Wir verwenden Cookies, um Ihnen eine optimale Funktion der Webseite zu ermöglichen. Wenn Sie weitersurfen, stimmen Sie der Cookie-Nutzung zu. Mehr erfahren
In Ihrem Webbrowser ist JavaScript deaktiviert. Um alle Funktionen dieser Website nutzen zu können, muss JavaScript aktiviert sein.
Forumsaufruf per TLS(SSL) - Herzlich Willkommen den Einsteigern - Goldseiten-Forum.com | Das Diskussionsboard für Edelmetalle & Rohstoffe

Forumsaufruf per TLS(SSL)

    • Forumsaufruf per TLS(SSL)

      Hallo, ich fände es klasse wenn es einem admin möglich wäre, das aufrufen der domain mit einem TLS(SSL) zertifikat abzusichern.

      TLS Zerts gibts sogar kostenfrei von LETSENCRYPT.


      herzlichen dank.
      bitte nicht böse sein für die anregung.
      Die Entschlossenheit ist im Einzelfall ein Akt des Mutes, wenn sie zum Charakterzug wird, eine Gewohnheit der Seele. Carl Philipp Gottfried von Clausewitz
    • Hallo,
      ich hatte das vor nem halben Jahr schonmal per Kontaktformular bei den Betreibern angeregt.
      Es ist dringend notwendig!!
      Erstmal aufgrund gesetzlicher Vorgaben durch die DSGVO. Die Betreiber sind Abmahngefärdet. Und natürlich auch wegen der Sicherheit. Kennwörter, Bankdaten, alle PNs etc. werden unverschlüsselt über das Internet übertragen. VPN, TOR usw. sind sinnvolle Ergänzungen, eine generelle HTTPS Verschlüsselung (mit HSTS) ist jedoch weitaus sinnvoller. Nur so kann eine Man in the Middle Attacke abgewehrt werden.

      Ich hätte da noch nen ganzen Katalog an weiteren technischen Dingen, die mal gemacht werden müssten...

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von zaphod_beeblebrox ()

    • hi zaphod, dsvgo hab ich extra nicht erwähnt, wollte ja nicht schwarzmalen oder so .... ausserdem müsste man wissen wo die page gehostet ist. generell sollte es aber in der heutigen zeit schon der standard aufruf verschlüsselt sein. so hoch ist der aufwand nun nicht. muss man ja nur in apache oder nginx ein paar zeilen konfigurieren.

      das forum kann man nicht mal mit einem fehlerhaften zert per tls aufrufen... genau falschrum konfiguriert.

      so lange kein vernünftiges tls - keine +mitgliedschaft....
      Die Entschlossenheit ist im Einzelfall ein Akt des Mutes, wenn sie zum Charakterzug wird, eine Gewohnheit der Seele. Carl Philipp Gottfried von Clausewitz
    • Also gehostet ist die Seite auf dem Server dd19038.kasserver.com der Firma ALL-INKL.COM.
      Dieser Server ist aber echt nicht gut gewartet... Relativ alte Softwarestände. Ich hab da jetzt nicht allzuviel versucht, aber ein paar Ansatzpunkte zum Reinkommen sind schon da. Für einen Produktivserver mit so sensiblen Inhalten wie hier (ich meine die PNs) würde ich niemals auf einen shared Host gehen...
    • Supi, das find ich echt gut!! :thumbsup:
      ssllabs.com/ssltest/analyze.html?d=www.goldseiten-forum.com

      Wenn jetzt noch jemand TLS1.0 abschaltet, stapling anschaltet und die Header auf ein vernünftiges Niveau bringt, z.B. mit:

      Quellcode: /etc/apache2/conf-enabled/security.conf

      1. Header set X-Content-Type-Options: "nosniff"
      2. Header set X-Frame-Options: "sameorigin"
      3. Header set X-XSS-Protection "1; mode=block"
      4. Header set Referrer-Policy: "strict-origin-when-cross-origin"
      5. Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
      6. Header unset ETag
      7. RequestHeader unset Proxy early

      Quellcode: /etc/apache2/mods-enabled/ssl.conf

      1. <IfModule mod_ssl.c>
      2. SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
      3. SSLOpenSSLConfCmd ECDHParameters Automatic
      4. SSLOptions +StrictRequire
      5. SSLCompression off
      6. SSLRandomSeed startup builtin
      7. SSLRandomSeed startup file:/dev/urandom 512
      8. SSLRandomSeed connect builtin
      9. SSLRandomSeed connect file:/dev/urandom 512
      10. AddType application/x-x509-ca-cert .crt
      11. AddType application/x-pkcs7-crl .crl
      12. SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase
      13. SSLSessionTickets off
      14. SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl_scache(512000)
      15. SSLSessionCacheTimeout 300
      16. SSLUseStapling On
      17. SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling(150000)
      18. SSLStaplingResponderTimeout 5
      19. SSLStaplingReturnResponderErrors off
      20. SSLHonorCipherOrder on
      21. SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
      22. SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!AES128
      23. </IfModule>
      Alles anzeigen
      Und in der Seiten-Config für den SSL-Teil
      Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
      einfügt, gibt es zum einen ein A+ im Ranking und ich freu mich nochmehr :thumbup:
      Das Cert waren aber auf jeden Fall 95% Zielerreichung!
      :thumbsup: :thumbsup: :thumbsup:

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von zaphod_beeblebrox ()

    • Neu

      Danke an @Blue Horseshoe und @zaphod_beeblebrox für die fachkundigen Anregungen.
      Für mich sind das böhmische Dörfer, darum Doppel-Dank [smilie_blume] [smilie_blume]
      Schlaft nicht, während die Ordner der Welt geschäftig sind. Seid mißtrauisch gegen ihre Macht, seid Sand, nicht Öl im Getriebe der Welt!
      Alle Mitteilungen in diesem Forum sind als reine private Meinungsäußerung zu sehen und keinesfalls als Tatsachenbehauptung. Hier gilt Artikel 5 GG und besonders Absatz 3 (Kunstfreiheit-Satire)
    • Bei mir läuft es so

      Neu

      Wenn ich unangemeldet die goldseiten besuche, seh ich grün. Melde ich mich anmelde, kommt ein gelbes rotumrandes Dreieck vor einem Schloss.

      Sind damit unsere Grafiken die, wir alle hoch und runter laden gemeint?

      Firefox schrieb:

      Diese Verbindung ist nicht sicher

      Teile dieser Seite sind nicht sicher. Dies könnten zb Grafiken sein.

      Freundlich CARLOZ
      Du muaßt den Aunderen a wos lossn. (CARLOZ)
      Mein Liebling: