Zugangsdaten nicht sicher

[Jörg]

Moin zusammen,

seit neuestem bekomme ich beim Einloggen ins Forum diese Meldung (von Mozilla Firefox):

"Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in falsche Hände geraten".

Das hatte ich sonst nicht. Liegt das nun an meinem Firefox, oder an irgendwelchen Änderungen in der Foren-Software?

Jörg

[Martin Lemke]

Vermutlich rufst Du die Seiten als https:// auf. Dann darfst Du diese Meldung getrost ignorieren.

Martin

[Jörg]

Nein, die Seite firmiert bei mir unter http://forum.arages.de/
Ich mache mir nicht wirklich Sorgen, aber wundern tuts mich schon, daß jetzt so eine Meldung kommt.

Jörg

[Rainer Breitling]

Das Internet erklärt: "Mozilla Firefox zeigt diese Meldung ab Version 52.0 an, um Sie vor der Übermittlung von Kennwörtern über eine nicht verschlüsselte Internetverbindung zu warnen". Sorgen musst Du Dir wohl nur machen, wenn Du die gleichen Zugangsdaten (Passwort/Username) auch anderswo verwendest; aber prinzipiell ist das schon eine Sicherheitslücke des Forums, die es übrigens mit anderen Spinnenseiten teilt, z.B. dem WSC.
Beste Grüße,
Rainer

[Martin Lemke]

Es wäre natürlich wünschenswert, die gesamte Domain arages.de samt ihrer Subdomains auf https und somit verschlüsselte Verbindung umzustellen.

Domainfactory wirbt damit, dass 1 Alpha-Zertifikat im Vertrag inbegriffen ist (ich muss mal schauen, ob das auch für unseren Vertrag gilt). Weitere lassen sich hinzu buchen (Preisliste hier). Wir sollten uns darauf beschränken, https zu verwenden, wo man sich anmelden muss/kann.

Wir haben folgende Seiten:

• agages.de (Homepage)
• atlas.arages.de
• forum.arages.de
• wiki.arages.de

spinnen-forum.de sollten wir auf arages.de weiter leiten.

Wenn ein Zertifikat inklusive ist, benötigen wir noch 3 weitere á 1,99 €. Das wären monatliche Zusatzkosten von 5,97 € und werden ja wohl zu wuppen sein.

Was meint ihr?

Martin

[Michael Hohner]

Solange DF Angebote wie die von Let's Encrypt nicht unterstützt (kein Wunder, wollen ja selbst Zertifikate verkaufen), wird es wohl keine Alternative geben.

[Michael Schäfer]

Das wären monatliche Zusatzkosten von 5,97 € und werden ja wohl zu wuppen sein.

Der Mitgliedsgebühr ist gestiegen und die AraMit bekommt man nun trotzdem nicht mehr in gedruckter Form (außer man zahlt nochmal zusätzlich) und Du bist der Meinung das weitere 72 Euro im Jahr kein Problem sind

Ich glaube nicht, dass das Geld im Moment so locker sitzt...

Gruß
Micha

[Eveline Merches]

Ich glaube nicht, dass das Geld im Moment so locker sitzt...

Bislang bekommen wir die Kosten für die Domains ja mit dem Verkauf unseres Spinnenkalenders zusammen. Da sollte genug Luft für dieses Päckchen sein.
Allerdings muss das der AraGes-Vorstand entscheiden und beauftragen.

liebe Grüße
Eveline

[Martin Lemke]

Was Michael mit Let's Encrypt implizit in den Raum wirft, ist ein möglicher Wechsel des Hosters. Seit Domainfactory (DF) von einer französischen Firma aufgekauft wurde, ist DF nicht mehr ganz die alte. Unsere Webseite liegen beispielsweise inzwischen auf Servern in Frankreich (Straßburg/Elsas). Auch der von mir so sehr geschätzte Support ist nicht mehr so erstklassig wie zuvor. Ich denke, wir sollten mal dazu über gehen, die Angebote kritisch zu prüfen. Unschlagbar nützlich ist allerdings auch das Support-Forum von DF.

Welchen Anbieter hattest Du nochmal vorgeschlagen, Michael?

Sicherheit, dazu gehört auch Passwortsicherheit, ist kein Nice to have oder Gimmick, sondern eine Notwendigkeit wie den Notausgang in einem öffentlichen Gebäude. In Zeiten, wo Internet wesentliche Technologie ist (man bedenke, wie einfach es heute ist, an Informationen zu kommen; Bücher muss man nicht ausleihen, sondern kann sie binnen Sekunden runter laden) muss man immer auch die Schattenseiten dieser Technologie im Blick haben. Ein verschüsselter Zugang zu Webseiten gehört heute dazu.

