[Lookbehind]

Eine vernünftige Einführung von https würde mir persönlich eigentlich schon reichen. Das Problem, was ich dabei sehe: Sofern vBulletin da nicht irgendwo einen magischen Schalter hat, von dem ich bezweifle, dass es ihn gibt, dürfte ein Abschaffen von http bedeutend einfacher ausfallen. Bedeutend!

*hust*
Hast du dir die https-Unterstützung mal angesehen?
Ich hab bisher im Forum nicht eine Seite gefunden, die komplett über https erreichbar ist. Es sind IMMER auch unverschlüsselte Inhalte dabei. Und damit meine ich nicht bloß von Usern in Threads verlinkte Bilder (und selbst da könnte man oft serverseitig auf https umleiten).
Wenn man sich nicht mit Tools wie https-Everywhere oder FireBug behilft, ist man ohnehin nach spätestens 2-3 Klicks wieder auf der unverschlüsselten http-Variante der WoP unterwegs. Wenn man dann nicht regelmäßig auf die Adressleiste achtet, merkt man das noch nicht mal. Und nein, damit meine ich abermals nicht bloß von Usern gepostete Links, die man immer noch auf https umbiegen könnte. Schon die normale Foren-Navigation hält sich da nicht dran.
...

...
Abgesehen davon, dass es ziemlich schwierig ist, hier dauerhaft HTTPS zu verwenden, weil überall HTTP-Links versteckt sind (und HTTPS Everywhere anscheinend nicht funktioniert).

[Thoronador]

Eine vernünftige Einführung von https würde mir persönlich eigentlich schon reichen.

Da es den Mathematiker in mir interessiert: Definiere bitte mal "vernünftige Einführung von HTTPS".
Das Forum ist schon seit langem über HTTPS erreichbar, also das allein kann dann ja nicht gemeint sein.

Abgesehen davon, dass es ziemlich schwierig ist, hier dauerhaft HTTPS zu verwenden, weil überall HTTP-Links versteckt sind (und HTTPS Everywhere anscheinend nicht funktioniert).

Soweit ich das Konzept hinter dem Browser-Addon HTTPS Everywhere verstanden habe, fügt das Addon nicht auf magische Weise einfach bei jeder HTTP-URL ein S ein, sondern arbeitet nach bestimmten Regeln ("Rulesets"). Da aber noch niemand eine entsprechende Regel für die Domain forum.worldofplayers.de erstellt hat, wird dementsprechend auch nicht automatisch auf HTTPS umgeleitet. Wenn das gewünscht ist, kann ja jemand einen entsprechenden Pull Request auf GitHub einreichen. Das scheinen ja andere Leute auch zu machen (Beispiel).

[Lookbehind]

Da es den Mathematiker in mir interessiert: Definiere bitte mal "vernünftige Einführung von HTTPS".
Das Forum ist schon seit langem über HTTPS erreichbar, also das allein kann dann ja nicht gemeint sein.

Zum Beispiel, dass eine Seite, die ich per https aufrufe, auch komplett per https übertragen wird. Eine Seite der WoP, bei der das passiert, ist mir noch nicht unter gekommen. Überall meldet mein FeuerFuchs "Teile dieser Seite sind nicht Sicher". Jetzt könnte man argumentieren, dass ihr ja nicht jedes von einem User gepostetes Bild verschlüsseln könnt. Was prinzipiell auch richtig ist, obwohl ihr das in vielen Fällen tatsächlich könntet (nicht in allen, durchaus klar). Aber das betrifft nichtmal nur die Seiten in denen auch wirklich Posts zu sehen sind. Das geht schon auf der Startseite los. Such dir aus welche Startseite, die von der WoP allgemein oder die vom Forum, macht keinen Unterschied.
Der Upload-Server ist zwar per https zu erreichen, bietet aber nur ein abgelaufenes Zertifikat an, und leitet selbst dann sofort auf die http-Variante weiter.
Diverse Links auf den https-Seiten leiten auf http-Seiten weiter. Ruf zum Beispiel mal aus der PE heraus das TuS auf.
Der Hosting-Server (auf dem z.B. die WoG läuft) ist quasi gar nicht sauber über https zu erreichen, und z.B. die WoG-Foren beziehen teilweise von dort auch Designe-Elemente.

