Autor Thema: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein  (Gelesen 804 mal)

Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
« Antwort #15 am: 09. September 2017, 02:34:51 »
Mir hat es heute Nacht die Safari-Karte (bzw. das Update-Skript) zerhagelt - jetzt ist aber alles auf https umgestellt  8)

Den OC-Monitor scheint's auch erwischt zu haben.
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.

Offline mic@

  • Vereinsmitglied
  • Large
  • *
  • Beiträge: 6010
  • oc-only Verstecker
Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
« Antwort #16 am: 09. September 2017, 07:30:03 »
Zitat von: following
Den OC-Monitor scheint's auch erwischt zu haben.

Stimmt. Zum Glück gibt es ja noch einen anderen Monitor:
--> http://bit.ly/herzmonitor

Offline Dr.Cool

  • Aktive User
  • *
  • Beiträge: 2
Warum denn eigentlich Zwangs-SSL?
« Antwort #17 am: 09. September 2017, 17:16:12 »
Zum Thema SSL:

Es hätte ja eigentlich genügt, die Seite, die empfindliche Daten - und das ist nur die Login-Seite wegen des Passwortes - abzusichern, dann wär die verunsichernde Browser-Meldung weg gewesen.

Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen? Dann hätte es keine Probleme mit den allermeisten Tools gegeben, soweit diese nur Seiten abrufen, für die man sich nicht einloggen muss.

Ich halte nicht sonderlich viel von der Zwangsbeglückung mit SSL, soweit es unnötig ist. Man sollte dem User die Wahl lassen.

Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert (was auch ein wenig Know How benötigt, so dass das nicht jeder auf Anhieb kann) hagelt es böse, rote Fehlermeldungen im Browser und ich sage mal "die meisten" Benutzer finden den Knopf nicht, das abgelaufene Zertifikat trotzdem zu akzeptieren und sind dann damit komplett ausgesperrt. Doof, wenn man dann nicht mehr mit normalo-HTTP auf die Seite kommt. Dann geht nämlich gar nichts mehr.

Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab. Ein Schloss mit gelben Warndreieck (wegen mixed content) kommt eh nicht gut.

Offline Slini11

  • Vereinsmitglied
  • Normal
  • *
  • Beiträge: 1028
  • OC-Only
Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
« Antwort #18 am: 10. September 2017, 00:54:47 »
Mit den entsprechenden Anpassungen lief es noch.
Gibt es eigentlich das Programm / den Code wieder irgendwo öffentlich zum herunterladen?
Oder machst du das nur, damit es für dich läuft?

Offline inder

  • Aktive User
  • *
  • Beiträge: 8
Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
« Antwort #19 am: 10. September 2017, 08:56:16 »
Den Originalcode 2.21 sollte es auf sourceforge noch geben. Die nötigen Patches findet man im Geoclub.
« Letzte Änderung: 10. September 2017, 09:01:18 von inder »

Offline SammysHP

  • Nano
  • **
  • Beiträge: 18
  • c:geo Entwickler
    • sammyshp.de
Re: Warum denn eigentlich Zwangs-SSL?
« Antwort #20 am: 12. September 2017, 20:42:48 »
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen?
[…]
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab.
Schau mal oben an den Rand. Du bist normalerweise immer eingeloggt. Es werden ständig Cookies übertragen, welche dich (und ggf. deinen Login) identifizieren. Andere Leute können verfolgen, was du bei opencaching.de machst. Nur so ein paar Beispiele. Es gibt keinen vernünftigen Grund, auf eine sichere Verbindung zu verzichten.

Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert
Let's Encrypt wird vollautomatisch verlängert. Gibt es ein Problem, wird man darüber per E-Mail informiert (und kann das auch in den Logs sehen). Die Einrichtung dauert keine fünf Minuten und erfordert keinerlei spezielle Kenntnisse.

Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
« Antwort #21 am: 08. Oktober 2017, 23:32:41 »
Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?

Bei mir läuft die aktuelle Chrome-Version unter Windows, und ich hab eben mal versucht auf http://www.opencaching.nl irgendwelche Browser-Warnungen zu entdecken. Außer der üblichen Warnung bei der Pasworteingabe aber ohne Erfolg.
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.

Offline mic@

  • Vereinsmitglied
  • Large
  • *
  • Beiträge: 6010
  • oc-only Verstecker
Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
« Antwort #22 am: 11. Oktober 2017, 00:13:41 »
Zitat von: following
Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?

Yep!
Siehe auch https://redmine.opencaching.de/issues/1137

Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
« Antwort #23 am: 11. Oktober 2017, 00:15:13 »
Siehe auch https://redmine.opencaching.de/issues/1137

Das war etwas Anderes, es hat nichts mit http/https zu tun.
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.