Loginseite unverschlüsselt?!?

Loginseite unverschlüsselt?!?

Beitragvon zardoz » So 26 Feb, 2017 23:33

Habe gestern mal etwas an den Browseroptionen gebastelt und dabei ist mir endlich aufgegangen, dass der Login im Forum, im Wiki, im Mantis und die Login-Seite im Spiel einfach per HTTP, also unverschlüsselt, aufgeliefert werden. D.h. so wie es ist, werden Username und Password im Klartext durch's Internet geschickt, da können sie praktisch an jeder Zwischenstelle, z.B. auch der eigenen Firewall, sofern man so etwas hat, oder in jedem Router irgendwo auf der Strecke mitgelesen werden, ohne speziellen Aufwand.

Könnte man nicht wenigstens die Startseiten per HTTPS liefern?
Danach kann ja auf HTTP umgeschaltet werden, um die Belastung für den Server klein zu halten, falls das ein Thema ist. (Dann sollte am besten das direkte Einloggen im Forum (unten auf jeder Seite, solange man nicht eingeloggt ist) entfernt und durch einen Link auf die Startsete ersetzt werden, aber das läuft schon unter zweitrangig.)

Wenn man das Forum explizit mit "https://forum.antamar-community.de/index.php" ansurft, meldet Firefox, dass die Webseite fehlerhaft konfiguriert ist (beim Mantis ist es genauso), wenn man das unsichere Zertifikat akzeptiert, wird man wieder auf die HTTP-Variante zurückgeleitet - vielleicht ist da mal ein Versuch in der Richtung gemacht worden?

Falls es an (abgelaufenen) Zertifikaten bzw. den Kosten dafür liegt - seit Nov. letzten Jahres gibt es "Let's Encrypt" (https://letsencrypt.org/getting-started/) - habe da gerade etwas gelesen, das sieht ziemlich einfach und trotzdem sicher aus, kann das ohne eigenen Web-Service aber nicht komplett bis zu Ende durchprobieren. Da kosten die Zertifikate: Nichts.
Spoiler:
Die Vorteilnahme aus mehreren Accounts war schon immer untersagt, war das zu kontrollieren? Keine Ahnung, wenn ja, warum etwas ändern, es kann unterbunden werden. Wenn nein, warum etwas ändern, es kann nicht unterbunden werden. Wer macht ein Verbot nötig? Die die sich nicht an die Regeln halten. Wer wird von einem Verbot nicht betroffen werden? Die die sich nicht an die Regeln halten.
- Abkopiert aus Angroschas Signatur. Warum? Weil nichts richtiger sein könnte und das wohl öfter wiederholt werden muss. -
Auch diese Signatur ist DRM-frei
Benutzeravatar
zardoz
Foren-Moderator
Foren-Moderator
 
Beiträge: 1027
Registriert: So 28 Jun, 2009 05:35
Wohnort: München
Heldenname: A'ahn Loanderium, 'aach & 'gurch Uluugherai
Mitglied bei: DHB

Re: Loginseite unverschlüsselt?!?

Beitragvon Gaddezwerch » Mo 27 Feb, 2017 07:47

Ja sollten wir mal machen.
Als ich mir das letzte Mal https angeschaut hatte war es noch nicht für jedermann so einfach/günstig zu bekommen.
:meidetdasorkland: <-- Das meine ich ernst! Wirklich!
Gaddezwerch
Programmierer
Programmierer
 
Beiträge: 5133
Registriert: Fr 18 Mai, 2007 00:04
Heldenname: Alos Traken

Re: Loginseite unverschlüsselt?!?

Beitragvon Gaddezwerch » Sa 04 Mär, 2017 14:58

So, die Spieleseiten werden jetzt per HTTPS ausgeliefert.

Solltet ihr irgendwelche Probleme haben (Bilder nicht dargestellt, Seiteninhalte nicht angezeigt, o.ä.), bitte sofort melden.
:meidetdasorkland: <-- Das meine ich ernst! Wirklich!
Gaddezwerch
Programmierer
Programmierer
 
Beiträge: 5133
Registriert: Fr 18 Mai, 2007 00:04
Heldenname: Alos Traken

Re: Loginseite unverschlüsselt?!?

Beitragvon Kekse » Sa 04 Mär, 2017 15:17

Finde ich sehr begrüßenswert, Fehler sehe ich bis jetzt noch keine, aber beim Wiki scheint sich ja einiges geändert zu haben.
Helfe gerne bei der Erstellung von ZB und hinterlasse noch viel lieber meine Unterschrift zur Abnahme im Wiki!
Kekse
Feldwebel
Feldwebel
 
Beiträge: 499
Registriert: Mi 02 Sep, 2015 01:03
Heldenname: Iain Macfarland

Re: Loginseite unverschlüsselt?!?

