CF4 Informationen

 
Fenec
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 17
Dabei seit: 03 / 2009
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 09.03.2017 - 15:07 Uhr  ·  #41
was hindert dich daran das https cookie zu lesen aber den content http auszuliefern? machen andere Forensysteme ja auch

womöglich missverstehe ich jetzt deinen Ansatz,
die Argumente gegen Bildproxys sind eben dass die Bilder automatisiert auf der eigenen Domain liegen müssen, welche dann anstatt der Originalquelle eingebunden werden - ich sehe da zwar auch nicht so eng aber die Begründung wird einem gerne an den Kopf geworfen und dann davon abgeraten es zu nutzen
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17608
Dabei seit: 12 / 2003
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 09.03.2017 - 15:59 Uhr  ·  #42
Huhu,

das CF4 hindert Dich absolut nicht daran, ganz im Gegenteil sogar, Du kannst beim CF4 deutlich mehr Parameter zum setzen von Cookies einstellen als in vielen anderen Systemen. Mir ist aber auch nicht bekannt, dass es irgendwo Foren gibt, die nur die Loginseite auf https:// routen und den Rest nicht. Denn das wäre technisch gesehen ein bisschen inkonsequent. Und damit tut man sich wirklich keinen großen Gefallen.

Sicher: Du kannst das auch beim CF4 so machen, lässt in den Settings die Cookie Domain weg, setzt in der .htaccess eine Regel, die login.php immer auf https:// setzt und alles != login.php auf die http Variante, bindest Dein Seitenlogo mit // ein statt dem Direktlink (damit beide Varianten unterstützt werden) - und dann bekommst Du auch keine Meldung mehr vom Browser, weil Du Deinen initialen Login unter https ausführst. Meistens kann das Cookie auch noch gelesen werden wenn Du die Seite dann wieder unter http aufrufst - aber eben auch nicht immer! Es gibt Browser die gesetzte Cookies auch protokollsensibel ausliefern (obwohl man z.B. die Cookie Domain weglässt) und Du dann das selbe Problem hast, wie wenn Du eine Seite mit oder ohne www. aufrufst. Also kann es sein, dass Du immer mal wieder User hast die sagen "ich kann mich nicht einloggen", weil ihr Browser einfach sich dann weigert das Cookie noch zu senden, wenn das Protokoll wechselt. Hier kann das CF4 dann eben nichts dafür, wie im Endeffekt dann ein Browser auf den Wechsel von sicherer Seite auf unverschlüsselte reagiert (sofern er eben die Settings fürs Cookie ignoriert, beim setzen kannst Du rein von der Software nämlich alles einstellen was PHP hergibt und das lesen geht dann eh nur noch über $_COOKIE).

Cookies und Verschlüsselung sind eine Sache von Browser und Server primär, die Software dahinter muss dann nur mit Links und Inhalten alles korrekt machen und das ist beim CF4 der Fall. Wenn Du die Seite aber mischst, gerade mit Sessions, kann es Dir bei strengen Browsern passieren, dass sie explizit die Cookies die von https gesetzt wurden nicht mehr bei http ausliefern. Dann passiert das, worauf oxpus etwas früher in diesem Thread hingewiesen hat. Also anders gesagt: Wenn der Browser dann das bereits gesetzte Cookie einfach nicht mehr ausliefern will hat logischerweise der Server bzw. das CF4 nichts mehr zum auslesen. Auch wenn es rein vom System her möglich wäre.

Außerdem "betuppst" Du im Grunde Deine User, weil sie sich zwar initial verschlüsselt einloggen, aber dann im restlichen System die Session unverschlüsselt übertragen wird. Das CF4 hat zwar hier auch deutlich mehr Funktionen um Session und Cookie Hijacking zu verhindern aber dann kann man es auch ganz lassen - außerdem erhälst Du trotzdem vom Browser weiterhin eine Warnmeldung, wenn Du z.B. als Gast das Posten erlaubt hast (username Feld) oder wenn Du z.B. Loginformulare anderswo auf der Seite verwendest. Es ist also einfach nicht konsequent gelöst und umgeht eigentlich nur das, was Dich sichern sollte.



Was das Tunneln angeht: Es gibt hier mehrere Varianten und nur ein paar davon sind gesetzlich wie Du sagst problematisch. In vielen Ansätzen die so existieren wird - ähnlich wie Facebook das macht - ein Bild von einem fremden Server heruntergeladen und dann lokal bei Dir gespeichert. Das ist natürlich dann eine Kopie von einem Bild welches dann wieder bei Dir liegt.

Anders wird das Schema beim CF4 sein: Hier wird die Anfrage an das Bild lediglich über einen Tunnel angefordert, sodass das Bild live von einem Wrapper ausgelesen aber eben nicht gespeichert sondern direkt ausgeliefert wird. Hier kann nur gesetzlich problematisch sein, wenn Du Hotlinking machst, aber das ist auch bei einer direkten Einbettung ohne Zwischenhändler dann ein Problem und muss von Forenbetreibern beachtet werden. Da allerdings beim wrapper das Bild nur von einer anderen Quelle angefordert und direkt angezeigt wird ist das aber kein Problem, hier wird absolut nichts gespeichert und auch nichts von der fremdseite kopiert. Das ist also absolut in Ordnung und das darf man so auch machen. ;) Gerade deshalb wird das ja auch beim CF4 so gelöst, weil es den Usern keinen Mehraufwand macht und nicht einmal zusätzlich Traffic oder Webspeicher verbraucht. Letzteres wäre ja etwas, wo ich mich auch schon in diesem Thread dagegen ausgesprochen habe, nicht nur aus juristischer sicht.

Also das CF4 macht Dir hier keinerlei Grenzen - auch jetzt nicht - und wird mit dem nächsten Schritt sogar noch mehr Möglichkeiten bieten.

LG,
Chris
Fenec
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 17
Dabei seit: 03 / 2009
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 09.03.2017 - 16:50 Uhr  ·  #43
IPS4 kann es direkt ab Werk, für XF1 wüsste ich jetzt einen Hack der es nachpflegt, wie es in XF2 wird?? - ob man damit den User "betuppt"(?) sei mal dahingestellt, die Cookie-Daten sind lt Firebug (bei IPS) https_only wie das dann übertragen wird?? im Grunde kannst du ja gesicherte Inhalte bei http laden, nur umgekehrt wird es hässlich
ob man von einer https Vollverschlüsselung bei normalen Foren wirklich viel hat mag ich jetzt nicht wirklich zu beantworten, etwaige Sicherheitssoftware muss sich wieder per Zertifikat ein schleichen und ein Zertifikat überhaupt zu bekommen ist ja nun wirklich kein Kunststück vor Schadsoftware wird man also nicht geschützt - den Sicherheitsvorteil halte ich daher bei 0815 Foren eher für vernachlässigbar, das mit der sicheren Übertragung von Passwörtern mag da hingegen noch Sinn ergeben und mehr braucht dann IMO auch nicht

wegen der Proxy Sache mal danke für die Erklärung, kenne nur die Varianten aus WBB/IPS/XF wo die Software eben die Bilder temporär auf den Server lädt und im Beitrag dann die adresse gegen die lokale Version ersetzt, womit das Bild lt. Quellcode (und physisch) eben bei dir am Server liegt
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17608
Dabei seit: 12 / 2003
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 09.03.2017 - 16:57 Uhr  ·  #44
Richtig rein von der Standard-Einstellung besteht das CF4 nur auf ein SSL Cookie, wenn Du das explizit aktivierst, also wie gesagt rein vom CF4 hast Du dahingehend keine Limitierung. Das kann man alles so konfigurieren wie man das möchte. Ansonsten stimme ich Dir aber absolut zu, ich finde es eigentlich auch übertrieben Foren vollverschlüsselt laufen zu lassen (hatte ich ganz zu Anfang in dem Thread hier ja auch so geschrieben). Der Grund, warum das Thema gerade so brisant ist und warum ich als Hersteller da natürlich jetzt ausgiebiger reagieren muss ist eigentlich dieses zweischneidige neue Feature von Mozilla, dass aktuell gerade Web-Einsteiger panisch werden lässt aber im Grunde auch einen zweifelhaften Mehrwert bringt.

Also was das angeht stimme ich Dir da voll und ganz zu! :) Und richtig, die ersten Phishing-Seiten haben sich mittlerweile auch schon Zertifikate besorgt, ein paar davon witzigerweise sogar von Let's encrypt, bei denen Mozilla ja auch mit im Boot sitzt... diese Änderung am Firefox mit dem verwirrenden Hinweis eine Seite wäre "unsicher" ist wirklich nicht gerade der geschichteste Schachzug gewesen finde ich... nun ja. :)


Ansonsten gerne was das mit dem Proxy angeht!
Ich musste mich da auch erstmal schlau machen. Bei der Variante die ich als "Konfigurationslos" für das nächste Update anstrebe hättest Du die Original Quelle sogar noch als Parameter im Wrapper-Aufruf stehen und nicht mal Deine eigene Domain mit dabei (die hättest Du nur, wenn Du im Profi-Modus einen eigenen Bildproxy aufsetzt der anders funktioniert). Aber der Service der dann künftig genutzt wird ist auch schon recht alt, ich meine seit 2007 gibts den schon. Kann nur aktuell noch nicht ganz drüber reden, weil da natürlich auch erstmal noch ein paar Anfragen laufen ob ich denen auch die Mehrlast durch CF4 Foren zumuten darf. ;) Aber rein juristisch gesehen müsste da grünes Licht sein. Abgesehen natürlich von den bereits jetzt vorhandenen juristischen Dingen (wenn eine Seite verbietet Bilder von sich auf anderen Seiten einzubinden ist die Variante egal, Du wirst in Beiden Fällen probleme bekommen).


