Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Da Google und Firefox nun fast schon vorschreiben das man Passwortfelder nur per SSL übertragen darf, ist Filmvorführer nun auch mit einem SSL Zertifikat abgesichert. Der Login läuft nun verschlüsselt ab.

 

Es ist auch die ganze Seite verschlüsselt erreichbar (derzeit "BetaTest"):

 

https://www.filmvorfuehrer.de
Probleme wird es wahrscheinlich mit eingebundenen Bildern und Videos geben, da die oft von "unsicheren" Quellen kommen. Hier soll mit den nächsten Softwareversionen noch verbessurungen erfolgen,
 

Seiten die sauber funktionieren sollten das grüne Schloss Icon haben:

 

screen.png


Bei den anderen werden hoffentlich die nicht sicheren Bilder geladen, aber je nach Browser und Einstellungen kann es zu verschiedenen Effekten kommen. Wäre nett wenn ihr das testet.
Langfristig wäre eine SSL only Seite ideal auch wenn einige Beiträge eventuell nicht ganz sicher sind ;)


Bei Problemen einfach auf http:// (ohne S) umstellen.

Geschrieben

Das wird öfters kommen ;)

Chrome sagt z.B:
 

Zitat

Your connection to this site is not fully secure
Attackers might be able to see the images that you’re looking at on this site and trick you by modifying them


z.B. Signaturbilder. Hier das vom Chris ;)
 

Zitat

Mixed Content: The page at 'https://www.filmvorfuehrer.de/topic/25447-m%C3%B6glichkeiten-eine-dts-cd-mit-herk%C3%B6mlichem-pc-ab-zu-spielen/' was loaded over HTTPS, but requested an insecure image 'http://i37.photobucket.com/albums/e68/javsvt/fbeach1mf496c0dxe7.gif'. This content should also be served over HTTPS.

 


Eine 100% saubere Einbindung (immer grün) wird wohl nicht klappen, insbesondere bei dem alten Content.
 

 

Geschrieben
vor 21 Minuten schrieb Jensg:

Hab ich noch mit Schloß und gelben Warnzeichen: Diese Webseite stellt keine Indentitätsdaten zur Verfügung.

Grüße

Jens


Schloss mit gelben Warnzeichen ist bei uns "gut". Das heißt er lädt alles.
Grünes Schloss mit Warnzeichen, oder rot durchgestrichenes Sperrschloss wären derzeit nicht so gut, weil dann Inhalte von anderen Seiten nicht nachgeladen werden. 

https://support.mozilla.org/de/kb/Wie-beeinflussen-Inhalte-die-nicht-sicher-sind-meine-Sicherheit?redirectlocale=en-US&as=u&redirectslug=how-does-content-isnt-secure-affect-my-safety&utm_source=inproduct

 

Geschrieben
vor 2 Stunden schrieb TK-Chris:

Firefox auf Apple OS geht auch nicht mehr. Seit heute muss ich bei jedem neuen Thread die Anmeldung erneut ausführen. Wirklich zach...

Geh doch einfach wieder per http auf die Seite und nicht per SSL, oder bestehen da die Probleme auch?

Ich gehe nach wie vor per http auf die Seite und habe bisher keinerlei Probleme, weder mit Anmelden, noch mir angemeldet bleiben.

Geschrieben (bearbeitet)
vor 25 Minuten schrieb Itter:

Geh doch einfach wieder per http auf die Seite und nicht per SSL, oder bestehen da die Probleme auch?

Ich gehe nach wie vor per http auf die Seite und habe bisher keinerlei Probleme, weder mit Anmelden, noch mir angemeldet bleiben.

edit, weil ich dumm gefragt habe. :)

Bearbeitet von sir.tommes (Änderungen anzeigen)
Geschrieben
vor 37 Minuten schrieb sir.tommes:

edit, weil ich dumm gefragt habe. :)

Mal ehrlich, wozu brauch man hier SSL (https)?

Ist doch keine E-Shop hier.

Geschrieben

Moin, seit Donnerstag morgen vergessen auch bei mir alle Browser (Chrome, Safari OSX, Safari iOS), dass ich eingeloggt bin und bitten mich bei jeder neuer Session, mich neu einzuloggen.

Es scheint besser zu funktionieren, wenn ich das Forum per SSL besuche (via https:// Prefix).

