HTTPS/TLS/SSL Support auf ComputerBase

Status
Es sind keine weiteren Antworten möglich.
Dabei seit
Feb. 2014
Beiträge
213
#1
Die Server von Computerbase.de sprechen TLS/SSL (siehe: https://www.ssllabs.com/ssltest/analyze.html?d=computerbase.de) sogar mit Forward Secrecy und ohne größere Macken.
Warum jedoch weigert sich der Server mir die Seiten auch verschlüsselt auszuliefern und gibt statt
https://www.computerbase.de nur http://www.computerbase.de aus?
Wenn ressourcenschonende Algorithmen eh schon aktiv sind auf dem Server spricht meines Erachtens nichts dagegen die ganze Seite auch verschlüsselt auszuliefern.
 

Steffen

Technische Leitung
Teammitglied
Dabei seit
März 2001
Beiträge
12.903
#2
Auf einzelnen Seiten (z.B. auf der Login-Seite) nutzen und erzwingen wir HTTPS und haben unsere Konfiguration, wie du festgestellt hast, so weit optimiert dass wir im Sicherheitstest Qualys SSL Labs Test das Top-Rating "A" bekommen (TLS 1.2, Forward Secrecy, SPDY/3.1, OCSP Stapling, ...).

Wenn man eine Seite via HTTPS ausliefert, dann müssen ausnahmslos alle Bestandteile dieser Seite via HTTPS ausgeliefert werden. Sobald auch nur ein einziges Bild oder JavaScript unverschlüsselt via HTTP ausgeliefert wird, zeigen die Browser eine Warnung an oder blockieren das Laden der unsicheren Bestandteile. Und das ist auch gut so.

Leider gibt es da in unserem Fall als anzeigenfinanzierte Website ein Problem: unser Vermarkter kann Anzeigen nicht via HTTPS ausliefern. Das ist nicht nur der Schludrigkeit unseres Vermarkters selbst geschuldet, sondern beim Ausliefern von Anzeigen sind leider eine Vielzahl verschiedener Server von Agenturen oder Drittvermarktern involviert, auf deren Konfiguration unser Vermarkter keinen Einfluss hat. Anderen Vermarktern geht es ähnlich.

Das einzige nennenswerte mir bekannte Werbenetzwerk, das konsequent HTTPS unterstützt, ist Google AdSense bzw. Google Ad Exchange. Allerdings gibt es bei Google überwiegend Anzeigen aus dem unteren und mittleren Preissegment, so dass AdSense oder AdX als alleiniges Werbenetzwerk (noch) keine Option sind. Dass Google hier voran geht ist trotzdem super und erhöht den Druck auf die nicht gerade technik-getriebenen anderen Werbenetzwerke.

Aus den genannten Gründen müssen wir auf ComputerBase leider weitgehend HTTP erzwingen, obwohl wir gerne HTTPS anbieten würden.

(Ein weiteres Problem ist, dass der auf kommerziellen deutschen Websites eingebaute Reichweiten-Zählpixel von IVW/AGOF bis vor Kurzem HTTPS nur gegen Aufpreis unterstützt hat. Die neue Version des Zählpixels, die gerade eingeführt wird, unterstützt allerdings jetzt standardmäßig HTTPS, so dass sich dieses Problem in wenigen Monaten hoffentlich erledigt haben wird.)

(Darüber hinaus müssten wir in Forum-Beiträgen eingebundene externe Bilder blockieren oder über eine HTTPS-Proxy umleiten. Ansonsten würden Browser Warnungen anzeigen, siehe oben. Das ist machbar, bringt aber nichts solange Anzeigen ohnehin kein HTTPS unterstützen.)
 
Zuletzt bearbeitet:

riloka

Ensign
Ersteller dieses Themas
Dabei seit
Feb. 2014
Beiträge
213
#3
Wenn ich mich jetzt auf einen aktuellen Firefox beziehe ist zumindest passiver Mixed-Content wie Bilder relativ harmlos.
Es wird in der Adressleiste darauf hingewiesen, zerstört aber nichts.

JavaScript und Stylesheets zerstören die Benutzbarkeit einer Seite, jedoch ist das vom Seitenbetreiber korrigierbar da er ja 99,9% davon selbst auf dem Server hat.

Also ich sehe soweit folgende Dritt-Anbieter-Objekte:

Audience Science
Criteo
Doubleclick
GoogleAnalytics
InfOnline
NuggAd
Stroer Digital Media

Was ausser Stroer lässt sich denn derzeit nicht über SSL beziehen?
 

Steffen

Technische Leitung
Teammitglied
Dabei seit
März 2001
Beiträge
12.903
#4
Problematisch sind die externen Anzeigen-JavaScripts. Die liegen nicht auf unserem Server. Sondern auf verschiedenen Servern dritter Anbieter, die leider von Seitenaufruf zu Seitenaufruf verschieden sein können. Die lassen sich oft nicht via HTTPS laden und/oder einzelne Werbemittel (die durchaus mal von nicht gerade technik-getriebenen Agenturen angeliefert werden) sind nicht HTTPS-kompatibel umgesetzt.
 
Zuletzt bearbeitet:
O

oreally

Gast
#5
Habt ihr schon auf Heartbleed reagiert?

Und wie wäre es wenn man mal eine Community-Aktion in Richtung eurer Werbenetzwerke anstrebt? Im Sinne von "SSL oder AdBlock!".
 

Steffen

Technische Leitung
Teammitglied
Dabei seit
März 2001
Beiträge
12.903
#6
Ja. Das OpenSSL-Update auf Version 1.0.1g haben wir am Montagabend um 22 Uhr eingespielt und die betroffenen Dienste neugestartet (also bevor das Thema groß in den Nachrichten war). Am Dienstag haben wir unsere SSL-Zertifikate ausgetauscht und die alten SSL-Zertifikate widerrufen.

Und wie wäre es wenn man mal eine Community-Aktion in Richtung eurer Werbenetzwerke anstrebt? Im Sinne von "SSL oder AdBlock!".
Damit ich das richtig verstehe: Wir sollen den Werbenetzwerken mit AdBlock drohen, wenn sie weiterhin kein HTTPS unterstützen? Die Drohung ist nicht glaubwürdig, schließlich hätten wir dann selbst keine Einnahmen mehr und müssten ComputerBase schließen.

Der Druck auf die Werbenetzwerke existiert insofern, als dass mit Google AdSense bzw. Google Ad Exchange ein großes und wachsendes Werbenetzwerk HTTPS unterstützt. Und wir legen den Finger regelmäßig in diese Wunde. Wenn die anderen nicht bald aus dem Quark kommen, dann dürften die ersten Websites daraus die Konsequenzen ziehen.
 
Zuletzt bearbeitet:
Dabei seit
Dez. 2007
Beiträge
877
#8
Ping? Ich finde das grundsätzlich auch sehr wichtig. Gerade bei der Benutzung von offenen WLAN in Hinblick auf Session-Highjacking ist und bleibt das Thema weiterhin aktuell.

Boni: Mit durchgängigem SSL könnte CB dann auch SPDY anbieten :)
 

Steffen

Technische Leitung
Teammitglied
Dabei seit
März 2001
Beiträge
12.903
#9
Wir können leider noch keinen Fortschritt vermelden. Unsere Servern unterstützen SPDY bereits seit März 2013, aufgrund von HTTPS-inkompatibler Anzeigen ist HTTPS und somit SPDY auf ComputerBase aber nur auf ein paar wenigen Seiten aktiv (z.B. auf der Login-Seite).

Die Herausforderung aus technischer Sicht liegt darin, HTTPS-kompatible Anzeigen automatisiert zu erkennen (denn machen wir uns nichts vor, eine manuell zu setzende "HTTPS-kompatibel"-Checkbox würde vermutlich bei hinreichend vielen Werbebuchungen falsch gesetzt). Und es wird genügend Websites im Portfolio eines Vermarkters geben, die keinen Wert auf HTTPS-Unterstützung legen und die auch HTTPS-inkompatible Buchungen mitnehmen möchten. Vermarkter müssen also beide Fälle unterstützen. Ich habe unserem Vermarkter einen Vorschlag gemacht, wie ich die HTTPS-Kompatibilität von Anzeigen feststellen würde (ganz so einfach ist das technisch leider nicht, da Anzeigen oft mehrere Redirects nutzen und bei jedem Schritt die HTTPS-Kompatibilität flöten gehen kann; meine Idee ist die Verwendung von PhantomJS). Im vergangenen Jahr hat sich da aber leider noch nichts getan. In diesem Jahr kommt das Thema erneut auf den Tisch, aber erst irgendwann nach dem Relauch.
 
Zuletzt bearbeitet:
Dabei seit
Jan. 2002
Beiträge
9.962
#12
Moin.

Gibt es zu der Thematik schon etwas neues (positives) zu berichten?

Reddit und Bing werden ja auch demnächst umgestellt. So langsam wird es Zeit, dass da ein paar deutsche Seiten nachziehen (können). :)
 

ascer

Commander
Dabei seit
Juni 2008
Beiträge
2.527
#14
Daran muss unbedingt gearbeitet werden - gerade bei einer Seite dieser Reichweite, die auch noch primär über Technik/IT berichtet.
 
Dabei seit
Okt. 2007
Beiträge
1.444
#15
Um mal aus aktuellen Anlass ein bisschen zu pushen:

Scheinbar brechen die in https-everywhere vorgefertigten Regeln ein paar Werbebanner.

