Antwort schreiben

Übersicht Sonstiges Portal
Nachricht
Benutzername


Folgendes Feld dient zur Überprüfung, ob du ein Mensch bist. Bitte beantworte die Frage wahrheitsgemäß, da du sonst als Bot abgestempelt werden könntest:
Ich bin ein Bot.
Ich bin kein Bot.
Ich bin nicht mal ein Mensch.
Titel
Very Happy Smile Sad Surprised Shocked Confused Cool Laughing Mad Razz Embarassed Crying or Very sad Evil or Very Mad Twisted Evil Rolling Eyes Wink Exclamation Question Idea Arrow Weitere...

Schriftfarbe: Schriftgröße:

Tipp: Styles können schnell zum markierten Text hinzugefügt werden.

Text
Optionen
HTML ist aus
BBCode ist an
Smilies sind an
BBCode in diesem Beitrag deaktivieren
Smilies in diesem Beitrag deaktivieren

Xeres
Verfasst am: So, Nov 13, 2016 21:29
Geht leider nicht so generell.
Ich habe die blitzforum.de URLs angepasst, aber bei direktlinks von externen Seiten müssen diese https unterstützen.
Bei spezifische Seiten im Portal die nicht sowieso schon 10 Jahre auf dem Buckel haben, lasse ich mich zu fixes überreden.
Silver_Knee
Verfasst am: So, Nov 13, 2016 20:03
Coole Sache. Vielleicht könnt ihr auch die direkt gelinkten Bilder mit ner 302 Found / Location:-Weiterleitung abwärtskompatibel machen.
DAK
Verfasst am: Do, Sep 29, 2016 9:38
Sehr cool! Danke für die Arbeit!
Xeres
Verfasst am: Mo, Sep 26, 2016 20:15
Danke für den Hinweis.
Heise.de macht ähnliches durch - immerhin scheinen wir in guter Gesellschaft zu sein.

Edit:
Cookie Einstellung angepasst, Umleitungen sollten direkt auf https gehen.
#Reaper
Verfasst am: Mo, Sep 26, 2016 18:53
+1 *thumbs-up*
Very Happy

Großes Danke dafür!

(Ein kleiner "Fehler" ist mir aufgefallen: Nach dem erfolgreichen Login wird man kurz auf http../forum umgeleitet und davon wieder direkt auf https.)
Thunder
Verfasst am: So, Sep 25, 2016 22:16
Wow Very Happy Danke sehr, Xeres Exclamation
Es erwärmt mein Herz www.blitzforum.de mit vorangehendem https:// zu sehen (und mit grünem Schloss)

Hoffentlich macht es keine Probleme.
Dann können sich die einen darüber freuen, und die, die es nicht interessiert, merken kaum einen Unterschied.
Und wenn das auto-update von Let's Encrypt funktioniert, ist der Aufwand für den Admin auch überschaubar glaube ich.

Danke nochmal Smile
TimBo
Verfasst am: So, Sep 25, 2016 17:26
+1
Xeres
Verfasst am: So, Sep 25, 2016 15:13
- Ein Let's Encrypt Zertifikat ist am start
- Alle Anfragen werden auf https umgeleitet
- Ich habe diverse explizite http Links korrigiert - direkt von extern verlinkte Bilder ohne https werden nicht mehr angezeigt (je nach Browser)

Gebt hier Bescheid, wenn euch Fehler wegen Protokollunterschieden auffallen - ich kümmere mich dann darum.

Danke!
hamZta
Verfasst am: Mi, Dez 09, 2015 19:42
Wenn ich die nächsten Tage mal etwas frei hab werd ich mich um ein Zertifikat kümmern - mit Let's Encrypt ist das ja, wie schon gesagt wurde, problemlos.
TimBo
Verfasst am: Mi, Dez 09, 2015 11:14
bei der Vereinswebsite gibt es keinen Login. Daher ist https nicht zwingend notwendig.
Jan_
Verfasst am: Mi, Dez 09, 2015 9:23
warum ist die Frage etwa nicht legetim?
Thunder
Verfasst am: Mi, Dez 09, 2015 0:16
@Jan_: Troll?
Jan_
Verfasst am: Di, Dez 08, 2015 17:16
https://www.sparkfountain.de/ --> keine sichere Verbindung -ohoh
https://www.reapers-page.de/ --> keine sichere Verbindung -ohoh
https://projektworks.de/ --> nicht vorhanden
https://favouritesoft.bplaced.net/ --> nicht vorhanden
https://sk1980gernsheim.de/ --> nicht vorhanden

was ist denn da los, warum haben eure Seiten kein HTTPS?
Thunder
Verfasst am: Mo, Dez 07, 2015 10:51
@Spark Fountain: Eingeproggt hat das sehr schön zusammengefasst. Aber ich muss hinzufügen: Selbst wenn du die MD5-Hashes überträgst ist das eine Schwachstelle, denn jeder Server/Router, der meine Anfrage weiterleitet, kann mein md5-Passwort auslesen.

Damit weiß ein Angreifer zwar nicht direkt mein Passwort aber er kann sich als ich einloggen, was schon schlimm genug ist. Auf blitzforum.de ist das vielleicht nicht sooo schlimm. Ich finde es halt doof, deswegen hab ich es angesprochen.

Es geht einfach nichts über RSA mit DHE Very Happy
Das ist dann Sicherheit bis Min(in alle Ewigkeit, zum Quantencomputer).
TimBo
Verfasst am: Sa, Dez 05, 2015 16:13
wie wäre es hiermit ?
https://letsencrypt.org/

sorry habe jetzt erst den Beitrag von Xeres gelesen Embarassed
Eingeproggt
Verfasst am: Sa, Dez 05, 2015 12:29
Nicht ganz Mathias,
Username und Passwort werden unverschlüsselt "übers Netz" gesendet, das heißt jeder "Zwischenpunkt" kann die Daten auslesen und damit machen was er will. Das geht also über den eigenen Rechner hinaus.

Schau es dir in Wireshark an wenn du willst, ist ein nettes Tool. Bei mir steht da zB:
Code: [AUSKLAPPEN]
redirect=..%2Fupload%2F&username=eingeproggt&password=dasdarfniemandsehen&login=Senden


Wenn MD5 am Server berechnet wird (und ja, wird es), dann ist der Weg vom eigenen Rechner zum Server immer noch unsicher. Darum gehts in dem Thread Wink

mfG, Christoph
Mathias-Kwiatkowski
Verfasst am: Sa, Dez 05, 2015 0:50
Thunder:
Zitat:
Spark Fountain hat Folgendes geschrieben:
So ein SSL-Zertifikat kriegt man zwar sehr preiswert, aber wäre das wirklich sinnvoll?

Ich find's uncool, wenn meine Passwörter unverschlüsselt übertragen werden. Weiß nicht wie du das siehst Razz


soweit ich weiss wird dein passwort als md5 hash am server übergeben, also kein nennenswerten grund zur panik Very Happy sei den du hast unter 6 zeichen. oder waren es 9...

PS ... ja dein pw kann nur bei dir aufm rechner gefischt werden, falls du unsichere türen hast, der rest wird artgerecht md5 verschlüsselt.
#Reaper
Verfasst am: Fr, Dez 04, 2015 23:32
Let's Encrypt
ist nun in der öffentlichen Beta und funktioniert nun. Im Grunde also eigentlich wohl benutzbar. Erstellt und beglaubigt können Zertifikate einfach mit einem Tool/Client von Let's Encrypt. Die Certs laufen aktuell 90 Tage und können dann (demnächst?) automatisiert erneuert werden.
Wie wärs damit? So als kleines Weihnachts- oder Nikolausgeschenk? Very Happy

(Ich würde euch es ja schenken, aber hier kann ich nichts ausrichten. Wink)
BtbN
Verfasst am: Fr, Sep 18, 2015 23:40
WoSign certs laufen bis zu 3 Jahre, auch die kostenlosen, für bis zu 10 Domains in einem Cert.
Gibt eigentlich keinen Grund, das nicht zu nutzen. Man muss nur OCSP Stapling konfigurieren, sonst sind die OCSP Server in China ein wenig träge.
Xeres
Verfasst am: Fr, Sep 18, 2015 21:12
Wenn https://letsencrypt.org/ ende des Jahres am Start ist (und alle browserhersteller mit dabei sind) sollte das machbar sein.

Powered by phpBB © 2001 - 2006, phpBB Group