Beta: HTTPS und SPDY für Nutzer von ComputerBase Pro

[Steffen]

In der Ankündigung von ComputerBase Pro haben wir einen Betatest mit HTTPS und SPDY in Aussicht gestellt. Bevor wir das als News ankündigen, möchten wir erstes Feedback hier im Forum einholen!

Nutzer von ComputerBase Pro können HTTPS und SPDY auf der Seite Einstellungen anhand einer Checkbox aktivieren. Daraufhin wird ein Cookie gesetzt und man surft fortan mit HTTPS und SPDY auf ComputerBase. Sollten wieder Erwarten Probleme auftreten, dann können HTTPS und SPDY notfalls auch durch Löschen der computerbase.de-Cookies wieder deaktiviert werden.

Ich versuche mal, ein paar Fragen vorwegzunehmen:

Was bringen HTTPS und SPDY? Mehr Sicherheit und mehr Geschwindigkeit. SPDY ist die Vorabversion des neuen Internet-Standards HTTP/2 und sorgt mit Multiplexing sowie anderen Verbesserungen für eine schnellere Datenübertragung. Voraussetzung für die Verwendung von SPDY bzw. HTTP/2 ist eine verschlüsselte Datenübertragung (HTTPS).

Wieso SPDY und nicht direkt HTTP/2? SPDY hat derzeit noch den besseren Browser-Support (siehe http://caniuse.com/#feat=spdy und http://caniuse.com/#feat=http2). Mittelfristig werden wir SPDY aber durch HTTP/2 ersetzen. Eine parallele Unterstützung beider Protokolle ist in dem von uns genutzten HTTP-Server nginx nicht vorgesehen.

Wieso wird die Einstellung in einem Cookie gespeichert? Wenn wir die Einstellung im Benutzeraccount speichern würden und es dann Probleme beim Surfen auf ComputerBase gäbe, dann könnte der Benutzer die Einstellung nicht selbst rückgängig machen. Bei der umgesetzten Cookie-Lösung kann man bei Problemen einfach die Cookies löschen. Es wäre grundsätzlich aber vermutlich sinnvoller, die Einstellung im Benutzer-Account zu speichern. Steht auf der ToDo-Liste!

Mixed Content durch externe Bilder in Forumbeiträgen? Wenn einzelne Bestandteile einer HTTPS-Seite unverschlüsselt ausgeliefert werden (z.B. wenn in Forumbeiträgen externe Bilder unverschlüsselt via HTTP eingebunden werden), dann weisen Browser auf diesen Umstand (passiver Mixed Content) hin. Chrome und Firefox zeigen dann zum Beispiel ein kleines Warndreieck in der Adressleiste an. Die Optionen sind a) zukünftig externe Bilder verbieten oder b) alle externen Bilder über einen Proxy laden oder c) damit leben. Welche Lösung favorisiert ihr?

Wieso gibt es HTTPS und SPDY nicht für alle? Weil Anzeigen derzeit leider nicht HTTPS-kompatibel sind (Mehr Infos). Auf ComputerBase Pro gibt es keine Anzeigen, sodass nichts gegen die Verwendung von HTTPS spricht. SPDY bzw. HTTP/2 können nur zusammen mit HTTPS genutzt werden.

Feedback bitte hier im Thread!

 

[Bl4cke4gle]

Ich habe es mal aktiviert und bin gespannt, wie es läuft

 

[Häschen]

schauen wir mal ob das etwas bringt.

hab es auf jedenfall auch mal aktiviert.

 

[njchw]

Gibt es Anzeigenanbieter die ihre Ads mit https zur Verfügung stellen?
Wenn ja wäre es ja mal eine gute Verbesserung, auch bzgl. Sicherheit.

 

[Steffen]

Ich habe es mal aktiviert und bin gespannt, wie es läuft

hab es auf jedenfall auch mal aktiviert.

Ich nehme an kein weiteres Feedback bedeutet, dass es funktioniert?

Gibt es Anzeigenanbieter die ihre Ads mit https zur Verfügung stellen?

In dem oben verlinkten allgmeinen HTTPS-Thread haben wir dazu etwas gesagt: https://www.computerbase.de/forum/threads/https-tls-ssl-support-auf-computerbase.1320377/

 

[Sithys]

Moin Steffen,
ich habs ebenfalls aktiviert. Bis jetzt läuft alles wie gewohnt einwandfrei! Danke für die Einrichtung, sollte es zu Problemen kommen, gibt es natürlich Feedback!


VG

 

[Häschen]

Probleme habe/hatte ich ebenfalls keine.

 

[LeChris]

Chrome unter Android und Win7 zeigt bis dato fehlerfreies Verhalten.

Hab mich extra in zwielichtige Threads begeben, da gab es dann den Hinweis auf mixed content mit etwaig schwächerer Transportsicherung. Ein Proxy wäre ja als Aufwand zu deklarieren, lies nicht für den Service zwingend nötig. Wäre das Zulassen denn optional auf Browserseite via Cookie umsetzbar?

 

[Steffen]

Wäre das Zulassen denn optional auf Browserseite via Cookie umsetzbar?

Das Zulassen von Mixed Content? Darauf hat eine Website keinen Einfluss, denn das ist eine Schutzfunktion, mit der Browser den Anwender vor Websites schützen.

Es gibt zwei Arten von Mixed Content: Passiver Mixed Content (zum Beispiel Bilder wie in unserem Fall) ist relativ harmlos und die aktuellen Browser winken ihn daher weitgehend durch (zeigen aber einen kleinen Hinweis an, siehe erster Beitrag in diesem Thread). Aktiver Mixed Content (z.B. JavaScript) ist sehr gefährlich und wird daher von allen aktuellen Browsern komplett blockiert. Auf ComputerBase gibt es nur passiven Mixed Content.

 

[LeChris]

Best Case wäre zB ein Forumuser mit ausgefeiltem Moddingprojekt, wo sie/er Bilder in eigenem Webspace oder eines passenden Dienstleisters vorhält und im Forum nur verlinkt präsentiert. Darauf würde ich nicht verzichten wollen. Bei einem Proxy wäre noch die juristische Bewertung interessant. Nicht das die Speicherung und Auslieferung von fragwürdigem Material auf CB zurück fällt ...

 

[Fonce]

Hab es nun auch mal aktiviert und konnte bisher keine Fehler feststellen.

Das Verhalten beim laden von externem Content kann man z.B. auf Seite 76 des "ComputerBase Pro: Werbefreies Surfen auf ComputerBase" Threads beobachten. Es wird auch ein Cookie von "nzz.ch" angelegt. Dies kommt vom eingebundenen Bild im Beitrag #1519.
Wäre hier nicht machbar statt externen Content direkt darzustellen hier nur noch die URL einzubinden? Dazu müsste man dann ja wenn entsprechende Option gesetzt ist die Interpretation der Tags anpassen. Ansonsten wäre es gut wenn man die Wahl hätte welche eurer(und Falls möglich meine) Option selber wählen könnte.

Ergänzung (15. Oktober 2015)

Bei einem Proxy wäre noch die juristische Bewertung interessant. Nicht das die Speicherung und Auslieferung von fragwürdigem Material auf CB zurück fällt ...

Es ist egal ob man einen Proxy dazwischen schaltet oder nicht. Auch wenn der Content auf einem anderen Server liegt, aber auf ComputerBase darauf verlinkt wird kann ComputerBase dadurch Probleme bekommen.

 

[Bl4cke4gle]

Ich nehme an kein weiteres Feedback bedeutet, dass es funktioniert?

Ja, bisher alles bestens. Ich weiß allerdings nicht, ob ich alles schon voll ausgereizt habe. Falls was sein sollte, melde ich mich wieder.

 

[Steffen]

Um die im ersten Beitrag angesprochenen Mixed-Content-Probleme zu lösen, werden unverschlüsselt eingebundene externe Bilder in Forumbeiträgen jetzt über einen HTTPS-Proxy geladen, wenn man ComputerBase Pro nutzt und die Einstellung "HTTPS und SPDY" aktiviert hat. Somit sollte es auf ganz ComputerBase keinerlei Mixed-Content-Warnungen mehr geben!

Bitte gebt uns Bescheid, falls ihr die Beta nutzt und auf Probleme stoßt (und bitte auch dann, wenn ihr die Beta nutzt und alles funktioniert). Sollten keine Probleme mehr auftauchen, dann können wir HTTPS und SPDY vermutlich schon bald für alle Nutzer von ComputerBase Pro aktivieren.

 

[Steffen]

Funktioniert die SPDY-Beta nach wie vor ohne Probleme?

Dann würden wir SPDY nämlich in ein paar Tagen für alle Nutzer von ComputerBase Pro zum Standard machen.

 

[Fonce]

Also ich kann weder auf meinem Nexus 5 mit Chrome, Nokia 635 mit dem IE und auf meinem Desktop mit Chrome bisher irgendwelche Fehler erkennen.

 

[Neronomicon]

Hab das seit Tagen ausprobiert mit Win 10 64 bit/ FF und es läuft wie Butter.

 

[Steffen]

Das ist top!

 

[Bl4cke4gle]

Selbes Setting wie Nero und ebenfalls 0 Probleme

 

[Häschen]

Bei mir deaktiviert es sich ständig, werden die Einstellungen per cookie gespeichert?
Jedes mal wenn ich mein OS Wechsel, deaktiviert es sich von alleine.

 

[Fonce]

Ja, wird mittels Cookie gespeichert. Man muss es also auf jedem System extra aktivieren.