Hallöchen,

ich wollte fragen, ob es in naher Zukunft geplant ist, per HTTPS auf das Forum zuzugreifen. Das Zertifikat existiert ja bereits und es erscheint eine Weiterleitungs-Seite. Weil eigentlich würde ich viel lieber HTTPS benutzen, allein schon wegen dem Login.

Grüße

1.) https steigert die serverlast - vbulletin ist von haus aus schon sehr ressourcenlastig

2.) nachladen externer inhalte wie externer bilder, addons wuerde staendig die browsermeldung - nur sichere inhalte anzeigen? - hervorrufen

3.) vbulletin is doof geschrieben - man kann zwar bereich x unverschluesselt, bereich y verschluesselt ausliefern - das login aber nur unverschluesselt solange man nicht gaenzlich auf die unverschluesselte auslieferung verzichtet - was wieder browsermeldungen wegen externer http inhalte hervorruft

---------

fazit:
eine reine https site waere realisierbar...
waere aber langsamer und jeglicher externer http-inhalt muesste unterbunden werden oder via ssl-proxy nachgeladen werden

guck doch vielleicht mal hier... http://www.wb-community.com/showthread.php?49274-die-Kinderkrankheiten-eines-frisch-geschl%FCpften-Forums

Danke für die Antworten. Ich habe zu diesen gleich weitere Fragen:
zu 1: Was ist das für ein Server? Ist das nur ein Webspace, VServer oder Root-Server? Vielleicht wäre ein Server- oder Anbieter-Wechsel sinnvoll? Wenn das ein finanzielles Problem ist, würden sicherlich genug Spenden zusammenkommen.
zu 2: Das Problem mit dem unsicheren Inhalten kenne ich von einem anderen Forum. Da wurde dann die Regel eingeführt, dass Bilder etc. entweder per HTTPS eingebunden oder an den Post angehängt werden müssen. Das Absenden eines Posts mit nicht-HTTPS-Inhaltes wurde unterbunden. In den veralteten Threads wurde es, wenn möglich, korrigiert. Sind denn so viele Inhalte ausgelagert?
zu 3: Es bringt auch nichts, nur den Login zu verschlüsseln. HTTPS-Cookies werden verschlüsselt gespeichert und können nicht mehr per HTTP gelesen werden. Wer sich per HTTPS einloggt, muss auch mit HTTPS weitersurfen. Ansonsten denkt das Forum man sei nicht eingeloggt, da der verschlüsselte Cookie nicht gelesen werden kann. Andersherum (HTTP-Login + HTTPS-Surfen) funktioniert es aber.

Tipp: Cloudflare bietet ein kostenlosen Content-Delivery-Network-Dienst an: https://www.cloudflare.com/de/cdn/. Vielleicht würde das eine Geschwindigkeits- und Leistungssteigerung bringen, da viele Daten dezentral gespiegelt werden.

Grüße

zu 1: weder nur ein Webspace noch ein VServer oder gar Root-Server
zu 2: bilder an posts anhaengen ? die copyrightanwaelte spitzen schon mal die bleistifte - posts der letzten 15 jahre korrigieren? nenenenene
zu 3: falsch, verschluesseltes login mit unverschluesselter website ist gang und gaebe - guck ebay, amazon und co - verschluesselt wird nur wo es was bringt - also login, bezahlung, ...

zu 1: Steht der Rechner bei Dir im Keller? Wenn ja, dann bin ich jetzt erstaunt. Sowas sieht man nicht oft.
zu 2: Wer Bilder nicht anhängen möchte, muss verlinken. Ob die Bilder aber eingebunden oder angehängt werden ist - rechtlich - nahezu gleich. Wer sagt, dass man das Austauschen von Hand machen muss? Das kann man einen Bot machen lassen. So ein Programm schreibe ich an einem WE.
zu 3: Es tut mir leid, aber ich muss korrigieren: Wenn man das Secure-Keyword beim Cookie weg lässt, funktioniert es, ja. Aber die Sicherheit lässt man dann auch weg. Dann fängt der Badboy zwar nicht das PW ab, kann aber die Sitzung übernehmen. Dies hängt mit dem Angemeldet-bleiben-Häkchen zusammen: Der Server merkt zwar, dass sich die IP geändert hat, aber da dies dank des Häkchens zulässig ist, motzt er nicht. Okay, dies ist ein nur Forum und kein Online-Banking, aber der Firefox zeigt wo es langgeht, indem er beim unverschlüsselten Login eine kleine Warnung anzeigt.

Ich möchte jetzt auch keinen Streit anfangen, wer jetzt zu 100 % recht hat oder nicht. Schau Dir einfach mal Cloudflare an. Wenn es etwas ist, was weiterhilft, dann freut es mich, dieses Forum verbessert zu haben und wenn nicht, dann kann ich wenigstens beruhigt mit dem Gedanken einschlafen, dass ich es versucht habe.

Grüße

nee... bei mir im keller haette keiner eine freude...
die pizzaschachteln werden artgerecht mit ein paar hundert bruedern und schwestern im rudel in einem groessern gehege im interxion wien gehalten

zwischen verlinken bzw extern einbinden und lokal abspeichern und ausliefern besteht schon ein unterschied - da hilft dir die linksabteilung gerne weiter
umschreiben bringt nix wenn die quellen nur http sind.... ein ssl-proxy is in minuten via htaccess eingebunden - holt http ab und gibt https aus
nur externe quellen haben immer ein problem - man hat keinen einfluss darauf - daher verzichten wir auf jegliche externen anbieter und arbeiten rein lokal
klar koennte man in neuen posts http verbieten - nur ist das nicht im sinne der post-verfasser

wozu mit kanonen auf spatzen schiessen ?
hier gibt es keine personenbezogenen daten welche besonders schutzwuerdig waeren
und von account-hijacking haette bislang auch noch niemand berichtet
fuer leut mit paranoja gibts ja auch noch tor welches auch normale websites anzeigt ;)