Forum nur noch über https

  • Hallo


    Ich würde vorschlagen das man das ihad-Forum nur noch per https zur Verfügung stellt.
    Jeder sollte in der heutigen Zeit verstanden haben, das Passwörter wie sie zB beim Login übertragen werden müssen, per http nicht verschlüsselt werden. Gerade nach den Ereignissen in den letzten Wochen (Passwortlisten mit über 700 Millionen Accountdaten sind wieder Mal im Umlauf) sollte überall darauf geachtet werden, das man ein Mindestmaß an Sicherheit nutzt und da das Forum ja auch über https verfügt, schlage ich wie gesagt vor nur noch https zu verwenden.


    Ein simpler URL Redirect am Server würde dafür reichen, um alle die immer noch per http zugreifen ohne Aufwand und vollautomatisch auf https umzuleiten.

  • Das Problem dabei ist nur, dass dann hier ab Anfang des nächsten Jahres gar nichts mehr erreichbar ist, denn die Browser-Hersteller haben sich darauf verständigt, dass dann bei verschlüsselter Verbindung mindestens TLS v1.2 unterstützt werden muss.


    Das ihad läuft aber immer noch mit dem mehr als zehn bzw. elf Jahre alten mod_ssl 2.2.9 und OpenSSL 0.9.8g, das maximal TLS v1.0 (von 1999!) unterstützt.


    Es müsste also erst mal der ganze Unterbau des Forums auf den aktuellen Stand gebracht werden. Nur habe ich so den Verdacht, dass niemand mehr etwas daran machen möchte und das Forum einfach noch solange weiterlaufen gelassen wird, bis es eben nicht mehr tut.


    Ist wirklich nicht böse gemeint und ja, ich weiß, es ist nur ein Dreambox-Forum, das in der Freizeit als Hobby betrieben wird. Das heißt aber nicht, dass man das Thema Sicherheit so dermaßen vernachlässigen sollte. Denn das ist einfach nur grob fahrlässig.


    Aber spätestens, wenn die Browser-Hersteller sich auf das Ende von http 1.1 verständigen, hat sich das Thema eh erledigt, denn bei http 2 fordern alle Browser die Transportverschlüsselung verpflichtend, auch wenn es im Standard nicht vorgesehen ist.

  • schade drum, das Forum ist so schön altbacken aber dafür übersichtlich


    Wenn ich daran denke wie man die WoltLAb Software z.b. im OoZooN Board auf die wohl schlecht möglichste Art und Weise nutzt graut mir vor einer Umstellung. Mal sehen was kommt.


    btw.: es steht jedem frei https hier zu nutzen - ist nur ein Buchtabe mehr in der URL ;)

    Gruß Fred


    Die Dreambox ist tot, es lebe die Dreambox

  • Bin jetzt nicht soooo der Webserver Profi - aber es sollte doch ausreichen, einen Zwangs-Redirect in der Apache-Konfiguration auf https://... einzurichten (https://wiki.apache.org/httpd/RedirectSSL) . Oder täusche ich mich da?


    Edit: Hab den gleichen Hinweis/Tipp von tier nicht gesehen... :kaffee:

  • jetzt ist's soweit: HTTPS SSL Error beim Aufruf der IHAD Seite über HTTPS




    TLS 1.0 und TLS 1.1 reaktivieren oder Zugang über HTTP ist auch nicht wirklich die Lösung ....

    Gruß Fred


    Die Dreambox ist tot, es lebe die Dreambox

    Edited 3 times, last by Fred Bogus Trumper ().

  • Guten Morgen!


    Das Thema ist uns bekannt und steht ganz weit oben auf der ToDo Liste. Aktuell können wir aber noch keine Lösung dafür bieten, es bleibt also leider nur die Option, auf TLS 1.0 oder 1.1 zurück zu gehen. FFX bietet aktuell diese Möglichkeit noch, dies wird im FFX dann auch nur für die aktuelle Seite aktiviert.


    Wie gesagt, wir sind dran, allerdings lässt sich das nicht so eben nebenbei umsetzen...


    Vielen Dank für´s Verständnis!