https

Ankündigungen, Anregungen, Kritik, Verbesserungsvorschläge

https

Benutzeravatar
read
Man kann (und sollte) das Forum via https aufrufen, u. a., damit die Logindaten nicht unverschlüsselt durch's Netz gehen. Das klappt auch, aber nur, wenn man das explizit macht, also https://www.goingelectric.de/ statt http://www.goingelectric.de/ aufruft. Jedoch verweisen viele interne Links der Website anscheinend ausdrücklich auf http-Seiten, so dass man sich oft unversehens wieder aus der sicheren Verbindung herauskatapultiert (wenn man z. B. im Routenplaner Stromtankstellendetails aufruft).

Vorschläge:

1. Wird die Website über eine unverschlüsselte Verbindung aufgerufen, sollte sie automatisch auf eine sichere https-Verbindung umleiten.

2. Interne Links sollten relativ gesetzt sein, so dass man nicht unbeabsichtigt die sichere Verbindung verliert, wenn man andere Bereiche der Website aufruft.

@Guy: Keine große Sache, oder? Gibt auch einen Pluspunkt bei Google. ;)
ZOE Intens Q210 2013-2018
ZOE ZE40 Limited R110 2019-2023
MG4 Comfort seit 03/2023
ZOE-Blog | MG4-Blog
Anzeige

Re: https

Benutzeravatar
read
Gibt Serverlast - Kosten – Ärger.

Aber trotzdem: +1 !
– Der obige Post kann Spuren von Ironie und/oder Sarkasmus enthalten –

- EV-Freak (chargEV)

Leaf, Zoe, e-up, Enyaq und Model 3 in der Flotte

Re: https

tomaso
  • Beiträge: 115
  • Registriert: So 26. Feb 2017, 17:49
read
Das Thema hatten wir schon:
goingelectric-forum/unsicheres-login-t22547.html

Gruß,
Tomaso

Re: https

Benutzeravatar
read
Oh sorry, hatte ich nicht gesehen. Kann ein Admin bitte diesen Faden da anhängen? Danke!
ZOE Intens Q210 2013-2018
ZOE ZE40 Limited R110 2019-2023
MG4 Comfort seit 03/2023
ZOE-Blog | MG4-Blog

Re: https

Ragnarok
  • Beiträge: 309
  • Registriert: So 27. Dez 2015, 14:18
  • Wohnort: Zwischen LEO und PF
  • Danke erhalten: 9 Mal
read
tomaso hat geschrieben:Das Thema hatten wir schon:
goingelectric-forum/unsicheres-login-t22547.html
Die Themen sind schon unterschiedlich, nur ist der Name dieses Threads nicht sehr treffend.
Guy muss halt die Links vereinheitlichen, damit die Seite durchgängig verschlüsselt nutzbar ist.

Re: https

Benutzeravatar
read
@Lotzekov - Warum sollte das Kosten und Serverlast verursachen?

Das ist kein Hexenwerk - ich gehe davon aus, dass GoingElectric über einen Apache-Server läuft.
Es muss lediglich mod_rewrite installiert sein (einfach ein Modul) und dann in die Konfigurationsdatei (oder im Virtualhost-File) folgendes eingetragen werden:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
Damit werden alle http Requests automatisch auf https geleitet. Dafür muss nichts weiter getan werden. Alle Links würden also funktionieren.

Da das Forum ja auch so per HTTPS abrufbar ist, existiert ja schon ein Zertifikat. Und selbst wenn nicht - SSL-Zertifikate gibt es kostenlos per Letsencrypt. Alles kein Hexenwerk.

Https sollte längst standard sein, warum das hier nicht automatisch geschieht, versteh ich nicht, zumal ein gültiges SSL-Zertifikat ja bereits existiert.

Aber mal abgesehen davon, @Elektrolurch - nur weil eine Seite https benutzt, mag sie noch lange nicht sicher sein. Erstens kann es auch so Sicherheitslücken geben - oder die Zugangsdaten, welche zwar durch https verschlüsselt übertragen werden - könnten einfach im Klartext in der Datenbank gespeichert werden. Ich gehe aber davon aus, dass sämtliche Zugangsdaten hier einwegsgehashed werden mit dem SHA512 Algorithmus o.ä., sodass ein Zurückrechnen bzw. Entschlüsseln nicht möglich ist.
Seit dem 25.07.2017 elektrisch mit dem IONIQ unterwegs. Bestell-Nr. 183.
****
Entwickler der EVNotify-App
****
Folg mir auf Twitter :-)

Re: https

Benutzeravatar
read
Shit, unzulässiges Smiley verwendet - Fehlermeldung von mySQLi, Beitrag weg, alles nochmal tippen...

Die Serverlast steigt, weil Verschlüsselung mehr Prozessorpower benötigt. Also steigt auch der Energieverbrauch, und die Auslieferungszeiten werden etwas langsamer länger. Bei einer Site mit viel Traffic duchaus relevant. Um das auszugleichen, braucht man dann vielleicht schnellere Hardware, und das verursacht dann Kosten.

Passwörter: Soweit ich weiß, verwendet phpBB bcrypt, das sollte hinreichend sicher sein. Sofern der Server das unterstützt. Sicherheitslücken kann natürlich niemand ausschließen, aber ich bin sicher, im R-Link und in Millionen IoT-Geräten klaffen weitaus größere...

Edit: länger statt langsamer
Zuletzt geändert von Elektrolurch am So 16. Apr 2017, 19:06, insgesamt 1-mal geändert.
ZOE Intens Q210 2013-2018
ZOE ZE40 Limited R110 2019-2023
MG4 Comfort seit 03/2023
ZOE-Blog | MG4-Blog

Re: https

MAlfare
  • Beiträge: 323
  • Registriert: Di 17. Mär 2015, 00:21
  • Wohnort: Lustenau
  • Hat sich bedankt: 26 Mal
  • Danke erhalten: 14 Mal
read
Elektrolurch hat geschrieben:..... und die Auslieferungszeiten werden etwas langsamer ...
Zeiten werden nicht langsamer, sonder länger

Re: https

Benutzeravatar
read
Alle Tage sind gleich lang, aber verschieden breit... ;-)
ZOE Intens Q210 2013-2018
ZOE ZE40 Limited R110 2019-2023
MG4 Comfort seit 03/2023
ZOE-Blog | MG4-Blog

Re: https

Benutzeravatar
read
@Guy: Besteht denn Hoffnung, dass sich in Sachen korrekte interne Verlinkung irgendwann was tut? Beim Aufruf von Ladepunkt-Details verlässt man immer noch den https-Bereich...
ZOE Intens Q210 2013-2018
ZOE ZE40 Limited R110 2019-2023
MG4 Comfort seit 03/2023
ZOE-Blog | MG4-Blog
Anzeige
AntwortenAntworten

Zurück zu „GoingElectric Forum“

Gehe zu Profile