Henri

SSL auf filmvorführer

23 Beiträge in diesem Thema

Da Google und Firefox nun fast schon vorschreiben das man Passwortfelder nur per SSL übertragen darf, ist Filmvorführer nun auch mit einem SSL Zertifikat abgesichert. Der Login läuft nun verschlüsselt ab.

 

Es ist auch die ganze Seite verschlüsselt erreichbar (derzeit "BetaTest"):

 

https://www.filmvorfuehrer.de
Probleme wird es wahrscheinlich mit eingebundenen Bildern und Videos geben, da die oft von "unsicheren" Quellen kommen. Hier soll mit den nächsten Softwareversionen noch verbessurungen erfolgen,
 

Seiten die sauber funktionieren sollten das grüne Schloss Icon haben:

 

screen.png


Bei den anderen werden hoffentlich die nicht sicheren Bilder geladen, aber je nach Browser und Einstellungen kann es zu verschiedenen Effekten kommen. Wäre nett wenn ihr das testet.
Langfristig wäre eine SSL only Seite ideal auch wenn einige Beiträge eventuell nicht ganz sicher sind ;)


Bei Problemen einfach auf http:// (ohne S) umstellen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hab ich noch mit Schloß und gelben Warnzeichen: Diese Webseite stellt keine Indentitätsdaten zur Verfügung.

Grüße

Jens

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das wird öfters kommen ;)

Chrome sagt z.B:
 

Zitat

Your connection to this site is not fully secure
Attackers might be able to see the images that you’re looking at on this site and trick you by modifying them


z.B. Signaturbilder. Hier das vom Chris ;)
 

Zitat

Mixed Content: The page at 'https://www.filmvorfuehrer.de/topic/25447-m%C3%B6glichkeiten-eine-dts-cd-mit-herk%C3%B6mlichem-pc-ab-zu-spielen/' was loaded over HTTPS, but requested an insecure image 'http://i37.photobucket.com/albums/e68/javsvt/fbeach1mf496c0dxe7.gif'. This content should also be served over HTTPS.

 


Eine 100% saubere Einbindung (immer grün) wird wohl nicht klappen, insbesondere bei dem alten Content.
 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 21 Minuten schrieb Jensg:

Hab ich noch mit Schloß und gelben Warnzeichen: Diese Webseite stellt keine Indentitätsdaten zur Verfügung.

Grüße

Jens


Schloss mit gelben Warnzeichen ist bei uns "gut". Das heißt er lädt alles.
Grünes Schloss mit Warnzeichen, oder rot durchgestrichenes Sperrschloss wären derzeit nicht so gut, weil dann Inhalte von anderen Seiten nicht nachgeladen werden. 

https://support.mozilla.org/de/kb/Wie-beeinflussen-Inhalte-die-nicht-sicher-sind-meine-Sicherheit?redirectlocale=en-US&as=u&redirectslug=how-does-content-isnt-secure-affect-my-safety&utm_source=inproduct

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Oh, ich und meine böse Signatur. Ich sollte dem Herren vielleicht mal Urlaub verordnen :)

 

Bei mir funktioniert alles :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

so, wir hatten mal wieder ein Update im Büro... jetzt geht nichts mehr, die Anmeldung klappt meist erst beim 4. mal, wenn überhaupt ;(

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Firefox auf Apple OS geht auch nicht mehr. Seit heute muss ich bei jedem neuen Thread die Anmeldung erneut ausführen. Wirklich zach...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb TK-Chris:

Firefox auf Apple OS geht auch nicht mehr. Seit heute muss ich bei jedem neuen Thread die Anmeldung erneut ausführen. Wirklich zach...

Geh doch einfach wieder per http auf die Seite und nicht per SSL, oder bestehen da die Probleme auch?

Ich gehe nach wie vor per http auf die Seite und habe bisher keinerlei Probleme, weder mit Anmelden, noch mir angemeldet bleiben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 25 Minuten schrieb Itter:

Geh doch einfach wieder per http auf die Seite und nicht per SSL, oder bestehen da die Probleme auch?

Ich gehe nach wie vor per http auf die Seite und habe bisher keinerlei Probleme, weder mit Anmelden, noch mir angemeldet bleiben.

edit, weil ich dumm gefragt habe. :)

bearbeitet von sir.tommes (Änderungen anzeigen)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 37 Minuten schrieb sir.tommes:

edit, weil ich dumm gefragt habe. :)

Mal ehrlich, wozu brauch man hier SSL (https)?

Ist doch keine E-Shop hier.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin, seit Donnerstag morgen vergessen auch bei mir alle Browser (Chrome, Safari OSX, Safari iOS), dass ich eingeloggt bin und bitten mich bei jeder neuer Session, mich neu einzuloggen.

Es scheint besser zu funktionieren, wenn ich das Forum per SSL besuche (via https:// Prefix).

@Henri: Die Notification Emails zeigen leider noch auf die non-secure URL, könntest Du die Base-URL in den Emails entsprechend ändern? Das ständige eingelogge ist auch mit Passwortmanager ein bisschen mühsam. :)

 

Danke!

 

2017-02-11 at 13.35.png

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Und noch einen Wunsch an @Henri: Könntest Du http://-Aufrufe direkt auf https://-Aufrufe umleiten? Das wäre wirklich praktisch, es gibt so viele Bookmarks, Suchergebnisse etc. pp...

