[DONE] Add HTTPS on login pages of the Wiki and Forum

Leider ist es so, dass „anerkannte“ Zertifikate gut Geld kosten. So müssten wir wohl dafür im Jahr 200€ berappen.

Ich finde es eigentlich schon schwachsinnig von den Browsern, dass diese Meldung kommt, denn ein solches Zertifikat beinhaltet ja keinerlei Risiken für den Nutzer, im Gegenteil, es suggeriert ja noch, dass HTTP sicherer wäre.

Wie dem auch sei, du hast ja schon Möglichkeiten angesprochen, z.B. wieder auf HTTP zurück zu gehen.
Vielleicht wäre in diesem Zusammenhang eine Idee, den Nutzer bei Registrierung darauf hinzuweisen, dass er ein für Ihn wenig problematisches Passwort wählen soll (d.h. Niemals Passwörter, welche er für kritische Logins z.B. auf Bankkonten, Server, usw. verwendet).
Dann haben wir auch wenig Probleme, sollte doch mal ein Hacker den Weg in den Server finden und z.B. unsere Datenbanken hacken.

Die Rückstellung auf HTTP wäre jedenfalls sehr schnell gemacht und für mich war es auf jeden Fall eine neue Erfahrung wert, denn es war das erste mal, dass ich sowas eingerichtet habe.

Nikolay, Alex was meint ihr dazu?

TF

Hi Sebastian,

hab grad mal geschaut ob es auch irgendwo kostenlose Zertifikate gibt.

Vielleicht hilft das hier weiter:

http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html

Falls das funktioniert sollte man aber dennoch versuchen, die https-Geschichte nur für die passwortabfrage-seite zu machen und nicht für die komplette Website, aus performance-technischen Gründen.

Gruss, Oliver

Die Browsermeldung macht meistens Sinn, von einer CA ausgestelltes cert gibt keinen Error. Die ‚modernen‘ Browsermeldungen bringen einen enormen Gewinn an Sicherheit bei MitM-attacks.

1. https login nicht mandatory machen. Kein rewrite mit .htaccess auf SSL mit self-signed certificates.
2. Mit web-of-trust und CAcert vertraut machen, auf http://www.cacert.org anmelden, Punkte sammeln, ein Zertifikat signieren lassen und auf *.TLD verwenden, falls wildcard möglich.
3. Ein CAcert certificate einbinden, wenn wir dann mal eins haben.

SSL login mandatory nur wenn das einwandfrei funktioniert.

Das cert auf der TLD von OSEG ist ein self-signed von mir und wird entsprechend in Browsern nicht als full-trust eingestuft. (das ist auch gut so! )

das Problem ist, dass eine Auswahl von HTTP oder HTTPS meist Konflikte mit sich bringt, so dass man sich entscheiden sollte, was man verwenden will.

Das CAcert ist zwar schön, doch soweit ich weiß, werden diese Zertifikate von den Browsern auch nicht erkannt und müssten installiert werden, kommt also aufs Gleiche hinaus.

StartSSL hab ich mir mal angeschaut, hat jedoch den Nachteil, dass die im Zertifikat dann ihre Daten von StartSSL rein schreiben, vermutlich um damit Werbung zu betreiben.


Nach wie vor würde ich bald den Vorschlag von case bevorzugen und HTTP akzeptieren, denn das Risiko ist überschaubar.
Wenn wir es wollen, so haben wir ja bereits ein Serverzertifikat. Eine Möglichkeit wäre, HTTPS aufs Login zu beschränken, was natürlich einen gewissen Aufwand mit sich bringt aber machbar wäre.

Eine weitere Möglichkeit wäre, sich mal mit OSE und anderen Ablegern in Verbindung zu setzen, vielleicht liese sich ja ein Zertifikat gemeinsam nutzen und die Kosten entsprechend niedrig zu halten?
Nur so eine Idee, keine Ahnung ob sowas möglich wäre.

TF

Das ist nicht möglich, weil die TLD natürlich verschieden ist.

Also ich würde jetzt mal folgendes tun:

• HTTPS nur auf Login beschränken versuchen (als mögliche Option), hierbei einen Hinweis einblenden, dass diese Browserwarnung ignoriert werden kann.

TF

Keine Beschränkung darauf, https einfach optional.

Und mach mal schnell das erzwungene SSL wieder weg bitte!

das erzwungene SSL habe ich gemacht, weils Loginprobleme gab.

Ich werde es mal testen, ob es optional funktioniert. Andernfalls werde ich es an den Stellen, wo es Loginprobleme geben sollte, voerst wieder deaktivieren.

TF

Weiterleitung zu HTTPS habe ich entfernt.

Beim Wiki gibt es die Möglichkeit des HTTPS-Login, diese habe ich aktiviert.

Beim Blog und Forum muss man es per https in der URL auswählen. Ich denke dies ist ok, soll der Nutzer einfach selbst entscheiden. Ggf. wäre es noch eine Idee, auf der Loginseite einen Link zum HTTPS-Login zu integrieren und ähnlich wie im Wiki.

Hierzu bräuchte ich evt. Adminrechte, aktuell habe ich im Forum nur Moderationsrechte. U.a. muss ich wissen, wo die Templates liegen, ob in der Datenbank oder im Dateisystem.

TF

Hi Sebastian,

I habe jetzt gesehen, wo die Forum-Admins sind: https://forum.opensourceecology.de/adm/index.php?i=permissions&mode=setting_admin_global
Jetzt bist du auch eins.

Das Header habe ich früher im Dateisystem geändert. Das Theme sollte irgendwo hier sein: http://wiki.opensourceecology.de/PhpBB_Change_Theme

N

Ich kann mich wieder nicht ins Wiki anmelden! Wenn ich mich anmelde, lande ich automatisch wieder auf der Hauptseite und das schon seit 1 Wochen.

Irgendwo ist wieder ein bug auf der Login Seite!! Also um mich anzumelden gehe ich auf die Login Seite, melde mich an, werde auf die Hauptseite geleitet, oben rechts steht jedoch immer noch „Anmelden / Benutzerkonto erstellen“ klicke dort wieder drauf, komme somit wieder zur Login Seite, dort steht dann ohne das ich was anklicke „Achmed T. My talk My preferences My watchlist My contributions Log out“ = >Bin also schon eingelogt! Das ist ein bisschen verwirrend! Könnte man diese Prozedur ändern, einfach wenn man sich einlogt das man auch eingelogt ist, ohne das man wieder auf die Login Seite gehen muß?

liegt irgendwie an dem Wechsel von HTTPS auf HTTP. Ich vermute mal, dass es mitm Cache zusammen hängt.

Als schnelle Lösung kannst du das Häkchen setzen „Nach dem Anmelden mit HTTPS verbunden bleiben“ und dann funzt es erstmal.

Ich schaue mir die Sache die nächsten Tage noch mal an.

TF

nun ist das Problem gefixt.
Ursache waren die Cookies, welche durch den HTTPS-Login nur für HTTPS zugelassen waren. Habs umgestellt, so dass die Cookies jeweils für beide HTTP und HTTPS zugelassen sind.

TF

Perfekt !!! Danke Bug gefixt hoffe das es jetzt auch so bleibt.