@Henri: Die Notification Emails zeigen leider noch auf die non-secure URL, könntest Du die Base-URL in den Emails entsprechend ändern? Das ständige eingelogge ist auch mit Passwortmanager ein bisschen mühsam. :)

 

Danke!

 

2017-02-11 at 13.35.png

Geschrieben

Und noch einen Wunsch an @Henri: Könntest Du http://-Aufrufe direkt auf https://-Aufrufe umleiten? Das wäre wirklich praktisch, es gibt so viele Bookmarks, Suchergebnisse etc. pp...

Die Umstellung auf SSL ist außerordentlich begrüßenswert, aber wenn, dann doch bite ganz. :)

 

Vielen Dank!

Geschrieben

Also ich weiß nicht, wozu man hier unbedingt SSL braucht.
Ich gehe nach wie vor mit http rein und habe noch immer keine Probleme mit abgelaufenen Sitzungen, benutze
keinen Passwortmanager, behalte nur die Coockies des Boards bei, (Einstellung unter Ccleaner) und das schon seit Jahren.
Es gibt einen guten Spruch aus dem IT-Breich, 'Don't match a running system'. Der Spruch hat durchaus seine Berechtigung.

Geschrieben
2 hours ago, Itter said:

Also ich weiß nicht, wozu man hier unbedingt SSL braucht.

 

SSL ist nötig, weil jedwede Form unverschlüsselter Kommunikation im Internet heutzutage einfach nur unverantwortlich gestrig und fahrlässig ist. Und Du kannst fest davon ausgehen, dass die Hälfte der User hier ein Passwort verwendet, dass auch sonst noch an anderer (kritischerer) Stelle zum Einsatz kommt.

Offenbar nutzt das FVF (neue) Session-Cookies jetzt nur noch via SSL, und das ist auch gut so, denn das verhindert MITM-Attacken (und da hier auch Werbung läuft, sind XSS Attacken gut denkbar)

 

2 hours ago, Itter said:

Es gibt einen guten Spruch aus dem IT-Breich, 'Don't match a running system'.

 

Falls Du "Never touch a running System" meinst: Der Spruch ist genau Blödsinn wie "die Ausnahme bestätigt die Regel". Ein Sicherheitsloch ist ein Sicherheitsloch und gehört geschlossen. 

 

TL;DR:

Bei Dir geht es wohl deshalb noch ohne SSL, weil Du noch ein altes, nicht abgelaufenes Session Cookie hast.

SSL ist gut und wichtig, nur hat Henri noch nicht ganz alle nötigen Schalter umgelegt. :)

Geschrieben

Nö, ich meinte den Spruch schon so, wie er da steht, man sollte nicht mit laufenden Systemen herumspielen.
Werbung läuft hier? Welche Werbung? Ich sehe hier keine Werbung.
Sehe das nicht unbedingt so kritisch hier, wie ich schonmal sagte, das ist hier kein E-Shop.
Meinetwegen hätte auch das alte Forum genügt und hätte bleiben können, sehe ich aber auch nicht alleine so.
Man hätte hier die Auswahl lassen können, ob man die alte, oder die neue Version verwenden möchte, wie es in einigen
anderen Foren möglich ist, wo man das selber auswählen kann.

 

Geschrieben
2 hours ago, Itter said:

Nö, ich meinte den Spruch schon so, wie er da steht, man sollte nicht mit laufenden Systemen herumspielen.

 

Okay – Google zumindest findet zu "Don't match a running system" nicht einen einzigen Treffer. Ist aber ja auch egal.

Ich finde prima, dass Henri die Forensoftware aktuell hält und bin mit der neuen Version sehr glücklich. Die Wahl lassen war wohl schwierig, schliesslich war da ein erheblicher Migrationsaufwand mit der DB zu wuppen.

 

2 hours ago, Itter said:

Werbung läuft hier? Welche Werbung? Ich sehe hier keine Werbung.

 

Na dann mach mal Deinen Adblocker aus. (Nicht alle haben einen Adblocker...)

Geschrieben

Da sieht man mal, das Google auch nicht allwissend ist :7_sweat_smile:

Warum sollte ich den Addblocker aus machen?den habe ich ja eben aus solchen Gründen drin.

Kann ich auch jedem nur wärmstens empfehlen sich den zu installieren, gibt es auch für Mac und Ios, bzw. Safari, Chrom usw. :96_ok_hand:

Sicher war das ein erheblicher Aufwand die DB zu migrieren, stellt ja auch keiner in Abrede, ist nur die Frage,
was die Forensoftware für Möglichkeiten bietet und ob das nicht hätte realisiert werden können.

Fakt ist, das anscheinend immer mehr Leute Probleme mit dem Login haben.
Ich habe übrigens mal nebenbei meine Coockies überprüft und die haben eine Gültigkeit bis zwischen 2019 und 2020, neben
den Kurzzeitcookies, (Sitzungscoockies), die nach Beendigung ihre Gültigkeit verlieren.
Bringt aber anscheinend trotzdem die Lösung des Problems nicht näher, was bei einigen das ständige Einlogen anbelangt.
Hier könnte sich aber auch mal Henri zu Wort melden, was entweder Stand der Dinge ist, oder ob er dem Problem zumindestens auf der Spur ist.

Fraglich ist auch, ob Henri überhaupt Einfluss auf die Coockies hat, da diese zumeist von der Forensoftware gehandelt werden und somit u.U. ein

Fehler schon in der Programmierung der Forensoftware in dem Modul durch den Anbieter vorliegt.

 

Geschrieben

"Cookies" bitte, ohne c.

Die Loginprobleme werden behoben sein, sobald konsequent nur noch SSL verwendet wird. Und das ist der einzig richtige Weg und den wird Henri bestimmt auch gehen.

 

(Übrigens bist Du mit Adblocker keineswegs gegen XSS gefeit, aber das ist OT.)

Geschrieben

Sorry war im Urlaub ;)

SSL only ist nun aktiv und ein Softwareupdate das auch SSL Sachen verbessert wurde eingespielt.

-> falls es doch noch Probleme gibt bitte Cookies löschen und nochmal testen und dann melden.

 

Warum SSL?
Die Browserhersteller haben angekündigt bei Seiten mit Login die nicht mit SSL abgesichert sind, eine Sicherheitswarnung herauszugeben. 

  • Like 1
Geschrieben

Bei mir gehts und hat auch die Umstellung alleine gemacht. Ich hab nichts ändern müssen, meine Cookies für Filmvorführer etc. sind auch dauerhaft als zugelassen markiert.

Jens

Geschrieben (bearbeitet)
Am 11.2.2017 um 23:06 schrieb F. Wachsmuth:

Okay – Google zumindest findet zu "Don't match a running system" nicht einen einzigen Treffer. Ist aber ja auch egal.

Ich finde prima, dass Henri die Forensoftware aktuell hält und bin mit der neuen Version sehr glücklich. Die Wahl lassen war wohl schwierig, schliesslich war da ein erheblicher Migrationsaufwand mit der DB zu wuppen.

 

So egal finde es ehrlich gesagt nicht. Immerhin leben wir hier nicht in China, mit ihren Millionen gesperrten Keywords / Internetseiten!
Konnte mir dein Such-Resultat überhaupt nicht mal im entferntesten vorstellen, also habe ich das mal interessehalber eingegeben:
Ungefähr 102.000.000 Ergebnisse (0,33 Sekunden) !!!!!
Vielleicht solltest du mal deine Browser bzw. Netzwerkeinstellungen überprüfen;-) Sorry hatte doch schon etwas mehr von dir Erwartet:-(


Eine Umstellung auf SSL ist im allgemeinen immer ein Risiko Faktor in Produktiv Systemen. Wird auch NIE in laufenden Systemen vollzogen, und erst nach ausgiebig in simultan laufenden Test Umgebungen ausführlich getestet, und dann umgestellt!
Ein paar links in DB Tabellen von z.B. "http" auf "https" umzustellen, ist dabei eigentlich das kleinste Problem. Dafür gibt es entsprechende SQL Befehle!

