Zum Inhalt wechseln


Foto

Umstellung des Forums auf HTTPS


  • Bitte melde dich an um zu Antworten
36 Antworten in diesem Thema

#1 Nils Geschrieben 28. Januar 2017 - 14:39

Nils

    .

  • Administrator
  • PIPPIPPIPPIPPIP
  • 7.148 Beiträge

Wie ihr vielleicht wisst gibt es zwei Protokolle, über die Webseiten aufgerufen werden können - HTTP und HTTPS. Der Unterschied zwischen den beiden ist, grob umschrieben, dass die Kommunikation bei HTTPS verschlüsselt wird, so dass selbst jemand, der eure Internetverbindung abhört (z.B. ein "böser" WLAN-Hotspot oder unsere Freunde von der NSA), nicht auslesen kann, was ihr macht. Bis vor kurzem war HTTPS aber so kompliziert und teuer umzusetzen, dass es praktisch nur von Banken, Onlineshops usw. benutzt wurde. Das hat sich aber glücklicherweise inzwischen geändert, so dass HTTPS auch für Foren wie unseres benutzbar geworden ist.

 

Im MTG-Forum werden schon seit einigen Jahren die Logindaten (Benutzername und Passwort) per HTTPS versendet, aber der Rest des Forums läuft im Moment noch per HTTP. Ich hoffe aber, auch den Rest der Seite in den nächsten Tagen auf HTTPS umzustellen, so dass dann die gesamte Kommunikation verschlüsselt wird.

 

Hoffentlich wird alles glatt gehen und ihr werdet von dieser Umstellung gar nichts mitbekommen. Allerdings kann es sein, dass einige Sachen (insbesondere die Einbindung von externen Inhalten, wie z.B. Bildern von unsicheren HTTP-Adressen) nach der Umstellung etwas Probleme machen werden. Es wäre daher gut, wenn ihr schon jetzt versuchen könntet, nur noch Bilder von HTTPS-Adressen einzubinden oder (was sowieso viel besser ist) das Dateianhang-System des Forums zu benutzen.

 

Auch habe ich beim Testen schon gemerkt, dass es nach der Umstellung eventuell Probleme mit dem Editieren von alten Beiträgen geben könnte.

 

Ich werde versuchen, all diese Probleme so weit es geht zu vermeiden, aber falls nach der Umstellung irgendwas nicht mehr richtig funktioniert, meldet euch bitte bei mir!



#2 TRO Geschrieben 28. Januar 2017 - 17:17

TRO

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 1.144 Beiträge

nicht lebensnotwendig, aber überaus lobenswert!



#3 Bomberman Geschrieben 28. Januar 2017 - 17:31

Bomberman

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 4.921 Beiträge

Gute Sache. :-)


:rage:

UMYtCuY.jpg

"Was ist für einen Mann das schönste im Leben?" - "Die weite Steppe, ein schnelles Pferd, der Falke auf seiner Faust und der Wind in seinem Haar!"

"Falsch!! Conan - sag du es mir!" - "Zu kämpfen mit dem Feind, ihn zu verfolgen und zu vernichten und sich zu erfreuen am Geschrei der Weiber!"


#4 Nils Geschrieben 26. März 2017 - 14:26

Nils

    .

  • Administrator
  • PIPPIPPIPPIPPIP
  • 7.148 Beiträge

So, das Forum läuft nun per HTTPS! Das nächste Mal, wenn ihr auf einen Link hier klickt, solltet ihr automatisch zu der sicheren Version geleitet werden.

 

Ich habe zwar einiges getestet, aber es kann sein, dass ein paar Sachen wegen der Umstellung noch nicht richtig funktionieren. Insbesondere Smileys und eingebundene Bilder können Probleme verursachen. Sagt bitte bescheid, wenn euch etwas auffällt.

