Seite 2 von 4
Re: HTTPS
Verfasst: So Jul 22, 2018 3:44 am
von H3draut3r
Was mir persönlich noch auffiel war, dass beim beenden eines STW über https die Seite nicht aktualisierte, da die Skripte dahinter noch in http geladen wurden
chrome blockiert da standard-mäßig
kann man das nicht nachbessern? dann wäre ich ebenfalls auch nur im https aktiv und ihr könntet hier weiter diskutieren
Re: HTTPS
Verfasst: Fr Aug 10, 2018 10:51 am
von oZO10isg
Nach betreten der Übungsumgebung lande ich ebenfalls auf einer einer ungesicherten Seite, obwohl vorher https genutzt wurde.
(Zeile 21 in der fahre-anlage.php leitet dort trotz https explizit auf http um): <meta http-equiv="refresh" content="5; url=
http://www.stellwerksim.de/anlagen.php">
Verfasst: Fr Aug 10, 2018 8:11 pm
von MeldungsRobot
Automatische Meldung vom Bugtracker:
Es wurde ein Case #2630 für diesen Fall angelegt: HTTPS Weiterleitung / Workaround
Verfasst: Fr Aug 10, 2018 8:14 pm
von MeldungsRobot
Automatische Meldung vom Bugtracker:
Der Case #2630 wurde geschlossen (erledigt). Freigegeben ab Revision 9501.
Verfasst: Fr Aug 10, 2018 8:18 pm
von MeldungsRobot
Automatische Meldung vom Bugtracker:
Die Korrektur von Case #2630 ist jetzt online.
Re: HTTPS
Verfasst: Sa Aug 11, 2018 10:11 am
von billy
Hallo zusammen
Eine kleine Ergänzung, was genau korrigiert wurde:
oZO10isg hat geschrieben:Nach betreten der Übungsumgebung lande ich ebenfalls auf einer einer ungesicherten Seite, obwohl vorher https genutzt wurde.
Die Weiterleitung überprüft nun, ob du aus einer HTTPS-Seite kommst und leitet dich dann auch wieder auf eine HTTPS-Seite weiter.
Da nach einem Online-Spiel mit HTTPS zur Zeit keine automatische Weiterleitung erfolgt, erscheint nun ein Link (sozusagen als Workaround) der
nach Spielende angeklickt werden kann, um die Seite zu verlassen.
Grüsse
Billy
Entwickler
Re: HTTPS
Verfasst: So Sep 09, 2018 5:31 pm
von JonasH
Moin,
könnte man es eventuell so einrichten, das man es im Profil einstellen kann, ob man die Seite über HTTPS ansehen möchte?
Finde es etwas nervig, jedes Mal beim besuchen dieser Seite auf HTTPS umzustellen.
JonasH
Re: HTTPS
Verfasst: So Sep 09, 2018 5:33 pm
von billy
JonasH hat geschrieben:Finde es etwas nervig, jedes Mal beim besuchen dieser Seite auf HTTPS umzustellen.
Wieso musst du das? Geht auch ohne HTTPS ...
Re: HTTPS
Verfasst: So Sep 09, 2018 5:43 pm
von JonasH
billy hat geschrieben:JonasH hat geschrieben:Finde es etwas nervig, jedes Mal beim besuchen dieser Seite auf HTTPS umzustellen.
Wieso musst du das? Geht auch ohne HTTPS ...
Es hat niemand von "müssen" gesprochen. Allerdings kann ich es nicht mit meinem Gewissen vereinbaren, hier Benutzername, Passwort, und weiß der Teufel was für jeden lesbar herumzuschicken.
War ja auch nur ein Vorschlag, um das ganze etwas zu erleichtern.
Wie sieht es eigentlich mit dem eigentlichen Vorschlag dieses Themas aus?
BadWolf97 hat geschrieben:
Hallo,
noch eine Sache: Ich würde es, vor allem unter Datenschutzgesichtspunkten, eindeutig bevorzugen, wenn der normale HTTP-Zugangsweg automatisch auf HTTPS umgestellt wird. [...]
JonasH
Re: HTTPS
Verfasst: So Sep 09, 2018 5:46 pm
von oberrheiner
Warum rufst du den Sim nicht einfach direkt über "
https://www.stellwerksim.de" auf?
