CF4 Informationen

 
OWS
Benutzer
Avatar
Geschlecht:
Herkunft: Niedersachsen
Homepage: oetjen-webservice.…
Beiträge: 305
Dabei seit: 03 / 2006
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 26.01.2017 - 14:49 Uhr  ·  #17
Alles gut Chris. ;-)

Mach du in aller Ruhe das CF4 und was sonst noch benötigt wird, fertig. Es kommt da für mich nicht auf ein paar Tage oder Wochen an.

Ich schreibe dich dann auf jeden Fall vor dem Kauf noch mal via PN an. Danke für das nette Angebot!
Cold
Benutzer
Avatar
Geschlecht:
Alter: 36
Homepage: luftraumexperten.d…
Beiträge: 791
Dabei seit: 09 / 2005
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 27.01.2017 - 13:15 Uhr  ·  #18
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17610
Dabei seit: 12 / 2003
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 27.01.2017 - 13:50 Uhr  ·  #19
Hi Martin,

SSL/TLS/HTTPS ist eine Serversache, keine Scriptsache - anders ausgedrückt: Du kannst selbst das CF3 schon in einer https Umgebung laufen lassen. In der Allgemeinen Konfiguration bei den Domainsettings kannst Du umschalten, ob er die Weiterleitungen auf http oder https machen soll.

Allerdings auch wenn ich ein großer Sicherheitsfan bin (und ja auch selbst auf cback.de für Kundenmanager und Lizenzkauf https erzwinge) macht es meiner Ansicht nach keinen wirklichen Sinn ein normales (nicht kritisches (!!)) Forum auf https laufen zu lassen. Du müsstest dann nämlich konsequenterweise alle Einbettungs-BBCodes deaktivieren (Sprich: Bilder, Audio, Video). Ansonsten wäre es so, dass Du eine Warnmeldung "diese Seite enthält sichere und unsichere Elemente" bekommst, sobald ein User ein Bild von einer non-https Seite einbettet oder von einer https Seite, die kein gültiges Zertifikat (mehr) hat, was durchaus auch häufig vorkommt.

In einem Forum in dem solche Einbettungen erlaubt sein sollten wäre das für die User also dann eher chaotisch und verwirrend finde ich. Wichtiger wäre da, dass sie auf einem Forum wirklich nur ein Passwort verwenden, welches sie auf anderen (kritischen Seiten wie Online Shopping, Banking, etc.) nicht nochmal verwenden. (Das sollte man generell so machen, nie ein Passwort Zweitzuverwerten). Weil selbst wenn Du die User zwingen würdest nur noch https Bilder zu teilen: Kaum verbockt mal eine externe Seite was mit ihrem Zertifikat oder hat nicht mal eins oder ein abgelaufenes, schon bekommst Du Warnmeldungen auf Deiner Seite. Und Einbettungen gänzlich auszuschalten und nur noch das eigene Attachment System zu benutzen ist ja gerade in einem Forum auch nicht immer so der bringer; vom zusätzlich verbrauchten Webspace mal ganz zu schweigen.


Aber klar wenn es Deine Wahl ist, kannst Du sowohl ein CF3 als auch das CF4 unter https laufen lassen. Wie gesagt das ist eine serverseitige Sache. :)

LG,
Chris



Kleiner Nachtrag zu diesem Thema
cf4-informationen-p161020.html#real161020
OWS
Benutzer
Avatar
Geschlecht:
Herkunft: Niedersachsen
Homepage: oetjen-webservice.…
Beiträge: 305
Dabei seit: 03 / 2006
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 27.01.2017 - 14:21 Uhr  ·  #20
Zum Thema https möchte ich noch folgendes anmerken.

Sicherlich hat Chris recht mit dem was er schreibt. Werden Inhalte von nicht verschlüsselten Seiten in das Forum eingebunden, gibt es eben eine Warnung. Das kann schon nervig sein.

Andererseits wertet Google https-verschlüsselte Seiten besser als Seiten ohne Verschlüsselung. Und die meisten Bilderhoster die man so im Netz findet nutzen bereits https-Verschlüsselung. Google und seine Ableger YouTube sowieso! Von daher würde ich jedem der ein neues Forum erstellt anraten das ganze mit einem SSL Zertifikat auszustatten und auf eine sichere Übertragung zu setzen.

Anders sieht der Fall aus wenn man sein Forum schon eine längere Zeit betreibt. Da werden sich sicher viele Links zu Bildern, Videos etc. in der Datenbank finden, die auf normale http-Seiten verweisen. Das ganze dann zu suchen und zu beheben/umzustellen wäre eine Herkulesaufgabe. Da sollte man vorher genau überlegen ob man sich das antun möchte.

Fazit
Neues Forum - SSL JA!
Altes Forum - SSL eher nicht wegen der bereits vorhandenen http-Links
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17610
Dabei seit: 12 / 2003
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 27.01.2017 - 14:46 Uhr  ·  #21
Japp sehr gute Anmerkung, dem kann ich so auch nur zustimmen!

Allerdings sollte dann auch bei neuen Foren u.U. ein höherer Moderationsaufwand betrieben werden, sofern man die Einbettungscodes weiterhin aktiv lässt: Denn selbst wenn man per Plugin oder im BBCode Panel die Einbettungscodes so konfiguriert, dass sie wirklich nur noch https:// Links akzeptieren, dann kann es natürlich immer noch passieren, dass ein User sich (beabsichtigt oder nicht) eine Seite mit ungültigem oder keinem Zeritifikat aussucht, einfach einen https Link setzt und dann in Threads für Warnmeldungen der Anwenderbrowser sorgt.

Solange das Web nicht flächendeckend 100% auf https läuft und jede Seite/Server ein Zertifikat besitzt kommt man da nicht drumrum. Also müssten die Mods in dem Forum dann auf sowas die Augen werfen und ggf. Beiträge zu ungültigen Seiten korrigieren wenn sie (frisch) auftauchen. So Seiten wie Facebook laden ja deshalb praktisch jedes Bild hoch oder hosten das sogar selbst - womit wir aber wieder beim Thema Webspace wären. Bei Privatseiten wäre da der Server sicher schnell gefüllt und zusätzlich bekommt man u.U. noch Probleme mit Urheberrecht weil man ja mit dem herunterladen und selbst hosten ein duplikat einer Datei erstellt.

In den Signaturen der Benutzer würde ich allerdings in so einem Fall trotzdem die Bild-BBCodes ausschalten (das kann man ja mit dem CF3 und dem CF4 auch getrennt steuern, welche BBCodes im Forum und in der Signatur erlaubt sind). Weil mit einem fehlerhaften Bild in der Signatur eines sehr aktiven Users kann man sonst schon für ein bisschen Unruhe in einem Forum sorgen. ;)

LG,
Chris



Kleiner Nachtrag zu diesem Thema:
cf4-informationen-p161020.html#real161020
Cold
Benutzer
Avatar
Geschlecht:
Alter: 36
Homepage: luftraumexperten.d…
Beiträge: 791
Dabei seit: 09 / 2005
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 01.02.2017 - 15:26 Uhr  ·  #22
Hi,
danke für die konstruktiven Antworten! Aktuell sieht es so aus, dass ich meine Luftraumexperten mangels Aktivität wohl schließe. Dafür werde ich mit meinem Schueler-Talk von phpBB zum CF4 umziehen. Dieses Forum ist zwar auch nicht sonderlich aktiv hinsichtlich neuer Beiträge, hat aber noch eine breite Leserschaft (Google-Suche sei dank). Da eben von dort die meisten Leser kommen, möchte ich natürlich möglichst gut gerankt werden. Dafür möchte ich auf https wechseln und nehme im Gegenzug gerne in Kauf, dass http-Links in den teils sehr alten Beiträgen nicht mehr funktionieren.

Wie ist das denn mit (geshorteten) Adsense-Links von Amazon? Die funktionieren dann noch, oder?

Gruß
Martin
Fragz
koffeeinsuechtiger coding freak
Avatar
Geschlecht:
Herkunft: Neuss
Alter: 38
Homepage: fragz.de
Beiträge: 2217
Dabei seit: 03 / 2008
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 01.02.2017 - 16:17 Uhr  ·  #23
Links sind nicht das Problem und laufen weiterhin 1A unter SSL.
Problematisch wird es erst wenn etwas externen eingebunden wird was kein SSL hat wie zb. youtube, css, js, iframes etc.

Code
<link rel="stylesheet" href="./templates/mira/css/global.min.css?cfvtag=400" media="screen" />
<link rel="stylesheet" href="https://domain.de/script.css" media="screen" />


so wie

Code
<a href="http://domain.de">domain.de</a>


laufen ohne Problem.

Code
<link rel="stylesheet" href="http://domain.de/script.css" media="screen" />

Dies schon da etwas externen zum Ausführen ohne https geladen wird. Im Schlimmsten Fall erhalten deine User eine Fehlermeldung über Maleware
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17610
Dabei seit: 12 / 2003
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 02.02.2017 - 14:11 Uhr  ·  #24
Huhu,

Fragz hat im Grunde schon alles richtig gesagt aber noch als kleine Zusatzinfo vielleicht zum besseren Verständnis:

Was den Source angeht brauchst Du Dir eigentlich wirklich gar keinen Kopf zu machen, denn das CF4 bindet seine Resourcen da überall korrekt ein. Sobald man in der Domainkonfiguration auf https geht switcht sich da alles automatisch um.

Aber das kritische an Foren sind im Grunde die freien Einbettungs-BBCodes wie Bilder, Audio und Video (der YouTube BBCode läuft eh über https): Wenn man hier eine non-https Seite oder eine https Seite mit ungültigem Zertifikat erwischt geht es auf einer https Seite nicht nur nicht, sondern der Browser macht u.U. sogar komplett Dicht auf manchen Seiten und zeigt eine "Diese Seite enthält sichere und unsichere Elemente" Warnung an oder sogar diese berühmte "Kein oder ungültiges Zertifikat - ausnahmeregel hinzufügen" Seite an und man muss das dann explizit bestätigen die Seite trotzdem zu sehen. Diese Einbettungscodes nur auf https:// Links zu beschränken würde leider auch nicht helfen, denn ob das Zertifikat der Zielseite gültig ist oder nicht kann der BBCode damit nicht feststellen (Zertifikate können ja auch mal gültig sein und dann irgendwann später ablaufen). Einzige ganz sichere Abhilfe wäre es diese Einbettungscode komplett zu ersetzen und nur noch reine Verlinkungscodes draus zu machen - nur kann man dann natürlich keine Bilder mehr direkt in den Beiträgen einbinden (nur noch als Attachment hochladen). Also das muss man dann immer im Hinterkopf behalten, wenn man sich zu dem Schritt entscheidet ein Forum unter https laufen zu lassen in dem ja Beiträge auch von anderen Personen eingebunden werden können, die auf sowas vielleicht nicht achten.

Eine nicht direkt eingebettete Verlinkung ist also generell kein Problem (egal ob http oder https). Und die Amazon Sachen laufen auch eh verschlüsselt also das ist auch generell kein Problem.


LG,
Chris
Gewählte Zitate für Mehrfachzitierung:   0

Registrierte in diesem Topic

Aktuell kein registrierter in diesem Bereich

Die Statistik zeigt, wer in den letzten 5 Minuten online war. Erneuerung alle 90 Sekunden.