Profil - Webseiten URL auf https ändern

Moinsen zusammen,

man kann im Profil eine URL zur Webseite hinterlegen.
Laut DSGVO müssen zu 90% aller Webseiten inzwischen über https verfügen. Hier wird aber JEDE URL, im Profil, mit http eingeleitet. Ich würde mir bitte wünschen, dass dies auf https geändert wird.

Nicht alle haben url Umleitungen auf https programmiert. Bei meinen Webseiten ist das so, kann aber eben nicht jeder. Manche Webseiten lassen keinen Zugriff zu wenn man über http aufruft. Google bzw Chrome identifiziert solche Seiten oft als unsicher....

Moin,

das nicht sicher beim Protokoll HTTP hat vor allem den Hintergrund, dass Daten unverschlüsselt übertragen werden. Das ermöglicht anderen, die sich beispielsweise im gleichen Netzwerk befinden, diese Datenübertragung einzusehen. Gefährlich ist es deshalb, weil auch Login-Informationen und dergleichen eingesehen werden können. Deshalb ist das Protokoll HTTPS vor allem dann sinnvoll, wenn man solche Informationen überträgt.* Nun stellt sich die Frage, ob das bei privaten Homepages wirklich so oft vorkommt.

Natürlich hast du Recht, dass u. a. aus den oben beschriebenen Gründen HTTPS zum guten Ton gehört. Es gibt aber noch immer viele, auch kommerzielle, Webseiten, die HTTP verwenden. Insgesamt sehe ich hier die Verantwortung beim Betreiber der Webseite und nicht bei Knuddels. Knuddels hat da echt andere Baustellen. Und für die, die umsteigen wollen und nicht wissen, wie es geht: Klick mich - eine gute Anleitung. Man benötigt ein SSL-Zertifikat.

*Systemadministratoren dürfen mich korrigieren, wenn ich falsch liege. Komme aus der Anwendungsentwicklung.

Nachtrag: Habe meine Meinung geändert. Vergessen, dass die Daten auch geändert werden können. Wäre zum Schutz der Nutzer also doch ganz sinnvoll, um Phishing zu vermeiden.

Alle Webseiten die mit sensiblen Daten arbeiten müssen, so Gerichte inzwischen über HTTPS verfügen. Hat man es nicht und es passiert was haftet man. Da meine Webseiten über Logins verfügen haben sie https und auch htacess ordentlich programmiert. Die leiten auch von http zu https um. Nur wie gesagt tut das eben nicht jeder. Um vorzubeugen das die genannten Szenen hier begünstigt werden mein Wunsch der Umstellung :)

Habe das Thema/den Thread zur Info/Meinungsäußerung mal an Jag weitergeleitet.
Jetzt wo Jag dem Kn-Team angehört kann er sicherlich hierzu am besten was sagen.

Hey


Womöglich stehe ich hier auf dem Schlauch (und mir fehlt das Verständnis dazu), aber das was du in deinem ersten Beitrag genannt hast wäre exakt das Gleiche was ich dazu auch gedacht hätte. Tatsächlich würde ich hier (nach wie vor) den Webseitenbetreiber in der Verantwortung sehen, auf dem die schlussendliche WL erfolgt. Darf man erfragen, an welcher Stelle hier Daten geändert werden könn(t)en (innerhalb des KN-Systems)?

Abseits davon das der TE natürlich nicht Unrecht hat das https-Seiten entsprechend ihres Präfixes dementsprechend forciert werden sollten; ist es nicht so, das wenn über eine https-Seite (wie im Fall von KN) i.d.F. nur ein Weiterleitung an eine http-Seite angegeben wird - diese m.E (erst mit aufrufen des entsprechenden Tabs) unverschlüsselt wäre?

PS: Bitte nicht falsch verstehen ! (die Frage ist ernst gemeint).

Zum Wunsch selber:
Ehrlich gesagt weiß ich nicht, wie hoch die Chance/aktuelle Lage ist das man in KN aufgrund der Gegebenheit da aktiv Phishing diesbezüglich betreiben kann oder bisher betrieben hat. Meiner Meinung nach ist da auch weiterhin oftmals die "Schwachstelle" der Mensch selber, der ggf. durch Täuschung Dritter seine PW´s oder sonstigen Daten unfreiwillig auf anderen Wegen (etwa über Emails oder ggf. Fake-Logins) herausgibt.

In Anbetracht des Umstandes das inzwischen alle größeren Browserhersteller HTTPS first nutzen, ggf. das man auch (optional) auf https only einstellen kann; wurde o.g. unverschlüsselte Problematik zumindest ein kleines bisschen eingedämmt.

Nur ist es aber auch so, das es genügend (nennen wir es mal) sehr unseriöse Seiten gibt, die https verwenden, die keineswegs vertrauenseweckend sind. Https schützt (nach wie vor) nicht vor Phishing; dämmt dieses aber sicherlich als fremder "Mitleser" sicherlich ein. Dazu nur als Artikel (mit samt Statistik) A Quarter of Phishing Attacks are Now Hosted on HTTPS Domains: Why?

Trotzdem als (interessante) Gegenfrage:
Wenn der Präfix https über die Whois gilt - was geschieht in dem Fall mit den Seiten ohne entsprechendes Zertifikat (was wie du ja sagtest, auf einige Seiten immer noch zutrifft)? M.E. kommt es dann (sofern kein https vorhanden) zu einer Fehlermeldung, da der Browser die Seite nicht finden kann. Nicht das ich darüber trauern würde; es ist jedoch etwas was man ggf. in solchen Fällen bedenken sollte.

Liebe Grüße

Ich habe dir mal im Chat geantwortet, weil ich hier keine Hinweise darauf geben möchte, wie man solche Lücken ausnutzen könnte.

Es geht auch nicht um die whois (im Chat) sondern um die Verlinkung hier im Profil, im Forum. In der Whois darf man ja eh keine externe URL verlinken wegen Fremdwerbung....

So ganz verstehe ich das Problem nicht. Du hast auf die Lebensretterseite im Forum verlinkt, die scheint deinerseits mit http angegeben worden zu sein. Geht https bei der Verlinkung nicht?

Denn Forum und Chat laufen vorbildlich auf https.

Das liegt an der Forensoftware... - da Jag versiert ist
@Jag

Müsste in der editbasic.tpl und showprofile.tpl hinterlegt sein - keine Garantie, da ich nicht weiß welche genaue Version ihr von UBBThreads nutzt und das teilweise customized ist.

In der aktuellen UBBThreads ist das komplett frei wählbar, daher muss es hier manuell geändert werden.

Edit: Wenn der Websitebetreiber schlau ist, macht er sowieso eine grundsätzliche Weiterleitung via 301 auf den https://, damit http gar nicht mehr aufgerufen werden kann, selbst wenn man http eingeben würde.

Die Foren Software hier schreibt automatisch http. Der Nutzer kann das hier nicht beeinflussen:)

Genau das meine ich, danke.

Bei der von dir verlinkten Seite handelt es sich (bis auf mögliche Anmeldedaten oder Formulare) also nicht um eine Seite, die tatsächlich https benötigen würde. http würde vollkommen ausreichen. (Nichtsdestotrotz wird https beim Aufruf benutzt).

Ich denke, es ist hier eher egal ob bei Knuddels http oder (s) verlinkt werden kann, da die Browser heutzutage https over http bevorzugen bzw. umwandeln. Eine Änderung wäre zwar ganz gut, aber meiner Meinung nach (welche ich auch nach entsprechender Erklärung ändern könnte) ist sie nicht dringend notwendig.

Allerdings wäre es auch für Knuddels von Vorteil, hier progressiv vorzugehen und auch https zu erlauben.

Hallo,

vielen Dank für das Feedback!
Da ich leider nur die Bezeichnung der URL in den Profileinstellungen ändern kann, nicht jedoch in der Profilansicht, habe ich das ganze aufgenommen und weitergeleitet.
Auf Template-Ebene ist da offensichtlich leider nichts zu machen.

Werde hierzu Rückmeldung geben, wenn ich mehr weiß :)

Knuddelige Grüße
Jag

[


Das ist tatsächlich sogar falsch. Ich bin bei allen meinen Webseiten zu HTTPS verpflichtet :)

Und warum das?

Ergibt sich aus §32 Abs. 1 DSGVO

DSGVO §32 Abs. 1

SSL ist heutzutage der normale Stand der Technik etc.....

Hallo,

wie bereits mitgeteilt, ist die Problematik auf Template-Ebene nicht zu beheben und wir müssten dort tiefer eintauchen.
Da das ganze jedoch in keiner Relation zum Nutzen steht und wir keine Kontrolle über das Verlinken von externen Seiten haben, haben wir uns dazu entschieden, die Anzeige von Webseiten aus dem Profil zu entfernen.
Wir sehen mit diesem Schritt keine Nachteile für die User, da dieses Feature keinen wirklichen Nutzen hat.

Knuddelige Grüße
Jag