Hallo,

leider komme ich nicht mehr mit Firefox 49.0.2 in das Forum. Von der http Übersichtsseite wird der Login auf https umgeleietet welches dann ein Fehler ausgibt ("konnte nicht geladen werden"), in Form einer Sicherheitsüberprüfung fehlgeschlagen Meldung.

Wie bekomme ich das hin? Betrifft aktuell Firefox. Auf dem Smartphone mit anderem Browser funktioniert es :confused:

Gruß

Hallo,

leider komme ich nicht mehr mit Firefox 49.0.2 in das Forum. Von der http Übersichtsseite wird der Login auf https umgeleietet welches dann ein Fehler ausgibt ("konnte nicht geladen werden"), in Form einer Sicherheitsüberprüfung fehlgeschlagen Meldung.

Wie bekomme ich das hin? Betrifft aktuell Firefox. Auf dem Smartphone mit anderem Browser funktioniert es :confused:

Gruß
Im genauen handelt es sich um diese Fehlermeldung:
"Fehler: Gesicherte Verbindung fehlgeschlagen

Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde."

Hab auch mal die Cookies gelöscht, brachte keine Lösung.

Wer hat da eine Lösung? :)

Hat sich erledigt. Das Problem war, dass die maximale akzeptierte TSL Version auf "benutzerdefiniert" Stand und den Wert 1 entsprach. Das Stellen des Wertes auf 3 (Standard) entspricht dem TSL 1.2

Warum das so war keine Ahnung ^^

Es wird mind. TLS 1.2 im Browser benötigt. Für den IE bedeutet das zudem mind. Windows 7.

Bei Firefox sollte die Einstellung security.tls.version.max (erreichbar via about:config) auf dem Wert 3 oder höher stehen. Dass ist das, was Thunder99 meinte.

Korrekt. Warum sich das bei mir verstellt hat weiß ich aber nicht. Danke dir Sephiroth nochmal für die bessere Erklärung :)

tipps für opera 12, wenn es dann trotzdem nicht geht?

kann man den mist irgendwie ausschalten?

1) funktioniert mit Opera 12.18 - welche Version hast du denn?

2) Nein

Automatisches Einloggen klappt nicht mehr; ist das so gewollt?

hast du den Haken beim Login gesetzt und erlaubst Cookies? Ich bleibe eingeloggt.

Alle Einstellungen wie bisher auch.
Ich empfange Cookies - nur loggen die mich nicht ein. :(

Seltsam. Hier keine Probleme.
Poste doch mal OS und Browser. Wenn Sephi wieder on ist kann er mal was dazu sagen.

Alle Einstellungen wie bisher auch.
Ich empfange Cookies - nur loggen die mich nicht ein. :(

Hier das gleiche Problem mit Windows 10 x64 und neuste Chrome Beta 55.0.2883.28 (64bit). Sobald ich länger als 20 Minuten von der Seite weg bin muss ich mich erneut einloggen. :confused:

Mein Browser-Profil hatte ein Schuss... Geht wieder wieder.
Profil gelöscht und neues gemacht.

Ich kann mich gar nicht mehr einloggen, obwohl das Passwort richtig sein müsste. Selbst das von 3DC-Forum neu gesandte Passwort wird nicht akzeptiert.

Hier das gleiche Problem mit Windows 10 x64 und neuste Chrome Beta 55.0.2883.28 (64bit). Sobald ich länger als 20 Minuten von der Seite weg bin muss ich mich erneut einloggen. :confused:
Lösche mal alle Cookies vom Forum und melde dich neu an. Eventuell hast du Cookies ja auch nur für die Session akzeptiert. :confused:

Ich kann mich gar nicht mehr einloggen, obwohl das Passwort richtig sein müsste. Selbst das von 3DC-Forum neu gesandte Passwort wird nicht akzeptiert.
Bitte überprüfe ob Cookies akzeptiert werden.

Lösche mal alle Cookies vom Forum und melde dich neu an. Eventuell hast du Cookies ja auch nur für die Session akzeptiert. :confused:


Bitte überprüfe ob Cookies akzeptiert werden.
Wie soll ich das prüfen? Wenn ich das zugesandte neue Passwort verwende, kommt nur diese Meldung:

"Sie haben einen falschen Benutzernamen oder ein falsches Kennwort eingegeben. Gehen Sie bitte zurück und geben Sie die richtigen Daten ein. Vergessen Sie dabei nicht, auf die Groß-/Kleinschreibung des Kennwortes zu achten. Haben Sie vielleicht Ihr Kennwort vergessen?

Sie haben bisher 6 mal versucht, sich anzumelden. Nach dem 5. fehlerhaften Versuch ist eine Anmeldung für die nächsten 15 Minuten nicht mehr möglich."

Cookies werden akzeptiert, TLS 1.2 wird unterstützt, keine Ahnung wo da der Wurm seit den Wartungsarbeiten drin ist.

tipps für opera 12, wenn es dann trotzdem nicht geht?

kann man den mist irgendwie ausschalten?
Nach einigem Probieren sieht's bei mir so aus und funktioniert:

Ich hänge ebenfalls mit Login-Problemen fest und kann mich hier garnicht mehr anmelden,
obwohl ich ganze fünf (!) Mal ein neues Passwort angefordert habe und auch alles korrekt
eingetippt habe, und das in mehren Anläufen.

Die Browserversion von meinen FireFox ist zwar mit 36.0 nicht die Neueste, aber laut about:config
ist der Parameter security.tls.version.max auf 3 und Cookies (ich habe extra auch die alten Cookies
gelöscht) zu der Forenseite des 3Dcenter-Seite werden akzeptiert.

Ich habe dasselbe Problem, habe bereits zweimal ein neues Passwort schicken lassen und mit unterschiedlichen Browsern versucht, aber das neue Passwort wird nicht akzeptiert.

Ich hänge ebenfalls mit Login-Problemen fest und kann mich hier garnicht mehr anmelden,
obwohl ich ganze fünf (!) Mal ein neues Passwort angefordert habe und auch alles korrekt
eingetippt habe, und das in mehren Anläufen.

Die Browserversion von meinen FireFox ist zwar mit 36.0 nicht die Neueste, aber laut about:config
ist der Parameter security.tls.version.max auf 3 und Cookies (ich habe extra auch die alten Cookies
gelöscht) zu der Forenseite des 3Dcenter-Seite werden akzeptiert.
Wie soll ich das prüfen? Wenn ich das zugesandte neue Passwort verwende, kommt nur diese Meldung:

"Sie haben einen falschen Benutzernamen oder ein falsches Kennwort eingegeben. Gehen Sie bitte zurück und geben Sie die richtigen Daten ein. Vergessen Sie dabei nicht, auf die Groß-/Kleinschreibung des Kennwortes zu achten. Haben Sie vielleicht Ihr Kennwort vergessen?

Sie haben bisher 6 mal versucht, sich anzumelden. Nach dem 5. fehlerhaften Versuch ist eine Anmeldung für die nächsten 15 Minuten nicht mehr möglich."
bitte beide nochmal mit dem zuletzt zugeschickten passwort probieren.

Ich habe dasselbe Problem, habe bereits zweimal ein neues Passwort schicken lassen und mit unterschiedlichen Browsern versucht, aber das neue Passwort wird nicht akzeptiert.
und du bist wer?

Das Einloggen hat nun bei mir geklappt d.h ich bin drin.

http://www.toonsup.de/users/t/trumix/bin_drin_091203_1933_1.jpg

Gut, der Fehler ist auch gefunden und behoben. Falls noch jemand von dem gleichen Problem - neues Kennwort angefordert aber es kommt die Meldung 'Sie haben einen falschen Benutzernamen oder ein falsches Kennwort eingegeben' - betroffen ist, dann bitte nochmal ein neues anfordern oder hier melden. Sorry für die Umstände. :usad:

Was seltsames hier:

Mein Username "MartinB" scheint es nciht mehr zu geben. Als ich ein neues Passwort angefordert habe, wurde mein aktueller Name angezeigt. Ne Suche in in meinem Gmail account zeigt MartinB als usernamen an als ich vor einiger Zeit mit der gleichen Email Addresse ein Passwort angefordert habe.

Wenn ich an meinen alten Account ueber die Forums Email Funktion ne Mail schicke, landet die auch im gleichen Emailfach.

Lösche mal alle Cookies vom Forum und melde dich neu an. Eventuell hast du Cookies ja auch nur für die Session akzeptiert. :confused:

Getan, werde regelmäßig wieder ausgeloggt, haken bei "Angemeldet bleiben" ist natürlich gesetzt. Hatte ich noch nie auf keiner Seite und bei anderen Foren funktioniert es auch ohne Probleme.

Private-Modus bzw. vergleichbare Funktionen sind auch deaktiviert?

Private-Modus bzw. vergleichbare Funktionen sind auch deaktiviert?

Selbstverständlich, es hat seit 2003 auch jedes mal geklappt, ich bezweifel daher, dass es an mir liegen kann.

Anmeldung:

http://fs5.directupload.net/images/161102/tgclmfgw.png

Browser:

http://fs5.directupload.net/images/161102/h3ayfznv.png

Cookies gelöscht:

http://fs5.directupload.net/images/161102/pawii7wp.png


Es muss irgendwie am Forum liegen, zumal etliche andere Foren ohne Probleme funktionieren. Vor den Wartungsarbeiten gab es auch keine Probleme, erst als diese abgeschlossen waren gab es diese.

Ich habe das gleich Problem auf meinem Windows Phone 8.1. Cookies habe ich gelöscht, bringt nichts. Nach schließen und öffnen des browsers muss ich mich wieder neu einloggen.

Ich habe das gleich Problem auf meinem Windows Phone 8.1. Cookies habe ich gelöscht, bringt nichts. Nach schließen und öffnen des browsers muss ich mich wieder neu einloggen.

