CF4 Informationen

Huhu,

das CF4 hindert Dich absolut nicht daran, ganz im Gegenteil sogar, Du kannst beim CF4 deutlich mehr Parameter zum setzen von Cookies einstellen als in vielen anderen Systemen. Mir ist aber auch nicht bekannt, dass es irgendwo Foren gibt, die nur die Loginseite auf https:// routen und den Rest nicht. Denn das wäre technisch gesehen ein bisschen inkonsequent. Und damit tut man sich wirklich keinen großen Gefallen.

Sicher: Du kannst das auch beim CF4 so machen, lässt in den Settings die Cookie Domain weg, setzt in der .htaccess eine Regel, die login.php immer auf https:// setzt und alles != login.php auf die http Variante, bindest Dein Seitenlogo mit // ein statt dem Direktlink (damit beide Varianten unterstützt werden) - und dann bekommst Du auch keine Meldung mehr vom Browser, weil Du Deinen initialen Login unter https ausführst. Meistens kann das Cookie auch noch gelesen werden wenn Du die Seite dann wieder unter http aufrufst - aber eben auch nicht immer! Es gibt Browser die gesetzte Cookies auch protokollsensibel ausliefern (obwohl man z.B. die Cookie Domain weglässt) und Du dann das selbe Problem hast, wie wenn Du eine Seite mit oder ohne www. aufrufst. Also kann es sein, dass Du immer mal wieder User hast die sagen "ich kann mich nicht einloggen", weil ihr Browser einfach sich dann weigert das Cookie noch zu senden, wenn das Protokoll wechselt. Hier kann das CF4 dann eben nichts dafür, wie im Endeffekt dann ein Browser auf den Wechsel von sicherer Seite auf unverschlüsselte reagiert (sofern er eben die Settings fürs Cookie ignoriert, beim setzen kannst Du rein von der Software nämlich alles einstellen was PHP hergibt und das lesen geht dann eh nur noch über $_COOKIE).

Cookies und Verschlüsselung sind eine Sache von Browser und Server primär, die Software dahinter muss dann nur mit Links und Inhalten alles korrekt machen und das ist beim CF4 der Fall. Wenn Du die Seite aber mischst, gerade mit Sessions, kann es Dir bei strengen Browsern passieren, dass sie explizit die Cookies die von https gesetzt wurden nicht mehr bei http ausliefern. Dann passiert das, worauf oxpus etwas früher in diesem Thread hingewiesen hat. Also anders gesagt: Wenn der Browser dann das bereits gesetzte Cookie einfach nicht mehr ausliefern will hat logischerweise der Server bzw. das CF4 nichts mehr zum auslesen. Auch wenn es rein vom System her möglich wäre.

Außerdem "betuppst" Du im Grunde Deine User, weil sie sich zwar initial verschlüsselt einloggen, aber dann im restlichen System die Session unverschlüsselt übertragen wird. Das CF4 hat zwar hier auch deutlich mehr Funktionen um Session und Cookie Hijacking zu verhindern aber dann kann man es auch ganz lassen - außerdem erhälst Du trotzdem vom Browser weiterhin eine Warnmeldung, wenn Du z.B. als Gast das Posten erlaubt hast (username Feld) oder wenn Du z.B. Loginformulare anderswo auf der Seite verwendest. Es ist also einfach nicht konsequent gelöst und umgeht eigentlich nur das, was Dich sichern sollte.



Was das Tunneln angeht: Es gibt hier mehrere Varianten und nur ein paar davon sind gesetzlich wie Du sagst problematisch. In vielen Ansätzen die so existieren wird - ähnlich wie Facebook das macht - ein Bild von einem fremden Server heruntergeladen und dann lokal bei Dir gespeichert. Das ist natürlich dann eine Kopie von einem Bild welches dann wieder bei Dir liegt.

Anders wird das Schema beim CF4 sein: Hier wird die Anfrage an das Bild lediglich über einen Tunnel angefordert, sodass das Bild live von einem Wrapper ausgelesen aber eben nicht gespeichert sondern direkt ausgeliefert wird. Hier kann nur gesetzlich problematisch sein, wenn Du Hotlinking machst, aber das ist auch bei einer direkten Einbettung ohne Zwischenhändler dann ein Problem und muss von Forenbetreibern beachtet werden. Da allerdings beim wrapper das Bild nur von einer anderen Quelle angefordert und direkt angezeigt wird ist das aber kein Problem, hier wird absolut nichts gespeichert und auch nichts von der fremdseite kopiert. Das ist also absolut in Ordnung und das darf man so auch machen. Gerade deshalb wird das ja auch beim CF4 so gelöst, weil es den Usern keinen Mehraufwand macht und nicht einmal zusätzlich Traffic oder Webspeicher verbraucht. Letzteres wäre ja etwas, wo ich mich auch schon in diesem Thread dagegen ausgesprochen habe, nicht nur aus juristischer sicht.

