HTTPS

[H3draut3r]

Was mir persönlich noch auffiel war, dass beim beenden eines STW über https die Seite nicht aktualisierte, da die Skripte dahinter noch in http geladen wurden chrome blockiert da standard-mäßig
kann man das nicht nachbessern? dann wäre ich ebenfalls auch nur im https aktiv und ihr könntet hier weiter diskutieren

[oZO10isg]

Nach betreten der Übungsumgebung lande ich ebenfalls auf einer einer ungesicherten Seite, obwohl vorher https genutzt wurde.
(Zeile 21 in der fahre-anlage.php leitet dort trotz https explizit auf http um): <meta http-equiv="refresh" content="5; url=http://www.stellwerksim.de/anlagen.php">

[MeldungsRobot]

Automatische Meldung vom Bugtracker:

Es wurde ein Case #2630 für diesen Fall angelegt: HTTPS Weiterleitung / Workaround

[MeldungsRobot]

Automatische Meldung vom Bugtracker:

Der Case #2630 wurde geschlossen (erledigt). Freigegeben ab Revision 9501.

[MeldungsRobot]

Automatische Meldung vom Bugtracker:

Die Korrektur von Case #2630 ist jetzt online.

[billy]

Hallo zusammen

Eine kleine Ergänzung, was genau korrigiert wurde:

Nach betreten der Übungsumgebung lande ich ebenfalls auf einer einer ungesicherten Seite, obwohl vorher https genutzt wurde.

Die Weiterleitung überprüft nun, ob du aus einer HTTPS-Seite kommst und leitet dich dann auch wieder auf eine HTTPS-Seite weiter.

Da nach einem Online-Spiel mit HTTPS zur Zeit keine automatische Weiterleitung erfolgt, erscheint nun ein Link (sozusagen als Workaround) der nach Spielende angeklickt werden kann, um die Seite zu verlassen.

Grüsse

Billy
Entwickler

[JonasH]

Moin,

könnte man es eventuell so einrichten, das man es im Profil einstellen kann, ob man die Seite über HTTPS ansehen möchte?

Finde es etwas nervig, jedes Mal beim besuchen dieser Seite auf HTTPS umzustellen.

JonasH

[billy]

Finde es etwas nervig, jedes Mal beim besuchen dieser Seite auf HTTPS umzustellen.

Wieso musst du das? Geht auch ohne HTTPS ...

[JonasH]

Finde es etwas nervig, jedes Mal beim besuchen dieser Seite auf HTTPS umzustellen.

Wieso musst du das? Geht auch ohne HTTPS ...

Es hat niemand von "müssen" gesprochen. Allerdings kann ich es nicht mit meinem Gewissen vereinbaren, hier Benutzername, Passwort, und weiß der Teufel was für jeden lesbar herumzuschicken.

War ja auch nur ein Vorschlag, um das ganze etwas zu erleichtern.

Wie sieht es eigentlich mit dem eigentlichen Vorschlag dieses Themas aus?

Hallo,
noch eine Sache: Ich würde es, vor allem unter Datenschutzgesichtspunkten, eindeutig bevorzugen, wenn der normale HTTP-Zugangsweg automatisch auf HTTPS umgestellt wird. [...]

JonasH

[oberrheiner]

Warum rufst du den Sim nicht einfach direkt über "https://www.stellwerksim.de" auf?

[JonasH]

Warum rufst du den Sim nicht einfach direkt über "https://www.stellwerksim.de" auf?

Faulheit?

Gefühlte 99% der Internetseiten leiten einen Standardmäßig auf HTTPS um, falls man die normale Adresse eingibt. (nennt man übrigens auch Security by Design!)

Warum sollte das bei STS nicht auch standardmäßig so sein?

JonasH

[abrixas]

Hallo,

ich versuche mal deine Fragen zu beantworten, allerdings in umgekehrter Reihenfolge:

Warum sollte das bei STS nicht auch standardmäßig so sein?

Du kannst davon ausgehen das genau das auch probiert wurde, nur gab es dann an einer bestimmten Stelle ein Problem mit dem redirekt auf STS-Seiten.
Die Macher hier sind ja auch nicht ganz hinter dem Mond geblieben. In einer der nächsten Versionen wird es das mit Sicherheit (was für ein Wort) geben.

Gefühlte 99% der Internetseiten leiten einen Standardmäßig auf HTTPS um, falls man die normale Adresse eingibt. (nennt man übrigens auch Security by Design!)

Das könnte man auch anders nennen: Dem Benutzer das Nachdenken abnehmen....
Wie gesagt: man könnte.

Faulheit?

Dazu haben die Erfinder von Programmen so was wie Bookmarks oder Favoriten erfunden, da kann man seine Faulheit so richtig ausleben.



Gruß
abrixas

[okeks]

Ich gehe allerdings auch davon aus das jeder, der das Internet benutzt, eine gewisse Grundkenntnis haben sollte und den Unterschied zwischen http und https im Ansatz kennen sollte.

Aus tagtäglicher beruflicher Erfahrung kann ich dir sagen, dass das nicht so ist.

Gruß okeks

[H3draut3r]

dann platz ich nochmal hier rein.
Ich habe nochmal die seite "fahre-anlage.php" 'untersucht' ....

Code: Alles auswählen

fahre-anlage.php:25 Mixed Content: The page at 'https://www.stellwerksim.de/fahre-anlage.php' was loaded over HTTPS, but attempted to connect to the insecure WebSocket endpoint 'ws://public6.stellwerksim.de:7575/'. This request has been blocked; this endpoint must be available over WSS.

zwar sind nu die http-skripte nicht mehr drinne... aber der Websocket sollte vielleicht nochmal angepasst werden

Gruß, H3draut3r

[RagingLightning]

Ich sehe hier zwei Möglichkeiten:

1. https funktioniert nicht, dann sollte daran gearbeitet werden, dass das System über https läuft, oder

2. Das gesamte System ist mit https voll lauffähig, dies scheint aber durch

Code: Alles auswählen

fahre-anlage.php:25 Mixed Content: The page at 'https://www.stellwerksim.de/fahre-anlage.php' was loaded over HTTPS, but attempted to connect to the insecure WebSocket endpoint 'ws://public6.stellwerksim.de:7575/'. This request has been blocked; this endpoint must be available over WSS.

widerlegt.
Außerdem wäre dann die Aussage

..., nur gab es dann an einer bestimmten Stelle ein Problem mit dem redirekt auf STS-Seiten.

nicht mehr wahrheitsgemäß.

Und zum Thema Faulheit ausleben; alle, die ein sicheres Umfeld für ihr Angebot anbieten möchten (der Wille ist ja klar zu erkennen) sollten definitiv nicht, und besonders nicht, wenn es um Passwörter und Infolgedessen um Passwort-Sicherheit geht, ihre eigene Faulheit ausleben, und dann andere dazu auffordern, ihre eigene Faulheit auszumerzen (oder eher zu verschleiern)...