Beitragvon Gaddezwerch » Sa 04 Mär, 2017 15:48

Das Wikiupdate kam quasi on top.
Hier gilt auch: Wenn irgendwas nicht mehr passt, bitte Bescheid geben.
Das Syntax Highlighting für die XML-Sachen (alt: <code xml n>) kann ich leider nicht mehr korrigieren - das war schon bei den letzten Updates veraltet und ist jezt tnicht mehr kompatibel - bitte in Zukunft
Code: Alles auswählen
<syntaxhighlight lang="xml">
...
</syntaxhighlight>

verwenden (Beispiel: hier).
:meidetdasorkland: <-- Das meine ich ernst! Wirklich!
Gaddezwerch
Programmierer
Programmierer
 
Beiträge: 5133
Registriert: Fr 18 Mai, 2007 00:04
Heldenname: Alos Traken

Re: Loginseite unverschlüsselt?!?

Beitragvon zardoz » Sa 04 Mär, 2017 15:56

ohhh :)

Spiel: Alles gut, soweit.

Forum: Unverändert, kommt noch?

Wiki: hmm, die externen Inhalte (Youtube) brauchen jetzt eine extra-Erlaubnis für Scripte, dann laufen sie wie vorher. Gefällt mir :D

Mantis: Auch noch unverändert. Kommt noch?

Das ging doch gut! Scheint auch nicht langsamer geworden sein. Cool!
Der Neugier halber: Merkt man die höhere Belastung auf der Serverseite irgendwie?
Spoiler:
Die Vorteilnahme aus mehreren Accounts war schon immer untersagt, war das zu kontrollieren? Keine Ahnung, wenn ja, warum etwas ändern, es kann unterbunden werden. Wenn nein, warum etwas ändern, es kann nicht unterbunden werden. Wer macht ein Verbot nötig? Die die sich nicht an die Regeln halten. Wer wird von einem Verbot nicht betroffen werden? Die die sich nicht an die Regeln halten.
- Abkopiert aus Angroschas Signatur. Warum? Weil nichts richtiger sein könnte und das wohl öfter wiederholt werden muss. -
Auch diese Signatur ist DRM-frei
Benutzeravatar
zardoz
Foren-Moderator
Foren-Moderator
 
Beiträge: 1027
Registriert: So 28 Jun, 2009 05:35
Wohnort: München
Heldenname: A'ahn Loanderium, 'aach & 'gurch Uluugherai
Mitglied bei: DHB

Re: Loginseite unverschlüsselt?!?

Beitragvon Gaddezwerch » Sa 04 Mär, 2017 16:18

Nö, bisher nicht. Die Belastung kommt aber so oder so durch die Anzahl der aktiven Nutzer und da sind wir ja von alten Rekorden weit entfernt :-)

Mantis und Forum konnte ich jetzt auch umstellen.
:meidetdasorkland: <-- Das meine ich ernst! Wirklich!
Gaddezwerch
Programmierer
Programmierer
 
Beiträge: 5133
Registriert: Fr 18 Mai, 2007 00:04
Heldenname: Alos Traken

Re: Loginseite unverschlüsselt?!?

Beitragvon zardoz » Sa 04 Mär, 2017 16:52

Gaddezwerch hat geschrieben:Nö, bisher nicht. Die Belastung kommt aber so oder so durch die Anzahl der aktiven Nutzer und da sind wir ja von alten Rekorden weit entfernt :-)
Ah, gut....naja, eigentlich nicht sooo gut... das mit den Rekorden, jetzt.

Gaddezwerch hat geschrieben:Mantis und Forum konnte ich jetzt auch umstellen.
Gerade bemerkt - Wow! Der Fortschritt ist nicht aufzuhalten.

(Was ist eigentlich der deutsche Ausdruck für "Yay!"?)
Spoiler:
Die Vorteilnahme aus mehreren Accounts war schon immer untersagt, war das zu kontrollieren? Keine Ahnung, wenn ja, warum etwas ändern, es kann unterbunden werden. Wenn nein, warum etwas ändern, es kann nicht unterbunden werden. Wer macht ein Verbot nötig? Die die sich nicht an die Regeln halten. Wer wird von einem Verbot nicht betroffen werden? Die die sich nicht an die Regeln halten.
- Abkopiert aus Angroschas Signatur. Warum? Weil nichts richtiger sein könnte und das wohl öfter wiederholt werden muss. -
Auch diese Signatur ist DRM-frei
Benutzeravatar
zardoz
Foren-Moderator
Foren-Moderator
 
Beiträge: 1027
Registriert: So 28 Jun, 2009 05:35
Wohnort: München
Heldenname: A'ahn Loanderium, 'aach & 'gurch Uluugherai
Mitglied bei: DHB

Re: Loginseite unverschlüsselt?!?

Beitragvon Nicrozon » Mo 06 Mär, 2017 22:37

zardoz hat geschrieben:(Was ist eigentlich der deutsche Ausdruck für "Yay!"?)

"Juchu!" würde ich sagen.
https://www.grimoires.de - Fantasyrezensionen
Nicrozon
Ordenskrieger
Ordenskrieger
 
Beiträge: 378
Registriert: Fr 26 Apr, 2013 23:53
Heldenname: Nicron Mittler


Zurück zu Antamar®-Archiv



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

cron