weile schlecht, was ist da los, @dedlfix?

        Bis demnächst
        Matthias

        --
        Signaturen sind bloed (Steel) und Markdown ist mächtig.
        1. Tach!

          Die Erreichbarkeit ist schon eine ganze Weile schlecht, was ist da los, @dedlfix?

          Seit meiner letzten Systempflege (sprich: yum update) mit anschließendem Reboot vor ein paar Tagen zeigen die Server deutlich mehr Festplattenaktivität, korrespondierend mit den Zugriffskurven vom Webserver. Warum das so ist, hab ich noch keine Idee.

          dedlfix.

      2. Tach,

        Könnte sich jemand erbarmen und anfangen, die aktuellen Erkenntnisse dort zu veröffentlichen?

        ich werfe mal einen Blick drauf

        Pause, falls schonmal jemand drauf gucken möchte.

        mfg
        Woodfighter

        1. Servus!

          Vielen Dank!

          Matthias Scharwies

        2. Tach,

          Könnte sich jemand erbarmen und anfangen, die aktuellen Erkenntnisse dort zu veröffentlichen?

          ich werfe mal einen Blick drauf

          Pause, falls schonmal jemand drauf gucken möchte.

          so, das sollte es erstmal tun.

          Ich erwähne im Text speziell StartSSL wegen der kostenlosen Zertifikate; kennt jemand noch eine weitere CA, die das macht?

          Und es ist noch eine (übersichtliche) TODO-Liste übrig geblieben.

          mfg
          Woodfighter

          1. Moin!

            Ich erwähne im Text speziell StartSSL wegen der kostenlosen Zertifikate; kennt jemand noch eine weitere CA, die das macht?

            Wosign, Laufzeit wahlweise 1,2 oder sogar 3 Jahre, Golem.de hat da mal was dazu geschrieben.

            Mozillas Let’s encrypt ist ja erst im November einsetzbar; wenn es hält was es verspricht, kann man es ja auch mit aufnehmen.

            Gruß Julius

            1. Servus!

              Vielen Dank, ist eingepflegt!

              Matthias Scharwies

  7. Moin,

    so, ich habe das Forum gerade auf HTTPS-Only umgestellt. Um das Secure-Flag bei den Cookies kümmere ich mich noch.

    LG,
    CK

    1. Hallo Christian,

      Um das Secure-Flag bei den Cookies kümmere ich mich noch.

      [x] Done

      LG,
      CK

    2. Sers,

      so, jetzt bekommen wir auch A+ :)

      LG,
      CK

    3. Hallo Christian Kruse,

      so, ich habe das Forum gerade auf HTTPS-Only umgestellt.

      Danke.

      Gibts noch Lösungsvarianten für benutzereigene CSS- und JS-Ressourcen? Zum Beispiel, dass wir einen Upload anbieten? (Jeder Nutzer nur eine CSS- und JS-Datei)

      Bis demnächst
      Matthias

      --
      Signaturen sind bloed (Steel) und Markdown ist mächtig.
      1. Hallo Matthias,

        Gibts noch Lösungsvarianten für benutzereigene CSS- und JS-Ressourcen? Zum Beispiel, dass wir einen Upload anbieten? (Jeder Nutzer nur eine CSS- und JS-Datei)

        Reicht nicht das Inline-CSS und Inline-JS? Der Vorteil von externen Ressourcen ist ja, dass man nicht jedesmal die Konfiguration anpassen muss - das muss man aber bei einem Upload schon. Welchen Vorteil hat der Upload also gegenüber den Inline-Feldern?

        LG,
        CK

        1. Hallo Christian Kruse,

          Reicht nicht das Inline-CSS und Inline-JS?

          Theoretisch schon.

          Welchen Vorteil hat der Upload also gegenüber den Inline-Feldern?

          Wahrscheinlich gar keinen.

          Dann sollten wir aber in der Benutzerkonfiguration (https://forum.selfhtml.org/users/[BenutzerID]/edit#adoption) darauf hinweisen, dass die eigenen CSS- bzw. JS-Dateien (in modernen Browsern) nur Anwendung finden, wenn sie auch als HTTPS aufgerufen werden können. Oder man konfiguriert seinen Browser um.

