Seite 6 von 6 « Erste ... 23456
Ergebnis 101 bis 119 von 119

HTTPS für das Forum

  1. #101 Zitieren
    Almanach-Gelehrter  Avatar von Schatten
    Registriert seit
    Jan 2008
    Ort
    Almanach
    Beiträge
    20.339
    Freut mich, dass es hier so gut voran geht.
    Ebenso hat ravenhearth grade bekannt gegeben, dass die World of Elex vollständig auf HTTPS umgestiegen ist.
    Schatten ist offline

  2. #102 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    Zitat Zitat von Der-Orden-Xar Beitrag anzeigen
    Per LOGJAM sollte bekannt sein, das < 1024 Bit definitiv Müll ist, prinzipiell dürfte das entschlüsseln von 1024 Bit DHE wirklich "etwas" zu aufwändig sein, als dass das derzeit relevant wäre - besonders, solange ECDHE über secp256r1 bevorzugt behandelt wird.

    Vielleicht könnte man das noch ändern auf
    ECDHE vor DHE vor RSA und innerhalb der Gruppen auf GCM vor CBC?
    Ich hab fuer upload.worldofplayers.de mal die Mozilla Intermediate Einstellungen uebernommen (siehe https://wiki.mozilla.org/Security/Se..._.28default.29)

    Das hebt das ganze auf ein A+ bei SSLLabs: https://www.ssllabs.com/ssltest/anal...ldofplayers.de Lass mich mal wissen was du denkst, dann koennen wir das fuer den Webseitenserver auch einstellen.

    PS: Soweit ich das sehen kann haben wir ausser im Forum schon 2048Bit DH parameter.
    [Bild: TW3_Ev_04.jpg]
    »Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
    Sweil ist offline

  3. #103 Zitieren
    Ritter Avatar von Der-Orden-Xar
    Registriert seit
    Feb 2007
    Ort
    Hilberts Hotel
    Beiträge
    1.932
    meine Meinung. Hm ich finde gerade den richtigen Smiley nicht, daher muss der reichen:

    Dass mit den DH muss daran liegen, dass ich dafür immer nur das Forum angesehen habe^^

    Die Mozilla Inter Einstellungen sind recht gut, Computerbase scheint nach dem SSLLabs Scan die auch zu verwenden (einziger Unterschied zum Uploadserver ist http/2).
    Und zumindest dort ließt sich das ganze sehr gut, dank http/2 sogar kein nennenswerter Unterschied im Serverload (AFAIK offizielle Aussage 0,64 zu 0,65 im Schnitt)

    Die richtige Wahl zwischen maximaler Sicherheit (ne Nummer härter als das "modern") und maximaler Kompatibilität (schwächer als "old") sollte mit Hilfe der Serverlogs wohl möglich sein
    Aber ich denke, dass es noch zu viel Android 4 für modern gibt aber zu wenig IE 6 für old (von den Problemen mit SSL3 mal abgesehen).

    Aber ich denke mal, ihr behaltet die Entwicklung weiter im Blick, ich würde glatt wetten, dass Wahlweise in TLS 1.0, dem CBC-mode oder 3DES dieses Jahr ein weiteres Problem gefunden wird.
    Die Mathematik ist das Alphabet, mit dem Gott die Welt geschrieben hat.
    Die Natur ist in der Sprache der Mathematik geschrieben.
    Galileo Galilei
    Die Logik ist die Hygiene, deren sich der Mathematiker bedient, um seine Gedanken gesund und kräftig zu erhalten.
    Weyl
    Der-Orden-Xar ist offline

  4. #104 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    Zitat Zitat von Der-Orden-Xar Beitrag anzeigen
    meine Meinung. Hm ich finde gerade den richtigen Smiley nicht, daher muss der reichen:
    Wunderbar. Dann werde ich das auf dem Webseitenserver auch mal so einrichten.

    Generell haben wir in der WoP eine sehr alte Benutzerbasis, d.h. wir haben viele Benutzer die nicht mit den neusten Geräten und Browsern unterwegs sind. Die Intermediate Einstellungen halte ich daher für den besten Kompromiss. Da noch einzeln nach bestimmten Systemen zu suchen um ein oder zwei Algorithmen zu deaktivieren haben wir schlicht keine Zeit & Lust für.

    HTTP/2 wäre toll. Geht aber leider auf Grund der alten Debian Distro nicht. Vielleicht werden wir dieses Jahr upgraden, das hängt derzeit noch an der PHP version (und einigen wenigen Netzwerkseiten). Prinzipiell hätte ich auch lieber einen nginx vorgeschaltet zur SSL termination und für statische Dateien.
    [Bild: TW3_Ev_04.jpg]
    »Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
    Sweil ist offline

  5. #105 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    Zitat Zitat von Lookbehind Beitrag anzeigen
    Die zweite Hälfte von Punkt 2 müsst ich mal wieder überprüfen. ... schnelltest: Aus der PE ins TuS gewechselt -> http statt https. Sorry, Punkt 2 funktioniert noch nicht überall.
    Der Link zum TuS ist angepasst (Cache leeren). Bitte gerne melden falls du weitere Probleme findest. Das nicht alle Forenstyles https honorieren ist bekannt und wir arbeiten dran bzw. ich bin den entsprechenden Webmastern auf den Fersen. (Das sind dan vor allem http Links in der Navigation.)
    [Bild: TW3_Ev_04.jpg]
    »Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
    Sweil ist offline

  6. #106 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    [Bild: TW3_Ev_04.jpg]
    »Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
    Sweil ist offline

  7. #107 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    https://www.worldofplayers.de/ ist nur noch via HTTPS zu erreichen und setzt zusätzlich Content-Security-Policy: upgrade-insecure-requests ein.
    [Bild: TW3_Ev_04.jpg]
    »Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
    Sweil ist offline

  8. #108 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Hier gehts ja richtig voran.
    Zitat Zitat von Sweil Beitrag anzeigen
    Mit


    sind weitere Netzwerkseiten ueber HTTPS erreichbar.
    Hm, iwas im WoG-Foren-Design macht das noch kaputt. Erste schnelle Suche ergab:
    Zeile 385 (Wobei die Zeilennummer wahrscheinlich nicht viel Aussagekraft hat, weil wegen dynamisch generiert)
    HTML-Code:
    <td background="http://forum.worldofplayers.de/layouts/gothicneu/nav_bg_headlines.gif"><img src="http://forum.worldofplayers.de/layouts/gothicneu/lamazon.gif" width="122" height="58"></td>
    Zeile 389:
    HTML-Code:
    <FORM method="get" action="http://www.amazon.de/exec/obidos/external-search?tag=worldofgothic-21">
    Ich weiß, dass ihr keinen Einfluss auf Amazon habt. Aber der Link würde auch mit https funktionieren. Und gerade da, wo es um ein Form geht, wäre das ja besonders interessant.

    Ähnliches gibts nochmal Zeile 1127 und 1128
    HTML-Code:
    <div style="border: 0px none ; width: 250px; float: left; height: 20px; background-color: transparent;"><FORM method="get" action="http://www.amazon.de/exec/obidos/external-search?tag=worldofgothic-21" target="_blank">
        <a href="http://www.amazon.de/exec/obidos/redirect-home?tag=worldofgothic-21&site=home" target="_blank"><img border="0" src="http://forum.worldofplayers.de/layouts/wop/amazon.gif" alt=""></a>

    Zitat Zitat von Sweil Beitrag anzeigen
    https://www.worldofplayers.de/ ist nur noch via HTTPS zu erreichen und setzt zusätzlich Content-Security-Policy: upgrade-insecure-requests ein.
    Hui, das ist ein unerwarteter Schritt. Aber mir solls recht sein.
    Lookbehind ist offline

  9. #109 Zitieren
    Veteran Avatar von Revan335
    Registriert seit
    Dec 2007
    Beiträge
    688
    Super Vielen, Vielen Dank dafür!

    Gilt aktuell noch nicht für Links in E-Mails und das Forum.

    In E-Mails ist noch HTTP drin und wenn diese aufgerufen werden, wird man noch nicht auf HTTPS umgeleitet.
    Revan335 ist offline Geändert von Revan335 (21.01.2017 um 13:04 Uhr)

  10. #110 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    Zitat Zitat von Revan335 Beitrag anzeigen
    Super Vielen, Vielen Dank dafür!

    Gilt aktuell noch nicht für Links in E-Mails und das Forum.

    In E-Mails ist noch HTTP drin und wenn diese aufgerufen werden, wird man noch nicht auf HTTPS umgeleitet.
    Kommen die E-Mails vom Forum? Falls ja, dann ist das noch zu erwarten. Das Forum ist jetzt als nächstes dran mit der Umstellung.

    Ich bin auch recht glücklich damit wie zügig wir das jetzt angehen konnten.
    [Bild: TW3_Ev_04.jpg]
    »Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
    Sweil ist offline

  11. #111 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    Mit


    sind auch die letzten drei aktiven Netzwerkseiten via https erreichbar.


    Außerdem haben wir die Forum URL testhalber auf https gesetzt. Es sollte keine Probleme geben, wir sind ja schon eine Weile sicher erreichbar.
    Falls alles gut läuft werden wir dann irgendwann demnächst auch alle User von http weiterleiten.
    Sweil ist offline Geändert von Thoronador (17.02.2021 um 00:43 Uhr) Grund: Link angepasst

  12. #112 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Das wird ja immer besser [Bild: aa_omg.gif]
    Lookbehind ist offline

  13. #113 Zitieren
    General Avatar von chris77211
    Registriert seit
    Oct 2015
    Beiträge
    3.654
    Hallo

    TanzmanDevil hat mich hierher verwiesen da ich seit ein paar Tagen Probleme beim einloggen habe.

    Ich bekomme immer solche Fehlermeldungen wenn ich mich in das Forum einlogge.

    [Bild: Unbeernannt.PNG]

    [Bild: k4TiS9OpUnbenannt.PNG]

    Nutze Firefox un Cache hab ich schon geleert.
    chris77211 ist offline

  14. #114 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Zitat Zitat von chris77211 Beitrag anzeigen
    Hallo

    TanzmanDevil hat mich hierher verwiesen da ich seit ein paar Tagen Probleme beim einloggen habe.

    Ich bekomme immer solche Fehlermeldungen wenn ich mich in das Forum einlogge.

    [Bild: Unbeernannt.PNG]

    [Bild: k4TiS9OpUnbenannt.PNG]

    Nutze Firefox un Cache hab ich schon geleert.
    Und was macht dich glauben, dass das was mit der Umstellung auf https zu tun hat?

    Klingt für mich eher nach ne kaputten Cookie. In den Einstellungen unter Datenschutz auf Cookies anzeigen (evtl vorher die Chronik auf Benutzerdefiniert stellen) und nach "worldofplayers.de" suchen. Dort mal alle auftauchenden Cookies löschen, Browser neu starten und dann nochmal im Forum einloggen.
    Lookbehind ist offline

  15. #115 Zitieren
    General Avatar von chris77211
    Registriert seit
    Oct 2015
    Beiträge
    3.654
    Zitat Zitat von Lookbehind Beitrag anzeigen
    Und was macht dich glauben, dass das was mit der Umstellung auf https zu tun hat?

    Klingt für mich eher nach ne kaputten Cookie. In den Einstellungen unter Datenschutz auf Cookies anzeigen (evtl vorher die Chronik auf Benutzerdefiniert stellen) und nach "worldofplayers.de" suchen. Dort mal alle auftauchenden Cookies löschen, Browser neu starten und dann nochmal im Forum einloggen.
    Wie ich schon sagte bin ich vom Moderator hierher verwiesen worden.

    Ich bin im Privaten Modus unterwegs bei mir werden Cookies nie gespeichert. Firefox findet also nichts wenn ich nach "worldofplayers.de" suchen lasse.
    chris77211 ist offline

  16. #116 Zitieren

    Chef Zauberer
    Avatar von Sweil
    Registriert seit
    Apr 2004
    Ort
    Glasgow
    Beiträge
    8.245
    Ein Jahr nach dem es hier aufkam, wollte ich mal fragen wie sich in der Zwischenzeit die Meinung bezüglich einer Zwangs-Weiterleitung auf https entwickelt hat.

    Seit letztem Jahr geändert hat sich, dass inzwischen sowohl Chrome als auch Firefox vor unsicheren Verbindungen warnen (mehr oder weniger stark) und speziell auf ungeschützte Formulare hinweisen.
    Im Netzwerk selbst sind jetzt fast alle Seiten ausschließlich per https erreichbar, einschließlich der Portalseite welche nach einer Aenderung bei den Vorschaubildern auch 100% verschlüsselt ist (kein User content mehr).
    [Bild: TW3_Ev_04.jpg]
    »Jeder sollte einen Milgo zu Hause haben, denn er verursacht nur sehr geringe Kosten.«
    Sweil ist offline

  17. #117 Zitieren

    Foren-Mutter
    Avatar von meditate
    Registriert seit
    Sep 2001
    Beiträge
    77.279
    bin sehr dafür

    Antje Vollmers Vermächtnis

    Die AFD ist wie ein Ölfleck in der Pfütze. Er sieht bunt aus.
    Aber wenn man hineingreift, ist da nur brauner Matsch (Haseloff)
    meditate ist offline

  18. #118 Zitieren
    Tieftöner Avatar von Lookbehind
    Registriert seit
    Dec 2007
    Beiträge
    15.176
    Zitat Zitat von Sweil Beitrag anzeigen
    Ein Jahr nach dem es hier aufkam, wollte ich mal fragen wie sich in der Zwischenzeit die Meinung bezüglich einer Zwangs-Weiterleitung auf https entwickelt hat.
    ...
    Meine Meinung dazu hat sich nicht geändert. Ich freue mich nach wie vor über jede verschlüsselte Verbindung. Und ich halte eine simple Umleitung auf https nach wie vor für die deutlich einfacher umzusetzende Lösung um das zu erreichen.
    Lookbehind ist offline

  19. #119 Zitieren
    Almanach-Gelehrter  Avatar von Schatten
    Registriert seit
    Jan 2008
    Ort
    Almanach
    Beiträge
    20.339
    HTTPS ist wichtig für unsere Sicherheit. Daher sehe ich es nicht als Zwang an, HTTPS standardmäßig einzuführen. Wir müssen es unbedingt vorantreiben, damit es zum Standard wird.
    Schatten ist offline

Seite 6 von 6 « Erste ... 23456

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •