Bronies.de

Zumindest im deutsprachigen Raum bzw. in Europa gibt es nicht wirklich ein Forum o.ä. mit vergleichbarer Größe.

Ah, nun wird also tatsächlich umgestellt. Sehr gut! Lob ans Technik-Team.   
Danke auch, dass an die Smiley-Sidebar gedacht wurde. Finde ich richtig toll, dass die noch immer funktioniert.  

Zum Googleranking:
Ihr habt in eurer Diskussion gerade einen wichtigen Faktor vergessen: Google hat vor einiger Zeit bekanntgegeben, verschlüsselte Seiten gezielt zu bevorzugen und setzt das inzwischen auch um. Von daher wird sich die Umstellung mit hoher Wahrscheinlichkeit nicht negativ auswirken, sondern im Gegenteil das Ranking eher verbessern.  
Dass sich ein Weiterleitung - sofern sie denn korrekt umgesetzt wird - in diesem Zusammenhang negativ auswirken sollte, halte ich für ein Gerücht. Immerhin ist das ja keine Sonderlösung von bronies.de, sondern etwas, was jede Seite tun sollte, sobald sie auf https umstellt wird. Soweit ich bislang gelesen habe, ist es für das Ranking sogar deutlich problematischer auf eine Weiterleitung zu verzichen und die Seite, so wie jetzt aktuell der Fall, sowohl verschlüsselt als auch unverschlüsselt gleichzeitig anzubieten (Stichwort: Duplicate Content).

Weiterhin haben Leon und CrimsonSwan auch völlig Recht. Bronies.de ist in der komfortablen Lage, im deutschsprachigen Raum kaum Konkurrenz zu haben und wird daher wohl auch bei einem vergleichsweise schlechtem Ranking noch immer leicht zu finden sein.
Nun sollte man deswegen natürlich trotzdem, sofern es leicht vermeidbar ist, nicht unnötig durch eine ungeschickte Konfiguration ein gutes Ranking verschenken. Nur übermäßig den Kopf darüber zerbrechen braucht man halt auch nicht.^^

es hat auch keiner irgendwo geschrieben, dass das Nachteile bringen würde (außer dem PageRanking der http Links, da zusätzliches Forward), sondern nur, dass man in den Google Webmaster-Tools angeben kann ob http oder https Links bevorzugt werden sollen. Ich habe nirgends geschrieben dass die Weiterleitungen falsch seien. Dafür ist doch völlig egal ob es in Deutschland Konkurrenz gibt oder nicht. Das korrekte umstellen in den Webmaster-Tools führt allerdings wesentlich schneller zu korrekten Links auch in den Google Suchergebnissen. (Das ist z.B. wichtig, da kein CSP und/oder HSTS verwendet wird und somit ein MitM noch immer die http -> https Umleitung ersetzen könnte und so effektiv wie zuvor noch immer diversen Unfug machen kann.)

(05.10.2016)rainbowderpy schrieb: [ -> ]es hat auch keiner irgendwo geschrieben, dass das Nachteile bringen würde

Ok, mit diesem Satz:

(03.10.2016)rainbowderpy schrieb: [ -> ]das Google Pakeranking sieht vermeidbare Weiterleitungen gar nicht gerne.

hab ich das genau so verstanden. Aber macht ja nichts. Missverständnisse kommen vor.  

Ich wollte die Sache mit dem besseren Ranking durch Verschlüsselung auch einfach nur mal erwähnt haben, da das bisher noch niemand angesprochen hatte und das denke ich in diesem Zusammenhang auch mal ganz interessant zu wissen ist.

So, ich habe direkt das erste Problem mit dem Forum. Die HTTPS Version funktioniert bei mir teilweise nicht. Grund ist folgende Fehlermeldung von Firefox:

War das in einem Unternehmensnetzwerk oder über einen VPN/Proxy?

Kleines Problem:

Wenn ich https://bronies.de/ (also ohne www) eingebe, werde ich auf http://www.bronies.de/ weitergeleitet. Also ohne Verschlüsselung.

Aber trotzdem, kann mir mal jemand erklären, wofür wir https brauchen?
Ich meine hier sind keine sensibelen Daten, und Passwörter werden bei MyBB schon vor dem Abschicken verschlüsselt (kann jeder mit tamper data nachprüfen)
Oder gibt es hier Onlinebankingfunktionen, die ich noch nicht entdeckt habe?

(06.10.2016)CrimsonSwan schrieb: [ -> ]Wenn ich https://bronies.de/ (also ohne www) eingebe, werde ich auf http://www.bronies.de/ weitergeleitet. Also ohne Verschlüsselung.

