WinFuture-Forum.de: Warum immer noch kein HTTPS? - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 5 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Letzte »

Warum immer noch kein HTTPS?


#1 Mitglied ist offline   babadook 

  • Gruppe: neue Mitglieder
  • Beiträge: 0
  • Beigetreten: 26. Juli 18
  • Reputation: 0

geschrieben 26. Juli 2018 - 10:34

hi,

sei neuestem markiert Chrome Seiten, die nicht auf https umgestellt sind als unsicher. Wieso habt ihr es immer noch nicht geschafft auf HTTPS umzurüsten? Ich meine wir haben fast 2019. Und ihr seid nun wirklich nicht erst seit gestern im Internet.
0

Anzeige



#2 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 26. Juli 2018 - 11:46

Das wurde schon mal probiert, mit dem Ergebnis dass nur Teile der Seite über https geladen wurden und andere Teile nicht. In solche einem Fall wird die Seite trotzdem als unsicher markiert.

Ich find das auf der Webseite gar nicht schlimm, jedoch für das Forum bei dem mit Logindaten hantiert wird, da hat https Pflicht zu sein. Winfuture überzeugt hier mit nichts tun und setzt die Daten der User einem erhöhten Risiko aus. Ob das nun absichtlich passiert oder fahrlässig, das ändert nichts an der Tatsache das es technisch schwach ist.

Am besten zu winpast umbenennen. Da weiß man wenigstens auf was man sich einlässt. Sture http Nutzung und Ignorierung von https hat jedenfalls nichts mit future zu tun.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#3 Mitglied ist offline   DON666 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.195
  • Beigetreten: 30. Oktober 03
  • Reputation: 500
  • Geschlecht:Männlich
  • Wohnort:Verden (Niedersachsen)
  • Interessen:PC, Xbox Series X

geschrieben 26. Juli 2018 - 12:45

Beitrag anzeigenZitat (Gispelmob: 26. Juli 2018 - 11:46)

[...]
Ich find das auf der Webseite gar nicht schlimm, jedoch für das Forum bei dem mit Logindaten hantiert wird, da hat https Pflicht zu sein.
[...]

Naja, also wenn schon, denn schon. Auf der Website logge ich mich ebenso ein, und sicherlich verwenden sehr viele sowohl dort als auch fürs Forum identische Logindaten. Sollte da also irgendwann mal eine Anpassung erfolgen, müsste die schon beide Seiten von WinFuture umfassen. :smokin:
Motörhead
Queens Of The Stone Age
Fu Manchu
Napalm Death
Liar
Grim Tales... ^^
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 26. Juli 2018 - 17:45

Die Hauptseite verwendet fürs Login Letztusoalsobencrypt, da mußt ich erstmal ne Ausnahme für einrichten.

Zertifikat kost Geld und WF hat davon, scheint es, dauerwenig. Da würde ich, wäre ich in der entsprechenden Entscheidungsposition, auch erstmal "na nee noch nich" sagen.

Plus, img.winfuture.de verwendet zwischen ebenfalls LE-Zertifikate. Nervt mich in letzter Zeit ständig mit Popups. :wink:


Übrigens sind auch Zertifikate ohne SAN unsicher - laut Chrome, meine ich. Zertifikat ist da nicht gleich Zertifikat. Es muß schon ein LE-Zertifikat sein, damit es sicher wird.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 Mitglied ist offline   Candlebox 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.111
  • Beigetreten: 08. Juli 04
  • Reputation: 389
  • Geschlecht:Männlich

geschrieben 27. Juli 2018 - 09:43

Beitrag anzeigenZitat (RalphS: 26. Juli 2018 - 17:45)

Die Hauptseite verwendet fürs Login Letztusoalsobencrypt, da mußt ich erstmal ne Ausnahme für einrichten.

Beitrag anzeigenZitat (RalphS: 26. Juli 2018 - 17:45)

Plus, img.winfuture.de verwendet zwischen ebenfalls LE-Zertifikate. Nervt mich in letzter Zeit ständig mit Popups. :wink:


Wie kommst Du damit eigentlich auf einen gesunden Pornokonsum?
»Man kann die Realität ignorieren, aber man kann nicht die Konsequenzen der ignorierten Realität ignorieren.« ~Ayn Rand
0

#6 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 27. Juli 2018 - 10:55

Auf der Hauptseite läuft bereits vieles, was nachgeladen wird, über https

Was man leicht umstellen kann ist:
<html xmlns="http://www.w3.org/1999/xhtml">
http://www.facebook.com/WinFuture
http://twitter.com/WinFuture
http://us5.campaign-archive2.com/?u=7c6824b82f24be6af9bdbfec4&amp;id=952a39f69b

die werden von den Seiten sowieso auf https umgeleitet.

