Warum immer noch kein HTTPS?
#1
geschrieben 26. Juli 2018 - 10:34
sei neuestem markiert Chrome Seiten, die nicht auf https umgestellt sind als unsicher. Wieso habt ihr es immer noch nicht geschafft auf HTTPS umzurüsten? Ich meine wir haben fast 2019. Und ihr seid nun wirklich nicht erst seit gestern im Internet.
Anzeige
#2
geschrieben 26. Juli 2018 - 11:46
Ich find das auf der Webseite gar nicht schlimm, jedoch für das Forum bei dem mit Logindaten hantiert wird, da hat https Pflicht zu sein. Winfuture überzeugt hier mit nichts tun und setzt die Daten der User einem erhöhten Risiko aus. Ob das nun absichtlich passiert oder fahrlässig, das ändert nichts an der Tatsache das es technisch schwach ist.
Am besten zu winpast umbenennen. Da weiß man wenigstens auf was man sich einlässt. Sture http Nutzung und Ignorierung von https hat jedenfalls nichts mit future zu tun.
#3
geschrieben 26. Juli 2018 - 12:45
Zitat (Gispelmob: 26. Juli 2018 - 11:46)
Ich find das auf der Webseite gar nicht schlimm, jedoch für das Forum bei dem mit Logindaten hantiert wird, da hat https Pflicht zu sein.
[...]
Naja, also wenn schon, denn schon. Auf der Website logge ich mich ebenso ein, und sicherlich verwenden sehr viele sowohl dort als auch fürs Forum identische Logindaten. Sollte da also irgendwann mal eine Anpassung erfolgen, müsste die schon beide Seiten von WinFuture umfassen.
Queens Of The Stone Age
Fu Manchu
Napalm Death
Liar
Grim Tales... ^^
SysProfile
"Is my cock big enough,
is my brain small enough
for you to make me a star?"
(Jello Biafra "Pull My Strings")
#4
geschrieben 26. Juli 2018 - 17:45
Zertifikat kost Geld und WF hat davon, scheint es, dauerwenig. Da würde ich, wäre ich in der entsprechenden Entscheidungsposition, auch erstmal "na nee noch nich" sagen.
Plus, img.winfuture.de verwendet zwischen ebenfalls LE-Zertifikate. Nervt mich in letzter Zeit ständig mit Popups.
Übrigens sind auch Zertifikate ohne SAN unsicher - laut Chrome, meine ich. Zertifikat ist da nicht gleich Zertifikat. Es muß schon ein LE-Zertifikat sein, damit es sicher wird.
#5
geschrieben 27. Juli 2018 - 09:43
Zitat (RalphS: 26. Juli 2018 - 17:45)
Zitat (RalphS: 26. Juli 2018 - 17:45)
Wie kommst Du damit eigentlich auf einen gesunden Pornokonsum?
#6
geschrieben 27. Juli 2018 - 10:55
Was man leicht umstellen kann ist:
<html xmlns="http://www.w3.org/1999/xhtml"> http://www.facebook.com/WinFuture http://twitter.com/WinFuture http://us5.campaign-archive2.com/?u=7c6824b82f24be6af9bdbfec4&id=952a39f69b
die werden von den Seiten sowieso auf https umgeleitet.
Jetzt schauen wir uns noch die Domains an von denen nachgeladen wird:
verwenden https:// https://adnxs.com https://adscale.de https://adtech.de https://ad-srv.net https://bidhead.net https://chartbeat.com https://contentpass.net/ https://criteo.com https://doubleclick.net https://google-analytics.com https://googlesyndication.com https://googletagservices.com https://gzhls.at https://ibillboard.com https://script.ioam.de https://tracking.m6r.eu https://nuggad.net https://outbrain.com https://pubmatic.com https://stroeerdigitalgroup.de https://static.winfuture.de https://i.wfcdn.de https://videos.winfuture.de https://xplosion.de https://list-manage.com verwenden http:// http://agkn.com http://openx.net http://theadex.com http://campaign-archive2.com http://winfuture.de Status unbekannt: amazon-adsystem.com mookie1.com yieldlab.net (Ich hoffe ich hab alle erwischt)
Was interessant ist, dass für
https://winfuture.de/anmelden.htmlhttps genutzt wird. Aber sobald man sich angemeldet hat, geht der Login jedoch über
http://winfuture.de/login.html
Es fällt weiter auf, dass in einigen Scripten Teile korrekt über https: geladen werden. In anderen Teilen der gleiche Script jedoch über http:
Als Fazit kann ich nur feststellen dass die meisten Teile die über http: geladen werden direkt zu winfuture.de gehören. Dafür aber über 90% aller Ad- und Trackingscripte es schaffen https: zu nutzen.
