HTTPS-Login bei Klick auf Zitieren/Antworten

[0711]

Hallo zusammen,
wenn man im Forum noch nicht eingeloggt ist und in einem Thread auf Antworten/Zitieren klickt landet man auf einer HTTP und nicht auf einer HTTPS Loginseite.
Ist das gewollt/beabsichtigt oder wurde das übersehen? "Früher" konnte man ja das gesamte Forum per HTTPS aufrufen und da konnte so ein ausrutscher nicht passieren...hoffe ja dass es nur übersehen wurde und noch gefixt wird

Grüße

 

[Steffen]

AW: HTTPS Login beim klick auf Zitieren/Antworten

Ich weiß was du meinst. Zwar werden auch in diesem Fall die Logindaten verschlüsselt übertragen (das Formular-Ziel ist eine HTTPS-URL), allerdings wird dieses Formular selbst unverschlüsselt via HTTP geladen. Wenn man sich auf diese Weise einloggt, dann ist also also etwas unsicherer als ein Login anhand des "Einloggen"-Links oben rechts. Ein passiver Angreifer (z.B. ein Firesheep-Nutzer) könnte die Logindaten zwar auch dort nicht mitschneiden, aber sollte jemand aktiv Man-in-the-Middle spielen und den HTML-Code des Formulars während der Übertragung manipulieren, dann wäre ein Mitschneiden der Logindaten möglich. Die größtmögliche Sicherheit bietet folglich der "Einloggen"-Button oben rechts. Das Loginformular, das beim Klick auf Zitieren/Antworten erscheint wenn die Session abgelaufen ist, ist nicht ganz so sicher, aber im Vergleich zu dem alten komplett unverschlüsselten Login immer noch ein großer Fortschritt.

Da wir den eingegebenen Beitragstext beim Loginvorgang mitschleifen müssen, weiß ich leider nicht wie ich auch das genannte Login-Formular via HTTPS verfügbar machen könnte.