 

Bekannte Probleme:

  • Bilder von externen Seiten die per HTTP eingebunden wurden, können Warnungen hervorrufen - Lösung: Bild als Anhang hochladen oder HTTPS-Version verlinken.
  • Links in alten Beiträgen zeigen noch auf die HTTP-Version - Lösung: Sobald die HTTPS-Version ein paar Tage fehlerfrei läuft werde ich eine automatische Weiterleitung einrichten, die alle Links korrigiert.
  • Chat geht im Moment nicht - Notlösung: Die URL in der Adressleiste ändern, so dass der Chat weiterhin per HTTP aufgerufen wird. Wird hoffentlich bald richtig gelöst!


#5 HaVoC Geschrieben 26. März 2017 - 20:52

HaVoC

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 3.892 Beiträge
  • Level 1 Judge

Chat war/ist heute nicht erreichbar gewesen und hat ewigst geladen. Hab mal das S beim httpS (verlinkt auf https://...) weggelassen und zack, der chat lädt wieder und man kommt rein.

Ka wie man das Fixen kann... bin nur n noob :P


9o04BDd.jpg

 

Oldschool: {G} {W} {B} Arboria Control, {B} {R} {G} Erhnam Jund'em

Legacy: {B} {G} Eternal Garden, {R} {G} Lende, {R} Burn

Standard:

Modern:  {B}  {R}  {G} Jund

Pauper:  {B} Control

 


#6 Nils Geschrieben 26. März 2017 - 21:36

Nils

    .

  • Administrator
  • PIPPIPPIPPIPPIP
  • 7.148 Beiträge

Ja, der Chat scheint leider noch nicht zu funktionieren wenn man per HTTPS im Forum ist. Ich arbeite aber dran, das zu korrigieren!



#7 ElAzar Geschrieben 26. März 2017 - 21:42

ElAzar

    Big Furry Monster

  • Ex-Moderator
  • PIPPIPPIPPIPPIP
  • 7.744 Beiträge
Das gilt wohl auch für PMs, denk außerdem bitte an die Rumormill.

Eingefügtes Bild


#8 Der Schneider Geschrieben 26. März 2017 - 22:02

Der Schneider

    Erfahrenes Mitglied

  • Moderator
  • PIPPIPPIPPIP
  • 4.127 Beiträge

Ich nutze Firefox. Beim Eingeben von "mtg-forum.de" in den Browser und erster Anmeldung, sagt mir Firefox im Anmeldefenster, dass die Verbindung nicht sicher sei und ich kann auch kein Sicherheitssymbol oder "https" bei der Seiteninformation erkennen. Nach Anmeldung allerdings schon. Auch wenn ich mich wieder abmelde, auf der Seite bleibe und erneut anmelde, besteht die ganze Zeit eine sichere Verbindung.

Soll das so sein?

 

 

... Bis vor kurzem war HTTPS aber so kompliziert und teuer umzusetzen, dass es praktisch nur von Banken, Onlineshops usw. benutzt wurde. Das hat sich aber glücklicherweise inzwischen geändert, ...

 

Was hat es denn so teuer und kompliziert gemacht bzw. was ist passiert, dass dies jetzt nicht mehr der Fall ist? Ich bin da der totale Laie...


... da pennt man mal zur Abwechslung wieder bis 12 und direkt ist Modern ein richtiges Format :-/


#9 shecki Geschrieben 26. März 2017 - 22:36

shecki

    Bester Standard-Spieler 2020/2021

  • Mitglied
  • PIPPIPPIPPIP
  • 2.978 Beiträge

Teuer: Relativ, günstigste Certs waren pro Jahr um die 100 Euro, wobei das in den letzten Jahren angezogen hat, dank Let's Encrypt gibt es aber nun auch komplett kostenlose SSL Certs

 

Kompliziert: Fand und finde ich eigentlich nicht kompliziert. Wobei das Mixed Content Problem, das auch aktuell besteht, da ggf. was anderes sagt.

 

Stichwort Mixed Content: Bilder in Signaturen sind mit http und werfen damit einen Fehler. Eventuell hier einmal komplett ausmisten und alle rauswerfen und dann in Signaturen nur noch https Links zulassen. Konkret HaVoV und Lazo, die auf dieser Seite hier angemeckert werden ;)

 

Wenn gewünscht, kann ich gerne auch mit helfen, hab beruflich genug Webserver zu betreuen und solange es Apache oder Nginx ist, ist beides bekannt.



#10 Nils Geschrieben 26. März 2017 - 22:46

Nils

    .

  • Administrator
  • PIPPIPPIPPIPPIP
  • 7.148 Beiträge

Das gilt wohl auch für PMs, denk außerdem bitte an die Rumormill.

 

Was genau meinst du damit? Bei mir funktionieren PMs und die Rumor Mill auf den ersten Blick problemlos.

 

Ich nutze Firefox. Beim Eingeben von "mtg-forum.de" in den Browser und erster Anmeldung, sagt mir Firefox im Anmeldefenster, dass die Verbindung nicht sicher sei und ich kann auch kein Sicherheitssymbol oder "https" bei der Seiteninformation erkennen. Nach Anmeldung allerdings schon. Auch wenn ich mich wieder abmelde, auf der Seite bleibe und erneut anmelde, besteht die ganze Zeit eine sichere Verbindung.

Soll das so sein?

 

 

 

Was hat es denn so teuer und kompliziert gemacht bzw. was ist passiert, dass dies jetzt nicht mehr der Fall ist? Ich bin da der totale Laie...

 

Das liegt wohl daran, dass du in deinem Verlauf noch die alte HTTP-Version gespeichert hast. Wenn du nicht explizit https://www.mtg-forum.de/ aufrufst, landest du bei der unsicheren HTTP-Version. Sobald die sichere Version problemlos funktioniert, werde ich aber eine Weiterleitung einrichten, die das automatisch korrigiert. Zur Zeit mache ich das lieber nicht, damit man z.B. bei Problemen wie mit dem Chat erst mal weiter HTTP benutzen kann.

 

 

Früher wurde SSL selten verwendet, weil es eine höhere Serverlast verursacht hat (die Verschlüsselung kostet CPU-Zeit), die notwendigen Zertifikate viel Geld gekostet haben (man muss eine jährliche Gebühr zahlen), die Browserunterstützung teilweise etwas problematisch war (viele Sicherheitswarnungen und kaputte Seiten) und Suchmaschinen wie Google da nicht immer richtig mit umgehen konnten. Das alles hat sich glücklicherweise inzwischen geändert!


Teuer: Relativ, günstigste Certs waren pro Jahr um die 100 Euro, wobei das in den letzten Jahren angezogen hat, dank Let's Encrypt gibt es aber nun auch komplett kostenlose SSL Certs

 

Kompliziert: Fand und finde ich eigentlich nicht kompliziert. Wobei das Mixed Content Problem, das auch aktuell besteht, da ggf. was anderes sagt.

 

Stichwort Mixed Content: Bilder in Signaturen sind mit http und werfen damit einen Fehler. Eventuell hier einmal komplett ausmisten und alle rauswerfen und dann in Signaturen nur noch https Links zulassen. Konkret HaVoV und Lazo, die auf dieser Seite hier angemeckert werden ;)

 

Wenn gewünscht, kann ich gerne auch mit helfen, hab beruflich genug Webserver zu betreuen und solange es Apache oder Nginx ist, ist beides bekannt.

 

Danke für das Angebot! Im Moment läuft alles endlich mal relativ rund (dank Sphinx und Memcached, die ich vor ein paar Wochen mal neu aufgesetzt hab) aber ich würde da in Zukunft sicher gerne noch mal drauf zurückkommen! :)

 

Zum Mixed Content: Ich hab eigentlich geguckt, dass alles Foreninterne (Markplatz-Banner, Smilies usw.) automatisch korrigiert wird, um das zumindest teilweise vermeiden. Wenn Leute externe Bilder (imgur etc.) per HTTP eingebunden haben, gibt es aber in der Tat diese Warnungen. Aber ich wüsste nicht, was ich dagegen machen könnte, ohne gleich die Signaturen zu entfernen. So lange es nur das kleine Symbol ist, das da in der Adressleiste angezeigt wird, sollte es ja hoffentlich auch kein sonderlich großes Problem sein...
 



#11 shecki Geschrieben 26. März 2017 - 22:49

shecki

    Bester Standard-Spieler 2020/2021

  • Mitglied
  • PIPPIPPIPPIP
  • 2.978 Beiträge

Doch Mixed Content ist ein Problem.

 

Zum Einen gibt es Browser-Einstellungen, die dann die Seite komplett verbieten, zum Anderen wertet es dich bei Google ab, sofern das für das Forum wichtig ist.

 

Wenn die Signaturen in einer Datenbank oder ähnliches stehen, könnte man ja drüber parsen und per sed alle http zu https machen (oder so ähnlich). Die meisten Links sollten dann immer noch funktionieren und dann dazu einen Signatur-Prüfer, der hoffentlich out of the Box verfügbar ist und nicht erst gecodet werden muss.



#12 ElAzar Geschrieben 26. März 2017 - 22:50

ElAzar

    Big Furry Monster

  • Ex-Moderator
  • PIPPIPPIPPIPPIP
  • 7.744 Beiträge
Im Chat haben User gesagt, dass sie ihre PMs nicht via https öffnen/lesen konnten.
Hab dich vor ein paar Tagen kontaktiert, wir brauchen ein neues Unterforum in der Rumormill und der zweite INN Block kann archiviert werden.

Eingefügtes Bild


#13 Nils Geschrieben 26. März 2017 - 22:57

Nils

    .

  • Administrator
  • PIPPIPPIPPIPPIP
  • 7.148 Beiträge

Doch Mixed Content ist ein Problem.

 

Zum Einen gibt es Browser-Einstellungen, die dann die Seite komplett verbieten, zum Anderen wertet es dich bei Google ab, sofern das für das Forum wichtig ist.

 

Wenn die Signaturen in einer Datenbank oder ähnliches stehen, könnte man ja drüber parsen und per sed alle http zu https machen (oder so ähnlich). Die meisten Links sollten dann immer noch funktionieren und dann dazu einen Signatur-Prüfer, der hoffentlich out of the Box verfügbar ist und nicht erst gecodet werden muss.

 

Hmm, was ist deine Quelle dafür? Ich hab gerade noch mal etwas geguckt, und alle Kommentare, die ich dazu finden kann, sagen, dass das Ranking nicht von Mixed Content beeinflusst wird (z.B. hier und hier).


Im Chat haben User gesagt, dass sie ihre PMs nicht via https öffnen/lesen konnten.
Hab dich vor ein paar Tagen kontaktiert, wir brauchen ein neues Unterforum in der Rumormill und der zweite INN Block kann archiviert werden.

 

Hmm - kannst du sie mal bitten, hier mehr Details dazu zu posten? Bei mir scheint alles zu gehen.

 

 

Zu dem Rest hab ich von dir keine Nachricht bekommen (ist aber auch der falsche Thread hier). Kannst du da noch mal nachgucken?



#14 shecki Geschrieben 26. März 2017 - 23:02

shecki

    Bester Standard-Spieler 2020/2021

  • Mitglied
  • PIPPIPPIPPIP
  • 2.978 Beiträge

Interessant, ich bin mir recht sicher, dass mal anders gelesen zu haben, aber das Google Statement dazu ist recht eindeutig, ergo da kein Problem.

 

Dennoch ist es eine Warnung, die nicht jeder versteht und die Leute vertreiben kann, wenn da steht "Seite unsicher".



#15 Lee Geschrieben 28. März 2017 - 12:13

Lee

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 1.637 Beiträge

Seit der Umstellung laden bei mir die Notifications nicht mehr:

 

yycadylc.png

 

Der Fehler liegt eindeutig an meinem System, da ich mit allen HTTPS-Seiten/SSL massive Darstellungsschwierigkeiten habe, die ich mit sämtlichen Browsern reproduzieren kann. Trotz tagelanger Suche in Foren und Änderung aller denkbaren Internet- und Routereinstellungen sowie Neuinstallationen von Programmen und Plugins bleibt das Problem bestehen. Hat jemand eine Idee, woran das liegen könnte? Vielleicht lässt sich ja anhand der nun bei mir defekten Notification-Funktion der Fehler eingrenzen?


Edit: Ad- und Skriptblocker sind natürlich deaktiviert.



#16 Assimett Geschrieben 28. März 2017 - 13:10

Assimett

    Little Furry Monster

  • Moderator
  • PIPPIPPIPPIPPIP
  • 14.719 Beiträge
Das Problem habe ich aber auch zeitweise. Und ich kann von der Startseite aus meinen Status nicht aktualisieren.
Lieber gut geleckt, als nicht geschleckt

formerly known as Mett v. Schleck

#17 Fallen Azrael Geschrieben 28. März 2017 - 13:12

Fallen Azrael

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 1.660 Beiträge
Hatte ich heute morgen auch. Hab dann festgestellt, dass ich nicht die https sondern noch http geladen hab. Eine Korrektur der Adresse (und meiner Verknüpfung) hat das Problem behoben.

Keine Ahnung, ob du das schon kontrolliert hast, geht aus deinem Post nicht hervor.

Mit freundlichen Grüßen,
Fallen Azrael

____________________________________________________
"Über 'besorgte Bürger' wusste er Bescheid. Wo auch immer sie sich aufhielten: Sie sprachen immer die gleiche private Sprache, in der 'traditionelle Werte' und ähnliche Ausdrücke auf 'jemanden lynchen' hinausliefen."
- Terry Pratchett (*1948 †2015), Die volle Wahrheit, 2000                                     

 


#18 Lee Geschrieben 28. März 2017 - 13:15

Lee

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 1.637 Beiträge

Oh Mann, danke. Das hat meine Probleme zumindest in diesem Forum behoben.

 

Edit: Und endlich auch meine übrigen HTTPS-Probleme gelöst. Schuld waren die DNS-Hauseinstellungen meines Routers, der verwendet woh nochl eine alte Datenbank. Wer zufällig mal ähnliche Probleme hat, einfach auf OpenDNS umsteigen, dauert zwei Minuten.


Bearbeitet von Lee, 28. März 2017 - 14:08.


#19 Hanmac Geschrieben 28. März 2017 - 13:15

Hanmac

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 1.093 Beiträge
Putrid Warrior

"Karte im Gatherer anzeigen" Funktioniert nicht mehr wie es sollte. (Zeigt nichts an)

Ich vermute das hat was mit der https Änderung zu tun.

#20 Comanche RAH-66 Geschrieben 28. März 2017 - 14:56

Comanche RAH-66

    Erfahrenes Mitglied

  • Mitglied
  • PIPPIPPIPPIP
  • 2.751 Beiträge

Seit der Umstellung laden bei mir die Notifications nicht mehr:

 

yycadylc.png

 

Der Fehler liegt eindeutig an meinem System, da ich mit allen HTTPS-Seiten/SSL massive Darstellungsschwierigkeiten habe, die ich mit sämtlichen Browsern reproduzieren kann. Trotz tagelanger Suche in Foren und Änderung aller denkbaren Internet- und Routereinstellungen sowie Neuinstallationen von Programmen und Plugins bleibt das Problem bestehen. Hat jemand eine Idee, woran das liegen könnte? Vielleicht lässt sich ja anhand der nun bei mir defekten Notification-Funktion der Fehler eingrenzen?


Edit: Ad- und Skriptblocker sind natürlich deaktiviert.

 

Ich habe das selbe Problem. Ich muss jedesmal ein neues Tab öffnen.


feedback-16912.png 230_small.png




© 2003 - 2016 | @MTG_Forum auf Twitter | MTG-Forum.de auf Facebook | Impressum | Disclaimer/Datenschutz | Magic-Markt | DeckStats
Diese Webseite steht in keiner Verbindung zu Wizards of the Coast, Inc. oder Hasbro, Inc. Magic: The Gathering ist ein eingetragenes Warenzeichen von Wizards of the Coast, Inc, einem Tochterunternehmen von Hasbro, Inc. Alle Rechte an den Kartennamen, dem Tap-Symbol, den Mana-Symbolen und den Editions-Symbolen liegen bei Wizards of the Coast, Inc. Alle Rechte an Bildern liegen bei dem jeweiligen Künstler oder Wizards of the Coast, Inc. Alle Rechte vorbehalten.