Meldung, diese Seite wäre nicht sicher

Zitat von WestHarzer

Zitat von Climbingfreak

Hi,

das "Problem" habe ich auch. Das liegt an dem fehlenden "s" in der Adresse oben und am neuen Fire-Fox-Update. Erst seitdem ist das so.

Wir haben http...

Der neue Standard ist aber https...

Es geht wohl darum, dass auf http-Seiten die Anmeldedaten sich leichter ausspähen lassen. Ich weiß nicht, ob das angedacht ist, dass wir auch in das https-Format rücken. DAs wäre eine Frage für Frank.

l.g.
Stefan

Alles anzeigen

Hi Stefan,
danke für die schnelle Antwort! Dann brauch ich mir ja keine Sorgen machen.

VG,Ulli

Alles anzeigen

 
Hallo Ulli,

kannst du mal spaßeshalber bei dir nur www.pilzforum.eu eingeben ?
Ich lasse das htt....... Zeugs immer und grundsätzlich weg.

LG, Markus

Hallo Ulli,

erst mal ein Dankeschön.

Auch mir fehlt hier das nötige Hintergrundwissen, um eine abschließend fundierte Antwort von mir zu geben.
Sicher ist aber, solange du deinen Rechner mit entsprechendem Schutz belegt hast (Antivirenprogramm, Firewall) kann nichts passieren.
Zumindest werden hierher ja keine wirklich sicherheitsrelevanten Informationen vermittelt, der Rückgriff auf deinen Rechner wäre wie von mir beschrieben ohnehin ausgeschlossen. Ähnliche Beobachtungen habe ich aber auf anderen Webseiten auch schon gemacht, wenn die Sicherheitseinstellungen zu hoch sind, kommen entsprechende Meldungen, bzw. auch die Meldung, dass die Website nicht korrekt dargestellt werden kann. Bei Auswahl der goldenen Mitte, was Sicherheitseinstellungen betrifft, kann man meiner Meinung nach kaum was falsch machen, vorausgesetzt man hat eine Firewall und ein Antivirenprogramm installiert, was bei mir beides in Echtzeit mitläuft.
Ich bin allerdings kein IT-ler, hier spricht nur Erfahrung und schlecht musste ich bislang noch nicht machen.

Liebe Grüße,
Markus

Ich kann nur berichten, daß ich diese Anzeige seit neuestem auf zig Webseiten habe.

Zitat von Safran

Ich kann nur berichten, daß ich diese Anzeige seit neuestem auf zig Webseiten habe.

Das ist eine Sicherheitsmaßnahme / Sicherheitsinformation seit Firefox 52.0

Hallo,

ich melde mich kurz als IT-ler zur Wort. Der Grund für die obige Meldung ist, dass die pilzforum.eu Webseite keine Verschlüsselung über https anbietet. Man kann also nur über http://, nicht aber über https:// darauf zugreifen. Daten, die über http:// übertragen werden, können von dritten Personen mit entsprechenden technischen Sachverstand mitgelesen werden. Wenn man Zugriff auf die "Leitung" (bzw. das WLAN) zwischen euren Computern und dem Pilzforum.eu-Server hat, über die die Daten laufen, dann ist das nicht einmal besonders schwierig, ja fast schon trivial.

Die meisten Inhalte des Forums sind nicht besonders sicherheitsrelevant würde ich meinen. Ein "Hacker", aber auch Internetprovider, BND, NSA und Co. können sehen, welche Forenbeiträge man besucht und geschrieben hat und welche Privatnachrichten man verschickt und empfangen hat. Das ist den meisten Leuten wahrscheinlich ziemlich egal. Ggf. könnten so ein "Hacker" auch in eurem Namen irgendwelchen Blödsinn posten, aber das passiert eher selten, da der "Hacker" ja dann schnell auffliegen würde.

