Loginseite unverschlüsselt?!?
So 26 Feb, 2017 23:33
Habe gestern mal etwas an den Browseroptionen gebastelt und dabei ist mir endlich aufgegangen, dass der Login im Forum, im Wiki, im Mantis und die Login-Seite im Spiel einfach per HTTP, also unverschlüsselt, aufgeliefert werden. D.h. so wie es ist, werden Username und Password im Klartext durch's Internet geschickt, da können sie praktisch an jeder Zwischenstelle, z.B. auch der eigenen Firewall, sofern man so etwas hat, oder in jedem Router irgendwo auf der Strecke mitgelesen werden, ohne speziellen Aufwand.
Könnte man nicht wenigstens die Startseiten per HTTPS liefern?
Danach kann ja auf HTTP umgeschaltet werden, um die Belastung für den Server klein zu halten, falls das ein Thema ist. (Dann sollte am besten das direkte Einloggen im Forum (unten auf jeder Seite, solange man nicht eingeloggt ist) entfernt und durch einen Link auf die Startsete ersetzt werden, aber das läuft schon unter zweitrangig.)
Wenn man das Forum explizit mit "https://forum.antamar-community.de/index.php" ansurft, meldet Firefox, dass die Webseite fehlerhaft konfiguriert ist (beim Mantis ist es genauso), wenn man das unsichere Zertifikat akzeptiert, wird man wieder auf die HTTP-Variante zurückgeleitet - vielleicht ist da mal ein Versuch in der Richtung gemacht worden?
Falls es an (abgelaufenen) Zertifikaten bzw. den Kosten dafür liegt - seit Nov. letzten Jahres gibt es "Let's Encrypt" (https://letsencrypt.org/getting-started/) - habe da gerade etwas gelesen, das sieht ziemlich einfach und trotzdem sicher aus, kann das ohne eigenen Web-Service aber nicht komplett bis zu Ende durchprobieren. Da kosten die Zertifikate: Nichts.
Könnte man nicht wenigstens die Startseiten per HTTPS liefern?
Danach kann ja auf HTTP umgeschaltet werden, um die Belastung für den Server klein zu halten, falls das ein Thema ist. (Dann sollte am besten das direkte Einloggen im Forum (unten auf jeder Seite, solange man nicht eingeloggt ist) entfernt und durch einen Link auf die Startsete ersetzt werden, aber das läuft schon unter zweitrangig.)
Wenn man das Forum explizit mit "https://forum.antamar-community.de/index.php" ansurft, meldet Firefox, dass die Webseite fehlerhaft konfiguriert ist (beim Mantis ist es genauso), wenn man das unsichere Zertifikat akzeptiert, wird man wieder auf die HTTP-Variante zurückgeleitet - vielleicht ist da mal ein Versuch in der Richtung gemacht worden?
Falls es an (abgelaufenen) Zertifikaten bzw. den Kosten dafür liegt - seit Nov. letzten Jahres gibt es "Let's Encrypt" (https://letsencrypt.org/getting-started/) - habe da gerade etwas gelesen, das sieht ziemlich einfach und trotzdem sicher aus, kann das ohne eigenen Web-Service aber nicht komplett bis zu Ende durchprobieren. Da kosten die Zertifikate: Nichts.
Re: Loginseite unverschlüsselt?!?
Mo 27 Feb, 2017 07:47
Ja sollten wir mal machen.
Als ich mir das letzte Mal https angeschaut hatte war es noch nicht für jedermann so einfach/günstig zu bekommen.
Als ich mir das letzte Mal https angeschaut hatte war es noch nicht für jedermann so einfach/günstig zu bekommen.
Re: Loginseite unverschlüsselt?!?
Sa 04 Mär, 2017 14:58
So, die Spieleseiten werden jetzt per HTTPS ausgeliefert.
Solltet ihr irgendwelche Probleme haben (Bilder nicht dargestellt, Seiteninhalte nicht angezeigt, o.ä.), bitte sofort melden.
Solltet ihr irgendwelche Probleme haben (Bilder nicht dargestellt, Seiteninhalte nicht angezeigt, o.ä.), bitte sofort melden.
Re: Loginseite unverschlüsselt?!?
Sa 04 Mär, 2017 15:17
Finde ich sehr begrüßenswert, Fehler sehe ich bis jetzt noch keine, aber beim Wiki scheint sich ja einiges geändert zu haben.
Re: Loginseite unverschlüsselt?!?
Sa 04 Mär, 2017 15:48
Das Wikiupdate kam quasi on top.
Hier gilt auch: Wenn irgendwas nicht mehr passt, bitte Bescheid geben.
Das Syntax Highlighting für die XML-Sachen (alt: <code xml n>) kann ich leider nicht mehr korrigieren - das war schon bei den letzten Updates veraltet und ist jezt tnicht mehr kompatibel - bitte in Zukunft
verwenden (Beispiel: hier).
Hier gilt auch: Wenn irgendwas nicht mehr passt, bitte Bescheid geben.
Das Syntax Highlighting für die XML-Sachen (alt: <code xml n>) kann ich leider nicht mehr korrigieren - das war schon bei den letzten Updates veraltet und ist jezt tnicht mehr kompatibel - bitte in Zukunft
- Code:
<syntaxhighlight lang="xml">
...
</syntaxhighlight>
verwenden (Beispiel: hier).
Re: Loginseite unverschlüsselt?!?
Sa 04 Mär, 2017 15:56
ohhh 
Spiel: Alles gut, soweit.
Forum: Unverändert, kommt noch?
Wiki: hmm, die externen Inhalte (Youtube) brauchen jetzt eine extra-Erlaubnis für Scripte, dann laufen sie wie vorher. Gefällt mir
Mantis: Auch noch unverändert. Kommt noch?
Das ging doch gut! Scheint auch nicht langsamer geworden sein. Cool!
Der Neugier halber: Merkt man die höhere Belastung auf der Serverseite irgendwie?
Spiel: Alles gut, soweit.
Forum: Unverändert, kommt noch?
Wiki: hmm, die externen Inhalte (Youtube) brauchen jetzt eine extra-Erlaubnis für Scripte, dann laufen sie wie vorher. Gefällt mir
Mantis: Auch noch unverändert. Kommt noch?
Das ging doch gut! Scheint auch nicht langsamer geworden sein. Cool!
Der Neugier halber: Merkt man die höhere Belastung auf der Serverseite irgendwie?
Re: Loginseite unverschlüsselt?!?
Sa 04 Mär, 2017 16:18
Nö, bisher nicht. Die Belastung kommt aber so oder so durch die Anzahl der aktiven Nutzer und da sind wir ja von alten Rekorden weit entfernt
Mantis und Forum konnte ich jetzt auch umstellen.
Mantis und Forum konnte ich jetzt auch umstellen.
Re: Loginseite unverschlüsselt?!?
Sa 04 Mär, 2017 16:52
Ah, gut....naja, eigentlich nicht sooo gut... das mit den Rekorden, jetzt.Gaddezwerch hat geschrieben:Nö, bisher nicht. Die Belastung kommt aber so oder so durch die Anzahl der aktiven Nutzer und da sind wir ja von alten Rekorden weit entfernt
Gerade bemerkt - Wow! Der Fortschritt ist nicht aufzuhalten.Gaddezwerch hat geschrieben:Mantis und Forum konnte ich jetzt auch umstellen.
(Was ist eigentlich der deutsche Ausdruck für "Yay!"?)
Re: Loginseite unverschlüsselt?!?
Mo 06 Mär, 2017 22:37
zardoz hat geschrieben:(Was ist eigentlich der deutsche Ausdruck für "Yay!"?)
"Juchu!" würde ich sagen.