[Sammelthread] Probleme mit dem Forum 2019

..ich seh hier kennt sich jemand aus..

Leider hast recht und man darf auf Reaktion gespannt sein...

 

Dann macht so ein Sicherheitsschloss natürlich total Sinn

 

Und weil das jetzt im Internet steht - haben wir auch für viele Millionen gesagt, wo die Tür offen steht und der Schlüssel steckt.

Es wird Zeit für eine sachgerechte Reaktion.

Die Haustür mit dem Schlüssel im Schloß steht nämlich immer noch offen.

Da kriege ich die Krise.

 

Schade, dass Du meinen Beitrag vermutlich nicht komplett gelesen hast.
Es ist nicht der gleiche Inhalt, sondern es handelt sich um getrennte Foren. Der unverschlüsselte Link geht auf das alte Forum, und der verschlüsselte auf das aktuelle Forum.

Ich denke, man sollte mal ein klein wenig auf dem Boden bleiben. Der Schritt der Umstellung ist richtig und überfällig. Ich kann auch nicht verstehen, dass die alten Foren im Wartungmodus hängen statt einfach die Domain mit einer 301 umzuleiten.

Das Zertifikat ist korrekt für die Domain prod.farmerama.com, das alte Forum hat damit nichts zu tun, da es auf bigpoint.com läuft.
Wie gesagt: Persönlich würde ich eine Umleitung einrichten und im Forum unverschlüsselte Bilder verbieten, bzw. sie auf dem Server cachen. Aber die Analogie zur offenen Haustür finde ich etwas übertrieben.

 

- darum wohl zeigt mein Browser jetzt auch: "not secure!" beim Vorhängeschloß

@AnneOG: danke für's weiterleiten

 

Wenn Du da drauf klickst, teilt Dir der Browser mit, woran es liegt.
In diesem Fall sind es die von mir benannten gemischten Inhalte. Einige der Seitenelemente bzw. Bilder werden noch nicht mit https-Link übertragen.
Beispiel z.B. der Banner von Avena: Der müsste statt: http://abload.de/img/avenaucqzb.png die URL: https://abload.de/img/avenaucqzb.png verwenden.

Das sind einfach die kleinen Feinheiten, die so eine Umstellung etwas aufwendiger machen.

 

Das ist irrelvant, wenn Beiträge aus der Zeit vor der Umstellung sich nur im Header - wegen der anderen Domain - unterscheiden.

Und mehr Unterschiede habe ich bisher nicht ausmachen können.

Nun ist mein Bestreben ja nicht, die Verschlüsselung zu brechen.

Ich sage nur, beides gleichzeitig zu offerieren ist ein Verstoß gegen die sichere Implenentierung einer Verschlüsselung.

Und da kann man sich noch so winden - das ist so.

 

stümmt.
Aber sowas verwirrt ängstliche Besucher vielleicht eher und könnte man ja auch mal vor der Umstellung testen..

- und ging auch nicht an dich, nur so allgemein.

 

Nochmal: Es sind 2 verschiedene Foren auf verschiedenen Servern. Das ist für das Thema http/https also völlig irrelevant.
Ruf einfach mal beide Seiten zusammen auf:

(Wobei das die Sache nicht unpeinlicher macht)

Ich sehe das Thema auch nicht auf mich bezogen. Ich versuche nur die Hintergründe zu verdeutlichen.

 

https://board-de.farmerama.com/thre...eads-kleine-schrift.94120/page-7#post-4323964

Die Bigpoint - Seiten sind umgestellt. Hier geht es um Drittanbieter - das müssten die dann schon selbst tun.

Da nützt vorher Testen auch nicht viel - es sei denn, alles, was den Test nicht bestanden hat, fliegt raus.

Das könnte in der Mediathek für viel Platz sorgen.

Oder für viel Frust bei den Nutzern, wenn das hübsche Banner weg ist.

Die Seiten von Bigpoint sind in Ordnung. Mehr kann man eigentlich von Bigpoint nicht verlangen.

 

Stimmt leider. Eine Rundumsorglos-Lösung gibt es da nicht. (Schau mal auf Unterhaltungen)

P.S.: Dieses Thema ist sind jetzt "sicher". Ich habe die Signaturen die es nötig hatten von http auf https geändert.

 

Das hat für die fehlerhafte Handlung mit der Verschlüsselung nichts zu sagen.

Stimmt, für http oder https ist das nicht die Krux.

Es ist nämlich völlig Wurscht, welche Verschlüsselung und welches Verfahren eingesetzt wird, wenn ich von ein und derselben Web-Seite den Content verschlüssel oder unverschlüsselt abrufen kann. Da darf der schon ein paar Tage älter sein- denn darum geht es ja nicht.

So etwas ist ein "No Go" , so kann keine sichere Umgebung aufgebaut werden.

Geheimdienste sammeln unverschlüsselte und verschlüsselte Informationen in der Hoffnung, ihre Supercomputer können irgendwann einen "Match" finden und die Verschlüsselung brechen.

Was Bigpoint gerade macht - es liefert Informationen, da reicht ein Smartphone, um die Verschlüsselung zu knacken.

Ein sicherer Schlüssel ist nur so lange ein sicherer Schlüssel, wie man die Regeln für sichere Schlüssel einhält.

Und das hat mit dem Protokoll via Internet eben gleich gar nichts zu tun.

Da liegt das Problem zwischen den Ohren der Anwender.

Das ist wie beim Heartbleed. Die Spezifikation schreibt vor, die Payload MUSS die gleiche sein. Bei der Implementierung hat sich niemand die Mühe gemacht, das auch zu Prüfen. Weil, es MUSS ja nach der Spezifikation so sein. Und dann? Da war die Spezifikatiion schlecht.

Pustekuchen. Dumm implementiert.

So entstehen Sicherheitslücken, die nicht sein müssten.

Und die Helfer oder Bigpoint selbst setzt dem gerade die Krone auf.

Noch schlechter geht kaum.

Und das hat tatsächlich nichts mit http oder https zu tun. Nur mit dem grundsätzlichen Verständnis von "Computer-Sicherheit".

Wer so einen Mist produziert muss von keine Ahnung viel Ahnung haben, sofern als "Experte" angestellt.

 

Da es hier langsam den Themenrahmen sprengt nur so viel: Ganz so einfach ist es nicht. Denn mit mäßigem Aufwand bekomme ich von jeder Seite im Internet die verschlüsselten und entschlüsselten Daten gezogen.

Und nochmal: Es handelt sich nicht um die gleiche Webseite. Die Unterschiede sind groß genug, um deinen Ansatz unmöglich zu machen.

 

Hallo Anne, es klappt, ich kann schreiben.
Vielen Dank für deine Hilfe

 

Das freut mich aber sehr . Dann viel Spaß im Forum.

Liebe Grüße
AnneOG

 

@-=Lupeg=-

Das habe ich auch so gemeint. Das ist nicht die kleine Hacker -Schule.

Wer die Verschlüsselung eines Forums angreift, nur um die Inhalte lesen zu können, wenn die Inhalte ohnehin über Suchmaschinen zu lesen sind - der hat einen an der Waffel.

Und wer nicht total Verblödet ist, der hat ein anderes Ziel. Den Leuten geht es nicht um die Inhalte. Die suchen nach Lücken. Die wollen den Standard angreifen.

Das größte Problem dabei - die Datenmengen einander zuordnen zu können. Nicht die selbst erzeugten - da klappt das. Im Labor. Nein, die aus der "freien Wildbahn" sind da ein Problem.

Und Bigpoint-EN hat ein Beispiel dafür geliefert, wie man es nicht machen sollte.

Der gesamte Inhalt unter

https://board-en.farmerama.com/forums/headquarters-archive.592/

stand über 24 Stunden in unverschlüsselter und verschlüsselter Form zu Verfügung.

Da sind die unterschiedlichen Domains nur marginal störend.

Es lässt sich ja nicht nur Feststellen, ob und wie gut verschlüsselt wird. Nein, in 24 Stunden kann auch millionenfach der Schlüssel getestet werden - nämlich, ob der sich wiederholt. Wenn ja, wie oft.

Diese unüberlegte und leichtsinnige Handlung gefährdet den Standard.

Das hätte nicht sein müssen.

Viele schlaue Menschen machen sich Gedanken, wie das Internet "sicherer" werden könnte - und ein paar Deppen konterkarieren den Ansatz.

Darüber rege ich mich auf. Das Angriffsflächen geschaffen werden - von "Administratoren", die eigentlich höchstens Aushilfskellner sein dürften.

Jedes System kriegt man "kaputt", wenn Leichtsinn oder Unverstand den Umgang damit bestimmt.

 

moin
ich bin etwas verwirrt
was is denn nu am neuen forum geändert worden?
um 5 war alles wie immer und jetzt bleiben die beiträge wieder alle FETT schwarz bis ich aktualisiert habe

 

Gibt es dazu #3 noch eine Rückmeldung? Oder gab es die schon und ich habe es überlesen?

 

Hallo little-nici
bislang liegt uns noch keine Info dazu vor

Hallo keschy
Änderungen sind uns nicht mitgeteilt worden und ob etwas geändert wird kann ich dir leider auch nicht sagen. Ich kann aber gerne weitergeben, das sich dort dann ein Fehler eingeschlichen hat, falls Änderungen stattfanden

 

Danke @=Artio=
Dann warte ich mal weiter.
Vllt. kommt ja noch was, obwohl ich daran nicht mehr glaube.
Wäre nicht das 1. Mal, das Fragen unbeantwortet bleiben. Aber dafür kannst du jetzt nichts.