handschellenforum.de Foren-Übersicht handschellenforum.de
Das Forum rund um Handschellen
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 
Adventskalender 2010

TLS-Verschlüsselung für Forum
Gehe zu Seite 1, 2  Weiter
 
Neues Thema eröffnen   Neue Antwort erstellen    handschellenforum.de Foren-Übersicht -> Fragen zum Forum
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
flx



Anmeldungsdatum: 14.03.2005
Beiträge: 587
Wohnort: Süd-Niedersachsen

BeitragVerfasst am: Mi Jul 17, 2019 6:18 pm    Titel: TLS-Verschlüsselung für Forum Antworten mit Zitat

Hallo,

ich bekomme neuerdings im Browser (Firefox) eine Warnung angezeigt, daß die Verbindung mit der Internetpräsenz des Forums unsicher sei, weil nur eine schwache Verschlüsselung verwendet werde: Fenster mit Warnmeldung (864 x 628, 54 KB)

Vermutlich wird das daran liegen, daß nur TLS 1.0 implementiert ist und keine höhere TLS-Version. Einer Meldung bei der c't entnehme ich, daß ab Anfang 2020 die neueren Browser nur noch Verschlüsselungen von mindestens TLS 1.2 unterstützen werden und daher Internetseiten mit einem veralteten Schlüsselstandard möglicherweise gar nicht mehr aufrufbar sein werden:
https://www.heise.de/security/meldung/Verschluesselung-im-Web-Chrome-Firefox-Co-verabschieden-sich-von-TLS-1-0-1-1-4191864.html

In diesem Zusammenhang möchte ich daran erinnern, daß es bei der Forumssoftware auch noch andere Unschönheiten gibt. So funktioniert das [img] Steuerelement für Bilder unverständlicherweise nur, wenn danach ein http-kodiertes Bild angegeben ist, nicht aber mit einem https-kodierten Bild, was heute doch eigentlich überall Standard ist.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
flx



Anmeldungsdatum: 14.03.2005
Beiträge: 587
Wohnort: Süd-Niedersachsen

BeitragVerfasst am: Do März 12, 2020 7:35 pm    Titel: Antworten mit Zitat

Hallo,

ich möchte erneut an dieses Problem erinnern. Anlaß ist, daß heute anläßlich der Aktualisierung auf firefox 74.0 explizit eine Warnmeldung erschien, daß zur Anzeige von Internetseiten, die nur mit TLS 1.0 oder 1.1 codiert sind, eine Einstellung im Browser zu aktivieren sei.


(981 x 525, 60 KB)


Es funktioniert dann auch wieder, aber das wird sicherlich keine Dauerlösung sein, weil irgendwann in näherer oder fernerer Zukunft die Berücksichtigung dieser alten Schlüsselstandards ganz abgeschaltet werden wird.

Das ist natürlich keine Sache, die gleich und jetzt gemacht werden müßte, aber lange aufschieben wird sich das wohl nicht lassen.

Danke.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MartinStgt



Anmeldungsdatum: 14.02.2010
Beiträge: 1168
Wohnort: Stuttgart

BeitragVerfasst am: Do März 12, 2020 10:25 pm    Titel: Antworten mit Zitat

Ach, das ist eine interaktive Fehlermeldung, OK! Auf blau gedrückt und gut. Hatte zunächst einfach einen anderen Browser genommen.
_________________
Ich sammel' Handschellen. Das ist was, was nicht von der Hand zu weisen ist...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dancingcane



Anmeldungsdatum: 11.05.2007
Beiträge: 3450
Wohnort: ca. 65km vor den Toren Hamburgs

BeitragVerfasst am: Fr März 13, 2020 1:58 pm    Titel: Antworten mit Zitat

Moin,

diesen Fehler habe ich nicht gehabt bisher.
Gruß

DC 😊
_________________
Geborener Hamburger, was sonst!!
Herr Doktor, ich bin pervers, ich sammel Handschellen!! Sad
UT 11-18+19+23
1. Knastbus UT 2015
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
nixwiss



Anmeldungsdatum: 05.11.2010
Beiträge: 24
Wohnort: 21xxx

BeitragVerfasst am: Sa März 14, 2020 9:09 am    Titel: Antworten mit Zitat

Beim neusten Firefox ist die Seite nicht mehr aufrufbar.
Ich musste jetzt notgedrungen auf einen anderen Browser ausweichen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
DS-Stahl



Anmeldungsdatum: 10.05.2005
Beiträge: 1072
Wohnort: München

BeitragVerfasst am: Sa März 14, 2020 12:38 pm    Titel: Antworten mit Zitat

nixwiss hat folgendes geschrieben:
Beim neusten Firefox ist die Seite nicht mehr aufrufbar.


Einfach auf den blauen Button klicken, siehe oben der screenshot von flx
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Chilly



Anmeldungsdatum: 08.07.2013
Beiträge: 28

BeitragVerfasst am: So März 15, 2020 3:30 pm    Titel: Antworten mit Zitat

Klar löst der blaue Button das Problem erstmal, aber es geht doch darum, dass diese TLS-Versionen nicht ohne Grund deaktiviert sind. Hier müsste die Wurzel des Problems behoben und der Webserver aktualisiert werden, alles andere ist nur Symptombekämpfung. Wenn man nur unsicheres TLS anbieten kann, kann man es doch auch gleich sein lassen.

Ausserdem: Die Software des Webservers selbst ist auch gnadenlos veraltet und es existieren diverse Sicherheitslücken dazu (darunter auch ZWEI mit der maximalen Risikobewertung 10.0): https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-66/version_id-15944/Apache-Http-Server-2.0.52.html

Genau dasselbe mit der Forensoftware: https://www.cvedetails.com/vulnerability-list/vendor_id-848/product_id-1447/version_id-14163/Phpbb-Group-Phpbb-2.0.8.html

Liebe Admins, bitte nehmt Security und Datenschutz eurer Nutzer ernst und behebt das Problem. Ansonsten ist es nur eine Frage der Zeit, bis Daten wegkommen und die sind gerade in diesem Forum doch relativ sensibel.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
unimuc



Anmeldungsdatum: 24.04.2004
Beiträge: 4298
Wohnort: München

BeitragVerfasst am: Mo März 16, 2020 11:06 am    Titel: Antworten mit Zitat

Hallo,

wie oben schon geschrieben, ist Update der TLS Version in Arbeit... War eigentlich auch schon für den Februar vorgesehen, aber dann kamen leider ein paar andere ungeplante Themen dazwischen.

Was die Apache und phpBB Version angeht: die Versionen die hier laufen sind stark gepatcht, die kritischen CVEs haben wir alle nachgefixt, Kassiopeia hat das auch damals mal für uns mit einer Hackergruppe von den Kinky Geeks des CCC "durchgetestet". Und die 10.0 in Apache betrifft z.B. unser Setup gar nicht.

Klar wäre ein "richtiges" Update, weg von 2.0, mal denkbar - da das aber massiv komplexer geworden ist sehe ich da dann jedoch eine viel grössere Angriffsfläche, so dass das Risiko von neu aufkommenden Lücken die akut behoben werden müssen sogar steigt.

Als erstes werden wir jetzt aber die TLS Sache angehen... Wird in den nächsten Tagen umgesetzt.

LG,
Unimuc
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
flx



Anmeldungsdatum: 14.03.2005
Beiträge: 587
Wohnort: Süd-Niedersachsen

BeitragVerfasst am: Mo März 16, 2020 12:01 pm    Titel: Antworten mit Zitat

@unimuc

Danke zunächst für die geplante Aktualisierung.

Unabhängig von irgendwelchen Sicherheitslücken hat dieses Forum, ob individuell "geflickt" oder nicht, einige Unschönheiten, die auch schon angesprochen wurden und teilweise mehr als lästig sind. Mir fällt da spontan ein:

1. Bilder, die man mit der [img] Schaltfläche einstellen will, funktionieren nur, wenn sie mittels http angesprochen werden. https funktioniert hier nicht, warum auch immer. Da nun immer häufiger Bilder auf Rechnern liegen, die https verwenden, fällt das ständig auf.

2. Die Forumssoftware kann kompliziertere Internetadressen, die heutzutage immer mehr üblich werden, nicht korrekt verarbeiten und in aufrufbare Verknüpfungen umsetzen. Damit meine ich beispielweise Adressen, die Klammern verwenden (teilweise in Wikipedia) oder sonstige Sonderzeichen (beispielsweise in Gugel-Landkarten wie Ausrufungszeichen oder ähnliches).

Es wäre schön, wenn auch das gleich nachgebessert werden könnte.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
flx



Anmeldungsdatum: 14.03.2005
Beiträge: 587
Wohnort: Süd-Niedersachsen

BeitragVerfasst am: Di Jun 30, 2020 6:00 pm    Titel: Nochmal TLS 1.0 Antworten mit Zitat

Hallo,

nun wird's allmählich dringlich, sich von TLS 1.0 zu verabschieden. Wie ich einer Meldung von Heise online entnahm, wird Firefox Version 78 keine Unterstützung für TLS 1.0 und 1.1 mehr bieten. Dann wird dieses Forum nicht mehr aufrufbar sein.

Siehe auch die Release Notes ("Changed") zu Firefox 78.

Diese Browserversion steht seit heute (30. Juni) zum Herunterladen bereit.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
unimuc



Anmeldungsdatum: 24.04.2004
Beiträge: 4298
Wohnort: München

BeitragVerfasst am: Di Jun 30, 2020 7:45 pm    Titel: Antworten mit Zitat

Hallo,

was ich nicht ganz durchblicke ist, ob sie den Button zum re-enable beibehalten, oder es ganz abschalten? Na werden die ersten User ja morgen dann (nicht) berichten können Rolling Eyes

Na im Ernst: Ich hab da eigentlich schon was vorbereitet, muss "nur" die Umstellung mal vollziehen... Werde ich die Tage dann wohl machen.

Unimuc
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Novae



Anmeldungsdatum: 23.05.2017
Beiträge: 26

BeitragVerfasst am: Mo Okt 19, 2020 10:31 pm    Titel: Antworten mit Zitat

unimuc hat folgendes geschrieben:
Hallo,

was ich nicht ganz durchblicke ist, ob sie den Button zum re-enable beibehalten, oder es ganz abschalten? Na werden die ersten User ja morgen dann (nicht) berichten können Rolling Eyes

Na im Ernst: Ich hab da eigentlich schon was vorbereitet, muss "nur" die Umstellung mal vollziehen... Werde ich die Tage dann wohl machen.

Unimuc


*schubst das thema hier nochmal an*
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
DasGenie



Anmeldungsdatum: 24.07.2005
Beiträge: 245
Wohnort: SH nähe Hamburg

BeitragVerfasst am: Do Okt 22, 2020 12:17 am    Titel: Antworten mit Zitat

Der Button ist noch da, funktioniert aber in der aktuellen Firefox Version für Android NICHT mehr. Sehr verwirrend für den Nutzer.
_________________
Mein SZ-Profil
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden MSN Messenger
dancingcane



Anmeldungsdatum: 11.05.2007
Beiträge: 3450
Wohnort: ca. 65km vor den Toren Hamburgs

BeitragVerfasst am: Do Okt 22, 2020 7:33 am    Titel: Antworten mit Zitat

Moin,

Safari neueste Fassung hat nach Bestätigung der Risiken keine Probleme.

Gruß

DC😊
_________________
Geborener Hamburger, was sonst!!
Herr Doktor, ich bin pervers, ich sammel Handschellen!! Sad
UT 11-18+19+23
1. Knastbus UT 2015
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
flx



Anmeldungsdatum: 14.03.2005
Beiträge: 587
Wohnort: Süd-Niedersachsen

BeitragVerfasst am: Sa Okt 24, 2020 2:59 pm    Titel: Noch ein heißer Browser-Tipp Antworten mit Zitat

Hallo,

ich möchte nach all den interessanten Empfehlungen zu noch verwendungsfähigen Browsern auch einen ganz heißen Tipp hinzufügen. Man muß sich dazu auch gar keinen überteuerten Rechner der US-Firma "Apfel" mit dem Safari-Browser anschaffen oder auf einem Schlau-Tel (englisch: "smartphone") mit dem Android-Betriebssystem arbeiten. Nein, es geht ganz einfach und kostenlos.

Ich meine damit den "Lynx"-Browser. Dieser wird immerhin seit 1992 kontinuierlich fortentwickelt. Damit hat man die Zuversicht, daß er auch dann noch funktionieren wird, wenn der allgemein übliche Stand von TLS im Internet auf Version 9.0 angekommen sein sollte.

Näheres zur Geschichte: https://de.wikipedia.org/wiki/Lynx und dort dann auf "Lynx (Browser)" klicken -- dieses Forum schafft ja leider keine Umsetzung von Klammern in Internetadressen

Bezugsquelle: https://lynx.invisible-island.net/lynx2.8.9/index.html
(gibt es für Linux und Windows)

Ich habe das schon ausprobiert und es funktioniert. Allerdings ein bißchen gewöhnungsbedürftig, weil ein reiner Text-Browser, und auf bunte Bilder muß man dann leider auch verzichten. Bedienung ist nur mit der Tastatur möglich, nicht mit der Maus. Aber er funktioniert immer, und ich bin noch am Üben.

Vorschaubilder:


(1280 x 1024, 108 KB)

(1280 x 1024, 119 KB)


Freilich gestehe ich ein: dieses Posting habe ich doch mit einem "neumodischen" Browser erstellt. Da war ich nicht ganz konsequent, aber ich bin schließlich noch in der Übungsphase.

Allen noch ein schönes Wochenende!

(P.S.: Dieser Beitrag kann Spuren von feiner Ironie enthalten...)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    handschellenforum.de Foren-Übersicht -> Fragen zum Forum Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite 1, 2  Weiter
Seite 1 von 2

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Datenschutzerklaerung und Impressum
Powered by phpBB 2 © 2001, 2002 phpBB Group