1. #1
    Ensign
    Dabei seit
    Feb 2014
    Beiträge
    186

    HTTPS/TLS/SSL Support auf ComputerBase

    Die Server von Computerbase.de sprechen TLS/SSL (siehe: https://www.ssllabs.com/ssltest/anal...omputerbase.de) sogar mit Forward Secrecy und ohne größere Macken.
    Warum jedoch weigert sich der Server mir die Seiten auch verschlüsselt auszuliefern und gibt statt
    https://www.computerbase.de nur http://www.computerbase.de aus?
    Wenn ressourcenschonende Algorithmen eh schon aktiv sind auf dem Server spricht meines Erachtens nichts dagegen die ganze Seite auch verschlüsselt auszuliefern.

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.086

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Auf einzelnen Seiten (z.B. auf der Login-Seite) nutzen und erzwingen wir HTTPS und haben unsere Konfiguration, wie du festgestellt hast, so weit optimiert dass wir im Sicherheitstest Qualys SSL Labs Test das Top-Rating "A" bekommen (TLS 1.2, Forward Secrecy, SPDY/3.1, OCSP Stapling, ...).

    Wenn man eine Seite via HTTPS ausliefert, dann müssen ausnahmslos alle Bestandteile dieser Seite via HTTPS ausgeliefert werden. Sobald auch nur ein einziges Bild oder JavaScript unverschlüsselt via HTTP ausgeliefert wird, zeigen die Browser eine Warnung an oder blockieren das Laden der unsicheren Bestandteile. Und das ist auch gut so.

    Leider gibt es da in unserem Fall als anzeigenfinanzierte Website ein Problem: unser Vermarkter kann Anzeigen nicht via HTTPS ausliefern. Das ist nicht nur der Schludrigkeit unseres Vermarkters selbst geschuldet, sondern beim Ausliefern von Anzeigen sind leider eine Vielzahl verschiedener Server von Agenturen oder Drittvermarktern involviert, auf deren Konfiguration unser Vermarkter keinen Einfluss hat. Anderen Vermarktern geht es ähnlich.

    Das einzige nennenswerte mir bekannte Werbenetzwerk, das konsequent HTTPS unterstützt, ist Google AdSense bzw. Google Ad Exchange. Allerdings gibt es bei Google überwiegend Anzeigen aus dem unteren und mittleren Preissegment, so dass AdSense oder AdX als alleiniges Werbenetzwerk (noch) keine Option sind. Dass Google hier voran geht ist trotzdem super und erhöht den Druck auf die nicht gerade technik-getriebenen anderen Werbenetzwerke.

    Aus den genannten Gründen müssen wir auf ComputerBase leider weitgehend HTTP erzwingen, obwohl wir gerne HTTPS anbieten würden.

    (Ein weiteres Problem ist, dass der auf kommerziellen deutschen Websites eingebaute Reichweiten-Zählpixel von IVW/AGOF bis vor Kurzem HTTPS nur gegen Aufpreis unterstützt hat. Die neue Version des Zählpixels, die gerade eingeführt wird, unterstützt allerdings jetzt standardmäßig HTTPS, so dass sich dieses Problem in wenigen Monaten hoffentlich erledigt haben wird.)

    (Darüber hinaus müssten wir in Forum-Beiträgen eingebundene externe Bilder blockieren oder über eine HTTPS-Proxy umleiten. Ansonsten würden Browser Warnungen anzeigen, siehe oben. Das ist machbar, bringt aber nichts solange Anzeigen ohnehin kein HTTPS unterstützen.)
    Geändert von Steffen (24.02.2014 um 09:37 Uhr)
    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  4. #3
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Feb 2014
    Beiträge
    186

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Wenn ich mich jetzt auf einen aktuellen Firefox beziehe ist zumindest passiver Mixed-Content wie Bilder relativ harmlos.
    Es wird in der Adressleiste darauf hingewiesen, zerstört aber nichts.

    JavaScript und Stylesheets zerstören die Benutzbarkeit einer Seite, jedoch ist das vom Seitenbetreiber korrigierbar da er ja 99,9% davon selbst auf dem Server hat.

    Also ich sehe soweit folgende Dritt-Anbieter-Objekte:

    Audience Science
    Criteo
    Doubleclick
    GoogleAnalytics
    InfOnline
    NuggAd
    Stroer Digital Media

    Was ausser Stroer lässt sich denn derzeit nicht über SSL beziehen?

  5. #4
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.086

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Problematisch sind die externen Anzeigen-JavaScripts. Die liegen nicht auf unserem Server. Sondern auf verschiedenen Servern dritter Anbieter, die leider von Seitenaufruf zu Seitenaufruf verschieden sein können. Die lassen sich oft nicht via HTTPS laden und/oder einzelne Werbemittel (die durchaus mal von nicht gerade technik-getriebenen Agenturen angeliefert werden) sind nicht HTTPS-kompatibel umgesetzt.
    Geändert von Steffen (25.02.2014 um 20:31 Uhr)
    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  6. #5
    oreally
    Gast

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Habt ihr schon auf Heartbleed reagiert?

    Und wie wäre es wenn man mal eine Community-Aktion in Richtung eurer Werbenetzwerke anstrebt? Im Sinne von "SSL oder AdBlock!".

  7. #6
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.086

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Zitat Zitat von oreally Beitrag anzeigen
    Habt ihr schon auf Heartbleed reagiert?
    Ja. Das OpenSSL-Update auf Version 1.0.1g haben wir am Montagabend um 22 Uhr eingespielt und die betroffenen Dienste neugestartet (also bevor das Thema groß in den Nachrichten war). Am Dienstag haben wir unsere SSL-Zertifikate ausgetauscht und die alten SSL-Zertifikate widerrufen.

    Zitat Zitat von oreally Beitrag anzeigen
    Und wie wäre es wenn man mal eine Community-Aktion in Richtung eurer Werbenetzwerke anstrebt? Im Sinne von "SSL oder AdBlock!".
    Damit ich das richtig verstehe: Wir sollen den Werbenetzwerken mit AdBlock drohen, wenn sie weiterhin kein HTTPS unterstützen? Die Drohung ist nicht glaubwürdig, schließlich hätten wir dann selbst keine Einnahmen mehr und müssten ComputerBase schließen.

    Der Druck auf die Werbenetzwerke existiert insofern, als dass mit Google AdSense bzw. Google Ad Exchange ein großes und wachsendes Werbenetzwerk HTTPS unterstützt. Und wir legen den Finger regelmäßig in diese Wunde. Wenn die anderen nicht bald aus dem Quark kommen, dann dürften die ersten Websites daraus die Konsequenzen ziehen.
    Geändert von Steffen (12.04.2014 um 11:49 Uhr)
    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  8. #7
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Feb 2014
    Beiträge
    186

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Stroeer ist auch soweit, langsam aber sicher haben alle Werbenetzwerke das Problem erkannt.

  9. #8
    Lieutenant
    Dabei seit
    Dez 2007
    Beiträge
    849

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Ping? Ich finde das grundsätzlich auch sehr wichtig. Gerade bei der Benutzung von offenen WLAN in Hinblick auf Session-Highjacking ist und bleibt das Thema weiterhin aktuell.

    Boni: Mit durchgängigem SSL könnte CB dann auch SPDY anbieten

  10. #9
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.086

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Wir können leider noch keinen Fortschritt vermelden. Unsere Servern unterstützen SPDY bereits seit März 2013, aufgrund von HTTPS-inkompatibler Anzeigen ist HTTPS und somit SPDY auf ComputerBase aber nur auf ein paar wenigen Seiten aktiv (z.B. auf der Login-Seite).

    Die Herausforderung aus technischer Sicht liegt darin, HTTPS-kompatible Anzeigen automatisiert zu erkennen (denn machen wir uns nichts vor, eine manuell zu setzende "HTTPS-kompatibel"-Checkbox würde vermutlich bei hinreichend vielen Werbebuchungen falsch gesetzt). Und es wird genügend Websites im Portfolio eines Vermarkters geben, die keinen Wert auf HTTPS-Unterstützung legen und die auch HTTPS-inkompatible Buchungen mitnehmen möchten. Vermarkter müssen also beide Fälle unterstützen. Ich habe unserem Vermarkter einen Vorschlag gemacht, wie ich die HTTPS-Kompatibilität von Anzeigen feststellen würde (ganz so einfach ist das technisch leider nicht, da Anzeigen oft mehrere Redirects nutzen und bei jedem Schritt die HTTPS-Kompatibilität flöten gehen kann; meine Idee ist die Verwendung von PhantomJS). Im vergangenen Jahr hat sich da aber leider noch nichts getan. In diesem Jahr kommt das Thema erneut auf den Tisch, aber erst irgendwann nach dem Relauch.
    Geändert von Steffen (14.01.2015 um 19:50 Uhr)
    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  11. #10
    Lt. Commander
    Dabei seit
    Dez 2010
    Ort
    Bremen
    Beiträge
    1.822

