Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein

Hier geht es um die technische Bereitstellung der Plattform - KnowHow im Bereich Virtualisierung und CentOS können sind hier sehr hilfreich
following

[quote="flopp"]
Mir hat es heute Nacht die Safari-Karte (bzw. das Update-Skript) zerhagelt - jetzt ist aber alles auf https umgestellt  8)
[/quote]

Den [url=http://flopp.grus.uberspace.de/oc-monitor/]OC-Monitor[/url] scheint's auch erwischt zu haben.
Benutzeravatar
mic@
Vereinsmitglied
Vereinsmitglied
Beiträge: 6513
Registriert: 04.12.2009, 00:31

[quote="following"]Den [url=http://flopp.grus.uberspace.de/oc-monitor/]OC-Monitor[/url] scheint's auch erwischt zu haben.[/quote]

Stimmt. Zum Glück gibt es ja noch einen anderen Monitor:
--> http://bit.ly/herzmonitor
Dr.Cool

Zum Thema SSL:

Es hätte ja eigentlich genügt, die Seite, die empfindliche Daten - und das ist nur die Login-Seite wegen des Passwortes - abzusichern, dann wär die verunsichernde Browser-Meldung weg gewesen.

Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen? Dann hätte es keine Probleme mit den allermeisten Tools gegeben, soweit diese nur Seiten abrufen, für die man sich nicht einloggen muss.

Ich halte nicht sonderlich viel von der Zwangsbeglückung mit SSL, soweit es unnötig ist. Man sollte dem User die Wahl lassen.

Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert (was auch ein wenig Know How benötigt, so dass das nicht jeder auf Anhieb kann) hagelt es böse, rote Fehlermeldungen im Browser und ich sage mal "die meisten" Benutzer finden den Knopf nicht, das abgelaufene Zertifikat trotzdem zu akzeptieren und sind dann damit komplett ausgesperrt. Doof, wenn man dann nicht mehr mit normalo-HTTP auf die Seite kommt. Dann geht nämlich gar nichts mehr.

Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab. Ein Schloss mit gelben Warndreieck (wegen mixed content) kommt eh nicht gut.
Benutzeravatar
Slini11
Vereinsmitglied
Vereinsmitglied
Beiträge: 1159
Registriert: 17.03.2012, 13:25

[quote="inder"]
Mit den entsprechenden Anpassungen lief es noch.
[/quote]
Gibt es eigentlich das Programm / den Code wieder irgendwo öffentlich zum herunterladen?
Oder machst du das nur, damit es für dich läuft?
[url=http://www.opencaching.de/viewprofile.php?userid=159941][img]http://www.opencaching.de/statpics/DE/159941.jpg[/img][/url]
inder
Beiträge: 8
Registriert: 06.08.2017, 22:11

Den Originalcode 2.21 sollte es auf sourceforge noch geben. Die nötigen Patches findet man im Geoclub.
Zuletzt geändert von inder am 10.09.2017, 09:01, insgesamt 1-mal geändert.
Benutzeravatar
SammysHP
Nano
Nano
Beiträge: 32
Registriert: 17.04.2016, 13:44

[quote="Dr.Cool"]
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen?
[…]
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab.
[/quote]
Schau mal oben an den Rand. Du bist normalerweise immer eingeloggt. Es werden ständig Cookies übertragen, welche dich (und ggf. deinen Login) identifizieren. Andere Leute können verfolgen, was du bei opencaching.de machst. Nur so ein paar Beispiele. Es gibt keinen vernünftigen Grund, auf eine sichere Verbindung zu verzichten.

[quote="Dr.Cool"]
Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert
[/quote]
Let's Encrypt wird vollautomatisch verlängert. Gibt es ein Problem, wird man darüber per E-Mail informiert (und kann das auch in den Logs sehen). Die Einrichtung dauert keine fünf Minuten und erfordert keinerlei spezielle Kenntnisse.
following

Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?

Bei mir läuft die aktuelle Chrome-Version unter Windows, und ich hab eben mal versucht auf http://www.opencaching.nl irgendwelche Browser-Warnungen zu entdecken. Außer der üblichen Warnung bei der Pasworteingabe aber ohne Erfolg.
Benutzeravatar
mic@
Vereinsmitglied
Vereinsmitglied
Beiträge: 6513
Registriert: 04.12.2009, 00:31

[quote="following"]Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?[/quote]

Yep!
Siehe auch https://redmine.opencaching.de/issues/1137
following

[quote="mic@"]
Siehe auch https://redmine.opencaching.de/issues/1137
[/quote]

Das war etwas Anderes, es hat nichts mit http/https zu tun.
Antworten