HTTPS-Everywhere-Regeln für overclockers.at

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

13.05.2015 - 23:49

Ich habe eine HTTPS-Everywhere-Regel für die wichtigsten Domains des Forums erstellt. Bevor ich sie einreiche, sollte sie noch ordentlich getestet werden.
Gibt es ein paar freiwillige Tester unter euch?

Momentan kann man nur im Firefox eigene Regel-Dateien hinzufügen:

Installiere HTTPS Everywhere für Firefox von der offiziellen Website: https://www.eff.org/https-everywhere
Lade die Regel herunter: overclockers.at-v1.xml
(Rechtsklick, Ziel speichern unter ...)
Verschiebe die Datei in das Verzeichnis HTTPSEverywhereUserRules in deinem Profilordner:

Linux: ~/.mozilla/firefox/<profile folder>/HTTPSEverywhereUserRules/
Mac: ~/Library/Application\ Support/Firefox/Profiles/<profile folder>/HTTPSEverywhereUserRules/
Windows: %APPDATA%\Mozilla\Firefox\Profiles\<profile folder>\HTTPSEverywhereUserRules

Häufig gestellte Fragen:

Was ist HTTPS Everywhere?

HTTPS Everywhere ist eine Browser-Erweiterung für Firefox, Chrome, und Opera, die von der Electronic Frontier Foundation (EFF) entwickelt wurde. Die Erweiterung schreibt HTTP-Anfragen automatisch in HTTPS-Anfragen um. Aber das funktioniert nur, wenn eine Regel für die Website hinterlegt wurde. Mitterweile werden tausende Regeln mitgeliefert.
Der Webserver von overclockers.at leitet bereits alle HTTP-Anfragen auf HTTPS weiter. Wozu braucht man dann noch HTTPS Everywhere?

Die Weiterleitung von HTTP zu HTTPS wird unverschlüsselt übertragen. Ein Angreifer, der sich zwischen Server und Client befindet (z.B. in einem offenen WLAN), könnte die HTTP-Anfrage manipulieren und eine Weiterleitung zu HTTPS verhindern.

HTTPS Everywhere schützt vor diesem Angriff, indem bereits clientseitig HTTP zu HTTPS geändert wird, wenn eine Regel für die besuchte Website enthalten ist. Der Webbrowser verbindet sich dann von Anfang an per HTTPS zum Server.

AdRy

Auferstanden

Registered: Oct 2002
Location: Wien
Posts: 5239

13.05.2015 - 23:51

? oc.at redirected bei mir automatisch auf https ohne das addon.

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

14.05.2015 - 00:03

Die Weiterleitung zu HTTPS könnte ein Angreifer unterbinden und so eine gefälschte HTTP-Version der Website unterschieben: HTTPS stripping attack

Unser Webserver unterstützt auch bereits HTTP Strict Transport Security, um dies zu verhindern. Jedoch muss man die Website mindestens einmal über HTTPS besucht haben, damit der Browser Bescheid weiß.

HTTPS Everywhere verhindert jede HTTP-Verbindung zu overclockers.at.

Bearbeitet von Luka am 14.05.2015, 01:01 (Ergänzung)

11Fire01

Here to stay

Registered: Dec 2002
Location: austria
Posts: 2417

14.05.2015 - 00:31

waers da nicht einfacher kein http zu machen?

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

14.05.2015 - 00:36

mir is aufgefallen dass chrome dieses mischsymbol anzeigt, wenn man von der domain auf einen bereich geht, zb forums.
overclockers.at kriegt ein schloss in der adresszeile wie man es erwartet. any reason for that?

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

14.05.2015 - 00:42

Zitat von 11Fire01
waers da nicht einfacher kein http zu machen?

Dein Ansatz gefällt mir

jedoch würden dann alle alten Links, Bookmarks usw., die noch im Umlauf sind, nicht mehr funktionieren. Dein Browser würde dann melden: "Fehler: Server nicht gefunden". Das ist nicht sehr benutzerfreundlich.

Zitat von Nico
mir is aufgefallen dass chrome dieses mischsymbol anzeigt, wenn man von der domain auf einen bereich geht, zb forums.
overclockers.at kriegt ein schloss in der adresszeile wie man es erwartet. any reason for that?

Eine Werbung macht leider momentan eine HTTP-Anfrage. Das ist natürlich nicht ideal.

