Nickles Blog 212 Themen, 8.716 Beiträge

Verfolgung starten Optionen

Nickles.de mit verschlüsselter HTTPS-Übertragung

Michael Nickles / 23 Antworten / Flachansicht Nickles
(Foto: Pixabay)

Wenn im Internet gesurft wird, dann geschieht das über das HTTP-Protokoll (Hypertext Transfer Protocol), erkennbar an dem "http://", das URLs vorangestellt ist - wobei Browser das seit geraumer Zeit automatisch hinzufügen.

Alternativ gibt es die gesicherte verschlüsselte Verbindung über HTTPS, erkennbar an einer URL die mit https:// beginnt. Heise hat gerade verkündet, dass deren Onlinedienste jetzt vollständing auf HTTPS umgestellt sind.

Dieter (der Technikchef von Nickles.de) meinte, dass wir das auch schon seit über einem halben Jahr geschafft haben und das vielleicht auch mal eine Meldung wert ist. Also: Nickles.de ist seit über 6 Monaten vollständig auf verschlüsselte HTTPS-Übertragung umgestellt.

Der eine oder andere wird sich jetzt fragen was das überhaupt bringen soll. Ganz simpel gesagt, bringt es vor allem dem Internetnutzer diverse Vorteile:

-  Er kann dank des Zertifikats des Webservers sicherstellen, dass die Seite mit der er kommuniziert auch wirklich die Seite ist, die er besuchen will.

- Die Daten zwischen dem Browser und dem Server werden verschlüsselt, also weder der Provider, noch eine andere Person im Kommunikationsweg kann den Inhalt lesen. Das gilt zum einen für das, was man beispielsweise auf der Seite postet, aber auch z.B. für Anmeldedaten. Wenn jemand z.B. das gleiche Passwort wie bei Nickles für andere Accounts nutzt, könnte ein abgefangenes Nickles-Passwort andere Accounts kompromittieren.

- Neben dem Inhalt wird auch die Anfrage selbst verschlüsselt, weder der Provider noch jemand anderes sieht, welche Seite auf dem Server man eigentlich wirklich abruft.

- Es ist für Angreifer wesentlich schwieriger beispielsweise über eine XSS-Lücke Schadcode auf einer HTTPS-verschlüsselten Seite unterzubringen, da Browser erwarten, dass alle Inhalte auf einer Seite verschlüsselt übertragen werden (sofern man dies nicht umstellt), sie würden also warnen, wenn da unverschlüsselter Schadcode geladen werden soll.

 Kurzum: alles sinnvoll, aber dennoch nichts Großartiges sondern eigentlich der inzwischen angesagte Stand der Technik. Prinzipiell sind Webseiten auch seitens Google dazu gezwungen auf HTTPS umzustellen, da Google gesichterte Seiten besser bewertet.

bei Antwort benachrichtigen
Hallo Michael, Also, ich bin auf nickles.de mit dem Chrome unterwegs. Oben in der Adresszeile steht ein kleines i mit ... ullibaer
Nickles selbst ist verschlüsselt - die Meldung bezieht sich auf einen externen Aufruf einer Werbung, auf die wir nur ... xafford
Hm, verstehe ich da etwas falsch? Vor allem die Emailbenachrichtigungen zu neuen Beiträgen in abonnierte Diskussionen ... shrek3
xafford shrek3 „Hm, verstehe ich da etwas falsch? Vor allem die Emailbenachrichtigungen zu neuen Beiträgen in abonnierte Diskussionen ...“
Optionen

Nein, Du verstehst nichts falsch, nur habe ich ein Detail vergessen zu erwähnen:

Alle Links (oder sagen wir "die meisten") auf Nickles sind relative Links - sie enthalten also nur den Pfad, nicht das Protokoll und den Servernamen. Im Menü sieht also ein Forenlink beispielsweise so aus:

"/forum/allgemeines/index.html"

und  nicht so:

"https://www.nickles.de/forum/allgemeines/index.html"

Deswegen bleibt man, wenn man auf der unverschlüsselten Seite ist auch immer auf der unverschlüsselten. Wenn man jedoch auf der verschlüsselten Seite ist, dann bleibt man auf der verschlüsselten... das ist die Crux an der Sache...

Links aus den Newslettern führen bisher noch immer auf die unverschlüsselte Seite - und da bleibt man dann auch... man muss also explizit und manuell in der Adresszeile HTTPS:// angeben, um auf der verschlüsselten Version zu landen... zumindest momentan noch...

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Dieser Beitrag ist gelöscht. gelöscht_326468
Wie schon geschrieben - es kann sein, dass das ein oder andere Werbeskript unverschlüsselt ausgeliefert wird - da haben ... xafford
Dieser Beitrag ist gelöscht. gelöscht_326468
hab eins gefunden: war, glaube ich, auf der übersicht des linux- oder des programmierforums. ..und wollte noch das hier ... hansapark
Das ist, weil Du die Seite unverschlüsselt angefordert hast. Füg doch hinter das http noch ein S ein. also: ... giana0212
Bei mir ist auch nichts verschlüsselt: gelöscht_84526
Siehe hier: http://www.nickles.de/thread_cache/539194189.html _pc oder nacholgend verschlüsselt: ... xafford
Ich bekomme - auch beim Aufruf über https - bei den meisten Seiten von nickles.de die Meldung Diese Website stellt keine ... mawe2
Ich habe gerade mal zum Test nickles.de im Firefox 50.0.2 64-Bit geöffnet. Und siehe da, es steht https am Anfang. Das ... ullibaer
Stimmt, das wird über die Information angezeigt neben dem schönen grünen Schloß: dann bei Klick auf Weitere ... gelöscht_323936
Hallo Anne, Gerade mal mit Edge versucht. Da steht zwar kein https am Anfang, wohl aber das Schloßsymbol. Also ... ullibaer
Das liegt an der Art des Zertifikates. Aber entgegen der Vermutung betreiben Browser Zertifikats-Pinning. Wenn sich also ... xafford
OK, danke für die Information. Gruß, mawe2 mawe2
Genau. Nur wenn ich über Chrome auf meinem Smartphone nickles aufrufe, steht in der Adresszeile: https://... Dafür wird ... ullibaer
Na, habe ich doch gleich mal das Icon umgestellt... Gruß luttyy
Toll, dass Nickles.de jetzt auch verschlüsselt zu lesen ist! Es gibt einige -neben Nickles.de auch wichtige- web-Auftritte ... gelöscht_323936
Lange hatte ich gewartet, mich als Premium-Mitglied bei Nickles einzutragen. Nickles.de ist seit über 6 Monaten ... hhemer
Hallo hhemer, wenn du unangemeldet auf den Antworten-Button klickst, dich bei Aufforderung anmeldest, musst du nach dem ... Knoeppken
Es wurde schon lange unterstützt, aber nicht automatisch erzwungen, da wir erst noch die Auswirkungen testen wollten, ... xafford