AIA - Alteisentreiber IG Austria

Huhu
Kutt hat gebastelt, erkennbar am grünen Schloss oben in der Adressleiste:

kutt hat geschrieben:Ich hab mich mal um die ganze SSL Sache gekümmert.
...
Die Verschlüsselung sollte ohne die Warnung, daß die Seite unsicher ist, funktionieren.

Das gilt (...) für alle Seiten auf dem Server.
Die https:// Seiten sollten hoffentlich alle ohne Zertifikatfehler laufen und mit etwas Glück auch ein grünes Schloß zeigen:
(...)
Ich bin mir noch nicht sicher, ob das schon wirklich überall gegriffen hat.
Wer Unregelmäßigkeiten feststellt, bitte melden.

Eine Unregelmäßigkeit in der Konfiguration vom Apache-Server ruft folgende Seite auf:
http://94.247.40.242/
Das dient der Fehleridentifikation

Gryße!
Andreas, der motorang

Der Dank mit Dir ist, großer Kutt.

Jou, mal wieder Zeit für ein Danke hinter die Kulissen

Super!
Wär ja schon längst mal fällig gewesen.
Außerdem straft Google Seiten ohne SSL ab, forum.motorang.com würde ohne SSL in den Suchergebnissen weiter hinten landen.

Etwas unschön:
https://forum.motorang.com/viewtopic.php?f=1&t=15527 "Teile dieser Seite sind nicht sicher. Dies können z.B. Grafiken sein."

mein Kaspari hat die AiA Seite als unsicher klassifiziert
hat sich wohl die Fotos der Teilnehmer angeguckt

Meine HP (http://www.motorang.com) ist unsicher, also ohne htpps.

Nur die Subdomain, auf der das Forum läuft, hat htpps.

Andererseits lade auf meiner HP ausschließlich ich selber Zeug hoch. Das ist mir sicher genug.

Gryße!
Andreas, der motorang

Die "unsichere" Resource könnte Kutt-gruebel.gif sein (Quelltext #390).

motorang hat geschrieben:Meine HP (http://www.motorang.com) ist unsicher, also ohne htpps.
...
Andererseits lade auf meiner HP ausschließlich ich selber Zeug hoch. Das ist mir sicher genug.

Die SSL-Verschlüsselung (mit https://) ist vor Allem für Deine Leser da.
Ohne kann jeder ganz leicht im gesamten Netzwerk, auf dem Weg vom Endgerät bis hin zum motorang-Server, mitlesen, auch die Anmeldedaten (das Login).
Mit SSL ist das nicht mehr ganz so leicht.

Außerdem straft Google Seiten ohne SSL ab, motorang.com landet ohne SSL in den Suchergebnissen weiter hinten.

Bei vielen Bilder-Links, auch Avatar-Bildchen, auf externe Server steht im URL-Tag [ url]http://..[ /url] "und nicht "[ url]https://..[ /url] " .
SSL wird ja auch immer noch nicht auf allen Servern angeboten.
Dann beschwert sich der Browser über die nicht komplett verschlüsselte Seite.
Das ist zwar unschön, aber nicht wirklich unsicher.

Bilder usw., die hier im Forum liegen, werden korrekt über SSL ausgeliefert.

Hallo!

Ja klar, wir haben wir kein Zertifikats-Problem, sondern eben "mixed content", wenn externe Ressourcen aus nicht-SSL-Quellen eingebunden werden. Dagegen dürfte wenig bis nichts zu machen sein in einem Forum, wo jeder alles von überall einbinden kann (ob er darf, ist nochmal 'was anderes ).

Das klingt zunächst weniger kritisch, ich habe jedoch schon Fälle erlebt, wo externe Ressourcen durch 'was ganz Anderes ersetzt oder drauf umgeschrieben wurden - insofern ist die Sorge der Browser-Hersteller schon nachvollziehbar.

Cheers, Langer

Thomas Heyl hat geschrieben:wenn externe Ressourcen aus nicht-SSL-Quellen eingebunden werden. Dagegen dürfte wenig bis nichts zu machen sein in einem Forum, wo jeder alles von überall einbinden kann.

Dagegen kann man schon was machen, auch für die bereits vorhandenen extern verlinkten Bilder, sogar wenn die nicht über SSL angeboten werden.
Es wird aber mehr oder weniger aufwendig.

Muß man aber nicht machen, dann sehen wir halt die unschöne Browser-Warnung.
Bei einem Kunden-Projekt würde das nicht gehen, hier stört es mich kaum bis gar nicht, die wichtigsten Sachen laufen ja jetzt über SSL.

hallo

jep super....lets enrypt machts da ziemlich einfach. vorallem relativ "kostenneutral"

zum thema mixed content...
ja das ist in foren ein problem. dagegen kann man nicht viel machen wenn user drauf sind....die bösen bösen user machen halt meistens irgendwas
,,so nach dem motto ...bei mir gehts , das soll jetzt kein vorwurf sein, nicht jeder muss das wissen,,,

leider kann man in den url tags nicht die alternative syntax für protokollneutrale links angeben. so wie Hier beschrieben...

gruss
markus

leider kann man in den url tags nicht die alternative syntax für protokollneutrale links angeben. so wie Hier beschrieben...

das könnte man aber reinhacken.
ist halt die frage wer das bei den updates mitzieht und auch bereits bestehende links müssten so hergerichtet werden...
mex

Protokollneutrale links könnten auch updatesicher gemacht werden, die liegen doch in der Datenbank.
In diesem Fall find ich sie aber eher nicht brauchbar.

Weil leider viele Server eine NON-SSL Ressource nicht auch per SSL ausliefern, sondern was anderes zurückgeben, vielleicht eine Error-page.
Damit wäre zwar der Browser zufrieden (grünes Schloss-Symbol), das vielleicht interessante Bild ist aber weg.

Wie gesagt, das könnte man alles fixen, ist aber aufwendig.

hallo

naja...DIE lösung ist es nicht, vorallem nicht für die vergangenheit. da ist basteln angesagt...und den aufwand würde ich mir in diesem forum sparen.
es gibt da noch viele gemeinheiten wenn z.b der hsts header (HTTP Strict Transport Security ) gesetzt ist. (bei externen links oder im forum)

ein sinnvoller vorschlag ist es jedenfalls den usern irgenwie klar machen das sie nur noch https links einbinden sollen.

genauso mühseelig ist es die url tags so anzupassen das es klappt...klar gefunden und reingebastelt ists vermutlich schnell (hab nicht danach gesucht daher vermutung)
aber dann muss man es halt upstream posten das es mal in ein update reinfliesst...irgendwer hat was dagegen und es wird nie eingebaut...somit hat man bei jedem update ein gebastel...
nein nein....das würd ich lassen

trozdem.
super das es https geht

gruss
markus