tag:forum.selfhtml.org,2005:/self
Umstellung auf https: Die http-Welt ist auf einmal verschlossen – SELFHTML-Forum
2020-02-27T16:52:35Z
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765865#m1765865
Linuchs
2020-02-27T10:26:02Z
2020-02-27T10:26:02Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Moin,</p>
<p>heute Nacht bin ich bei meinem problematischen one.com Vermieter ausgezogen. Er konnte meine PHP-Mails nicht versenden und verhindert, dass neue CSS-Dateien ausgeliefert werden. Wir haben das ausführlich diskutiert.</p>
<p>Der neue Vermieter ist cleverer, er hat zum Beispiel die bisherige Erreichbarkeit unter http: gelassen und zusätzlich https: eingerichtet, ohne Zwang.</p>
<p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p>
<p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p>
<p>Die Seite zu verlinken ist sinnlos, da ich die "Fehler" in den nächsten Stunden beheben werde.</p>
<p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p>
<p>Ist das wirklich so strikt?</p>
<p>Gruß, Linuchs</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765866#m1765866
dedlfix
2020-02-27T10:33:25Z
2020-02-27T10:33:25Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Tach!</p>
<blockquote>
<p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p>
</blockquote>
<p>Alle Browser verhindern das. Und es ist ziemlich logisch. Wenn man eine Seite hat, die per HTTPS in einer gesicherten Übertragung zum Client gelangt, und dies auch so angezeigt wird, dann kann man da keine "unsicheren" Inhalte einfügen, weil das das Anliegen aushebelt. Das ist aber schon sehr lange bekannt.</p>
<blockquote>
<p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p>
</blockquote>
<p>Das hat nichts mit Kompatibilität zu tun. Auch ist HTTPS keine Verbesserung von HTTP. HTTPS ist dasselbe HTTP, nur über eine gesicherte Verbindung übertragen.</p>
<p>dedlfix.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765867#m1765867
Der Martin
2020-02-27T10:34:33Z
2020-02-27T10:34:33Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo,</p>
<blockquote>
<p>Der neue Vermieter ist cleverer, er hat zum Beispiel die bisherige Erreichbarkeit unter http: gelassen und zusätzlich https: eingerichtet, ohne Zwang.</p>
</blockquote>
<p>einen Zwang, https zu verwenden, würde ich auch ablehnen. Die Möglichkeit ist aber durchaus willkommen.</p>
<blockquote>
<p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p>
</blockquote>
<p>Ja, das ist so gewollt (nicht von dir, aber von den Sicherheitspäpsten).</p>
<blockquote>
<p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p>
</blockquote>
<p>Es ist eine Eigenheit aller Browser: Eine Seite, die per https übermittelt wurde, soll keine unsicheren (d.h. unverschlüsselten) Ressourcen enthalten bzw. nachladen.</p>
<p>Meines Wissens kann man diese Restriktion des Browsers in der individuellen Konfiguration lockern. Nur nützt dir das nichts: Dann könntest du selbst die "gemischten" Seiten zwar anzeigen, der Großteil deiner Besucher aber immer noch nicht.</p>
<blockquote>
<p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p>
<p>Ist das wirklich so strikt?</p>
</blockquote>
<p>Ja. Wenn die Verschlüsselung an einer Stelle aufgeweicht wird, könnte das übel ausgenutzt werden.</p>
<p>Ciao,<br>
Martin</p>
<div class="signature">-- <br>
Ich stamme aus Ironien, einem Land am sarkastischen Ozean.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765868#m1765868
TS
ts-self@online.de
https://bitworks.de
2020-02-27T10:41:14Z
2020-02-27T10:47:04Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p>
<p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p>
</blockquote>
<p>Nee, das ist das allgemeine Konzept für TLS und darauf aufsetzend HTTP. Es sind <strong>zwei kombinierte Protokolle</strong> in zwei getrennten Schichten. Aus einem "sicheren" Hauptdokument heraus unsichere aufzurufen, ist zunächst einmal verboten.</p>
<p>Wie man das dann trotzdem wieder erlauben <strong>könnte</strong>, wirst Du bestimmt noch von Anderen erfahren. (Ich kann mit meinen Tab 4 ja noch nicht wieder vernünftig arbeiten :-( )</p>
<p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765869#m1765869
Rolf B
2020-02-27T10:44:20Z
2020-02-27T10:44:20Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo Linuchs,</p>
<p>als Ergänzung zu den Hinweisen von dedlfix und Martin: Wenn Du Ressourcen einbinden willst, die nur per HTTP zugänglich sind und Du auch nicht im Stande bist, den Ressourcenanbieter zu einer Umstellung auf HTTPS zu überreden, dann musst Du auf deinem Server einen Proxy dafür einrichten.</p>
<p>Das wird eher nicht funktionieren, wenn die Ressource eigenes Script mit eigenen Ajax Calls hat. Oder es macht viel Arbeit, weil Du jeden Ajax-Request dann über deinen Server laufen lassen und an den eigentlichen Ressourcenanbieter durchreichen musst. Aber für statische Ressourcen sollte es gehen.</p>