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Zitat Zitat von Steffen Beitrag anzeigen
    ... In diesem Jahr kommt das Thema erneut auf den Tisch, aber erst irgendwann nach dem Relauch.
    Relaunch? Hab ich was verpasst?

  12. #11
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.086

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  13. #12
    Admiral
    Dabei seit
    Jan 2002
    Ort
    Hannover
    Beiträge
    9.883

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Moin.

    Gibt es zu der Thematik schon etwas neues (positives) zu berichten?

    Reddit und Bing werden ja auch demnächst umgestellt. So langsam wird es Zeit, dass da ein paar deutsche Seiten nachziehen (können).
    PC 1: Lian Li PC-Q08B, AsRock Z77E-ITX, Intel Core i5-3570, 8 GB RAM, 256 GB Crucial M4 SSD, 2 TB WD20EARS, LG GGW-20HL BD-RW, Windows 10 Pro 64-bit
    PC 2: Intel NUC6i3SYH, Intel Core i3-6100U, 16 GB RAM, 128 GB Samsung SSD 830
    Homelab: Rittal FlatBox 9HE, Supermicro SYS-5018-FN4T, Intel Xeon D-1541, 2 x 32 GB DDR4-RDIMM, 256 GB Samsung 950 Pro, 400 GB Intel SSD750 PCIe, 4 TB HDD, VMware ESXi 6.5
    Network: Cisco SG220-26P PoE-Switch, Cisco WAP371 Access Point, Sophos UTM SG105 Firewall

  14. #13
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.086

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Leider nein.
    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  15. #14
    Commander
    Dabei seit
    Jun 2008
    Beiträge
    2.218

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Daran muss unbedingt gearbeitet werden - gerade bei einer Seite dieser Reichweite, die auch noch primär über Technik/IT berichtet.
    "People willing to trade their freedom for temporary security deserve neither and will lose both." Benjamin Franklin
    "Alle auf das Recht anderer Menschen bezogenen Handlungen, deren Maxime sich nicht mit der Publizität verträgt, sind unrecht." Immanuel Kant
    "Arguing that you don't care about privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." Edward Snowden

  16. #15
    Lt. Commander
    Dabei seit
    Okt 2007
    Beiträge
    1.283

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Um mal aus aktuellen Anlass ein bisschen zu pushen:

    Scheinbar brechen die in https-everywhere vorgefertigten Regeln ein paar Werbebanner.

    Gibt es irgendwo eine Auflistung welche Seiten verbunden sind und welche per https aufrufbar sind?
    Es ist zwar bei allen Seiten, die ich auf die schnelle hier auf CB gefunden habe möglich, die Server über TLS anzusprechen, aber teilweise hat das dann die Werbung wieder erfolgreich unterdrückt

    PS: Die Werbefirmen sollen mal hinne wachen, noch ein 5. AddOn zu konfigurieren macht endgültig keinen Spaß mehr
    "Die Updatepolitik von Mozilla gefällt mir nicht, ich wechsle zu Google"
    Wo ist eigendlich der Unterschied zwischen 10.3.1 und 48.0.1?

  17. #16
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.086

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Die eigenen Server unseres Vermarkters Ströer (also u.a. cdn.stroeerdigitalmedia.de) unterstützen HTTPS, aber leider einige der "nachgeschalteten" Server von Werbeagenturen etc nicht. Und leider gibt es meiner Erfahrung nach keine Liste von 10 potenziell nachgeschalteten Ad-Servern, sondern zum einen dürften das deutlich mehr sein und zum anderen wechseln die vermutlich auch relativ häufig.

    Damit ich dich richtig verstehe: das Problem ist, dass HTTPS-Everywhere (unbeabsichtigt) das Laden der Anzeigen auf ComputerBase verhindert, obwohl du keinen Werbeblocker nutzt?
    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  18. #17
    Lt. Commander
    Dabei seit
    Okt 2007
    Beiträge
    1.283

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Zumindest erscheint es mir wahrscheinlich (ich kann später nochmal genauer testen), da ich Disconnect auf Whitelist gestzt habe, Privacy Badger, uBlock und Noscript (ja ich bin am experimentieren gerade^^) nichts blockiertes mehr angezeigt haben, ich Teilweise dennoch nur schöne weiße Flächen gesehen habe, wo sonst Werbung ist.

    Wenn ich Zeit finde, kann ich das ganze nochmal etwas mehr damit rumspielen^^

    Edit: Ok, ganz nachvollziehn kann ich das nicht, vll habe ich noch irgendeine 3. Seite unbeabsichtigt blockiert, also doch volles whitelist-Programm.
    Was aber definitiv gegen euren sinne sein dürfte, könnte bald bei vielen aktiv sein:
    https://blog.mozilla.org/futurerelea...-firefox-beta/
    Geändert von Der-Orden-Xar (30.09.2015 um 19:05 Uhr)
    "Die Updatepolitik von Mozilla gefällt mir nicht, ich wechsle zu Google"
    Wo ist eigendlich der Unterschied zwischen 10.3.1 und 48.0.1?

  19. #18
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Feb 2014
    Beiträge
    186

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Zitat Zitat von Der-Orden-Xar Beitrag anzeigen
    Scheinbar brechen die in https-everywhere vorgefertigten Regeln ein paar Werbebanner.

    Gibt es irgendwo eine Auflistung welche Seiten verbunden sind und welche per https aufrufbar sind?
    Es ist zwar bei allen Seiten, die ich auf die schnelle hier auf CB gefunden habe möglich, die Server über TLS anzusprechen, aber teilweise hat das dann die Werbung wieder erfolgreich unterdrückt
    Ich vermute 2 Dinge : einerseits active mixed content, da trotz umgeschriebenen Verweisen der Browser nur die ungesicherte Fassung prüft und dann halt Skripte und Stylesheets unsinnigerweise sperrt und andererseits ändert sich immer wieder etwas und die Regeln im Addon müssen angepasst werden.

    Wenn du Beispiele hast könnte man sich das genauer ansehen und zumindest der 2ten Ursache die Zähne ziehen.
    Im Feuerfuchs wird an dem ersten Problem gearbeitet, zieht sich aber hin.



    Test von heute zeigt als HTTP-only fragmente nur: computerbase.de , video subdomain von CB und den JWplayer.
    Das ist aber im Normalfall gut so, denn der kommt mit HTTPS-Everywhere nicht klar auf vielen Seiten und muss dann als Ausnahme eingetragen werden

    Keine Ahnung wie die Werbung geladen wird aber nach mehreren Versuchen auf vielen Unterseiten konnte ich keine weitere Domain finden die nicht gesichert werden kann.
    Es gab auch keinerlei Mixed-Content Warnungen.
    Geändert von riloka (30.09.2015 um 20:50 Uhr)

  20. #19
    Lt. Commander
    Dabei seit
    Okt 2007
    Beiträge
    1.283

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Vll wars auch Privatcy badger^^
    wie gesagt, ich experimentiere etwas und mit CP in der Whitelist sehe ich wieder Werbung.

    Nur die doubleclick-Regel für HTTPS-Everywhere habe ich jetzt noch in Verdacht etwas kaputt zu machen, aber da steht ja auch testing in Klammern hinter^^
    "Die Updatepolitik von Mozilla gefällt mir nicht, ich wechsle zu Google"
    Wo ist eigendlich der Unterschied zwischen 10.3.1 und 48.0.1?

  21. #20
    Ensign
    Ersteller dieses Themas

    Dabei seit
    Feb 2014
    Beiträge
    186

    AW: HTTPS/TLS/SSL Support auf ComputerBase

    Durchaus möglich, im Netzwerktraffic gibt es ein paar rote Zeilen zu DoubleClick Objekten bei mir.
    Schau ich morgen mal drüber.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite