Discussion:
http-Seiten
(zu alt für eine Antwort)
Christian @Soemtron
2022-08-25 10:28:00 UTC
Permalink
Hi,

seit einiger Zeit erschwert FF den Aufruf von http-Seiten und versucht
erst $ewig, die Adresse per https aufzurufen.
Das nervt, auch wenn es sicherlich gut gedacht ist. Kann man die
Wartezeit evtl. sinnvoll beschränken, z.B. 1-2 Sekunden oder gibt es eine
Möglichkeit, Ausnahmen zu hinterlegen?

cu,
Christian

PGP Key available.
Axel Berger
2022-08-25 10:53:17 UTC
Permalink
Post by Christian @Soemtron
erschwert FF den Aufruf von http-Seiten
Ein verwandtes Problem ist das Verweigern von Downloads. Es gibt dabei
*keinen* Hinweis und *keine* Warnung. Erst wenn man in der "Library" auf
die Datei klickt kommt eine Meldung mit der Frage "wollen Sie etwa
wirklich?". Wer das übersieht oder vergißt, steht mit leeren Händen da.
--
/¯\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --
Arno Welzel
2022-08-25 10:58:14 UTC
Permalink
Post by Christian @Soemtron
Hi,
seit einiger Zeit erschwert FF den Aufruf von http-Seiten und versucht
erst $ewig, die Adresse per https aufzurufen.
Das nervt, auch wenn es sicherlich gut gedacht ist. Kann man die
Wartezeit evtl. sinnvoll beschränken, z.B. 1-2 Sekunden oder gibt es eine
Möglichkeit, Ausnahmen zu hinterlegen?
Evtl. hilft das:

browser.fixup.fallback-to-https = false
dom.security.https_first = false
dom.security.https_first_pbm = false
--
Arno Welzel
https://arnowelzel.de
Helmut Waitzmann
2022-08-31 19:01:12 UTC
Permalink
Post by Arno Welzel
browser.fixup.fallback-to-https = false
dom.security.https_first = false
dom.security.https_first_pbm = false
Was bewirken diese Einstellungen jeweils, wenn sie auf true oder
false gestellt werden?
Arno Welzel
2022-08-31 21:00:15 UTC
Permalink
Post by Helmut Waitzmann
Post by Arno Welzel
browser.fixup.fallback-to-https = false
dom.security.https_first = false
dom.security.https_first_pbm = false
Was bewirken diese Einstellungen jeweils, wenn sie auf true oder
false gestellt werden?
Siehe auch:

<https://www.privacy-handbuch.de/handbuch_21l.htm>
--
Arno Welzel
https://arnowelzel.de
Helmut Waitzmann
2022-09-03 15:22:43 UTC
Permalink
Post by Arno Welzel
Post by Helmut Waitzmann
Post by Arno Welzel
browser.fixup.fallback-to-https = false
dom.security.https_first = false
dom.security.https_first_pbm = false
Was bewirken diese Einstellungen jeweils, wenn sie auf true
oder false gestellt werden?
<https://www.privacy-handbuch.de/handbuch_21l.htm>
Danke.  «dom.security.https_first» und
«dom.security.https_first_pbm» werden dort erklärt; zu
«browser.fixup.fallback-to-https» habe ich da nichts gefunden.
Arno Welzel
2022-09-03 16:37:12 UTC
Permalink
Post by Helmut Waitzmann
Post by Arno Welzel
Post by Helmut Waitzmann
Post by Arno Welzel
browser.fixup.fallback-to-https = false
dom.security.https_first = false
dom.security.https_first_pbm = false
Was bewirken diese Einstellungen jeweils, wenn sie auf true
oder false gestellt werden?
<https://www.privacy-handbuch.de/handbuch_21l.htm>
Danke.  «dom.security.https_first» und
«dom.security.https_first_pbm» werden dort erklärt; zu
«browser.fixup.fallback-to-https» habe ich da nichts gefunden.
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>

"Mit Einführung der Firefox Version 100 gibt es die Option
browser.fixup.fallback-to-https. Solange der Wert auf true steht, wird
immer versucht die angegebene Andresse auch über das https-Protokoll
aufzurufen."
--
Arno Welzel
https://arnowelzel.de
Helmut Waitzmann
2022-09-07 20:10:14 UTC
Permalink
Post by Arno Welzel
zu «browser.fixup.fallback-to-https» habe ich da nichts
gefunden.
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>
"Mit Einführung der Firefox Version 100 gibt es die Option
browser.fixup.fallback-to-https. Solange der Wert auf true
steht, wird immer versucht die angegebene Andresse auch über das
https-Protokoll aufzurufen."
Danke.  Das steht da; nur seh' ich da mehr Fragen als Antworten:


Was bedeutet «auch über das HTTPS‐Protokoll aufrufen»?  Dann habe
ich im Fall, dass sowohl HTTP als auch HTTPS funktioniert haben,
zwei Dokumente?  Welches wird mir dann angezeigt?

