EDV-Dompteur/Forum

Eben erhielt ich von einem aufmerksamen User den guten Hinweis, dass dieses Forum gar kein https verwendet.
Das stimmt, ich wollte das Thema schon lange mal angehen, habe es aber immer vertagt, angesichts einer Masse dringenderer Aufgaben.

Damit es nicht wieder in Vergessenheit gerät, nun dieser Thread.
Besagter User machte mich auch auf https://letsencrypt.org/ aufmerksam.

Ich gebe zu, damit keinerlei Erfahrung zu haben und müsste mich erst intensiv einlesen, wozu mir im Moment aber schlicht die Zeit fehlt.
Bekanntlich hat jede Technik und jede Lösung ihre jeweils eigenen Tücken und Nebenwirkungen, auch hat sich mancher Anbieter von vermeintlichen "Sicherheitslösungen" eher als schwarzes Schaf erwiesen. Daher will ich lieber keinen Schnellschuss vom Stapel lassen und stelle das Thema mal zur Diskussion, in der Hoffnung, dass mich jemand erleuchten kann.

Also: Das Forum soll https kriegen, ohne dass wir dabei Anbietern auf den Leim gehen, die gefälschte Zertifikate ausstellen etc. etc. etc.
- Was ist zu tun, was ist zu beachten?


P.S.: Beim Antworten werdet Ihr automatisch einen Hinweis zu sehen bekommen, dass dieser Forenbereich nicht für Diskussionen gedacht ist.
Diesen Hinweis könnt Ihr für diesen Thread ignorieren. Dieser Thread ist von meiner Seite aus für Diskussionen freigegeben!

Ich habe mir gerade das hier angeschaut:
https://de.wikipedia.org/wiki/Https#Umstellung

Bääh, heißt das etwa, dass ich auch alle Links im Forum darauf abklopfen muss?
- Praktisch unmöglich!

Ich weiß nicht, wie ich das umsetzen sollte!
Wer mich womöglich erleuchten kann, dass es eine wirklich praktikable und nebenwirkungsfreie Lösung gibt, der möge es bitte tun!

Die SSL-Verschlüsselung ist hier ja leider nach wie vor ein ungelöstes Problem (ungeachtet dessen, was die DSGVO gerne hätte!). Aber immerhin zeigt sich ein Silberstreif am Horizont.

Die kostenlosen Zertifikate von Let's Encrypt muss man spätestens nach 90 Tagen erneuern, sonst laufen sie ab - mit der sicher bekannten Folge.
Mein Server ist aber inzwischen gut auf das Zusammenspiel mit Let's Encrypt vorbereitet und in der Lage, die Zertifikatsverlängerung mehr als rechtzeitig genug automatisch vorzunehmen.

Nun ist der Job aber leider nicht damit getan, dass man sich ein Zertifikat holt und auf den Server wuppt. Die folgenden drei Anleitungen sprechen bereits einige Schwierigkeiten an, die dabei auftreten können:

HTTPS Umstellung: Tipps und Hintergründe

Internet Security: Sichere Websites mit SSL und HTTPS

Hast du deinen Blog schon auf https umgestellt?


Blöderweise rechne ich aber mit noch mehr Schwierigkeiten, als dort beschrieben. Z. B. habe ich den unangenehmen Verdacht, dass manche der vielen Plugins, die ich hier installiert habe und die u.a. die ganzen schicken Gestaltungsfunktionen ermöglichen, zum Teil hardcodierte (bzw. wohl eher chiffrierte) URLs beinhalten, die sich sich damals bei der Installation selbst in sich einverleibt haben. So richtig durchblicken tue ich da aber noch nicht.

Ich habe vor diesem Forum schon ein anderes, "geerbtes" Forum administriert, das ebenfalls auf Burning Board 3.1.7 aufbaute. Und ich entsinne mich noch leidvoll, wie der ehemalige Admin und ich nacheinander das Forum jeweils irreparabel zerschossen hatten, so dass beide Male ein Monate altes Backup eingespielt werden musste, weil selbst die Zwischenbackups unbrauchbar geworden waren. Damals sind viele hundert richtig gute Postings über die Klinge gehüpft! Und etliche Userprofile! Und das ganze Layout und noch mehr ...
Schlimmer noch: Nachdem es das zweite Mal passierte, konnte es anschließend niemals wieder vollständig so hergestellt werrden, wie es mal war, trotz regelmäßig gemachter Backups.