Ich würde sogar meine E-Mail mit GPG verschlüssel anstatt alles für alle lesbar zu verschicken, aber außer mit  einem Kumpel von mir und dem Datenschutzbeauftragten von Schleswig-Holstein, klappt das nicht, weil kaum jemand einen (kostenlosen!) PGP-Key besitzt. Die Technologie ist 26 Jahre alt, die Anwendung ist einfach, aber komischerweise tut es niemand. So werden weiterhin 26 Jahre (!!!) nach Erfindung von PGP Passworte im Klartext praktisch auf Postkarten verschickt. Das ist in etwa so, als wenn heute Auto keine Sicherheitsgurte hätten.

Martin

[Michael Hohner]

Mein eigener Hoster ist All-Inkl (https://all-inkl.com/), der unterstützt Let's Encrypt.

[Michael Schäfer]

Ich habe meine Seite bei 1&1 und bei denen kostet das auch nichts zusätzlich.

Aus diesem Grund bietet 1&1 jetzt mit dem von Symantec bereitgestellten SSL-Zertifikat eine kostenlose und leicht zu aktivierende Lösung für eine sichere Web-Präsenz.

Gruß
Micha

[Martin Lemke]

Symantec hat im Zusammenhang mit SSL-Zertifikaten etwas Dreck am Stecken:

* https://m.heise.de/security/meldung/Chrome-soll-ab-sofort-Zertifikate-von-Symantec-herabstufen-3663517.html
* https://www.heise.de/security/meldung/Symantec-hantiert-mit-falschem-Google-Zertifikat-2822333.html

Die 1 & 1 AG würde ich nicht wählen wollen. Ein mittelständisches Unternehmen wäre mir persönlich lieber, weil ich lieber mit Fachleuten Lösungen suche als mit Operatoren in Callcentern; allerdings gehören die meisten wohl mittlerweile zu größeren Konsortien und sind nur noch als Marke erhalten, wie eben auch Domainfactory (Mittelständler war mal, das merkt man auch am schlechteren Support¹). Ich habe bezüglich der Firmenverflechtungen kaum noch Durchblick.

Deshalb sollten wir in meinen Augen primär über https://all-inkl.com/ nachdenken.

Martin


1: Als ich mich früher mal über schlechte Anbindung oder mangelnde Erreichbarkeit beschwerte, wurde mein Hompage + spinnen-forum.de kurzerhand auf einen anderen Server verlegt. Heute werde ich vertröstet und die Vertraglich zugesicherte 99%ige Verfügbarkeit wird nicht erreicht. Seit unsere Seiten in Frankreich gehostet werden, sind die Ausfälle allerdings weniger geworden, habe ich den Eindruck.

[Martin Lemke]

Ich habe jetzt nach Rücksprache mit dem Vorstand Zertifikate für atlas.arages.de, forum.arages.de und wiki.arages.de bestellt. Für arages.de muss ich noch wissen, ob arages.de oder www.arages.de zertifiziert werden soll.

Wie geht es technisch weiter? In der FAQ steht:

Wie kann ich das Siegel für mein Zertifikat einbinden?

Sie können bei Zertifikaten, die über uns bezogen wurden, als zusätzlichen Schutz ein sogenanntes "SiteSeal" einbinden.

Ein "SiteSeal" ist eine Grafik, die auf die Webseite des Zertifikat-Ausstellers verlinkt und dem Besucher zusätzliche Informationen wie z.B. die Adressdaten über den Antrangssteller anzeigt. Zudem kann so nachvollzogen werden, dass das Zertifikat echt ist und welche Gültigkeit es noch hat.

Das Siegel bietet im Bezug auf die Verschlüsslung des Zertifikats keine zusätzliche Sicherheit, jedoch kann der Besucher so nachvollziehen, dass ein gültiges Zertifikat vorhanden ist.

Die Einbindung des Siegels unterscheidet sich je nach dem Typ Ihres Zertifikates:

AlphaSSL

Bitte verwenden Sie folgenden HTML-Code:

<span id="ss_img_wrapper_115-55_image_en">
<a href="http://www.alphassl.com/ssl-certificates/wildcard-ssl.html"
target="_blank" title="SSL Certificates"><img alt="Wildcard SSL Certificates"
border=0 id="ss_img"
src="//seal.alphassl.com/SiteSeal/images/alpha_noscript_115-55_en.gif"
title="SSL Certificate"></a></span><script type="text/javascript"
src="//seal.alphassl.com/SiteSeal/alpha_image_115-55_en.js"></script>

Wir haben aber kein Wildcard-Zertifikat.

Wie ändern wir jetzt den Code von Forum und Wiki? Beim Atlas wird es Michael wissen. Ich habe mal beim DF Support nachgefragt.

