Umstellung auf https: Die http-Welt ist auf einmal verschlossen – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:26:02 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765865#m1765865 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765865#m1765865 <p>Moin,</p> <p>heute Nacht bin ich bei meinem problematischen one.com Vermieter ausgezogen. Er konnte meine PHP-Mails nicht versenden und verhindert, dass neue CSS-Dateien ausgeliefert werden. Wir haben das ausführlich diskutiert.</p> <p>Der neue Vermieter ist cleverer, er hat zum Beispiel die bisherige Erreichbarkeit unter http: gelassen und zusätzlich https: eingerichtet, ohne Zwang.</p> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> <p>Die Seite zu verlinken ist sinnlos, da ich die "Fehler" in den nächsten Stunden beheben werde.</p> <p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p> <p>Ist das wirklich so strikt?</p> <p>Gruß, Linuchs</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:33:25 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765866#m1765866 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765866#m1765866 <p>Tach!</p> <blockquote> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> </blockquote> <p>Alle Browser verhindern das. Und es ist ziemlich logisch. Wenn man eine Seite hat, die per HTTPS in einer gesicherten Übertragung zum Client gelangt, und dies auch so angezeigt wird, dann kann man da keine "unsicheren" Inhalte einfügen, weil das das Anliegen aushebelt. Das ist aber schon sehr lange bekannt.</p> <blockquote> <p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p> </blockquote> <p>Das hat nichts mit Kompatibilität zu tun. Auch ist HTTPS keine Verbesserung von HTTP. HTTPS ist dasselbe HTTP, nur über eine gesicherte Verbindung übertragen.</p> <p>dedlfix.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:34:33 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765867#m1765867 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765867#m1765867 <p>Hallo,</p> <blockquote> <p>Der neue Vermieter ist cleverer, er hat zum Beispiel die bisherige Erreichbarkeit unter http: gelassen und zusätzlich https: eingerichtet, ohne Zwang.</p> </blockquote> <p>einen Zwang, https zu verwenden, würde ich auch ablehnen. Die Möglichkeit ist aber durchaus willkommen.</p> <blockquote> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> </blockquote> <p>Ja, das ist so gewollt (nicht von dir, aber von den Sicherheitspäpsten).</p> <blockquote> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> </blockquote> <p>Es ist eine Eigenheit aller Browser: Eine Seite, die per https übermittelt wurde, soll keine unsicheren (d.h. unverschlüsselten) Ressourcen enthalten bzw. nachladen.</p> <p>Meines Wissens kann man diese Restriktion des Browsers in der individuellen Konfiguration lockern. Nur nützt dir das nichts: Dann könntest du selbst die "gemischten" Seiten zwar anzeigen, der Großteil deiner Besucher aber immer noch nicht.</p> <blockquote> <p>Ich wundere mich nur, dass Abwärts-Kompatibilität offenbar ausgechlossen ist. So als ob ein USB3-Kabel USB2 nicht mehr überträgt.</p> <p>Ist das wirklich so strikt?</p> </blockquote> <p>Ja. Wenn die Verschlüsselung an einer Stelle aufgeweicht wird, könnte das übel ausgenutzt werden.</p> <p>Ciao,<br>  Martin</p> <div class="signature">-- <br> Ich stamme aus Ironien, einem Land am sarkastischen Ozean. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:41:14 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765868#m1765868 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765868#m1765868 <p>Hello,</p> <blockquote> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> <p>Verständnisfrage: Ist das die Diktatur des Firefox? Oder weigert sich http://OSM, Anfragen an https zu liefern?</p> </blockquote> <p>Nee, das ist das allgemeine Konzept für TLS und darauf aufsetzend HTTP. Es sind <strong>zwei kombinierte Protokolle</strong> in zwei getrennten Schichten. Aus einem "sicheren" Hauptdokument heraus unsichere aufzurufen, ist zunächst einmal verboten.</p> <p>Wie man das dann trotzdem wieder erlauben <strong>könnte</strong>, wirst Du bestimmt noch von Anderen erfahren. (Ich kann mit meinen Tab 4 ja noch nicht wieder vernünftig arbeiten :-( )</p> <p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:44:20 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765869#m1765869 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765869#m1765869 <p>Hallo Linuchs,</p> <p>als Ergänzung zu den Hinweisen von dedlfix und Martin: Wenn Du Ressourcen einbinden willst, die nur per HTTP zugänglich sind und Du auch nicht im Stande bist, den Ressourcenanbieter zu einer Umstellung auf HTTPS zu überreden, dann musst Du auf deinem Server einen Proxy dafür einrichten.