Neues Feature Https Zugang für das CC-CB

[Opik]

Nach längerer Beta-Phase kann ich nun hier vekünden,
dass das CC-CB auch über SSL abrufbar ist

Viele Grüße

Opik

[DrSnuggles]

Naja, solange nicht alle Resourcen per https kommen, würde ich das weiterhin Beta nennen.
Nicht ohne Grund zeigen alle Browser die Verbindung weiterhin als unsicher an.

Gegen sniffen reichts, gegen aktive Angriffe sieht's Mau aus.

[dr_tommi]

Zitat:

Zitat von DrSnuggles

Naja, solange nicht alle Resourcen per https kommen, würde ich das weiterhin Beta nennen.
Nicht ohne Grund zeigen alle Browser die Verbindung weiterhin als unsicher an.

Nach kurzem Test sieht es so aus, als ob nur noch die Smileys über http kommen.
Die Startseite wird auch als sicher angezeigt. Aber sobald ein Smiley zu sehen ist passiert es.
Wenn also die Einbindung der Smileys angepasst wurde, sollte es klappen.

Die eingebetteten Bilder kommen natürlich weiterhin unverschlüsselt, solange die Imagehoster das nicht anbieten.

[Opik]

Zitat:

Zitat von DrSnuggles

Naja, solange nicht alle Resourcen per https kommen, würde ich das weiterhin Beta nennen.
Nicht ohne Grund zeigen alle Browser die Verbindung weiterhin als unsicher an.

Gegen sniffen reichts, gegen aktive Angriffe sieht's Mau aus.

Hier kann jeder Bilder einbinden, wie er will.
Da machen die eigenen Bilder den Bock sicherlich nicht fett,
deswegen würd ich es NICHT als Beta bezeichnen.

[DrSnuggles]

@Opik:

Du bindest Javascript von http aus ein -> verloren.

Code:

<script type="text/javascript">
var pkBaseURL = "http://statistics.cc-community.net/Piwik/";
document.write(unescape("%3Cscript src='" + pkBaseURL + "piwik.js' type='text/javascript'%3E%3C/script%3E"));
</script><script type="text/javascript">

Externe Bilder mit http sind kein ganz so großes Problem, weil man damit AFAIK keine Cookies klauen kann.

[Opik]

Jetzt werd aber nicht kleinlich,
das ist ein kleiner Statistik Code, den nur Gäste sehen.

Das innerhalb die normale www-Domain zu linken ist kein Problem, und kein Grund
das als "Beta" zu bezeichnen.
Und das weißt du auch

EDIT:
Die Cookies muss ich eh nicht schützen, und gerade DU weißt das!
Die werden nämlich von vB nicht auf https only gesetzt, das kann ich nicht ändern,
ohne tief in vB einzugreifen.

[DrSnuggles]

Zitat:

Zitat von Opik

Das innerhalb die normale www-Domain zu linken ist kein Problem, und kein Grund
das als "Beta" zu bezeichnen.

Ähh, doch.
Das Javascript kann schließlich die komplette Webseite austauschen.

Bsp:
http://daniel.lorch.cc/docs/ajax_simple/

Zitat:

Zitat von Opik

EDIT:
Die Cookies muss ich eh nicht schützen, und gerade DU weißt das!
Die werden nämlich von vB nicht auf https only gesetzt, das kann ich nicht ändern,
ohne tief in vB einzugreifen.

AFAIK:
Wenn es keine einzige Resource geben würde die von http://www.cc-community.net geladen wird wenn ich die Seite via https besuche sind die Cookies sicher solange ich immer daran denke https://www.cc-community.com vom Bookmark aufzurufen.

Wenn ich natürlich den Fehler mache http://www.cc-community.net aufzurufen dann hab ich verloren, weil die Boardsoftware keine Securecookies unterstützt.

[Opik]

Zitat:

Zitat von DrSnuggles

Ähh, doch.
Das Javascript kann schließlich die komplette Webseite austauschen.

Ich habe mich missverständlich ausgedrückt:
Es ist keine große Mühe, die Dateien im Dateisystem
auf die CC-CB Domain zu linken, ich habe kein Wildcard Zertifikat.

Zitat:

Zitat von DrSnuggles

AFAIK:
Wenn es keine einzige Resource geben würde die von http://www.cc-community.net geladen wird wenn ich die Seite via https besuche sind die Cookies sicher solange ich immer daran denke https://www.cc-community.com vom Bookmark aufzurufen.

Wenn ich natürlich den Fehler mache http://www.cc-community.net aufzurufen dann hab ich verloren, weil die Boardsoftware keine Securecookies unterstützt.

Wenn ein Angreifer dazwischen hockt, wird er es wohl schaffen,
dich irgendwie auf http:// umzuleiten. Wenn du vor sowas Angst hast,
musst du tunneln.

[DrSnuggles]

Zitat:

Zitat von Opik

Ich habe mich missverständlich ausgedrückt:
Es ist keine große Mühe, die Dateien im Dateisystem
auf die CC-CB Domain zu linken, ich habe kein Wildcard Zertifikat.

?

Zitat:

Zitat von Opik

Wenn ein Angreifer dazwischen hockt, wird er es wohl schaffen,
dich irgendwie auf http:// umzuleiten.

Wie?
Er kann die Kommunikation unterbrechen, aber nicht manipulieren solange alles über https geht.

[Opik]

Zitat:

Zitat von DrSnuggles

Er kann die Kommunikation unterbrechen, aber nicht manipulieren solange alles über https geht.

Wenn er anfängt dein DNS zu manipulieren wird er es wohl schaffen,
dich auf ne Seite zu lotsen, die ein schnellen Redirect macht.
So schnell kannst du dann nicht abbrechen.

Bestes Beispiel: die Imagehoster hier in Beitragstexten im Board. Das lässt er einfach auf ein Avatarbild weiterleiten und schon hat er seinen Seitenaufruf.

[DrSnuggles]

Zitat:

Zitat von Opik

Wenn er anfängt dein DNS zu manipulieren wird er es wohl schaffen,
dich auf ne Seite zu lotsen, die ein schnellen Redirect macht.
So schnell kannst du dann nicht abbrechen.

Jupp, das geht.

Dann bleibt https im Board eine Spielerei bis VBB mal ein Update bringt oder dir mal gaaaaaaaanz langweilig ist und du einen SSL Reverse Proxy davor baust

[Opik]

Erklär das mit dem Reverse mal bitte Wie schützt was vorgeschaltetes? Doch nur,
wenn ich dynamisch das Cookie verändere oder?

[Micro@Dee]

Und ich würde das gerne mit dem AJAX erklärt wissen!

[DrSnuggles]

Zitat:

Zitat von Opik

Erklär das mit dem Reverse mal bitte Wie schützt was vorgeschaltetes? Doch nur,
wenn ich dynamisch das Cookie verändere oder?

Jupp. Macht eindeutig ne ganze Menge Arbeit

[DrSnuggles]

@Opik:

Ich hab noch nen Hack entdeckt.

http://xs-sniper.com/blog/2008/09/09/secure-cookies/

Bsp:

Code:

javascript:var cookies=unescape(document.cookie);var split=cookies.split(";");for (i = 0; i <split.length;i++){document.cookie=split[i]+";expires=Thu,1-Jan-1970 00:00:00 GMT;";document.cookie=split[i]+";secure;"}document.location="http://xs-sniper.com/blog";

---edit---
Javascript haut leider nicht hin, weil der bbsessionhash-Cookie http-only ist.

---edit2---
http://blog.modsecurity.org/2008/12/...kie-flags.html

[Tassadar]

Will nicht einen neuen Fred aufmachen - passt ja auch hier
zum Thema
kann mich nicht über https... anmelden, nur über http...
Hab ich mich über die http-Seite angemeldet, kann ich https aufmachen, http zumachen und es geht. Was mache ich falsch?

[Opik]

Bei mir geht es, gerade getestet.

[schwaller]

hier tut das auch so wie es soll.
also würd ich mal sagen - cache löschen, cookies löschen und erneut testen

[dodo]

Zitat:

hier tut das auch so wie es soll.

dito

[frosch]

Hallo,
der Zugang funktioniert bei mir einwandfrei.

Firefox 3.6.13
Windows 7 x64

Einzig störend sind die Nachrichten über gemischte Inhalte, aber das hängt wohl mit dem oben diskutierten zusammen.

Was noch auffällt ist, das noch ungelesende Beiträge nicht mehr vorgehoben werden. Jetzt funktioniert es wieder, scheint an meiner Umgebung gelegen zu haben.


Danke für die Mühen an das Boardteam


frosch

[Horqai]

Zitat:

Zitat von Tassadar

Will nicht einen neuen Fred aufmachen - passt ja auch hier
zum Thema
kann mich nicht über https... anmelden, nur über http...
Hab ich mich über die http-Seite angemeldet, kann ich https aufmachen, http zumachen und es geht. Was mache ich falsch?

Habe dieses Problem auch - hier mit Opera 11.01

[dodo]

Zitat:

Zitat von Horqai

Habe dieses Problem auch - hier mit Opera 11.01

Hier geht es mit Opera 11.01 - b1190:

[Tassadar]

Cache gelöscht, alle Kekse gegessen, immer noch derselbe Effekt. Ist schon komisch.

[Opik]

So,
das alte Zertifikat ist bald abgelaufen,
das neue ist bereits aktiviert und sollte wieder ein Jahr Ruhe geben.

Gruß Opik