          Vielleicht wäre es sogar besser, die eigenen Dateien nicht mehr zu unterstützen.

          Bis demnächst
          Matthias

          --
          Signaturen sind bloed (Steel) und Markdown ist mächtig.
          1. Hallo Matthias,

            Dann sollten wir aber in der Benutzerkonfiguration (https://forum.selfhtml.org/users/[BenutzerID]/edit#adoption) darauf hinweisen, dass die eigenen CSS- bzw. JS-Dateien (in modernen Browsern) nur Anwendung finden, wenn sie auch als HTTPS aufgerufen werden können. Oder man konfiguriert seinen Browser um.

            ACK.

            Vielleicht wäre es sogar besser, die eigenen Dateien nicht mehr zu unterstützen.

            Ich verwende dieses Feature gerne, und ich würde es vermissen! ;-)

            LG,
            CK

        2. Hi,

          Gibts noch Lösungsvarianten für benutzereigene CSS- und JS-Ressourcen? Zum Beispiel, dass wir einen Upload anbieten? (Jeder Nutzer nur eine CSS- und JS-Datei)

          Reicht nicht das Inline-CSS und Inline-JS?

          doch, im Prinzip schon, nur müssten dann wahrscheinlich einige Nutzer ihre Konfiguration entsprechend umstellen, die bisher ihr User-CSS und/oder User-JS vom eigenen Webspace laden lassen.

          Der Vorteil von externen Ressourcen ist ja, dass man nicht jedesmal die Konfiguration anpassen muss - das muss man aber bei einem Upload schon. Welchen Vorteil hat der Upload also gegenüber den Inline-Feldern?

          Ähm ... zwischen inline und Upload sehe ich aus Nutzersicht keinen wesentlichen Unterschied, oder wenn, dann höchstens mit einem minimalen Plus für Inline (so wie es jetzt schon realisiert ist), weil ich in der User-Config das eingetragene CSS/JS sofort sehe und editieren kann.

          Aber die Frage war doch eher, was mit extern nachgeladenen Ressourcen ist. Ergibt das in der derzeitigen Konfiguration noch einen Sinn? Ich denke, nein. Also müsste jeder Nutzer früher oder später sein CSS/JS direkt in die User-Config des Forums übertragen.
          Oder könnte die Foren-Software das automatisch tun? Prüfen, ob die User-Einträge schon migriert sind, und falls nein, dann selbständig die eingetragenen Ressourcen abrufen und als Inline-Daten in die User-Config eintragen. Dieser Vorgang würde einmal pro User ablaufen. Und danach würde die Möglichkeit, externes CSS/JS in der User-Config einzubinden, deaktiviert.

          How about this?

          So long,
           Martin

          1. Hallo Martin,

            Gibts noch Lösungsvarianten für benutzereigene CSS- und JS-Ressourcen? Zum Beispiel, dass wir einen Upload anbieten? (Jeder Nutzer nur eine CSS- und JS-Datei)

            Reicht nicht das Inline-CSS und Inline-JS?

            doch, im Prinzip schon, nur müssten dann wahrscheinlich einige Nutzer ihre Konfiguration entsprechend umstellen, die bisher ihr User-CSS und/oder User-JS vom eigenen Webspace laden lassen.

            Müssen sie ja eh.

            Aber die Frage war doch eher, was mit extern nachgeladenen Ressourcen ist. Ergibt das in der derzeitigen Konfiguration noch einen Sinn? Ich denke, nein. Also müsste jeder Nutzer früher oder später sein CSS/JS direkt in die User-Config des Forums übertragen.

            Nein, warum? Du kannst (so wie ich das z.B. tue) deine Ressourcen auch über SSL ausliefern lassen. Du kannst ja sogar ein selbst-signiertes Zertifikat nutzen (alle Browser bieten ja weiterhin die Möglichkeit Zertifikaten explizit zu trauen, auch wenn sie selbst signiert sind).