</p> <p>Das wird eher nicht funktionieren, wenn die Ressource eigenes Script mit eigenen Ajax Calls hat. Oder es macht viel Arbeit, weil Du jeden Ajax-Request dann über deinen Server laufen lassen und an den eigentlichen Ressourcenanbieter durchreichen musst. Aber für statische Ressourcen sollte es gehen.</p> <p>Bei OSM würde ich aber annehmen, dass das auch über https erreichbar ist. Im Gegenteil sogar, wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - clusi </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:46:20 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765870#m1765870 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765870#m1765870 <p>Hallo,</p> <blockquote> <p>Nun sehe ich, dass unter https: so einige Aufrufe für http: nicht funktionieren. Ich habe z.B. eine OSM-Landkarte eingebunden, sie erscheint nicht.</p> </blockquote> <p>willkommen in der Gegenwart .</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:11:19 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765879#m1765879 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765879#m1765879 <p>Jetzt muss ich doch zur problematischen Seite verlinken:</p> <p><a href="http://shanty-fsd.de" rel="nofollow noopener noreferrer">http://shanty-fsd.de</a> | <a href="https://shanty-fsd.de" rel="nofollow noopener noreferrer">https://shanty-fsd.de</a></p> <p>Mit dem Einfügen eines <code>s</code> ist es nicht getan:</p> <pre><code class="block language-html">L.tileLayer('https://{s}.tile.osm.org/{z}/{x}/{y}.png', {attribution: '<span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">class</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>ls2<span class="token punctuation">"</span></span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://shanty-fsd.de<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>shanty-fsd.de<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span> | Map data <span class="token entity named-entity" title="&copy;">&copy;</span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://openstreetmap.org<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>OpenStreetMap<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span> contributors, <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>a</span> <span class="token attr-name">href</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>https://creativecommons.org/licenses/by-sa/2.0/<span class="token punctuation">"</span></span><span class="token punctuation">></span></span>CC-BY-SA<span class="token tag"><span class="token tag"><span class="token punctuation"></</span>a</span><span class="token punctuation">></span></span>'} ).addTo(mitglieder_map); L.marker([ 51.451, 11.9486 ], {icon: kreis_gruen}).addTo(mitglieder_map); </code></pre> <p>Jetzt wird die Karte auch unter http://shanty-fsd.de nicht gezeigt.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 12:35:36 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765901#m1765901 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765901#m1765901 <p>Der Codierungs-Wahn treibt seltsame Blüten. Jetzt ist sogar die Buchstaben-Suppe verschlüsselt:</p> <p><a href="/images/4f188f66-595d-11ea-898b-b42e9947ef30.jpg" rel="noopener noreferrer"><img src="/images/4f188f66-595d-11ea-898b-b42e9947ef30.jpg?size=medium" alt="Buchstabensuppe" title="Buchstabensuppe" loading="lazy"></a></p> <p>Habe ich bisher nicht drauf geachtet, aber nun bin ich sensibilisiert.</p> <p>Linuchs</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:05:19 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765877#m1765877 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765877#m1765877 <blockquote> <p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p> </blockquote> <p><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security" rel="nofollow noopener noreferrer">Nein</a>.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:48:51 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765871#m1765871 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765871#m1765871 <p>Hallo Rolf,</p> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> <p>Linuchs</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:50:38 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765873#m1765873 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765873#m1765873 <p>Hallo Rolf,</p> <blockquote> <p>Bei OSM würde ich aber annehmen, dass das auch über https erreichbar ist. Im Gegenteil sogar, wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>seit ca. 3 Jahren. Mitte 2017 habe ich in meinen Kartenskripten die letzten http-Aufrufe auf https umgestellt.