<p>Bei OSM würde ich aber annehmen, dass das auch über https erreichbar ist. Im Gegenteil sogar, wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p>
<p><em>Rolf</em></p>
<div class="signature">-- <br>
sumpsi - posui - clusi
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765870#m1765870
JürgenB
https://www.j-berkemeier.de
2020-02-27T10:46:20Z
2020-02-27T10:47:57Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo,</p>
<blockquote>
<p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p>
</blockquote>
<p>willkommen in der Gegenwart .</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765879#m1765879
Linuchs
2020-02-27T11:11:19Z
2020-02-27T11:11:19Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Jetzt muss ich doch zur problematischen Seite verlinken:</p>
<p><a href="http://shanty-fsd.de" rel="nofollow noopener noreferrer">http://shanty-fsd.de</a> | <a href="https://shanty-fsd.de" rel="nofollow noopener noreferrer">https://shanty-fsd.de</a></p>
<p>Mit dem Einfügen eines <code>s</code> ist es nicht getan:</p>
<pre><code class="block language-html">L.tileLayer('https://{s}.tile.osm.org/{z}/{x}/{y}.png',
{attribution: '<span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">class</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>ls2<span class="token punctuation">"</span></span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://shanty-fsd.de<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>shanty-fsd.de<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span> | Map data <span class="token entity named-entity" title="©">©</span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://openstreetmap.org<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>OpenStreetMap<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span> contributors, <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://creativecommons.org/licenses/by-sa/2.0/<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>CC-BY-SA<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span>'}
).addTo(mitglieder_map);
L.marker([ 51.451, 11.9486 ], {icon: kreis_gruen}).addTo(mitglieder_map);
</code></pre>
<p>Jetzt wird die Karte auch unter http://shanty-fsd.de nicht gezeigt.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765901#m1765901
Linuchs
2020-02-27T12:35:36Z
2020-02-27T12:35:36Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Der Codierungs-Wahn treibt seltsame Blüten. Jetzt ist sogar die Buchstaben-Suppe verschlüsselt:</p>
<p><a href="/images/4f188f66-595d-11ea-898b-b42e9947ef30.jpg" rel="noopener noreferrer"><img src="/images/4f188f66-595d-11ea-898b-b42e9947ef30.jpg?size=medium" alt="Buchstabensuppe" title="Buchstabensuppe" loading="lazy"></a></p>
<p>Habe ich bisher nicht drauf geachtet, aber nun bin ich sensibilisiert.</p>
<p>Linuchs</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765877#m1765877
Mitleser
2020-02-27T11:05:19Z
2020-02-27T11:05:19Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<blockquote>
<p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p>
</blockquote>
<p><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security" rel="nofollow noopener noreferrer">Nein</a>.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765871#m1765871
Linuchs
2020-02-27T10:48:51Z
2020-02-27T10:48:51Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo Rolf,</p>
<blockquote>
<p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p>
</blockquote>
<p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p>
<p>Linuchs</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765873#m1765873
JürgenB
https://www.j-berkemeier.de
2020-02-27T10:50:38Z
2020-02-27T10:50:38Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo Rolf,</p>
<blockquote>
<p>Bei OSM würde ich aber annehmen, dass das auch über https erreichbar ist. Im Gegenteil sogar, wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p>
</blockquote>
<p>seit ca. 3 Jahren. Mitte 2017 habe ich in meinen Kartenskripten die letzten http-Aufrufe auf https umgestellt.</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765872#m1765872
dedlfix
2020-02-27T10:50:33Z
2020-02-27T10:50:33Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Tach!</p>
<blockquote>
<blockquote>
<p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p>
</blockquote>
<p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p>
</blockquote>
<p>Er weiß das ja nicht, ob er nach HTTPS umgeleitet werden wird oder nicht.</p>
<p>dedlfix.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765874#m1765874
JürgenB
https://www.j-berkemeier.de
2020-02-27T10:52:41Z
2020-02-27T10:52:41Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo,</p>
<blockquote>
<blockquote>
<p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p>
</blockquote>
<p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p>
</blockquote>
<p>da zensiert niemand etwas. Der Server leitet einfach von http auf https um.</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765875#m1765875
TS
ts-self@online.de
https://bitworks.de
2020-02-27T10:56:41Z
2020-02-27T11:03:13Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<p>Hallo Rolf,</p>
<blockquote>
<p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p>
</blockquote>
<p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p>
</blockquote>
<p>Jein.</p>
<p>Der Browser erkennt aus dem Scheme <code>https:</code>, dass er zunächst eine sichere Verbindung über TLS bei der Gegenstelle anfordern lassen soll, um dann darauf das zustandslosose HTTP zu sprechen.</p>
<p>Deinem Gedanken folgend würde er zunächst eine unverschlüsselte Verbindung anfordern, darauf auch HTTP sprechen, aber nun von der Gegenstelle über diesen unsicheren Kanal eine Umleitungsanforderung (Location: https://~) zu erhalten. Erst damit würde er, wie oben beschrieben, von vorne anfangen.</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878
pl
https://rolfrost.de/fetchobjects.html
2020-02-27T11:07:54Z
2020-02-27T11:07:54Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Wird ein HSTS'Header gesendet, holt sich der Browser spontan die HTTPS'Seite ohne daß da serverseitig eine Umleitung geschaltet ist.</p>
<p>MFG</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765876#m1765876
TS
ts-self@online.de
https://bitworks.de
2020-02-27T10:59:56Z
2020-02-27T10:59:56Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<p>Hallo,</p>
<blockquote>
<blockquote>
<p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p>
</blockquote>
<p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p>
</blockquote>
<p>da zensiert niemand etwas. Der Server leitet einfach von http auf https um.</p>
</blockquote>
<p>Könnten wir uns auf eine andere Formulierung einigen?</p>
<p>Der Server sendet dem Browser eine Umleitungsanforderung. Die Umleitung findet also nicht serverintern statt, sondern über einen Roundturn mif dem Client.</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765880#m1765880
JürgenB
https://www.j-berkemeier.de
2020-02-27T11:12:15Z
2020-02-27T11:12:15Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo Tom,</p>
<p>stimmt. Ich habe folgendes in meiner .htaccess stehen:</p>
<pre><code class="block">RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
</code></pre>
<p>Da wird dann ein Zugriff auf http://… mit einem <code>Moved Permanent</code> auf https weitergeleitet.</p>
<p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765881#m1765881
TS
ts-self@online.de
https://bitworks.de
2020-02-27T11:13:06Z
2020-02-27T11:13:06Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<blockquote>
<p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p>
</blockquote>
<p><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security" rel="nofollow noopener noreferrer">Nein</a>.</p>
</blockquote>
<p>Doch!</p>
<p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p>
<p>Dafür, dass die das in dem von Dir verlinkten Dokument etwas verschwurbelt darstellen, kann ich nichts ;-)</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765891#m1765891
TS
ts-self@online.de
https://bitworks.de
2020-02-27T11:26:02Z
2020-02-27T11:26:02Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<p>Wird ein HSTS'Header gesendet, holt sich der Browser spontan die HTTPS'Seite ohne daß da serverseitig eine Umleitung geschaltet ist.</p>
</blockquote>
<p>Nee, denn HSTS ist ein <strong>Response</strong>Header.</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765882#m1765882
dedlfix
2020-02-27T11:14:03Z
2020-02-27T11:14:03Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Tach!</p>
<blockquote>
<p>Jetzt wird die Karte auch unter http://shanty-fsd.de nicht gezeigt.</p>
</blockquote>
<p>Liegt aber an einem Programmierfehler deinerseits. Das Javascript steigt mit einer Fehlermeldung aus. Hättest du auch selbst in der Konsole sehen können.</p>
<p>dedlfix.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765883#m1765883
JürgenB
https://www.j-berkemeier.de
2020-02-27T11:15:36Z
2020-02-27T11:15:36Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo,</p>
<p>beide Varianten liefern</p>
<p>Laden fehlgeschlagen für das <script> mit der Quelle "http://shanty-fsd.de/css/leaflet.js". shanty-fsd.de:187:1</p>
<p>bzw.</p>
<p>Laden fehlgeschlagen für das <script> mit der Quelle "https://shanty-fsd.de/css/leaflet.js". shanty-fsd.de:187:1</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765885#m1765885
TS
ts-self@online.de
https://bitworks.de
2020-02-27T11:17:56Z
2020-02-27T11:17:56Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<p>Hallo Tom,</p>
<p>stimmt. Ich habe folgendes in meiner .htaccess stehen:</p>
<pre><code class="block">RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
</code></pre>
<p>Da wird dann ein Zugriff auf http://… mit einem <code>Moved Permanent</code> auf https weitergeleitet.</p>
<p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p>
</blockquote>
<p>Mhh, technisch machbar, aber:</p>
<p>Ja mit einem komplexen Proxy. Damit kann man per HTTP über diesen Proxy auf HTTPS-Seiten (i. d. R. <strong>fremde</strong>) zugreifen.</p>
<p>Was würde Dir das serverintern nützten, wenn die Client-Server-Verbindung ohne TLS läuft?</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765886#m1765886
Mitleser
2020-02-27T11:17:57Z
2020-02-27T11:17:57Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<blockquote>
<p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p>
</blockquote>
<p>Nein.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765890#m1765890
dedlfix
2020-02-27T11:23:31Z
2020-02-27T11:23:31Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Tach!</p>
<blockquote>
<p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p>
</blockquote>
<p>Nein, weil der Client den Request starten muss.</p>
<p>dedlfix.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765913#m1765913
Linuchs
2020-02-27T16:34:36Z
2020-02-27T16:35:05Z
.htaccess
<p>Hallo Jürgen,</p>
<p>habe ich in meine .htaccess übernommen:</p>
<pre><code class="block">DirectoryIndex index.php index.htm index.html
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
</code></pre>
<p>Wenn ich dem FF shanty-fsd.de eingebe, kommt http://shanty-fsd.de/</p>
<p>Was ist falsch?</p>
<p>Gruß, Linuchs</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765884#m1765884
Mitleser
2020-02-27T11:16:08Z
2020-02-27T11:16:08Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<blockquote>
<p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p>
</blockquote>
<p>Nein. Das, was Du beschreibst, ist seit einiger Zeit das Standardverhalten gängiger Clients. HSTS bewirkt etwas anderes. Nämlich das, was im Link beschrieben wird.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765889#m1765889
Linuchs
2020-02-27T11:23:24Z
2020-02-27T11:23:24Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<blockquote>
<p>Liegt aber an einem Programmierfehler deinerseits.</p>
</blockquote>
<p>Oh ja, danke für den Hinweis.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765887#m1765887
TS
ts-self@online.de
https://bitworks.de
2020-02-27T11:19:16Z
2020-02-27T11:21:59Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<blockquote>
<p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p>
</blockquote>
<p>Nein. Das, was Du beschreibst, ist seit einiger Zeit das Standardverhalten gängiger Clients. HSTS bewirkt etwas anderes. Nämlich das, was im Link beschrieben wird.</p>
</blockquote>
<p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p>
<p>Das Ganze erinnert mich an eine Person, die steif und fest behauptet hat, man könne aus zwei vorhandenen IPv4 nicht das kleinste gemeinam mögliche Netz bestimmen, wenn es eines gibt. ;-p</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765888#m1765888
Mitleser
2020-02-27T11:22:03Z
2020-02-27T11:22:03Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<blockquote>
<p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p>
</blockquote>
<p>Im Grunde, was <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878" rel="noopener noreferrer">pl umgangssprachlich und knapp formuliert hat</a>.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765892#m1765892
TS
ts-self@online.de
https://bitworks.de
2020-02-27T11:27:37Z
2020-02-27T11:27:37Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<blockquote>
<p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p>
</blockquote>
<p>Im Grunde, was <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878" rel="noopener noreferrer">pl umgangssprachlich und knapp formuliert hat</a>.</p>
</blockquote>
<p>Nee, denn HSTS ist ein Response-Header.<br>
Wird der per http (also ohne TLS) gesendet, soll der Browser ihn sogar ignorieren.</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765897#m1765897
JürgenB
https://www.j-berkemeier.de
2020-02-27T11:40:42Z
2020-02-27T11:40:42Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo,</p>
<blockquote>
<blockquote>
<p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p>
</blockquote>
<p>Nein, weil der Client den Request starten muss.</p>
</blockquote>
<p>Danke.</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765895#m1765895
JürgenB
https://www.j-berkemeier.de
2020-02-27T11:38:31Z
2020-02-27T11:38:31Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo Tom,</p>
<p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765899#m1765899
TS
ts-self@online.de
https://bitworks.de
2020-02-27T11:59:31Z
2020-02-27T11:59:31Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hello,</p>
<blockquote>
<p>Hallo Tom,</p>
<p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p>
</blockquote>
<p>... und damit auch alle darin enthaltenen Links.</p>
<p>Wo merkt sich der Browser diese HSTS-Anforderung nebst Gültigkeitsdauer?</p>
<p>Was ist mit komplexen HTTPS-Proxies? Wie kann man die als Client erkennen?</p>
<p>Glück Auf<br>
Tom vom Berg</p>
<div class="signature">-- <br>
Es gibt nichts Gutes, außer man tut es!<br>
Das Leben selbst ist der Sinn.
