Erster HTTPS Test

[Sotrax]

@vollstrecker: Ja, sobald du ein Profil mit HTTP Bildern öffnest, geht er auf unsicher, die Verbindung bleibt aber dennoch verschlüsselt. Das passiert nicht, wenn alle Bilder in den Profilen auf HTTPS stehen.

Das generelle Problem was wir derzeit noch haben, ist dass der Server so einmal alle 30 Minuten ein seltsamen Load kriegt, ob sich das in einem einzelnen Lag äußert weiß ich derzeit nicht, wenn man das aber nicht bemerkt, sollte es eher egal sein. Da hab ich schon ein Menge rumgespielt, sollte das aber ein dauerhaftes Problem sein, könnte es auch sein, dass wir HTTPS komplett deaktivieren müssen, aber bisher scheint es keinen gestört zu haben.

[Galak]

@Galak: HTTPS erzwingen würde aber bedeuten dass viele Profile überhaupt nicht mehr funktionieren und nicht jeder aktualisiert seine Bilder (z.b. von inaktiven Accounts). Das hätte derzeit aber keinen Vorteil, weil die Verbindung durch die externen Bilder ja nicht unsicherer wird.

Dann funktionieren sie eben erstmal nicht mehr, das ist kein Drama. Natürlich hat es einen Vorteil: Eine deutlich größere Vorlaufzeit in der die User das aktualsieren können bis Google und Co dann wirklich http generell als unsicher einstufen. Es bringt nichts solche Änderungen erst im allerletzten Moment durchzuführen, weil nicht nur du etwas ändern musst, sondern alle Spieler. Damit sollte man so früh wie möglich beginnen, damit die Spieler beginnen umzustellen.

[Sotrax]

@Galak: Naja, technisch gibt es an sich keine Notwendigkeit, dass die Spieler das umstellen. Freewar ist durch die Bilder, auch wenn sie über HTTP geladen werden, ja nicht weniger sicher und die Verbindung zu Freewar bleibt ja dennoch verschlüsselt.

Es ist ja jetzt nicht so, dass diese Funktion irgendwann von Google abgeschaltet wird.

Derzeit hätten wir und die Spieler ja jetzt keine direkten Vorteile dadurch, außer, dass 90% der Profile nicht mehr klappen würden (und nicht jeder kann seine Bilder auf HTTPS legen).

Bei den Styles ist der Vorteil definitiv größer, aber auch da können wir es ja erstmal den Spielern überlassen, betrifft ja nur jeweils einen selbst, und jeder der gerne HTTPS haben möchte, muss halt einen sicheren Style einsetzen.

Man kann natürlich eines Tages irgendwann HTTPS erzwingen, wer also jetzt schon seine Bilder umstellen möchte, kann dies natürlich gerne tun. Aber bevor Google Chrome nicht vor externen Bildern warnt, ist es denke ich jetzt nicht so wichtig, und so schnell wird Chrome davor nicht warnen (evt. nie), weil das sonst auch alle Foren im Netz trifft etc.

[Galak]

Streng genommen wird jetzt schon von gängigen Browsern gewarnt, wir kennen als als "mixed contents". Da wird dann z.B. bei Firefox statt dem schönen, grünen Schloss ein graues Schloss mit Warndreieck angezeigt. Klickt man drauf steht da "Verbindung ist nicht sicher". Außerdem wird CSS(und andere Dinge) als "mixed content" teils schon blockiert.

Hier mal der Beitrag von Mozilla dazu: Blockierung gemischter Inhalte in Firefox

Wie dort auch schon aufgeführt ist werden aktuell bereits gewisse Elemente generell blockiert, es ist nur eine Frage der Zeit bis auch Bilder nicht mehr angezeigt werden. Durch die enorme Verbreitung von Firefox ist es nicht gerade sinnvoll deren neue Richtlinien zu ignorieren.

Umso früher begonnen wird alles umzustellen, umso besser. Fortschritt darf nicht erst beginnen, wenn es anders nicht mehr funktionieren würde.


Und doch, durch http in https Verbindungen wird Freewar weniger sicher. MitM-Angriffe werden so begünstigt. Dies wird auch im Artikel von Mozilla explizit erwähnt.

(So ganz nebenbei funktionieren schon jetzt sehr viele Profile nicht mehr, weil die Bilder inzwischen down sind. Wenn ein User das nicht aktualisiert kannst auch du das nicht ändern.)

[Sotrax]

@Galak: CSS wird über HTTP blockiert, aber das umgehen wir derzeit, in dem wir in dem Fall HTTPS einfach komplett deaktivieren nach dem Passwortcheck. Die Browser zeigen dann zumindest keine Warnung an, aber die Sicherheit von HTTPS hat man dann natürlich nicht mehr.
Aber das hat ja jeder selbst in der Hand seinen Style auf HTTPS zu setzen.

Wegen der Bilder: Klar, wenn die Browser den Mixed-Content blockieren, haben die User keine Wahl. Sicherheitsmässig ist das aber wirklich harmlos, bedenke, seit 13 Jahren haben wir kein HTTPS und ich habe noch nie von einem Hack dadurch gehört im Support. Über die Bilder wird keiner eine Session oder das PW klauen.

Aber ich geb dir völlig recht, schön Aussehen tut es so nicht. Problem ist einfach wir würden, wenn wir das machen die meisten Profile zerstören ohne echte Not. Und die meisten Spieler wären nicht in der Lage sie zu fixen. Daher ist es fraglich ob das jetzt wirklich gut wäre.

Allerdings wäre es natürlich toll, wenn die Leute ihre Profile jetzt schon fit für HTTPS machen.

[Galak]

Sinnvoll wäre eine gewisse Vorlaufzeit, mit automatischen Worldsays und vllt. einem ingame Rundbrief der die User auffordert auf https umzustellen. Da kann man dann auch direkt die Warnung einbauen, dass es in Zukunft erzwungen wird.
Wichtig ist hier die Information an die User und es gibt durchaus Bild-Hoster die auf https setzen, also kann jeder umsteigen.

Was Styles angeht: Zur Not stell ich die per https bereit.

[Sotrax]

@Galak: Es wäre auf jedenfall super, alle Styles per HTTPS bereitzustellen, dass ist der wichtigste Punkt.

Wegen Bilder kann ich die Leute auch in Zukunft warnen, wenn sie ihr Profil bearbeiten.

Allerdings müssen wir erstmal testen ob HTTPS für Freewar dauerhaft Sinn bringt, noch sind wir immer noch in der Testphase, und die Server haben noch diese seltsamen LoadSpikes alle 30-60 Minuten (die scheinbar aber ingame nicht bemerkt werden bisher, daher nicht so wild).

[Blue.Shark]

Was mich schon länger interessiert: Wieso bietest du keinen Upload für Bilder/Styles auf einen deiner Server an?

[Sotrax]

@Blue.Shark: Einfach aus rechtlichen Gründen. Ich will die Bilder gar nicht auf meinem Server haben, oder gar alle kontrollieren müssen

[Sotrax]

HTTPS wurde jetzt auch für Welt 3 aktiviert.

[Galak]

Wie wärs mit Welt 4 als nächste Welt, wenn du wieder eine hinzufügst?

[Sotrax]

Welt 4 ist zumindest als nächstes geplant Allerdings muss ich nach wie vor sagen, dass immer noch nicht entschieden ist, dass wir HTTPS dauerhaft einsetzen, da es leider durchaus teils sehr viel Performance auf unseren Servern benötigt (ich vermute da einen Bug im Apache Webserver, da die Last nur manchmal und dann schubartig steigt. Alle möglichen Tests haben zwar keine Besserung gebracht, aber scheinbar merkt man das ganze bisher auch nicht ingame).

Immerhin läuft HTTPS jetzt mittlerweile auf 8 Welten und größere Beschwerden gab es bisher nicht. Daher mache ich erstmal weiter bis es auf 14 Welten ist und wir beobachten die Sache mal etwas.

[Galak]

Yay, dann kann ich mir das in der richtigen Welt live ansehen mit dem https.

Hast du mal geschaut ob der Apache da vllt. einfach nur gerade seine Logfiles wegräumt, oder auf den SQL-Server wartet, oder derartiger Unsinn? Oder vllt. beruhen die Spikes sogar auf Aktionen von Spielern die gerade in dem Moment einfach besonders viele Zugriffe produzieren.

[Sotrax]

@Galak: Ja, ich habe da ziemlich viel angeschaut und verglichen. Es sind keine Logfiles, es ist kein I/O und nichtmal die CPU Last geht hoch, nur die Load Average. Auch tritt es nur indirekt mit SSL auf, nämlich sobald die mod_ssl als modul reingeladen wird. Dabei ist unerheblich ob die Spieler über SSL reingehen oder nicht. Sobald ich das Modul rausnehme ist das Phänomen sofort wieder weg.

Bei einer kleinen Seite würde ich das niemals bemerken, aber bei 5000 Zugriffen pro Sekunde tritt es irgendwann auf. Es liegt zu 100% am SSL. Neuester Kernel hat nichts gebracht, THP zu deaktivieren (khugepaged) konnte das Problem leicht mildern. Verschiedenste Cipher zu deaktivieren oder SSL Session Cache hochzuschrauben hat nichts gebracht. Das ganze scheint definitiv ein Bug zu sein, weil es nicht die SSL verschlüsselung selbst ist. Gut möglich, dass das Problem in einem der nächsten Patche behoben ist.

Wir haben allerdings bei Freewar eine sehr spezielle Konfiguration aufgrund der sehr hohen Anzahl an Anfragen die weit von der Standardconfig abweicht (wir spawnen z.B. beim Neustart direkt 1000 Apache Server, der Standard liegt eher bei 10 oder so ). Leider findet man bei derart hohen Lastszenarien auch nicht mehr viele Leute auf Stack Overflow die das durchtesten können.

Dazu ist auch die SSL Konfiguration etwas speziell, da wir ja SNI benutzen für mehrere Welten. Weiterhin setzen wir derzeit noch auf den prefork und nicht auf php-fpm (hat einfach in Tests nicht die Stabilität gehabt, die ich derzeit will).

So oder so: Weder die CPU noch die Waits noch der I/O oder die Datenbank gehen hoch sondern nur der Load Average hat solche Spikes und das nur, wenn mod_ssl aktiv ist. Evt. sind das auch Phantom-Spikes die man als Spieler nicht bemerken kann und eher ein Anzeigeproblem ist (denn wie gesagt CPU idled dabei bei 90%). Ich selbst konnte während der Spikes keinen Lag in FW bemerken. Daher kann es sein, dass wir letztendlich damit leben können, wenn man keinen Unterschied bemerkt.

Leider lässt sich die Sache aber quasi nur live testen, denn ich habe vorher komplette SSL Tests auf einem Testserver durchgeführt, der dieses Problem nicht hatte, aber eben auch keine derart hohe Last hatte wie die echten Freewar Server.

Im Endeffekt werde ich es daher jetzt erstmal für alle Nummernwelten umstellen und wir beobachten es mal. Nach all den Tests bin ich mir mittlerweile aber recht sicher, dass es ein Bug in mod_ssl beim Apache2 ist. Aber wenn keiner davon etwas bemerkt, werde ich natürlich dennoch SSL aktiviert lassen. Daher einfach gut testen und berichten.

[Galak]

Klingt irgendwie wirklich nach Phantom-Spikes, oder einem Bug der bei enormer Last auftreten kann. Aber wenn davon in den Welten nichts zu merken ist, kann man das wohl durchaus vernachlässigen.