News Intern: Darstellungsprobleme im Forum

[Onkel_Dithmeyer]

Seit heute Mittag treten bei einigen Usern Probleme auf, die sich darin äußern, dass der Browser das Forum falsch darstellt. Aus bisher unerfindlichen Gründen werden einige User auf HTTPS umgeleitet. Da diese Verbindung von Planet 3DNow! noch nicht vollständig umgesetzt ist und nicht nur reiner HTTPS-Content geladen wird, sondern auch einige HTTP-Dateien, verweigern einige Browser die Darstellung. User, die einmal auf einer HTTPS-Seite des Forums gelandet sind, kommen nicht mehr auf die HTTP-Version. Wodurch dieser seltsame Umstand begründet ist, können wir derzeit nicht feststellen. Ebenso seltsam ist, dass nicht alle Nutzer betroffen sind, jedoch bei den Betroffenen verschiedene Browser mal funktionieren und mal nicht. Bis dato können wir nur als Workaround anbieten, die Darstellung von Misch-Inhalten zu erlauben. Da dies auf sensiblen Seiten ein Sicherheitsrisiko darstellen kann, ist dies natürlich kein Dauerzustand und es wird unter Hochdruck an einer Problemlösung gearbeitet. Kurzzeitig hilft wohl ebenfalls die Löschung des Browsercaches.

 

[BoMbY]

Euer Indianer schickt einen Strict-Transport-Security Header ...

 

[Riddler82]

Mag sein. Da aber niemand etwas an der Konfiguration geändert hat, erklärt es nicht, wieso es plötzlich Probleme gibt.

 

[BoMbY]

Vielleicht wurden ja die Browser entsprechend geändert, oder was weiß ich. Die Strict Policy sagt jedenfalls der Browser darf nichts anderes verwenden als HTTPS.

 

[TiKu]

Hmm, das könnte tatsächlich die Erklärung sein. Nachdem tomturbo nicht erreichbar ist und ich von unserer Apache-Config nicht genug verstehe, habe ich erstmal die andere Richtung eingeschlagen, und Startseite und Forum auf https umkonfiguriert. D.h. wir nutzen jetzt standardmäßig https. Ob es dabei bleibt, hängt davon ab, wie gut das läuft.

 

[Riddler82]

Es könnte das Problem an sich erklären, ja. Aber nicht, wieso es plötzlich Probleme bereitet. Zumal ja "ältere" Browserversionen das selber Verhalten gezeigt haben.

Immerhin funktioniert es jetzt momentan weitgehend, danke dafür auch von mir.

 

[tomturbo]

HSTS wird ausgeliefert, ja das ist richtig.
Aber NUR bei https wird dieser Header ausgeliefert und auch von den Browsern ausgewertet und berücksichtigt.
Dh. Ein erster HTTP Request sollte nicht auf https umspringen.
Das tun aber offenbar einige Browser Vorallem seit dem letzten Upgrade auf FF 36 und später.

 

[hoschi_tux]

Hängt das vielleicht hiermit zusammen?
http://www.golem.de/news/browserher...ngen-http-2-verschluesselung-1503-112810.html

 

[Onkel_Dithmeyer]

Hängt das vielleicht hiermit zusammen?
http://www.golem.de/news/browserher...ngen-http-2-verschluesselung-1503-112810.html

Nein, es gab auch Meldungen von Nutzern mit deutlich älteren Browsern, die das Problem hatten.

 

[nebula]

Aufgefallen is mir grad auch dass Forum Seite und Blog verschlüsselt mit warndreieck (sagt chrome); p3d Seite zwar auch, aber nicht mit dem dreieck. Nebenbei ist "DC-Wiki" erst gar keine sichere Verbindung.

Probleme gabs mit chrome hier bisher dennoch keine.

 

[TorstenG]

Hallo,

keine Ahnung ob das hilft aber ich hatte den Browserverlauf gelöscht und war dann auch wieder auf "http://", aber die Links (Banner und Beiträge auf der Startseite) verweisen auf "https://".

 

[TiKu]

Bei mir hatte es gestern nichts gebracht, den Cache zu löschen. Den Browserverlauf hatte ich allerdings nicht gelöscht.
Die Startseite ist seit letzter Nacht für den Betrieb per https konfiguriert. Wenn man sie per http öffnet, ist es deshalb derzeit normal, dass er einiges über https lädt.

 

[sompe]

Vielleicht hilft diese Info.
Bei mir zu hause erscheint das Forum mit dem aktuellen Firefox ebenfalls auf dem https Link, wird aber normal angezeigt. Firefox (36.0.1) meckert aber an das die Seite keine Identitätsdaten zur Verfügung stellt und gibt auch an das einige Inhalte geblockt wurden.
An anderer Stelle (Ort) mit einem alten Internet Explorer ging aber nichts mehr da offensichtlich alles geblockt wurde und mit der Entfernung des "s" lediglich das rohe Gerippe des Forums sichtbar wurde, jegliche Grafiken und auch Links die mit https anfingen wurden geblockt.

Könnte es sein das diverse Firewalls hier deutlich härter zuschlagen und aufgrund des unsicheren Status alles blocken was geht?

 

[Riddler82]

Die genaue Ursache ist bisher noch unbekannt.

Aktuell wird jetzt https als Standard benutzt, statt wie bisher http. Alle auf Planet 3DNow! bezogenen Inhalte sollten damit vorerst funktionieren, lediglich nach extern verlinkte Inhalte werden möglicherweise nicht geladen, sofern man externen unverschlüsselten Inhalt ("Mixed Content") nicht explizit zulässt. Das schließt möglicherweise https Verbindungen zu "unsicheren" Seiten, z.B. Domains mit selbst-signierten Zertifikaten, ein.

Links zu dc.planet3dnow.de werden beispielsweise als "unsicher" angemeckert weil das Zertifikat für "www." und eben nicht für "dc." ausgestellt ist. Dies ist natürlich quatsch, aber im Rahmen der Zertifikats-Ketten richtig. Das ist aber ein anderer Punkt.

Alte IE Versionen sind sowieso eine Krankheit.

Firewalls dürften damit weniger zu tun haben, auch erklärt es nicht, wieso plötzlich so viele User mit unterschiedlichen Browsern und Betriebssystemen betroffen sind. Vielleicht weiß TiKu schon mehr.

Um die Informationen in Zukunft gesammelt zusammenzufassen geht es >> im Feedbackforum weiter.

 

[TiKu]

An einen dauerhaften Betrieb über https war leider nicht zu denken, da wir zuviel von externen Servern laden, die kein https können. Mal ganz davon abgesehen, dass nichts die User daran hindern würde, Bilder von extern ohne SSL einzubinden. Die Webbrowser würden also ständig über Mixed Content meckern, was auf Dauer tierisch nervig ist.
Deshalb haben wir https für den öffentlichen Teil der Seite nun ganz abgeschaltet. Wir sind nun also nur noch über http zu erreichen.
Wenn euer Firefox noch auf https umspringt, liegt das an einem sogenannten Supercookie. Den werdet ihr los, indem ihr im Firefox-Menü (ggf. einmal Alt drücken, damit ihr es seht) auf Chronik -> Neueste Chronik löschen klickt und dort unter "Details" den Haken bei "Website-Einstellungen" setzt. Die anderen Haken könnt ihr rausnehmen. Als Zeitraum sollte "Alle" ausgewählt werden:

 

[TiKu]

Im Google Chrome kann man Supercookies löschen, indem man die Adresse chrome://settings/clearBrowserData öffnet und "Cookies und andere Website- und Plugin-Daten" löscht. Als Zeitraum ist "Letzte 4 Wochen" oder gleich "Gesamter Zeitraum" zu wählen.