Nickles Blog 212 Themen, 8.716 Beiträge

Nickles.de mit verschlüsselter HTTPS-Übertragung

Michael Nickles / 23 Antworten / Baumansicht Nickles
(Foto: Pixabay)

Wenn im Internet gesurft wird, dann geschieht das über das HTTP-Protokoll (Hypertext Transfer Protocol), erkennbar an dem "http://", das URLs vorangestellt ist - wobei Browser das seit geraumer Zeit automatisch hinzufügen.

Alternativ gibt es die gesicherte verschlüsselte Verbindung über HTTPS, erkennbar an einer URL die mit https:// beginnt. Heise hat gerade verkündet, dass deren Onlinedienste jetzt vollständing auf HTTPS umgestellt sind.

Dieter (der Technikchef von Nickles.de) meinte, dass wir das auch schon seit über einem halben Jahr geschafft haben und das vielleicht auch mal eine Meldung wert ist. Also: Nickles.de ist seit über 6 Monaten vollständig auf verschlüsselte HTTPS-Übertragung umgestellt.

Der eine oder andere wird sich jetzt fragen was das überhaupt bringen soll. Ganz simpel gesagt, bringt es vor allem dem Internetnutzer diverse Vorteile:

-  Er kann dank des Zertifikats des Webservers sicherstellen, dass die Seite mit der er kommuniziert auch wirklich die Seite ist, die er besuchen will.

- Die Daten zwischen dem Browser und dem Server werden verschlüsselt, also weder der Provider, noch eine andere Person im Kommunikationsweg kann den Inhalt lesen. Das gilt zum einen für das, was man beispielsweise auf der Seite postet, aber auch z.B. für Anmeldedaten. Wenn jemand z.B. das gleiche Passwort wie bei Nickles für andere Accounts nutzt, könnte ein abgefangenes Nickles-Passwort andere Accounts kompromittieren.

- Neben dem Inhalt wird auch die Anfrage selbst verschlüsselt, weder der Provider noch jemand anderes sieht, welche Seite auf dem Server man eigentlich wirklich abruft.

- Es ist für Angreifer wesentlich schwieriger beispielsweise über eine XSS-Lücke Schadcode auf einer HTTPS-verschlüsselten Seite unterzubringen, da Browser erwarten, dass alle Inhalte auf einer Seite verschlüsselt übertragen werden (sofern man dies nicht umstellt), sie würden also warnen, wenn da unverschlüsselter Schadcode geladen werden soll.

 Kurzum: alles sinnvoll, aber dennoch nichts Großartiges sondern eigentlich der inzwischen angesagte Stand der Technik. Prinzipiell sind Webseiten auch seitens Google dazu gezwungen auf HTTPS umzustellen, da Google gesichterte Seiten besser bewertet.

bei Antwort benachrichtigen
ullibaer Michael Nickles „Nickles.de mit verschlüsselter HTTPS-Übertragung“
Optionen

Hallo Michael,

Also, ich bin auf nickles.de mit dem Chrome unterwegs.

Oben in der Adresszeile steht ein kleines i mit Kreis.

Klicke ich auf das i, dann kommt das hier:

Gruß Ulli

bei Antwort benachrichtigen
xafford ullibaer „Hallo Michael, Also, ich bin auf nickles.de mit dem Chrome unterwegs. Oben in der Adresszeile steht ein kleines i mit ...“
Optionen

Nickles selbst ist verschlüsselt - die Meldung bezieht sich auf einen externen Aufruf einer Werbung, auf die wir nur begrenzt Einfluss haben, aber diese Ressource wird dann vom Browser normalerweise schlichtweg blockiert und das Skript (oder jede beliebige andere, externe Ressource hat dann auch keinen Zugriff auf die Seiteninhalte.

Allerdings kann es auch sein, dass irgendwo in Beiträgen oder Artikeln noch Bilder "hart" verlinkt sind mittels HTTP-Aufruf, auch die werden dann normalerweise einfach vom Browser blockiert oder es erfolgt eine Nachfrage. Generell ist aber Nickles fast komplett verschlüsselt nutzbar.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
shrek3 xafford „Nickles selbst ist verschlüsselt - die Meldung bezieht sich auf einen externen Aufruf einer Werbung, auf die wir nur ...“
Optionen

Hm, verstehe ich da etwas falsch?

Vor allem die Emailbenachrichtigungen zu neuen Beiträgen in abonnierte Diskussionen enthalten nur Http-Links. Somit sind nahezu zu 100% meiner Seitenaufrufe von vornherein unverschlüsselte Verbindungen.

Ebenfalls unverschlüsselt ist der Seitenaufbau, wenn ich z.B. über "Neue Diskussionen" in Threads gehe..

Gleiches bekomme ich, wenn ich im roten NIckles-Banner (Artikel - Foren - News - Service - Hilfe) mit der Maus über "Foren" gehe (nicht aber auf "Foren" klicke!) und mich dann über den Eintrag "Mikes Wohnzimmer" in diesen Thread durchhangele.

Eine verschlüsselte https-Verbindung erhalte ich nur dann, wenn ich im Nickles-Banner auf "Foren" klicke. Das aber praktiziere ich nie.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
xafford shrek3 „Hm, verstehe ich da etwas falsch? Vor allem die Emailbenachrichtigungen zu neuen Beiträgen in abonnierte Diskussionen ...“
Optionen

Nein, Du verstehst nichts falsch, nur habe ich ein Detail vergessen zu erwähnen:

Alle Links (oder sagen wir "die meisten") auf Nickles sind relative Links - sie enthalten also nur den Pfad, nicht das Protokoll und den Servernamen. Im Menü sieht also ein Forenlink beispielsweise so aus:

"/forum/allgemeines/index.html"

und  nicht so:

"https://www.nickles.de/forum/allgemeines/index.html"

Deswegen bleibt man, wenn man auf der unverschlüsselten Seite ist auch immer auf der unverschlüsselten. Wenn man jedoch auf der verschlüsselten Seite ist, dann bleibt man auf der verschlüsselten... das ist die Crux an der Sache...

Links aus den Newslettern führen bisher noch immer auf die unverschlüsselte Seite - und da bleibt man dann auch... man muss also explizit und manuell in der Adresszeile HTTPS:// angeben, um auf der verschlüsselten Version zu landen... zumindest momentan noch...

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
gelöscht_326468 xafford „Nickles selbst ist verschlüsselt - die Meldung bezieht sich auf einen externen Aufruf einer Werbung, auf die wir nur ...“
Optionen
Dieser Beitrag ist gelöscht!
Dieser Beitrag wurde gelöscht, weil ein anderer User einen berechtigten Einwand dagegen hatte. Die Begründung befindet sich hier.
xafford gelöscht_326468 „Dieser Beitrag ist gelöscht.“
Optionen

Wie schon geschrieben - es kann sein, dass das ein oder andere Werbeskript unverschlüsselt ausgeliefert wird - da haben wir nicht wirklich Einfluss drauf. Was von Nickles kommt, sollte aber eigentlich alles verschlüsselt sein. Um in deinem Fall was genaueres sagen zu können müsste ich wissen, was da unverschlüsselt übertragen wurde.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
gelöscht_326468 xafford „Wie schon geschrieben - es kann sein, dass das ein oder andere Werbeskript unverschlüsselt ausgeliefert wird - da haben ...“
Optionen
Dieser Beitrag ist gelöscht!
hansapark xafford „Nickles selbst ist verschlüsselt - die Meldung bezieht sich auf einen externen Aufruf einer Werbung, auf die wir nur ...“
Optionen

hab eins gefunden:

http://www.nickles.de/elem/symbole/klammer.jpg

war, glaube ich, auf der übersicht des linux- oder des programmierforums.

..und wollte noch das hier ergänzen, für den fall dass es noch unbekannt ist: https://letsencrypt.org/

bei Antwort benachrichtigen
giana0212 ullibaer „Hallo Michael, Also, ich bin auf nickles.de mit dem Chrome unterwegs. Oben in der Adresszeile steht ein kleines i mit ...“
Optionen

Das ist, weil Du die Seite unverschlüsselt angefordert hast.

Füg doch hinter das http noch ein S ein.

also: https://www.nickles.de/thread_cache/539194179.html#_pc

Ich rufe die Seite auch immer noch unverschlüsselt auf.

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
gelöscht_84526 Michael Nickles „Nickles.de mit verschlüsselter HTTPS-Übertragung“
Optionen

Bei mir ist auch nichts verschlüsselt:

bei Antwort benachrichtigen
xafford gelöscht_84526 „Bei mir ist auch nichts verschlüsselt:“
Optionen
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
mawe2 xafford „Siehe hier: http://www.nickles.de/thread_cache/539194189.html _pc oder nacholgend verschlüsselt: ...“
Optionen

Ich bekomme - auch beim Aufruf über https - bei den meisten Seiten von nickles.de die Meldung

"Diese Website stellt keine Informationen über den Besitzer zur Verfügung."

Somit kann man - entgegen der Info von Mike - nicht feststellen, ob man zweifelsfrei mit der gewünschten Seite verbunden ist.

