https

Ankündigungen, Anregungen, Kritik, Verbesserungsvorschläge

https

Beitragvon Elektrolurch » Fr 14. Apr 2017, 16:50

Man kann (und sollte) das Forum via https aufrufen, u. a., damit die Logindaten nicht unverschlüsselt durch's Netz gehen. Das klappt auch, aber nur, wenn man das explizit macht, also https://www.goingelectric.de/ statt http://www.goingelectric.de/ aufruft. Jedoch verweisen viele interne Links der Website anscheinend ausdrücklich auf http-Seiten, so dass man sich oft unversehens wieder aus der sicheren Verbindung herauskatapultiert (wenn man z. B. im Routenplaner Stromtankstellendetails aufruft).

Vorschläge:

1. Wird die Website über eine unverschlüsselte Verbindung aufgerufen, sollte sie automatisch auf eine sichere https-Verbindung umleiten.

2. Interne Links sollten relativ gesetzt sein, so dass man nicht unbeabsichtigt die sichere Verbindung verliert, wenn man andere Bereiche der Website aufruft.

@Guy: Keine große Sache, oder? Gibt auch einen Pluspunkt bei Google. ;)
ZOE Intens Q210 weiß (F-Import) seit 11.2013
Ratgeber Elektroautos | ZOE-Blog
„Für jedes komplexe Problem gibt es eine einfache Lösung - und die ist die falsche.“ (Umberto Eco)
Benutzeravatar
Elektrolurch
 
Beiträge: 2997
Registriert: Fr 15. Nov 2013, 08:00
Wohnort: Ronnenberg-Benthe (Hannover)

Anzeige

Re: https

Beitragvon Lotzekov » Fr 14. Apr 2017, 17:51

Gibt Serverlast - Kosten – Ärger.

Aber trotzdem: +1 !
– Der obige Post kann Spuren von Ironie und/oder Sarkasmus enthalten –

- EV-Freak (chargEV)

12/16 – 12/19: Renault Zoe Intens Zirkonblau 20.000 km/Jahr
11/17 - 11/20: IONIQ Elektro Premium Phantom Black 30.000 km / Jahr
Sono Motors Sion reserviert
Benutzeravatar
Lotzekov
 
Beiträge: 126
Registriert: Mo 26. Sep 2016, 14:03

Re: https

Beitragvon tomaso » Fr 14. Apr 2017, 17:54

Das Thema hatten wir schon:
goingelectric-forum/unsicheres-login-t22547.html

Gruß,
Tomaso
tomaso
 
Beiträge: 114
Registriert: So 26. Feb 2017, 18:49

Re: https

Beitragvon Elektrolurch » Sa 15. Apr 2017, 08:27

Oh sorry, hatte ich nicht gesehen. Kann ein Admin bitte diesen Faden da anhängen? Danke!
ZOE Intens Q210 weiß (F-Import) seit 11.2013
Ratgeber Elektroautos | ZOE-Blog
„Für jedes komplexe Problem gibt es eine einfache Lösung - und die ist die falsche.“ (Umberto Eco)
Benutzeravatar
Elektrolurch
 
Beiträge: 2997
Registriert: Fr 15. Nov 2013, 08:00
Wohnort: Ronnenberg-Benthe (Hannover)

Re: https

Beitragvon Ragnarok » Sa 15. Apr 2017, 08:43

tomaso hat geschrieben:

Die Themen sind schon unterschiedlich, nur ist der Name dieses Threads nicht sehr treffend.
Guy muss halt die Links vereinheitlichen, damit die Seite durchgängig verschlüsselt nutzbar ist.
Ragnarok
 
Beiträge: 212
Registriert: So 27. Dez 2015, 15:18

Re: https

Beitragvon GcAsk » Sa 15. Apr 2017, 10:55

@Lotzekov - Warum sollte das Kosten und Serverlast verursachen?

Das ist kein Hexenwerk - ich gehe davon aus, dass GoingElectric über einen Apache-Server läuft.
Es muss lediglich mod_rewrite installiert sein (einfach ein Modul) und dann in die Konfigurationsdatei (oder im Virtualhost-File) folgendes eingetragen werden:

Code: Alles auswählen
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]


Damit werden alle http Requests automatisch auf https geleitet. Dafür muss nichts weiter getan werden. Alle Links würden also funktionieren.

Da das Forum ja auch so per HTTPS abrufbar ist, existiert ja schon ein Zertifikat. Und selbst wenn nicht - SSL-Zertifikate gibt es kostenlos per Letsencrypt. Alles kein Hexenwerk.

Https sollte längst standard sein, warum das hier nicht automatisch geschieht, versteh ich nicht, zumal ein gültiges SSL-Zertifikat ja bereits existiert.

Aber mal abgesehen davon, @Elektrolurch - nur weil eine Seite https benutzt, mag sie noch lange nicht sicher sein. Erstens kann es auch so Sicherheitslücken geben - oder die Zugangsdaten, welche zwar durch https verschlüsselt übertragen werden - könnten einfach im Klartext in der Datenbank gespeichert werden. Ich gehe aber davon aus, dass sämtliche Zugangsdaten hier einwegsgehashed werden mit dem SHA512 Algorithmus o.ä., sodass ein Zurückrechnen bzw. Entschlüsseln nicht möglich ist.
Seit dem 25.07.2017 elektrisch mit dem IONIQ unterwegs. Bestell-Nr. 183.
****
Entwickler der EVNotify-App
****
IONIQ-Vlogs
****
Folg mir auf Twitter (twitter.com/GPlay97_) :-)
Benutzeravatar
GcAsk
 
Beiträge: 2038
Registriert: Do 5. Mai 2016, 21:43

Re: https

Beitragvon Elektrolurch » Sa 15. Apr 2017, 15:15

Shit, unzulässiges Smiley verwendet - Fehlermeldung von mySQLi, Beitrag weg, alles nochmal tippen...

Die Serverlast steigt, weil Verschlüsselung mehr Prozessorpower benötigt. Also steigt auch der Energieverbrauch, und die Auslieferungszeiten werden etwas langsamer länger. Bei einer Site mit viel Traffic duchaus relevant. Um das auszugleichen, braucht man dann vielleicht schnellere Hardware, und das verursacht dann Kosten.

Passwörter: Soweit ich weiß, verwendet phpBB bcrypt, das sollte hinreichend sicher sein. Sofern der Server das unterstützt. Sicherheitslücken kann natürlich niemand ausschließen, aber ich bin sicher, im R-Link und in Millionen IoT-Geräten klaffen weitaus größere...

Edit: länger statt langsamer
Zuletzt geändert von Elektrolurch am So 16. Apr 2017, 19:06, insgesamt 1-mal geändert.
ZOE Intens Q210 weiß (F-Import) seit 11.2013
Ratgeber Elektroautos | ZOE-Blog
„Für jedes komplexe Problem gibt es eine einfache Lösung - und die ist die falsche.“ (Umberto Eco)
Benutzeravatar
Elektrolurch
 
Beiträge: 2997
Registriert: Fr 15. Nov 2013, 08:00
Wohnort: Ronnenberg-Benthe (Hannover)

Re: https

Beitragvon MAlfare » Sa 15. Apr 2017, 22:00

Elektrolurch hat geschrieben:
..... und die Auslieferungszeiten werden etwas langsamer ...

Zeiten werden nicht langsamer, sonder länger
MAlfare
 
Beiträge: 225
Registriert: Di 17. Mär 2015, 01:21
Wohnort: Lustenau

Re: https

Beitragvon Elektrolurch » So 16. Apr 2017, 19:02

Alle Tage sind gleich lang, aber verschieden breit... ;-)
ZOE Intens Q210 weiß (F-Import) seit 11.2013
Ratgeber Elektroautos | ZOE-Blog
„Für jedes komplexe Problem gibt es eine einfache Lösung - und die ist die falsche.“ (Umberto Eco)
Benutzeravatar
Elektrolurch
 
Beiträge: 2997
Registriert: Fr 15. Nov 2013, 08:00
Wohnort: Ronnenberg-Benthe (Hannover)

Re: https

Beitragvon Elektrolurch » So 7. Mai 2017, 19:46

@Guy: Besteht denn Hoffnung, dass sich in Sachen korrekte interne Verlinkung irgendwann was tut? Beim Aufruf von Ladepunkt-Details verlässt man immer noch den https-Bereich...
ZOE Intens Q210 weiß (F-Import) seit 11.2013
Ratgeber Elektroautos | ZOE-Blog
„Für jedes komplexe Problem gibt es eine einfache Lösung - und die ist die falsche.“ (Umberto Eco)
Benutzeravatar
Elektrolurch
 
Beiträge: 2997
Registriert: Fr 15. Nov 2013, 08:00
Wohnort: Ronnenberg-Benthe (Hannover)

Anzeige

Nächste

Zurück zu GoingElectric Forum

 
  • Ähnliche Themen
    Antworten
    Zugriffe
    Letzter Beitrag
  • Ähnliche Artikel im Blog

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast