Unsicherer Login ins Forum

an PC-Welt >>> HALLO - AUFWACHEN <<<
Ich finde es erstaunlich, dass sowohl der Login für das Forum als auch für Kommentare auf anderen PC-Welt Internetseiten immer noch über eine UNSICHERE / UNVERSCHLÜSSELTE Verbindung geht.
>>> Andere Computerzeitschriften haben schon längst auf https umgestellt.
SCHÄMT EUCH !

 

Welche sind das konkret?
Meine kurze Analyse ergab: Chip: kein HTTPS, Heise: kein HTTPS, Planet3Dnow: kein HTTPS

Das Ganze ist alles Andere als trivial. Es muß wirklich jeder Scheiß, der auf der Seite verlinkt ist oder irgendwann verlinkt wird, auch auf HTTPS umgestellt werden. Insbesondere bei Werbung stößt man dann schnell an die Grenzen des Machbaren.
Denn wenn man das nicht macht, nervt der Browser jedes Mal, dass unsichere Elemente vorhanden sind. Der ahnungslose User bekommt dann einen Schreck und macht die Seite zu.

 

Noch was zum Lesen, falls Du ein Abo hast: http://www.heise.de/ct/ausgabe/2015...mstellung-von-Websites-auf-HTTPS-2500572.html

 

Es sind eine Hand voll Zeilen in der Konfiguration des Webservers. Schon laufen alle lokalen Inhalte über https. Wer natürlich lokale Ressourcen über absolute Pfade eingebunden hat, dem ist eh nicht zu helfen, da er die letzten 20 Jahre verpennt hat. Aber selbst so was lässt sich durch simple Ersetzungsroutinen beheben. Was die Werbetreibenden angeht, deren Code zur Einbindung erkennt schon seit Jahren das Protokoll automatisch. Bleibt die letzte Gruppe derer, die Seiteninhalte outgesourct haben - tja, denen kann man nur sagen: wer am falschen Ende spart, zahlt halt irgend wann drauf. Da hält sich mein Mitleid in engen Grenzen.

 

Na wenn sich selbst Heise dagegen entschieden hat, wird es eben nicht so trivial sein. Die sind ja normalerweise immer für Verschlüsselung gut, signieren auf Messen PGP-Schlüssel etc.
Um die internen Inhalte gehts auch gar nicht, sondern um die Externen.

Es gäbe ja eine ganz einfache Lösung: Die Seite ist nur noch für Abonnenten zugänglich. Dann könnte man auch auf den ganzen Werbescheiß verzichten. Aber kaum Einer ist bereit, für Inhalte zu zahlen, also muß die Werbung ertragen werden und auch das damit verbundene HTTP.

 

Ihr glaubt doch nicht, dass IDG für dieses Forum mehr Aufwand betreiben wird als ab und an Fingernägel zu schneiden.

 

Jupp, was in Heise steht ist Gesetz und man muss es nicht mehr selber prüfen. Es gibt nur zwei Gründe, warum man keine SSL-Verschlüsselung einsetzt: 1) es interessiert so wenige Nutzer, dass es keinen Einfluss auf die Zahlen hat - sieht man ja hier: eine Wortmeldung zu dem Thema in den ganzen Jahren - und 2) eine SSL Anfrage verbraucht bis zu 10 mal mehr Serverressourcen als eine normale Anfrage. Das kann schon mal einen ordentlichen Investitionsbedarf nach sich ziehen. Warum sollte man aber nach 1 das Geld in die Hand nehmen? Da drückt mal lieber einem Scheiberling 20 Euro in die Hand, der sich eine nette Geschichte ausdenkt, um die 3 Pöbelfritzen ruhig zu stellen. Es gibt auch nicht einen inhaltlichen Kommentar zu dem Artikel bei Heise, was das wahnsinnige Interesse der Leser unterstreicht.

 

Ich habe es auch live bei Planet3Dnow mitbekommen, wo man sich mal an HTTPS probiert hat und irgendwann aufgegeben hat. Einfach irgendwo einen Hebel umlegen ist es eben nicht.

 

Wie gesagt, wenn die Seite / Anwendung mit Sachverstand und Weitblick erstellt wurde, ist es eben genau dieser Hebel. Alle anderen brauchen halt einen Programmierer, der mit regulären Ausdrücken umgehen kann. Sollte es tatsächlich Werbenetzwerke geben, die den Schuss noch nicht gehört haben, tut man gut daran, sich andere Partner zu suchen. Besser noch man kneift den Hintern zusammen und nimmt die Eigenvermarktung selbst in die Hand. Die nächste Runde mit dem Cookieverbot ist bereits eingeläutet und wird in dem Bereich für weit mehr Unruhe sorgen, da das Thema nicht einfach auszusitzen ist. Und ja, das wäre auch nur ein Hebel, wenn man nicht am falschen Ende gespart hat.