Suche als Gast bei Aufruf via HTTPS nicht nutzbar

nexus

Well-Known Member
Probleme beim Aufruf via HTTPS

Wenn man als Gast via HTTPS die Suche aufruft, wird die grafische Sicherheitsüberprüfung nicht angezeigt (siehe Anhang).
Getestet unter Win 10 in folgenden Browsern: Firefox, Chrome, Opera, Torch, Vivaldi und Yandex

Ergänzung (ist mir eben beim Schreiben des Beitrags aufgefallen):
Die Sicherheit der Seite wird von Firefox moniert, siehe Anhang 2
 

Attachments

  • ssf-suche-https.png
    ssf-suche-https.png
    149.6 KB · Views: 179
  • ssf-https.png
    ssf-https.png
    10.7 KB · Views: 153
Last edited by a moderator:

Joe User

Zentrum der Macht
Liegt daran, dass das SSF diverse Resourcen, darunter auch einige Grafiken, nicht per HTTPS einbindet, sondern nur per HTTP.

Da müsste man entweder den vB-Source und die Templates anpassen, oder generell auf HTTPS setzen und HTTP abschalten.


Kurz: Das SSF ist nicht per HTTPS nutzbar.
 

nexus

Well-Known Member
Liegt daran, dass das SSF diverse Resourcen, darunter auch einige Grafiken, nicht per HTTPS einbindet, sondern nur per HTTP.

Hatte ich schon vermutet...Allerdings bin ich der Meinung, daß gerade das SSF, wo viel und oft über Sicherheit diskutiert wird, mit gutem Beispiel vorangehen sollte ;)
 

DeaD_EyE

Blog Benutzer
Viel Spaß beim Umfrickeln aller Templates. Arbeitet man normalerweise nicht mit relativen Links in Templates?
 

Joe User

Zentrum der Macht
Templates sind easy:
Code:
sed -e 's|https?:||g' -i *.tmpl
sed -e 's|https?:||g' -i *.css
Beim Source wird es ekelhaft. Allerdings sollte es dafür eine Option im Adminbereich geben.
Bleiben noch eventuelle JavaScripts, da helfen dann grep und sed beziehungsweise $EDITOR.

Zum Schluss noch einen RedirectPermanent in den HTTP-VHost und fertig.
 

elias5000

Site Reliability Engineer
Bei Youtube gibt es eine schöne Zusammenfassung[1] von der Google I/O in der auch drauf eingegangen wird, warum man immer HTTPS machen will. Außerdem reden sie sowohl über die Webserver-Config als auch über die von Joe angesprochenen Links ohne Protokoll.

Die haben da auch den Strict-Transport-Security Header auf ihrer Checkliste.
Mit dem gibt es dann auch ein A+ beim SSL-Check[2].

[1] https://youtu.be/cBhZ6S0PFCY
[2] https://www.ssllabs.com/ssltest/index.html
 

GwenDragon

Registered User
A und A+ mit ssllabs Test klappt doch mit jedem popeligen LetsEnrypt. Das ist keine Kunst. Um es nicht hinzubekommen muss man schon sehr rumpfuschen bei der SSL-Konfiguration.

Wenn aber mehr Sicherheit vorhanden sein soll, dann kommt Content-Security in Spiel, und dann muss man einiges machen für die Content-Security-Policy bei dem Inline-Code und vorhandenem Mixed-content, der auf genügend Websites existiert.
Ist hier auch nicht anders.

Ob der Betreiber dieses Forums letzteres wirklich auf sich nehmen will und muss?
 

nexus

Well-Known Member
Ich bin zwar eigentlich kein Freund davon, ältere Threads wieder nach oben zu holen, aber hier mache ich mal eine Ausnahme...

Ich bin ziemlich enttäuscht, daß seitens der SSF-Oberen keinerlei Statement kam, ob und vielleicht sogar wann das SSF vollständig über HTTPS nutzbar sein wird.

Im nächsten Jahr will Google-Chrome mit "Not Secure" Warnungen in roter Schrift in der Adreßzeile auf Nicht-HTTPS Verbindungen hinweisen. Andere Browser werden mit sehr hoher Wahrscheinlichkeit gleichziehen.

Ob sich dann ein neuer User, der vielleicht sogar noch Fragen zu HTTPS-Problemen seiner eigenen Webseite hat, hier anmelden wird...ich weiß es nicht...:(
 

elias5000

Site Reliability Engineer
Hies es nicht, dass Google plant Seiten, die nicht per HTTPS aufrufbar sind, im Index abzuwerten?
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo nexus!
Ich bin ziemlich enttäuscht, daß seitens der SSF-Oberen keinerlei Statement kam, ob und vielleicht sogar wann das SSF vollständig über HTTPS nutzbar sein wird.
Das SSF sollte weitestgehend mit SSL nutzbar sein. Das einige Ressourcen noch via HTTP eingebunden werden hat weniger mit vBulletin zu tun.

mfG
Thorsten
 
Top