            Oder könnte die Foren-Software das automatisch tun? Prüfen, ob die User-Einträge schon migriert sind, und falls nein, dann selbständig die eingetragenen Ressourcen abrufen und als Inline-Daten in die User-Config eintragen. Dieser Vorgang würde einmal pro User ablaufen. Und danach würde die Möglichkeit, externes CSS/JS in der User-Config einzubinden, deaktiviert.

            Das halte ich für keine gute Lösung, denn dann würden die User nicht darüber nachdenken müssen ob sie ihren Webspace nicht auf SSL migrieren wollen. Und im Sinne unseres Bildungsauftrags halte ich das für wünschenswert – siehst du das anders?

            LG,
            CK

            1. Hi,

              Aber die Frage war doch eher, was mit extern nachgeladenen Ressourcen ist. Ergibt das in der derzeitigen Konfiguration noch einen Sinn? Ich denke, nein. Also müsste jeder Nutzer früher oder später sein CSS/JS direkt in die User-Config des Forums übertragen.

              Nein, warum? Du kannst (so wie ich das z.B. tue) deine Ressourcen auch über SSL ausliefern lassen.

              die Möglichkeit hatte ich noch gar nicht in Betracht gezogen.

              Oder könnte die Foren-Software das automatisch tun? Prüfen, ob die User-Einträge schon migriert sind, und falls nein, dann selbständig die eingetragenen Ressourcen abrufen und als Inline-Daten in die User-Config eintragen. Dieser Vorgang würde einmal pro User ablaufen. Und danach würde die Möglichkeit, externes CSS/JS in der User-Config einzubinden, deaktiviert.

              Das halte ich für keine gute Lösung, denn dann würden die User nicht darüber nachdenken müssen ob sie ihren Webspace nicht auf SSL migrieren wollen. Und im Sinne unseres Bildungsauftrags halte ich das für wünschenswert – siehst du das anders?

              Ja. Ich bin eher ein Gegner der Anwendung von Verschlüsselung auf breiter Front. Ich selbst würde Verschlüsselung nur da einsetzen, wo sie unbedingt nötig ist - auch wenn ich den Ansatz, möglichst alles zu verschlüsseln, um noch ein kleines bisschen security by obscurity oben draufzupacken, vom Prinzip her verstehe.

              So long,
               Martin

              1. Hallo Martin,

                Das halte ich für keine gute Lösung, denn dann würden die User nicht darüber nachdenken müssen ob sie ihren Webspace nicht auf SSL migrieren wollen. Und im Sinne unseres Bildungsauftrags halte ich das für wünschenswert – siehst du das anders?

                Ja. Ich bin eher ein Gegner der Anwendung von Verschlüsselung auf breiter Front.

                Es geht ja nicht darum den User dazu zu zwingen auf HTTPS umzusteigen, sondern ihn dazu bringen darüber nachzudenken. Selbst wenn er dann zu dem Ergebnis kommt, dass er das nicht will, ist das doch ein Erfolg.

                Ich selbst würde Verschlüsselung nur da einsetzen, wo sie unbedingt nötig ist - auch wenn ich den Ansatz, möglichst alles zu verschlüsseln, um noch ein kleines bisschen security by obscurity oben draufzupacken, vom Prinzip her verstehe.

                Es geht nicht um obscurity, sondern um coverability. Die Unterscheidung ist wichtig, denn das ist vom Konzept her etwas völlig anderes. Bei obscurity geht es darum, Sicherheit durch das verkomplizieren und verschleiern zu erlangen. Dass das nicht möglich ist, wurde hinreichend bewiesen. Bei coverability geht es darum, dass Sender und Empfänger von Nachrichten sich (in der Menge/Masse) verstecken können. Ausserdem treibt es die Kosten der Totalüberwachung in die Höhe. Bruce Schneier hat dazu einen guten Artikel geschrieben.

                LG,
                CK

  8. problematische Seite

    Mir ist noch etwas aufgefallen: http://de.selfhtml.org/ leitet zu http://wiki.selfhtml.org/wiki/Startseite um, aber https://de.selfhtml.org/ gibt stattdessen 'default' aus.

    Siehe natürlich auch meine restlichen Hinweise hier: https://forum.selfhtml.org/meta/2015/sep/9/https-bei-selfhtml/1649877#m1649877