Also das CF4 macht Dir hier keinerlei Grenzen - auch jetzt nicht - und wird mit dem nächsten Schritt sogar noch mehr Möglichkeiten bieten.

LG,
Chris

Richtig rein von der Standard-Einstellung besteht das CF4 nur auf ein SSL Cookie, wenn Du das explizit aktivierst, also wie gesagt rein vom CF4 hast Du dahingehend keine Limitierung. Das kann man alles so konfigurieren wie man das möchte. Ansonsten stimme ich Dir aber absolut zu, ich finde es eigentlich auch übertrieben Foren vollverschlüsselt laufen zu lassen (hatte ich ganz zu Anfang in dem Thread hier ja auch so geschrieben). Der Grund, warum das Thema gerade so brisant ist und warum ich als Hersteller da natürlich jetzt ausgiebiger reagieren muss ist eigentlich dieses zweischneidige neue Feature von Mozilla, dass aktuell gerade Web-Einsteiger panisch werden lässt aber im Grunde auch einen zweifelhaften Mehrwert bringt.

Also was das angeht stimme ich Dir da voll und ganz zu! Und richtig, die ersten Phishing-Seiten haben sich mittlerweile auch schon Zertifikate besorgt, ein paar davon witzigerweise sogar von Let's encrypt, bei denen Mozilla ja auch mit im Boot sitzt... diese Änderung am Firefox mit dem verwirrenden Hinweis eine Seite wäre "unsicher" ist wirklich nicht gerade der geschichteste Schachzug gewesen finde ich... nun ja.


Ansonsten gerne was das mit dem Proxy angeht!
Ich musste mich da auch erstmal schlau machen. Bei der Variante die ich als "Konfigurationslos" für das nächste Update anstrebe hättest Du die Original Quelle sogar noch als Parameter im Wrapper-Aufruf stehen und nicht mal Deine eigene Domain mit dabei (die hättest Du nur, wenn Du im Profi-Modus einen eigenen Bildproxy aufsetzt der anders funktioniert). Aber der Service der dann künftig genutzt wird ist auch schon recht alt, ich meine seit 2007 gibts den schon. Kann nur aktuell noch nicht ganz drüber reden, weil da natürlich auch erstmal noch ein paar Anfragen laufen ob ich denen auch die Mehrlast durch CF4 Foren zumuten darf. Aber rein juristisch gesehen müsste da grünes Licht sein. Abgesehen natürlich von den bereits jetzt vorhandenen juristischen Dingen (wenn eine Seite verbietet Bilder von sich auf anderen Seiten einzubinden ist die Variante egal, Du wirst in Beiden Fällen probleme bekommen).


LG,
Chris

Ohhhh die habe ich auch gefressen *lol*

Übrigens zumindest in Deutschland sind die immer noch nicht verpflichtend, da reicht ein Hinweis im Impressum/Datenschutzerklärung das und wie Cookies genutzt werden noch aus. Laut dem eigentlichen EU Gesetz ist dieser Cookie-Hinweis nämlich Ländersache und Deutschland hat sich da immer noch nicht exakt zu geäußert in welchem Schema (Opt-In oder Opt-Out) sie das denn verankert haben wollen. Wie das in anderen EU Ländern aussieht weiß ich allerdings nicht. - Aber ich finde diese Regelung auch generell ein bisschen seltsam, an HTML5 Storage hat das Gesetz nämlich nicht gedacht ... dabei könnte man die auch als Zwischenspeicher benutzen und technisch streng betrachtet ist die ja kein Cookie. *g*

Naja ....

LG und schönes Wochenende,
Chris

Huhu,

das tut sie doch beim CF4.
Kannst ja mal auf dem Forum von Kenny gucken der hat sie aktiviert: https://forentalk.de

Beim OK klicken tackert er das ins Cookie und zeigt sie dann nicht mehr an.

LG,
Chris