Andere Konfigurationselemente aus der "browser.fixup."‐Hierarchie
bezeichnen immer etwas, was gemacht wird, wenn das ursprünglich
gewollte scheitert, weil irgendetwas nicht richtig war; und das
legt ja auch der Begriff «fixup» nahe.  Hier in diesem Fall muss
aber nichts scheitern, damit HTTPS versucht wird?  Oder ist
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>
ungenau in der Beschreibung?
Arno Welzel
2022-09-09 15:24:21 UTC
Permalink
Post by Helmut Waitzmann
Post by Arno Welzel
zu «browser.fixup.fallback-to-https» habe ich da nichts
gefunden.
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>
"Mit Einführung der Firefox Version 100 gibt es die Option
browser.fixup.fallback-to-https. Solange der Wert auf true
steht, wird immer versucht die angegebene Andresse auch über das
https-Protokoll aufzurufen."
Was bedeutet «auch über das HTTPS‐Protokoll aufrufen»?  Dann habe
ich im Fall, dass sowohl HTTP als auch HTTPS funktioniert haben,
zwei Dokumente?  Welches wird mir dann angezeigt?
Nein, dann wird versucht, HTTPS zu benutzen, falls HTTP nicht
funktioniert - auch dann, wenn man nicht explizit HTTPS angegeben hat.
--
Arno Welzel
https://arnowelzel.de
Helmut Waitzmann
2022-09-18 14:02:49 UTC
Permalink
Post by Arno Welzel
Post by Helmut Waitzmann
Post by Arno Welzel
zu «browser.fixup.fallback-to-https» habe ich da nichts
gefunden.
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>
"Mit Einführung der Firefox Version 100 gibt es die Option
browser.fixup.fallback-to-https. Solange der Wert auf true
steht, wird immer versucht die angegebene Andresse auch über das
https-Protokoll aufzurufen."
Was bedeutet «auch über das HTTPS‐Protokoll aufrufen»?  Dann habe
ich im Fall, dass sowohl HTTP als auch HTTPS funktioniert haben,
zwei Dokumente?  Welches wird mir dann angezeigt?
Nein, dann wird versucht, HTTPS zu benutzen, falls HTTP nicht
funktioniert - auch dann, wenn man nicht explizit HTTPS
angegeben hat.
Danke für die Präzisierung.  Das bedeutet dann, dass dieses
Einstellelement Christian @Soemtron nichts helfen wird:  Sein
Problem ist ja, dass das Aufrufen mittels HTTP von Dokumenten,
die nachweislich (nur) mittels HTTP erreichbar sind, länger
dauert, weil zuvor unnötigerweise (vergebens) versucht wird,
HTTPS zu verwenden.  Und es bedeutet auch, dass die Erklärung auf
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>
falsch ist.  Richtig?
Arno Welzel
2022-09-19 12:11:11 UTC
Permalink
Post by Helmut Waitzmann
Post by Arno Welzel
Post by Helmut Waitzmann
Post by Arno Welzel
zu «browser.fixup.fallback-to-https» habe ich da nichts
gefunden.
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>
"Mit Einführung der Firefox Version 100 gibt es die Option
browser.fixup.fallback-to-https. Solange der Wert auf true
steht, wird immer versucht die angegebene Andresse auch über das
https-Protokoll aufzurufen."
Was bedeutet «auch über das HTTPS‐Protokoll aufrufen»?  Dann habe
ich im Fall, dass sowohl HTTP als auch HTTPS funktioniert haben,
zwei Dokumente?  Welches wird mir dann angezeigt?
Nein, dann wird versucht, HTTPS zu benutzen, falls HTTP nicht
funktioniert - auch dann, wenn man nicht explizit HTTPS
angegeben hat.
Danke für die Präzisierung.  Das bedeutet dann, dass dieses
Problem ist ja, dass das Aufrufen mittels HTTP von Dokumenten,
die nachweislich (nur) mittels HTTP erreichbar sind, länger
dauert, weil zuvor unnötigerweise (vergebens) versucht wird,
HTTPS zu verwenden.  Und es bedeutet auch, dass die Erklärung auf
<https://www.netzware.net/post/firefox-leitet-immer-auf-https-deaktivieren>
falsch ist.  Richtig?
Ich weiß es nicht. Ich habe nur verschiedene Möglichkeiten erläutert,
wie man das vielleich lösen kann.
--
Arno Welzel
https://arnowelzel.de
Ruediger Lahl
2022-08-25 11:40:52 UTC
Permalink
Post by Christian @Soemtron
seit einiger Zeit erschwert FF den Aufruf von http-Seiten und versucht
erst $ewig, die Adresse per https aufzurufen.
Das nervt, auch wenn es sicherlich gut gedacht ist. Kann man die
Wartezeit evtl. sinnvoll beschränken, z.B. 1-2 Sekunden oder gibt es eine
Möglichkeit, Ausnahmen zu hinterlegen?
about:preferences#privacy -> Security -> HTTPS-Only Mode
O Don't enable HTTPS-Only Mode
--
bis denne
Christian @Soemtron
2022-08-28 16:53:00 UTC
Permalink
Post by Ruediger Lahl
about:preferences#privacy -> Security -> HTTPS-Only Mode
O Don't enable HTTPS-Only Mode
Danke. Den Button "Ausnahmen" hatte ich übersehen. Funktioniert nur
leider nicht. Trotz Eingeben der URL, egal ob mit oder ohne "www" kommt
die Fehlermeldung. Aber vielleicht beachtet auch nur der Torbrowser diese
Ausnahmen grds. nicht.

Davon abgesehen ist dieser Dialog sehr bescheiden aufgebaut. Den "https"-
Eintrag finde ich überflüssig. Unverständlich, daß das Ändern der URL
oder des Status nicht möglich ist, man muß umständlich erst beide
Einträge löschen und neu anlegen.

cu,
Christian
Joerg Lorenz
2022-08-25 18:16:53 UTC
Permalink
Post by Christian @Soemtron
Hi,
seit einiger Zeit erschwert FF den Aufruf von http-Seiten und versucht
erst $ewig, die Adresse per https aufzurufen.
Das nervt, auch wenn es sicherlich gut gedacht ist. Kann man die
Wartezeit evtl. sinnvoll beschränken, z.B. 1-2 Sekunden oder gibt es eine
Möglichkeit, Ausnahmen zu hinterlegen?
cu,
Christian
PGP Key available.
Oder ganz einfach im GUI unter Datenschutz & Sicherheit:

Nur-HTTPS-Modus
HTTPS bietet eine sichere, verschlüsselte Verbindung zwischen Firefox
und den von Ihnen besuchten Websites. Die meisten Websites unterstützen
HTTPS und wenn der Nur-HTTPS-Modus aktiviert ist, wird Firefox alle
Verbindungen zu HTTPS aufrüsten.Weitere Informationen

Nur-HTTPS-Modus in allen Fenstern aktivieren

Nur-HTTPS-Modus nur in privaten Fenstern aktivieren

Nur-HTTPS-Modus nicht aktivieren

Letzteres anklicken.
--
De gustibus non est disputandum
Axel Berger
2022-08-25 19:08:07 UTC
Permalink
Post by Joerg Lorenz
Nur-HTTPS-Modus nicht aktivieren
Letzteres anklicken.
Sicher? "Nur" würde ich als "nur" interpretieren. Der OP klagte aber
über eine unangenehm lange Verzögerung, kein komplettes Ablehnen.
--
/¯\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --
Markus Ammann
2022-08-25 19:42:46 UTC
Permalink
Post by Axel Berger
Post by Joerg Lorenz
Nur-HTTPS-Modus nicht aktivieren
Letzteres anklicken.
Sicher? "Nur" würde ich als "nur" interpretieren. Der OP klagte aber
über eine unangenehm lange Verzögerung, kein komplettes Ablehnen.
Wie verhält sich Firefox auf den folgenden Websites?

<http://www.geektools.com/> <- keine https-Version vorhanden
Seamonkey geht ohne weiteres drauf - andere Brauser meinen dazu lediglich
"nicht sicher".

<https://tatort-fundus.de/> <- Zertifikat für https abgelaufen
Die Brauser benötigen zum Bestätigen der unsicheren Verbindung trotz https
zwei Extra-Klicks.

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Thomas Hochstein
2022-08-25 20:40:59 UTC
Permalink
Post by Markus Ammann
Wie verhält sich Firefox auf den folgenden Websites?
<http://www.geektools.com/> <- keine https-Version vorhanden
Problemlos.
Post by Markus Ammann
<https://tatort-fundus.de/> <- Zertifikat für https abgelaufen
Die Brauser benötigen zum Bestätigen der unsicheren Verbindung trotz https
zwei Extra-Klicks.
Richtigerweise.

-thh
Axel Berger
2022-08-25 20:49:36 UTC
Permalink
Wie verhält sich Firefox auf den folgenden Websites?
Vanilla? Keine Ahnung.

Meiner öffnet den ersten problemlos und ohne jede Verzögerung und
schmeißt beim zweiten die von Dir genannten Warnungen mit Klick erst auf
"advanced" dann auf "proceed".

Beides so wie ich gern möchte.
--
/¯\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --
Joerg Lorenz
2022-08-25 20:54:04 UTC
Permalink
Post by Markus Ammann
Post by Axel Berger
Post by Joerg Lorenz
Nur-HTTPS-Modus nicht aktivieren
Letzteres anklicken.
Sicher? "Nur" würde ich als "nur" interpretieren. Der OP klagte aber
über eine unangenehm lange Verzögerung, kein komplettes Ablehnen.
Wie verhält sich Firefox auf den folgenden Websites?
<http://www.geektools.com/> <- keine https-Version vorhanden
Seamonkey geht ohne weiteres drauf - andere Brauser meinen dazu lediglich
"nicht sicher".
Drei Sekunden rödeln dann kommt bei meiner Einstellung:


Nur-HTTPS-Modus-Warnung
Sichere Website nicht verfügbar

Sie haben den Nur-HTTPS-Modus für erhöhte Sicherheit aktiviert und es
ist keine HTTPS-Version von www.geektools.com verfügbar.

Weitere Informationen…
Was könnte die Ursache sein?

Höchstwahrscheinlich unterstützt die Website HTTPS einfach nicht.
Es ist auch möglich, dass ein Angreifer beteiligt ist. Falls Sie
sich dafür entscheiden, die Website aufzurufen, sollten Sie nicht
sensible Informationen wie Passwörter, E-Mail-Adressen oder
Kreditkartendaten in diese eingeben.

Wenn Sie fortfahren, wird der Nur-HTTPS-Modus für diese Website
vorübergehend deaktiviert.
Post by Markus Ammann
<https://tatort-fundus.de/> <- Zertifikat für https abgelaufen
Die Brauser benötigen zum Bestätigen der unsicheren Verbindung trotz https
zwei Extra-Klicks.
und bei dieser Site diese Meldung. Die sagt aber etwas wesentlich
"Gefährlicheres":

Warnung: Mögliches Sicherheitsrisiko erkannt

Firefox hat ein Problem erkannt und tatort-fundus.de nicht aufgerufen.
Entweder ist die Website falsch eingerichtet oder Datum und/oder Uhrzeit
auf diesem Computer sind nicht korrekt.

Das Zertifikat der Website ist wahrscheinlich abgelaufen, weshalb
Firefox keine verschlüsselte Verbindung aufbauen kann. Falls Sie die
Website besuchen, könnten Angreifer versuchen, Passwörter, E-Mails oder
Kreditkartendaten zu stehlen.

Was können Sie dagegen tun?

Am wahrscheinlichsten wird das Problem durch die Website verursacht und
Sie können nichts dagegen tun. Sie können den Website-Administrator über
das Problem benachrichtigen.
Post by Markus Ammann
Gruss Markus
--
De gustibus non est disputandum
Arno Welzel
2022-08-26 08:27:59 UTC
Permalink
[...]
Post by Joerg Lorenz
Post by Markus Ammann
<http://www.geektools.com/> <- keine https-Version vorhanden
Seamonkey geht ohne weiteres drauf - andere Brauser meinen dazu lediglich
"nicht sicher".
Nur-HTTPS-Modus-Warnung
Sichere Website nicht verfügbar
Ja, weil "Nur-HTTPS-Modus" bedeutet, dass Firefox generell keine
HTTP-Verbindung aufbaut.

Wenn Websites HTTPS anbieten, sollten sie *selber* darauf umleiten und
es nicht vom Browser abhängig machen, ob er das selber findet oder nicht.
--
Arno Welzel
https://arnowelzel.de
Joerg Lorenz
2022-08-26 09:59:57 UTC
Permalink
Post by Arno Welzel
[...]
Post by Joerg Lorenz
Post by Markus Ammann
<http://www.geektools.com/> <- keine https-Version vorhanden
Seamonkey geht ohne weiteres drauf - andere Brauser meinen dazu lediglich
"nicht sicher".
Nur-HTTPS-Modus-Warnung
Sichere Website nicht verfügbar
Ja, weil "Nur-HTTPS-Modus" bedeutet, dass Firefox generell keine
HTTP-Verbindung aufbaut.
Habe ich je etwas Anderes gesagt?
--
De gustibus non est disputandum
Arno Welzel
2022-08-26 14:52:22 UTC
Permalink
Post by Joerg Lorenz
Post by Arno Welzel
[...]
Post by Joerg Lorenz
Post by Markus Ammann
<http://www.geektools.com/> <- keine https-Version vorhanden
Seamonkey geht ohne weiteres drauf - andere Brauser meinen dazu lediglich
"nicht sicher".
Nur-HTTPS-Modus-Warnung
Sichere Website nicht verfügbar
Ja, weil "Nur-HTTPS-Modus" bedeutet, dass Firefox generell keine
HTTP-Verbindung aufbaut.
Habe ich je etwas Anderes gesagt?
Nein, aber dass so ausführlich beschreibst, was passiert, wirkt so, als
ob Du Dich darüber gewundert hast, was da passiert.

Zu erwähnen, dass mit "Nur HTTPS"-Modus die Seite
http://www.geektools.com/ nicht mehr geht, weil
https://www.geektools.com/ nicht funktioniert, wäre zielführender gewesen.
--
Arno Welzel
https://arnowelzel.de
Joerg Lorenz
2022-08-26 16:47:34 UTC
Permalink
Post by Arno Welzel
Post by Joerg Lorenz
Habe ich je etwas Anderes gesagt?
Nein, aber dass so ausführlich beschreibst, was passiert, wirkt so, als
ob Du Dich darüber gewundert hast, was da passiert.
Zu erwähnen, dass mit "Nur HTTPS"-Modus die Seite
http://www.geektools.com/ nicht mehr geht, weil
https://www.geektools.com/ nicht funktioniert, wäre zielführender gewesen.
None of your business.
--
De gustibus non est disputandum
Arno Welzel
2022-08-27 17:02:37 UTC
Permalink
Post by Joerg Lorenz
Post by Arno Welzel
Post by Joerg Lorenz
Habe ich je etwas Anderes gesagt?
Nein, aber dass so ausführlich beschreibst, was passiert, wirkt so, als
ob Du Dich darüber gewundert hast, was da passiert.
Zu erwähnen, dass mit "Nur HTTPS"-Modus die Seite
http://www.geektools.com/ nicht mehr geht, weil
https://www.geektools.com/ nicht funktioniert, wäre zielführender gewesen.
None of your business.
Da Du öffentlich postest - doch, ist es. Wenn Du nur bestimmte Leute
ansprechen willst - E-Mail existiert.
--
Arno Welzel
https://arnowelzel.de
Joerg Lorenz
2022-08-27 20:56:58 UTC
Permalink
Post by Arno Welzel
Post by Joerg Lorenz
Post by Arno Welzel
Zu erwähnen, dass mit "Nur HTTPS"-Modus die Seite
http://www.geektools.com/ nicht mehr geht, weil
https://www.geektools.com/ nicht funktioniert, wäre zielführender gewesen.
None of your business.
Da Du öffentlich postest - doch, ist es. Wenn Du nur bestimmte Leute
ansprechen willst - E-Mail existiert.
Wie so oft, verstehst Du nicht mal ansatzweise, worum es geht. EOD.
--
De gustibus non est disputandum
Detlef Meißner
2022-08-27 21:32:28 UTC
Permalink
Post by Joerg Lorenz
Post by Arno Welzel
Post by Joerg Lorenz
Post by Arno Welzel
Zu erwähnen, dass mit "Nur HTTPS"-Modus die Seite
http://www.geektools.com/ nicht mehr geht, weil
https://www.geektools.com/ nicht funktioniert, wäre zielführender gewesen.
None of your business.
Da Du öffentlich postest - doch, ist es. Wenn Du nur bestimmte Leute
ansprechen willst - E-Mail existiert.
Wie so oft, verstehst Du nicht mal ansatzweise, worum es geht. EOD.
Das ist einer seiner leichtesten Übungen.

Detlef
Helmut Waitzmann
2022-09-18 14:18:42 UTC
Permalink
Post by Arno Welzel
Wenn Websites HTTPS anbieten, sollten sie *selber* darauf
umleiten und es nicht vom Browser abhängig machen, ob er das
selber findet oder nicht.
Nein, das sollten sie nicht.  Sie sollten es dem Anwender
überlassen, ob er HTTPS möchte und deshalb effektiv auf Proxies
verzichten möchte oder ob ihm Abhör‐ und Fälschungssicherheit egal
ist und er lieber die Beschleunigung eines Proxies in Anspruch
nehmen möchte.