</div>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765900#m1765900
JürgenB
https://www.j-berkemeier.de
2020-02-27T12:11:11Z
2020-02-27T12:12:55Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<p>Hallo Tom,</p>
<blockquote>
<blockquote>
<p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p>
</blockquote>
<p>... und damit auch alle darin enthaltenen Links.</p>
</blockquote>
<p>der Strict Transport Security-Header macht nur bei Seiten Sinn, die per https ausgeliefert werden. Darin enthaltene Links sollten auch auf https basieren. Aber wenn aus so einer Seite auf http verlinkt wird, wird die verlinkte Seite eben auch so aufgerufen und es gelten mögliche 301-Weiterleitungen auf https oder eben HSTS.</p>
<blockquote>
<p>Wo merkt sich der Browser diese HSTS-Anforderung nebst Gültigkeitsdauer?</p>
</blockquote>
<p>Ich vermute, im Benutzerprofil.</p>
<blockquote>
<p>Was ist mit komplexen HTTPS-Proxies? Wie kann man die als Client erkennen?</p>
</blockquote>
<p>Wenn die einen HSTS-Header senden, wird beim nächsten mal die Seite per https Aufgerufen.</p>
<p>Ich habe Strict Transport Security so verstanden, das dem Browser mitgeteilt wird, die Seite in Zukunft nur noch per https aufzurufem, egal was der User ins Adressfeld tippt oder was im href von Links steht.</p>
<p>Gruß<br>
Jürgen</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765912#m1765912
Mitleser
2020-02-27T16:23:41Z
2020-02-27T16:24:22Z
Umstellung auf https: Die http-Welt ist auf einmal verschlossen
<blockquote>
<p>Ich habe Strict Transport Security so verstanden, das dem Browser mitgeteilt wird, die Seite in Zukunft nur noch per https aufzurufem, egal was der User ins Adressfeld tippt oder was im href von Links steht.</p>
</blockquote>
<p>So kann man es IMHO formulieren, auch wenn es analog RolfPlHotteHorsts Ausführungen nicht ganz sauber dargelegt ist, zusammenfassen.</p>
<p>Aber ja, das ist letztlich die Idee hinter der Nummer, auch wenn TS das anders sieht und irgendwie versucht, sein Geschwurbel noch als fachlich fundiert hinzubiegen.</p>
<p>Aber klar, <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765881#m1765881" rel="noopener noreferrer">MDN hat es verschwurbelt formuliert</a>. LOL</p>
<p>Fun fact dabei ist, dass es der Google Chrome dann sogar als internen HTTP 307 im Netzwerkpanel protokolliert. Erscheint mir stimmig.</p>
https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765917#m1765917
JürgenB
https://www.j-berkemeier.de
2020-02-27T16:52:35Z
2020-02-27T16:52:35Z
.htaccess
<p>Hallo,</p>
<blockquote>
<p>habe ich in meine .htaccess übernommen:</p>
<pre><code class="block">DirectoryIndex index.php index.htm index.html
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
</code></pre>
<p>Wenn ich dem FF shanty-fsd.de eingebe, kommt http://shanty-fsd.de/</p>
<p>Was ist falsch?</p>
</blockquote>
<p>ich habe vom Servergeschäft zu wenig Ahnung, da müssen andere ran. Ich kann nur sagen "Bei mir funktionierts.", aber das hilft dir nicht wirklich.</p>
<p>Gruß<br>
Jürgen</p>