Beim Anmelden blendet firefox eine Warnmeldung ein, die Seite sei unsicher. Auch in der Betreffzeile wird eine Warnung eingeblendet.
dforum Sicherheit.jpg
Hat noch jemand solche Meldungen bekommen, oder habe ich mir was eingefangen?
LG
Luzei
Beim Anmelden blendet firefox eine Warnmeldung ein, die Seite sei unsicher. Auch in der Betreffzeile wird eine Warnung eingeblendet.
dforum Sicherheit.jpg
Hat noch jemand solche Meldungen bekommen, oder habe ich mir was eingefangen?
LG
Luzei
Das habe ich gerade gefunden:
"zur Einstufung als unsicher: einfach mal auf das Symbol drauf klicken, die Erklärung steht dabei. Auf den Seiten befinden sich Passwort-Felder und die Passwörter werden unverschlüsselt durch das Web gejagt (HTTP statt HTTPS), ein absolutes No-Go- im Jahr 2017"
Tja, dann zeig mir doch mal ein paar "sichere" Foren. Sämtliche Foren, die ich besuche (verschiedene Themengebiete) sind "unsicher", ich hab das gerade mal nachvollzogen.
Das Lightroom Forum https://www.lightroomforums.net/ zum Beispiel verwendet HTTPS.
Dank Let’s Encrypt sollte es heute keinen grossen Aufwand mehr bedeuten seine Homepage auf SSL/TLS, sprich HTTPS umzustellen.
Gruss
Wernfried
Ja. Ohne https wird das Passwort im Klartext übertragen beim Einloggen.
In den Foren wo ich noch so unterwegs bin, sind alle per HTTPS zu erreichen.
Spiegel Forum
Golem Forum
Computerbase
Watchlounge
Nur um einige zu nennen. Das Dforum lebt da noch hinter den Mond. Ich gehe aber davon aus, dass es mit den Werbeanbietern zusammenhängt.
Vielleicht werden in Zukunft alle Webseiten ohne HTTPS blockiert, dann muss selbst hier was passieren.
Hi,
Das ist richtig. Das zeigt aber nicht nur Firefox, sondern auch Chrome, wenn man auf das kleine "i" vorm "www" klickt.
Falsch ist: Passwörter werden in diesem Fall nicht im Klartext übertragen. Heutzutage werden keine Passwörter mehr übertragen sondern ein Hash aus dem Passwort gebildet welcher dann mit dem in der DB hinterlegten verglichen wird. Es wird ein Token erzeugt und als Cookie auf seinem Rechner abgelegt. Somit werden nicht ständig Passworthashes verglichen. Was in diesem Bezug aber richtig ist, dass der Passworthash im Klartext übertragen wird.
Na ja, sei's drum. dforum.net gibt es aber tatsächlich schon als gesicherte Verbindung: https://www.dforum.net. Allerdings haben wir das im Forum derzeit noch nicht komplett umgestellt. Somit wird die Startseite erstmal komplett zerhauen angezeigt. Ihr müsstet dann noch das "laden unsicherer Scripte" explizit erlauben, erst dann sieht die Seite wieder chic aus. Aber, sobald man über die https-Verbindung auf einen Link im Forum klickt, landet man wieder auf der "unsicheren" http-Verbindung. Man kann in der Forensoftware nur einstellen, entweder http oder https global.
Keine Frage, https sollte heute Standard sein. Wir werden das besprechen und schauen, dass wir das zügig umstellen.
Gruß
Nico
Systemadministrator
DFORUM
Das ist doch eine gute Nachricht. Das Problem ist erkannt.
Danke für die Auskunft und alle anderen Beiträge.
Lg
Luzei