Der Fehler ist bekannt.

(06.10.2016)CrimsonSwan schrieb: [ -> ]Passwörter werden bei MyBB schon vor dem Abschicken verschlüsselt (kann jeder mit tamper data nachprüfen)

Bist du dir da sicher? Eine JavaScript-basierte Verschlüsselung wäre zwar theoretisch möglich, ist aber viel unzuverlässiger als HTTPS. So weit ich weiß und laut Quelltext sendet MyBB die Passwortdaten (sowie Session-Cookies, etc) unverschlüsselt.

(06.10.2016)rainbowderpy schrieb: [ -> ]War das in einem Unternehmensnetzwerk oder über einen VPN/Proxy?

In gewissem Maße beides. Firmennetz mit Proxy

(06.10.2016)Chase schrieb: [ -> ]

(06.10.2016)rainbowderpy schrieb: [ -> ]War das in einem Unternehmensnetzwerk oder über einen VPN/Proxy?

In gewissem Maße beides. Firmennetz mit Proxy

Lass dir mal die Details des Zertifikats anzeigen, und poste sie ggfs. hier. Es gibt einige Firmen-Virenscanner/Proxies, die den gesamten https-Verkehr entschlüsseln, scannen und mit einem anderen Schlüssel wieder verschlüsseln. Ein Unding meiner Meinung nach, aber naja.

Das richtige Zertifikat sollte von Comodo CA sein, und primär auf cloudflaressl.com lauten. Seriennummer 1C:A2:FA:7A:E5:E7:EE:BB:31:9D:B8:70:7C:06:23:8A.

(Spannenderweise gilt das Zertifikat für ein gutes Dutzend Webseiten, ich hoffe, Cloudflare weiß, was sie da tun...)

(06.10.2016)CrimsonSwan schrieb: [ -> ]Kleines Problem:

Wenn ich https://bronies.de/ (also ohne www) eingebe, werde ich auf http://www.bronies.de/ weitergeleitet. Also ohne Verschlüsselung.

Das liegt an unserer derzeitigen Konfiguration. Das Problem wird sich lösen, sobald wir nur noch https://-Verbindungen zulassen   .

(06.10.2016)CrimsonSwan schrieb: [ -> ]Aber trotzdem, kann mir mal jemand erklären, wofür wir https brauchen?
Ich meine hier sind keine sensibelen Daten, und Passwörter werden bei MyBB schon vor dem Abschicken verschlüsselt (kann jeder mit tamper data nachprüfen)
Oder gibt es hier Onlinebankingfunktionen, die ich noch nicht entdeckt habe?

Nope. Die Anmeldedaten und auch alles andere was ein User senden könnte (Beiträge, PNs usw.) wird bei einer http-Verbindung im Klartext übertragen! Und genau deshalb ist für Bronies.de https sinnvoll. Es gibt viele Meetups die über das Forum organisiert werden und auch außerhalb von Meetups nutzen viele User Bronies.de unterwegs. Und das gerne auch über öffentliche Wlan-Hotspots. Und insbesondere über solche öffentlichen Wlan-Hotspots ist es prinzipell möglich, solche Daten mitzuschneiden. Klar ist Bronies.de jetzt kein ganz so attraktives und lukratives Ziel, aber viele Nutzer nutzen leider immer noch (wie Vergangenheit leider bereits mehrmals bewiesen hat) für viele Dienste das selbe Passwort. Und somit könnte man mit den Daten unter Umständen doch was anfangen   .

(06.10.2016)404compliant schrieb: [ -> ](Spannenderweise gilt das Zertifikat für ein gutes Dutzend Webseiten, ich hoffe, Cloudflare weiß, was sie da tun...)

Ja, das ist leider ein kleiner Nachteil an Cloudflare. Uns gehört das Cloudflare-Zertfikat nicht ganz allein. Wir und auch alle anderen Cloudflare-Kunden müssen sich ein Zertifikat mit mehreren teilen. Es ist nur für Unternehmenskunden möglich auch eigene Zertifikate über Cloudflare zu nutzen.

Nunja, eigene Zertifikate sind teilweise auch teuer. Je nach Grad der Professionalität.
Ein gutes Symantech-Zertifikat kostet somit bspw. gerne mal um die 1000€ pro Jahr, wärend ein Zertifikat von Comodo nur noch 9€/Monat kostet. (Es gibt da natürlich auch unterschiede in der Versicherungssumme, Symantech versichert ja mit 1,5Mio Dollar, währen Comodo nur mit 250000€ versichert.)

Von daher ist es hochgradig sinnvoll sich solch ein Zertifikat zu teilen, anstatt es alleine zu bezahlen.

