Die Anmeldung bei TeXwelt läuft derzeit über unverschlüsseltes HTTP. Das bedeutet, dass jeder Punkt in der Route von meinem Rechner zur TeXwelt den Username und vor allem das Passwort im Klartext mitlesen kann (wenn ich mich einlogge).

Früher war es noch eine Kostenfrage, ob man sich ein Zertifikat zulegen will. Heutzutage gibt es mit Let's Encrypt jedoch eine kostenfreie Zertifizierungsstelle. Let's Encrypt bietet auch eine Software an, welche sich in den Apache-Webserver einklinkt und das Zertifikat vor Ablauf automatisch erneuert.

Daher halte ich eine Umstellung auf HTTPS für sinnvoll.

Dieser Frage ist "Community Wiki" markiert.

gefragt 08 Jul '16, 09:15

Henri's gravatar image

Henri
15.7k133943
Akzeptiert-Rate: 46%

bearbeitet 08 Jul '16, 13:24


SSL ist nun mit LetsEncrypt-Zertifikat aktiviert und HTTP auf HTTPS umgeschrieben. Wenn Zugriffsprobleme oder anderes (mixed content, Sicherheits-Warnungen) auftauchen, sagt gern Bescheid.

Z.B. muss ich noch die mit http eingebundenen Bilder in der Beiträge-Datenbank zu https ändern, die html-Versionen sind generiert und aus Geschwindigkeits-Gründen statisch in der DB.

Permanenter link

beantwortet 24 Feb '18, 18:51

stefan's gravatar image

stefan ♦♦
18.3k163148
Akzeptiert-Rate: 50%

bearbeitet 24 Feb '18, 22:33

1

Sehr schön. Vielen Dank!

(24 Feb '18, 23:48) Henri

Super. Das TeXnique-Bild ist noch ein http-Link: http://latex-community.org/images/texnique.png. Das sorgt für eine Warnung in Firefox auf der Startseite https://texwelt.de/wissen/. Sobald man auf Fragen klickt oder sich auf Anmelden, ist alles in Ordnung. Du kannst den Link vermutlich einfach in https://latex.org/images/texnique.png ändern.

(27 Feb '18, 10:42) saputello

@saputello Danke, ist geändert!

(27 Feb '18, 12:03) stefan ♦♦

Es gibt immer noch Herausforderungen:

  • Kostenfrage: ja, auch wenn es vereinzelte kostenfreie Möglichkeiten gibt: der kostenfreie Anbieter muss irgendwie auch Geld verdienen; und bei kostenlosem Service riskiert die Website dass es mal eingestellt wird. Kostenlose Sachen werden auch am ehesten in Masse für nichtseriöse Sachen verwendet, womit das Vertrauen in den Zertifizierungsstelle sinkt. Soll nur heißen: Qualität und Akzeptanz kostet noch etwas zur Zeit.

  • Performance: kein Caching mehr, erhöhte CPU-Last durch Verschlüsselung statt simpler Auslieferung (damit teurerer Server nötig)

  • IP-Problem: virtuelle Server sind ein Problem für HTTPS. Von apache.org: "it is impossible to host more than one SSL virtual host on the same IP address and port". Ich bezahle dem Provider zusätzlich zu Servern pro IP monatlich einen Eurobetrag (plus mtl. 15,- Euro für das "Feature" mehrere IPs haben zu dürfen).

  • Nutzer-Irritation: wenn die Zertifizierungsstelle nicht by default im Betriebssystem X Version Y enthalten ist, erhält der Nutzer eine Sicherheitswarnung, Voreinstellung ist Verlassen der Seite. Ähnlich, wenn Teile der Seite (Bilder (etwa extern liegende) oder js oder css) noch per http kämen, das muss man konsistent machen.

Mit 2 Miet-Servern für TeX-Foren, Blogs und TeX-Seiten und deren Domains, DNS-Einträgen und IPs sind es bisher schon ca. 200,- Euro monatlich, daher wird es mit Mehrkosten für Zertifikate und IPs schwierig. DANTE hat die Serverkosten freundlicherweise seit Mai 2015 für 1 Jahr komplett gefördert, eine Verlängerung war bislang noch nicht konkret im Gespräch.

Dennoch, an Kosten soll es nicht scheitern: wenn jemand Zertifikat und Webserver passend einrichten kann, kriegt er gern SSH-Zugang zum Server von mir und es kann sofort umgesetzt werden. Es ist auf in meinem Plan, es selber einzurichten, momentan noch nicht möglich, so wie sich die HTTPS-Unterstützung entwickelt sollte es aber auch rasch noch einfacher werden, es umzusetzen.