Jetzt schauen wir uns noch die Domains an von denen nachgeladen wird:

verwenden https://

https://adnxs.com
https://adscale.de
https://adtech.de
https://ad-srv.net
https://bidhead.net
https://chartbeat.com
https://contentpass.net/
https://criteo.com
https://doubleclick.net
https://google-analytics.com
https://googlesyndication.com
https://googletagservices.com
https://gzhls.at
https://ibillboard.com
https://script.ioam.de
https://tracking.m6r.eu
https://nuggad.net
https://outbrain.com
https://pubmatic.com
https://stroeerdigitalgroup.de
https://static.winfuture.de
https://i.wfcdn.de
https://videos.winfuture.de
https://xplosion.de
https://list-manage.com

verwenden http://

http://agkn.com
http://openx.net
http://theadex.com
http://campaign-archive2.com
http://winfuture.de

Status unbekannt:

amazon-adsystem.com
mookie1.com
yieldlab.net

(Ich hoffe ich hab alle erwischt)



Was interessant ist, dass für
https://winfuture.de/anmelden.html
https genutzt wird. Aber sobald man sich angemeldet hat, geht der Login jedoch über
http://winfuture.de/login.html

Es fällt weiter auf, dass in einigen Scripten Teile korrekt über https: geladen werden. In anderen Teilen der gleiche Script jedoch über http:

Als Fazit kann ich nur feststellen dass die meisten Teile die über http: geladen werden direkt zu winfuture.de gehören. Dafür aber über 90% aller Ad- und Trackingscripte es schaffen https: zu nutzen.

Der Name winfuture mag für die Inhalte gelten die gezeigt werden. Die Seite selber befindet sich jedoch noch in der Vergangenheit. Es wird Zeit das winfuture die Hauptseite und das Forum komplett auf https umstellt und Inhalte die http benutzen ablehnt bzw. entfernt.

Was die Zertifikate betrifft steht natürlich die Wahl zwischen solchen die viele Monate/Jahre gültig sind aber dafür kosten oder den kostenlosen von letsencrypt. Dort muss man dann mit automatischen Tools dafür sorgen, dass die Zertifakte vor Ablauf der 90 Tage erneuert werden. Und mal ehrlich 3 Monate ist jetzt nicht so kurz.

Dieser Beitrag wurde von Gispelmob bearbeitet: 27. Juli 2018 - 13:12

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#7 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 27. Juli 2018 - 15:34

Wow, verschlüsselte Werbung und verschlüsselte Pornos.

Https ist kaputt, dank LE. Von mir aus kann wf per Telnet Daten verteilen.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#8 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 27. Juli 2018 - 16:34

Was ist jetzt genau an https kaputt gegangen? Funktioniert es nicht mehr? Zeigt es unerwartete Fehler? Wird es nicht erkannt? Stört es die Client-Server Kommunikation? Blokiert es Inhalte die du gern sehen willst?

Dieser Beitrag wurde von Gispelmob bearbeitet: 27. Juli 2018 - 16:51

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#9 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 27. Juli 2018 - 16:49

Er meint nicht HTTPS ansich sondern Let's Encrypt.

Aber auch die Aussage ist Unsinn. Ja, es ist nicht so sicher wie diverse teure Anbieter aber hat bisher auch kein Leak der Daten wie eben diese Anbieter gehabt.
Außerdem ist es kostenlos und ermöglicht so jeden HTTPS zu nutzen zu können, sodass HTTP endlich weg kann.

Telnet..Glückwunsch
0

#10 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 27. Juli 2018 - 16:54

Ich finde es prima dass es LE gibt. Kann sich keiner mehr rausreden das Zertifikate zu teuer wären. Wenn man sich die Feature-Liste der LE Zertifikate ansieht wird die immer länger und reicht mittlerweile für die meisten Seiten aus. Ja die 3 Monate Gültigkeit sind nicht besonders lang. Aber erstens wird man 20 Tage vor Ablauf per Mail unterrichtet und 2. gibt es automatische Tools die die Zertifikate erneuern ohne dass man sich selbst bemühen muss. Man muss nur noch eingreifen wenn etwas schief läuft.
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#11 Mitglied ist offline   Ludacris 

  • Gruppe: Moderation
  • Beiträge: 4.666
  • Beigetreten: 28. Mai 06
  • Reputation: 218
  • Geschlecht:Männlich

geschrieben 03. August 2018 - 18:21

Für die meisten Seiten reicht LE auch vollkommen aus - Klar, du bist nicht versichert und jeder bösewicht kann sich ein Zertifikat auf eine Typesquatting domain zulegen ABER es wird einem zumindest einfach gemacht den Transportweg zu verschlüsseln.
0

#12 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 03. August 2018 - 21:40

Und was soll das bringen? Ich kann mir auch ein Auto kaufen, was in DE -oder, wegen mir, in AT --- nicht zugelassen ist und ich kann sogar damit rumfahren.

Aber es wird mir irgendwann zwischen gleich und später auf die Füße fallen.


WF ist grad dabei, LE zumindest auf video.winfuture.de und img.winfuture.de zu implementieren (nicht ganz sicher, ob ich die FQDN exakt richtig hab, aber das ist ja auch nicht soo relevant).

Das macht es unsicherer, als es jetzt ist: Bisher weiß ich, daß die Verbindung ungesichert ist. Dann muß ich mich fragen, ob das, was mir vorgespielt wird, auch das ist, was es vorgibt.

Dieser Beitrag wurde von RalphS bearbeitet: 03. August 2018 - 21:42

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#13 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 04. August 2018 - 09:04

Beitrag anzeigenZitat (RalphS: 03. August 2018 - 21:40)

Ich kann mir auch ein Auto kaufen, was in DE -oder, wegen mir, in AT --- nicht zugelassen ist und ich kann sogar damit rumfahren.

Will denn winfuture eine Webseite einrichten die in DE oder AT nicht funktioniert? Nein? Was hat das dann für einen Zusammenhang?

Beitrag anzeigenZitat (RalphS: 03. August 2018 - 21:40)

Das macht es unsicherer, als es jetzt ist

Noch unsicherer als unsicher geht natürlich nicht.

Beitrag anzeigenZitat (RalphS: 03. August 2018 - 21:40)

Dann muß ich mich fragen, ob das, was mir vorgespielt wird, auch das ist, was es vorgibt.

Hey, es ist bekannt das Schlösser an Wohnungtüren niemals zu 100% sicher sind. Also warum dann nicht gleich die Tür unverschlossen lassen. Hm?

Jede und wirklich jede Stufe der Absicherung, um es potentiellen Angreifern schwerer zu machen, ist immer besser als gar keine Absicherung!
AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
0

#14 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 04. August 2018 - 09:52

Ha, gutes Beispiel.

Kaufst Dir auch ein neues Wohnungsschloß irgendwo im Hinterhof, wo Du von ausgehen darfst, daß der für jedes verkaufte Schloß nen Schlüssel auf Lager hält?

Und wenn Du ne Gartenlaube hast ohne Schloß, dann weißt Du, daß die Gartenlaube kein Schloß hat und wirst entsprechend damit umgehen.

Wenn Du aber jetzt in die Gartenlaube DOCH ein Schloß einbaust, dann wirst Du davon ausgehen (wollen) daß die Gartenlaube nun sicher verschlossen ist. Sonst hättest Du ja das Schloß nicht eingebaut.

Also läßt Du auch mal was in der Gartenlaube drin, was Du NICHT gemacht hättest, wenn das Schloß nicht da gewesen wäre.


WENN aber jetzt das Schloß mit jedem beliebigen Vierkant aufgeht, dann war das die oben genannte eingebildete Sicherheit. So ein Schloß kann jeder aufmachen, der will, und es macht (fast) keinen Unterschied, ob ein Schloß da hing oder nicht.

Der Unterschied ist stattdessen der, daß in einer verschlossenen Laube mehr zu finden sein wird.


Ansonsten hab ich ja über die Zeit schon mitgekriegt, daß ich und Du insbesondere im Kontext Analogien nicht zueinander finden. Sei's drum.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#15 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.111
  • Beigetreten: 11. September 10
  • Reputation: 458
  • Geschlecht:Männlich

geschrieben 04. August 2018 - 10:10

Und ich mache gerne Vergleiche mit Autos. Ein Auto ohne TÜV-Plakette kann immer noch in Ordnung sein und der Besitzer hatte es nur nicht geschafft, das Auto beim TÜV vorzustellen. Ansonsten geht man aber auch entsprechend vorsichtig mit um. Bei einem Auto mit gefälschter TÜV-Plakette ist aber auf jeden Fall etwas faul.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
0

Thema verteilen:


  • 5 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0