Re: HTTPS
Verfasst: So Sep 09, 2018 5:54 pm
von JonasH
Faulheit?
Gefühlte 99% der Internetseiten leiten einen Standardmäßig auf HTTPS um, falls man die normale Adresse eingibt. (nennt man übrigens auch Security by Design!)
Warum sollte das bei STS nicht auch standardmäßig so sein?
JonasH
Re: HTTPS
Verfasst: Mo Sep 10, 2018 9:55 am
von abrixas
Hallo,
ich versuche mal deine Fragen zu beantworten, allerdings in umgekehrter Reihenfolge:
Warum sollte das bei STS nicht auch standardmäßig so sein?
Du kannst davon ausgehen das genau das auch probiert wurde, nur gab es dann an einer bestimmten Stelle ein Problem mit dem redirekt auf STS-Seiten.
Die Macher hier sind ja auch nicht ganz hinter dem Mond geblieben. In einer der nächsten Versionen wird es das mit Sicherheit (was für ein Wort) geben.
Gefühlte 99% der Internetseiten leiten einen Standardmäßig auf HTTPS um, falls man die normale Adresse eingibt. (nennt man übrigens auch Security by Design!)
Das könnte man auch anders nennen: Dem Benutzer das Nachdenken abnehmen....
Wie gesagt: man könnte.
Faulheit?
Dazu haben die Erfinder von Programmen so was wie Bookmarks oder Favoriten erfunden, da kann man seine Faulheit so richtig ausleben.
Gruß
abrixas
Re: HTTPS
Verfasst: Mi Sep 12, 2018 3:11 pm
von okeks
abrixas hat geschrieben:Ich gehe allerdings auch davon aus das jeder, der das Internet benutzt, eine gewisse Grundkenntnis haben sollte und den Unterschied zwischen http und https im Ansatz kennen sollte.
Aus tagtäglicher beruflicher Erfahrung kann ich dir sagen, dass das nicht so ist.
Gruß okeks
Re: HTTPS
Verfasst: Do Sep 13, 2018 11:00 pm
von H3draut3r
dann platz ich nochmal hier rein.
Ich habe nochmal die seite "fahre-anlage.php" 'untersucht' ....
Code: Alles auswählen
fahre-anlage.php:25 Mixed Content: The page at 'https://www.stellwerksim.de/fahre-anlage.php' was loaded over HTTPS, but attempted to connect to the insecure WebSocket endpoint 'ws://public6.stellwerksim.de:7575/'. This request has been blocked; this endpoint must be available over WSS.
zwar sind nu die http-skripte nicht mehr drinne... aber der Websocket sollte vielleicht nochmal angepasst werden
Gruß, H3draut3r
Re: HTTPS
Verfasst: Fr Okt 05, 2018 8:07 pm
von RagingLightning
Ich sehe hier zwei Möglichkeiten:
1. https funktioniert nicht, dann sollte daran gearbeitet werden, dass das System über https läuft, oder
2. Das gesamte System ist mit https voll lauffähig, dies scheint aber durch
H3draut3r hat geschrieben:
Code: Alles auswählen
fahre-anlage.php:25 Mixed Content: The page at 'https://www.stellwerksim.de/fahre-anlage.php' was loaded over HTTPS, but attempted to connect to the insecure WebSocket endpoint 'ws://public6.stellwerksim.de:7575/'. This request has been blocked; this endpoint must be available over WSS.
widerlegt.
Außerdem wäre dann die Aussage
abrixas hat geschrieben:..., nur gab es dann an einer bestimmten Stelle ein Problem mit dem redirekt auf STS-Seiten.
nicht mehr wahrheitsgemäß.
Und zum Thema Faulheit ausleben; alle, die ein sicheres Umfeld für ihr Angebot anbieten möchten (der
Wille ist ja klar zu erkennen) sollten definitiv nicht, und besonders nicht, wenn es um Passwörter und Infolgedessen um Passwort-Sicherheit geht, ihre eigene Faulheit ausleben, und dann
andere dazu auffordern, ihre eigene Faulheit auszumerzen (oder eher zu verschleiern)...