Martin

[Michael Hohner]

Nachdem www.arages.de aktuell immer auf arages.de weiterleitet, sollte letzteres zertifiziert werden.

Das Siegel erscheint mir überflüssig. Jeder moderne Browser zeigt schon in der Adresszeile an, ob eine Verbindung verschlüsselt ist oder nicht.

[Martin Lemke]

Wiki und atlas können jetzt per https aufgerufen werden, beim Forum hakte es noch aus unbekannten Gründen. Supportanfrage läuft.

Fürs Wiki hat es gereicht, eine .htaccess mit folgendem Inhalt hoch zu laden:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Dies einfach in die .htaccess des Atlas' einzufügen, macht aber Probleme. Michael, schau mal, wie Du eine Umleitung von http auf https hin bekommen kannst.

Martin

[Michael Hohner]

Dafür habe ich schon einen anderen Mechanismus, der wird heute abend aktiviert.

Deine Lösung ist aber ein Problem, wenn man das Wiki nicht unter "wiki.arages.de" aufruft. (siehe http://wiki.spinnen-forum.de/)

In Mediawiki gibt es dafür auch einen Mechanismus, der besser geeignet ist. Muss ich auch heute abend mal raussuchen.

[Michael Hohner]

Ein Problem beim Forum dürte sein, dass etliche Links darin absolut sind, z.B.

Code: [Auswählen]

<link rel="stylesheet" type="text/css" id="portal_css" href="http://forum.spinnen-forum.de/Themes/default/css/portal.css" />
(nicht nur Link auf HTTP statt HTTPS, sondern auch auf spinnen-forum.de statt arages.de)

Mit einem relativen Link würde es funktionieren:

Code: [Auswählen]

<link rel="stylesheet" type="text/css" id="portal_css" href="/Themes/default/css/portal.css" />

[Michael Hohner]

Ich habe jetzt den Mechanismus in .htaccess wieder rückgängig gemacht und dafür den von Mediawiki aktiviert. Damit kann man wiki.arages.de mit HTTP und HTTPS benutzen. Sobald man sich aber einloggen will, wird man auf HTTPS umgeleitet. Mit wiki.spinnen-forum.de bleibt man immer auf HTTP (weil es sowieso kein Zertifikat für spinnen-forum.de gibt).

Im Atlas wird man immer auf HTTPS umgeleitet, wenn man mit HTTP ankommt. Da gibt es keine alte URL, die wir weiter mit HTTP-Only unterstützen müssten.

[Martin Lemke]

Mit wiki.spinnen-forum.de bleibt man immer auf HTTP (weil es sowieso kein Zertifikat für spinnen-forum.de gibt).

Das habe ich geändert, indem ich eine Weiterleitung auf https://wiki.arages.de/ eingerichtet habe.

Fürs Forum hat mir der Support auch die eingelinkten Bilder als Problemquelle genannt. Wie soll man das lösen? Es linken immer mal wieder Leute Bilder aus Drittquellen ein; da haben wir wenig Einfluss. Ob internen Links zu ändern sind, weiß ich auch nicht. Watt tun? :-(

Martin

[Martin Lemke]

Fürs Forum benötigen wir repair_settings.php:

http://www.simplemachines.org/community/index.php?topic=530172.0

Zu später Stunde und nach ein paar Glas Wein fange ich damit lieber nicht an ...

Martin

[Martin Lemke]

Michael, Du hast sowieso Zugriff auf alle möglichen System-Ressourcen; da ist es blödsinnig, dir die steuernden Ressourcen der Forums-Software vorzuenthalten. Jetzt bist Du der 3. Administrator im Forum und im Wiki gleich mit (Du kennst Dich mit den Interna der Wikisoftware sowieso aus wie kein zweiter in unserer Runde).

Es ist eigentlich eher historisch begründet, dass ich mich um Updates und Systemarbeiten kümmere. Persönlich geeignet bin ich da weniger, weil ich nicht die geradlinie Arbeitsweise eines Ingeneurs oder Informatikers mein Eigen nenne. Ich arbeite eher ad hoc und intuitiv. Daher würde ich solche sicherheitsrelevanten Operationen am offenen Herzen des Forums lieber in andere Hände gelegt wissen.

Kurzum: Kannst Du das bitte erledigen?

ToDo: Repair settings.php

Martin


P.S.: Ich will mich ja nicht ganz ausklinken, aber Dinge, die ich nicht gut kann, sind in den Händen anderer besser aufgehoben. Es gibt genügend anderes zu tun, das ich besser kann als Systemarbeiten an laufender Software.

[Tobias]

Das wären monatliche Zusatzkosten von 5,97 € und werden ja wohl zu wuppen sein.

