[quote="flopp"]
Mir hat es heute Nacht die Safari-Karte (bzw. das Update-Skript) zerhagelt - jetzt ist aber alles auf https umgestellt
[/quote]
Den [url=http://flopp.grus.uberspace.de/oc-monitor/]OC-Monitor[/url] scheint's auch erwischt zu haben.
Chrome blendet unter http://www.opencaching.de Sicherheitswarnungen ein
Zum Thema SSL:
Es hätte ja eigentlich genügt, die Seite, die empfindliche Daten - und das ist nur die Login-Seite wegen des Passwortes - abzusichern, dann wär die verunsichernde Browser-Meldung weg gewesen.
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen? Dann hätte es keine Probleme mit den allermeisten Tools gegeben, soweit diese nur Seiten abrufen, für die man sich nicht einloggen muss.
Ich halte nicht sonderlich viel von der Zwangsbeglückung mit SSL, soweit es unnötig ist. Man sollte dem User die Wahl lassen.
Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert (was auch ein wenig Know How benötigt, so dass das nicht jeder auf Anhieb kann) hagelt es böse, rote Fehlermeldungen im Browser und ich sage mal "die meisten" Benutzer finden den Knopf nicht, das abgelaufene Zertifikat trotzdem zu akzeptieren und sind dann damit komplett ausgesperrt. Doof, wenn man dann nicht mehr mit normalo-HTTP auf die Seite kommt. Dann geht nämlich gar nichts mehr.
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab. Ein Schloss mit gelben Warndreieck (wegen mixed content) kommt eh nicht gut.
Es hätte ja eigentlich genügt, die Seite, die empfindliche Daten - und das ist nur die Login-Seite wegen des Passwortes - abzusichern, dann wär die verunsichernde Browser-Meldung weg gewesen.
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen? Dann hätte es keine Probleme mit den allermeisten Tools gegeben, soweit diese nur Seiten abrufen, für die man sich nicht einloggen muss.
Ich halte nicht sonderlich viel von der Zwangsbeglückung mit SSL, soweit es unnötig ist. Man sollte dem User die Wahl lassen.
Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert (was auch ein wenig Know How benötigt, so dass das nicht jeder auf Anhieb kann) hagelt es böse, rote Fehlermeldungen im Browser und ich sage mal "die meisten" Benutzer finden den Knopf nicht, das abgelaufene Zertifikat trotzdem zu akzeptieren und sind dann damit komplett ausgesperrt. Doof, wenn man dann nicht mehr mit normalo-HTTP auf die Seite kommt. Dann geht nämlich gar nichts mehr.
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab. Ein Schloss mit gelben Warndreieck (wegen mixed content) kommt eh nicht gut.
[quote="inder"]
Mit den entsprechenden Anpassungen lief es noch.
[/quote]
Gibt es eigentlich das Programm / den Code wieder irgendwo öffentlich zum herunterladen?
Oder machst du das nur, damit es für dich läuft?
Mit den entsprechenden Anpassungen lief es noch.
[/quote]
Gibt es eigentlich das Programm / den Code wieder irgendwo öffentlich zum herunterladen?
Oder machst du das nur, damit es für dich läuft?
[url=http://www.opencaching.de/viewprofile.php?userid=159941][img]http://www.opencaching.de/statpics/DE/159941.jpg[/img][/url]
[quote="Dr.Cool"]
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen?
[…]
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab.
[/quote]
Schau mal oben an den Rand. Du bist normalerweise immer eingeloggt. Es werden ständig Cookies übertragen, welche dich (und ggf. deinen Login) identifizieren. Andere Leute können verfolgen, was du bei opencaching.de machst. Nur so ein paar Beispiele. Es gibt keinen vernünftigen Grund, auf eine sichere Verbindung zu verzichten.
[quote="Dr.Cool"]
Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert
[/quote]
Let's Encrypt wird vollautomatisch verlängert. Gibt es ein Problem, wird man darüber per E-Mail informiert (und kann das auch in den Logs sehen). Die Einrichtung dauert keine fünf Minuten und erfordert keinerlei spezielle Kenntnisse.
Was spricht eigentlich dagegen, zu erlauben, sowieso öffentlich verfügbare Informationen wie die Cache-Listings weiterhin unverschlüsselt über HTTP zu übertragen?
[…]
Vielleicht denkt ihr nochmal drüber nach und sichert nur die wirklich relevanten Seiten (login.php) ab.
[/quote]
Schau mal oben an den Rand. Du bist normalerweise immer eingeloggt. Es werden ständig Cookies übertragen, welche dich (und ggf. deinen Login) identifizieren. Andere Leute können verfolgen, was du bei opencaching.de machst. Nur so ein paar Beispiele. Es gibt keinen vernünftigen Grund, auf eine sichere Verbindung zu verzichten.
[quote="Dr.Cool"]
Auch für den Serverbetreiber wird es nicht einfacher. Bei Let's Encrypt läuft das Zertifikat alle drei Monate ab. Wenn man sich das nicht auf Wiedervorlage legt und das nicht rechtzeitig erneuert
[/quote]
Let's Encrypt wird vollautomatisch verlängert. Gibt es ein Problem, wird man darüber per E-Mail informiert (und kann das auch in den Logs sehen). Die Einrichtung dauert keine fünf Minuten und erfordert keinerlei spezielle Kenntnisse.
Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?
Bei mir läuft die aktuelle Chrome-Version unter Windows, und ich hab eben mal versucht auf http://www.opencaching.nl irgendwelche Browser-Warnungen zu entdecken. Außer der üblichen Warnung bei der Pasworteingabe aber ohne Erfolg.
Bei mir läuft die aktuelle Chrome-Version unter Windows, und ich hab eben mal versucht auf http://www.opencaching.nl irgendwelche Browser-Warnungen zu entdecken. Außer der üblichen Warnung bei der Pasworteingabe aber ohne Erfolg.
[quote="following"]Wurden die angekündigten Chrome-Warnungen schon irgendwo gesichtet?[/quote]
Yep!
Siehe auch https://redmine.opencaching.de/issues/1137
Yep!
Siehe auch https://redmine.opencaching.de/issues/1137
[quote="mic@"]
Siehe auch https://redmine.opencaching.de/issues/1137
[/quote]
Das war etwas Anderes, es hat nichts mit http/https zu tun.
Siehe auch https://redmine.opencaching.de/issues/1137
[/quote]
Das war etwas Anderes, es hat nichts mit http/https zu tun.