ubuntuusers.de

Upgrade-Insecure-Requests

Status: Gelöst | Ubuntu-Version: Ubuntu MATE 22.04 (Jammy Jellyfish)
Antworten |

Dakuan

Avatar von Dakuan

Anmeldungsdatum:
2. November 2004

Beiträge: 6450

Wohnort: Hamburg

Ich experimentiere gerade wieder mit einer selbstgestrickten Server-Client Anwendung. Dabei verwende ich zum Testen auch Firefox und Dillo. Beide senden mir oben genannten Text in der GET-Anfrage.

Hier mal ein Beispiel:

GET /testvideo.mp4?thumb=1 HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/113.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate, br
DNT: 1
Connection: keep-alive
Cookie: wrkdir=dwhelper
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
If-Modified-Since: Thu, 30 May 2024 16:25:51 GMT

HTTP/1.1 200 OK
Date: Sat, 10 Aug 2024 16:32:54 GMT
Last-Modified: Thu, 30 May 2024 16:25:51 GMT
Content-MTime: 1717086351
Content-Length: 61181
Content-Type: image/png

Mein Englisch ist jetzt nicht so gut, dass ich sicher bin, alles verstanden zu haben. Ist das jetzt nur ein Hinweis, oder muss ich befürchten, dass zukünftige Browser HTTP Verbindungen verweigern?

Ich sehe im Lokalen Netzwerk nicht wirklich eine Notwendigkeit Verschlüsselung einzusetzen, zumal ich momentan keine Ahnung habe, wie ich meinem Server das beibringen soll.

Kann ich das ignorieren oder besteht da akuter Handlungsbedarf?

micneu

Avatar von micneu

Anmeldungsdatum:
19. Januar 2021

Beiträge: 554

Wohnort: Hamburg

Mach doch einfach HTTPS, das sollte reichen. 1. in welcher Sprache hast du denn deinen Dienst geschrieben? 2. kannst ja mal dein git repository hier reinwerfen, dann kann man sich das bei Zeiten mal anschauen

Dakuan

(Themenstarter)
Avatar von Dakuan

Anmeldungsdatum:
2. November 2004

Beiträge: 6450

Wohnort: Hamburg

Du hast gut Reden. Für HTTPS bräuchte ich ein Zertifikat. Bei selbst erstellten Zertifikate zicken alle Browser rum. Und ich weiß nicht wie ich Zertifikate und Verschlüsselung in eigenen C-Programmen implementieren kann.

Und ein Git Repository habe ich auch nicht. Würde auch nichts bringen, da die Aufgabenstellung ziemlich speziell, und für andere Anwender uninteressant, ist. Sonst hätte ich auf Standardlösungen wie z.B. lighttpd zurückgegriffen.

Und wie bereits angedeutet, eine Erreichbarkeit außerhalb des lokalen Netzes ist nicht sinnvoll oder erwünscht.

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18121

Wohnort: in deinem Browser, hier auf dem Bildschirm

Du musst halt dein Zertifikat in /etc/ssl hinzufügen, dann sollten die Programme das fressen. Falls die ne eigene Verwaltung haben, da hinzufügen.

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 9383

Wohnort: Münster

Dakuan schrieb:

Ich experimentiere gerade wieder mit einer selbstgestrickten Server-Client Anwendung. Dabei verwende ich zum Testen auch Firefox und Dillo. Beide senden mir oben genannten Text in der GET-Anfrage. […]

Prüfe mal, ob beim Client wget das auch so ist, z.B.:

mkdir /tmp/dlTEST ; cd $_
wget DEINE-URL --debug

sebix Team-Icon

Moderator, Webteam

Anmeldungsdatum:
14. April 2009

Beiträge: 5507

Dakuan schrieb:

Kann ich das ignorieren oder besteht da akuter Handlungsbedarf?

Mittelfristig ignorierbar. Langfristig kann es durchaus sein, dass Browser noch strenger werden.

Um deine Server-Anwendung HTTPS-faehig zu machen gibt es auch fertige Wrapper wie stunnel & Co. Ebenso sind Reverse-Proxies eine Option. Es ist auch Gang und Gaebe selbst kein TLS zu implementieren, sondern das von den bestehenden Programmen machen zu lassen.

encbladexp Team-Icon

Ehemaliger
Avatar von encbladexp

Anmeldungsdatum:
16. Februar 2007

Beiträge: 17518

Dakuan schrieb:

Kann ich das ignorieren oder besteht da akuter Handlungsbedarf?

Kannst du ignorieren. Update-Insecure-Requests ist nur ein Hinweis vom Browser/Client an den Server "Ich kann auch HTTPS, und wenn du das auch kannst, lass es uns doch per HTTPS machen", nicht mehr, nicht weniger.

Dakuan

(Themenstarter)
Avatar von Dakuan

Anmeldungsdatum:
2. November 2004

Beiträge: 6450

Wohnort: Hamburg

@kB Die debug Option von wget kannte ich noch nicht. Da kommt dann u.A. folgendes.

---request begin---
GET /testvideo.mp4?thumb=1 HTTP/1.1
User-Agent: Wget/1.19.4 (linux-gnu)
Accept: */*
Accept-Encoding: identity
Host: 127.0.0.1:8080
Connection: Keep-Alive

...
---response end---
200 OK

Stored cookie 127.0.0.1 8080 / <session> <insecure> [expiry none] wrkdir dwhelper
Registered socket 3 for persistent reuse.
...

Ist da jetzt das Cookie oder HTTP gemeint?

Selber was mit HTTPS zu machen ist mir zu aufwändig und ich weiß auch nicht, ob ich das hinkriegen würde. Ich habe zwar schon mal mit openssh eingesetzt, bis ich fesgestellt hatte, das ich die MD5 Summe auch von der glib bekomme. Ich hatte mich schon bei IPv6 anstrengen müssen.

Und das ist auch kein vollwertiger Server. Mehr als Bilddateien abliefern kann und darf der nicht.

@encbladexp Ok, dann ignoriere ich das erstmal. Tritt ja auch nur beim testen auf.

kB Team-Icon

Supporter, Wikiteam
Avatar von kB

Anmeldungsdatum:
4. Oktober 2007

Beiträge: 9383

Wohnort: Münster

Dakuan schrieb:

@kB Die debug Option von wget kannte ich noch nicht. Da kommt dann u.A. folgendes. […]

Also nichts mit „Upgrade-Insecure-Requests“.

Damit hängt es vom Client ab und nicht vom Server. Und das ist völlig kompatibel mit der Interpretation von encbladexp.

Dakuan

(Themenstarter)
Avatar von Dakuan

Anmeldungsdatum:
2. November 2004

Beiträge: 6450

Wohnort: Hamburg

Ok, dann werde ich mir jetzt den Kopf über andere Sachen zerbrechen.

Dank an alle.

Antworten |