Weil die meisten Anwender sich darum keinen Kopf machen, ist es
gut, wenn Browser so voreingestellt[1] sind, dass sie zunächst
selber versuchen, statt mit vom Anwender aus
Unwissenheit/Bequemlichkeit gewünschten HTTP mit HTTPS
zuzugreifen.

[1] «Voreingestellt» bedeutet, dass der Anwender auf eigenen
Wunsch das Probieren mit HTTPS auch abstellen kann.

Provide mechanism, not policy.
Arno Welzel
2022-09-19 12:15:33 UTC
Permalink
Post by Helmut Waitzmann
Post by Arno Welzel
Wenn Websites HTTPS anbieten, sollten sie *selber* darauf
umleiten und es nicht vom Browser abhängig machen, ob er das
selber findet oder nicht.
Nein, das sollten sie nicht.  Sie sollten es dem Anwender
überlassen, ob er HTTPS möchte und deshalb effektiv auf Proxies
verzichten möchte oder ob ihm Abhör‐ und Fälschungssicherheit egal
ist und er lieber die Beschleunigung eines Proxies in Anspruch
nehmen möchte.
Es geht aber nicht darum, was der *Anwender* will, sondern was der
Website-Betreiber rechtlich machen *muss*.

Nach DSGVO *müssen* bestimmte Angebote grundsätzlich *immer* HTTPS
zwingend nutzen - und wenn solche Angebote auch den Abruf per HTTP
erlauben, verstoßen Sie schlicht gegen geltendes Recht.

Oder anders ausgerückt: wenn HTTPS nicht erforderlich ist, sollte man es
auch gar nicht erst anbieten. Aber *wenn* man HTTPS anbietet, dann
*immer* und nicht nach den Maßgaben irgendwelcher persönlicher Vorlieben.

Eine Automatik im Sinne von "probiere es mal mit HTTPS, weil der
Anwender zu doof ist, das selber einzugeben und der Website-Betreiber zu
doof, eine Weiterleitung einzurichten" bringt in der Praxis exakt *nichts*.
--
Arno Welzel
https://arnowelzel.de
Axel Berger
2022-09-19 13:28:35 UTC
Permalink
Post by Arno Welzel
wenn HTTPS nicht erforderlich ist, sollte man es
auch gar nicht erst anbieten.
Der Zug ist lange abgefahren, was auch hier in der Gruppe konsequent
bejubelt wird. Wäre es anders könnte ich vollkommen öffentliche
Informationen, auf die ich rein lesend zugreifen will, problemlos noch
unter Windows 98 erreichen. Das geht fast nirgends und aktuelle Broser
werten meine eigenen Seiten im Netz allein deshalb ab, weil sie als
http: angeboten werden.
--
/¯\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --
Arno Welzel
2022-09-19 14:46:00 UTC
Permalink
Post by Axel Berger
Post by Arno Welzel
wenn HTTPS nicht erforderlich ist, sollte man es
auch gar nicht erst anbieten.
Der Zug ist lange abgefahren, was auch hier in der Gruppe konsequent
bejubelt wird. Wäre es anders könnte ich vollkommen öffentliche
Informationen, auf die ich rein lesend zugreifen will, problemlos noch
unter Windows 98 erreichen. Das geht fast nirgends und aktuelle Broser
werten meine eigenen Seiten im Netz allein deshalb ab, weil sie als
http: angeboten werden.
Unter Windows 98 hast Du nicht nur mit HTTPS Probleme, weil es da nur
Uralt-Browser gibt, die kein TLS 1.2 beherrschen. Auch aktuelles HTML5
und CSS3 dürfte da kaum noch problemlos darstellbar sein, da Browser,
die sowas können, da ebenfalls nicht angeboten werden.