Die Umstellung auf SSL ist außerordentlich begrüßenswert, aber wenn, dann doch bite ganz. :)

 

Vielen Dank!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also ich weiß nicht, wozu man hier unbedingt SSL braucht.
Ich gehe nach wie vor mit http rein und habe noch immer keine Probleme mit abgelaufenen Sitzungen, benutze
keinen Passwortmanager, behalte nur die Coockies des Boards bei, (Einstellung unter Ccleaner) und das schon seit Jahren.
Es gibt einen guten Spruch aus dem IT-Breich, 'Don't match a running system'. Der Spruch hat durchaus seine Berechtigung.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
2 hours ago, Itter said:

Also ich weiß nicht, wozu man hier unbedingt SSL braucht.

 

SSL ist nötig, weil jedwede Form unverschlüsselter Kommunikation im Internet heutzutage einfach nur unverantwortlich gestrig und fahrlässig ist. Und Du kannst fest davon ausgehen, dass die Hälfte der User hier ein Passwort verwendet, dass auch sonst noch an anderer (kritischerer) Stelle zum Einsatz kommt.

Offenbar nutzt das FVF (neue) Session-Cookies jetzt nur noch via SSL, und das ist auch gut so, denn das verhindert MITM-Attacken (und da hier auch Werbung läuft, sind XSS Attacken gut denkbar)

 

2 hours ago, Itter said:

Es gibt einen guten Spruch aus dem IT-Breich, 'Don't match a running system'.

 

Falls Du "Never touch a running System" meinst: Der Spruch ist genau Blödsinn wie "die Ausnahme bestätigt die Regel". Ein Sicherheitsloch ist ein Sicherheitsloch und gehört geschlossen. 

 

TL;DR:

Bei Dir geht es wohl deshalb noch ohne SSL, weil Du noch ein altes, nicht abgelaufenes Session Cookie hast.

SSL ist gut und wichtig, nur hat Henri noch nicht ganz alle nötigen Schalter umgelegt. :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nö, ich meinte den Spruch schon so, wie er da steht, man sollte nicht mit laufenden Systemen herumspielen.
Werbung läuft hier? Welche Werbung? Ich sehe hier keine Werbung.
Sehe das nicht unbedingt so kritisch hier, wie ich schonmal sagte, das ist hier kein E-Shop.
Meinetwegen hätte auch das alte Forum genügt und hätte bleiben können, sehe ich aber auch nicht alleine so.
Man hätte hier die Auswahl lassen können, ob man die alte, oder die neue Version verwenden möchte, wie es in einigen
anderen Foren möglich ist, wo man das selber auswählen kann.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
2 hours ago, Itter said:

Nö, ich meinte den Spruch schon so, wie er da steht, man sollte nicht mit laufenden Systemen herumspielen.

 

Okay – Google zumindest findet zu "Don't match a running system" nicht einen einzigen Treffer. Ist aber ja auch egal.

Ich finde prima, dass Henri die Forensoftware aktuell hält und bin mit der neuen Version sehr glücklich. Die Wahl lassen war wohl schwierig, schliesslich war da ein erheblicher Migrationsaufwand mit der DB zu wuppen.

 

2 hours ago, Itter said:

Werbung läuft hier? Welche Werbung? Ich sehe hier keine Werbung.

 

Na dann mach mal Deinen Adblocker aus. (Nicht alle haben einen Adblocker...)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Da sieht man mal, das Google auch nicht allwissend ist :7_sweat_smile:

Warum sollte ich den Addblocker aus machen?den habe ich ja eben aus solchen Gründen drin.

Kann ich auch jedem nur wärmstens empfehlen sich den zu installieren, gibt es auch für Mac und Ios, bzw. Safari, Chrom usw. :96_ok_hand:

Sicher war das ein erheblicher Aufwand die DB zu migrieren, stellt ja auch keiner in Abrede, ist nur die Frage,
was die Forensoftware für Möglichkeiten bietet und ob das nicht hätte realisiert werden können.

Fakt ist, das anscheinend immer mehr Leute Probleme mit dem Login haben.
Ich habe übrigens mal nebenbei meine Coockies überprüft und die haben eine Gültigkeit bis zwischen 2019 und 2020, neben
den Kurzzeitcookies, (Sitzungscoockies), die nach Beendigung ihre Gültigkeit verlieren.
Bringt aber anscheinend trotzdem die Lösung des Problems nicht näher, was bei einigen das ständige Einlogen anbelangt.
Hier könnte sich aber auch mal Henri zu Wort melden, was entweder Stand der Dinge ist, oder ob er dem Problem zumindestens auf der Spur ist.

Fraglich ist auch, ob Henri überhaupt Einfluss auf die Coockies hat, da diese zumeist von der Forensoftware gehandelt werden und somit u.U. ein

Fehler schon in der Programmierung der Forensoftware in dem Modul durch den Anbieter vorliegt.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

"Cookies" bitte, ohne c.

Die Loginprobleme werden behoben sein, sobald konsequent nur noch SSL verwendet wird. Und das ist der einzig richtige Weg und den wird Henri bestimmt auch gehen.

 

(Übrigens bist Du mit Adblocker keineswegs gegen XSS gefeit, aber das ist OT.)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Sorry war im Urlaub ;)

SSL only ist nun aktiv und ein Softwareupdate das auch SSL Sachen verbessert wurde eingespielt.

-> falls es doch noch Probleme gibt bitte Cookies löschen und nochmal testen und dann melden.

 

Warum SSL?
Die Browserhersteller haben angekündigt bei Seiten mit Login die nicht mit SSL abgesichert sind, eine Sicherheitswarnung herauszugeben. 

1 Person gefällt das

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Bei mir gehts und hat auch die Umstellung alleine gemacht. Ich hab nichts ändern müssen, meine Cookies für Filmvorführer etc. sind auch dauerhaft als zugelassen markiert.

Jens

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!


Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.


Jetzt anmelden