Aktuell gilt halt noch: für ein Webforum ein Passwort verwenden, dass man nicht anderswo einsetzt (keinen PIN-Code etc.). Passwörter sind verschlüsselt gespeichert, doch es könnte ja jemand im Internet mitsniffen: wer Deinen Rechner hackt (dann ist's eh verloren...), wer den Server hackt, wer in Deinem lokalen Netzwerk ist oder zum Provider-Pfad Zugang hat. Die Schwelle ist hoch, und der Lohn? Keine Kreditkartendaten hier oder Fotos o.ä. Das vllt. einzig persönliche hier ist noch die Email-Adresse, die haben Spammer vllt. schon leichter gekriegt als sich mit einem gesnifften Passwort einzuloggen. Noch keine Krise, denke ich. Personenbezogene Hacks durch Abhören, worum es hier geht, sehe ich eher bei Promis oder tatsächlich sensiblen Daten und nicht in einem kleinen TeX-Diskussions-Forum. ;-) Gegen allgemeine Hacks musste ich mich tatsächlich trotz Sicherheitsmaßnahmen mehrfach konkret wehren, doch es ist nicht HTTPS, was gegen Angriffen auf Server und Softwaremodule hilft.

Und wie gesagt, meine vollste Unterstützung für HTTPS sobald als möglich.

Permanenter link

beantwortet 08 Jul '16, 20:20

stefan's gravatar image

stefan ♦♦
18.3k163148
Akzeptiert-Rate: 50%

bearbeitet 08 Jul '16, 20:39

Wie sieht's aus? https://letsencrypt.org/

(13 Jun '17, 01:00) Henri

@Henri LetsEncrypt verwenden wir schonmal bei https://texfragen.de. Man muss paar Sachen bedenken (wie hier und da) und es kann sein, dass man (als "neue" site) via google erstmal nicht mehr gefunden wird (was Stille bei neuen Posts bedeutet).

(13 Jun '17, 01:23) stefan ♦♦
1

Man kann Google darum bitten neu zu indizieren mit den Google Webmaster Tools. Zusätzlich sollte natürlich ein HTTP-Request auf HTTPS umleiten. Ansonsten gehen ja alle alten Links kaputt. In der Datenbank der TeXwelt selbst muss man halt einmal alle http:// durch https:// ersetzen (oder durch //, siehe Protocol-relative URL).

(13 Jun '17, 02:32) Henri
(13 Dez '17, 05:58) Henri

Wenn ich die DS-GVO, die am 25. Mai auch bei uns relevant wird, richtig verstehe, dann dürfen eigentlich persönliche Daten nur noch verschlüsselt übertragen werden. Das betrifft eigentlich alle Seiten, bei denen man sich mit Benutzernamen und Passwort einloggt oder auf denen persönliche Daten wie die E-Mail-Adresse übertragen werden. Ob die DS-GVO für eine Seite wie TeXwelt.de relevant ist, dürften irgendwann Gerichte klären, wenn die Abmahnwelle über das Internet herein bricht.

(21 Feb '18, 09:18) saputello

@saputello Völlig richtig, ist auch daher auf meiner Todo-List. https://latex.org z.B. schon umgestellt. Ich muss nur sicher sein, dass, wenn ich einen Server bearbeite, genug Zeit nach hinten raus da ist, um bei einem Problem mit webserver auch lösen zu können, daher stelle ich um sobald ich etwas Zeitreserve hab. Job und Leben...

(21 Feb '18, 12:23) stefan ♦♦
Ergebnis 5 von 6 show 1 more comments
Deine Antwort
Vorschau umschalten

Folgen dieser Frage

Per E-Mail:

Wenn sie sich anmelden, kommen Sie für alle Updates hier in Frage

Per RSS:

Antworten

Antworten und Kommentare

Markdown-Grundlagen

  • *kursiv* oder _kursiv_
  • **Fett** oder __Fett__
  • Link:[Text](http://url.com/ "Titel")
  • Bild?![alt Text](/path/img.jpg "Titel")
  • nummerierte Liste: 1. Foo 2. Bar
  • zum Hinzufügen ein Zeilenumbruchs fügen Sie einfach zwei Leerzeichen an die Stelle an der die neue Linie sein soll.
  • grundlegende HTML-Tags werden ebenfalls unterstützt

Frage-Themen:

×104

gestellte Frage: 08 Jul '16, 09:15

Frage wurde gesehen: 9,527 Mal

zuletzt geändert: 27 Feb '18, 12:03