War das denn eine ernstgemeinte Frage? Ich wundere mich, dass du die zweite Option ernsthaft in Erwägung ziehst, wenn ich schreibe "Schön zu lesen, dass".
Kannst du dir Chrome-Entwickler vorstellen, die von solchen Entwicklungen erstmals auf pro-linux.de hören?
Ja, das habe ich befürchtet... Aber was willst du mir damit sagen? Ich bin mir noch gar keiner Schuld bewusst.
Ist es verkehrt, hier in der Kommentarspalte Dinge zu kritisieren, die man selbst nicht mitentwickelt? Oder hätte es dir schon gereicht, wenn ich auf sprachlicher Ebene stattdessen mit "man" formuliert hätte?
Ich das Web nicht inzwischen für uns alle (für mich, für dich und für den Papst mitsamt seiner Herrenboutique) so wichtig, dass seine Sicherheitsarchitektur nicht gesunderweise nebenbei von einzelnen Browserentwicklern ausgetüftelt werden sollte?
Von Kenner der Szene am Do, 26. Juli 2018 um 21:50 #
Es ist wirklich Klasse das HTTPS nun mehr verbreitet ist und Chrome HTTP-Seiten meldet. Leider gibt es immer noch Unternehmen die ihre Internetseiten nicht migriert haben.
Nicht alle HTML Seitenabrufe erolgen über öffentliche Netze. Den Overkill von TLS brauch ich mir in einem abgesicherten, privaten Netz nicht antun. Dann will mich aber Chrome bevormunden viel besser zu wissen, was Sache ist. Arroganz hoch 3.
Arroganz hoch 3 ist es, von seinem eigenen speziellen Anwendungsfall auf die Allgemeinheit zu schließen. Nur weil Du es nicht brauchst, ist es noch lange kein Unfug.
Wieso wird diese Seite eigentlich immer noch default mit http und nicht https geladen? Letsencrypt ist ja immerhin eingerichtet. Gibt es da irgendwelche Probleme?
Wir haben ja vor kurzem schon geschrieben, dass wir kurz davor sind, die Änderung zu machen. Die Seite ist schon länger unter HTTPS aufrufbar. Vor der Installation des Redirects wollten wir noch ein wenig testen. Dann kam die Urlaubszeit dazwischen. Aber es wird in den nächsten Tagen passieren.
Schön zu lesen, dass wir die Sicherheitskonzepte einer tragenden Technologie auf diese Weise ausarbeiten.
Das war jetzt das "Wir sind Papst"-"wir", oder arbeitest du an Chrome mit?
Es war da "Wir sind Papst"-"wir"
War das denn eine ernstgemeinte Frage? Ich wundere mich, dass du die zweite Option ernsthaft in Erwägung ziehst, wenn ich schreibe "Schön zu lesen, dass".
Kannst du dir Chrome-Entwickler vorstellen, die von solchen Entwicklungen erstmals auf pro-linux.de hören?
Das war eine rhetorische Frage, keine ernst gemeinte.
Ja, das habe ich befürchtet... Aber was willst du mir damit sagen? Ich bin mir noch gar keiner Schuld bewusst.
Ist es verkehrt, hier in der Kommentarspalte Dinge zu kritisieren, die man selbst nicht mitentwickelt? Oder hätte es dir schon gereicht, wenn ich auf sprachlicher Ebene stattdessen mit "man" formuliert hätte?
Ich das Web nicht inzwischen für uns alle (für mich, für dich und für den Papst mitsamt seiner Herrenboutique) so wichtig, dass seine Sicherheitsarchitektur nicht gesunderweise nebenbei von einzelnen Browserentwicklern ausgetüftelt werden sollte?
"_Ist_ das Web ..." sollte das latürnich heissen
Es ist wirklich Klasse das HTTPS nun mehr verbreitet ist und Chrome HTTP-Seiten meldet. Leider gibt es immer noch Unternehmen die ihre Internetseiten nicht migriert haben.
... aber die IT feiert: IT departments reaction after Chrome 68 marks non-HTTPS sites as insecure - but there is still a site with HTTP
Nicht alle HTML Seitenabrufe erolgen über öffentliche Netze. Den Overkill von TLS brauch ich mir in einem abgesicherten, privaten Netz nicht antun. Dann will mich aber Chrome bevormunden viel besser zu wissen, was Sache ist. Arroganz hoch 3.
Arroganz hoch 3 ist es, von seinem eigenen speziellen Anwendungsfall auf die Allgemeinheit zu schließen. Nur weil Du es nicht brauchst, ist es noch lange kein Unfug.
Dann rufst Du Deine privaten Seiten eben „nicht sicher“ ab – Problem?
Bruhahaha - Von welchem Overkill sprichst du?
Abseits von high-traffic Websites und da auch "nur" für den Handshake ist der Overhead komplett zu vernachlässigen
[root@localhost:~]$ openssl speed -evp aes-128-gcm
Doing aes-128-gcm for 3s on 16 size blocks: 109262420 aes-128-gcm's in 2.98s
Doing aes-128-gcm for 3s on 64 size blocks: 65224115 aes-128-gcm's in 2.98s
Doing aes-128-gcm for 3s on 256 size blocks: 32882975 aes-128-gcm's in 2.98s
Doing aes-128-gcm for 3s on 1024 size blocks: 12911713 aes-128-gcm's in 2.99s
Doing aes-128-gcm for 3s on 8192 size blocks: 2034490 aes-128-gcm's in 2.98s
Doing aes-128-gcm for 3s on 16384 size blocks: 1033674 aes-128-gcm's in 2.98s
OpenSSL 1.1.0h-fips 27 Mar 2018
built on: reproducible build, date unspecified
options:bn(64,64) md2(char) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: gcc -DZLIB -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DPURIFY -DSYSTEM_CIPHERS_FILE="/etc/crypto-policies/back-ends/openssl.config" -DOPENSSLDIR="\"/etc/pki/tls\"" -DENGINESDIR="\"/usr/lib64/engines-1.1\"" -O2 -g -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic -fasynchronous-unwind-tables -Wa,--noexecstack -specs=/usr/lib/rpm/redhat/redhat-hardened-ld
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-128-gcm 586643.87k 1400786.36k 2824846.17k 4421937.83k 5592799.36k 5683125.78k
Wieso wird diese Seite eigentlich immer noch default mit http und nicht https geladen? Letsencrypt ist ja immerhin eingerichtet.
Gibt es da irgendwelche Probleme?
Ja, der Admin muss mal die mod_rewrite Doku lesen
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Header always set "Strict-Transport-Security" "max-age=31536000"
Die Lösung war mir bekannt. Ich wollte aber wissen ob es dafür einen Grund gibt dieses nicht zu tun
Wir haben ja vor kurzem schon geschrieben, dass wir kurz davor sind, die Änderung zu machen. Die Seite ist schon länger unter HTTPS aufrufbar. Vor der Installation des Redirects wollten wir noch ein wenig testen. Dann kam die Urlaubszeit dazwischen. Aber es wird in den nächsten Tagen passieren.
@hjb
das klingt super.