Neues Feature Https Zugang für das CC-CB

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Naja, solange nicht alle Resourcen per https kommen, würde ich das weiterhin Beta nennen.
Nicht ohne Grund zeigen alle Browser die Verbindung weiterhin als unsicher an. :-)

Gegen sniffen reichts, gegen aktive Angriffe sieht's Mau aus.
 

dr_tommi

alter Oldie
AW: Https Zugang für das CC-CB

Naja, solange nicht alle Resourcen per https kommen, würde ich das weiterhin Beta nennen.
Nicht ohne Grund zeigen alle Browser die Verbindung weiterhin als unsicher an. :-)
Nach kurzem Test sieht es so aus, als ob nur noch die Smileys über http kommen.
Die Startseite wird auch als sicher angezeigt. Aber sobald ein Smiley zu sehen ist passiert es.
Wenn also die Einbindung der Smileys angepasst wurde, sollte es klappen.

Die eingebetteten Bilder kommen natürlich weiterhin unverschlüsselt, solange die Imagehoster das nicht anbieten.
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Naja, solange nicht alle Resourcen per https kommen, würde ich das weiterhin Beta nennen.
Nicht ohne Grund zeigen alle Browser die Verbindung weiterhin als unsicher an. :-)

Gegen sniffen reichts, gegen aktive Angriffe sieht's Mau aus.
Hier kann jeder Bilder einbinden, wie er will.
Da machen die eigenen Bilder den Bock sicherlich nicht fett,
deswegen würd ich es NICHT als Beta bezeichnen. ;)
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

@Opik:

Du bindest Javascript von http aus ein -> verloren.

Code:
<script type="text/javascript">
var pkBaseURL = "http://statistics.cc-community.net/Piwik/";
document.write(unescape("%3Cscript src='" + pkBaseURL + "piwik.js' type='text/javascript'%3E%3C/script%3E"));
</script><script type="text/javascript">
Externe Bilder mit http sind kein ganz so großes Problem, weil man damit AFAIK keine Cookies klauen kann.
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Jetzt werd aber nicht kleinlich,
das ist ein kleiner Statistik Code, den nur Gäste sehen.

Das innerhalb die normale www-Domain zu linken ist kein Problem, und kein Grund
das als "Beta" zu bezeichnen.
Und das weißt du auch ;)

EDIT:
Die Cookies muss ich eh nicht schützen, und gerade DU weißt das!
Die werden nämlich von vB nicht auf https only gesetzt, das kann ich nicht ändern,
ohne tief in vB einzugreifen.
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Das innerhalb die normale www-Domain zu linken ist kein Problem, und kein Grund
das als "Beta" zu bezeichnen.
Ähh, doch.
Das Javascript kann schließlich die komplette Webseite austauschen.

Bsp:
http://daniel.lorch.cc/docs/ajax_simple/

EDIT:
Die Cookies muss ich eh nicht schützen, und gerade DU weißt das!
Die werden nämlich von vB nicht auf https only gesetzt, das kann ich nicht ändern,
ohne tief in vB einzugreifen.
AFAIK:
Wenn es keine einzige Resource geben würde die von http://www.cc-community.net geladen wird wenn ich die Seite via https besuche sind die Cookies sicher solange ich immer daran denke https://www.cc-community.com vom Bookmark aufzurufen.

Wenn ich natürlich den Fehler mache http://www.cc-community.net aufzurufen dann hab ich verloren, weil die Boardsoftware keine Securecookies unterstützt.
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Ähh, doch.
Das Javascript kann schließlich die komplette Webseite austauschen.
Ich habe mich missverständlich ausgedrückt:
Es ist keine große Mühe, die Dateien im Dateisystem
auf die CC-CB Domain zu linken, ich habe kein Wildcard Zertifikat.


AFAIK:
Wenn es keine einzige Resource geben würde die von http://www.cc-community.net geladen wird wenn ich die Seite via https besuche sind die Cookies sicher solange ich immer daran denke https://www.cc-community.com vom Bookmark aufzurufen.

Wenn ich natürlich den Fehler mache http://www.cc-community.net aufzurufen dann hab ich verloren, weil die Boardsoftware keine Securecookies unterstützt.
Wenn ein Angreifer dazwischen hockt, wird er es wohl schaffen,
dich irgendwie auf http:// umzuleiten. Wenn du vor sowas Angst hast,
musst du tunneln.
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Ich habe mich missverständlich ausgedrückt:
Es ist keine große Mühe, die Dateien im Dateisystem
auf die CC-CB Domain zu linken, ich habe kein Wildcard Zertifikat.
?

Wenn ein Angreifer dazwischen hockt, wird er es wohl schaffen,
dich irgendwie auf http:// umzuleiten.
Wie?
Er kann die Kommunikation unterbrechen, aber nicht manipulieren solange alles über https geht.
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Er kann die Kommunikation unterbrechen, aber nicht manipulieren solange alles über https geht.
Wenn er anfängt dein DNS zu manipulieren wird er es wohl schaffen,
dich auf ne Seite zu lotsen, die ein schnellen Redirect macht.
So schnell kannst du dann nicht abbrechen.

Bestes Beispiel: die Imagehoster hier in Beitragstexten im Board. Das lässt er einfach auf ein Avatarbild weiterleiten und schon hat er seinen Seitenaufruf.
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Wenn er anfängt dein DNS zu manipulieren wird er es wohl schaffen,
dich auf ne Seite zu lotsen, die ein schnellen Redirect macht.
So schnell kannst du dann nicht abbrechen.
Jupp, das geht. :icon_knud:

Dann bleibt https im Board eine Spielerei bis VBB mal ein Update bringt oder dir mal gaaaaaaaanz langweilig ist und du einen SSL Reverse Proxy davor baust :icon_lol:
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Erklär das mit dem Reverse mal bitte :) Wie schützt was vorgeschaltetes? Doch nur,
wenn ich dynamisch das Cookie verändere oder?
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

@Opik:

Ich hab noch nen Hack entdeckt.

http://xs-sniper.com/blog/2008/09/09/secure-cookies/

Bsp:
Code:
javascript:var cookies=unescape(document.cookie);var split=cookies.split(";");for (i = 0; i <split.length;i++){document.cookie=split[i]+";expires=Thu,1-Jan-1970 00:00:00 GMT;";document.cookie=split[i]+";secure;"}document.location="http://xs-sniper.com/blog";
---edit---
Javascript haut leider nicht hin, weil der bbsessionhash-Cookie http-only ist.

---edit2---
http://blog.modsecurity.org/2008/12/fixing-both-missing-httponly-and-secure-cookie-flags.html
 

Tassadar

Bekanntes Mitglied
AW: Https Zugang für das CC-CB

Will nicht einen neuen Fred aufmachen - passt ja auch hier
zum Thema
kann mich nicht über https... anmelden, nur über http...
Hab ich mich über die http-Seite angemeldet, kann ich https aufmachen, http zumachen und es geht. Was mache ich falsch?
 

schwaller

Bekanntes Mitglied
AW: Https Zugang für das CC-CB

hier tut das auch so wie es soll.
also würd ich mal sagen - cache löschen, cookies löschen und erneut testen :)
 

frosch

Bekanntes Mitglied
AW: Https Zugang für das CC-CB

Hallo,
der Zugang funktioniert bei mir einwandfrei.

Firefox 3.6.13
Windows 7 x64

Einzig störend sind die Nachrichten über gemischte Inhalte, aber das hängt wohl mit dem oben diskutierten zusammen.

Was noch auffällt ist, das noch ungelesende Beiträge nicht mehr vorgehoben werden. Jetzt funktioniert es wieder, scheint an meiner Umgebung gelegen zu haben.


Danke für die Mühen an das Boardteam :)


frosch :icon_mrgreen:
 

Horqai

Board-Manager
AW: Https Zugang für das CC-CB

Will nicht einen neuen Fred aufmachen - passt ja auch hier
zum Thema
kann mich nicht über https... anmelden, nur über http...
Hab ich mich über die http-Seite angemeldet, kann ich https aufmachen, http zumachen und es geht. Was mache ich falsch?
Habe dieses Problem auch - hier mit Opera 11.01
 

Tassadar

Bekanntes Mitglied
AW: Https Zugang für das CC-CB

Cache gelöscht, alle Kekse gegessen, immer noch derselbe Effekt. Ist schon komisch.
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

So,
das alte Zertifikat ist bald abgelaufen,
das neue ist bereits aktiviert und sollte wieder ein Jahr Ruhe geben.

Gruß Opik
 

chaospir8

★★★★★-Oldie
AW: Https Zugang für das CC-CB

Ja, habe ich auch vorhin festgestellt. Ausgestellt am 13.11.2011. Läuft ab am 13.11.2012.
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
AW: Https Zugang für das CC-CB

Das halte ich nicht für sinnvoll, zumindest nicht so, wie es in deinem Wiki-Link beschrieben ist. Damit würde man alle zu https zwingen, auch wenn es nicht gewünscht ist und wenn ich es richtig verstanden habe, könnte man keine self-signed Zertifikate verwenden (ich weiss, dass das unser Zertifikat z.Zt. nicht self-signed ist, aber in anderen Posts bist du glühender Verfechter von self-signed Zertifikaten).
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Den Header sollte man nur setzen wenn jemand schon über https kommt.

Self signed wär natürlich ungünstig auf einer Seite wie dem CCB.
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

@ibinsfei:

Kommt auf's Zielpublikum an. Bei Fefe ist das kein Problem.
Im CCB seh ich da schwarz.

Die Sicherheit von nem Selfsigend ist nicht schlechter wenn man sich die vielen geöffneten CAs ansieht, aber die Bedienbarkeit für DAUs ist problematisch.
DAU versteht nicht warum eine Meldung aufpoppt und was das bedeutet.

Im Umkehrschluss bedeutet das natürlich auch, dass DAUs eine Meldung zu einem kaputt Zertifikat völlig ignorieren und somit trivial anfällig für MITM sind.
Dafür wurde certificate pinning erfunden, aber das unterstützen die Browser AFAIK noch nicht. (Chrome pint ein paar Googlesachen)

PS: fefe ist von CAcert signed und nicht self signed.
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
AW: Https Zugang für das CC-CB

Das Ergebnis ist das Gleiche, bei fefe poppt auch die Sicherheitswarnung auf, aber lassen wir das. Wir sind ja wohl einer Meinung, dass Zertifikate von einer registrierten CA besser sind, da dort keine Sicherheitswarnungen aufpoppen, die den Normal-User abstumpfen könnten.
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Bei Fefe haben bestimmt 90% der Nutzer CAcert importiert und die restlichen die das nicht haben werden wohl das Zertifikat einmal importieren.
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
AW: Https Zugang für das CC-CB

Ich habe mir gerade CAcert mal genauer angesehen und das ist für den Popo. Man kann ohne Probleme mit Fake-Daten ein Zertifikat erstellen. Dies ist zwar nur für 6 Monate gültig, aber wenn man CAcert als CA importiert hat, dann wird das Zertifikat ohne Murren angenommen.
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Class 1 oder Class 3?

Wenn Class 1, konntest du auch die Domäne faken?
Falls ja wär das schlecht.
Alles außer der Domäne wird natürlich nicht sauber geprüft
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
AW: Https Zugang für das CC-CB

Wie class 3 Zertifikate erstellt werden können, habe ich nicht richtig rausfinden können.
Um einen Account bei CACert zu erstellen braucht man nur eine x-beliebige EMail-Adresse, die Daten werden nicht überprüft.
Dann kann man beliebige Domains/SubDomains registrieren, zur "Überprüfung" wird dann eine Mail an eine EMail-Adresse der Domain/SubDomain geschickt.
Dann kann man einen CSR eingeben und erhält das Zertifikat.
Wenn ich deren System richtig verstanden habe, kann man "Vertrauenspunkte" sammeln und ab einer gewissen Anzahl von Punkten darf man dann alles, auch Vertrauenspunkte an andere vergeben. Da dies inzwischen sehr viele können, gehe ich mal davon aus, dass eine Massenmail an "vertrauenswerte" Member einem schnell die nötigen Punkte verschafft.
[edit]Nett ist auch folgendes. Unter CACer-Vertrauensnetzwerk gibt es den Punkt "Training". Wählt man den an, kommt eine Seite mit abgelegten Prüfungen und ein Link zur Prüfungssite.

Code:
Ihre erfolgreichen Prüfungen
Die Liste der Prüfungen, die Sie bestanden haben bei https://cats.cacert.org/

Datum 	Test 	Variante

Bei https://cats.cacert.org kommt dann:
Code:
Fehler: Gesicherte Verbindung fehlgeschlagen
      
      
      
      
      
        
        
          Ein Fehler ist während einer Verbindung mit cats.cacert.org aufgetreten.

Die SSL-Gegenstelle konnte keinen akzeptablen Satz an Sicherheitsparametern aushandeln.

(Fehlercode: ssl_error_handshake_failure_alert)

        

        
        

  Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
  Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren
  Alternativ können Sie auch die Funktion im Hilfe-Menü verwenden, um diese Website als fehlerhaft zu melden.
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

Wie class 3 Zertifikate erstellt werden können, habe ich nicht richtig rausfinden können.
Nur im persönlichen Kontakt mit einem Assurer

Um einen Account bei CACert zu erstellen braucht man nur eine x-beliebige EMail-Adresse, die Daten werden nicht überprüft.
ACK

Dann kann man beliebige Domains/SubDomains registrieren, zur "Überprüfung" wird dann eine Mail an eine EMail-Adresse der Domain/SubDomain geschickt.
ACK

Dann kann man einen CSR eingeben und erhält das Zertifikat.
ACK

Und wie unterscheidet sich das jetzt von allen anderen Class 1 CAs auf der Welt? z.B. von https://cert.startcom.org/

Wenn ich deren System richtig verstanden habe, kann man "Vertrauenspunkte" sammeln und ab einer gewissen Anzahl von Punkten darf man dann alles, auch Vertrauenspunkte an andere vergeben.
ACK

Da dies inzwischen sehr viele können, gehe ich mal davon aus, dass eine Massenmail an "vertrauenswerte" Member einem schnell die nötigen Punkte verschafft.
Probiers mal. Mit ner Mail wirst du nicht weit kommen. Auf dem 28c3 schon eher :-)


Bei https://cats.cacert.org kommt dann:
Code:
Fehler: Gesicherte Verbindung fehlgeschlagen
        
          Ein Fehler ist während einer Verbindung mit cats.cacert.org aufgetreten.

