Ich muss diesen Thread jetzt mal wieder ausgraben, weil ich bezüglich https noch einen kleinen Nachtrag und gute Neuigkeiten bzw. einen kleinen "Teaser" für Euch habe:
Wie ich zuvor schon in diesem Thread geschrieben habe bin ich ja ein bekannter Sicherheitsfan, aber natürlich auch jemand, der seine Software immer auch anwenderfreundlich gestalten möchte und Leute ungerne in offene Messer rennen lasse, was gerade beim Thema https oftmals passiert: Bestehende Foren kriegen aktuell eben Probleme mit Einbettungen und vielleicht eigenen Codeänderungen mit fixen Links. Und bei einfachen Versuchen das Thema zu umgehen mutet man ihnen entweder höheren Traffic oder Webspeicherverbrauch zu oder sorgt sogar dafür, dass die Foren nicht mehr richtig funktionieren. Kurz gesagt: Es ist ein Thema, bei dem man die Vor- und Nachteile sehr gut abwägen muss.
Aber jetzt kommen ein paar gute Nachrichten zum nächsten / ersten CF4 Update:
Wie Ihr wisst ist das CF4 ansich ja vollständig https kompatibel, also müssen nur bei eigenen(!) Codeänderungen die Seitenbetreiber aufpassen, dass sie eigenen Code immer richtig einsetzen. Restproblem gerade bei schon lange bestehenden Foren sind ja zur Zeit ausschließlich die direkten Einbettungen (insbesondere Bilder) gewesen. Den BBCode nur für https Zulassen sorgt für Probleme auf Seiten, die ohne Zertifikat verlinkt werden und den Bilder-BBCode abschalten, nun, das ist ja auch keine so schöne Option.
Beim nächsten CF4 Update wird dahingehend aber ein neues Feature kommen, welches auch für Leute interessant ist, die nur einen Webspace und keinen eigenen Server besitzen (was auf das gros der CF User zutrifft):
Mit dem nächsten CF4 Update wird es eine Funktion geben, die bei HTTPS betriebenen Foren auch
bestehende nicht verschlüsselte Bild-Einbettungen tunneln kann, sodass sie nur verschlüsselt ausgeliefert werden. Dies wird mittels drei möglicher Optionen realisiert, die man im ACP auswählen kann:
- "reguläres Verhalten" macht die Bildercodes genau so, wie sie jetzt sind, beispielsweise bei unverschlüsselten Foren
- "automatisch konfiguriert" wird die Bild-Einbettungen (auch unverschlüsselte!) automatisch tunneln und verschlüsselt ausliefern. Hierzu sind
keine Änderungen auf der eigenen Seite notwendig! Außerdem werden Bilder nicht auf den eigenen Space heruntergeladen, sodass also auch Leute mit Traffic- oder Webspeicherlimits keine Verbrauchs- oder (zusätzliche) Urheberrechtsprobleme bekommen. Ferner bietet diese Option dann künftig auch die Möglichkeit bei älteren CF4 Foren mit unverschlüsselten eingebetteten Bildern in Beiträgen auf https umzustellen. (Dann wird entsprechend auch hier die CBACK Community umgestellt, die aktuell eben auch noch zu viele "Altlasten" mit sich bringt. CBACK.de bei Shop und der Kundenmanager läuft ja selbstverständlich schon über https). Das Tunneln wird über einen über Cloudflare angebundenen Service geschehen, sodass diese Option auch recht zuverlässig und schnell sein sollte.
- "eigene Konfiguration" erlaubt die Einrichtung eines
eigenen Bilder-Proxys für alle, die einen eigenen Server haben. Das erfordert dann mehr Konfiguration, ist aber nicht unbedingt nötig. Leute mit eigenem Server können so ggf. alles "intern" regeln und haben auch immer die Möglichkeit noch selbst eigene Lösungen im Forum zu nutzen, wenn gewünscht oder notwendig.
Außerdem werden eingebettete Audio- und Videodateien in einem externen Fenster geöffnet statt direkt im Beitrag angezeigt, sobald die Domainkonfiguration über "https://" läuft. Da sich Streams oft nur schwer tunneln lassen ist das für diese Mediencodes die Beste Option. YouTube läuft eh verschlüsselt, dieser BBCode ist davon also unberührt.
Diese Funktionen sind aktuell noch im Test und teilweise auch noch nicht ganz fertig, und bis zum ersten CF4 Update dauert es natürlich auch noch ein bisschen, aber ich wollte gerne an dieser Stelle schon mal ankündigen, dass es eben bald für das https Thema auch für "Foren mit Altlasten" eine gute Lösung im CF4 geben wird - und sogar eine, die für Leute mit Webspace keinen Mehraufwand bedeutet.
Natürlich müssen bei Änderungen im Template etc. oder bei eigenem HTML Code nach wie vor von den Seitenbetreibern ein paar nötige Regeln beachtet werden in die kein System je automatisch eingreifen kann. Ein bisschen einlesen in das Thema ist also dann generell empfohlen. Weil sobald Inhalte auf einer Seite gemischt sind bekommt man massive Probleme mit Cookies&Sessions. Deshalb auch meine (bisher) geäußerten Bedenken wegen der Embeds, aber zumindest dahingehend gibts ja dann bald eine Lösung die bei jeder Variante greift.
Achja: Es wird im ACP auch eine Extra Seite für SSL Konfiguration geben, die auch alle anderen Konfigurationspunkte des Forums analysiert und bewertet, sodass man als Seitenbetreiber schnell sehen kann welche Konfigurationswerte man im Forum noch umstellen müsste, bevor man die Seite gänzlich auf https:// umschalten würde.
LG,
Chris
