HTTPS/TLS/SSL Support auf ComputerBase

Status
Für weitere Antworten geschlossen.

riloka

Commander
Registriert
Feb. 2014
Beiträge
2.759
Die Server von Computerbase.de sprechen TLS/SSL (siehe: https://www.ssllabs.com/ssltest/analyze.html?d=computerbase.de) sogar mit Forward Secrecy und ohne größere Macken.
Warum jedoch weigert sich der Server mir die Seiten auch verschlüsselt auszuliefern und gibt statt
https://www.computerbase.de nur https://www.computerbase.de aus?
Wenn ressourcenschonende Algorithmen eh schon aktiv sind auf dem Server spricht meines Erachtens nichts dagegen die ganze Seite auch verschlüsselt auszuliefern.
 
Auf einzelnen Seiten (z.B. auf der Login-Seite) nutzen und erzwingen wir HTTPS und haben unsere Konfiguration, wie du festgestellt hast, so weit optimiert dass wir im Sicherheitstest Qualys SSL Labs Test das Top-Rating "A" bekommen (TLS 1.2, Forward Secrecy, SPDY/3.1, OCSP Stapling, ...).

Wenn man eine Seite via HTTPS ausliefert, dann müssen ausnahmslos alle Bestandteile dieser Seite via HTTPS ausgeliefert werden. Sobald auch nur ein einziges Bild oder JavaScript unverschlüsselt via HTTP ausgeliefert wird, zeigen die Browser eine Warnung an oder blockieren das Laden der unsicheren Bestandteile. Und das ist auch gut so.

Leider gibt es da in unserem Fall als anzeigenfinanzierte Website ein Problem: unser Vermarkter kann Anzeigen nicht via HTTPS ausliefern. Das ist nicht nur der Schludrigkeit unseres Vermarkters selbst geschuldet, sondern beim Ausliefern von Anzeigen sind leider eine Vielzahl verschiedener Server von Agenturen oder Drittvermarktern involviert, auf deren Konfiguration unser Vermarkter keinen Einfluss hat. Anderen Vermarktern geht es ähnlich.

Das einzige nennenswerte mir bekannte Werbenetzwerk, das konsequent HTTPS unterstützt, ist Google AdSense bzw. Google Ad Exchange. Allerdings gibt es bei Google überwiegend Anzeigen aus dem unteren und mittleren Preissegment, so dass AdSense oder AdX als alleiniges Werbenetzwerk (noch) keine Option sind. Dass Google hier voran geht ist trotzdem super und erhöht den Druck auf die nicht gerade technik-getriebenen anderen Werbenetzwerke.

Aus den genannten Gründen müssen wir auf ComputerBase leider weitgehend HTTP erzwingen, obwohl wir gerne HTTPS anbieten würden.

(Ein weiteres Problem ist, dass der auf kommerziellen deutschen Websites eingebaute Reichweiten-Zählpixel von IVW/AGOF bis vor Kurzem HTTPS nur gegen Aufpreis unterstützt hat. Die neue Version des Zählpixels, die gerade eingeführt wird, unterstützt allerdings jetzt standardmäßig HTTPS, so dass sich dieses Problem in wenigen Monaten hoffentlich erledigt haben wird.)

(Darüber hinaus müssten wir in Forum-Beiträgen eingebundene externe Bilder blockieren oder über eine HTTPS-Proxy umleiten. Ansonsten würden Browser Warnungen anzeigen, siehe oben. Das ist machbar, bringt aber nichts solange Anzeigen ohnehin kein HTTPS unterstützen.)
 
Zuletzt bearbeitet:
Wenn ich mich jetzt auf einen aktuellen Firefox beziehe ist zumindest passiver Mixed-Content wie Bilder relativ harmlos.
Es wird in der Adressleiste darauf hingewiesen, zerstört aber nichts.

JavaScript und Stylesheets zerstören die Benutzbarkeit einer Seite, jedoch ist das vom Seitenbetreiber korrigierbar da er ja 99,9% davon selbst auf dem Server hat.

Also ich sehe soweit folgende Dritt-Anbieter-Objekte:

Audience Science
Criteo
Doubleclick
GoogleAnalytics
InfOnline
NuggAd
Stroer Digital Media

Was ausser Stroer lässt sich denn derzeit nicht über SSL beziehen?
 