Die SSL-Gegenstelle konnte keinen akzeptablen Satz an Sicherheitsparametern aushandeln.

(Fehlercode: ssl_error_handshake_failure_alert)

        

        
        

  Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
  Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren
  Alternativ können Sie auch die Funktion im Hilfe-Menü verwenden, um diese Website als fehlerhaft zu melden.
Muss ja auch, du lieferst kein passendes Client Zertifikat aus.

Man kann ohne Probleme mit Fake-Daten ein Zertifikat erstellen.
Und wo konntest du jetzt genau ein Zertifikat mit Fakedaten erstellen?

Wo ist das CACert-System genau schlechter als an dem System einer der folgenden CAs?

http://www.sk.ee/
http://www.actalis.it/
http://www.kamusm.gov.tr/
http://www.netlock.hu/USEREN/index.html
http://www.hongkongpost.gov.hk/index.html
http://www.harica.gr/
http://www.comsign.co.il/eng/default.asp

Du traust diesen CAs doch oder?
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
AW: Https Zugang für das CC-CB

Über meine "überprüfte" Domain unter "Server-Zertifikate"->"Neu"
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

The following hostnames were rejected because the system couldn't link them to your account, if they are valid please verify the domains against your account.
Rejected: xxxxx
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Ich plane in Zukunft das CC-CB https only (mit redirects natürlich) zu machen.
Etwas Sorge macht mir noch die Verlinkung externen http Bilder.

Ideen? Anregungen? Vorschläge?
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Hmm, ja. Ich glaube das wäre mit der (hoffentlich irgendwann kommenden) neuen Boardsoft dann gut möglich. Solange würde es halt warnen. Ist das extrem? Oder unüblich? Ich glaube ich hatte sowas auch beim 1und1 webmailer z.B.
 

QuicksandF

( ͡° ͜ʖ ͡°)
AW: Https Zugang für das CC-CB

Vorher sollten auf jeden Fall noch die jetzigen Probleme mit dem SSL Zertifikat behoben werden. Aufm Android-Handy bekomme ich mit Chrome und mit Firefox eine Zertifikatswarnung. Bei dem Check von sslshopper.com wird angezeigt das das Startcom Intermediate Zertifikat fehlt.

Beim Check von SSLlabs.com wird angegeben das das Intermediate Zertifikat vorhanden ist, aber trotzdem irgendwelche Probleme da sind. Hast du alle 3 Zertifikate zusammenkopiert, das cc-community.net Zertifikat, das Startcom Root Zertifikat und das Startcom Class1 Intermediate Zertifikat? Das wird z.B. hier für nginx beschrieben: https://www.startssl.com/?app=42

Weiterhin gibt es bei dem Test eine ziemlich schlechte Bewertung weil das unsichere SSL2 akzeptiert wird, viele alte und unsichere Chipher akzeptiert werden, der Server anfällig für die BEAST und die CRIME/compression Attacken ist und kein Session reuse zulässt.

Eine empfohlene SSL-Konfiguration für nginx ist z.B.:

Code:
ssl_protocols               SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;
ssl_prefer_server_ciphers   on;
ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  10m;
Statt das Board komplett mit einem Redirect nur per SSL erreichbar zu machen wäre es vielleicht eine Überlegung wert erstmal HTTP Strict Security zu probieren.

Grüße,
QuicksandF
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Ich schau es mir an, danke. Nur eins :ich surfe grade mit dem Chrome unter Android und bekomme keine Warnung
 
AW: Https Zugang für das CC-CB

Ich bin auch mit Chrome android hier. Certi wird mir als gültig angezeigt. Keine Warnung außer dass es auch nicht sichere Ressourcen gibt.

Und sslshopper zeigt mir auch an daß alles gut sei.

Und meine Verbindung ist nicht komprimiert.
 

Opik

Team (Technik)
Mitarbeiter
AW: Https Zugang für das CC-CB

Ich bin gerade dabei das Certificate zu ändern
 

DrSnuggles

Xanatos
AW: Https Zugang für das CC-CB

@Opik:

Jetzt hast du auch noch das CA-Zertifikat mitgesendet, das ist eigentlich nicht notwendig.
 
Oben Unten