[rocky mountaineer]

Hallo,
seit heute (16.03.17) kommt folgende Sicherheitswarnung beim Anmelden:



OS: W10 (Build 14393.953), Browser: FF 52.0
Was hat sich geändert und was kann man tun, um dies abzuändern?
Danke.
Joern

[d11b]

Hallo Joern,

geändert hat sich "nur", dass Firefox ab der aktuellen Version bei Internetseiten "meckert", wenn diese nicht über eine verschlüsselte Verbindung erreichbar sind. Machen kannst du da erstmal nicht viel - da müssen die Domainbetreiber dran.

Viele Grüße
Daniel

[Dölerich Hirnfiedler]

[quote="rocky mountaineer" post_id=1668107 time=1489659555 user_id=21485]

Was hat sich geändert und was kann man tun, um dies abzuändern?
Danke.

[/quote]

Hallo Joern,

Ich warne ausdrücklich davor, die Warnungen auszuschalten.
Aber wenn Du unbedingt willst:
Rufe

1
 

about:config
 

auf. Ändere den Wert von

1
 

security.insecure_password.ui.enabled
 

zu

1
 

false
 

Fortan bekommst Du keine Warnungen mehr für unsichere Übermittlungen von Passwörtern. Sinnvoll ist das nicht.

mfg

D.

[rocky mountaineer]

Danke für Eure Antworten.

Wenn ich es richtig verstehe, liegt das also an der neuen FF-Version und es muß da etwas von Seiten der Forenbetreiber geändert werden?
Ich bin Mitglied in diversen anderen Foren, da passiert das auch jetzt (nach FF 52.0) nicht.
Gruß
Joern

[Murrrphy]

[quote="rocky mountaineer" post_id=1668122 time=1489662196 user_id=21485]
und es muß da etwas von Seiten der Forenbetreiber geändert werden?
[/quote]
Nö.

Das liegt in Deiner alleinigen, freien Entscheidung, ob Du SSL beim Aufruf des Forums nutzt, oder nicht.

[DeMorpheus]

Hm. Und wie nutze ich bei diesem Forum SSL?

[d11b]

Solange es nicht angeboten wird, kannst du es gar nicht nutzen. Firefox (und andere Browser) weisen nur jetzt auf diesen (unsicheren) Zustand deutlicher hin.

Viele Grüße
Daniel

[rocky mountaineer]

Zitat

---

Das liegt in Deiner alleinigen, freien Entscheidung, ob Du SSL beim Aufruf des Forums nutzt, oder nicht.

---

Zitat

---

Hm. Und wie nutze ich bei diesem Forum SSL?

---

O.K., aber bis zum Update auf FF 52.0 ging es.
Vielleicht bin ich blind, aber ich sehe in FF 52.0 keine Möglichkeit einer SSL-Einstellung. Oder muß man ein Add-On laden?

Zitat

---

Solange es nicht angeboten wird, kannst du es gar nicht nutzen. Firefox (und andere Browser) weisen nur jetzt auf diesen (unsicheren) Zustand deutlicher hin.

---

Also liegt es nicht in meiner alleinigen, freien Entscheidung?
Gruß
Joern

[d11b]

Hallo Joern,

ich kenne zwar den Firefox nicht so genau, ich glaube aber, dass dich der Firefox schon länger drauf hingewiesen hat, dass du hier kein SSL benutzen kannst. Ich glaube anhand eines gelben(?) Warndreiecks neben der Adresszeile.

Also nochmal deutlich:
SSL muss vom Domainbetreiber www.stummiforum.de angeboten werden und dann wählt dein Firefox automatisch eine SSL-verschlüsselte Verbindung aus.

Viele Grüße
Daniel

[Murrrphy]

https://www.stummiforum.de (ohne SSL)
https://www.stummiforum.de (mit SSL)
wie eigentlich schon immer für Seiten im Internet...

(und ja, wir nutzen ein selbstsigniertes Zertifikat, weil wir mehrere hundert Euro für ein Trust-Zertifikat derzeit nicht ausgeben wollen, nur für den Fall, dass sich jemand an der nächsten Browserwarnung stört, die dann ggf. kommt, und nein, selbstsigniertes Zertifikat bedeutet nicht, dass die Verbindung unverschlüsselt ist, sie ist genauso verschlüsselt, wie mit einem Trust-Zertifikat, nur dass ihr uns halt trauen müsst, dass wir keine Hintertür ins Zertifikat gebaut haben )

[DeMorpheus]

Tja, wenn das alles so einfach und selbstverständlich bekannt wäre hätte Joern gar nicht erst fragen müssen. Mit deiner zweiten Antwort kann jetzt jeder was anfangen

[rocky mountaineer]

Nochmal zu meinem ersten Post und dem Bild:

Hier erscheint in der nun eingeblendeten Maske der besagte Hinweis und am unteren Rand ein Schlüsselsymbol mit meinem Benutzernamen.
Wenn ich diese Zeile anklicke, gelingt der Zugang. Ist er dann verschlüsselt?
Gruß
Joern

[CR1970]

Wenn neben der Adresszeile ein Schloss ist...Ja.

Es gibt auch kostenlose Zertifikate.

Androide Grüße von CR1970

[rocky mountaineer]

Hallo,

Zitat

---

wie eigentlich schon immer für Seiten im Internet...

---

Und wenn ich die verschlüsselte Seite https://www.stummiforum.de/ anklicke, kommt:

Was denn nun?
Gruß
Joern

[Murrrphy]

[quote="rocky mountaineer" post_id=1668161 time=1489669287 user_id=21485]
Hallo,

Zitat

---

wie eigentlich schon immer für Seiten im Internet...

---

Und wenn ich die verschlüsselte Seite https://www.stummiforum.de/ anklicke, kommt:

Was denn nun?
[/quote]
Lies bitte meine obige Erläuterung dazu, das habe ich genau für diese Fall bereits geschrieben. Entweder akzeptiere das selbstsignierte Zertifikat oder lebe mit der unverschlüsselten Verbindung inkl. Firefox-Warnhinweis.

[gnampf]

Ein selbstsigniertes Zertifikat bedeutet vor allem auch, das sich hier jeder als Man-in-the-middle dazwischen schalten kann, denn es gibt keinen Aussteller der fuer die Korrektheit und Originalitaet des Zertifikats gerade steht. Dazu ist das Zertifikat auch noch mit einem falschen Common Name ausgestattet, korrekt waere die Adresse der Website gewesen, nicht der Name des Zertifikatserstellers. Schaut euch doch mal Letsencrypt an, damit erhaltet ihr ein anstaendiges Zertifikat dem alle aktuellen Browser vertrauen ohne das die User irgendwelche Verrenkungen und unsicheren Einstellungen vornehmen muessen, und das ganze fuer 0,00 EUR.

[Momo]

Habe gerade unbewußt des https vor 14 Tagen den Server wechseln müssen, weil der Serverinhaber verkauft hat und nun horrende Preise haben wollte

Nun bin ich bei einem Provider gelandet, der das im Webhosting Paket mit anbietet....

Meine neue Webseite kann ich jetzt auf
https://hafendiorama.unser-kleiner-zoo.de

und

http://hafendiorama.unser-kleiner-zoo.de

aufrufen...

Ich weiß zwar auch nicht warum das so ist; und den Sinn sehe ich auch noch nicht so....

PS: Gleichzeitig ein wenig Werbung für meine Website t:

Gruß Dieter

[Stummilein]

Zitat

---

Ein selbstsigniertes Zertifikat bedeutet vor allem auch, das sich hier jeder als Man-in-the-middle dazwischen schalten kann, denn es gibt keinen Aussteller der fuer die Korrektheit und Originalitaet des Zertifikats gerade steht. Dazu ist das Zertifikat auch noch mit einem falschen Common Name ausgestattet, korrekt waere die Adresse der Website gewesen, nicht der Name des Zertifikatserstellers. Schaut euch doch mal Letsencrypt an, damit erhaltet ihr ein anstaendiges Zertifikat dem alle aktuellen Browser vertrauen ohne das die User irgendwelche Verrenkungen und unsicheren Einstellungen vornehmen muessen, und das ganze fuer 0,00 EUR.

---

Hallo,

bis vorgestern konnte sich jeder "dazwischenschalten" und keinen hats gestört.
Jetzt, nach dem Firefox-Update, kommt halt eine Meldung und plötzlich herrscht Aufregung.

Wir werden Deine Anregung prüfen und bis dahin ist es so, wie es ist.

[Shoogar]

Zitat

---

Wir werden Deine Anregung prüfen und bis dahin ist es so, wie es ist.

---

Heißt das, daß "bis dahin" Modellbahn ein gefährliches Hobby ist, das ich besser ruhen lassen sollte?

[Michael K]

Zitat

---

Zitat

---

Wir werden Deine Anregung prüfen und bis dahin ist es so, wie es ist.

---

Heißt das, daß "bis dahin" Modellbahn ein gefährliches Hobby ist, das ich besser ruhen lassen sollte?

---

Ja alles ganz furchtbar und schrecklich.
Und in der Tat ist dieses Hobby gefährlich - denk auch an die blauen (Blech-)Trafos...

[SvenS]

Zitat

---

bis vorgestern konnte sich jeder "dazwischenschalten" und keinen hats gestört.
Jetzt, nach dem Firefox-Update, kommt halt eine Meldung und plötzlich herrscht Aufregung.

Wir werden Deine Anregung prüfen und bis dahin ist es so, wie es ist.

---

Hi,

na ja, genau das ist ja der Grund warum die Browser das Verhalten nun ändern. Jedweder Transfer von Login Informationen sollte immer verschlüsselt erfolgen, da viele immer noch gleiche Passworte und IDs bei verschiedenen Diensten nutzen und von daher selbst Accounts wie hier für Angreifer enorm interessant sein können.

Aber das Problem sollte wirklich relativ einfach lösbar sein. Wie schon gnamf sagt, Letsencrypt ist hier die beste Wahl, kostenfrei und bietet Skripte für automatische Zertifikatserneuerung ist also wartungsarm. Und da https ja schon aktiv ist sind auch keine Probleme bei Links im Forensystem zu erwarten.

Die Einrichtung von letsencrypt braucht wenn es ein Apache oder nginx ist keine 15 Minuten. Aber Ihr prüft ja...von daher bin ich guter Dinge

bye
Sven

[Müesliman]

Hallo Stummis.

Früher habe ich direkt im Anmeldekästchen auf meinen Forennamen geklickt, jetzt klicke ich 1 cm weiter unten auf meinen Forennamen. Am Zugang und an der Sicherheit hat sich nichts geändert; nur der 1 Zentimeter und der Warnhinweis halt.

Ich wünsche ein ruhiges Wochenende.
Müesliman

[Murrrphy]

Zitat

---

na ja, genau das ist ja der Grund warum die Browser das Verhalten nun ändern. Jedweder Transfer von Login Informationen sollte immer verschlüsselt erfolgen, da viele immer noch gleiche Passworte und IDs bei verschiedenen Diensten nutzen und von daher selbst Accounts wie hier für Angreifer enorm interessant sein können.

---

Tja, diese Problematik ist ja nun nicht neu und seit Jahren bekannt und man redet sich überall den Mund fusselig und ernst nimmt es niemand, bis irgendein Browser mal sein Verhalten ändert, und schon ist der Aufschrei groß...

Gleichzeitig schicken die Leute ihr Plain-Text-Passwörter unverschlüsselt an irgendwelche Mailinglisten, hinter denen sie die Admins vermuten und wo sie nicht wissen, wer denn alles die Mail bekommt und liest, weil sie meinen, nur so würden ihnen die Admins bei einem Forenproblem helfen. Wenn es nicht verboten wäre könnte man einen schwunghaften Handel mit den Passwörtern betrieben, die einem so jede Woche zugeschickt werden, man wäre binnen kürzester Zeit reich (und nein, ich betone es nochmal ausdrücklich, eh einer auf dumme Ideen kommt: die Admins haben keinerlei Zugriff auf die Passwörter und können sie im Forum oder der Datenbank nicht auslesen, da die als verschlüsselter Hash gespeichert sind). Nein, ich rede nicht von Einzelfällen, das ist schon fast zwanghaft.

Und bei so wenig ausgeprägter Vernunft und Sicherheitsbewußtsein nutzt dann auch das noch so geänderte Browserverhalten auch nichts mehr. Dann baut der Forenbetreiber vorne einen weiteren Riegel in die Tür, um die Leute weiter abzusichern, und die Leute lassen dann einfach die Terassentür sperrangelweit offenstehen und fühlen sich dabei trotzdem sicher wegen des neuen Riegels.

[rocky mountaineer]

Hallo,

seit heute nachmittag (18.03.17) komme ich nicht mehr unter der abgespeicherten Adresse https://www.stummiforum.de/ins Forum, auch alle Links in den Benachrichtigungsmails funtionieren nicht mehr.

Der Link https://www.stummiforum.de/funktioniert.

Heißt das, daß nunmehr die Seite ohne SSL stillgelegt ist?

Danke und Gruß
Joern

[Murrrphy]

[quote="rocky mountaineer" post_id=1668817 time=1489851877 user_id=21485]
Heißt das, daß nunmehr die Seite ohne SSL stillgelegt ist?
[/quote]
Nein, die Seite funktioniert wie bisher auch (sowohl mit, als auch ohne SSL).

Wenn dem so wäre, hätte es 1. eine automatische Weiterleitung gegeben und 2. eine Ankündigung im Forum.