Freut mich, dass es hier so gut voran geht.
Ebenso hat ravenhearth grade bekannt gegeben, dass die World of Elex vollständig auf HTTPS umgestiegen ist.
Freut mich, dass es hier so gut voran geht.
Ebenso hat ravenhearth grade bekannt gegeben, dass die World of Elex vollständig auf HTTPS umgestiegen ist.
Ich hab fuer upload.worldofplayers.de mal die Mozilla Intermediate Einstellungen uebernommen (siehe https://wiki.mozilla.org/Security/Se..._.28default.29)
Das hebt das ganze auf ein A+ bei SSLLabs: https://www.ssllabs.com/ssltest/anal...ldofplayers.de Lass mich mal wissen was du denkst, dann koennen wir das fuer den Webseitenserver auch einstellen.
PS: Soweit ich das sehen kann haben wir ausser im Forum schon 2048Bit DH parameter.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
meine Meinung. Hm ich finde gerade den richtigen Smiley nicht, daher muss der reichen:
Dass mit den DH muss daran liegen, dass ich dafür immer nur das Forum angesehen habe^^
Die Mozilla Inter Einstellungen sind recht gut, Computerbase scheint nach dem SSLLabs Scan die auch zu verwenden (einziger Unterschied zum Uploadserver ist http/2).
Und zumindest dort ließt sich das ganze sehr gut, dank http/2 sogar kein nennenswerter Unterschied im Serverload (AFAIK offizielle Aussage 0,64 zu 0,65 im Schnitt)
Die richtige Wahl zwischen maximaler Sicherheit (ne Nummer härter als das "modern") und maximaler Kompatibilität (schwächer als "old") sollte mit Hilfe der Serverlogs wohl möglich sein
Aber ich denke, dass es noch zu viel Android 4 für modern gibt aber zu wenig IE 6 für old (von den Problemen mit SSL3 mal abgesehen).
Aber ich denke mal, ihr behaltet die Entwicklung weiter im Blick, ich würde glatt wetten, dass Wahlweise in TLS 1.0, dem CBC-mode oder 3DES dieses Jahr ein weiteres Problem gefunden wird.
Die Mathematik ist das Alphabet, mit dem Gott die Welt geschrieben hat.
Die Natur ist in der Sprache der Mathematik geschrieben.
Galileo Galilei
Die Logik ist die Hygiene, deren sich der Mathematiker bedient, um seine Gedanken gesund und kräftig zu erhalten.
Weyl
Wunderbar. Dann werde ich das auf dem Webseitenserver auch mal so einrichten.
Generell haben wir in der WoP eine sehr alte Benutzerbasis, d.h. wir haben viele Benutzer die nicht mit den neusten Geräten und Browsern unterwegs sind. Die Intermediate Einstellungen halte ich daher für den besten Kompromiss. Da noch einzeln nach bestimmten Systemen zu suchen um ein oder zwei Algorithmen zu deaktivieren haben wir schlicht keine Zeit & Lust für.
HTTP/2 wäre toll. Geht aber leider auf Grund der alten Debian Distro nicht. Vielleicht werden wir dieses Jahr upgraden, das hängt derzeit noch an der PHP version (und einigen wenigen Netzwerkseiten). Prinzipiell hätte ich auch lieber einen nginx vorgeschaltet zur SSL termination und für statische Dateien.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
Der Link zum TuS ist angepasst (Cache leeren). Bitte gerne melden falls du weitere Probleme findest. Das nicht alle Forenstyles https honorieren ist bekannt und wir arbeiten dran bzw. ich bin den entsprechenden Webmastern auf den Fersen. (Das sind dan vor allem http Links in der Navigation.)
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
Mit
- https://www.diablogame.de/
- https://www.masseffect-universe.de/
- https://www.worldofgothic.de/
- https://www.thief-universe.com/
sind weitere Netzwerkseiten ueber HTTPS erreichbar.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
https://www.worldofplayers.de/ ist nur noch via HTTPS zu erreichen und setzt zusätzlich Content-Security-Policy: upgrade-insecure-requests ein.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
Hier gehts ja richtig voran.
Hm, iwas im WoG-Foren-Design macht das noch kaputt. Erste schnelle Suche ergab:
Zeile 385 (Wobei die Zeilennummer wahrscheinlich nicht viel Aussagekraft hat, weil wegen dynamisch generiert)
Zeile 389:HTML-Code:<td background="http://forum.worldofplayers.de/layouts/gothicneu/nav_bg_headlines.gif"><img src="http://forum.worldofplayers.de/layouts/gothicneu/lamazon.gif" width="122" height="58"></td>
Ich weiß, dass ihr keinen Einfluss auf Amazon habt. Aber der Link würde auch mit https funktionieren. Und gerade da, wo es um ein Form geht, wäre das ja besonders interessant.HTML-Code:<FORM method="get" action="http://www.amazon.de/exec/obidos/external-search?tag=worldofgothic-21">
Ähnliches gibts nochmal Zeile 1127 und 1128
HTML-Code:<div style="border: 0px none ; width: 250px; float: left; height: 20px; background-color: transparent;"><FORM method="get" action="http://www.amazon.de/exec/obidos/external-search?tag=worldofgothic-21" target="_blank"> <a href="http://www.amazon.de/exec/obidos/redirect-home?tag=worldofgothic-21&site=home" target="_blank"><img border="0" src="http://forum.worldofplayers.de/layouts/wop/amazon.gif" alt=""></a>
Hui, das ist ein unerwarteter Schritt. Aber mir solls recht sein.
Super Vielen, Vielen Dank dafür!
Gilt aktuell noch nicht für Links in E-Mails und das Forum.
In E-Mails ist noch HTTP drin und wenn diese aufgerufen werden, wird man noch nicht auf HTTPS umgeleitet.
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
Mit
sind auch die letzten drei aktiven Netzwerkseiten via https erreichbar.
Außerdem haben wir die Forum URL testhalber auf https gesetzt. Es sollte keine Probleme geben, wir sind ja schon eine Weile sicher erreichbar.
Falls alles gut läuft werden wir dann irgendwann demnächst auch alle User von http weiterleiten.
Das wird ja immer besser [Bild: aa_omg.gif]
Hallo
TanzmanDevil hat mich hierher verwiesen da ich seit ein paar Tagen Probleme beim einloggen habe.
Ich bekomme immer solche Fehlermeldungen wenn ich mich in das Forum einlogge.
[Bild: Unbeernannt.PNG]
[Bild: k4TiS9OpUnbenannt.PNG]
Nutze Firefox un Cache hab ich schon geleert.
Und was macht dich glauben, dass das was mit der Umstellung auf https zu tun hat?
Klingt für mich eher nach ne kaputten Cookie. In den Einstellungen unter Datenschutz auf Cookies anzeigen (evtl vorher die Chronik auf Benutzerdefiniert stellen) und nach "worldofplayers.de" suchen. Dort mal alle auftauchenden Cookies löschen, Browser neu starten und dann nochmal im Forum einloggen.
Ein Jahr nach dem es hier aufkam, wollte ich mal fragen wie sich in der Zwischenzeit die Meinung bezüglich einer Zwangs-Weiterleitung auf https entwickelt hat.
Seit letztem Jahr geändert hat sich, dass inzwischen sowohl Chrome als auch Firefox vor unsicheren Verbindungen warnen (mehr oder weniger stark) und speziell auf ungeschützte Formulare hinweisen.
Im Netzwerk selbst sind jetzt fast alle Seiten ausschließlich per https erreichbar, einschließlich der Portalseite welche nach einer Aenderung bei den Vorschaubildern auch 100% verschlüsselt ist (kein User content mehr).
[Bild: TW3_Ev_04.jpg]
»Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
bin sehr dafür
Antje Vollmers Vermächtnis
Die AFD ist wie ein Ölfleck in der Pfütze. Er sieht bunt aus.
Aber wenn man hineingreift, ist da nur brauner Matsch (Haseloff)
HTTPS ist wichtig für unsere Sicherheit. Daher sehe ich es nicht als Zwang an, HTTPS standardmäßig einzuführen. Wir müssen es unbedingt vorantreiben, damit es zum Standard wird.