Ich sehe auch keinen Vorteil darin, 25 Jahre alte Software benutzen zu
können. Wenn das die Maxime sein soll, dass das möglich sein muss, darf
man generell nichts mehr weiterentwickeln.
--
Arno Welzel
https://arnowelzel.de
Helmut Waitzmann
2022-09-30 17:11:15 UTC
Permalink
Post by Arno Welzel
Post by Helmut Waitzmann
Post by Arno Welzel
Wenn Websites HTTPS anbieten, sollten sie *selber* darauf
umleiten und es nicht vom Browser abhängig machen, ob er das
selber findet oder nicht.
Nein, das sollten sie nicht.  Sie sollten es dem Anwender
überlassen, ob er HTTPS möchte und deshalb effektiv auf Proxies
verzichten möchte oder ob ihm Abhör‐ und Fälschungssicherheit egal
ist und er lieber die Beschleunigung eines Proxies in Anspruch
nehmen möchte.
Es geht aber nicht darum, was der *Anwender* will, sondern was
der Website-Betreiber rechtlich machen *muss*.
Gut.  Wenn der Website‐Betreiber rechtlich HTTPS machen muss,
darf er HTTP nicht anbieten, auch nicht mit einer automatischen
Umleitung auf HTTPS, denn in dem Moment, wo er HTTP anbietet,
ermöglicht er es einem Angreifer, das HTTP‐Angebot so zu
fälschen, dass die Umleitung auf HTTPS des Website‐Betreibers
unterbleibt und statt dessen eine Umleitung auf das
HTTP(S)‐Angebot des Angreifers geschieht.
Post by Arno Welzel
Nach DSGVO *müssen* bestimmte Angebote grundsätzlich *immer* HTTPS
zwingend nutzen - und wenn solche Angebote auch den Abruf per HTTP
erlauben, verstoßen Sie schlicht gegen geltendes Recht.
Eben.
Post by Arno Welzel
Oder anders ausgerückt: wenn HTTPS nicht erforderlich ist,
sollte man es auch gar nicht erst anbieten.
Nein.  Das ist nicht derselbe Sachverhalt anders ausgedrückt, und
es folgt daraus auch nicht.
Post by Arno Welzel
Aber *wenn* man HTTPS anbietet, dann *immer* und nicht nach den
Maßgaben irgendwelcher persönlicher Vorlieben.
Eben nicht:  Wenn HTTPS nicht erforderlich ist, darf der
Website‐Betreiber sowohl HTTP als auch HTTPS anbieten.
Post by Arno Welzel
Eine Automatik im Sinne von "probiere es mal mit HTTPS, weil der
Anwender zu doof ist, das selber einzugeben und der
Website-Betreiber zu doof, eine Weiterleitung einzurichten"
bringt in der Praxis exakt *nichts*.
Ein (vom Anwender abschaltbarer) automatischer HTTPS‐Versuch im
Browser bei HTTP‐URLs bringt jedenfalls mehr als eine angreifbare
automatische Umleitung auf HTTPS, die der Website‐Betreiber bei
HTTP‐Anfragen durchführt:  Wenn der Browser des Anwenders
automatisch zunächst HTTPS probiert, obwohl der Anwender zu doof
ist, statt HTTP HTTPS selber zu wählen, hat der Angreifer keine
Möglichkeit, das zu unterbinden.
Arno Welzel
2022-10-09 11:04:43 UTC
Permalink
Post by Helmut Waitzmann
Post by Arno Welzel
Post by Helmut Waitzmann
Post by Arno Welzel
Wenn Websites HTTPS anbieten, sollten sie *selber* darauf
umleiten und es nicht vom Browser abhängig machen, ob er das
selber findet oder nicht.
Nein, das sollten sie nicht.  Sie sollten es dem Anwender
überlassen, ob er HTTPS möchte und deshalb effektiv auf Proxies
verzichten möchte oder ob ihm Abhör‐ und Fälschungssicherheit egal
ist und er lieber die Beschleunigung eines Proxies in Anspruch
nehmen möchte.
Es geht aber nicht darum, was der *Anwender* will, sondern was
der Website-Betreiber rechtlich machen *muss*.
Gut.  Wenn der Website‐Betreiber rechtlich HTTPS machen muss,
darf er HTTP nicht anbieten, auch nicht mit einer automatischen
Umleitung auf HTTPS, denn in dem Moment, wo er HTTP anbietet,
Dafür hast Du sicher eine Quelle - also für die Behauptung, dass das
juristisch relevant wäre.
--
Arno Welzel
https://arnowelzel.de
Helmut Waitzmann
2022-11-02 17:53:05 UTC
Permalink
Post by Arno Welzel
Post by Helmut Waitzmann
Gut.  Wenn der Website‐Betreiber rechtlich HTTPS machen muss,
darf er HTTP nicht anbieten, auch nicht mit einer automatischen
Umleitung auf HTTPS, denn in dem Moment, wo er HTTP anbietet,
Dafür hast Du sicher eine Quelle - also für die Behauptung, dass
das juristisch relevant wäre.
Du hattest geschrieben:  «Nach DSGVO *müssen* bestimmte Angebote
grundsätzlich *immer* HTTPS zwingend nutzen - und wenn solche
Angebote auch den Abruf per HTTP erlauben, verstoßen Sie schlicht
gegen geltendes Recht.»

Verfolgt die DSGVO nicht unter anderem das Ziel, die Daten, die
der Browser an den Website‐Betreiber übermittelt, vor unbefugtem
Mitlesen Dritter zu schützen?  Wie könnte der Website‐Betreiber
sonst sicherstellen, dass die Daten, die er vom Browser erhält,
nicht in falsche Hände gelangen?
Axel Berger
2022-11-02 19:20:52 UTC
Permalink
die Daten, die der Browser an den Website‐Betreiber übermittelt,
Klar, private Daten von Besuchern müssen geschützt werden. Da gibt es
gar keine Zweifel. Aber vollkommen öffentliche Daten? Sagen wir die
kostenfreie Startseite der Bildzeitung? Warum ist die so geheim, daß sie
eine Verschlüsselung neuesten Standards verlangt?

Meine eigenen Seiten sind alle http, auch das Kontaktformular. Aber das
muß niemand benutzen, es werden genug andere Kontaktangebote gemacht.

N.B: Auf Firmenseiten ohne Email, die nur ein Formular anbieten von mir
aber eine Mailadresse zwingend fordern, ist die Standardadresse
"***@garnix.an". Im Mailbody nenne ich dann den URL meines
Kontaktformulars.
--
/¯\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --
Arno Welzel
2022-11-05 17:49:37 UTC
Permalink
Post by Axel Berger
die Daten, die der Browser an den Website‐Betreiber übermittelt,
Klar, private Daten von Besuchern müssen geschützt werden. Da gibt es
gar keine Zweifel. Aber vollkommen öffentliche Daten? Sagen wir die
kostenfreie Startseite der Bildzeitung? Warum ist die so geheim, daß sie
eine Verschlüsselung neuesten Standards verlangt?
Wer behauptet das?