Der Name winfuture mag für die Inhalte gelten die gezeigt werden. Die Seite selber befindet sich jedoch noch in der Vergangenheit. Es wird Zeit das winfuture die Hauptseite und das Forum komplett auf https umstellt und Inhalte die http benutzen ablehnt bzw. entfernt.
Was die Zertifikate betrifft steht natürlich die Wahl zwischen solchen die viele Monate/Jahre gültig sind aber dafür kosten oder den kostenlosen von letsencrypt. Dort muss man dann mit automatischen Tools dafür sorgen, dass die Zertifakte vor Ablauf der 90 Tage erneuert werden. Und mal ehrlich 3 Monate ist jetzt nicht so kurz.
Dieser Beitrag wurde von Gispelmob bearbeitet: 27. Juli 2018 - 13:12
#7
geschrieben 27. Juli 2018 - 15:34
Https ist kaputt, dank LE. Von mir aus kann wf per Telnet Daten verteilen.
#8
geschrieben 27. Juli 2018 - 16:34
Dieser Beitrag wurde von Gispelmob bearbeitet: 27. Juli 2018 - 16:51
#9 _d4rkn3ss4ev3r_
geschrieben 27. Juli 2018 - 16:49
Aber auch die Aussage ist Unsinn. Ja, es ist nicht so sicher wie diverse teure Anbieter aber hat bisher auch kein Leak der Daten wie eben diese Anbieter gehabt.
Außerdem ist es kostenlos und ermöglicht so jeden HTTPS zu nutzen zu können, sodass HTTP endlich weg kann.
Telnet..Glückwunsch
#10
geschrieben 27. Juli 2018 - 16:54
#11
geschrieben 03. August 2018 - 18:21
#12
geschrieben 03. August 2018 - 21:40
Aber es wird mir irgendwann zwischen gleich und später auf die Füße fallen.
WF ist grad dabei, LE zumindest auf video.winfuture.de und img.winfuture.de zu implementieren (nicht ganz sicher, ob ich die FQDN exakt richtig hab, aber das ist ja auch nicht soo relevant).
Das macht es unsicherer, als es jetzt ist: Bisher weiß ich, daß die Verbindung ungesichert ist. Dann muß ich mich fragen, ob das, was mir vorgespielt wird, auch das ist, was es vorgibt.
Dieser Beitrag wurde von RalphS bearbeitet: 03. August 2018 - 21:42
#13
geschrieben 04. August 2018 - 09:04
Zitat (RalphS: 03. August 2018 - 21:40)
Will denn winfuture eine Webseite einrichten die in DE oder AT nicht funktioniert? Nein? Was hat das dann für einen Zusammenhang?
Zitat (RalphS: 03. August 2018 - 21:40)
Noch unsicherer als unsicher geht natürlich nicht.
Zitat (RalphS: 03. August 2018 - 21:40)
Hey, es ist bekannt das Schlösser an Wohnungtüren niemals zu 100% sicher sind. Also warum dann nicht gleich die Tür unverschlossen lassen. Hm?
Jede und wirklich jede Stufe der Absicherung, um es potentiellen Angreifern schwerer zu machen, ist immer besser als gar keine Absicherung!
#14
geschrieben 04. August 2018 - 09:52
Kaufst Dir auch ein neues Wohnungsschloß irgendwo im Hinterhof, wo Du von ausgehen darfst, daß der für jedes verkaufte Schloß nen Schlüssel auf Lager hält?
Und wenn Du ne Gartenlaube hast ohne Schloß, dann weißt Du, daß die Gartenlaube kein Schloß hat und wirst entsprechend damit umgehen.
Wenn Du aber jetzt in die Gartenlaube DOCH ein Schloß einbaust, dann wirst Du davon ausgehen (wollen) daß die Gartenlaube nun sicher verschlossen ist. Sonst hättest Du ja das Schloß nicht eingebaut.
Also läßt Du auch mal was in der Gartenlaube drin, was Du NICHT gemacht hättest, wenn das Schloß nicht da gewesen wäre.
WENN aber jetzt das Schloß mit jedem beliebigen Vierkant aufgeht, dann war das die oben genannte eingebildete Sicherheit. So ein Schloß kann jeder aufmachen, der will, und es macht (fast) keinen Unterschied, ob ein Schloß da hing oder nicht.
Der Unterschied ist stattdessen der, daß in einer verschlossenen Laube mehr zu finden sein wird.
Ansonsten hab ich ja über die Zeit schon mitgekriegt, daß ich und Du insbesondere im Kontext Analogien nicht zueinander finden. Sei's drum.
#15
geschrieben 04. August 2018 - 10:10