Xeres Verfasst am: So, Nov 13, 2016 21:29 |
---|
Geht leider nicht so generell.
Ich habe die blitzforum.de URLs angepasst, aber bei direktlinks von externen Seiten müssen diese https unterstützen. Bei spezifische Seiten im Portal die nicht sowieso schon 10 Jahre auf dem Buckel haben, lasse ich mich zu fixes überreden. |
Silver_Knee Verfasst am: So, Nov 13, 2016 20:03 |
Coole Sache. Vielleicht könnt ihr auch die direkt gelinkten Bilder mit ner 302 Found / Location:-Weiterleitung abwärtskompatibel machen. |
DAK Verfasst am: Do, Sep 29, 2016 9:38 |
Sehr cool! Danke für die Arbeit! |
Xeres Verfasst am: Mo, Sep 26, 2016 20:15 |
Danke für den Hinweis.
Heise.de macht ähnliches durch - immerhin scheinen wir in guter Gesellschaft zu sein. Edit: Cookie Einstellung angepasst, Umleitungen sollten direkt auf https gehen. |
#Reaper Verfasst am: Mo, Sep 26, 2016 18:53 |
+1 *thumbs-up*
![]() Großes Danke dafür! (Ein kleiner "Fehler" ist mir aufgefallen: Nach dem erfolgreichen Login wird man kurz auf http../forum umgeleitet und davon wieder direkt auf https.) |
Thunder Verfasst am: So, Sep 25, 2016 22:16 |
Wow ![]() ![]() Es erwärmt mein Herz www.blitzforum.de mit vorangehendem https:// zu sehen (und mit grünem Schloss) Hoffentlich macht es keine Probleme. Dann können sich die einen darüber freuen, und die, die es nicht interessiert, merken kaum einen Unterschied. Und wenn das auto-update von Let's Encrypt funktioniert, ist der Aufwand für den Admin auch überschaubar glaube ich. Danke nochmal ![]() |
TimBo Verfasst am: So, Sep 25, 2016 17:26 |
+1 |
Xeres Verfasst am: So, Sep 25, 2016 15:13 |
- Ein Let's Encrypt Zertifikat ist am start
- Alle Anfragen werden auf https umgeleitet - Ich habe diverse explizite http Links korrigiert - direkt von extern verlinkte Bilder ohne https werden nicht mehr angezeigt (je nach Browser) Gebt hier Bescheid, wenn euch Fehler wegen Protokollunterschieden auffallen - ich kümmere mich dann darum. Danke! |
hamZta Verfasst am: Mi, Dez 09, 2015 19:42 |
Wenn ich die nächsten Tage mal etwas frei hab werd ich mich um ein Zertifikat kümmern - mit Let's Encrypt ist das ja, wie schon gesagt wurde, problemlos. |
TimBo Verfasst am: Mi, Dez 09, 2015 11:14 |
bei der Vereinswebsite gibt es keinen Login. Daher ist https nicht zwingend notwendig. |
Jan_ Verfasst am: Mi, Dez 09, 2015 9:23 |
warum ist die Frage etwa nicht legetim? |
Thunder Verfasst am: Mi, Dez 09, 2015 0:16 |
@Jan_: Troll? |
Jan_ Verfasst am: Di, Dez 08, 2015 17:16 |
https://www.sparkfountain.de/ --> keine sichere Verbindung -ohoh
https://www.reapers-page.de/ --> keine sichere Verbindung -ohoh https://projektworks.de/ --> nicht vorhanden https://favouritesoft.bplaced.net/ --> nicht vorhanden https://sk1980gernsheim.de/ --> nicht vorhanden was ist denn da los, warum haben eure Seiten kein HTTPS? |
Thunder Verfasst am: Mo, Dez 07, 2015 10:51 |
@Spark Fountain: Eingeproggt hat das sehr schön zusammengefasst. Aber ich muss hinzufügen: Selbst wenn du die MD5-Hashes überträgst ist das eine Schwachstelle, denn jeder Server/Router, der meine Anfrage weiterleitet, kann mein md5-Passwort auslesen.
Damit weiß ein Angreifer zwar nicht direkt mein Passwort aber er kann sich als ich einloggen, was schon schlimm genug ist. Auf blitzforum.de ist das vielleicht nicht sooo schlimm. Ich finde es halt doof, deswegen hab ich es angesprochen. Es geht einfach nichts über RSA mit DHE ![]() Das ist dann Sicherheit bis Min(in alle Ewigkeit, zum Quantencomputer). |
TimBo Verfasst am: Sa, Dez 05, 2015 16:13 |
wie wäre es hiermit ?
https://letsencrypt.org/ sorry habe jetzt erst den Beitrag von Xeres gelesen ![]() |
Eingeproggt Verfasst am: Sa, Dez 05, 2015 12:29 |
Nicht ganz Mathias,
Username und Passwort werden unverschlüsselt "übers Netz" gesendet, das heißt jeder "Zwischenpunkt" kann die Daten auslesen und damit machen was er will. Das geht also über den eigenen Rechner hinaus. Schau es dir in Wireshark an wenn du willst, ist ein nettes Tool. Bei mir steht da zB: Code: redirect=..%2Fupload%2F&username=eingeproggt&password=dasdarfniemandsehen&login=Senden
Wenn MD5 am Server berechnet wird (und ja, wird es), dann ist der Weg vom eigenen Rechner zum Server immer noch unsicher. Darum gehts in dem Thread ![]() mfG, Christoph |
Mathias-Kwiatkowski Verfasst am: Sa, Dez 05, 2015 0:50 |
Thunder:
Zitat: Spark Fountain hat Folgendes geschrieben:
So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll? Ich find's uncool, wenn meine Passwörter unverschlüsselt übertragen werden. Weiß nicht wie du das siehst Razz soweit ich weiss wird dein passwort als md5 hash am server übergeben, also kein nennenswerten grund zur panik ![]() PS ... ja dein pw kann nur bei dir aufm rechner gefischt werden, falls du unsichere türen hast, der rest wird artgerecht md5 verschlüsselt. |
#Reaper Verfasst am: Fr, Dez 04, 2015 23:32 |
Let's Encrypt
ist nun in der öffentlichen Beta und funktioniert nun. Im Grunde also eigentlich wohl benutzbar. Erstellt und beglaubigt können Zertifikate einfach mit einem Tool/Client von Let's Encrypt. Die Certs laufen aktuell 90 Tage und können dann (demnächst?) automatisiert erneuert werden. Wie wärs damit? So als kleines Weihnachts- oder Nikolausgeschenk? ![]() (Ich würde euch es ja schenken, aber hier kann ich nichts ausrichten. ![]() |
BtbN Verfasst am: Fr, Sep 18, 2015 23:40 |
WoSign certs laufen bis zu 3 Jahre, auch die kostenlosen, für bis zu 10 Domains in einem Cert.
Gibt eigentlich keinen Grund, das nicht zu nutzen. Man muss nur OCSP Stapling konfigurieren, sonst sind die OCSP Server in China ein wenig träge. |
Xeres Verfasst am: Fr, Sep 18, 2015 21:12 |
Wenn https://letsencrypt.org/ ende des Jahres am Start ist (und alle browserhersteller mit dabei sind) sollte das machbar sein. |
Powered by phpBB © 2001 - 2006, phpBB Group