Gibt es irgendwo eine Auflistung welche Seiten verbunden sind und welche per https aufrufbar sind?
Es ist zwar bei allen Seiten, die ich auf die schnelle hier auf CB gefunden habe möglich, die Server über TLS anzusprechen, aber teilweise hat das dann die Werbung wieder erfolgreich unterdrückt :rolleyes:

PS: Die Werbefirmen sollen mal hinne wachen, noch ein 5. AddOn zu konfigurieren macht endgültig keinen Spaß mehr
 

Steffen

Technische Leitung
Teammitglied
Dabei seit
März 2001
Beiträge
12.903
#16
Die eigenen Server unseres Vermarkters Ströer (also u.a. cdn.stroeerdigitalmedia.de) unterstützen HTTPS, aber leider einige der "nachgeschalteten" Server von Werbeagenturen etc nicht. Und leider gibt es meiner Erfahrung nach keine Liste von 10 potenziell nachgeschalteten Ad-Servern, sondern zum einen dürften das deutlich mehr sein und zum anderen wechseln die vermutlich auch relativ häufig.

Damit ich dich richtig verstehe: das Problem ist, dass HTTPS-Everywhere (unbeabsichtigt) das Laden der Anzeigen auf ComputerBase verhindert, obwohl du keinen Werbeblocker nutzt?
 
Dabei seit
Okt. 2007
Beiträge
1.444
#17
Zumindest erscheint es mir wahrscheinlich (ich kann später nochmal genauer testen), da ich Disconnect auf Whitelist gestzt habe, Privacy Badger, uBlock und Noscript (ja ich bin am experimentieren gerade^^) nichts blockiertes mehr angezeigt haben, ich Teilweise dennoch nur schöne weiße Flächen gesehen habe, wo sonst Werbung ist.

Wenn ich Zeit finde, kann ich das ganze nochmal etwas mehr damit rumspielen^^

Edit: Ok, ganz nachvollziehn kann ich das nicht, vll habe ich noch irgendeine 3. Seite unbeabsichtigt blockiert, also doch volles whitelist-Programm.
Was aber definitiv gegen euren sinne sein dürfte, könnte bald bei vielen aktiv sein:
https://blog.mozilla.org/futurerele...ing-with-tracking-protection-in-firefox-beta/
 
Zuletzt bearbeitet:

riloka

Ensign
Ersteller dieses Themas
Dabei seit
Feb. 2014
Beiträge
213
#18
Scheinbar brechen die in https-everywhere vorgefertigten Regeln ein paar Werbebanner.

Gibt es irgendwo eine Auflistung welche Seiten verbunden sind und welche per https aufrufbar sind?
Es ist zwar bei allen Seiten, die ich auf die schnelle hier auf CB gefunden habe möglich, die Server über TLS anzusprechen, aber teilweise hat das dann die Werbung wieder erfolgreich unterdrückt :rolleyes:
Ich vermute 2 Dinge : einerseits active mixed content, da trotz umgeschriebenen Verweisen der Browser nur die ungesicherte Fassung prüft und dann halt Skripte und Stylesheets unsinnigerweise sperrt und andererseits ändert sich immer wieder etwas und die Regeln im Addon müssen angepasst werden.

Wenn du Beispiele hast könnte man sich das genauer ansehen und zumindest der 2ten Ursache die Zähne ziehen.
Im Feuerfuchs wird an dem ersten Problem gearbeitet, zieht sich aber hin.



Test von heute zeigt als HTTP-only fragmente nur: computerbase.de , video subdomain von CB und den JWplayer.
Das ist aber im Normalfall gut so, denn der kommt mit HTTPS-Everywhere nicht klar auf vielen Seiten und muss dann als Ausnahme eingetragen werden :)

Keine Ahnung wie die Werbung geladen wird aber nach mehreren Versuchen auf vielen Unterseiten konnte ich keine weitere Domain finden die nicht gesichert werden kann.
Es gab auch keinerlei Mixed-Content Warnungen.
 
Zuletzt bearbeitet:
Dabei seit
Okt. 2007
Beiträge
1.444
#19
Vll wars auch Privatcy badger^^
wie gesagt, ich experimentiere etwas und mit CP in der Whitelist sehe ich wieder Werbung.

Nur die doubleclick-Regel für HTTPS-Everywhere habe ich jetzt noch in Verdacht etwas kaputt zu machen, aber da steht ja auch testing in Klammern hinter^^
 

riloka

Ensign
Ersteller dieses Themas
Dabei seit
Feb. 2014
Beiträge
213
#20
Durchaus möglich, im Netzwerktraffic gibt es ein paar rote Zeilen zu DoubleClick Objekten bei mir.
Schau ich morgen mal drüber.
 
Status
Es sind keine weiteren Antworten möglich.
Top