Problematisch sind die externen Anzeigen-JavaScripts. Die liegen nicht auf unserem Server. Sondern auf verschiedenen Servern dritter Anbieter, die leider von Seitenaufruf zu Seitenaufruf verschieden sein können. Die lassen sich oft nicht via HTTPS laden und/oder einzelne Werbemittel (die durchaus mal von nicht gerade technik-getriebenen Agenturen angeliefert werden) sind nicht HTTPS-kompatibel umgesetzt.
 
Zuletzt bearbeitet:
Habt ihr schon auf Heartbleed reagiert?

Und wie wäre es wenn man mal eine Community-Aktion in Richtung eurer Werbenetzwerke anstrebt? Im Sinne von "SSL oder AdBlock!".
 
oreally schrieb:
Habt ihr schon auf Heartbleed reagiert?
Ja. Das OpenSSL-Update auf Version 1.0.1g haben wir am Montagabend um 22 Uhr eingespielt und die betroffenen Dienste neugestartet (also bevor das Thema groß in den Nachrichten war). Am Dienstag haben wir unsere SSL-Zertifikate ausgetauscht und die alten SSL-Zertifikate widerrufen.

oreally schrieb:
Und wie wäre es wenn man mal eine Community-Aktion in Richtung eurer Werbenetzwerke anstrebt? Im Sinne von "SSL oder AdBlock!".
Damit ich das richtig verstehe: Wir sollen den Werbenetzwerken mit AdBlock drohen, wenn sie weiterhin kein HTTPS unterstützen? Die Drohung ist nicht glaubwürdig, schließlich hätten wir dann selbst keine Einnahmen mehr und müssten ComputerBase schließen.

Der Druck auf die Werbenetzwerke existiert insofern, als dass mit Google AdSense bzw. Google Ad Exchange ein großes und wachsendes Werbenetzwerk HTTPS unterstützt. Und wir legen den Finger regelmäßig in diese Wunde. Wenn die anderen nicht bald aus dem Quark kommen, dann dürften die ersten Websites daraus die Konsequenzen ziehen.
 
Zuletzt bearbeitet:
Stroeer ist auch soweit, langsam aber sicher haben alle Werbenetzwerke das Problem erkannt.
 
Ping? Ich finde das grundsätzlich auch sehr wichtig. Gerade bei der Benutzung von offenen WLAN in Hinblick auf Session-Highjacking ist und bleibt das Thema weiterhin aktuell.

Boni: Mit durchgängigem SSL könnte CB dann auch SPDY anbieten :)
 
Wir können leider noch keinen Fortschritt vermelden. Unsere Servern unterstützen SPDY bereits seit März 2013, aufgrund von HTTPS-inkompatibler Anzeigen ist HTTPS und somit SPDY auf ComputerBase aber nur auf ein paar wenigen Seiten aktiv (z.B. auf der Login-Seite).

Die Herausforderung aus technischer Sicht liegt darin, HTTPS-kompatible Anzeigen automatisiert zu erkennen (denn machen wir uns nichts vor, eine manuell zu setzende "HTTPS-kompatibel"-Checkbox würde vermutlich bei hinreichend vielen Werbebuchungen falsch gesetzt). Und es wird genügend Websites im Portfolio eines Vermarkters geben, die keinen Wert auf HTTPS-Unterstützung legen und die auch HTTPS-inkompatible Buchungen mitnehmen möchten. Vermarkter müssen also beide Fälle unterstützen. Ich habe unserem Vermarkter einen Vorschlag gemacht, wie ich die HTTPS-Kompatibilität von Anzeigen feststellen würde (ganz so einfach ist das technisch leider nicht, da Anzeigen oft mehrere Redirects nutzen und bei jedem Schritt die HTTPS-Kompatibilität flöten gehen kann; meine Idee ist die Verwendung von PhantomJS). Im vergangenen Jahr hat sich da aber leider noch nichts getan. In diesem Jahr kommt das Thema erneut auf den Tisch, aber erst irgendwann nach dem Relauch.
 
Zuletzt bearbeitet:
Moin.

Gibt es zu der Thematik schon etwas neues (positives) zu berichten?

Reddit und Bing werden ja auch demnächst umgestellt. So langsam wird es Zeit, dass da ein paar deutsche Seiten nachziehen (können). :)
 
Daran muss unbedingt gearbeitet werden - gerade bei einer Seite dieser Reichweite, die auch noch primär über Technik/IT berichtet.
 
Um mal aus aktuellen Anlass ein bisschen zu pushen:

Scheinbar brechen die in https-everywhere vorgefertigten Regeln ein paar Werbebanner.

Gibt es irgendwo eine Auflistung welche Seiten verbunden sind und welche per https aufrufbar sind?
Es ist zwar bei allen Seiten, die ich auf die schnelle hier auf CB gefunden habe möglich, die Server über TLS anzusprechen, aber teilweise hat das dann die Werbung wieder erfolgreich unterdrückt :rolleyes:

PS: Die Werbefirmen sollen mal hinne wachen, noch ein 5. AddOn zu konfigurieren macht endgültig keinen Spaß mehr
 
Die eigenen Server unseres Vermarkters Ströer (also u.a. cdn.stroeerdigitalmedia.de) unterstützen HTTPS, aber leider einige der "nachgeschalteten" Server von Werbeagenturen etc nicht. Und leider gibt es meiner Erfahrung nach keine Liste von 10 potenziell nachgeschalteten Ad-Servern, sondern zum einen dürften das deutlich mehr sein und zum anderen wechseln die vermutlich auch relativ häufig.

Damit ich dich richtig verstehe: das Problem ist, dass HTTPS-Everywhere (unbeabsichtigt) das Laden der Anzeigen auf ComputerBase verhindert, obwohl du keinen Werbeblocker nutzt?
 
Zumindest erscheint es mir wahrscheinlich (ich kann später nochmal genauer testen), da ich Disconnect auf Whitelist gestzt habe, Privacy Badger, uBlock und Noscript (ja ich bin am experimentieren gerade^^) nichts blockiertes mehr angezeigt haben, ich Teilweise dennoch nur schöne weiße Flächen gesehen habe, wo sonst Werbung ist.

Wenn ich Zeit finde, kann ich das ganze nochmal etwas mehr damit rumspielen^^

Edit: Ok, ganz nachvollziehn kann ich das nicht, vll habe ich noch irgendeine 3. Seite unbeabsichtigt blockiert, also doch volles whitelist-Programm.
Was aber definitiv gegen euren sinne sein dürfte, könnte bald bei vielen aktiv sein:
https://blog.mozilla.org/futurerele...ing-with-tracking-protection-in-firefox-beta/
 
Zuletzt bearbeitet:
Der-Orden-Xar schrieb:
Scheinbar brechen die in https-everywhere vorgefertigten Regeln ein paar Werbebanner.

Gibt es irgendwo eine Auflistung welche Seiten verbunden sind und welche per https aufrufbar sind?
Es ist zwar bei allen Seiten, die ich auf die schnelle hier auf CB gefunden habe möglich, die Server über TLS anzusprechen, aber teilweise hat das dann die Werbung wieder erfolgreich unterdrückt :rolleyes:

Ich vermute 2 Dinge : einerseits active mixed content, da trotz umgeschriebenen Verweisen der Browser nur die ungesicherte Fassung prüft und dann halt Skripte und Stylesheets unsinnigerweise sperrt und andererseits ändert sich immer wieder etwas und die Regeln im Addon müssen angepasst werden.

Wenn du Beispiele hast könnte man sich das genauer ansehen und zumindest der 2ten Ursache die Zähne ziehen.
Im Feuerfuchs wird an dem ersten Problem gearbeitet, zieht sich aber hin.



Test von heute zeigt als HTTP-only fragmente nur: computerbase.de , video subdomain von CB und den JWplayer.
Das ist aber im Normalfall gut so, denn der kommt mit HTTPS-Everywhere nicht klar auf vielen Seiten und muss dann als Ausnahme eingetragen werden :)

Keine Ahnung wie die Werbung geladen wird aber nach mehreren Versuchen auf vielen Unterseiten konnte ich keine weitere Domain finden die nicht gesichert werden kann.
Es gab auch keinerlei Mixed-Content Warnungen.
 
Zuletzt bearbeitet:
Vll wars auch Privatcy badger^^
wie gesagt, ich experimentiere etwas und mit CP in der Whitelist sehe ich wieder Werbung.

Nur die doubleclick-Regel für HTTPS-Everywhere habe ich jetzt noch in Verdacht etwas kaputt zu machen, aber da steht ja auch testing in Klammern hinter^^
 
Durchaus möglich, im Netzwerktraffic gibt es ein paar rote Zeilen zu DoubleClick Objekten bei mir.
Schau ich morgen mal drüber.
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben