Erster HTTPS Test

[Sotrax]

Leider hat der Server so Lastspitzen die höher sind als normal, ich teste aber weiter und werde mal noch weitere Welten hinzunehmen, um das genauer einzuschätzen.

Es könnte allerdings sein, dass diese Lastspitzen egal sind, da sie nur alle 15 Minuten kommen und evt. nicht in Lags in FW resultieren. Falls doch, bitte melden (ich habe sie ingame zumindest nicht bemerkt).

[Sotrax]

Welt 1 läuft jetzt auch im Standard über HTTPS. Fehler bitte melden.

[Sotrax]

HTTPS wurde jetzt auch für W2 aktiviert. Es geht also voran

[Sotrax]

HTTPS wurde jetzt für Welt 10 aktiviert.

[Onkel Dagobert]

https hat meine automatische Passworteingabe gekillt... na toll Sotrax wie soll ich mich denn jetzt einloggen?

[Sotrax]

@
Onkel Dagobert: Ja leider muss man dann das PW einmal neu eingeben. Aber keine Sorge, du kannst dein PW direkt im Browser anschauen, wenn du es vergessen hast, es ist da weiterhin drin gespeichert. Einfach in den Einstellungen des Browsers nachschauen.

Dann kann man es wieder erneut speichern, so dass man es nicht jedesmal neu eingeben muss.

[Onkel Dagobert]

Ich weis Danke aber mal was anderes, bekomme häufig Darstellungsprobleme der Desktopversion auf dem iPad. Genauer gesagt wird die Chatleiste und die Hälfte des Chatfeldes ausgeblendet und nur eingeblendet wenn man zB den Spiegel oder das Inventar öffnet :/

[You]

Also mir ist aufgefallen das man beim bewegen von feld zu feld durch das https eine wesentlich längere aktualiersungs dauer hat als vorher, grade auch wenn es um geschwindigkeit geht wie beim killen mit bienen hb etc oder beim flüchten sind diese zeitverzögerungen sehr negativ, gefällt mir ehrlich gesagt nicht. Ich benutze Chrome als Browser und muss sagen da chrome einer der schnellsten browser ist, merkt man das besonders schnell. Und wenn du den login sicherer machen willst, solltest du vllt erstmal damit anfangen, das Ingame name nicht gleich Login name ist, dadurch machst du es den leuten die hacken wollen viel zu einfach, da ist auch das https überflüssig

[vollstrecker]

Und wenn du den login sicherer machen willst, solltest du vllt erstmal damit anfangen, das Ingame name nicht gleich Login name ist, dadurch machst du es den leuten die hacken wollen viel zu einfach, da ist auch das https überflüssig

Es geht hier weniger darum, freewar sicherer zu machen, sondern einfach sicherer erscheinen zu lassen, da bald alle https als unsicher angezeigt werden.

[Sotrax]

Welt 11 und Welt 14 wurden jetzt auch auf HTTPS umgestellt.

@pzyco: Der Hauptgrund ist wie gesagt, dass Chrome ab Januar 2017 Webseiten, welche kein HTTPS verwenden, als unsicher anzeigt. Das möchten wir eigentlich vermeiden, weil das manche Leute sehr irritieren könnte, wenn bei der Passwort eingabe steht, dass diese unsicher ist.

Wegen Speed, durch die Umstellung gab es einige Restarts, was ein paar Lags verursacht haben sollte, jetzt sollte es aber in normaler Geschwindigkeit klappen.

Teste das bitte mal, und Jage und aktualisiere die Karte und vergleiche es mit HTTP (Du kannst jederzeit auf HTTP umschalten, in dem du einfach wenn du eingeloggt bist, kannst oben das HTTPS zu HTTP änderst und dann Enter drückst.) Du kannst du die beiden Versionen sofort vergleichen. Sollte HTTPS da deutlich langsamer sein, wäre das schlecht, dann muss ich hier noch was überlegen.

Bitte das mal testen und hier posten, ob man wirklich einen Unterschied merkt. (Ich bemerke hier zumindest gerade keinen).

[Gerion]

Und wenn du den login sicherer machen willst, solltest du vllt erstmal damit anfangen, das Ingame name nicht gleich Login name ist, dadurch machst du es den leuten die hacken wollen viel zu einfach, da ist auch das https überflüssig

Wenn man ohne SSL das Passwort (und Name) im Klartext mitlesen kann macht ein separater Loginname keinen Sinn. Zumal es bei Bruteforce andere Mechanismen gibt, die greifen und wesentlich einfacher sind.~

Bitte das mal testen und hier posten, ob man wirklich einen Unterschied merkt. (Ich bemerke hier zumindest gerade keinen).

Ich habs zwar nicht mit Bienen und Co getestet, wo wohl eher der Zwangslag greift, den angeblich niemand merken sollte, kann aber keine Geschwindigkeitsprobleme feststellen (Firefox ohne KdZ; Chrome mit KdZ getestet). Wenns um SSL und Performance geht, hat sich in den letzten Jahren sehr viel gebessert. #ThanksSnowden^^

[Jizo]

dass Chrome ab Januar 2017 Webseiten, welche kein HTTPS verwenden, als unsicher anzeigt.

nach dem Login automatisch wieder auf die http Seite geht

Erstmal wird damit die Seite wieder als unsicher markiert.

Dazu kommt, dass man dann zwar nicht mehr direkt das Passwort mitlesen kann, aber das Session Cookie. Dann hat man nicht das Passwort, ist aber eingeloggt.
Oder man ändert einfach das Login Formular und lässt das Passwort woanders hinschicken. (der erste Request ist ja noch eine HTTP Weiterleitung kann also manipuliert werden)

Wegen den Styles und Profilbildern kannst du ja eine Content-Security-Policy definieren mit upgrade-insecure-requests. Dann wird automatisch alles als HTTPS angefragt. Wenns nicht verfügbar ist wirds halt nicht geladen. (sobald Chrome die als unsicher markiert werden die meisten wohl HTTPS unterstützen)

[Galak]

Wegen den Styles und Profilbildern kannst du ja eine Content-Security-Policy definieren mit upgrade-insecure-requests. Dann wird automatisch alles als HTTPS angefragt. Wenns nicht verfügbar ist wirds halt nicht geladen. (sobald Chrome die als unsicher markiert werden die meisten wohl HTTPS unterstützen)

Das ist eine wirklich gute Idee, zumal viele Styles und Bilder auch per https verfügbar sind.
Es mag hart klingen, aber es ist nicht gut veraltetes zulange zu unterstützen. Dadurch, dass immernoch Webdesingner versuchen es jedem recht zu machen ist manch alter Browser noch in Betrieb.
Ein tolles Beispiel ist sogar Freewar, hier kommt jetzt auch nur https weil Google das im Endeffekt erzwingt und genau dieser Zwang zum Fortschritt muss manchmal einfach gegeben sein.
Die User wollen ihre Styles und Bilder weiterhin benutzen, also werden sie auch darauf achten sie mit https zu bekommen.

Was die Styles angeht:
Die FWTools-Styles sind per https verfügbar, die Minilieb-Styles bei mir sind es auch. Ich könnte durchaus auch noch mehr Styles als Mirror mit https verfügbar machen, sofern das erforderlich sein sollte.


(Die W4ler die Unique-Bilder bei mir haben brauchen sich natürlich keine Sorgen machen, die sind alle auch per https verfügbar.)

[Sotrax]

@Jizo: Das ist nicht so, wenn ich jemand mit HTTP Style wieder zurückschicke auf die HTTP Version und nur das HTTPS für das PW verwende, wird die Seite nicht als unsicher markiert, sondern nur so wie bisher auch dargestellt. Als unsicher werden nur Seite markiert, auf denen man direkt ein Passwort eingeben kann (später soll das mal geändert werden, aber bis dahin haben wir noch Zeit.

@Galak: HTTPS erzwingen würde aber bedeuten dass viele Profile überhaupt nicht mehr funktionieren und nicht jeder aktualisiert seine Bilder (z.b. von inaktiven Accounts). Das hätte derzeit aber keinen Vorteil, weil die Verbindung durch die externen Bilder ja nicht unsicherer wird.

Und bei den Styles hat es jeder selbst in der Hand, wer HTTPS verwenden möchte, muss eben auch ein Style per HTTPS angeben.

Zugegeben, auch die Google Warnung die 2017 kommt, ist jetzt keine komplette Katastrophe, wir werden bis dahin auch nicht alles umgestellt haben (das Forum wird bis dahin wohl noch nicht auf HTTPS sein, da müssen wir vorher noch mehr ändern). Ziel ist aber alle Nummernwelten bis 2017 auf HTTPS laufen zu haben.

[vollstrecker]

Also in Welt 1 sagt er trotz https , es sei unsicher, mozilla
w13 hingegen sagt er es ist sicher

Edit: Okay, liegt daran, dass das Profil geöffnet wurde, dann bleibt es dauerhaft auf unsicher bis man sich neu einloggt