. . .

Soweit ich das Konzept hinter dem Browser-Addon HTTPS Everywhere verstanden habe, fügt das Addon nicht auf magische Weise einfach bei jeder HTTP-URL ein S ein, sondern arbeitet nach bestimmten Regeln ("Rulesets"). Da aber noch niemand eine entsprechende Regel für die Domain forum.worldofplayers.de erstellt hat, wird dementsprechend auch nicht automatisch auf HTTPS umgeleitet. Wenn das gewünscht ist, kann ja jemand einen entsprechenden Pull Request auf GitHub einreichen. Das scheinen ja andere Leute auch zu machen (Beispiel).

Das Addon bietet dir aber auch die Möglichkeit solche Rule-Sets selbst ein zu bauen. Das ist nichtmal schwer und liefert auch einige Muster mit, bei denen man wirklich nur noch die Domain austauschen muss. Hier mal meine Config für das Forum:

Code:

<ruleset name="Forum-WoP">
        <target host="forum.worldofplayers.de" />

        <rule from="^http:"
                to="https:" />
</ruleset>

Man ist also keineswegs auf die im Addon vordefinierten Regeln festgelegt.

[The Old Hunter]

Zum Beispiel, dass eine Seite, die ich per https aufrufe, auch komplett per https übertragen wird. Eine Seite der WoP, bei der das passiert, ist mir noch nicht unter gekommen. Überall meldet mein FeuerFuchs "Teile dieser Seite sind nicht Sicher". Jetzt könnte man argumentieren, dass ihr ja nicht jedes von einem User gepostetes Bild verschlüsseln könnt. Was prinzipiell auch richtig ist, obwohl ihr das in vielen Fällen tatsächlich könntet (nicht in allen, durchaus klar). Aber das betrifft nichtmal nur die Seiten in denen auch wirklich Posts zu sehen sind. Das geht schon auf der Startseite los. Such dir aus welche Startseite, die von der WoP allgemein oder die vom Forum, macht keinen Unterschied.
Der Upload-Server ist zwar per https zu erreichen, bietet aber nur ein abgelaufenes Zertifikat an, und leitet selbst dann sofort auf die http-Variante weiter.
Diverse Links auf den https-Seiten leiten auf http-Seiten weiter. Ruf zum Beispiel mal aus der PE heraus das TuS auf.
Der Hosting-Server (auf dem z.B. die WoG läuft) ist quasi gar nicht sauber über https zu erreichen, und z.B. die WoG-Foren beziehen teilweise von dort auch Designe-Elemente.

. . .

Das Addon bietet dir aber auch die Möglichkeit solche Rule-Sets selbst ein zu bauen. Das ist nichtmal schwer und liefert auch einige Muster mit, bei denen man wirklich nur noch die Domain austauschen muss. Hier mal meine Config für das Forum:

Code:

<ruleset name="Forum-WoP">
        <target host="forum.worldofplayers.de" />

        <rule from="^http:"
                to="https:" />
</ruleset>

Man ist also keineswegs auf die im Addon vordefinierten Regeln festgelegt.

wo kann man denn selbst solche rule sets machen? finde dazu auf der https everywhere seite nichts wirklich.

[Lookbehind]

Ok, das kommt davon, wenn man Dinge einmal einrichtet, und sie danach einfach funktionieren. Früher gabs dazu in den Einstellungen mal ne ausführliche Erklärung mit Beispielen. Aber scheinbar muss ja alles simpler werden. ...

Wie dem auch sei. Du findest in deinem Profil-Verzeichnis vom FireFox einen Unterordner namens "HTTPSEverwywhereUserRules". Dort hinein legst du eine Text-Datei, ich hab sie WoP.xml genannt (das .xml am Ende ist wichtig, der Rest ist ziemlich egal), und trägst die Regel die ich oben aufgeführt habe dort ein. Speichern, FireFox neu starten, fertig.