</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:50:33 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765872#m1765872 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765872#m1765872 <p>Tach!</p> <blockquote> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>Er weiß das ja nicht, ob er nach HTTPS umgeleitet werden wird oder nicht.</p> <p>dedlfix.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:52:41 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765874#m1765874 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765874#m1765874 <p>Hallo,</p> <blockquote> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>da zensiert niemand etwas. Der Server leitet einfach von http auf https um.</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:56:41 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765875#m1765875 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765875#m1765875 <p>Hello,</p> <blockquote> <p>Hallo Rolf,</p> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>Jein.</p> <p>Der Browser erkennt aus dem Scheme <code>https:</code>, dass er zunächst eine sichere Verbindung über TLS bei der Gegenstelle anfordern lassen soll, um dann darauf das zustandslosose HTTP zu sprechen.</p> <p>Deinem Gedanken folgend würde er zunächst eine unverschlüsselte Verbindung anfordern, darauf auch HTTP sprechen, aber nun von der Gegenstelle über diesen unsicheren Kanal eine Umleitungsanforderung (Location: https://~) zu erhalten. Erst damit würde er, wie oben beschrieben, von vorne anfangen.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:07:54 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878 <p>Wird ein HSTS'Header gesendet, holt sich der Browser spontan die HTTPS'Seite ohne daß da serverseitig eine Umleitung geschaltet ist.</p> <p>MFG</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 10:59:56 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765876#m1765876 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765876#m1765876 <p>Hello,</p> <blockquote> <p>Hallo,</p> <blockquote> <blockquote> <p>wenn ich http://openstreetmap.de aufrufe, werde ich automatisch auf den https-Anschluss umgeleitet.</p> </blockquote> <p>Interessant, also zensiert schon der Browser die Zugriffe http, obwohl die Antwort unter https sicher sein könnte?</p> </blockquote> <p>da zensiert niemand etwas. Der Server leitet einfach von http auf https um.</p> </blockquote> <p>Könnten wir uns auf eine andere Formulierung einigen?</p> <p>Der Server sendet dem Browser eine Umleitungsanforderung. Die Umleitung findet also nicht serverintern statt, sondern über einen Roundturn mif dem Client.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:12:15 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765880#m1765880 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765880#m1765880 <p>Hallo Tom,</p> <p>stimmt. Ich habe folgendes in meiner .htaccess stehen:</p> <pre><code class="block">RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Da wird dann ein Zugriff auf http://… mit einem <code>Moved Permanent</code> auf https weitergeleitet.</p> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:13:06 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765881#m1765881 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765881#m1765881 <p>Hello,</p> <blockquote> <blockquote> <p>Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) <strong>überhaupt nicht zuzulassen</strong>.</p> </blockquote> <p><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security" rel="nofollow noopener noreferrer">Nein</a>.</p> </blockquote> <p>Doch!</p> <p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p> <p>Dafür, dass die das in dem von Dir verlinkten Dokument etwas verschwurbelt darstellen, kann ich nichts ;-)</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:26:02 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765891#m1765891 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765891#m1765891 <p>Hello,</p> <blockquote> <p>Wird ein HSTS'Header gesendet, holt sich der Browser spontan die HTTPS'Seite ohne daß da serverseitig eine Umleitung geschaltet ist.</p> </blockquote> <p>Nee, denn HSTS ist ein <strong>Response</strong>Header.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:14:03 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765882#m1765882 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765882#m1765882 <p>Tach!</p> <blockquote> <p>Jetzt wird die Karte auch unter http://shanty-fsd.de nicht gezeigt.</p> </blockquote> <p>Liegt aber an einem Programmierfehler deinerseits. Das Javascript steigt mit einer Fehlermeldung aus. Hättest du auch selbst in der Konsole sehen können.</p> <p>dedlfix.