# Nebenbemerkung: Zitieren ist hier ja furchtbar - daher sind meine QUOTES manuell erstellt.
Mir sind die Bedenken ja vollkommen klar, ich würd auch nichts an so einem alten Monoliten ändern wollen. Aber das ist auch nicht was ich vorschlage!SSL war und ist schon ewig ein Thema... - darum gibt es auch gültige Zertifikate
Wer sich 7 USD im Jahr für ein SSL-Zertifikat nicht leisten kann und deswegen auf LetsEncrypt ausweicht sollte seine Webpräsenz überdenken.
Die SSL-Priorität auf Grund der Gegebenheiten gering....
Du hast vermutlich noch nicht bemerkt dass hier als Community-Basis die vom Hersteller nicht mehr supportete Vbulletin Publisher Suite 4.2.5 läuft.
Die Publisher-Suite ist das normale vBulletin 4.x mit den voll integrierten Erweiterungen CMS, Groups, Blogs, Alben, .....
Dazu haben wir die aktuell deaktivierte Wiki-Integration Vaultwiki welche ebenfalls ein kommerzielles Produkt ist.
Es gibt keine Open-Source-Suite welche die geforderten weil intensiv genutzten Features mit nur einen einzigen gemeinsamen Datenbank bieten könnte - es muss also wieder zu einem kommerziellen Produkt gegriffen werden.
Auf ein solches sparen wir seit geraumer Zeit.
Da Geld nun nicht an Bäumen wächst und für die benötigten Lizenzen und Styles 1500-2000 Euro aufgerufen sind ist die Neuanschaffung nichts was wir in kurzer Zeit stemmen können.
------------
Der Softwarecode wurde vom Hersteller inkonsistent geschrieben, teils hardcoded, teils dynamisch - eine "tote" Software selbst umzuschreiben ergibt keinen Sinn.
Wir setzen kommerzielle Produkte ein um nicht mehr selbst basteln zu müssen - Die vB-Suite welche in PHP 4/5 geschrieben wurde an PHP 7.1 hinzubiegen war schon genug Spielerei.
Das ist schön und gut, aber:Proxying:
Das Einbinden von Fremdcontent in der WBC ist schon sehr viele Jahre tabu - viel länger als irgendwelche Urteile von irgendeinem für die WB-Community nicht zuständigem Gericht existieren.
Deswegen:Wie du auf die Idee kommst dass wir sich mit eingebettetem Fremdcontent schmücken, ist für mich nicht nachvollziehbar
Zitat von Wolfgang
Ich red von zB. Bildern, die von externen Quellen kommen (mit src='http://irgend.was/bild.jpg), und nicht von Links zu externen Seiten. Diese Bilder wollt ihr ja ohnehin nicht im Forum haben, also doch einfach raus damit!?Das kastrieren (entfernen von http-links) einer dreiviertel Million Posts kommt nicht in Frage.
Nochmal: Ich red von eingebetteten Bildern.Stures umschreiben auf https funktioniert aber auch nicht -> dead links
Das ist auch nicht mein Vorschlag. Ich sprech von einem Reverse Proxy, der SSL terminiert und die wbc-website intern über http lädt uns sie mir über https ausliefert. Ganz klassiches Setup, denn damit kann man alles alte mit gültigem Zertifikat ausliefern und den Datenverkehr zwischen Client und Reverseproxy verschlüsseln. Da der Reverse Proxy nun lokal unverschlüsselt mit PHP redet, ist das Problem der Datensicherheit auf den lokalen Server beschränkt und damit schon mal ein großes Stück besser.und proxying (abrufen des fremden http-contents und weiterreichen als lokales https) kommt nicht in frage da wir nicht fremdes material ausliefern werden / dürfen.
Ich rechne jetzt natürlich mit dem Gegenargument, dass jetzt natürlich ein paar Links nicht mehr stimmen die auf wb-community.com zeigen, weil eventuell das https fehlt. Nun, mit einem simplen rewrite in der Reverse Proxy configuration funktionieren alle alten http links immer noch. (Setzt allerdings voraus dass alle http anfragen auf https umgebogen werden). Für alle weiteren Links (alles außer zu wb-community.com) ist das nicht notwendig - das sind entweder Links zu externen Webseiten oder eingebettes Material, das dann der Browser aus Sicherheitsgründen blocken wird.
Natürlich ist es Arbeit, bis alles dann einwandfrei funktioniert. Irgendwo gibt es immer irgendetwas das sich eventuell etwas wehrt. Die große Frage ist jedoch, ob es euch Admins Wert genug ist, auf die Sicherheit eurer Useraccounts zu achten.
Das hat zwar nicht direkt etwas mit der SSL Diskussion zu tun, aber indirekt. Denn ich würde es schon begrüßen, wenn die Angriffsfläche auf meine Persönlichen Daten aktiv so gering wie möglich gehalten wird. Immerhin sind wir nun ja schon einen Schritt weiter. Aus "Gar keine persönlichen Daten" kristallisiert sich jetzt schon heraus, dass E-Mail-Adresse als persönlich wahrgenommen wird. Auch wird nicht mehr abgestritten dass IP-Adressen gespeichert werden. Grundsätzlich ist das für mich kein Problem, weil mir auch klar ist, dass ohne diese Daten ein Betrieb der wbc erst gar nicht möglich ist. Um so wichtiger ist es daher aber, genau diese persönlichen Daten nach besten Wissen und Gewissen, mit aktuellen Stand der Technik und allgemein verbreiteten Vorgangsweisen von Seiten des Betreibers zu schützen! Ein herunterspielen der Dringlichkeit oder Wegweisung der Verantwortung ist hier am falschen Platz.Für das Erstellen eines Benutzerkontos braucht man außer einer gültigen Mailadresse keinerlei personenbezogenen Daten anzugeben.
Alles was man in der WBC postet, im Profil angibt, erfolgt auf freiwilliger Basis.
Gespeichert werden ausschließlich essentielle Daten welche für die Nutzung dieser Website notwendig sind und jene Daten die man auf freiwilliger Basis zwecks Publizierung in der Community von sich Preisgibt. - Bei letzterem kann man sich nicht auf Datenschutz berufen da diese Eingaben ausschließlich zur Veröffentlichung von einem selbst eingestellt wurden.
Auf SEO, Marketing, Werbung usw. verzichten wir seit sehr vielen Jahren - so werden auch keinerlei Daten (z.B. IP-Adressen) Dritten zugänglich gemacht.
Ich möchte hier nicht nur nörgeln, sondern biete auch meine Hilfe an, diese Probleme zu lösen. Ich geb euch gern meinen ssh pub key und wir schaun uns die Sache mal gemeinsam über tmux an.