Win 7 32 Bit / Firefox 50.0.2

Gruß, mawe2

bei Antwort benachrichtigen
ullibaer mawe2 „Ich bekomme - auch beim Aufruf über https - bei den meisten Seiten von nickles.de die Meldung Diese Website stellt keine ...“
Optionen
Ich bekomme - auch beim Aufruf über https - bei den meisten Seiten von nickles.de die Meldung "Diese Website stellt keine Informationen über den Besitzer zur Verfügung."

Ich habe gerade mal zum Test nickles.de im Firefox 50.0.2 64-Bit geöffnet.

Und siehe da, es steht https am Anfang.

Das soll mir mal einer erklären.

und dann wieder in Chrome die gleiche Seite geöffnet ! in der Hoffung es stünde wieder nur http da.

Und plötzlich zeigt auch Chrome https an was vorher nicht so war.

Gruß Ulli

bei Antwort benachrichtigen
gelöscht_323936 mawe2 „Ich bekomme - auch beim Aufruf über https - bei den meisten Seiten von nickles.de die Meldung Diese Website stellt keine ...“
Optionen
Diese Website stellt keine Informationen über den Besitzer zur Verfügung.

Stimmt, das wird über die Information angezeigt neben dem schönen grünen Schloß:

dann bei Klick auf  Weitere Informationen steht der Spruch oben im Register Sicherheit, nach Besitzer.

Das Zertifikat gibt aber Auskunft dazu unter:
Ausgestellt für: Organisation (O) "Nickles.de Internet Publishing GmbH"

Aber per se wird nickles.de nicht verschlüsselt. Auch nach Anmeldung wird nicht automatisch auf eine verschlüsselte Verbindung umgeleitet, wenn ein Nickles-Link ohne https: geöffnet wird.

Ebenso aus dem Posteingang, der Link von @Ulli wurde glattweg über eine unverschlüsselte Verbindung geöffnet.
Dabei hat Ulli die Nachricht doch von einer verschlüsselten Verbindung übertragen - und ich bin auch verschlüsselt unterwegs.

Links, die von der gesicherten Verbindung aus geöffnet werden, sind zum Glück weiterhin verschlüsselt, auch in einem neuen Tab.

Bisschen Durcheinander dabei.

Eventuell sollte ich mal alle Nickles Seiten im Browser löschen und sehen, ob das hilft.

Gruß,
Anne

bei Antwort benachrichtigen
ullibaer gelöscht_323936 „Stimmt, das wird über die Information angezeigt neben dem schönen grünen Schloß: dann bei Klick auf Weitere ...“
Optionen

Hallo Anne,

Gerade mal mit Edge versucht. Da steht zwar kein https am Anfang, wohl aber das Schloßsymbol. Also verschlüsselt.

Woran erkenne ich in Microsoft Edge, ob eine Website vertrauenswürdig ist?

Wenn in Microsoft Edge neben einer Websiteadresse ein Symbol in Form eines Schlosses angezeigt wird, bedeutet dies Folgendes:

  • Von der Website gesendete und empfange Daten sind verschlüsselt, was anderen den Zugang zu diesen Informationen erschwert.
  • Die Website ist verifiziert. Dies bedeutet, dass der Websitebetreiber über ein Zertifikat verfügt, das das Unternehmen als Eigentümer ausweist. Klicken Sie auf das Schlosssymbol, um festzustellen, wer der Eigentümer der Website ist und von wem sie verifiziert wurde.
  • Während ein graues Schloss bedeutet, dass die Website verschlüsselt und verifiziert wurde, weist ein grünes Schloss darauf hin, dass die Website von Microsoft Edge sogar als authentisch eingestuft wird. Dies liegt daran, dass sie ein Zertifikat für die erweiterte Überprüfung verwendet, das eine strengere Identitätsüberprüfung erfordert.

Gruß Ulli

bei Antwort benachrichtigen
xafford mawe2 „Ich bekomme - auch beim Aufruf über https - bei den meisten Seiten von nickles.de die Meldung Diese Website stellt keine ...“
Optionen

Das liegt an der Art des Zertifikates. Aber entgegen der Vermutung betreiben Browser Zertifikats-Pinning. Wenn sich also jemand in die Verbindung einschleichen würde mit einem anderen Zertifikat, dann würde der Browser dies erkennen und davor warnen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
mawe2 xafford „Das liegt an der Art des Zertifikates. Aber entgegen der Vermutung betreiben Browser Zertifikats-Pinning. Wenn sich also ...“
Optionen

OK, danke für die Information.

Gruß, mawe2

bei Antwort benachrichtigen
ullibaer gelöscht_84526 „Bei mir ist auch nichts verschlüsselt:“
Optionen
Bei mir ist auch nichts verschlüsselt:

Genau. Nur wenn ich über Chrome auf meinem Smartphone nickles aufrufe, steht in der Adresszeile: https://...

Dafür wird zwar die Seite normal dargestellt, wenn ich aber was posten will, zum Beispiel Windows 10 und gehe dann auf " neues Thema beginnen ", dann kann ich nur einen Teil der Zeile sehen, wo ich den Titel oder die Überschrift reinschreiben möchte!

Ich kann dann auch nicht sehen, was ich getippt habe, geschweige denn etwas posten.

Bekomme ich aber Post in meinem Emailfach, das eine Antwort gekommen ist, und ich gehe dann auf den Link " den Beitrag finden Sie auch in Ihrem privaten Forum ", dann kann ich die nickles.de-Seite ganz normal öffnen und auch auf Postings antworten.

Android 6.0.1

Ist schon komisch.

Deshalb schreibe ich lieber über PC.

Gruß Ulli

bei Antwort benachrichtigen
gelöscht_35042 Michael Nickles „Nickles.de mit verschlüsselter HTTPS-Übertragung“
Optionen

Na, habe ich doch gleich mal das Icon umgestellt...Lächelnd

Gruß

bei Antwort benachrichtigen
gelöscht_323936 Michael Nickles „Nickles.de mit verschlüsselter HTTPS-Übertragung“
Optionen

Toll, dass Nickles.de jetzt ( auch) verschlüsselt zu lesen ist!

Es gibt einige -neben Nickles.de auch wichtige- web-Auftritte wie computerbild.de, t-online.de, chip.de - die nach wie vor im Gebrauch ohne Anmeldung nicht verschlüsseln. 

Bei heise.de kommt man schon sofort auf eine verschlüsselte Seite - auch bei dem Versuch, mit http://www.heise.de zuzugreifen.
So wäre es bei nickles.de auch schön. Das kommt doch bestimmt noch...

Mit der Verschlüsselung gehört  nickles.de jetzt mit zu den Vorreitern im Datenschutz!!!

Gruß,
Anne

bei Antwort benachrichtigen
hhemer Michael Nickles „Nickles.de mit verschlüsselter HTTPS-Übertragung“
Optionen

Lange hatte ich gewartet, mich als Premium-Mitglied bei Nickles einzutragen.

"Nickles.de ist seit über 6 Monaten vollständig auf verschlüsselte HTTPS-Übertragung umgestellt."

Auch im März 2017  war auf der Anmeldeseite  nix HTTPS erkennbar. Habe es schließlich doch riskiert.

Noch etwas:

Wenn ich auf eine Thread antworten will, wird Einloggen verlangt, das nichts nützt.

Erst das Einloggen auf der normalen Startseite lässt Antworten zu.

bei Antwort benachrichtigen
Knoeppken hhemer „Lange hatte ich gewartet, mich als Premium-Mitglied bei Nickles einzutragen. Nickles.de ist seit über 6 Monaten ...“
Optionen

Hallo hhemer,

wenn du unangemeldet auf den Antworten-Button klickst, dich bei Aufforderung anmeldest, musst du nach dem Klick auf OK die Seite in der Browser- Adressleiste aktualisieren, dann bist du auch sichtbar angemeldet.

Ansonsten empfehle ich dir dich immer auf der Startseite anzumelden, es hat auch den positiven Nebeneffekt, dass gerade du als Premiummitglied, nach der Anmeldung beim Stöbern auf Nickles keine Werbung siehst.

Außerdem kannst du im Anmeldefeld auf der Nickles-Startseite, auch den Haken setzen, damit du dauerhaft angemeldet bleibst. Das bleibt natürlich nur dann so, wenn du die Cookies von Nickles nicht löscht.

Auch im März 2017 war auf der Anmeldeseite nix HTTPS erkennbar. Habe es schließlich doch riskiert.

Bitte immer erst diesen Link für die Startseite nutzen, dann bleibst du auch unter https:

https://www.nickles.de/

Und zuletzt:
Danke, dass du Nickles als Premiummitglied unterstützt. Zwinkernd

Gruß
knoeppken

Computer sind großartig. Mit ihnen macht man die Fehler viel schneller.
bei Antwort benachrichtigen
xafford hhemer „Lange hatte ich gewartet, mich als Premium-Mitglied bei Nickles einzutragen. Nickles.de ist seit über 6 Monaten ...“
Optionen
"Nickles.de ist seit über 6 Monaten vollständig auf verschlüsselte HTTPS-Übertragung umgestellt." Auch im März 2017  war auf der Anmeldeseite  nix HTTPS erkennbar. Habe es schließlich doch riskiert.

Es wurde schon lange unterstützt, aber nicht automatisch erzwungen, da wir erst noch die Auswirkungen testen wollten, bevor wir alle automatisch auf die komplett verschlüselte Version automatisch umleiten.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen