Benachrichtigungs-eMails beinhalten HTTP statt HTTPS Links

  • Benachrichtigungsmails (so wie bei PMs/Convos, die "New Notification: New Reply to a Conversation") werden vom Forum nach wie vor mit HTTP-Links bestückt, was gegebenenfalls unsicher sein kann, wenn der Nutzer auf HTTPS setzen möchte.


    Zudem kann es den Nutzer im Falle von automatischen Logins verwirren, weil die Links ggf. das Login-Cookie brechen, und man ihnen damit gar nicht folgen kann/darf, weil man im HTTP Kontext ausgelogged ist. Das passiert, wenn das Cookie im Browser bereits für HTTPS gesetzt ist, man die Seiten nun aber per HTTP aufruft, wenn man die Links in der Mail anklickt.


    Desweiteren laden manche eMail Clients bei Betrachtung der eMail im HTML-Modus* Inhalte über eine nicht verschlüsselte Verbindung nach, um sie im Mailclient darzustellen (Private Nachrichteninhalte z.B., die dann implizit unverschlüsselt über die Leitung kommen!).


    Hier sollte meines Erachtens nach zur Sicherheit auf HTTPS gesetzt werden.


    *HTML Mails sind unhöflich! rolleyes3-maybe-best.gif

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Ich verstehe auch nach wie vor nicht, weshalb nicht einfach vollständig HTTP auf HTTPS weitergeleitet wird. Es könnte so einfach sein.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Um Retro-Maschinen den Zugriff auf eine Retrocommunity zu ermöglichen? Zweigleisig fahren ist vielleicht noch besser, als im SSL Kontext alte Cipher und Protokolle anzubieten. So liegt die Entscheidung und die Wahlmöglichkeit beim Nutzer und nicht beim Serviceanbieter (was ich immer besser finde, als sie dem Nutzer zu nehmen).


    Aber bei den Mails ist sowas in der Woltlab Software sicher im Leben nicht konfigurierbar. Und wenn es nur "entweder / oder" gibt, wäre HTTPS die bessere Wahl.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Hm, naja. "Schlechte Verschlüsselung ist besser als gar keine Verschlüsselung" ist da meine persönliche Sichtweise. Zumal der Server ja Präferenzen senden kann, und damit die sichersten Ciphers zuerst anbietet.

    Wie dem auch sei, mich nervt es täglich, weil ich das Phänomen habe, was Du beschreibst: Ich bin (mit dem Handy) eingeloggt auf der SSL-Variante. Wenn ich die URL mit Auto-Vervollständigung eintippe, lande ich aber immer auf der unverschlüsselten und bin ausgeloggt. Dann darf ich wieder manuell wechseln...


    Edit: Und die Kompatibilität mit den aktuellen Ciphers geht auch weit zurück: https://www.ssllabs.com/ssltes…a1e&hideResults=on&latest

    • Firefox 31
    • IE 7
    • Chrome 49
    • Android 2
    • ...

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Das mit den kaputten Cookies ist leider generell ein Problem, jo. Auch wenn ein Nutzer einen VA-internen HTTP Link posted (ich aber HTTPS nutze), schon knallt es und ich bin ausgelogged. Immerhin kann ich manuell in der Adressleiste auf HTTPS zurückwechseln und muß nicht neu einloggen, so wie früher.


    Noch ältere Cipher machen eventuell Probleme: Manche Software redet nicht mit einem Server, der (wenn auch nur optional) anfällige Protokolle/Cipher anbietet.


    Wobei das vielleicht Augenauswischerei ist; Nach dem Forensoftwareupdate sind ganz alte Retromaschinen sowieso vom Forum ausgeschlossen, weil es dort keine Browser mehr gibt, die mit dem modernen JS und CSS umgehen können...


    Jedenfalls sollten die Benachrichtigungsemails keine Foreninhalte (speziell keine privaten) über unverschlüsselte Kanäle leaken. Es ist imho nicht universell zumutbar, daß alle Benutzer a.) ihre Mails Plaintext zu lesen haben und b.) immer darauf Acht zu geben haben, die Links da drin nicht anzuklicken, sondern nur zu kopieren und auf "https://" zu ändern, oder den referenzierten Inhalt manuell auf VA zu suchen.


    Also bei den eMails bin ich in jedem Fall dafür, komplett auf HTTPS Links umzusteigen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Muss ich mal gucken ob, wie und wo ich das in den Mails von http auf https ändern kann. Hatte ich letztens auch in einem Hotel WLAN und habe mich über die technisch miese Mail von VoodooAlert geärgert. Und dann wieder vergessen. X/

  • Immerhin ärgert es auch den Administrator hin und wieder, sowas ist immer gut. xD

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • ernesto.che : Aber wäre es nicht wirklich einfacher, alle HTTP-Requests auf HTTPS weiterzuleiten?

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Das wäre echt nicht gut. Wenn ich nur mal schnell was mit meinem 9x nachschauen will oder so brauche ich noch einen zugang ohne ssl. darum eine automatische weiterleitung auf https ist nicht gut.

  • Es sollte genau so sein: egal was, immer https. Funktioniert aber nicht. Das ist frustrierend, habe bereits etliche Varianten durchprobiert.

    Woran hakt's denn da? Welchen Webserver setzt Du ein, Apache2?


    Ich habe da auf meinen Server (mehrere Domains, mehrere Subdomains) folgende einfache Regel im Einsatz:


    Code: /etc/apache2/sites-available/000-default.conf
    1. <VirtualHost *:80>
    2. RewriteEngine on
    3. RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R=301,L]
    4. </VirtualHost>


    Erklärung: Durch *:80 wird einfach ALLES, was auf Port 80 ankommt gematcht. Dann wird durch die RewriteRule alles gemerkt, was hinter dem ersten Slash folgt, dann wird auf den Host per HTTPS weitergeleitet, und das eben gemerkte wieder angehängt. Das ganze per HTTP-Status 301, damit die Browser (und Suchmaschinen) es sich möglichst merken.


    Ich habe noch keine Situation entdeckt, wo das nicht klappt.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Das wäre echt nicht gut. Wenn ich nur mal schnell was mit meinem 9x nachschauen will oder so brauche ich noch einen zugang ohne ssl. darum eine automatische weiterleitung auf https ist nicht gut.

    Dem ist 100% zuzustimmen.

    Verschlüsselung ist erstens langsam (das gilt für alte Systeme und Geräte, die keine Hardware dafür haben) und frisst dadurch Energie und zweitens bricht sie die Abwärtskompatibilität fast vollständig ab.

    „Wer immer tut, was er schon kann, bleibt immer das, was er schon ist.“

  • Wenn man es sauber macht (also wenn Woltlab es sauber macht...) dann ist das kein Problem, zweigleisig zu fahren, und auch keines, voll umzuleiten. Meines persönlichen Erachtens nach sollte die Entscheidung darüber imho beim Nutzer liegen, und nicht beim Betreiber, sofern letzterer nicht an entsprechende gesetzliche Vorgaben gebunden ist, wie z.B. im Zahlungsverkehr und Bankwesen, wo erhöhte Sicherheit ein Muß darstellt.


    Aber in diesem Problembericht geht es ja nicht um die generelle "HTTP+HTTPS vs. nur-HTTPS" Entscheidung, sondern um das Data Leak Problem, das für HTTPS Benutzer durch die Benachrichtigungsmails ausgelöst wird. Hier ist eine Zweigleisigkeit technisch schwer möglich. Daher meine Empfehlung, nur HTTPS zu benutzen. Das muß der Mailclient dann halt ggf. können, wenn man die Mails inkl. Remoteinhalten in HTML betrachten möchte. Nutzer, die Mails nur in Plaintext lesen wären hiervon in geringfügigerem Ausmaß betroffen, aber ein Problem ist es dennoch.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Post by ernesto.che ().

    This post was deleted by the author themselves ().
  • Dazu müßte man erst Mal eine PM/Convo erhalten. :) Oder soll ich dir eine Test-PM senden?

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • ernesto.che : Danke für die Test-PM, schaut sauber aus jetzt. Sind allesamt HTTPS Links.


    SK1 : Grade probiert, bei mir geht das. Habe exakt deine URL aufgerufen, und bin im Forum gelandet.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!

  • Ich kann SK1' Beobachtung reproduzieren. Wenn ich das eingebe, lande ich auf auf der VA Startseite.


    Edit: Da passieren ZWEI redirects: eine von voodooalert.de/board auf http://voodooalert.de/board/ (abschließender Slash!), dann eine auf https://voodooalert.de

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Ah, du hast Recht. War bei mir offenkundig noch cached!

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700 (defekt)

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be!