Forum über HTTPS nicht nutzbar

  • Die Meisten (oder zumindest viele) verwenden ein Passwort für alle Dienste, also ja, es gibt definitiv ein Interesse.


    Was eine unnötige Frage... Warum sollte man überall seine Daten probieren unter Kontrolle zu haben und in einem SAMP Forum eine Ausnahme machen?


    Ihr spielt auf Servern, die vorgeben die Passwörter zu verschlüsseln und es dann im Endeffekt nichtmal machen. Ihr spielt auf Servern, auf denen es so viele Sicherheitslücken gibt, dass es sogar möglich ist, dass jemand ohne Ahnung Zugriff auf die Datenbank hat. Und dann beschwert man sich, dass ein Forum kein HTTPS anbietet, was total sinnlos ist? Um unverschlüsselten Traffic abzufangen müsste der Angreifer in eurem Netzwerk sitzen, was ich bei einem Heimnetzwerk schonmal für utopisch halte, müsste dann die Domain von diesem Forum spoofen um dann den Traffic abzufangen. Was sollte dieser Jemand dann mit einem Account machen? Böse Sachen posten? Oh nein.


    Wer bei allen Diensten das gleiche Passwort verwendet hat die Kontrolle über sein Leben verloren.

  • Was sollte dieser Jemand dann mit einem Account machen? Böse Sachen posten? Oh nein.


    Ich habe fast 2 1/2 Jahre auf einem Server gespielt, auf dem nahezu monatlich jemand "gehackt" wurde. Die Accounts haben dann teilweise Admins beleidigt, Cheats verwendet, Geld an irgendwelche random Spieler verschenkt und du behauptest ernsthaft, die Leute würden in einem Forum nicht irgendeine Scheiße posten, um dem Accountinhaber zu schaden?


    Gut, meistens lag es eher daran, dass die Nutzer einfach achtlos mit den Daten umgegangen sind, aber man sollte nicht von vorneherein solches Verhalten ausschließen, irrelevant, ob es nun technisch möglich ist oder nicht.

  • Nichts auf dieser Welt kann gegen mehr Sicherheit sprechen. - Egal was man für Argumente man hat.

  • Ich finde, das Team/der Webmaster sollte entscheiden ob das Forum ein SSL Zertifikat und eine gesicherte Verbindung bekommt. Nur weil die User sowas wollen sollte man das nicht machen. Meiner Meinung nach ist es auch Schwachsinn eine HTTPS Verbindung für das Forum zu benutzen, ändert halt euer Passwort auf eins was ihr nur in diesem Forum benutzt und fertig.

  • Na denkt mal dran, das hier genauso auch ungesicherte Grafiken in Signaturen usw sind... also wirst du nie eine komplette Verschlüsselung mit HTTPS haben.... also warum den Aufwand betreiben und hier SSL einfügen? (was mit Cloudflare sogar kostenlos wäre)

    Mit freundlichen Grüßen
    Developer
    Go/Python Developer | ehm. Webdeveloper | Fachinformatiker Anwendungsentwicklung
    Arbeitet in einem cloudigen Umfeld bei einem der größten deutschen Rechenzentrumsbetreibern

  • .Marc:
    Okay das ist jetzt komisch.
    Ich denke das liegt am Browser denn:


    Mein Standart Browser (Maxthon Cloud Browser):


    und jetzt das witzige.. Google Chrome:



    Chrome zeigt bei mir das Design garnicht an. Dennoch SSL Verschlüsslung.
    Maxthon hingegen zeigt es mir und sagt mir ebenfalls, dass hier eine SSL Verschlüsselung vorliegt.


    Zertifikat bei Maxthon:


    und bei Chrome:


    Komisch das ganze :>?

    "Imagine if the government went after corruption as hard as it goes after guys who run filesharing sites. Priorities. " - @Snowden
    "More worrying than FBI temporarily running a server that contained child porn, is hacking computers anywhere in the world with one warrant" - @josephfcox

  • Nicht wirklich. Wenn du versuchst eine verschlüsselte Seite aufrufst (wie es hier bei https://forum.sa-mp.de der Fall ist), diese aber Inhalte ohne Verschlüsselung laden möchte (z.b. http://forum.sa-mp.de/style/burningBoard.css), werden diese Inhalte geblockt und nicht geladen. Kannste auch nochmal in der Chrome Konsole nachsehen, da steht dann sowas wie

    Code
    Mixed Content: The page at 'https://forum.sa-mp.de/[...]' was loaded over HTTPS, but requested an insecure stylesheet 'http://forum.sa-mp.de/style/burningBoard.css'. This request has been blocked; the content must be served over HTTPS.


    Das ist ein Sicherheitsmechanismus von Chrome, damit Unbekannte nicht einfach unsicheren Code in via HTTPS aufgerufene Seiten einbinden können. Firefox macht es glaube ich genau so.



    Dass das Forum überhaupt per HTTPS erreichbar ist liegt daran das wir Cloudflare nutzen und die Universal SSL standardmäßig mitliefern. Das Forum selbst ist aber nicht darauf eingestellt, und liefert deshalb manche Resourcen via HTTP aus.

    The fact is, I am right. And if you think I'm wrong, you are wrong.

  • Wir unterstützen im Prinzip SSL. WBB ist etwas doof, und kapiert nicht von sich aus, ob der Request verschlüsselt ist oder nicht - dagegen kann man vermutlich angehen, darum müsste sich aber wer mit entsprechenden Rechten kümmern.


    Das was maddin sagt klingt klüger.


    Aber: Selbst wenn wir das von unserer Seite aus geregelt bekommen, gibt es noch externe Resourcen, die unverschlüsselt angefordert werden (z.B. Bilder in Signaturen, Beiträgen, ...). Damit sind unsere Bemühungen zwar sicher nett, aber letztendlich unnötig. Um das mal etwas verständlicher zu machen: GitHub benutzt um dieses Problem zu umgehen extra einen HTTP-To-HTTPS-Proxy namens Camo. Und um ehrlich zu sein: So ein Aufwand für ein Spieleforum ist übertrieben. Die beste Absicherung ist eben noch immer das Gehirn. Dass man sich, wenn man Angst um seine Daten hat, nicht in einem öffentlichen Netzwerk anmeldet, sollte doch wohl klar sein. Und wenn man für mehrere (oder gar alle) Plattformen das selbe Passwort verwendet, ist man auch selbst schuld.

    Moderator der Bereiche: Coding, Vorstellungsrunde und Handelsecke. Über Verwarnungen, falls du zu den Wenigen gehörst, die eine Verwarnung von mir erhalten haben, kannst du jederzeit mit mir reden, sofern der Umgangston stimmt.


    expect us. / unkompetent. Das neue dynamisch. / easy-stripping.net - coming soon! / "9§. the entire website bestands out of english." / Vollprofi in allem, wo gibt und noch mehr; kann auch OOP.
    Kleine Coding-Frage? Schau doch in #dev im IRC vorbei, wir können dir sicher helfen.


    Ich bin für Aufträge im Bereich der Webentwicklung (z.B. User Control Panel) zu haben. Kontaktiere mich diesbezüglich einfach in einer privaten Nachricht mit deinen, möglichst konkreten, Vorstellungen.


    lesen.denken.posten. - [22:54:14] <Goldkiller2> früher gabs immer so coole user da stand in der signatur "lesen.denken.posten."


    Mafia 2 Multiplayer (m2mp.de) - Eine kostenlose Modifikation für Mafia 2, die es, ähnlich wie SAMP, erlaubt über das Internet oder LAN mit bis zu 1000 anderen Spielern zu spielen.

  • Ich finde euer Workaround sehr amüsant.
    Wenn man nun mit dem HTTPs protokoll verbindet wird man einfach auf HTTP weitergeleitet..


    Selbst wenn die anderen sachen unverschlüsselt sind, die Datenübertragung zwischen MEINEM Browser und EUREM Server ist verschlüsselt.
    Wenn bilder von anderen Servern unverschlüsselt kommen ist mir das Rille.


    Und es geht nicht darum, dass es ein" Spieleforum" ist sondern, dass es ein großes Netzwerk darstellt. Mit mehreren hundert Benutzern täglich und ihr
    stellt nicht einmal Standards, die jeder führen sollte, zur Verfügung.

    ik bin der vito c: