geizhals server http vs. https

Re: geizhals server http vs. https

colo — Tue, 13 May 2014 17:00:47 GMT

gibts da pläne irgendwas zu machen oder ist man was das jetzt betrifft
komplett heise ausgeliefert?

Och, bitte nicht trollen.

Zum Thema:

Ich habe mjy schon mal gefragt, ob wir ueberall HSTS haben wollen (auf anderen Services/Sites als dem Preisvergleich gibt es das), aber er hat damals noch verneint. HSTS wird ja auch erst dann wirksam, wenn ein UA schon mal via HTTPS verbunden war, ist also kein umfassendes "Heimlittel" fuer das wahrgenommene Problem.

Ein automatischer Redirect von http auf https koennte mit UAs, die unsere Zertifikatskette nicht validieren koennen (unwahrscheinlich, aber nicht unmoeglich) oder mit den verwendeten TLS/SSL-Standardrevisionen und -Ciphersuites nicht zurechtkommen (vermeiden wir zur Zeit zwar aktiv und bewusst, wird aber nicht ewig so bleiben) Probleme bereiten, was natuerlich gegen eine solche Aenderung spricht. Und dann muesste man sich noch ansehen, ob das HTTPS-Frontend mit der zusaetzlichen Last nicht ueberfordert waere - dazu habe ich derzeit keine belastbaren Zahlen bzw. Prognosen, und wir haben de facto auch noch einige Luft nach oben in Sachen CPU-Load, aber dass das technisch ohne Aenderungen bzw. Kapazitaetserweiterungen moeglich ist, trau ich mich nicht einfach so daherzusagen.

Re: geizhals server http vs. https

Gewürzwiesel — Tue, 13 May 2014 16:27:30 GMT

anbiedet
blos
einleidend

Re(2): geizhals server http vs. https

user96106 — Tue, 13 May 2014 14:54:53 GMT

meinst die beta macht mir den chrome eh nicht kaputt?

Re: geizhals server http vs. https

Fly — Tue, 13 May 2014 14:53:17 GMT

Ich weiss jetzt ehrlich gesagt nicht welche meiner Expansions grad dafür zuständig ist, aber wenn's NUR darum geht HTTPS statt HTTP zu verwenden wo's geht (also ned nur GH), warum nicht https://www.eff.org/https-everywhere?

Re: geizhals server http vs. https

Fly — Tue, 13 May 2014 14:53:17 GMT

Re: geizhals server http vs. https

Bucho — Tue, 13 May 2014 13:45:28 GMT

Dagegen weil unnötig. Es sausen hier ja keine sicherheitskritischen Daten durchs Netz.

Re: geizhals server http vs. https

zeddicus — Tue, 13 May 2014 13:43:57 GMT

dagegen

Ich hab in etlichen Kundennetzen / Hotels Probleme mit https bzw. nicht akzeptierten Zertifikaten, und wäre somit ausgesperrt. Muss dadurch sogar oft Bing nutzen, da Google auch https erzwingt...

Re: geizhals server http vs. https

laservision — Tue, 13 May 2014 13:43:48 GMT

dafür

Re: geizhals server http vs. https

section_control — Tue, 13 May 2014 13:08:58 GMT

dafür

geizhals server http vs. https

user96106 — Tue, 13 May 2014 13:04:30 GMT

es ist zwar nett, dass ihr alle services auch per https anbiedet, blos aus macht der gewohnheit tippt man im browser ja nur noch die url ohne das protokoll ein und der browser nimmt halt mal einleidend http bzw. wenn man was googled kommt man in 99% der fälle auch nur auf http.

warum macht ihr keinen generellen rewrite auf https oder setzt überall HTTP Strict Transport Security. das https ist zwar alles gut gemeint in 99% der fälle ruft man aber dennoch alles nur per http auf.

gibts da pläne irgendwas zu machen oder ist man was das jetzt betrifft komplett heise ausgeliefert?