Dachte ich mir, dass es nicht an mir liegen kann ;)

Was seltsames hier:

Mein Username "MartinB" scheint es nciht mehr zu geben. Als ich ein neues Passwort angefordert habe, wurde mein aktueller Name angezeigt. Ne Suche in in meinem Gmail account zeigt MartinB als usernamen an als ich vor einiger Zeit mit der gleichen Email Addresse ein Passwort angefordert habe.

Wenn ich an meinen alten Account ueber die Forums Email Funktion ne Mail schicke, landet die auch im gleichen Emailfach.
Ja kein Wunder wenn es drei Accounts mit der Email Adresse gibt. Da wird halt der neueste Account (user0815) zurückgeliefert. Wir können das gerne im Kontaktforum oder pe PN weiter besprechen.

Selbstverständlich, es hat seit 2003 auch jedes mal geklappt, ich bezweifel daher, dass es an mir liegen kann.

Anmeldung:

http://fs5.directupload.net/images/161102/tgclmfgw.png

Browser:

http://fs5.directupload.net/images/161102/h3ayfznv.png

Cookies gelöscht:

http://fs5.directupload.net/images/161102/pawii7wp.png


Es muss irgendwie am Forum liegen, zumal etliche andere Foren ohne Probleme funktionieren. Vor den Wartungsarbeiten gab es auch keine Probleme, erst als diese abgeschlossen waren gab es diese.
Wie muss ich das letzte Bild deuten: du hast die Cookies gelöscht und trotzdem sind noch welche da?

Hast du spezielle Cookie-Ausnahmen für das Forum definiert und wenn ja wie lauten die?

Wie muss ich das letzte Bild deuten: du hast die Cookies gelöscht und trotzdem sind noch welche da?



Um den Beitrag zu schreiben, musste ich mich natürlich einloggen, dann sind diese Cookies auch da. Nach dem Post hab ich die Cookies dann gelöscht und mich erneut eingeloggt, aber nach dem ich in anderen Foren gesurft haben und hier zurückgekommen bin, war ich erneut ausgeloggt.

Hast du spezielle Cookie-Ausnahmen für das Forum definiert und wenn ja wie lauten die?


Nein, keine Ausnahmen. Alles Standard. Hab auch keinen Cookie-Manager oder ähnliches installiert. Wie gesagt, das lässt sich auf einem anderen PC auch reproduzieren. Bin ja auch seit 2003 hier angemeldet, die Probleme gibt es erst seit der Umstellung.

Kann nur nochmal sagen: Same here mit WP8.1
Bitte fixt das, es ist extrem nervig :(

hi ich wollte mich im 3dcenter forum anmelden unter safari und es kommt eine
Fehlermeldung das Safari keine sichere Verbindung aufbauen kann. Das ist das erste mal das diese Meldung kommt , habe nichts an meinem Rechner (mac) geändert…weiß jemand rat??

Jetzt wird es "schräg": Wenn ich über den Menüpunkt "Forum" ins Forum gehe, bin ich nicht eingeloggt.

Gehe ich jedoch über Leos Links in den News ins Forum (z.B. direkt in diesen Thread), bin ich automatisch eingeloggt.

Firefox 49.0.2

Safari funktioniert bei mir.

Schon mal mit einem anderem Browser versucht? Ansonsten Caches, Cookies und das 3DC - Zertifikat löschen. Oder hast du vielleicht den falschen User-Namen benutzt? Die Email Adresse geht nicht, du musst schon deinen richtigen Account-Namen verwenden.

hi ich wollte mich im 3dcenter forum anmelden unter safari und es kommt eine
Fehlermeldung das Safari keine sichere Verbindung aufbauen kann. Das ist das erste mal das diese Meldung kommt , habe nichts an meinem Rechner (mac) geändert…weiß jemand rat??
Der Website-Administrator 'muß' den Server als sicheren Server konfigurieren. Wahrscheinlich ist die sichere kryptografische 'Verschlüsselungsmethode' (Standard) nicht hoch genug, was Safari dann als Fehlermeldung auswirft. Du selbst kannst da nichts machen.

Unter Opera wird die Verbindung über den 'Zertifikatbutton' als unverschlüsselt gemeldet.

/e: In einigen Bereiche des Forum's erscheint unter'm Firefox ein gelbes Dreieck plus Ausrufezeichen. Ist wie maximus_hertus berichtet, wird man über den Link der Newssite in das Forum weitergeleitet, ist alles o.k..
*

Hier keine Probleme mit Mac/Safari, aktuelle Updates drauf.

@fragman12: Welche macOS-Version und welches Safari benutzt du denn? Versionen vor Mac OS X 10.8 konnten noch kein TLS 1.2. Falls es daran liegt, solltest du updaten, weil 10.8 sowieso nicht mehr von Apple supportet wird.

Eine Liste, welche Clients welche TLS-Versionen und Chiphersuites unterstützen, kann man sich übrigens hier angucken: https://www.ssllabs.com/ssltest/clients.html

tipps für opera 12, wenn es dann trotzdem nicht geht?

kann man den mist irgendwie ausschalten?

Opera 12 hat im Februar ein Update beommen, mit dem TLS 1.2 und Support für AES-GCM nachgerüstet wurde. Ist das installiert?

Ich persönlich würde ja darüber nachdenken, die Anforderungen für das Forum etwas zu senken. Ich bin zwar sehr für moderne Krypto, aber TLS-1.2-only ist in einem Forum eventuell nicht der beste Kompromiss. Die aktuelle „Intermediate“-Empfehlung von Mozilla finde ich eigentlich ganz angemessen: https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28default.29

War aber vielleicht auch nicht die schlechteste Sache, dass einige Leute jetzt gemerkt haben, dass ihr Browser eigentlich nicht richtig für das moderne Web gewappnet ist.

Opera 12 hat im Februar ein Update beommen, mit dem TLS 1.2 und Support für AES-GCM nachgerüstet wurde. Ist das installiert?
Ja müßte up to date sein. Ich sehe es mir heute Abend noch mal an. Den Hinweis des Admin auf TLS 1.2 etc. hatte ich vor Umstellung gelesen. Nur ist TLS 1.2 auch nicht so sicher wie sein Ruf. Selbst deterministisch ist anfällig für einfache Angriffe. Dürfte ja wohl eher eine Mischung mit RSA-OAEP sein?

Leo hatte es auf der Newssite ja auch nochmal angesprochen.

Version wird so angezeigt:
Version: 41.0.2353.46 - Opera ist auf dem neuesten Stand
Update-Stream: Stable
Betriebssystem: Windows 10 64-bit (WoW64) - aktuelles Anniversary Upgrade

Mehr geht ja nicht, vielleicht habe ich mit den Entwicklerwerkzeugen etwas verstellt. Firefox zeigt aber auch Ausrufezeichen an (aber eben nicht in allen Unterforen), was dann klar auf den Verschlüsselungsstandard hinweist.

Der Admin kann es sich ja nochmal ansehen. Sollte keine Kritik sein.

Windows Phone unterstützt seit 8.1 tsl 1.2, daran kann es bei mir nicht liegen. Cache, coockies, alles gelöscht. Geht immernoch nicht :(

Ich bin ein bisschen "weiter" gekommen:

Wenn ich direkt im Adressfeld nur "forum-3dcenter.org" eingebe, bin ich NICHT eingeloggt.
Gebe ich jedoch "https://www.forum-3dcenter.org" ein, bin ich eingeloggt.

Genauso bei der Startseite: Gebe ich "nur" 3dcenter.org ein, ist laut Firefox die Verbindung "unsicher" und beim Forum-Link im der Menüleiste oben bin ich nicht eingeloggt.

Gebe ich jedoch https://www.3dcenter.org ein und gehe per Menüleiste ins Forum, passt es und ich bin automatisch eingeloggt.

Chrome macht bei mir auch die gleichen Zicken. Hab auch Cookies gelöscht aber half nix. Einzige Addon ist uMatrix was ich fürs 3DC aber generell deaktiviert habe.

Bei mir mit der aktuellen Chrome stable habe ich übrigens keine Probleme. Addons: uBlock Origin und HTTPS Everywhere

Gebe ich jedoch https://www.3dcenter.org ein und gehe per Menüleiste ins Forum, passt es und ich bin automatisch eingeloggt.
Genau das, so paßt es. Die einfache Lösung will einem nicht einfallen.:up:

TLS 1.2 wird jedenfalls durch den Opera richtig unterstützt:
http://img5.fotos-hochladen.net/uploads/cbjex0swc2ai.png (http://www.fotos-hochladen.net)

http://img5.fotos-hochladen.net/uploads/3dc41p7oqm305.jpg (http://www.fotos-hochladen.net)

Ah, so gehts jetzt auch. Ok...

Hm, hier genau das gleiche scheinbar. Wobei mein fav-link eigentlich auch über die url geht, mit ein paar anhängen.
Naja, muss ich scheinbar nur die favs neu machen.

Ich bin ein bisschen "weiter" gekommen:

Wenn ich direkt im Adressfeld nur "forum-3dcenter.org" eingebe, bin ich NICHT eingeloggt.
Gebe ich jedoch "https://www.forum-3dcenter.org" ein, bin ich eingeloggt.

Genauso bei der Startseite: Gebe ich "nur" 3dcenter.org ein, ist laut Firefox die Verbindung "unsicher" und beim Forum-Link im der Menüleiste oben bin ich nicht eingeloggt.

Gebe ich jedoch https://www.3dcenter.org ein und gehe per Menüleiste ins Forum, passt es und ich bin automatisch eingeloggt.

Danke für den Tipp. Mein Smartphone mit Opera Mobile wollte sich partout nicht automatisch beim Besuch der Seite einloggen. Zwar wurden die Login-Daten akzeptiert, aber wenn der Browser einmal geschlossen wurde, musste ich immer alles neu eintippen. Mit "https://..." geht es :up:

Gebe ich jedoch https://www.3dcenter.org ein und gehe per Menüleiste ins Forum, passt es und ich bin automatisch eingeloggt.

Jop, das war die Lösung. Man muss seine Links mit https aktualisieren, dann klappt es wieder wie es sein soll :wink:

Ich komme jetzt auch endlich wieder ins Forum mit Waterfox. ^^
Cookies löschen brachte keinen Erfolg, und auch security.tls.version.max auf 3 setzen nicht.
Bei mir half nur eine neuere Version von Waterfox zu installieren.

Es wäre schade, wenn eine der besten deutschen IT-Seiten viel User verliert, nur weil jetzt viele nicht mehr ins Forum kommen können.

Es wäre schade, wenn eine der besten deutschen IT-Seiten viel User verliert, nur weil jetzt viele nicht mehr ins Forum kommen können.

Andersrum hat es dir geholfen darauf aufmerksam zu werden, dass deine Waterfox-Version steinalt und schon länger nicht mehr sicher war. TLS 1.2 wurde mit Firefox 27(!) eingeführt.

Erfahrungsgemäß geht nur ein Bruchteil der User die jetzt nicht mehr ins Forum kommen hier in diesen Thread und suchen nach Hilfe. Die Masse wird eher genervt auf andere Seiten ausweichen.

Bei mir z.B. hat das Wochen gedauert, bevor ich endlich eine Lösung finden wollte. ^^

p.s. mein Waterfox war irgendwas mit 28

@derpinguin:
Beim aktuellen Problem stimmt das natürlich. Ich hatte aber schon längere Zeit Probleme mit meinem alten Waterfox und dem 3dcenter. Mal kam ich nur über http://www.3dcenter.org/ auf die Main, dann ging es nur noch über https://www.3dcenter.org/, und danach wieder nur http://www.3dcenter.org/. Wie immer war ich nur zu faul endlich einmal eine Lösung dafür zu finden. ^^ Und über Chome konnte ich euch zum Glück noch lesen. Ich mache mir nur Sorgen das ihr dadurch User verlieren könnt. Aber diese Gedanken habt ihr bestimmt auch selbst.

Bei mir z.B. hat das Wochen gedauert, bevor ich endlich eine Lösung finden wollte. ^^

Es hat bei dir Wochen gedauert bis du eine Lösung für ein Problem finden wolltest, das seit 5 Tagen besteht? Seems legit.

Erfahrungsgemäß geht nur ein Bruchteil der User die jetzt nicht mehr ins Forum kommen hier in diesen Thread und suchen nach Hilfe. Die Masse wird eher genervt auf andere Seiten ausweichen.

Bei mir z.B. hat das Wochen gedauert, bevor ich endlich eine Lösung finden wollte. ^^

Deshalb bin ich mir auch nicht sicher, ob man TLS-1.2-only in einem Forum haben will.

p.s. mein Waterfox war irgendwas mit 28

Das spricht jetzt nicht gerade für die Waterfox-Maintainer, dass sie den TLS-Stack vom Firefox brechen. Generell scheinen die Leute bei Palemoon, Waterfox und Co. öfter Probleme zu haben. Eigentlich schade.

Ich bin ein bisschen "weiter" gekommen:

Wenn ich direkt im Adressfeld nur "forum-3dcenter.org" eingebe, bin ich NICHT eingeloggt.
Gebe ich jedoch "https://www.forum-3dcenter.org" ein, bin ich eingeloggt.

Genauso bei der Startseite: Gebe ich "nur" 3dcenter.org ein, ist laut Firefox die Verbindung "unsicher" und beim Forum-Link im der Menüleiste oben bin ich nicht eingeloggt.

Gebe ich jedoch https://www.3dcenter.org ein und gehe per Menüleiste ins Forum, passt es und ich bin automatisch eingeloggt.
Hm, hier genau das gleiche scheinbar. Wobei mein fav-link eigentlich auch über die url geht, mit ein paar anhängen.
Naja, muss ich scheinbar nur die favs neu machen.
Jop, das war die Lösung. Man muss seine Links mit https aktualisieren, dann klappt es wieder wie es sein soll :wink:
Damit man eben nicht seine Favoriten anpassen muss, wird bei einer erfolgreichen Verbindung via https der HSTS-header gesendet. Der weist den Browser an, dass auch wenn man die Seite mit http aufruft, trotzdem https genommen wird. Das setzt jedoch voraus, dass der Browser das auch unterstützt - und das tun leider nicht alle die auch TLS 1.2 können (z.B. IE 10; Brower Support (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#Browser_compatibility)), was ich nicht bedacht habe. :usad:

Chrome 55, den Andre2779 nutzt, kann das aber definitiv! :confused:


Deshalb bin ich mir auch nicht sicher, ob man TLS-1.2-only in einem Forum haben will.



Das spricht jetzt nicht gerade für die Waterfox-Maintainer, dass sie den TLS-Stack vom Firefox brechen. Generell scheinen die Leute bei Palemoon, Waterfox und Co. öfter Probleme zu haben. Eigentlich schade.
Erfahrungsgemäß geht nur ein Bruchteil der User die jetzt nicht mehr ins Forum kommen hier in diesen Thread und suchen nach Hilfe. Die Masse wird eher genervt auf andere Seiten ausweichen.

