Es freut mich riesig das nun etwas mehr Bewegung in Richtung Crypto geht! :thumb:
Danke schon mal an ALLE Beteiligten!
Es freut mich riesig das nun etwas mehr Bewegung in Richtung Crypto geht! :thumb:
Danke schon mal an ALLE Beteiligten!
Punkt 1 würde vermutlich schon eine ganze Menge bringen.
Die zweite Hälfte von Punkt 2 müsst ich mal wieder überprüfen. ... schnelltest: Aus der PE ins TuS gewechselt -> http statt https. Sorry, Punkt 2 funktioniert noch nicht überall.
Punkt 3 ließe sich wahrscheinlich mit wenig Aufwand bis auf die Thread-Übersichtsseiten erweitern. Im Thread selbst, wirds vermutlich schwer. (Siehe unten)
Punkt 1 wäre n Streitpunkt. Ich würds eher als Service ansehen. Aber ok. Vielleicht könnt ihr ja einfach mal intern ein wenig die Werbetrommel dafür rühren, und dann macht das vielleicht die eine oder andere Netzwerkseite sogar.
Punkt 2 würde sich mit Punkt 1 von selbst erledigen.
Bei Punkt 3 bin ich voll bei dir. Den User-Content komplett auf https um zu stellen ist beinahe unmöglich.
Evtl wäre es möglich, für alle Links zum Upload-Server das http weg zu nehmen, sodass einfach das Protokoll verwendet wird, was gerade zum Aufruf des Forums verwendet wurde. Ruft man dann das Forum per http auf, werden die Inhalte vom Upload-Server auch per http angezeigt, sonst per https. (Setzt natürlich Punkt 1 von oben voraus)
Bei Punkt 1 würde ich persönlich sofort Ja sagen. Aber es gibt ja hier die ganzen Verschlüsselungsgegner.
Solange https wenigstens vernünftig verfügbar ist, und ich es nutzen kann, ist für mich aber schon mal viel gewonnen. Auch wenns nicht der Default ist.
Punkt 2 halte ich für indiskutabel. Damit würden wir das Forum stark kaputt machen.
Insgesamt bin ich aber sehr froh, dass da Bewegung in die Sache geraten ist. Danke dafür.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
Naja, keine Chance ist übertrieben, aber einfach ist's nicht, weil es dazu einer aktiven Entscheidung und Mitwirkung der jeweiligen Webmaster bedarf. Aber ein weiterer Schritt in diese Richtung ist schon mal gemacht: Planet Neverwinter jetzt auch über HTTPS erreichbar. Ich hoffe, dass weitere Webseiten nachziehen werden.
-Have you got anything without spam in it?-
Almalexia sieht und hört gar nichts mehr.
[Bild: Morrowknuff.gif][Bild: woebutton.jpg][Bild: 88x31gruen.jpg] [Bild: Morrowknuff.gif]
~ Morrowind-Hilfe ~ Morrowind-Plugins ~ Neverwinter Nights-Hilfe ~
~ More than cleverness we need kindness. ~
Why did Newton not invent group theory? - Because he wasn't Abel.
"After all, the mark of the truly great was not merely having power, but knowing how and when to use it."
Freut mich, dass ihr nun damit anfangt, https einzuführen.
Wir bieten Zertifikate an, wir richten sie nicht ungefragt ein. Https everywhere muss jeder Client/User selbst einrichten und ist ohne die Webseiten auf der Liste wohl auch ziemlich nutzlos.
Grundsätzlich muss eine Webseite auch kompatibel zu https sein, z.B. CSS, JavaScript und Bilder über diese Protokoll einbinden.
Das ist jetzt übrigens auch gar nicht WoP spezifisch.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
Und welchen nachteil gäbe das ungefragte einrichten?
Ob es jetzt ne Fehlermeldung gibt, dass es kein zertifikat gibt, oder eine warnung, das nicht alle inhalte https unterstützen....
zumal die meisten inhalte auf forum web oder uploadserver liegen sollte und wer möchte kann dann per addon den verweis einrichten. Besser als gar keine Verschlüsselung, oder nicht?