Es ist Jahre her und meine Erinnerung daran nicht mehr scharf, jedenfalls waren die Plugins das dicke Problem. Die kann man nicht mal eben neu installieren, denn dabei gehen entweder massenhaft Daten direkt hops, oder man baut sich irreparable Macken in die Datenstruktur ein, die schleichend von Tag zu Tag und Woche zu Woche immer schwerwiegender werden, bis schließlich alles im Eimer ist.
Schon ein kleiner Unterschied in der Versionsnummer kann da richtig viel Ärger machen, der sich erst mit der Zeit offenbart.

Dass ich so etwas nicht noch einmal erleben möchte, dürfte klar sein.
Bevor ich die Aktion in Angriff nehme, will ich mir daher meiner Sache völlig sicher sein und zudem reichlich frische Vollbackups zur Verfügung haben; nicht bloß inkrementelle (da bin ich gebranntes Kind!).

Gebt mir also noch 'nen geschätzten Monat Zeit; es bringt nichts, den Umstieg auf SSL über's Knie zu brechen.

Aber denkt dran: solange hier noch alles über http läuft, statt über https, sind insbesondere Eure Login-Daten potenziell unsicher!
Das DSGVO hätte es zwar gerne anders - ich auch - aber als One-Man-Show kann ich halt nicht an allen Baustellen gleichzeitig werkeln.
Alternativ müsste ich bis zur abschließend erfolgten SSL-Umstellung das Forum dicht machen, aber das will sicherlich keiner von Euch, schon gar nicht Jene, die dringend Rat benötigen.

Inzwischen habe ich weitgehend alle Informationen zusammen, bezüglich dessen, was für Die Umstellung des Forums auf SSL-Verschlüsselung zu beachten ist.

Also das wird schon eine dickere Aktion!
Bei anderen Websites mag es einfacher sein, aber hier habe ich tatsächlich mit Plug-Ins zu dealen, die einerseits nicht mehr weiterentwickelt, andererseits aber auch nicht ersetzbar sind.
Z. B. soll das Pug-In für den IMG-BBCODE so ein Kandidat sein, der einem in die SSL-Suppe spuckt. Dafür gibt es zwar wiederum einen Workarround, aber ... eben alles nicht so einfach und nebenwirkungsfrei, wie man es gerne hätte.

Jedenfalls will ich die Umstellung auf SSL binnen der nächsten zwei Wochen durchführen.
Das Forum wird im Anschluss nur noch per https:... erreichbar sein. Ich stricke aber auch eine automatische Umleitung, so dass Besucher, die per Link hierher geführt wurden, bzw. gegenwärtig noch aktive Links gebookmarkt haben, automatisch auf die SSL-geschützten Seiten umgelenkt werden.

Habt bitte Verständnis dafür, falls in der Übergangszeit irgend etwas nicht wie gewohnt funktionieren sollte!
Ich bin eine One-Man-Show und habe nur zwei Hände. Und die sind hauptsächlich mit meiner eigentlichen Arbeit beschäftigt ...

Zitat von »JeeAre«

Wozu braucht es denn https? Man überträgt doch keinerlei sensible personbezogene Daten.

Aus zwei Gründen:
Erstens will die DSGVO es so. Die betrachtet Login-Daten offenbar generell als personenbezogen und sensibel.
- Was sogar halbwegs nachvollziehbar ist, immerhin hat man sich als User ja mal unter Angabe einer E-Mail-Adresse registriert.

Zweitens gab es eine Ankündigung von Google, dass ab Juli der Chrome-Browser bei jeder Seite über "mangelnde Sicherheit" nörgeln wird, die einen nicht SSL-geschützen Login ermöglicht.

Zitat von »JeeAre«

Theoretisch könntest du dir ein eigenes cert erstellen und das lediglich auf auf die Registrierung beschränken.
Das kostet normal nix, es ist halt nur nicht beglaubigt, die Übertragung erfolgt aber trotzdem verschlüsselt.

Da hat man es, angesichts der tausenden hin- und her-Verlinkungen, aber ruckzuck mit "mixed content" zu tun, was bei Google zu schlechterem Rating führt.

Zitat von »JeeAre«

Wenn du mit den "harten" Urls Probleme hast kannst du den Server per htacess und rewrite rule dazu zwingen das er aus http aufrufen automatisch https aufrufe macht

Soweit bin ich inzwischen schon. Das wird mein Weg sein, obwohl dieser Weg über .htaccess den Ruf hat, als bitterem Beigeschmack den Server etwas zu bremsen.
Übrigens bin ich nicht davon überzeugt, dass .htaccess wirklich alle Probleme aus der Welt schafft, gerade in Bezug auf irgendwo hart codierte URLs. Wer weiß, ob die .htaccess beispielsweise mit Base64 korrekt umgeht?
Ich brachte ja auch schon das Beispiel mit dem Plug-In für den IMG-BBCODE. Wenn ein User darüber ein Bild von externer URL einbindet, das aus ungeschützter Quelle stammt, dann gibt es wieder dieses mixed-contend-Problem, das Google gar nicht schätzt.
Die .htaccess kann dagegen aber rein gar nichts tun, weil sie sich nur auf die Pfade auf meinem Server auswirkt, aber nicht auf externe.

Für die Umschiffung letzteren Problems gibt es jedoch ein Plug-In, dass Bilder aus externer Quelle automatisch über einen Proxyserver einbindet.
Begeistert bin ich von so einem kruden Kunstgriff gar nicht, aber was will man machen?

Es muss analysiert werden, was man sich damit wieder ans Bein nagelt.
- Denn wer weiß, wie lange der jeweilige Proxy existieren wird?
- Wer weiß, wie sich so ein Proxy auf die Geschwindigkeit des Seitenaufbaus auswirkt?
- Wer weiß, in welcher Weise so ein Proxy-Zugriff womöglich wiederum die DSGVO berührt?

Gut möglich, dass ich erst nach vollzogener Umstellung allerhand Begleiteffekte bemerke, mit denen ich mich dann damit herumschlagen muss, um die irgendwie in den Griff zu bekommen.

Zitat von »JeeAre«

Ich schreibe damit komplette dynamische websiten in .htm um

Sehr gut, dann werde ich Dich wohl bald mit Fragen löchern.

Zitat von »JeeAre«

Gut das problem haben aber Seiten wie Ebay auch. Wenn dort auf den Beschreibungsseiten externer HTML Code und Bilder eingebunden wird. Man wird halt im Browser darüber informiert.

Ja, aber eBay hat einen für viel Geld maßgeschneiderten Webauftritt.
Ich hingegen, habe hier nur die statischen Seiten selbst geschrieben. Das Forum ist eine gekaufte Software, die vom Hersteller längst nicht mehr gepflegt wird.
Hinzu kommen so an die zwei dutzend nachinstallierte Plug-ins, die wohl mindestens größtenteils von ihren jeweiligen Autoren nicht mehr gepflegt werden.
Meinem Freiraum, hier komplexe Änderungen vorzunehmen, sind also gewisse Grenzen gesetzt, mit denen ich umgehen muss.

Zitat von »JeeAre«

PS: hab gerade gelesen das das hier nur eine Infostelle ist, sollte es nicht gewünscht sein dann schuldigung ;)

Das gilt für diesen Thread nicht, siehe letzten Absatz im Startposting.
Ich kann den Hinweis leider nicht für einzelne Threads abstellen, der kommt daher unvermeidbar jedes Mal, wenn man im Bereich "Ansagen der Forenleitung" ein Posting schreibt.
Um das zu umgehen müsste ich den gesamten Thread an eine andere Stelle verschieben, aber er ist nur hier passend aufgehoben, also lasse ich das.

Wie Ihr gemerkt habt, ist der gesamte Webauftritt nun per SSL zu erreichen. Es erfolgt eine automatische Umleitung auf https://...

Die gröberen Anfangsschwierigkeiten konnte ich binnen einer halben Stunde erschlagen. Sorry, falls Ihr dabei ausgeloggt wurdet!

Nur eine "Kleinigkeit" wird mich noch ziemlich in Atem halten. Diese betrifft die per IMG-Tag eingebundenen Bilder. Da muss ich tatsächlich überall Hand anlegen und das alte http://... umändern in https://...

Leider passiert das (wie schon von mir vermutet) nicht automatisch per .htaccess
- Nichtmal bei Bildern, die auf meinem eigenen Server liegen.
Ansonsten tut die .htaccess aber prima ihren Job.