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:15:36 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765883#m1765883 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765883#m1765883 <p>Hallo,</p> <p>beide Varianten liefern</p> <p>Laden fehlgeschlagen für das <script> mit der Quelle "http://shanty-fsd.de/css/leaflet.js". shanty-fsd.de:187:1</p> <p>bzw.</p> <p>Laden fehlgeschlagen für das <script> mit der Quelle "https://shanty-fsd.de/css/leaflet.js". shanty-fsd.de:187:1</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:17:56 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765885#m1765885 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765885#m1765885 <p>Hello,</p> <blockquote> <p>Hallo Tom,</p> <p>stimmt. Ich habe folgendes in meiner .htaccess stehen:</p> <pre><code class="block">RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Da wird dann ein Zugriff auf http://… mit einem <code>Moved Permanent</code> auf https weitergeleitet.</p> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Mhh, technisch machbar, aber:</p> <p>Ja mit einem komplexen Proxy. Damit kann man per HTTP über diesen Proxy auf HTTPS-Seiten (i. d. R. <strong>fremde</strong>) zugreifen.</p> <p>Was würde Dir das serverintern nützten, wenn die Client-Server-Verbindung ohne TLS läuft?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:17:57 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765886#m1765886 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765886#m1765886 <blockquote> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Nein.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:23:31 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765890#m1765890 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765890#m1765890 <p>Tach!</p> <blockquote> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Nein, weil der Client den Request starten muss.</p> <p>dedlfix.</p> .htaccess Thu, 27 Feb 20 16:34:36 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765913#m1765913 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765913#m1765913 <p>Hallo Jürgen,</p> <p>habe ich in meine .htaccess übernommen:</p> <pre><code class="block">DirectoryIndex index.php index.htm index.html RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Wenn ich dem FF shanty-fsd.de eingebe, kommt http://shanty-fsd.de/</p> <p>Was ist falsch?</p> <p>Gruß, Linuchs</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:16:08 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765884#m1765884 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765884#m1765884 <blockquote> <p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p> </blockquote> <p>Nein. Das, was Du beschreibst, ist seit einiger Zeit das Standardverhalten gängiger Clients. HSTS bewirkt etwas anderes. Nämlich das, was im Link beschrieben wird.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:23:24 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765889#m1765889 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765889#m1765889 <blockquote> <p>Liegt aber an einem Programmierfehler deinerseits.</p> </blockquote> <p>Oh ja, danke für den Hinweis.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:19:16 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765887#m1765887 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765887#m1765887 <p>Hello,</p> <blockquote> <blockquote> <p>Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.</p> </blockquote> <p>Nein. Das, was Du beschreibst, ist seit einiger Zeit das Standardverhalten gängiger Clients. HSTS bewirkt etwas anderes. Nämlich das, was im Link beschrieben wird.</p> </blockquote> <p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p> <p>Das Ganze erinnert mich an eine Person, die steif und fest behauptet hat, man könne aus zwei vorhandenen IPv4 nicht das kleinste gemeinam mögliche Netz bestimmen, wenn es eines gibt. ;-p</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:22:03 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765888#m1765888 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765888#m1765888 <blockquote> <p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p> </blockquote> <p>Im Grunde, was <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878" rel="noopener noreferrer">pl umgangssprachlich und knapp formuliert hat</a>.</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:27:37 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765892#m1765892 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765892#m1765892 <p>Hello,</p> <blockquote> <blockquote> <p>So, und was wird da anderes beschrieben, als ich auf Deutsch beschrieben habe?</p> </blockquote> <p>Im Grunde, was <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765878#m1765878" rel="noopener noreferrer">pl umgangssprachlich und knapp formuliert hat</a>.