 

Hierbei spielt auch immer die richtige Reihenfolge der Maßnahmen eine nicht zu unterschätzende Rolle! Entsprechendes Wissen vorausgesetzt, kann sich jeder übrigens ein entsprechendes SSL-Zertikat selber erstellen, sofern man einen eigenen Server hat;-)
 
Hauptgrund der Umstellung auf SSL ist mit hoher Wahrscheinlichkeit nicht die Sicherheit irgendwelcher übermittelter Daten, sondern die konforme neue Gockel-Welt, die vorschreibt wie Internet Seiten seit neuesten vom Global-Player aufgebaut sein müssen, um im Ranking möglichst auf den ersten Seiten zu erscheinen und bei Werbung hohen Traffic zu erzeugen!
Der Rest ist ein schöner Nebeneffekt, der früher oder später sowieso vollzogen werden muß;-)

 

Da hier weder ein Shop o.ä. wie hier schon angedeutet vorhanden ist, noch sonst irgendwelche relevant wichtige Daten zu berücksichtigen sind, kann man den Rest wohl stillschweigend ignorieren;-)

Wäre schön, hätte man hier für die nicht so wissende Gemeinde einen NOTFALLPLAN erzeugen könnte, wie z.B. Browser Cache löschen, u.s.w

 

Nicht für Ungut Henry, aber ich wollte mal für die im Internet nicht so in der Materie steckenden Forenten einen kleinen Einblick geben. Das Forum hier bietet wirklich viel Hilfe in technischen Fragen, und ich freue immer wieder über die sehr hilfreichen Antworten,

 

Gruß Thomas

Bearbeitet von zelluloid8 (Änderungen anzeigen)
Geschrieben
53 minutes ago, zelluloid8 said:

Sorry hatte doch schon etwas mehr von dir Erwartet:-(

 

Die Quotes machen den Unterschied, junger Padawan: http://bfy.tw/AJuA

Sie bringen die Suchmaschine Deines Vertrauens dazu, exklusiv nach der beinhalteten Zeichenkette als ganzes zu suchen, statt nach Seiten die all diese Begriffe enthalten. Itters sonderbares Zitat gibt es eben einfach (bisher) nicht. Ist aber auch völlig egal. Was er gemeint hat, ist wohl klar, nur ist das eben genauso unwahr wie ein "Die Ausnahme bestätigt die Regel" oder ähnlicher Unfug.

 

Ansonsten: Schön, wie gut Du Dich auskennst und wie nett und umfänglich Du uns daran teilhaben lässt! Vielen Dank dafür! :)

 

(Ach ja: Um sich ein SSL cert zu erstellen, benötigt man keineswegs "einen eigenen Server". Selbstsignierte Zertifikate sind nur leider für diesen Fall nutzlos, da nicht vertrauenswürdig und damit eben Warnungen werfend. Ist aber auch egal. Nur: Wer eher wenig Ahnung von Internetsicherheit hat, sollte wirklich nicht versuchen, selbige öffentlich großspurig zu erklären. Und nein, ich bin definitiv kein Kryptologie-Experte, aber ich habe schon einige tausend Rechner da draußen wiederholt mit neuen Zertifikaten ausgestattet, und das besten Wissens und Gewissens in Production!)

 

Aber wir driften ab. Das Forum läuft super rund, ist zeitgemäß sicher und Henri hat einen prima Job gemacht. Allein das zählt.

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Filmvorführer.de mit Werbung, externen Inhalten und Cookies nutzen

  I accept

Filmvorfuehrer.de, die Forenmitglieder und Partner nutzen eingebettete Skripte und Cookies, um die Seite optimal zu gestalten und fortlaufend zu verbessern, sowie zur Ausspielung von externen Inhalten (z.B. youtube, Vimeo, Twitter,..) und Anzeigen.

Die Verarbeitungszwecke im Einzelnen sind:

  • Informationen auf einem Gerät speichern und/oder abrufen
  • Datenübermittlung an Partner, auch n Länder ausserhalb der EU (Drittstaatentransfer)
  • Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen
Durch das Klicken des „Zustimmen“-Buttons stimmen Sie der Verarbeitung der auf Ihrem Gerät bzw. Ihrer Endeinrichtung gespeicherten Daten wie z.B. persönlichen Identifikatoren oder IP-Adressen für diese Verarbeitungszwecke gem. § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO zu. Darüber hinaus willigen Sie gem. Art. 49 Abs. 1 DSGVO ein, dass auch Anbieter in den USA Ihre Daten verarbeiten. In diesem Fall ist es möglich, dass die übermittelten Daten durch lokale Behörden verarbeitet werden. Weiterführende Details finden Sie in unserer  Datenschutzerklärung, die am Ende jeder Seite verlinkt sind. Die Zustimmung kann jederzeit durch Löschen des entsprechenden Cookies widerrufen werden.