Es gibt unterschiedliche Meinungen dazu wie gut oder schlecht Mixed Content Fehler sind. Wir haben derzeit keine Bestrebungen unseren Webmastern eine Ansicht dazu aufzuzwingen in dem wir alle Webseiten via https zugänglich machen.
Die WoP ist in erster Linie ein hoster; Webmaster müssen auch ihren Teil dazu beitragen. Du kannst sehr sehr gerne bei allen Webmastern persönlich darauf drängen.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
HTTPS Everywhere leitet ja nicht automatisch jede Seite auf HTTPS um, sondern macht das meines Wissens nur bei Seiten, für die es entsprechende Regeln gibt.
Was die Webseitenteams machen müssten, hängt davon ab, wie deren Webseiten bisher eingerichtet sind. Sofern durchgängig relative anstelle von absoluten URLs genutzt werden (z. B. für Hintergrundbilder in Styles, seiteninterne Verlinkungen, Bilder in Artikeln, etc.), dann reicht es größtenteils schon, im CMS die URL der Seite von http://... auf https://... umzustellen und der Großteil der Seite wird dadurch automatisch auf HTTPS "rübergezogen". Ist das hingegen nicht der Fall, dann darf man fleißig hardgecodete, absolute URLs umschreiben.
Wenn ich etwas Zeit habe, gebe ich an anderer Stelle nochmal eine etwas ausführlichere Anleitung dazu.
Das klingt jetzt ein bisschen so als gäbe es hier bisher kein HTTPS. Das ist aber nicht der Fall. Das Forum ist schon lange über HTTPS erreichbar, und auch für einige Webseiten ist das schon länger der Fall. Ein Beispiel dafür ist die Witcher-Webseite, die schon relativ früh damit angefangen hat. Andere Seiten ziehen jetzt halt erst nach bzw. werden das hoffentlich demnächst angehen.
Das ist eine Frage des Prinzips. Bei World of Players entscheiden die Webmaster der jeweiligen Webseiten (ggf. zusammen mit ihren Staffs), wie sie ihre Webseiten betreiben. Das wird nicht "von oben" durch die Administratoren bestimmt. Dazu gehört auch die Entscheidung, ob auf einer Webseite HTTPS genutzt wird oder nicht.
Aus meiner Sicht hätte es zwar keinen Nachteil, wenn eine Webseite nicht nur über HTTP sondern auch über HTTPS erreichbar ist, aber das ist meine Ansicht und manch ein Webmaster mag das vielleicht schon wieder anders sehen. Deshalb werden wir das nicht ungefragt einrichten. Außerdem bringt das nichts, einfach HTTPS einzurichten, wenn die Webseitenstaffs dann ihre Webseiten weiter wie bisher betreiben und Grafiken o. ä. weiterhin über HTTP ausliefern.
Was wir als Administration machen können, ist den Webmastern ein entsprechendes Angebot zum Einrichten von HTTPS zu machen und unsere Unterstützung bei Fragen und Problemen um dieses Thema anzubieten. Das haben wir gemacht und jetzt sind die Webmaster am Zug. Wenn du schneller HTTPS für alle WoP-Webseiten haben möchtest, dann frage bei den Webmastern nach, warum sie noch kein HTTPS nutzen.
-Have you got anything without spam in it?-
Almalexia sieht und hört gar nichts mehr.
[Bild: Morrowknuff.gif][Bild: woebutton.jpg][Bild: 88x31gruen.jpg] [Bild: Morrowknuff.gif]
~ Morrowind-Hilfe ~ Morrowind-Plugins ~ Neverwinter Nights-Hilfe ~
~ More than cleverness we need kindness. ~
Why did Newton not invent group theory? - Because he wasn't Abel.
"After all, the mark of the truly great was not merely having power, but knowing how and when to use it."
Dann tut es mir leid, dass es sich so anhört. Das sollte es nicht.
Selbst wenn das Forum über HTTPS erreichbar ist, kommt man früher oder später durch einen alten Link oder durch aktuelle Verlinkungen auf HTTP zurück. Daher habe ich mich gefreut, dass nun einige Webseiten nachziehen und das weitere Webseiten ebenfalls machen werden.
1. Ohne Zertifikat läuft eh nichts über https, daher gibt das eh keine Fehlermeldung, die umgehbar wäre
2. Schau dir mal eine beliebige Nachricht auf der Seite der Süddeutschen Zeitung (sz.de) via https an. Hier muss man leider sagen, dass aufgrund des zerschossenen Layouts http besser ist als https, daher braucht man auch jemanden der das vernünftig konfigurieren kann.
Und wo wir bei vernünftig seid...
Warum nutzt das Forum eigentlich, wenn der Handshake zu einem Schlüsselaustausch via DHE führt nur einen 1024 Bit DHE-Schlüssel mit nicht-individualisierten Parametern?
Ja, https-everywhere funktioniert via Whitelist, es gab mal ein AddOn für den Firefox, dass erst eine Verbindung via https versucht hat und wenn es keine Fehlermeldung gab angeboten hat, eine Regel für https-everywhere zu erstellen. Funktioniert leider seit Jahren nicht mehr.
Müsste eigentlich mit einer upgrade request in neueren Browsern auch funktionieren, ohne alle http:// durch https:// zu erstezen.Was die Webseitenteams machen müssten, hängt davon ab, wie deren Webseiten bisher eingerichtet sind. Sofern durchgängig relative anstelle von absoluten URLs genutzt werden (z. B. für Hintergrundbilder in Styles, seiteninterne Verlinkungen, Bilder in Artikeln, etc.), dann reicht es größtenteils schon, im CMS die URL der Seite von http://... auf https://... umzustellen und der Großteil der Seite wird dadurch automatisch auf HTTPS "rübergezogen". Ist das hingegen nicht der Fall, dann darf man fleißig hardgecodete, absolute URLs umschreiben.
Die Mathematik ist das Alphabet, mit dem Gott die Welt geschrieben hat.
Die Natur ist in der Sprache der Mathematik geschrieben.
Galileo Galilei
Die Logik ist die Hygiene, deren sich der Mathematiker bedient, um seine Gedanken gesund und kräftig zu erhalten.
Weyl
Ist in Arbeit.
Korrekt. Es gibt Links im Forum die von der Software selbst erzeugt werden und diese sind korrekt. Es gibt aber auch Links die von Usern (in diesem Fall Admins, aber auch Forenstyle-Maintainern) eingefuegt werden. Davon wird es zillionen geben. Bei manchen lohnt sich das anpassen bei anderen eher nicht. Der Link ist jedenfalls gemeldet.
Mehr oder weniger erledigt. Es liegt hauptsächlich daran dass der upload server keine https Links erzeugt. Bis dahin müsste dann jemand hinter allen Mods & Admins aufräumen. Oder man wartet eben noch ein bisschen.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
Der Upload-Server ist ab sofort umgestellt und nur noch über https erreichbar. Links werden als https ausgegeben, Bilder/Dateien sind aber auch über eine ungesicherte Verbindung erreichbar. Inwiefern wir bestehende Links im forum 'upgraden' können müssen wir mal schauen.
Desweiteren haben die letzen Tage einige Netzwerkseiten nachgezogen, so dass inzwischen die Hälfte auf https umgestellt hat.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
[Bild: testteam7qxsf.png]
The Reaper are there! and Anti SURVEILLANCE!
Die Reaper sind da! und Gegen ÜBERWACHUNG!
Einfach so geht das leider nicht, da versagt sogar mein "Nutzerfreundliches" AddOn :/
Aber mit einer kleinen httpsEverywhere-Regel funktioniert es wunderbar Besten dank dafür.
Kann man hier im auf der Seite wunderbar mit Thoronadors Signatur Testen: [Bild: Morrowknuff.gif] ist in der Sig via http drin, wird bei mir via https geladen
Dann möchte ich aber nochmal auf die schwachen DHE-Parameter hinweisen (nur 1024Bit für den Key-Exchange und common DH primes). Ist zwar für (wahrscheinlich) keinen relevanten Browser von Bedeutung, aber muss doch dennoch nicht sein oder?
Edit: Achja und finden sich hier noch andere hosts außer
forum.worldofplayers.de
ow.worldofplayers.de
upload.worldofplayers.de
Die Mathematik ist das Alphabet, mit dem Gott die Welt geschrieben hat.
Die Natur ist in der Sprache der Mathematik geschrieben.
Galileo Galilei
Die Logik ist die Hygiene, deren sich der Mathematiker bedient, um seine Gedanken gesund und kräftig zu erhalten.
Weyl
Inzwischen ist es auch in der Signatur via HTTPS drin. Das war der einzige Punkt in der Signatur, der noch auf HTTPS umgestellt werden musste.
Das betrifft laut SSL Labs nur den Forenserver, die anderen Webseiten haben dieses Problem nicht mehr. Vermutlich ist's auch nicht besonders relevant, denn ich glaube, um dieses Problem im Diffie-Hellman Key Exchange auszunutzen, müsste man mindestens ein "state-level adversary" sein (wenn mich meine Erinnerung nicht trügt), d.h irgendein Land müsste seine Geheimdienste o. ä. auf das Forum ansetzen. Dieses Szenario halte ich aber für eher unwahrscheinlich.
Für die Netzwerkseiten der World of Players kann man annehmen, dass in den nächsten Tagen da noch weitere auf HTTPS umstellen werden, sofern man den bisherigen Fortschritt als Maßstab nimmt.
Auf Seiten außerhalb des WoP-Netzwerkes haben wir leider keinen Einfluss, aber deren Betreiber könntest du ja mal anschreiben, wenn es dir wichtig ist, dass auch dort HTTPS eingeführt wird.
-Have you got anything without spam in it?-
Almalexia sieht und hört gar nichts mehr.
[Bild: Morrowknuff.gif][Bild: woebutton.jpg][Bild: 88x31gruen.jpg] [Bild: Morrowknuff.gif]
~ Morrowind-Hilfe ~ Morrowind-Plugins ~ Neverwinter Nights-Hilfe ~
~ More than cleverness we need kindness. ~
Why did Newton not invent group theory? - Because he wasn't Abel.
"After all, the mark of the truly great was not merely having power, but knowing how and when to use it."
Zumindest eine 1039 Bit Lange Zahl wurde bereits faktorisiert. Zugegeben, es ist eher für RSA relevant, aber RSA und DHE sind bei gleicher Länge in etwa gleich sicher.
Per LOGJAM sollte bekannt sein, das < 1024 Bit definitiv Müll ist, prinzipiell dürfte das entschlüsseln von 1024 Bit DHE wirklich "etwas" zu aufwändig sein, als dass das derzeit relevant wäre - besonders, solange ECDHE über secp256r1 bevorzugt behandelt wird.
das war nicht die Frage^^Für die Netzwerkseiten der World of Players kann man annehmen, dass in den nächsten Tagen da noch weitere auf HTTPS umstellen werden, sofern man den bisherigen Fortschritt als Maßstab nimmt.
Auf Seiten außerhalb des WoP-Netzwerkes haben wir leider keinen Einfluss, aber deren Betreiber könntest du ja mal anschreiben, wenn es dir wichtig ist, dass auch dort HTTPS eingeführt wird.
Ich wollte eher wissen, ob noch mehr Domains direkt auf *.worldofplayers.de lauten oder ob ich meine https Everywhere Regel jetzt so rumliegen lassen kann.
Aber wo du die anderen Netzwerkseiten ansprichst:
Von denen, die schon umgestellt haben habe ich mir nur exemplarisch Witcher und TES angesehen und beide haben nicht die bestmögliche Sortierung (lies: Keine) für die Cipher Suits.
Vielleicht könnte man das noch ändern auf
ECDHE vor DHE vor RSA und innerhalb der Gruppen auf GCM vor CBC?
Die Mathematik ist das Alphabet, mit dem Gott die Welt geschrieben hat.
Die Natur ist in der Sprache der Mathematik geschrieben.
Galileo Galilei
Die Logik ist die Hygiene, deren sich der Mathematiker bedient, um seine Gedanken gesund und kräftig zu erhalten.
Weyl