Anders sieht es beim Anmeldeformular aus: Das Passwort wird unverschlüsselt übertragen und kann daher leicht ausgespäht werden. Das ist sehr problematisch, weil ein sehr großer Prozentsatz der Internetnutzer nur wenige Passworte hat und diese auf vielen Seiten verwendet. Facebook, Onlinebanking, Email-Provider ... Man sollte das nicht machen, aber es ist gängige Praxis. Kennt ein Hacker also euer Pilzforum.eu-Passwort, dann kann er damit wahrscheinlich auch andere Dienste "hacken", die nun wiederum doch sehr sicherheitsrelevant sind (Email, Onlinebanking, uvm.). Ein "Hacker" muss nicht unbedingt eine menschliche Person sein. Hacking-Angriffe werden heute auch von Computern automatisiert durchgeführt (Stichwort "Botnetze"). Pilzforum.eu verwendet die MyBB Forensoftware, also eine Standardsoftware, die besonders gut automatisiert angegriffen werden kann. Aber das ist ein anderes Thema und hat nicht direkt mit https:// zu tun.

Kurzum: Webbrowser warnen aus sehr sehr gutem Grund davor, Logindaten (Nutzername und Passwort) unverschlüsselt über das Internet zu übertragen.

Die einzige Lösung ist, Logindaten (und aus meiner Sicht am Besten den gesamten Datenverkehr) verschlüsselt zu übertragen. Dazu muss pilzforum.eu https:// anbieten. Der Foren-IT-Admin muss dafür ein SSL/TLS-Zertifikat besorgen und den Server damit entsprechend konfigurieren. Das gibt es entweder gegen Geld oder kostenlos über z.B. https://letsencrypt.org (wäre für das Forum wohl ausreichend). Die technischen Details erspare ich euch jetzt, stehe aber gerne für weitere Fragen zur Verfügung.

Liebe Grüße,
Christian
[hr]
Korrektur: pilzforum.eu bietet bereits https:// an, aber die Seite https://pilzforum.eu/board/ funktioniert z.B. unter Firefox nicht richtig, da versucht wird, einige Inhalte über http:// nachzuladen. Mit solchen "gemischten Inhalten" kann man dem Internetnutzer leicht Sicherheit vorgaukeln, was neuere Webbrowser ebenso aus gutem Grund blockieren.

Einer der pilzforum.eu Admins müsste also die https://pilzforum.eu/board/ reparieren. Aus meiner Sicht sollte der Zugriff über http:// gleich deaktiviert werden und nur noch https:// angeboten werden. Das ist der aktuelle Trend und meiner Meinung nach sinnvoll.

Liebe Grüße,
Christian

Hallo,
jetzt sind wir sicher (https).
Bei manchen Seiten (aber nicht auf allen Seiten, aber z.B. jetzt wenn ich im Antwortformular schreibe) zeigt mir Firefox aber noch ein gelbes Dreieck neben dem Schloss (in der Adressleiste), es heißt "Teile dieser Seite sind nicht sicher, dies können z.B. Grafiken sein"

Hab ja keine Ahnung davon ... :shy:
(im Editor bekomme ich das gelbe Ausrufezeichen, in der Vorschau auch, auf der Seite dieses Threads dann nicht)

Hallo abeja,

die Warnung kommt, weil Teile der Webseite fest auf http:// eingestellt sind. Im Fall vom Pilzforum ist das z.B. der Roboto-Font, der von Google geladen werden soll (über http://fonts.googleapis.com/css?family=Roboto). Das wird von Firefox (und den meisten anderen Webbrowsern) blockiert.

Falls das ein Forenadmin liest: Um das zu beheben müsste man in https://www.pilzforum.eu/board/board-navi/board-navi.css die Zeile

@import url(http://fonts.googleapis.com/css?family=Roboto);

durch

@import url(//fonts.googleapis.com/css?family=Roboto);

ersetzen. Das // am Anfang führt dazu, dass die Ressource immer über das gleiche Protokoll geladen wird, wie die Hauptseite, d.h. jemand der http:// benutzt bekommt es per http:// und jemand der https:// benutzt bekommt es über https://

Evtl. gibt es noch andere Stellen, wo man das ändern müsste. Mehr konnte ich jetzt auf die Schnelle nicht finden.

Für Firefox kann ich übrigens das AddOn "HTTPS Everwhere" empfehlen. Es leitet automatisch auf eine sichere https Seite um, falls eine solche existiert. Das verhindert recht zuverlässig, dass man seine Logindaten ausversehen ungesichert über's Netz schickt. Klappt natürlich nicht, wenn es keine passende https-Seite gibt, aber besser als gar nichts.

Viele Grüße,
Christian