Der Mitgliedsgebühr ist gestiegen und die AraMit bekommt man nun trotzdem nicht mehr in gedruckter Form (außer man zahlt nochmal zusätzlich) und Du bist der Meinung das weitere 72 Euro im Jahr kein Problem sind

OT:

Ich meine da etwas Ärger über die Beitragserhöhung rauszuhören. Für das was man bekommt (Atlas, Publikationsplattform mit international anerkanntem Open-Access-Journal, Tagung ohne Gebühr) ist immer noch saubillig. Jeder naturwissenschaftliche Verein verlangt da mehr, und da bekommst du höchstens noch ein gedrucktes Heft, welches nur für Mitglieder zugänglich ist (die Artikel darin liest meist kaum jemand). Weißt du was ein Artikel in einem normalen Open-Access Journal mit Peer Review kostet? So Ca. 250 Dollar aufwärts (und das sind nur Datenpaper oder Comments).

Tobias

[Michael Schäfer]

Hallo Tobias,

ich hab Dir ne PM geschrieben.

Gruß
Micha

[Michael Hohner]

Fremdbilder als HTTP-Links sind nicht so das Problem. Aber die Skripte, Style-Sheets und Bilder der Forum-Software selbst sollten schon korrekt eingebunden sein, sonst lädt der Browser diese evtl. nicht.

[Martin Lemke]

Fremdbilder als HTTP-Links sind nicht so das Problem. Aber die Skripte, Style-Sheets und Bilder der Forum-Software selbst sollten schon korrekt eingebunden sein, sonst lädt der Browser diese evtl. nicht.

Genau das soll das genannte Skript umsetzen.

Zum OT-Thema: Für ein gedrucktes Heft (das weiß man zu schätzen, wenn mal der PC nicht verfügbar oder Internet down ist) wäre ich einverstanden gewesen, den Beitrag auf 50 €/Jahr zu erhöhen. Das war aber nicht mehrheitsfähig.

Ich bin daher der Meinung, dass den Mitgliedern mehr geboten werden sollte als den Nichtmitgliedern;bzw. den Nichtmitgliedern weniger: Z. B. in Zusammenhang mit dem Atlas beispielsweise nur TK-Anzeige ohne konkrete Funddaten u.s.w.

Bei den Briten steigt der Beitrag jetzt übrigens um 3 £ im Jahr. Gerade habe ich Arachnology und den farbigen (!) Newsletter erhalten. Die haben aber auch wesentlich mehr Mitglieder als die AraGes. Arachnology und Newsletter sind aber im Gegensatz zu den Arachnologischen Mitteilungen nicht ab Erscheinen für alle Welt abrufbar, wie Tobias schon andeutete.

Martin

[Michael Hohner]

Ich habe jetzt die Pfade im Forum (soweit ich sie gefunden habe) auf relativ gestellt.

Was ich nicht gefunden habe, wo man die Pfade des Chat ändern kann (vermutlich nur im Code). Deshalb sieht der Chat momentan etwas durcheinander aus. Muss ich mich später drum kümmern.

Was ich auch nicht gefunden habe, wo man den Einleitungstext ("Willkommen im Forum europäischer Spinnentiere!...") ändern kann, um da aktuelle Namen einzutragen.

[Martin Lemke]

Was ich auch nicht gefunden habe, wo man den Einleitungstext ("Willkommen im Forum europäischer Spinnentiere!...") ändern kann, um da aktuelle Namen einzutragen.

Das ist das "SimplePortal". Das Editieren ist da ein wenig unübersichtlich. Ich habe das soweit ich es überblicke erledigt und den Tutor auch gelöscht, weil Tobias das nicht mehr machen möchte.

Wenn das Chat-Modul nicht mitmacht, schmeißen wir es einfach wieder raus. Es ist ein Goodie und kein Muss.

Martin

[Martin Lemke]

Ich habe die Chat-Option deinstalliert und prompt klappt es auch mit der Verschlüsselung.

Aufrufe von forum.spinnen-forum.de werden jetzt auf https://forum.arages.de gelenkt.

Letzte Baustelle: https://arages.de/  das ist Frank Leppers Job.

Martin

[Martin Lemke]

Auf der Homepage der arages gibt es ausgerechnet mit einem SEO-Plugin Probleme:


arages.de-http-link.png (33.39 KB . 582x426 - angeschaut 268 Mal)

Martin

[Martin Lemke]

Im etwas unübersichtlichen Backend der arages-Homepage habe ich nun die notwendigen Stellschrauben gefunden. Nun ist die arages-Homepage auch verschlüsselt abrufbar.


arages-verschluesselt.png (121.21 KB . 537x488 - angeschaut 260 Mal)

problems solved

Martin