(08.10.2016)CrimsonSwan schrieb: [ -> ]Von daher ist es hochgradig sinnvoll sich solch ein Zertifikat zu teilen, anstatt es alleine zu bezahlen.

Sinnvoll nicht, eher kostensparend.

(06.10.2016)404compliant schrieb: [ -> ]Lass dir mal die Details des Zertifikats anzeigen, und poste sie ggfs. hier. Es gibt einige Firmen-Virenscanner/Proxies, die den gesamten https-Verkehr entschlüsseln, scannen und mit einem anderen Schlüssel wieder verschlüsseln. Ein Unding meiner Meinung nach, aber naja.

Das richtige Zertifikat sollte von Comodo CA sein, und primär auf cloudflaressl.com lauten. Seriennummer 1C:A2:FA:7A:E5:E7:EE:BB:31:9D:B8:70:7C:06:23:8A.

(Spannenderweise gilt das Zertifikat für ein gutes Dutzend Webseiten, ich hoffe, Cloudflare weiß, was sie da tun...)

Machen heutzutage leider auch viele Antivirenprogramme ohne zu fragen.

Für Kaspersky: Einstellungen -> Erweitert -> Netzwerk -> Sichere Verbindung untersuchen -> Haken raus!
Kann in älteren / neueren Versionen etwas anders heißen, ist jedoch dort zu finden.

In anderen Programmen kann mans auch abschalten, einfach nachsehen ob COMODO CA Limited drin steht und nicht etwas anderes.

Es ist leider problemlos möglich ein bis auf den Fingerabdruck exakt gleiches Zertifikat als Proxy in einer Firma oder lokal installiertes Antimalwareprogramm nachzubauen. Da hilft dann nur noch ein exaktes vergleichen des bekannten, korrekten Fingerabdrucks und des im Browser angezeigten Fingerabdrucks. (Am besten mit Nutzung von HSTS, certificate pinning im Webbrowser, oder sowas wie DNSSEC + Fingerprint im DNS record)

Einige besonders tolle Programme machen so dann mal eben jegliche Zertifikate gegenüber dem Webbrowser des Anwenders "voll vertrauenswürdig" und nehmen dem Webbrowser somit die Möglichkeit, den Nutzer zu warnen. Mittlerweile ist es allerdings recht üblich, dass die ach so tollen Schutzprogramme von Eset, eScan, AVG, Immunet und Avast mehr Sicherheitslücken für gezielte Angriffe (hinsichtlich attack surface) schaffen als diese schließen. (z.B. machen die häufig ROP Mitigation und ASLR kaputt, laden eigene ohne DEP kompilierten Biblotheken in diverse Programme,...).

Der beste Schutz ist und bleibt noch immer aktuelle Software, Nutzung des gesunden Menschenverstandes, Adblocker, Chrome/Firefox anstelle IE, keine unnötige Software installieren und keine illegalen Dienste nutzen.

(08.10.2016)rainbowderpy schrieb: [ -> ]Es ist leider problemlos möglich ein bis auf den Fingerabdruck exakt gleiches Zertifikat als Proxy in einer Firma oder lokal installiertes Antimalwareprogramm nachzubauen.

Ja, nein, nicht ganz. Der Proxy muss immerhin noch ein Root-Zertifikat in den Zertifikatspeicher von Windows bzw. Browser installieren, von Haus aus werden solche Fake-Zertifikate nicht akzeptiert. Virenscanner können das selbst installieren, in Firmennetzen macht das dein lieber, vertrauenswürdiger Admin für dich.

(Ich hab mir Firefox selbst (ohne zusätzliche Zertifikate) installiert, und die Routingtabelle so manipuliert, dass ich den Proxy umgehen kann. Problem gelöst.)

https-Redirects sind nun flächendeckend aktiviert.

Weitere Konfigurationen und Maßnahmen werden nach und nach getestet und ggf. eingebaut.

Seit dem Aktivieren der https-Redirects funktioniert Tapatalk nicht mehr. Kann da was gemacht werden oder wird das jetzt fallen gelassen?

(09.10.2016)Artem schrieb: [ -> ]Seit dem Aktivieren der https-Redirects funktioniert Tapatalk nicht mehr. Kann da was gemacht werden oder wird das jetzt fallen gelassen?

Glückwunsch zum 1.000 Beitrag ^^

#OnTopic: Stimmt, Tapatalk ist tot

(09.10.2016)Artem schrieb: [ -> ]Seit dem Aktivieren der https-Redirects funktioniert Tapatalk nicht mehr. Kann da was gemacht werden oder wird das jetzt fallen gelassen?

Das müssen wir selbst noch klären.