Es ist mir zu gefährlich, diese Link-Änderungen automatisiert umzusetzen, per Suchen & Ersetzen in der Datenbank. Denn damit könnte ich womöglich ungewollt solche Links zerschießen, die nicht geändert werden dürfen. Ich muss mich daher von Hand durchhangeln.
Bis das abgeschlossen ist, kann es also sein, dass in manchen Threads kein geschlossenes Vorhängeschloss links neben der URL erscheint, das für lückenlosen Schutz steht.
Aber es geht voran!

Ja, danke.
Ich ziehe den Hut vor Jedem, der Regex ohne Hirnkrämpfe zustande bringt.

Alternativ könnte ich mir ein AutoIt-Script basteln, damit wäre ich schneller. Aber ich habe Muffen, dass da doch wieder kuriose Dinge passieren.
Z. B. wenn in der Zwischenzeit jemand ein neues Posting schreibt, während ich an der heruntergeladenen Datenbank herumeditiere und diese dann wieder hochlade.
Bestenfalls ist dann nur das neue Posting futsch. Schlimmstenfalls verbleiben an irgendeiner anderen Stelle Fragmente, Metadaten, Zählvariablen, oder sonstwas.

Man kann das Forum zwar solange für User sperren, aber man glaubt es nicht, was dabei wieder passieren kann - hatte ich schon mal. Da pfuschte mir ein Chronejob rein, um irgendeine zeitgesteuerte Aufgabe zu erledigen.

Ich bin echt ein übervorsichtiges, gebranntes Kind, nachdem mir mein altes Forum zweimal so richtig übel zerditschte.
Es zerditschte sogar noch häufiger, aber zweimal halt so richtig fatal.
Sowas ist hier im EDV-Dompteur-Forum bislang noch nie passiert, aber das liegt eben genau daran, dass ich es behandle, wie ein Bomben-Entschärfer.

Bzw. doch, einmal habe ich hier mit einem selbstgestrickten BBCODE den WYSIWYG-Editor zerschossen. Aber das Problem konnte nach einigen Tagen restlos behoben werden (wozu ich fremde Hilfe in Anspruch nehmen musste!). Seither habe ich es nie wieder gewagt, eigene BBCODEs zu kreieren.

Die Forensoftware wird vom Hersteller schon lange nicht mehr gepflegt. Weiß nicht, ob sich dort noch jemand erbarmt, Support zu leisten. Und mehrere ehemalige Hilfeforen rund um die Forensoftware sind inzwischen dicht. Das Risiko ist mir einfach zu hoch.

Nee, ich hangel mich lieber in stundenlanger Arbeit durch sämtliche Threads und korrigiere die Bildlinks von Hand.
Ist zwar ein Job für Blöde, aber zum Glück ja nur ein einmaliger Akt.
Zudem entdecke ich dabei manche Wissensperle neu! Ich wusste gar nicht, was ich mal alles wusste!

Aber vielen Dank für Deine Anregung, auch wenn ich sie nicht aufgreifen werde.
Es freut mich, dass jemand mitdenkt und seine Tipps beisteuert!

So, nach weiteren 11 Stunden Idioten-Marathon bin ich nun durch!

Ich habe alle 2439 Postings in 411 Threads durchforstet und sämtliche Bildlinks von Hand auf https umgestellt.
Bilder von externer Quelle, die partout nicht per https einzubinden waren, lud ich herunter und bastelte sie anschließend als eingebundene Attachments in die Postings ein, so dass deren Aussehen unverändert geblieben ist.

Nach bestem Ermessen ist der gesamte Webauftritt nun "clean" - überall nur noch https, kein "mixed content" mehr.
Oben in der Adresszeile ist daher nun immer und überall das geschlossene Vorhängeschloss zu sehen, links neben der URL.


@JeeAre: Wenn Du ein gutes Online-Tool kennen solltest, mit dem man einen kompletten Webauftritt auf eventuelle Macken abklopfen kann, dann sei mir Dein Hinweis sehr willkommen!
Ich glaube zwar nicht, dass mir etwas entgangen sein kann, aber die explizite "Reinheits-Bestätigung" durch ein Computerprogramm wäre halt doch beruhigender.

