Einbindung externer Bilder nur noch über HTTPS

[Knidel]

Ab sofort können in Postings und Signaturen nur noch Bilder von einer HTTPS-Quelle eingebunden werden.

Wie der ein oder andere vielleicht bemerkt hat, ist unser Forum seit ein paar Tagen endlich auch verschlüsselt über HTTPS erreichbar.
Die Einschränkung auf Bilder von HTTPS-Quellen ist notwendig, da es leider zu unschönen Meldungen in den Browsern kommt, wenn eine HTTPS-Seite Bilder einbindet, die über unverschlüsselte Verbindungen abgerufen werden.

Bilder von unverschlüsselten Quellen werden automatisch durch einen Link ersetzt.

Betroffen sind dadurch im Prinzip fast alle bisherigen Bilder. Bilder, die von www.bilder-hosting.info stammen, werden von uns aber automatisch durch die entsprechende URL mit HTTPS ersetzt.
Bei anderen Bilder-Hostern müsst ihr bitte ggf. selbst auf HTTPS achten. Die Bilder von Speedtests sind in letzter Zeit ziemlich beliebt geworden. Beispielsweise lassen sich die Bilder von speedtest.net auch mit HTTPS einbinden. Die URL müsstet ihr manuell anpassen.

Falls alles gut geht, werde ich in wenigen Tagen eine Weiterleitung von HTTP auf HTTPS einrichten. Danach kann auf das Forum nur noch verschlüsselt zugegriffen werden. Ich würde euch daher bitten, schon jetzt zu prüfen, ob bei euch der verschlüsselte Zugriff eventuell Probleme macht.

[wittmann]

Coole Sache mit HTTPS.

Nun noch IPv6 und alles ist schick

[Knidel]

Ab sofort gibt es eine Weiterleitung von HTTP auf HTTPS.

[McMurphy]

Betroffen sind dadurch im Prinzip fast alle bisherigen Bilder. Bilder, die von http://www.bilder-hosting.info stammen, werden von uns aber automatisch durch die entsprechende URL mit HTTPS ersetzt.
Bei anderen Bilder-Hostern müsst ihr bitte ggf. selbst auf HTTPS achten.

Naja, fragt sich nur, wo Bilder via https zur Verfügung stehen, die auch wirklich in der gespeicherten Originalgröße dargestellt werden. Bei bilder-hosting klappt das leider nicht, damit sind bestimmte Darstellungen nicht möglich.

Danach kann auf das Forum nur noch verschlüsselt zugegriffen werden.

Immerhin kostet das nix, anders als bei Grundlosverschlüsselungs-TV.

[cusal]

Ein netter Moderator hat mich darauf hingewiessen, dass 3 einzelne Bilder in meiner Signatur zu viel sind, hab sie jetzt zu einem zusammen gefasst.
So eine Information könnte man oben in der Ankündigung auch noch gut unterbringen

[Lugudi]

Coole Sache mit HTTPS.

Nicht wirklich. Lasst uns doch mal schauen von wem das Zertifikat kommt...
Ah, Let's encrypt. Die Identitätsprüfung taugt nichts.
https://letsencrypt.org/howitworks/technology/
Ein Fortgeschrittener User braucht nur den DNS der Domain unter seine Gewalt bringen und schon gehört ihm das Zertifikat.

Ein vernünftiges Zertifikat wollen oder können sich die Betreiber des Forums nicht leisten. Denn sonst würde das Forum massiv Werbung schalten oder Premium Accounts anbieten müssen um die Kohle wieder rein zubekommen.
Unterm Strich kann man sagen, dieses Zertifikat hat nur einen Placebo-Effekt.

[cusal]

Unterm Strich kann man sagen, dieses Zertifikat hat nur einen Placebo-Effekt.

Nicht nur das, der Server ist auch mies konfiguriert und lässt unischeres SSL 3 zu und ist damit anfüllig für die PUUDLE Attacke.
Dafür gibts gerad noch ein "C" rating: https://www.ssllabs.com/ssltest/analyze ... dgforum.de
Aber Hauptsache alle http-Signaturen ungültig machen

[Sebastian]

Identitätsdiebstahl ist auch bei anderen SSL Zertifikaten möglich...
Wenn aber der INWX DNS Server mal geknackt wird, haben wir in Deutschland eh ein anderes Problem als SSL Zeritifikate die einem nicht gehören .

[McMurphy]

Ist ja auch nicht gerade so, dass hier mit hochvertraulichen Daten hantiert wird. Immerhin handelt es sich "nur" um ein Forum ohne persönliche Echtdaten.
Da ist mir als User die kostenlose Werbefreiheit, die die Macher übrigens privat finanzieren, weitaus lieber als übertriebene Sicherheit.

[kalochero]

Naja, fragt sich nur, wo Bilder via https zur Verfügung stehen, die auch wirklich in der gespeicherten Originalgröße dargestellt werden. Bei bilder-hosting klappt das leider nicht, damit sind bestimmte Darstellungen nicht möglich.

picflash.org

gibt es schon seit ein paar jahren, ist werbefrei und komplett per https nutzbar.