[The Old Hunter]

Ok, das kommt davon, wenn man Dinge einmal einrichtet, und sie danach einfach funktionieren. Früher gabs dazu in den Einstellungen mal ne ausführliche Erklärung mit Beispielen. Aber scheinbar muss ja alles simpler werden. ...

Wie dem auch sei. Du findest in deinem Profil-Verzeichnis vom FireFox einen Unterordner namens "HTTPSEverwywhereUserRules". Dort hinein legst du eine Text-Datei, ich hab sie WoP.xml genannt (das .xml am Ende ist wichtig, der Rest ist ziemlich egal), und trägst die Regel die ich oben aufgeführt habe dort ein. Speichern, FireFox neu starten, fertig.

ja em. problem nur ich nutze chrome

[Schatten]

ja em. problem nur ich nutze chrome

Wenn du auf dieser Seite warst, dann springt einen doch Chrome sofort ins Auge. Und wenn es das nicht tut, dann gleich der erste Satz auf der Seite.

"HTTPS Everywhere is a Firefox, Chrome, and Opera extension that encrypts your communications with many major websites, making your browsing more secure. Encrypt the web: Install HTTPS Everywhere today."

E: Habe es grade mal selbst getestet und man muss, soweit ich das sehe, bei Chrome nicht einmal in den Ordner, um diese Regel zu aktivieren. Dafür muss das Addon installiert sein und du musst auf einer der Seiten von der WoP sein.
Dann gehst du oben rechts auf das Icon von HTTPS Everywhere und wählst "Erstelle eine Regel für diese Seite". Danach wird die Regel erstellt. Unter "Erweitere Optionen anzeigen" kannst du dir anzeigen lassen, wie genau die Seiten heißen, die es nun auf https umleitet. Danach erneut auf "Erstelle eine Regel für diese Seite" und du bist fertig. Alle Seiten der WoP mit http werden auf https umgeleitet.

[Der-Orden-Xar]

Da es den Mathematiker in mir interessiert: Definiere bitte mal "vernünftige Einführung von HTTPS".

Vernünftig heißt, dass man alle wichtigen Header aktiviert und alle alten Protokolle/Ciphers deaktiviert und ein Zertifikat mit ausreichender Länge und gutem Hash verwendet.

wichtige Header, alte Protokolle/Ciphers und gutes Zertifikat sind gesondert definiert

Nur soviel (ich versuche möglichst objektive relative Angaben zu machen, für näheres selbst informieren oder nachfragen und hoffen, dass ich nicht erst nach Mittanacht antworte^^): Zertifikat 2048 RSA mit SHA 256: Sicherheit gut, Kompatibilität sehr gut, Geschwindigkeit OK.
Protokolle: TLS 1.0,1.1,1.2: Kompatibilität sehr gut, Sicherheit (sehr) gut.
Ciphers: Bevorzugt moderne AEAD-Ciphers mit Handshake über secp256r1: Geschwindigkeit (auf modernen nicht-mobil Prozessoren), Sicherheit und Kompatibilität optimal.
Einige Clients verbinden aber noch mit einem Handshake mit nur 1024 DHE und common prime: Sicherheit schlecht!

Headers und andere Erweiterungen: Downgrade attack prevention gut, Forward Secrecy über zT schwache Schlüssel (s. oben DHE)
Kein Strict Transport Security (HSTS): Sicherheit supotimal.

Des weiteren sind die verbundenen Seiten (z.B www.worldofgothic.de ) nicht via https erreichabr, also nicht verünftig
Noch schlimmer würde ich sogar den upload (upload.worldofplayers.de) bezeichnen:
Das Zertifikat ist im Juli abgelaufen und wurde nicht erneuert. Daher muss man derzeit da mit http leben, wo wir auch schon beim nächsten Thema wären: Wenn schon, dann richtig:

Zum Beispiel, dass eine Seite, die ich per https aufrufe, auch komplett per https übertragen wird. Eine Seite der WoP, bei der das passiert, ist mir noch nicht unter gekommen. Überall meldet mein FeuerFuchs "Teile dieser Seite sind nicht Sicher". Jetzt könnte man argumentieren, dass ihr ja nicht jedes von einem User gepostetes Bild verschlüsseln könnt.

Doch es kann, hier wäre dann entweder der gerade angesprochene WoP-Upload oder der entsprechende Seitenbetreiber schuld, dass er/sie/es kein TLS konfigurieren kann.
Lustigerweise habe ich per AddOn hier gerade mal ein https-strict aktiviert und dennoch eine entsprechende Warnmeldung bekommen. Irgendwas funktioniert hier wohl nicht richtig
Um genau zu sein wurden http://upload.worldofplayers.de/files/Morrowknuff.gif (so das war das dritte mal in einem Post, ich hoffe jetzt liest das auch ganz sicher einer der verantwortlichen ), http://www.worldofelderscrolls.de/im.../woebutton.jpg (oh eine Verbundene Seite) und http://www.planetneverwinter.de/imag...88x31gruen.jpg hier auf Seite 4 angekreidet.
Auf Seite 3 z.B http://abload.de/img/testteam7qxsf.png, was aber via https://abload.de/img/testteam7qxsf.png auch anders kann. Hier würde (sofern die software das mitmacht) ein Upgradeflag helfen.

[Sweil]

Zum Beispiel, dass eine Seite, die ich per https aufrufe, auch komplett per https übertragen wird. Eine Seite der WoP, bei der das passiert, ist mir noch nicht unter gekommen. Überall meldet mein FeuerFuchs "Teile dieser Seite sind nicht Sicher". Jetzt könnte man argumentieren, dass ihr ja nicht jedes von einem User gepostetes Bild verschlüsseln könnt. Was prinzipiell auch richtig ist, obwohl ihr das in vielen Fällen tatsächlich könntet (nicht in allen, durchaus klar). Aber das betrifft nichtmal nur die Seiten in denen auch wirklich Posts zu sehen sind. Das geht schon auf der Startseite los. Such dir aus welche Startseite, die von der WoP allgemein oder die vom Forum, macht keinen Unterschied.
Der Upload-Server ist zwar per https zu erreichen, bietet aber nur ein abgelaufenes Zertifikat an, und leitet selbst dann sofort auf die http-Variante weiter.
Diverse Links auf den https-Seiten leiten auf http-Seiten weiter. Ruf zum Beispiel mal aus der PE heraus das TuS auf.
Der Hosting-Server (auf dem z.B. die WoG läuft) ist quasi gar nicht sauber über https zu erreichen, und z.B. die WoG-Foren beziehen teilweise von dort auch Designe-Elemente.

1. Gegenbeispiel: https://www.the-witcher.de/
2. https://www.worldofplayers.de/ ist derzeit praktisch unmöglich da die nicht alle Netwerkseiten https unterstützen. Jetzt könnte man natürlich nicht https Seiten von der Startseite verbannen, aber ob das so toll ist?
3. Forum: Das ist praktisch unmöglich. Wir könnten zwar (mit viel Aufwand) alle Einbindungen von Webseiten und Foren auf https umstellen, aber nicht jedeweden User content. Wenn das gewünscht wäre, dann müssten wir diesen verbieten oder auf unseren Servern zwangslagern.

[Lookbehind]

1. Gegenbeispiel: https://www.the-witcher.de/

Nett, es gibt also auch Seiten im WoP die es hin bekommen. Warum der Rest nicht?
Allerdings auch da, sobald ich ins Witcher-Forum gehe, ists vorbei.

1. https://www.worldofplayers.de/ ist derzeit praktisch unmöglich da die nicht alle Netwerkseiten https unterstützen. Jetzt könnte man natürlich nicht https Seiten von der Startseite verbannen, aber ob das so toll ist?

Alternativ könnte man auch einfach bei denen, die es noch nicht können, https einführen. Ich weiß, die IT-Branche ist langsam. Da dauert es durchaus, bis eine Technik aus den 90ern sich durchsetzt. Willkommen in 2016.

1. Forum: Das ist praktisch unmöglich. Wir könnten zwar (mit viel Aufwand) alle Einbindungen von Webseiten und Foren auf https umstellen, aber nicht jedeweden User content. Wenn das gewünscht wäre, dann müssten wir diesen verbieten oder auf unseren Servern zwangslagern.

Wenn du meine Beiträge nochmal liest, dann dürfte dir auffallen, dass ich auch gar nicht fordere, dass jedweder User-Content immer umgebogen wird. (Auch wenn das in einigen Fällen durchaus möglich wäre). Es lässt sich aber auch in den Bereichen, in denen überhaupt kein User-Content zu sehen ist, nicht gerade von sauberem https reden.

Edit:
Und nur um es nochmal auf zu greifen, und damit das hier nicht falsch verstanden wird. Dass die endgültige Umsetzung enorm viel Arbeit bedeuten würde, weil tonnenweise Links händisch angepasst werden müssen (nein, ich rede nicht von User-Content), ist mir durchaus bewusst. Dass das genau darum wahrscheinlich auch nix wird, habe ich hier auch schon ein paar mal erwähnt.
Daher ja auch der Hinweis, dass eine Serverseitige Weiterleitung von http auf https wohl die simpelste Lösung sein dürfte.
Das würde allerdings voraus setzen, dass alle beteiligten Server auch (vernünftig) https sprechen. Da fliegt der Upload-Server z.B. schon raus.

[Schatten]

Kenne mich bestimmt nicht so gut mit HTTPS aus wie Look, doch ich stimme ihm zu und finde seinen Vorschlag umsetzbar.

[Lookbehind]

Kenne mich bestimmt nicht so gut mit HTTPS aus wie Look, doch ich stimme ihm zu und finde seinen Vorschlag umsetzbar.

Umsetzbar? Nunja, teilweise.
Den anderen, zur WoP gehörenden Servern/Seiten noch https bei zu bringen, sollte tatsächlich machbar sein.
Das Forum so umbauen, dass man, einmal per https angemeldet, auch bei https bleibt, das ist etwas mehr Arbeit, und vermutlich am einfachsten durch eine automatische Umleitung von http auf https zu erreichen. Letzteres würde aber wieder die Verschlüsselungs-Gegner hier auf den Plan rufen.

[Schatten]

Umsetzbar? Nunja, teilweise.
Den anderen, zur WoP gehörenden Servern/Seiten noch https bei zu bringen, sollte tatsächlich machbar sein.
Das Forum so umbauen, dass man, einmal per https angemeldet, auch bei https bleibt, das ist etwas mehr Arbeit, und vermutlich am einfachsten durch eine automatische Umleitung von http auf https zu erreichen.

Das ist mir durchaus bewusst. Doch ich bin froh, dass du so viel Geduld und Zeit aufbringst, dass wirklich jeder weiß, wovon du sprichst.

In welchem Ausmaß müsste man das Forum umbauen, damit man auf https bleibt? Würde da die automatische Umleitung schon genügen? Oder gibt es dann noch unsichere Seitenteile?
Wie ich sehe, sollte diese automatische Umleitung von http auf https ziemlich einfach einzurichten sein, wie du weiter oben schon erklärt hast und ich bei meinem Browser selbst eingerichtet habe.

Letzteres würde aber wieder die Verschlüsselungs-Gegner hier auf den Plan rufen.

Wo ich nicht verstehe, wieso sie das tun. Es geht hier um die Sicherheit ihrer Daten und nicht, dass man ihnen etwas aufzwingen will.

[Lookbehind]

...
In welchem Ausmaß müsste man das Forum umbauen, damit man auf https bleibt?

Alle reinen http-Links auf eigene Seiten (Forum, Upload, beim WoP gehostete Seiten) durch https-Links ersetzen. Oder am besten gleich durch relative Adressen, dann wird nämlich das Protokoll einfach behalten und die Verschlüsselungs-Gegner können weiterhin problemlos ihr http benutzen.
Das lässt sich in manchen Teilen sicher auch automatisieren (sed, awk und ein wenig SQL-Magie). Aber die große Masse wird man vermutlich per Hand ändern müssen. Was eben ein riesiger Haufen Arbeit wäre.

...
Würde da die automatische Umleitung schon genügen?

Der Redirect wäre ein Work-Around. Statt alle Links an zu passen, lenkt man einfach alles, was auf http kommt, sofort auf https um. No matter what... Da motzen dann nur eben die Verschlüsselungs-Gegner.
Allerdings meinte ich eine andere Umleitung als du vermutlich. (Siehe unten)

Oder gibt es dann noch unsichere Seitenteile?

Unsichere Elemente wird es bei beiden Methoden hinterher noch geben. Denn dafür müsste man wirklich jedweden User-Content auf https umstellen. Das ist sogar teilweise gar nicht so ohne weiteres möglich. In vielen Fällen allerdings schon.

Aber es würden wenigstens die Teile, die von der WoP selbst kommen vernünftig verschlüsselt angeboten. Und du würdest nicht, ohne es zu merken, wieder auf die unverschlüsselte Variante zurück fallen, so wie jetzt.

Wie ich sehe, sollte diese automatische Umleitung von http auf https ziemlich einfach einzurichten sein, wie du weiter oben schon erklärt hast und ich bei meinem Browser selbst eingerichtet habe.

Was ich mit automatischer Weiterleitung meine, ist allerdings eine Server-Seitige Umleitung (also dass der Server sämtliche http-Anfragen mit einer Umleitung nach https beantwortet). Nicht Client-Seitig (also bei dir im Browser). Das ist dann nochmal was anderes. Wobei auch die Server-Seitige Umleitung nicht schwer ein zu richten wäre. Nur muss das eben einer der Admins tun. ... Ok, ich könnts auch, aber dafür müsste mich jemand auf den Server lassen.

Wie das aussieht, kannst du z.B. bei Wikipedia sehen. Besuch mal http://wikipedia.org und staune.
Google macht das auch schon lange.

... apropos Google. Die nutzen übrigens die https-Verfügbarkeit einer Seite auch für das Page-Ranking. Also eine vernünftige Umsetzung von https bringt gegebenenfalls auch bessere Positionen in der Google-Suche.
(Edith meint das Lehona das in diesem Thread schon erwähnt hätte.)

Wo ich nicht verstehe, wieso sie das tun. Es geht hier um die Sicherheit ihrer Daten und nicht, dass man ihnen etwas aufzwingen will.

Die Diskussion ist mühselig. Ich hab manchmal das Gefühl diese Leute lernen es erst, wenn es zu spät ist. Man könnte sich jetzt damit beruhigen ihnen dann vorhalten zu können "Ich habs euch doch gesagt". Bloß das Kind ist dann trotzdem schon in den Brunnen gefallen. Und von "Ich habs euch doch gesagt" wird der Schaden auch nicht wieder bereinigt.

Aber darüber ist hier schon genug gestritten worden, ohne sinnvolles Ergebnis.

[Schatten]

Alle reinen http-Links auf eigene Seiten (Forum, Upload, beim WoP gehostete Seiten) durch https-Links ersetzen. Oder am besten gleich durch relative Adressen, dann wird nämlich das Protokoll einfach behalten und die Verschlüsselungs-Gegner können weiterhin problemlos ihr http benutzen.
Das lässt sich in manchen Teilen sicher auch automatisieren (sed, awk und ein wenig SQL-Magie). Aber die große Masse wird man vermutlich per Hand ändern müssen. Was eben ein riesiger Haufen Arbeit wäre.

Wenn man sich die Arbeit macht, dann wäre es also möglich.

Der Redirect wäre ein Work-Around. Statt alle Links an zu passen, lenkt man einfach alles, was auf http kommt, sofort auf https um. No matter what... Da motzen dann nur eben die Verschlüsselungs-Gegner.
Allerdings meinte ich eine andere Umleitung als du vermutlich. (Siehe unten)

Also ähnlich wie bei MediaWiki. Mit einem Bot, einem Programm oder handmännisch Weiterleitungen erstellen, wo man einfach das s beim http hinzufügt.

Unsichere Elemente wird es bei beiden Methoden hinterher noch geben. Denn dafür müsste man wirklich jedweden User-Content auf https umstellen. Das ist sogar teilweise gar nicht so ohne weiteres möglich. In vielen Fällen allerdings schon.

Aber es würden wenigstens die Teile, die von der WoP selbst kommen vernünftig verschlüsselt angeboten. Und du würdest nicht, ohne es zu merken, wieder auf die unverschlüsselte Variante zurück fallen, so wie jetzt.

Speziell, wenn es von externen Seiten kommt, wird es schwierig.

Das wäre schon mal ein Anfang, wenn die WoP eigenen Teile vernünftig verschlüsselt wären.

Was ich mit automatischer Weiterleitung meine, ist allerdings eine Server-Seitige Umleitung (also dass der Server sämtliche http-Anfragen mit einer Umleitung nach https beantwortet). Nicht Client-Seitig (also bei dir im Browser). Das ist dann nochmal was anderes. Wobei auch die Server-Seitige Umleitung nicht schwer ein zu richten wäre. Nur muss das eben einer der Admins tun. ... Ok, ich könnts auch, aber dafür müsste mich jemand auf den Server lassen.

Wie das aussieht, kannst du z.B. bei Wikipedia sehen. Besuch mal http://wikipedia.org und staune.
Google macht das auch schon lange.

Ich bin mit Wikipedia und Google vertraut und mir ist bewusst, dass diese auf https weiterleiten.

... apropos Google. Die nutzen übrigens die https-Verfügbarkeit einer Seite auch für das Page-Ranking. Also eine vernünftige Umsetzung von https bringt gegebenenfalls auch bessere Positionen in der Google-Suche.
(Edith meint das Lehona das in diesem Thread schon erwähnt hätte.)

Interessant, doch auch eine gute Sache. Sichere Seiten werden besser bewertet als schlecht gesicherte Seiten.

Die Diskussion ist mühselig. Ich hab manchmal das Gefühl diese Leute lernen es erst, wenn es zu spät ist. Man könnte sich jetzt damit beruhigen ihnen dann vorhalten zu können "Ich habs euch doch gesagt". Bloß das Kind ist dann trotzdem schon in den Brunnen gefallen. Und von "Ich habs euch doch gesagt" wird der Schaden auch nicht wieder bereinigt.

Aber darüber ist hier schon genug gestritten worden, ohne sinnvolles Ergebnis.

Kann es sehr gut nachvollziehen, weil ich diese Diskussion nun ebenfalls nach verfolgt und auch beigewohnt habe. Ebenso kann ich mich ebenso nicht beruhigen und einfach später darauf bestehen, sagen zu dürfen, dass ich es auch gesagt habe. Das bringt keinem was. Niemanden.

[Lookbehind]

Wenn man sich die Arbeit macht, dann wäre es also möglich.

Ja, wenn "man" sich die Arbeit machen würde, wäre es möglich. Das ist aber eher eine akademische Frage, als eine Praktische. Wenn das vBulletin da nicht irgendwo einen magischen Schalter eingebaut haben sollte, ist das eine Arbeit für Leute die Vater und Mutter erschlagen haben.

...
Mit einem Bot, einem Programm oder handmännisch Weiterleitungen erstellen, wo man einfach das s beim http hinzufügt.
...

Nunja, ich meinte schon recht konkret einen http-redirect. Dabei wird das Programm, welches auf dem Server läuft und die Webseiten ausliefert, angewiesen jedem, der eine Anfrage per http stellt zu sagen "Hey, wir sind umgezogen, kannst uns jetzt unter https... erreichen."
Bildlich gesprochen ... Der User bekommt davon quasi nix mit. Siehe mein Wikipedia-Beispiel.

[Schatten]

Ja, wenn "man" sich die Arbeit machen würde, wäre es möglich. Das ist aber eher eine akademische Frage, als eine Praktische. Wenn das vBulletin da nicht irgendwo einen magischen Schalter eingebaut haben sollte, ist das eine Arbeit für Leute die Vater und Mutter erschlagen haben.

Gäbe es da einen magischen Schalter, wäre es wohl schon längst durchgeführt und wir würden diese Diskussion wohl gar nicht führen.

Nunja, ich meinte schon recht konkret einen http-redirect. Dabei wird das Programm, welches auf dem Server läuft und die Webseiten ausliefert, angewiesen jedem, der eine Anfrage per http stellt zu sagen "Hey, wir sind umgezogen, kannst uns jetzt unter https... erreichen."
Bildlich gesprochen ... Der User bekommt davon quasi nix mit. Siehe mein Wikipedia-Beispiel.

Daher das ähnlich und das einfach kursiv geschrieben. Ein ähnliches System wie bei MediaWiki, wo man Weiterleitungen z. B. bei Artikeln des Gothic Almanachs erstellt, die auf Seiten bzw. Seitenabschnitte weiterleiten, um die Systematisierung zu verbessern. Hierbei bezieht es sich aber nur auf Seiten innerhalb des Wikis und der User selbst bekommt davon nur bedingt mir.

Das Programm, welches du meinst, ist speziell für die Weiterleitung von http auf https zuständig.

[Lookbehind]

Mal kurz ein kleines Lob da lassen:
Inzwischen ist immerhin die Startseite vom Forum komplett über https erreichbar. Mit allen Elementen.
Auf zum nächsten Punkt. Langsam ernährt sich das Eichhörnchen. Weiter so!

Tipp: Wenn ihr das Zertifikat des Upload-Servers erneuert und die Weiterleitung von https auf http deaktiviert, könnt ihr einen ganzen Batzen der SSL-Probleme auf einmal erschlagen.

Edit: Hm, zu früh gefreut. Kommando zurück. Forum-Startseite hat doch wieder unverschlüsselte Elemente.

[Der-Orden-Xar]

Ich sehe da einen Zusammenhang zwischen den beiden Punkten in deinem Post^^

Das einzige, was bei mir gerade auf der Forenstartseite via http ankam, war [Bild: gift2.png], das Themenicon von Wo bin ich? Weihnachtsgewinnspiel - Regeln und Diskussion im Scared-Forum und es ist eine Grafik vom uploadserver

[Sweil]

Edit: Hm, zu früh gefreut. Kommando zurück. Forum-Startseite hat doch wieder unverschlüsselte Elemente.

Haette mich auch gewundert, wir haben naemlich nichts gemacht.

Ich fasse mal den aktuellen Stand zusammen, was wir einfach tun koennten:

1. Uploadserver soll https bekommen, und dahin weiterleiten
2. Forum ist schon via https erreichbar und wenn man einmal auf https ist, dann bleibt man dort auch
3. Forenstartseite sollte keinen mixed content haben

Folgendes hat imho derzeit keine Chance:

1. Netzwerkseiten auf https umstellen => Ist Sache der jeweiligen Webmaster, wir (WoP) bieten alles noetige dazu an, werden aber eher nicht Zwangsumstellen
2. WoP.de umstellen => Enteweder muessten alle Netzwerk seiten via https erreichbar sein, oder wir muessten die Bilder extra herunterladen und speichern. Letzters ist scheint mir derzeit zu viel Aufwand
3. Forum komplett auf https => User conent unmoeglich

Hier bin ich mir nicht sicher - eure Meinung:

1. Forum standardmassig auf https auch wenn es mixed content Warnung gibt? (Bedingung: Keiner der 3 grossen Browser darf die Seite visuell als unsicherer einstufen als ohne https)
2. Extern gehosteten user content verbieten