LG,
Chris
romfis
Benutzer
Avatar
Geschlecht:
Herkunft: 🌍 🇪🇺 🇦🇹 Österreich, Wien
Alter: 38
Homepage: romfis.link/
Beiträge: 569
Dabei seit: 12 / 2005
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 10.03.2017 - 02:20 Uhr  ·  #45
Zitat geschrieben von cback

Aber:
Diese Sache mit der Riesen Meldung kritisiere ich. Meiner Ansicht nach macht Firefox damit Leuten die sich mit dem Web und der ganzen Sache nicht auskennen das Leben im Web unsicherer als sicherer, weil das Feature nicht aus Einsteiger sondern nur aus Profisicht betrachtet wurde. Mittlerweile sind schon weitere Phishing Mails aufgetaucht, die auf https Seiten leiten mit gültigen Zertifikaten. Was man den Web-Einsteigern früher also eingetrichtert hat mit "Guck, dass Deine Adressleiste grün ist, wenn Du Banking oder Shopping machst" ist schon eine Regel, die mittlerweile so einfach nicht mehr anwendbar ist.

Firefox hat mit seinem neuen Feature meiner Ansicht nach eine Scareware entwickelt:
Seiten wie Foren, auf denen man sich noch bedenkenlos einloggen könnte ohne Probleme signalisieren einem unerfahrenen Anwender, dass etwas nicht in Ordnung wäre - das Sorgt für Verwirrung.


Ich dachte nun auch kurz ob ich auf einer gefälschten Seite bin die aussieht wie das Original von CBACK oder Christian hat so schnell umgestellt - aber ich sah nichts grünes und hab "drauf gepfiffen" weil es nur das Forum Passwort ist zur Not hätte ich es ändern müssen falls diese Seite doch eine Kopie wäre.^^

Mir gehen übrigens diese Meldungen inkl. diese Cookie Meldungen manchmal auch schwer auf die Eier besonders, wenn man nicht mit seinem PC arbeitet wo dann auch kein Adblocker drauf ist. :D
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17608
Dabei seit: 12 / 2003
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 10.03.2017 - 14:25 Uhr  ·  #46
Zitat

Mir gehen übrigens diese Meldungen inkl. diese Cookie Meldungen manchmal auch schwer auf die Eier besonders, wenn man nicht mit seinem PC arbeitet wo dann auch kein Adblocker drauf ist.


Ohhhh die habe ich auch gefressen *lol*

Übrigens zumindest in Deutschland sind die immer noch nicht verpflichtend, da reicht ein Hinweis im Impressum/Datenschutzerklärung das und wie Cookies genutzt werden noch aus. Laut dem eigentlichen EU Gesetz ist dieser Cookie-Hinweis nämlich Ländersache und Deutschland hat sich da immer noch nicht exakt zu geäußert in welchem Schema (Opt-In oder Opt-Out) sie das denn verankert haben wollen. Wie das in anderen EU Ländern aussieht weiß ich allerdings nicht. - Aber ich finde diese Regelung auch generell ein bisschen seltsam, an HTML5 Storage hat das Gesetz nämlich nicht gedacht ... dabei könnte man die auch als Zwischenspeicher benutzen und technisch streng betrachtet ist die ja kein Cookie. *g*

Naja .... :D

LG und schönes Wochenende,
Chris
b0snaX
Benutzer
Avatar
Geschlecht:
Herkunft: Bosnien
Beiträge: 30
Dabei seit: 06 / 2009
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 10.03.2017 - 21:35 Uhr  ·  #47
Hallo,

zum Thema Cookie Warnung würde ich es bei CF4 begrüßen das die Warnung nun verschwindet wenn man auf Ok klickt tut sie nmlich bei mir nicht bei mir ist sie bei jedem seitenaufruf da und verschwindet erst nach dem Login.
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17608
Dabei seit: 12 / 2003
Betreff:

Re: CF4 Informationen

 · 
Gepostet: 10.03.2017 - 21:51 Uhr  ·  #48
Gewählte Zitate für Mehrfachzitierung:   0

Registrierte in diesem Topic

Aktuell kein registrierter in diesem Bereich

Die Statistik zeigt, wer in den letzten 5 Minuten online war. Erneuerung alle 90 Sekunden.