Windows 7 - Firefox 38.0.5
Hallo,
wie schon im Titel beschrieben bricht die verschlüsselte https Verbindung ab. Aus https://* wird dann einfach http://*. Kann ich einen Schalter umlegen, damit ich permanent via https Daten mit dem Forum austausche?
Anmeldungsdatum: Beiträge: 20 |
Windows 7 - Firefox 38.0.5 Hallo, wie schon im Titel beschrieben bricht die verschlüsselte https Verbindung ab. Aus https://* wird dann einfach http://*. Kann ich einen Schalter umlegen, damit ich permanent via https Daten mit dem Forum austausche? |
||
Anmeldungsdatum: Beiträge: 13938 |
Wie das mit Windows geht weiß ich nicht. In Linux geht es z. B. mit umleiten (destination-NAT): sudo iptables -t nat -I OUTPUT 1 -p tcp -d 213.95.41.4 --dport 80 -j DNAT --to-destination 213.95.41.4:443 Mit z. B.: sudo tcpdump -vvveni any host 213.95.41.4 and port 80 sieht man, dass über http (d. h. über Port 80), sowohl vor, während und nach dem einloggen, nichts geht. |
||
Webteam
Anmeldungsdatum: Beiträge: 529 |
Der Fehler liegt in Inyoka. Es betrifft allerdings nur die Seite auf die du direkt nach der Anmeldung weiter geleitet wirst. Sobald du eine andere Seite aufrufst solltest du wieder https nutzen. Es wäre nett, wenn du den Fehler im Trac melden könntest. |
||
Anmeldungsdatum: Beiträge: 12085 Wohnort: Berlin |
|
||
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Ich bitte darum keine solchen Lösungen hier zu publiezieren, ein DNAT auf Port 443 wird scheitern weil dort ein SSL Handshake erwartet wird was bei der HTTP Kommunikation eben nicht üblich ist. Wenn du alles auf HTTPS haben möchtest kann du dir HTTPS Everywhere installieren und dort eine passende Regel erstellen. Hierzu eine Datei
Langfristig wird das Problem mit HSTS gelöst werden, was auch sicherer ist 😉 mfg Stefan Betz |
||
Anmeldungsdatum: Beiträge: 13938 |
Das wäre dann eine Lösung nur für den FF. Das "Problem" hat man ja auch mit den anderen Browsern. Alternativ (d. h. als workaround) kann man in der OUTPUT chain, auch den dport 80 der IP-Adresse 213.95.41.4 blocken. Dann findet intern etwas mehr Traffic (Verbindungsversuche bis zum "scheitern/aufgeben") als mit "DNAT" statt. HTTP ist bei mir nicht das Problem, aber wenn man schon auch "nur HTTPS" benutzen kann, warum nicht. |
||
Ehemaliger
Anmeldungsdatum: Beiträge: 17449 |
Richtig, es ist aber auch keine Lösung sondern ein Workaround wenn man unbedingt sicherstellen will das man nur HTTPS bei uns nutzt. Langfristige Lösung ist und bleibt eben HSTS. mfg Stefan Betz |