Zitat von »JeeAre«

Da gibt es meines Wissens nach nichts. Zumal es sich ja hier um ein paar Seiten handelt, wirst du nix finden was man mal eben so kostenlos benutzen kann.

Ich habe diese beiden hier gefunden:
https://www.whynopadlock.com/
https://www.jitbit.com/sslcheck/

Es ist aber nicht so, dass die Resultate keine Fragezeichen hinter meiner Stirn erzeugen würden.

Zitat von »JeeAre«

Aber schwebt dir denn noch ein Hirnfurz rum was denn nicht stimmen könnte? Du es nur nicht wirklich nachvollziehen kannst? Bzw alle Fehler ausschließen kannst?

Mixed Content scheint es immerhin tatsächlich nicht mehr zu geben.
Aber:

Erster Punkt:
Was mich wundert, ist dass die ganzen Besucher plötzlich weg sind, sogar die Bots.
Normalerweise habe ich permanent gute 100 "Besucher", von denen die meisten natürlich Bots sind.
Im Moment ist es hier wie ausgestorben.


Zweiter Punkt:
Das Online-Tool jitbit.com nörgelt über Serverfehler bei mehreren Dateien:


Done. Total pages crawled: 28
No issues found

Pages failed to crawl (error returned from the server):
https://www.edv-dompteur.de/image/maxi/Lichteffekte_500.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_600.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_560.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_590.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_510.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_520.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_530.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_540.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_580.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_550.JPG
https://www.edv-dompteur.de/image/maxi/Lichteffekte_610.JPG
https://www.edv-dompteur.de/image/Lichteffekte_Video001m.AVI


Sonderbar daran: Wenn ich beispielsweise den Link der obersten Datei (...Lichteffekte_500.JPG) kopiere und in die Adresszeile des Browsers einfüge, dann wird mir im Firefox das Bild anstandslos angezeigt. Wohingegen im Vivaldi-Browser eine leere Seite mit zwei kleinen konzentrischen Quadraten erscheint.
Habe dann versucht, die URL komplett in Kleinschrift zu schreiben, was jedoch zu "Not found" führte. Dann noch einmal in Originalschreibweise versucht und plötzlich war das Bild auch im Vivaldi da ...

Ich wäre ja geneigt, das für ein bloß kurzfristiges Verschlucken des Servers zu halten, aber die Macke dauert an.
Anfangs hatte ich noch Linkfehler in den statischen Webseiten, die ich heute nach und nach korrgierte. Somit wurde die Fehlerliste im jitbit immer kürzer und umfasst jetzt nur noch obige 12 Einträge.
Die Dateien heißen wirklich exakt so, inklusive Groß-/Kleinschreibung.


Dritter Punkt:
Was ich auch nicht recht kapiere (aber nichts mit der SSL-Umstellung zu tun hat):
Wenn ich ein Bild per rechter Maustaste und "Grafik anzeigen" aufrufe, um wirklich nur das nackte Bild zu haben, dann sieht die
URL manchmal so aus:

Dabei ist aber alles rechts von ...attachmentID=204 überflüssig und kann weg editiert werden.
Der Effekt tritt hier im Forum nicht nur bei Bildern auf, sondern generell. Aber auch nur manchmal ...
Ich verstehe den Mechanismus nicht, der das bewirkt und was es mit den oft lästigen Anhängseln auf sich hat.


Gestern gab es noch ein paar Merkwürdigkeiten mehr, aber die habe ich inzwischen beseitigen können.

Zitat von »JeeAre«

Ich mein du hast ja nun alles mögliche unternommen, also vor Gericht kann man dir eigentlich kein Vorwurf mehr machen. :)

Hallo!?!
Wir leben in Deutschland!
Da sollte man nicht erwarten, dass Richter Maßstäbe anlegen würden, die ein gesunder Mensch, mit intaktem Sinn für Gerechtigkeit, auch nur ansatzweise nachvollziehen könnte.

In Deutschland ist es so: Du willst Opa per Twitter zum Essen einladen und schreibst:
"Komm, wir essen Opa!"
- Anschließend bist Du wegen öffentlichem Aufruf zum Kannibalismus dran.

So viel Sorgfalt kann man bei einem derart umfangreichen Webauftritt gar nicht walten lassen, als dass ein schräger Jurist, der unbedingt etwas finden WILL, keine Mücke-zu-Elefanten-Aufblas-Pumpe mehr anwenden könnte.