</p> </blockquote> <p>Nee, denn HSTS ist ein Response-Header.<br> Wird der per http (also ohne TLS) gesendet, soll der Browser ihn sogar ignorieren.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:40:42 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765897#m1765897 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765897#m1765897 <p>Hallo,</p> <blockquote> <blockquote> <p>Gibt es eigentlich eine Möglichkeit, per .htaccess die Weiterleitung direkt im Server ablaufen zu lassen?</p> </blockquote> <p>Nein, weil der Client den Request starten muss.</p> </blockquote> <p>Danke.</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:38:31 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765895#m1765895 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765895#m1765895 <p>Hallo Tom,</p> <p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 11:59:31 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765899#m1765899 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765899#m1765899 <p>Hello,</p> <blockquote> <p>Hallo Tom,</p> <p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p> </blockquote> <p>... und damit auch alle darin enthaltenen Links.</p> <p>Wo merkt sich der Browser diese HSTS-Anforderung nebst Gültigkeitsdauer?</p> <p>Was ist mit komplexen HTTPS-Proxies? Wie kann man die als Client erkennen?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 12:11:11 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765900#m1765900 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765900#m1765900 <p>Hallo Tom,</p> <blockquote> <blockquote> <p>der Strict Transport Security-Header bewirkt im Browser, das die Seite nach dem ersten Aufruf nur noch per https aufgerufen werden kann. Nur beim ersten Mal oder nach Ablauf der in max-age festgelegten Zeit kann er auch unter http ausgeliefert werden.</p> </blockquote> <p>... und damit auch alle darin enthaltenen Links.</p> </blockquote> <p>der Strict Transport Security-Header macht nur bei Seiten Sinn, die per https ausgeliefert werden. Darin enthaltene Links sollten auch auf https basieren. Aber wenn aus so einer Seite auf http verlinkt wird, wird die verlinkte Seite eben auch so aufgerufen und es gelten mögliche 301-Weiterleitungen auf https oder eben HSTS.</p> <blockquote> <p>Wo merkt sich der Browser diese HSTS-Anforderung nebst Gültigkeitsdauer?</p> </blockquote> <p>Ich vermute, im Benutzerprofil.</p> <blockquote> <p>Was ist mit komplexen HTTPS-Proxies? Wie kann man die als Client erkennen?</p> </blockquote> <p>Wenn die einen HSTS-Header senden, wird beim nächsten mal die Seite per https Aufgerufen.</p> <p>Ich habe Strict Transport Security so verstanden, das dem Browser mitgeteilt wird, die Seite in Zukunft nur noch per https aufzurufem, egal was der User ins Adressfeld tippt oder was im href von Links steht.</p> <p>Gruß<br> Jürgen</p> Umstellung auf https: Die http-Welt ist auf einmal verschlossen Thu, 27 Feb 20 16:23:41 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765912#m1765912 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765912#m1765912 <blockquote> <p>Ich habe Strict Transport Security so verstanden, das dem Browser mitgeteilt wird, die Seite in Zukunft nur noch per https aufzurufem, egal was der User ins Adressfeld tippt oder was im href von Links steht.</p> </blockquote> <p>So kann man es IMHO formulieren, auch wenn es analog RolfPlHotteHorsts Ausführungen nicht ganz sauber dargelegt ist, zusammenfassen.</p> <p>Aber ja, das ist letztlich die Idee hinter der Nummer, auch wenn TS das anders sieht und irgendwie versucht, sein Geschwurbel noch als fachlich fundiert hinzubiegen.</p> <p>Aber klar, <a href="https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765881#m1765881" rel="noopener noreferrer">MDN hat es verschwurbelt formuliert</a>. LOL</p> <p>Fun fact dabei ist, dass es der Google Chrome dann sogar als internen HTTP 307 im Netzwerkpanel protokolliert. Erscheint mir stimmig.</p> .htaccess Thu, 27 Feb 20 16:52:35 Z https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765917#m1765917 https://forum.selfhtml.org/self/2020/feb/27/umstellung-auf-https-die-http-welt-ist-auf-einmal-verschlossen/1765917#m1765917 <p>Hallo,</p> <blockquote> <p>habe ich in meine .htaccess übernommen:</p> <pre><code class="block">DirectoryIndex index.php index.htm index.html RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L] </code></pre> <p>Wenn ich dem FF shanty-fsd.de eingebe, kommt http://shanty-fsd.de/</p> <p>Was ist falsch?</p> </blockquote> <p>ich habe vom Servergeschäft zu wenig Ahnung, da müssen andere ran. Ich kann nur sagen "Bei mir funktionierts.", aber das hilft dir nicht wirklich.</p> <p>Gruß<br> Jürgen</p>