Allgemeines > Feedback

Sub-Domain beim Aufruf von tramwayforum.at in Chrome

(1/2) > >>

marq:
Mir ist aufgefallen, dass bei einer Neuinstallation von Chrome oder dem Löschen der Cookies usw man in der Adresszeile zumindest die Sub-Domain www. vor tramwayforum.at eingeben muss und man nicht wie beim Aufruf aller anderen Seiten in Chrome nur tramwayforum.at eingeben kann um die vollständige Seite zu laden. Lässt man das www. weg öffnet sich die textmarignalisierte Seite https://tramwayforum.at. Ist dies so beabsichtigt, oder liegt hier in den Tiefen der Forenprogrammierung ein Bug begraben?

pascal:
Das ist schon seit Jahren so, auch in anderen Browsern.
Es ist wohl ein Fehler in der Webserver-Konfiguration und hat etwas mit der Weiterleitung von "http://" auf "https://" zu tun.

Wenn man die Seite direkt nach dem Start des Browsers mit "tramwayforum.at" aufruft (also ohne "https" und ohne "www"), wird man zwar auf "https://tramwayforum.at" weitergeleitet, die im Quelltext enthaltenen Verweise auf die inkludierten Dateien (insbesondere auf das Stylesheet) beginnen aber weiterhin mit "http://" (und nicht mit "https://"). Deshalb empfindet der Browser sie als unsicher und lädt sie nicht. Daher wird die Seite dann ohne Stylesheet angezeigt.

Die Links zu den weiteren Seiten haben aber sehr wohl das "https://" drinnen, sodass nach einem Klick darauf dann alles passt.

marq:
Genau, erst die Links sind dann richtig gesetzt. Kann es sein, dass da auch ein Problem mit dem SSL-Zertifikat besteht? Immerhin wird die Seite bei Chrome und Firefox einmal als sicher und ein mal als nicht sicher angezeigt und es lässt sich jede von mir zum Testen geöffnete Seite des Forums als nicht SSL- Seite öffnen. Das sollte bei SSL-Seiten doch gar nicht möglich sein, etwa in Hinblick auf die Verschlüsselungspflicht.

Paulchen:

--- Zitat von: marq am 12. März 2024, 14:51:34 ---Kann es sein, dass da auch ein Problem mit dem SSL-Zertifikat besteht?
--- Ende Zitat ---

Nein, das Zertifikat ist in Ordnung und für beide Domains gültig.

[ Für Gäste keine Dateianhänge sichtbar]


--- Zitat von: marq am 12. März 2024, 14:51:34 ---Immerhin wird die Seite bei Chrome und Firefox einmal als sicher und ein mal als nicht sicher angezeigt
--- Ende Zitat ---

"Nicht sicher" heißt in dem Zusammenhang, dass die Seite so konfiguriert ist, dass Ressourcen von Nicht-HTTPS-URLs nachgeladen werden. Chrome unterbindet das aber, deswegen sieht die Seite kaputt aus.


--- Zitat von: marq am 12. März 2024, 14:51:34 ---und es lässt sich jede von mir zum Testen geöffnete Seite des Forums als nicht SSL- Seite öffnen. Das sollte bei SSL-Seiten doch gar nicht möglich sein
--- Ende Zitat ---

Das kann man so konfigurieren, ich würde es auch als Best Practice bezeichnen, aber unzulässig ist das nicht.

Ich würd den Server so konfigurieren, dass http://tramwayforum.at, https://tramwayforum.at und http://www.tramwayforum.at alle auf https://www.tramwayforum.at weitereiten, dann wäre das vorliegende Problem Geschichte. Und ich würd HSTS konfigurieren.


--- Zitat von: marq am 12. März 2024, 14:51:34 ---etwa in Hinblick auf die Verschlüsselungspflicht.
--- Ende Zitat ---

Was ist eine Verschlüsselungspflicht?

marq:
Danke für die Info.

Zur Verschlüsselungspflicht: Eine Verschlüsselung ist soweit mir bekannt Pflicht sobald auf einer Website in irgendeiner Form personenbezogene Daten verarbeitet oder übertragen werden, wie etwa hier bei der Registrierung die Emailadresse. Das setzt für die Seite doch https zwingend voraus, oder nicht?

Navigation

[0] Themen-Index

[#] Nächste Seite