Opencaching Community

Die Plattform opencaching.de => Technik => Thema gestartet von: mic@ am 27. August 2017, 20:52:32

Titel: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: mic@ am 27. August 2017, 20:52:32
siehe Bild
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: teiling88 am 28. August 2017, 11:15:21
Ich hab ein Ticket: https://redmine.opencaching.de/issues/1104 dafür erstellt und werde mich darum kümmern :)
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: mic@ am 28. August 2017, 11:55:40
Benötigst Du die E-Mail im Original (mit klickbaren Verweisen)?
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: teiling88 am 28. August 2017, 13:58:58
Nein - habe ich gerade umgestellt. Die DE Domain ist nun SSL Only :-)
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: following am 28. August 2017, 15:29:45
Da werden jetzt einige ältere Tools auf die Nase fallen (z.B. Cachewolf?), die über http://www.opencaching.de gehen.

Würde es nicht genügen, von http nach https weiterzuleiten? Dann sollten die Chrome-Warnungen doch obsolet sein, weil auf http://www.opencaching.de kein Content mehr erscheint, oder?
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: teiling88 am 28. August 2017, 16:00:42
Würde es nicht genügen, von http nach https weiterzuleiten? Dann sollten die Chrome-Warnungen doch obsolet sein, weil auf http://www.opencaching.de kein Content mehr erscheint, oder?

Aber genau das macht die Seite doch aktuell?  :o Aufruf wie http -> redirect auf https.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: following am 28. August 2017, 16:16:07
Alles klar. Ich hatte hier etwas Programmcode, der die Redirects ignoriert hat statt ihnen zu folgen. Also es betrifft nur alte FUBAR-Tools.  ;)
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: flopp am 29. August 2017, 14:57:22
Mir hat es heute Nacht die Safari-Karte (bzw. das Update-Skript) zerhagelt - jetzt ist aber alles auf https umgestellt  8)
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: inder am 06. September 2017, 18:39:22
OcProp ist damit auch mal wieder blockiert.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: ClanFamily (Mirco) am 07. September 2017, 08:43:46
OcProp ist damit auch mal wieder blockiert.

Lief das in den letzten Tagen noch?
Ich dachte das wäre schon länger "hin".
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: inder am 07. September 2017, 09:29:40
Mit den entsprechenden Anpassungen lief es noch.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: teiling88 am 07. September 2017, 10:10:08
Mit den entsprechenden Anpassungen lief es noch.

Dann hast Du den User-Agent aber auch verändert oder?
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: inder am 07. September 2017, 10:41:48
Ja, das hattest afaik Du mal angeraten. Bis zur Abschaltung von http: klappte es auch gut (nur der Foto up-/download hatte seit der Einführung der Kompression beim upload ein paar Macken).
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: teiling88 am 07. September 2017, 10:43:48
Ja, das hattest afaik Du mal angeraten. Bis zur Abschaltung von http: klappte es auch gut (nur der Foto up-/download hatte seit der Einführung der Kompression beim upload ein paar Macken).

Im Endeffekt musst Du jetzt einmal alle http:// Links die auf opencaching.de verweisen auf https:// umstellen. Dann sollte es wieder funktionieren.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: inder am 08. September 2017, 16:54:45
Habe ich schon getestet. Scheint auch zu funktionieren, so weit ich bisher erkennen konnte.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: following am 09. September 2017, 02:34:51
Mir hat es heute Nacht die Safari-Karte (bzw. das Update-Skript) zerhagelt - jetzt ist aber alles auf https umgestellt  8)

Den OC-Monitor (http://flopp.grus.uberspace.de/oc-monitor/) scheint's auch erwischt zu haben.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: mic@ am 09. September 2017, 07:30:03
Zitat von: following
Den OC-Monitor (http://flopp.grus.uberspace.de/oc-monitor/) scheint's auch erwischt zu haben.

Stimmt. Zum Glück gibt es ja noch einen anderen Monitor:
--> http://bit.ly/herzmonitor
Titel: Warum denn eigentlich Zwangs-SSL?
Beitrag von: Dr.Cool am 09. September 2017, 17:16:12
Zum Thema SSL:

Es hätte ja eigentlich genügt, die Seite, die empfindliche Daten - und das ist nur die Login-Seite wegen des Passwortes - abzusichern, dann wär die verunsichernde Browser-Meldung weg gewesen.

Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen? Dann hätte es keine Probleme mit den allermeisten Tools gegeben, soweit diese nur Seiten abrufen, für die man sich nicht einloggen muss.

Ich halte nicht sonderlich viel von der Zwangsbeglückung mit SSL, soweit es unnötig ist. Man sollte dem User die Wahl lassen.

Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert (was auch ein wenig Know How benötigt, so dass das nicht jeder auf Anhieb kann) hagelt es böse, rote Fehlermeldungen im Browser und ich sage mal "die meisten" Benutzer finden den Knopf nicht, das abgelaufene Zertifikat trotzdem zu akzeptieren und sind dann damit komplett ausgesperrt. Doof, wenn man dann nicht mehr mit normalo-HTTP auf die Seite kommt. Dann geht nämlich gar nichts mehr.

Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab. Ein Schloss mit gelben Warndreieck (wegen mixed content) kommt eh nicht gut.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: Slini11 am 10. September 2017, 00:54:47
Mit den entsprechenden Anpassungen lief es noch.
Gibt es eigentlich das Programm / den Code wieder irgendwo öffentlich zum herunterladen?
Oder machst du das nur, damit es für dich läuft?
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: inder am 10. September 2017, 08:56:16
Den Originalcode 2.21 sollte es auf sourceforge noch geben. Die nötigen Patches findet man im Geoclub.
Titel: Re: Warum denn eigentlich Zwangs-SSL?
Beitrag von: SammysHP am 12. September 2017, 20:42:48
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen?
[…]
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab.
Schau mal oben an den Rand. Du bist normalerweise immer eingeloggt. Es werden ständig Cookies übertragen, welche dich (und ggf. deinen Login) identifizieren. Andere Leute können verfolgen, was du bei opencaching.de machst. Nur so ein paar Beispiele. Es gibt keinen vernünftigen Grund, auf eine sichere Verbindung zu verzichten.

Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert
Let's Encrypt wird vollautomatisch verlängert. Gibt es ein Problem, wird man darüber per E-Mail informiert (und kann das auch in den Logs sehen). Die Einrichtung dauert keine fünf Minuten und erfordert keinerlei spezielle Kenntnisse.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: following am 08. Oktober 2017, 23:32:41
Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?

Bei mir läuft die aktuelle Chrome-Version unter Windows, und ich hab eben mal versucht auf http://www.opencaching.nl irgendwelche Browser-Warnungen zu entdecken. Außer der üblichen Warnung bei der Pasworteingabe aber ohne Erfolg.
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: mic@ am 11. Oktober 2017, 00:13:41
Zitat von: following
Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?

Yep!
Siehe auch https://redmine.opencaching.de/issues/1137
Titel: Re: Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Beitrag von: following am 11. Oktober 2017, 00:15:13
Siehe auch https://redmine.opencaching.de/issues/1137

Das war etwas Anderes, es hat nichts mit http/https zu tun.