Bearbeitet von Luka am 14.05.2015, 00:57 (Doppelpost vermeiden)

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

14.05.2015 - 10:14

Reicht nicht einfach auf dem http Webserver:

<?php

if ($_SERVER['HTTP_HOST'] != "www.overclockers.at"){

header("HTTP/1.1 301 Moved Permanently");

header("Location: https://www.overclockers.at".$_SERVER['REQUEST_URI']); exit; }

?>

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7133

14.05.2015 - 12:51

Kann das add-on morgen @ work mal installieren. Sollte es schon auf Chrome geben oder?

Lord Wyrm

topquote owner since '17

Registered: Jan 2005
Location: wean
Posts: 1316

14.05.2015 - 13:46

Gibts für Chrome, aye.

Burschi1620

24/7 Santa Claus

Registered: Apr 2004
Location: Drüber da Donau
Posts: 6792

14.05.2015 - 13:56

Zitat von luka
Eine Werbung macht leider momentan eine HTTP-Anfrage. Das ist natürlich nicht ideal.

die Werbebranche hat schon großflächig auf https umgestellt. Beschwerts euch bei eurem Vermarkter.

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

15.05.2015 - 01:31

Zitat von Crash Override
Reicht nicht einfach auf dem http Webserver:

<?php

if ($_SERVER['HTTP_HOST'] != "www.overclockers.at"){

header("HTTP/1.1 301 Moved Permanently");

header("Location: https://www.overclockers.at".$_SERVER['REQUEST_URI']); exit; }

?>

Eine Weiterleitung von HTTP zu HTTPS ist anfällig für einen Man-in-the-Middle-Angriff namens SSL Stripping, den HTTPS Everywhere verhindern kann. Ich hab im ersten Post eine Erklärung hinzugefügt.

Bzgl. PHP: Ich würde die Weiterleitung lieber dem Webserver statt einem PHP-Skript überlassen. Das halte ich für weniger fehleranfällig und effizienter - auch wenn HTTP Response Splitting in der header-Funktion von PHP nicht mehr möglich sein sollte.

Zum Beispiel Apache 2.2:

Zitat
<VirtualHost *:80>
ServerName example.com

RedirectPermanent / https://example.com/

...
</VirtualHost>

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25375

15.05.2015 - 08:53

Zitat von Burschi1620
die Werbebranche hat schon großflächig auf https umgestellt. Beschwerts euch bei eurem Vermarkter.

Und der meint das Gegenteil.

Ich sehe es auch, die Werbebranche hat gar nichts umgestellt. Das ist ein Haufen ahnungsloser Pfuscher, die Ausnahmen bestätigen die Regel.

Es wird allerdings oftmals auf Amazon, Akamai und Co gehostet, die automatisch https unterstützen. Das nutzen wir auch aus und rewriten den Javascript-Code bevor er im Browser ausgeführt wird. Sonst würde so gut wie bei jedem Request ein Mixed-Content-Fehler kommen.

luka, danke für das Script!

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7133

15.05.2015 - 08:58

Add-On ist installiert und Rule is drin für oc.at.

ill

...

Registered: Nov 2003
Location: Salzburg
Posts: 2053

15.05.2015 - 09:15

Zitat von Burschi1620
die Werbebranche hat schon großflächig auf https umgestellt. Beschwerts euch bei eurem Vermarkter.

Das wäre mir auch neu, Werbung in Kombinaton mit einer HTTPS-only Verbindung auf einer Website ist nach wie vor ein absoluter Graus.

Darf man fragen wie du auf die Einschätzung kommst?

Burschi1620

24/7 Santa Claus

Registered: Apr 2004
Location: Drüber da Donau
Posts: 6792

15.05.2015 - 13:23

Sämtliche großen publisher, zumindest mit denen wir arbeiten (das sind doch ein paar), akzeptieren seit ein paar Monaten nur noch https tags.
Das zwingt natürlich die Leute die die Werbung in ihr system reinklopfen einen https link raus zu ziehen.
Aber ich sehe das Problem nicht da es die meisten adserver mit einem hackerl mehr bei den Einstellungen können.
Vermutlich hat euer vermarkter kein eigenes adserving und bekommt die tags von dem Kunden selbst. Anders kann ich mir die Antwort nicht erklären

Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	13.05.2015 - 23:49 Ich habe eine HTTPS-Everywhere-Regel für die wichtigsten Domains des Forums erstellt. Bevor ich sie einreiche, sollte sie noch ordentlich getestet werden. Gibt es ein paar freiwillige Tester unter euch? Momentan kann man nur im Firefox eigene Regel-Dateien hinzufügen: Installiere HTTPS Everywhere für Firefox von der offiziellen Website: https://www.eff.org/https-everywhere Lade die Regel herunter: overclockers.at-v1.xml (Rechtsklick, Ziel speichern unter ...) Verschiebe die Datei in das Verzeichnis HTTPSEverywhereUserRules in deinem Profilordner: Linux: ~/.mozilla/firefox/<profile folder>/HTTPSEverywhereUserRules/ Mac: ~/Library/Application\ Support/Firefox/Profiles/<profile folder>/HTTPSEverywhereUserRules/ Windows: %APPDATA%\Mozilla\Firefox\Profiles\<profile folder>\HTTPSEverywhereUserRules Häufig gestellte Fragen: Was ist HTTPS Everywhere? HTTPS Everywhere ist eine Browser-Erweiterung für Firefox, Chrome, und Opera, die von der Electronic Frontier Foundation (EFF) entwickelt wurde. Die Erweiterung schreibt HTTP-Anfragen automatisch in HTTPS-Anfragen um. Aber das funktioniert nur, wenn eine Regel für die Website hinterlegt wurde. Mitterweile werden tausende Regeln mitgeliefert. Der Webserver von overclockers.at leitet bereits alle HTTP-Anfragen auf HTTPS weiter. Wozu braucht man dann noch HTTPS Everywhere? Die Weiterleitung von HTTP zu HTTPS wird unverschlüsselt übertragen. Ein Angreifer, der sich zwischen Server und Client befindet (z.B. in einem offenen WLAN), könnte die HTTP-Anfrage manipulieren und eine Weiterleitung zu HTTPS verhindern. HTTPS Everywhere schützt vor diesem Angriff, indem bereits clientseitig HTTP zu HTTPS geändert wird, wenn eine Regel für die besuchte Website enthalten ist. Der Webbrowser verbindet sich dann von Anfang an per HTTPS zum Server.
AdRy Auferstanden Registered: Oct 2002 Location: Wien Posts: 5239	13.05.2015 - 23:51 ? oc.at redirected bei mir automatisch auf https ohne das addon.
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	14.05.2015 - 00:03 Die Weiterleitung zu HTTPS könnte ein Angreifer unterbinden und so eine gefälschte HTTP-Version der Website unterschieben: HTTPS stripping attack Unser Webserver unterstützt auch bereits HTTP Strict Transport Security, um dies zu verhindern. Jedoch muss man die Website mindestens einmal über HTTPS besucht haben, damit der Browser Bescheid weiß. HTTPS Everywhere verhindert jede HTTP-Verbindung zu overclockers.at. Bearbeitet von Luka am 14.05.2015, 01:01 (Ergänzung)
11Fire01 Here to stay Registered: Dec 2002 Location: austria Posts: 2417	14.05.2015 - 00:31 waers da nicht einfacher kein http zu machen?
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	14.05.2015 - 00:36 mir is aufgefallen dass chrome dieses mischsymbol anzeigt, wenn man von der domain auf einen bereich geht, zb forums. overclockers.at kriegt ein schloss in der adresszeile wie man es erwartet. any reason for that?
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	14.05.2015 - 00:42 Zitat von 11Fire01 waers da nicht einfacher kein http zu machen? Dein Ansatz gefällt mir jedoch würden dann alle alten Links, Bookmarks usw., die noch im Umlauf sind, nicht mehr funktionieren. Dein Browser würde dann melden: "Fehler: Server nicht gefunden". Das ist nicht sehr benutzerfreundlich. Zitat von Nico mir is aufgefallen dass chrome dieses mischsymbol anzeigt, wenn man von der domain auf einen bereich geht, zb forums. overclockers.at kriegt ein schloss in der adresszeile wie man es erwartet. any reason for that? Eine Werbung macht leider momentan eine HTTP-Anfrage. Das ist natürlich nicht ideal. Bearbeitet von Luka am 14.05.2015, 00:57 (Doppelpost vermeiden)
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	14.05.2015 - 10:14 Reicht nicht einfach auf dem http Webserver: <?php if ($_SERVER['HTTP_HOST'] != "www.overclockers.at"){ header("HTTP/1.1 301 Moved Permanently"); header("Location: https://www.overclockers.at".$_SERVER['REQUEST_URI']); exit; } ?>
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7133	14.05.2015 - 12:51 Kann das add-on morgen @ work mal installieren. Sollte es schon auf Chrome geben oder?
Lord Wyrm topquote owner since '17 Registered: Jan 2005 Location: wean Posts: 1316	14.05.2015 - 13:46 Gibts für Chrome, aye.
Burschi1620 24/7 Santa Claus Registered: Apr 2004 Location: Drüber da Donau Posts: 6792	14.05.2015 - 13:56 Zitat von luka Eine Werbung macht leider momentan eine HTTP-Anfrage. Das ist natürlich nicht ideal. die Werbebranche hat schon großflächig auf https umgestellt. Beschwerts euch bei eurem Vermarkter.
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	15.05.2015 - 01:31 Zitat von Crash Override Reicht nicht einfach auf dem http Webserver: <?php if ($_SERVER['HTTP_HOST'] != "www.overclockers.at"){ header("HTTP/1.1 301 Moved Permanently"); header("Location: https://www.overclockers.at".$_SERVER['REQUEST_URI']); exit; } ?> Eine Weiterleitung von HTTP zu HTTPS ist anfällig für einen Man-in-the-Middle-Angriff namens SSL Stripping, den HTTPS Everywhere verhindern kann. Ich hab im ersten Post eine Erklärung hinzugefügt. Bzgl. PHP: Ich würde die Weiterleitung lieber dem Webserver statt einem PHP-Skript überlassen. Das halte ich für weniger fehleranfällig und effizienter - auch wenn HTTP Response Splitting in der header-Funktion von PHP nicht mehr möglich sein sollte. Zum Beispiel Apache 2.2: Zitat <VirtualHost *:80> ServerName example.com RedirectPermanent / https://example.com/ ... </VirtualHost>
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25375	15.05.2015 - 08:53 Zitat von Burschi1620 die Werbebranche hat schon großflächig auf https umgestellt. Beschwerts euch bei eurem Vermarkter. Und der meint das Gegenteil. Ich sehe es auch, die Werbebranche hat gar nichts umgestellt. Das ist ein Haufen ahnungsloser Pfuscher, die Ausnahmen bestätigen die Regel. Es wird allerdings oftmals auf Amazon, Akamai und Co gehostet, die automatisch https unterstützen. Das nutzen wir auch aus und rewriten den Javascript-Code bevor er im Browser ausgeführt wird. Sonst würde so gut wie bei jedem Request ein Mixed-Content-Fehler kommen. luka, danke für das Script!
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7133	15.05.2015 - 08:58 Add-On ist installiert und Rule is drin für oc.at.
ill ... Registered: Nov 2003 Location: Salzburg Posts: 2053	15.05.2015 - 09:15 Zitat von Burschi1620 die Werbebranche hat schon großflächig auf https umgestellt. Beschwerts euch bei eurem Vermarkter. Das wäre mir auch neu, Werbung in Kombinaton mit einer HTTPS-only Verbindung auf einer Website ist nach wie vor ein absoluter Graus. Darf man fragen wie du auf die Einschätzung kommst?
Burschi1620 24/7 Santa Claus Registered: Apr 2004 Location: Drüber da Donau Posts: 6792	15.05.2015 - 13:23 Sämtliche großen publisher, zumindest mit denen wir arbeiten (das sind doch ein paar), akzeptieren seit ein paar Monaten nur noch https tags. Das zwingt natürlich die Leute die die Werbung in ihr system reinklopfen einen https link raus zu ziehen. Aber ich sehe das Problem nicht da es die meisten adserver mit einem hackerl mehr bei den Einstellungen können. Vermutlich hat euer vermarkter kein eigenes adserving und bekommt die tags von dem Kunden selbst. Anders kann ich mir die Antwort nicht erklären

HTTPS-Everywhere-Regeln für overclockers.at

Forum Index > Digital Life > Internet & Provider

Luka

AdRy

Luka

11Fire01

Nico

Luka

Crash Override

Wyrdsom

Lord Wyrm

Burschi1620

Luka

mat

Wyrdsom

ill

Burschi1620