Bei mir z.B. hat das Wochen gedauert, bevor ich endlich eine Lösung finden wollte. ^^

p.s. mein Waterfox war irgendwas mit 28

@derpinguin:
Beim aktuellen Problem stimmt das natürlich. Ich hatte aber schon längere Zeit Probleme mit meinem alten Waterfox und dem 3dcenter. Mal kam ich nur über http://www.3dcenter.org/ auf die Main, dann ging es nur noch über https://www.3dcenter.org/, und danach wieder nur http://www.3dcenter.org/. Wie immer war ich nur zu faul endlich einmal eine Lösung dafür zu finden. ^^ Und über Chome konnte ich euch zum Glück noch lesen. Ich mache mir nur Sorgen das ihr dadurch User verlieren könnt. Aber diese Gedanken habt ihr bestimmt auch selbst.
Es ist pure Absicht nur TLS 1.2 anzubieten. Auch um die wenigen User mit veralteten Browser bzw. Browser-Einstellungen zum Update zu nötigen. Aber auch weil es die Statistiken her geben. Wir haben >50% Anteil an Firefox Benutzern, wovon der Großteil die aktuelle Release Version nutzt, 39% bei Chrome die ebenfalls aktuell sind. IE macht 5% aus, wobei 4,2% Version 11 benutzt. Opera < 12.18 liegt bei 0,1%.

Hallo,
irgendwie hab ich das noch nicht wirklich verstanden:
Seite 1 dieses Threads ok, Seite 2 und 3 nicht?

/EDIT: wegen der Bilder im Thread?

/EDIT: wegen der Bilder im Thread?

Bei „Mixed Content“ (Ressourcen per HTTPS und HTTP auf der Seite) wird immer eine unsichere Verbindung angezeigt, weil theoretisch darüber die Seite modifiziert werden kann. Das passiert hier im Forum oft, weil eben viele Leute Bilder per HTTP einbinden.

Wenn man das nicht haben will, weil man z.B. in einem öffentlichen Netzwerk verbunden ist und dort Inhalte aktiv modifiziert werden, kann man das mit HTTPS Everywhere (https://www.eff.org/Https-Everywhere) unterbinden. Das hat eine Option, mit der man temporär alle Inhalte per HTTP blockieren kann. Das kann enorm praktisch sein. Nebenbei upgradet HTTPS Everywhere auch viele Webseiten auf HTTPS, wenn das dort nur optional angeboten wird.

hi lumines
super danke für die Erklärung wieder was gelernt :)

wie kann man denn erzwingen dass er immer https aufruft. Bei mir hat er nach der Wartung immer das Forum per https aufgerufen. Inwzsichen geht's aber nicht mehr. Da ich mit vertrauenswürdigen sites arbeiten und aktuell nur die https Version drin habe werde ich nun leider nicht mehr eingeloggt und muss jedesmal auf https umstellen. DAnn klappts wieder. Ich hätte aber gerne dass das der Browser selbstständig macht.
Wer hat einen Tipp ?ß (Browser IE 11)

[…] und aktuell nur die https Version drin habe werde ich nun leider nicht mehr eingeloggt und muss jedesmal auf https umstellen.

Du meinst, dass der IE standardmäßig HTTP benutzt und du manuell auf HTTPS umstellen musst? Passiert das auch, wenn du ein Lesezeichen anlegst, das auf die gleiche URL mit HTTPS zeigt?

Wenn das wirklich ein Problem mit dem IE ist, dann wird man daran wahrscheinlich nicht viel ändern können. Der IE bekommt, soweit ich weiß, keine Featureupdates mehr.

wie kann man denn erzwingen dass er immer https aufruft. Bei mir hat er nach der Wartung immer das Forum per https aufgerufen. Inwzsichen geht's aber nicht mehr. Da ich mit vertrauenswürdigen sites arbeiten und aktuell nur die https Version drin habe werde ich nun leider nicht mehr eingeloggt und muss jedesmal auf https umstellen. DAnn klappts wieder. Ich hätte aber gerne dass das der Browser selbstständig macht.
Wer hat einen Tipp ?ß (Browser IE 11)
Beim IE11 muss das Update MS15-056 (https://support.microsoft.com/en-us/kb/3058515) von Juni 2015 bzw. das darin enthaltene KB3071338 (https://support.microsoft.com/en-us/kb/3071338) installiert sein, damit der IE 11 den zuvor von mir erwähnten HSTS-Header (https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#HSTS_mechanism_overview) unterstützt.

Updates habe ich eigentlich immer alle installiert. Die Frage ist warum ich mal auf der https seite gelange und mal auf die http. Immer ausgehend von der Verknüpfung der 3dcenter Startseite.

Nochmals zur Klärung:
Ich benutze immer den Link von der Startseite zum Forum. Nach der Wartung führte der Link immer auf die https Seite des Forums. Jetzt scheint es mal https und mal http zu sein. Meistens aber http. Das ganze erschliesst sich mir einfach nicht. WArum einmal so und einmal anders.

Ich benutze immer den Link von der Startseite zum Forum. Nach der Wartung führte der Link immer auf die https Seite des Forums. Jetzt scheint es mal https und mal http zu sein. Meistens aber http. Das ganze erschliesst sich mir einfach nicht. WArum einmal so und einmal anders.
Das hat lumines doch schon erklärt, die Seite enthält Mischinhalte auch mixed contents genannt, dann kann sie ohne zusätzliche Unterdrückung dieser Inhalte auch nicht als völlig abhörsicher gelten. Das bedeutet, Du musst die Mischinhalte blockieren (unter Internetoptionen=>Sicherheit=>Sonstiges=>gemischter Inhalt anzeigen=>deaktivieren). Da der IE11 in einfacher Config nur Images blockt, aber nicht anderen Plaintext wie CSS, Scripts, XHR, WebSockets, Frames, HTTP Webserververbindungen, wie Shoplinks Werbung usw. kann auch ein Zusatzprogramm notwendig sein. Oder Du verwendest nur relative Links (anstatt absolute) und lässt den Browser das selbst ergänzen. Vor allem musst Du alle alten Cookies oder Webinhalte löschen.

Der IE verhält sich also ganz normal, er lädt mixed contens (http vs https Mischinhalte) und zeigt dann an, dass die Seite nicht sicher ist, weil über http eben "Unsicherheit" eingeschleust werden könnte. Manchmal werden auch http-Cookie's gesetzt um Rechenzeit zu sparen. Firefox und Chromium enthalten dafür Entwickler-Werkzeuge, beim IE musst Du ausschließlich sichere Inhalte angezeigen lassen. Alle mixed contens werden nur durch den Android Browser oder Safari vollständig unterdrückt.

Du kannst unter HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\ überprüfen ob der DWORD-Wert von iexplore.exe unter FEATURE_DISABLE_HSTS auf "0" gesetzt ist.

Beim IE11 muss das Update von Juni 2015 bzw. das darin enthaltene KB3071338 installiert sein, damit der IE 11 den zuvor von mir erwähnten HSTS-Header unterstützt.
Ein nicht verschlüsselt übertragener HSTS Header wird ignoriert und damit auch nicht unterstüzt. HSTS sind sowieso mehr Art Super Cookies, als sie von großem Nutzen sind. Wüsste nicht warum man solche Art Trackingoptionen/Device Fingerprinting empfiehlt? Sie dienen allgemein zu nichts weiter, als nutzerbezogenen Werbeeinblendungen, die man nicht mehr steuern kann.

Das sogeannte erstellen von Nutzungsprofilen bedarf einer Zustimmung durch den Nutzer (§ 15 Abs. 3 TMG). Davon habe ich hier bisher nichts gelesen...
3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Warum musste man sich denn jetzt in Eurem Forum neu anmelden?

HSTS sind sowieso mehr Art Super Cookies, als sie von großem Nutzen sind. Wüsste nicht warum man solche Art Trackingoptionen/Device Fingerprinting empfiehlt?

HSTS mit langer Laufzeit hilft gegen aktive und passive HTTPS-Downgrades. Siehe auch das Threat Model aus dem entsprechenden RFC: https://tools.ietf.org/html/rfc6797#section-2.3

HSTS-Header sind keine Cookies. Man kann sie vielleicht dafür missbrauchen, aber hast du konkrete Anhaltspunkte, warum das hier im Forum der Fall sein soll?

Sie dienen allgemein zu nichts weiter, als nutzerbezogenen Werbeeinblendungen, die man nicht mehr steuern kann.

Das ist falsch und ich denke, dass du das auch selbst weißt. Das sollte auch jedem klar sein, der den RFC dazu gelesen hat.

Warum musste man sich denn jetzt in Eurem Forum neu anmelden?

Muss man? Ich musste das nicht.

HSTS-Header sind keine Cookies.
Wenn man der Datenschutzerklärung glaubt. Wobei "ablehnen" wirklich unglücklich ausdrückt ist. Langlebiges Time-to-live erneuert beim Seitenaufruf die Cache-Lebenszeit ständig und so kann man auch tracken, da der benutzte Browser über die ID eindeutig identifiziert werden kann. "forward" ins Forum ist auch so eine Sache. Ein übliches Cookie löschen hilft ja nicht, je nach Browser muss man in den "Vergessen Modus". Wenn man nicht aufpasst, kann man bei Nutzung einer Cloud sogar Geräte übergreifend getrackt werden. Eine Seite die mit mehreren Subdomains arbeitet, kann einem auch unterschiedliche oder mehrere Header unterschieben.

Der IE fragt den Nutzer zu Anfang, ob er alle Elemente ausführen darf und merkt sich dann den Header nicht, dass dürfte wohl auch das Problem von TheGood sein. Edge dagegen blockiert jeden Mix automatisch.

Der Rest: https://www.heise.de/security/artikel/Security-Funktion-HSTS-als-Supercookie-2511258.html

Die Cookies hier, lassen sich rückstandslos löschen.

Ein Browser kann über seinen Fingerprint auch eindeutig, noch einfacher und vor allem ohne Rückstände irgendwelcher Cookies getrackt werden.

Eine Seite die mit mehreren Subdomains arbeitet, kann einem auch unterschiedliche oder mehrere Header unterschieben..

Und das wird hier gemacht? Wenn ja, kannst du ja einmal Auszüge deiner Header über einen gewissen Zeitraum zeigen. Wenn HSTS-Header als „Super-Cookies“ missbraucht werden, dürfte das ziemlich einfach zu erkennen sein.

Und das wird hier gemacht? Wenn ja, kannst du ja einmal Auszüge deiner Header zeigen. Wenn HSTS-Header als „Super-Cookies“ missbraucht werden, dürfte das ziemlich einfach zu erkennen sein.
Wer hat das denn geschrieben? Vielleicht steigerst du dich ja in irgend etwas rein? Seit wann wird ein Supercookie im HSTS Cache gespeichert? Wenn der Gast gerne die max age von HSTS und HPKP Headern auslesen will, soll er es auf https://www.ssllabs.com/ssltest/ tun, einfach dazu den Hostnamen in der vorgesehenen Zeile eingeben. Laufzeitangabe in sec.. HSTS bleibt wegen der begrenzten Laufzeit des Headers anfällig (selbst 1000 Jahre helfen nicht), weil das NTP eben nicht verschlüsselt ist. Das hat Jose Selvi mit Delorean schon bewiesen. Es gibt also vieles mehr zu berücksichtigen, als sich auf imaginäre Standards zu verlassen. Da die Protokolle von den Geheimdiensten abstammen oder entwickelt werden, ist anzunehmen das man sie auch entschlüsseln oder umgehen kann.

HSTS/HPKP in seiner Form liefert mehr Sicherheit, da zusätzlich bei einem abgelehnten Zertifikat wegen nicht Übereinstimmung der gespeicherten PINs, ein Report gesendet werden kann und der Browser den Aufbau der aufgerufenen Seite verweigert. Unfehlbar ist es nicht, fehlerbehaftet und schützt damit auch vor nichts. Man sollte TheGood als IE11 Nutzer daher auch empfehlen EMET mit zu installieren.

Wenn ja, kannst du ja einmal Auszüge deiner Header zeigen.
Das werde ich nicht tun. Warum kannst du bei den Admins fragen. Ich stelle nichts in Frage und unterstelle auch nichts dergleichen, ich habe nur an der Diskussion teilgenommen. Wenn der Gast personalisierte Werbung nicht will, soll er sich einen Blocker installieren (AdDefend gleich dazu). In meinem Text steht auch nicht das es auf 3dcenter so ist. Wenn ja dann zeige mir bitte den dazugehörigen Passus auf?

Ein Browser kann über seinen Fingerprint auch eindeutig, noch einfacher und vor allem ohne Rückstände getrackt werden.
Als wenn man aktives oder passives Printing nicht mit entsprechenden Hilfsmittel und angepasstem Surfverhalten unterdrücken könnte?

edit: Mir geht das aber zuweit offtopic. Ich wollte helfen und habe den Post von Gast etwas ergänzt. Der Rest: http://www.secupedia.info/wiki/SSL

Und das wird hier gemacht?
wo steht das denn? es geht wie überall nur noch um mehr kontrolle. der gründung des usenet und internet gingen andere beweggründe voraus. da braucht man sich auch nicht hinter sicherheitsgedanken verstecken. die anwender hält es immer mehr ab solche angebote dann noch zu nutzen. das ganze wird für rein wirtschaftliche zwecke und persönlichen wiedererkennungswert vermarktet. wüßte nicht warum das feiern sollte. das ist kein fortschritt hin zu einer freieren gesellschaft und gesunder anonymität. das ist der überwachungsstaat und wer da nicht mitmacht fliegt raus. das kannst du ja für gut heißen. rsa wurde schon mehrfach gehackt, es gibt keine absolute sicherheit das ist völliger unsinn.

Heute ist tatsächlich gar nichts sicher. Eine Regierung die Verschlüsselungsverfahren födert um Cyberkriminaltät einzudämmem, im gleichem Atemzug aber eine Behörde wie die ZITiS aus dem Boden stampft und beauftrag, genau diese Verschlüsselungsverfahren für Geheimdienste und Polizei zu knacken ist genauso umstritten, wie ein Zertifikat das seinen Inhaber nicht ausweist. Wir sind gläsern und das wird so bleiben. Schade um Snowdens Einsatz, die meisten haben gar nicht kapiert was er damit bezweckte.

Der Name StarCom steht jetzt auch nicht gerade für hohes Vertrauen. Mit Mozilla 51 wird jedenfalls vielen Zertifkaten dieser Stelle das Vertrauen entzogen...mal sehen ob man dann 3dcenter noch erreicht, oder der Browser die Seite blockt.