Forum Update hat nicht geklappt

[Luegi]

Leider hat der Update der Forumssoftware gestern nicht geklappt. Wir sind wieder zurück auf dem letzten aktuellen Stand. Datenverlust haben wir/sollten wir keinen haben. Falls doch jemand etwas vermisst, ich habe ein Backup erstellt der Daten

[gartenbahn]

Schade

Doch beim Einloggen kommt jetzt stets eine Meldung, Seite nicht sicher, kein Sicherheitszertifikat.
Das war vorher nicht so.

Gruss Edy

[Marc Aranyossy]

Hallole

dann benutzt du bestimmt Firefox dieses kommt seit dem letzten Firefox update auch bei mir

grüße Marc

[Zoltan]

Hat nichts mit dem Forum sondern mit Firefox zu tun auf allen http (ohne s) seiten.

Kann man ausschalten im about:config bei

security.insecure_field_warning.contextual.enabled

LG Zoltan

[Luegi]

Das könnte sein, mein Safari meldet nichts

[Dualcore]

Hallo zusammen

Hat nichts mit dem Forum sondern mit Firefox zu tun

Das hat sehr wohl mit dem Forum zu tun. Da das Forum die Einlogdaten garnicht oder nicht richtig verschlüsselt überträgt. Dies ist ein Sicherheitsfeature welches vor Kompromittierung euer Passwörter schützt. Momentan macht das nur Firefox, Chrom wird aber in der nächsten Version nachziehen und dies ebenfalls machen. Die anderen Browser werden wahrscheinlich auch nachziehen.

Damit diese Warnung nicht mehr erscheint, muss der Betreiber der Webseite (in diesem Falle des Forums) Handeln.

Gruss Dualcore

[Zoltan]

Hallo!

...der Betreiber der Webseite (in diesem Falle des Forums)...

Das ist nicht so einfach, denn das ganze hat nicht direkt mit dem Forum zu tun, sondern damit, dass der Forummotor, wo unser Forum gehostet wird, genauso wie noch sehr viele andere Webseiten auch, nicht verschlüsselt daherkommt. Und genau in diesem Falle eines Open Hosted Forums ist der "Forumbetreiber" nicht identisch mit dem "Forensoftwerbetreiber". Das halte ich für wichtig zu erwähnen, damit nicht der Eindruck erweckt wird, dass unser Forumadmin da plötzlich an etwas Schuld hätte.

Diese "unsicherheit" ist übrigens schon immer überall dort da gewesen, wo die Adresse nicht mit ""https" sondern mit nur "http" anfängt, sprich der Server kein SSL über Port 443 spricht, sondern "offen" über Port 80 "servt ".

Nur weist FF eben auf diese "unsicherheit" neuerlich ausdrücklich hin.
Ist eigentlich eher nervig (wer über http fährt, weiß das sowoeso oder sollte es wenigstens wissen), daher kann man den Hinweis auch ausschalten.
Dieser Hinweis schützt übrigens nicht vor Kompromittierung des Passwortes, es weist nur auf die Möglichkeit der Kompromittierung hin.
Vor Kompromittierung schützt nur, wenn man das Passwort hier nicht eingibt.

Natürlich wäre anzustreben, über https zu fahren, und ich bin mir auch sicher, dass sofern das möglich ist, wird unser Admin das auch anstreben.

Nachdem aber hier nicht die allerheiligsten Geheimnisse herumgepostet werden (und die Beiträge sowieso ohne Anmeldung auch lesbar sind), halte ich die "unsicherheit" hir für eher unbedeutend.

LG Zoltan

[Dualcore]

Es weisst darauf hin. Richtig, trotzdem ist es ein Sicherheitsfeature.

Wenn der Hinweis beim einloggen der Bank kommt, dann kann ich zu 99,9999% sicher sein, das ich mich auf einer Fake Site befinde (darum immer das Schloss Kontrollieren). Oder bei dieser Bank schaffen nur unglaubliche Dilettanten.
Andererseits gibt es auch immer noch Webshops welche die Kreditkartendaten unverschlüsselt übertragen und speichern. Diese werden jetzt zum Glück abgestraft.

Und auch bei einem einfachen Forum habe ich auch ein Interesse daran, das auch dieses Forum meine einloggten nicht im Klartext übermittelt. Stichwort, selber Login Name, selbes Passwort bei verschiedenen Seiten. Für einfache Sachen wie ein Forum oder sonstiges Zeugs welches keine heiklen Daten überträgt verwende ich zwei bis drei verschiedene Standartpasswörter, trotzdem habe ich keine Lust, das es so einfach ist an die Logins zu kommen und ich für jede Seite ein eigenes Passwort merken muss.

Gruss Dualcore

[Zoltan]

Hast grundsätzlich Recht - aber das war bisher nicht anders!
Das war schon immer so!
Nur eben haben die Leute es bisher nicht gewusst (oder gewusst aber ignoriert).

Die einzige Möglichkeit hier sicher zu bleiben ist, dass man dann eben auf solchen Seiten nicht unterwegs ist.
Wenn der Forum nicht https kann, aber du nur https haben willst, dann musst du auf dem Forum verzichten.
Und das wäre hier IMHO Kanone auf Spatz.

Nachdem man auch ohne Einloggen als unbekannter sowieso alles, was du hier einstellst, sehen kann, ist es IMHO praktisch fast egal.

Bei einer Bankseite oder so ist das natürlich auch anders.
Obwohl abhängig von der Verschlüsselung auch das mehr oder weniger leicht knackbar ist, da sogar in den Verschlüsselungssoftwares von Mal zu Mal diverse Hintertüren zB eingebaut sind, damit Regierungen usw das knacken können (und damit können es Hacker und Terroristen auch).
Aber ich will hier kein Internet Security Forum aufreissen.

Fakt ist:
Das Passwort in diesem Forum ist leichter stehlbar, wie bei anderen Webseiten.
Diese Webseite ist (IMHO) weniger sensibel, wie andere.

Jeder muss selber entscheiden, ob er weitermacht.

Und es wäre natürlich schöner mit https.

Mal sehen, was erreicht werden kann.

LG Zoltan