Forum über HTTPS nicht nutzbar

Jan · 22. Februar 2015

Zitat von Jack_Bauer

Die Meisten (oder zumindest viele) verwenden ein Passwort für alle Dienste, also ja, es gibt definitiv ein Interesse.

Zitat von Keyboy

Was eine unnötige Frage... Warum sollte man überall seine Daten probieren unter Kontrolle zu haben und in einem SAMP Forum eine Ausnahme machen?

Ihr spielt auf Servern, die vorgeben die Passwörter zu verschlüsseln und es dann im Endeffekt nichtmal machen. Ihr spielt auf Servern, auf denen es so viele Sicherheitslücken gibt, dass es sogar möglich ist, dass jemand ohne Ahnung Zugriff auf die Datenbank hat. Und dann beschwert man sich, dass ein Forum kein HTTPS anbietet, was total sinnlos ist? Um unverschlüsselten Traffic abzufangen müsste der Angreifer in eurem Netzwerk sitzen, was ich bei einem Heimnetzwerk schonmal für utopisch halte, müsste dann die Domain von diesem Forum spoofen um dann den Traffic abzufangen. Was sollte dieser Jemand dann mit einem Account machen? Böse Sachen posten? Oh nein.

Wer bei allen Diensten das gleiche Passwort verwendet hat die Kontrolle über sein Leben verloren.

Kinimod · 22. Februar 2015

Zitat von Jan

Was sollte dieser Jemand dann mit einem Account machen? Böse Sachen posten? Oh nein.

Ich habe fast 2 1/2 Jahre auf einem Server gespielt, auf dem nahezu monatlich jemand "gehackt" wurde. Die Accounts haben dann teilweise Admins beleidigt, Cheats verwendet, Geld an irgendwelche random Spieler verschenkt und du behauptest ernsthaft, die Leute würden in einem Forum nicht irgendeine Scheiße posten, um dem Accountinhaber zu schaden?

Gut, meistens lag es eher daran, dass die Nutzer einfach achtlos mit den Daten umgegangen sind, aber man sollte nicht von vorneherein solches Verhalten ausschließen, irrelevant, ob es nun technisch möglich ist oder nicht.

Liam Rocky · 22. Februar 2015

Nichts auf dieser Welt kann gegen mehr Sicherheit sprechen. - Egal was man für Argumente man hat.

Keevin · 22. Februar 2015

Ich finde, das Team/der Webmaster sollte entscheiden ob das Forum ein SSL Zertifikat und eine gesicherte Verbindung bekommt. Nur weil die User sowas wollen sollte man das nicht machen. Meiner Meinung nach ist es auch Schwachsinn eine HTTPS Verbindung für das Forum zu benutzen, ändert halt euer Passwort auf eins was ihr nur in diesem Forum benutzt und fertig.

Developer · 22. Februar 2015

Na denkt mal dran, das hier genauso auch ungesicherte Grafiken in Signaturen usw sind... also wirst du nie eine komplette Verschlüsselung mit HTTPS haben.... also warum den Aufwand betreiben und hier SSL einfügen? (was mit Cloudflare sogar kostenlos wäre)

Loganpunkt · 22. Februar 2015

.Marc:
Okay das ist jetzt komisch.
Ich denke das liegt am Browser denn:

Mein Standart Browser (Maxthon Cloud Browser):

und jetzt das witzige.. Google Chrome:

Chrome zeigt bei mir das Design garnicht an. Dennoch SSL Verschlüsslung.
Maxthon hingegen zeigt es mir und sagt mir ebenfalls, dass hier eine SSL Verschlüsselung vorliegt.

Zertifikat bei Maxthon:

und bei Chrome:

Komisch das ganze :>?

maddin · 22. Februar 2015

Nicht wirklich. Wenn du versuchst eine verschlüsselte Seite aufrufst (wie es hier bei https://forum.sa-mp.de der Fall ist), diese aber Inhalte ohne Verschlüsselung laden möchte (z.b. http://forum.sa-mp.de/style/burningBoard.css), werden diese Inhalte geblockt und nicht geladen. Kannste auch nochmal in der Chrome Konsole nachsehen, da steht dann sowas wie

Code

Mixed Content: The page at 'https://forum.sa-mp.de/[...]' was loaded over HTTPS, but requested an insecure stylesheet 'http://forum.sa-mp.de/style/burningBoard.css'. This request has been blocked; the content must be served over HTTPS.

Das ist ein Sicherheitsmechanismus von Chrome, damit Unbekannte nicht einfach unsicheren Code in via HTTPS aufgerufene Seiten einbinden können. Firefox macht es glaube ich genau so.

Dass das Forum überhaupt per HTTPS erreichbar ist liegt daran das wir Cloudflare nutzen und die Universal SSL standardmäßig mitliefern. Das Forum selbst ist aber nicht darauf eingestellt, und liefert deshalb manche Resourcen via HTTP aus.

Klemmlampe · 22. Februar 2015

Wir unterstützen im Prinzip SSL. WBB ist etwas doof, und kapiert nicht von sich aus, ob der Request verschlüsselt ist oder nicht - dagegen kann man vermutlich angehen, darum müsste sich aber wer mit entsprechenden Rechten kümmern.

Das was maddin sagt klingt klüger.

Aber: Selbst wenn wir das von unserer Seite aus geregelt bekommen, gibt es noch externe Resourcen, die unverschlüsselt angefordert werden (z.B. Bilder in Signaturen, Beiträgen, ...). Damit sind unsere Bemühungen zwar sicher nett, aber letztendlich unnötig. Um das mal etwas verständlicher zu machen: GitHub benutzt um dieses Problem zu umgehen extra einen HTTP-To-HTTPS-Proxy namens Camo. Und um ehrlich zu sein: So ein Aufwand für ein Spieleforum ist übertrieben. Die beste Absicherung ist eben noch immer das Gehirn. Dass man sich, wenn man Angst um seine Daten hat, nicht in einem öffentlichen Netzwerk anmeldet, sollte doch wohl klar sein. Und wenn man für mehrere (oder gar alle) Plattformen das selbe Passwort verwendet, ist man auch selbst schuld.

VitoHusky · 23. Februar 2015

Ich finde euer Workaround sehr amüsant.
Wenn man nun mit dem HTTPs protokoll verbindet wird man einfach auf HTTP weitergeleitet..

Selbst wenn die anderen sachen unverschlüsselt sind, die Datenübertragung zwischen MEINEM Browser und EUREM Server ist verschlüsselt.
Wenn bilder von anderen Servern unverschlüsselt kommen ist mir das Rille.

Und es geht nicht darum, dass es ein" Spieleforum" ist sondern, dass es ein großes Netzwerk darstellt. Mit mehreren hundert Benutzern täglich und ihr
stellt nicht einmal Standards, die jeder führen sollte, zur Verfügung.

zabus · 23. Februar 2015

Werden dazu eine Lösung finden. Wird nur bisschen dauern

Edit: verbessert