Nur weil ein Server https bevorzugt, bedeutet nicht, dass die Inhalte
geheim sind. Es ist aber oft einfacher, pauschal https zu nutzen und für
HTTP/2 erst recht.
Post by Axel Berger
Meine eigenen Seiten sind alle http, auch das Kontaktformular. Aber das
Das wiederum könnte ein Problem sein, da Kontaktdaten bei der
Übermittlung nach dem Stand der Technik zu schützen sind.
Post by Axel Berger
muß niemand benutzen, es werden genug andere Kontaktangebote gemacht.
Das ist irrelevant! Dein Kontaktformular wird von *Dir* angeboten und
Besucher müssen sich darauf verlassen können, dass diese Daten geschützt
werden - wie Du ja selber eingangs schon schreibt. Und zu diesen Daten
gehören auf deinem Formular (<http://berger-odenthal.de/Kontakt.php>)
neben Name auch E-Mail-Adresse, Telefonnummer und Adresse.
--
Arno Welzel
https://arnowelzel.de
Arno Welzel
2022-11-05 17:46:13 UTC
Permalink
Post by Helmut Waitzmann
Post by Arno Welzel
Post by Helmut Waitzmann
Gut.  Wenn der Website‐Betreiber rechtlich HTTPS machen muss,
darf er HTTP nicht anbieten, auch nicht mit einer automatischen
Umleitung auf HTTPS, denn in dem Moment, wo er HTTP anbietet,
Dafür hast Du sicher eine Quelle - also für die Behauptung, dass
das juristisch relevant wäre.
Du hattest geschrieben:  «Nach DSGVO *müssen* bestimmte Angebote
grundsätzlich *immer* HTTPS zwingend nutzen - und wenn solche
Angebote auch den Abruf per HTTP erlauben, verstoßen Sie schlicht
gegen geltendes Recht.»
Ja - weil da z.B. eine Anmeldung mit Benutzernamen und Passwort erfolgt
und *das* dann nur über HTTPS zulässig ist.

Wie kommst Du darauf, dass dann eine Weiterleitung von HTTP zu HTTPS,
*vor* dem Laden des Anmeldeformulars unzulässig ist?
Post by Helmut Waitzmann
Verfolgt die DSGVO nicht unter anderem das Ziel, die Daten, die
der Browser an den Website‐Betreiber übermittelt, vor unbefugtem
Mitlesen Dritter zu schützen?  Wie könnte der Website‐Betreiber
sonst sicherstellen, dass die Daten, die er vom Browser erhält,
nicht in falsche Hände gelangen?
Ein Website-Betreiber kann nicht verhindern, dass ein Browser eine
Anfrage per HTTP sendet. Er kann diese Anfrage nur ignorieren oder mit
einem Redirect auf HTTPS antworten.

Aber nochmal: welche juristische Relevanz hat es, wenn man
HTTP-Anfragen, die beim Server rein technisch eintreffen, nicht
ignroriert, sondern mit Redirect auf HTTPS beantwortet?
--
Arno Welzel
https://arnowelzel.de
Helmut Waitzmann
2022-11-20 17:23:30 UTC
Permalink
Post by Arno Welzel
Post by Helmut Waitzmann
Post by Arno Welzel
Post by Helmut Waitzmann
Gut.  Wenn der Website‐Betreiber rechtlich HTTPS machen muss,
darf er HTTP nicht anbieten, auch nicht mit einer
automatischen Umleitung auf HTTPS, denn in dem Moment, wo er
HTTP anbietet,
Dafür hast Du sicher eine Quelle - also für die Behauptung,
dass das juristisch relevant wäre.
Du hattest geschrieben:  «Nach DSGVO *müssen* bestimmte
Angebote grundsätzlich *immer* HTTPS zwingend nutzen - und
wenn solche Angebote auch den Abruf per HTTP erlauben,
verstoßen Sie schlicht gegen geltendes Recht.»
Ja - weil da z.B. eine Anmeldung mit Benutzernamen und Passwort
erfolgt und *das* dann nur über HTTPS zulässig ist.
Wie kommst Du darauf, dass dann eine Weiterleitung von HTTP zu
HTTPS, *vor* dem Laden des Anmeldeformulars unzulässig ist?
Ein Angreifer kann die vom Web‐Server angestoßene Weiterleitung
von HTTP zu HTTPS unterbinden und statt dessen eine Weiterleitung
zu seinem eigenen Server bewirken.

Wenn also eine Weiterleitung von HTTP zu HTTPS zulässig
ist, greift das Verbot, HTTP anzubieten, zu kurz und verfehlt
seinen Sinn.
Post by Arno Welzel
Post by Helmut Waitzmann
Verfolgt die DSGVO nicht unter anderem das Ziel, die Daten,
die der Browser an den Website‐Betreiber übermittelt, vor
unbefugtem Mitlesen Dritter zu schützen?  Wie könnte der
Website‐Betreiber sonst sicherstellen, dass die Daten, die er
vom Browser erhält, nicht in falsche Hände gelangen?
Ein Website-Betreiber kann nicht verhindern, dass ein Browser
eine Anfrage per HTTP sendet. Er kann diese Anfrage nur
ignorieren oder mit einem Redirect auf HTTPS antworten.
Aber nochmal: welche juristische Relevanz hat es, wenn man
HTTP-Anfragen, die beim Server rein technisch eintreffen, nicht
ignroriert, sondern mit Redirect auf HTTPS beantwortet?
Die juristische Relevanz besteht darin, dass ein Gesetz, das in
gewissen Fällen eine Umlenkung auf HTTPS erlaubt, anstatt in
diesen Fällen HTTP‐Anfragen zu verbieten, ein schlechtes Gesetz
ist.  Im Einzelnen:

Es gibt für einen WWW‐Server drei Möglichkeiten, mit
HTTP‐Anfragen zu verfahren:  Sie anzunehmen, sie auf HTTPS
umzulenken oder sie gleich gar nicht anzubieten.  Alle drei sind
vom technischen Standpunkt her ohne die Mitarbeit des Anwenders
unsicher.

Sicherheit ist nur gegeben, wenn der Anwender von Anfang an eine
HTTPS‐Anfrage an den (richtigen) Web‐Server richtet und dabei die
Fähigkeiten seines Browsers, die dabei verwendete
Zertifikate‐Kette zu prüfen, nutzt.

Wenn das Gesetz trotzdem den ersten der drei Fälle verbietet, den
zweiten aber erlaubt, weil der Gesetzgeber hofft, auf diese Weise
die aus der fehlenden Mitarbeit des Anwenders (s. o.) folgende
Unsicherheit ausbügeln zu können, leistet das Gesetz nicht, was
es soll: den Web‐Server‐Betreiber dazu zu bringen, alles in
seiner Macht stehende zu tun, um sichere Datenübertragung zu
gewährleisten.

Der dritte Fall garantiert ebenfalls nicht zwangsläufig
Sicherheit, hat aber immerhin den Vorteil, dass der Anwender im
Fall, dass gerade kein Angreifer am Werk ist, vom Browser keine
Verbindung zum Web‐Server sondern nur eine Fehlermeldung bekommt,
die ihn, wenn sie häufig genug auftritt, lehrt, im URL stets
«https:» stehen zu haben.

Im Gegensatz zum zweiten Fall, bei dem aus Sicht des unbedarften,
unwissenden oder unvorsichtigen Anwenders HTTP anscheinend
funktioniert, lernt der Anwender beim dritten Fall den
Unterschied zwischen HTTPS und HTTP unmittelbar kennen:  Das eine
funktioniert, das andere funktioniert nicht.

Die einzige Stelle, die dem Anwender unter die Arme greifen kann,
ist der Web‐Browser, wenn man ihn so einstellt, dass er jede
HTTP‐Anfrage durch eine entsprechende HTTPS‐Anfrage ersetzt und
warnt, falls er keine sichere Verbindung hinbekommt.

Ein Gesetz, das eine vom Web‐Server angestoßene Umlenkung von
HTTP zu HTTPS erlaubt, trägt damit genau genommen zur Verdummung
der Anwender bei.
Arno Welzel
2022-11-20 19:51:07 UTC
Permalink
[...]
Post by Helmut Waitzmann
Post by Arno Welzel
Aber nochmal: welche juristische Relevanz hat es, wenn man
HTTP-Anfragen, die beim Server rein technisch eintreffen, nicht
ignroriert, sondern mit Redirect auf HTTPS beantwortet?
Die juristische Relevanz besteht darin, dass ein Gesetz, das in
gewissen Fällen eine Umlenkung auf HTTPS erlaubt, anstatt in
diesen Fällen HTTP‐Anfragen zu verbieten, ein schlechtes Gesetz
Du kennst also keine Rechtsvorschrift dazu?
Post by Helmut Waitzmann
Es gibt für einen WWW‐Server drei Möglichkeiten, mit
HTTP‐Anfragen zu verfahren:  Sie anzunehmen, sie auf HTTPS
umzulenken oder sie gleich gar nicht anzubieten.  Alle drei sind
vom technischen Standpunkt her ohne die Mitarbeit des Anwenders
unsicher.
Auch wenn der Webserver selber HTTP nicht akzeptieren würde, kann der
Angreifer als Man-in-the-Middle das dennoch tun. Wo ist da der Vorteil,
selbst auf HTTP nicht zu reagieren?
Post by Helmut Waitzmann
Sicherheit ist nur gegeben, wenn der Anwender von Anfang an eine
HTTPS‐Anfrage an den (richtigen) Web‐Server richtet und dabei die
Fähigkeiten seines Browsers, die dabei verwendete
Zertifikate‐Kette zu prüfen, nutzt.
Ob der Anwender das tut, kann der Web-Server aber nicht beeinflussen.

Wenn der Anwender HTTP benutzt und dann auf dem Server eines Angreifers
landet, kann der echte Anbieter das auch nicht verhindern.

Damit HSTS-Header beachtet werden, muss der Browser des Anwenders schon
wenigstens einmal mit dem echten Server kommunziert haben oder die Daten
müssen in der HSTS-Preload-Liste eingereicht werden *und* der Browser
muss diese Liste auch mal abgerufen haben - vorher kennt der Browser
diese Information nicht.
Post by Helmut Waitzmann
Wenn das Gesetz trotzdem den ersten der drei Fälle verbietet, den
zweiten aber erlaubt, weil der Gesetzgeber hofft, auf diese Weise
die aus der fehlenden Mitarbeit des Anwenders (s. o.) folgende
Unsicherheit ausbügeln zu können, leistet das Gesetz nicht, was
es soll: den Web‐Server‐Betreiber dazu zu bringen, alles in
seiner Macht stehende zu tun, um sichere Datenübertragung zu
gewährleisten.
Warum?

Zu glauben, ein Server wäre "sicher", weil er nicht auf HTTP reagiert,
ist schon sehr eigenwillig. Erst recht, weil ein Angreifer ja weiterhin
HTTP anbieten kann.

[...]
Post by Helmut Waitzmann
Ein Gesetz, das eine vom Web‐Server angestoßene Umlenkung von
HTTP zu HTTPS erlaubt, trägt damit genau genommen zur Verdummung
der Anwender bei.
Gesetze sind nicht da, um Anwender fortzubilden.

Die DSGVO verlangt, dass personenbezogene Daten nach dem Stand der
Technik geschützt werden müssen. Im Fall einer Website bedeutet das vor
Allem, dass HTTPS benutzt werden muss für Anmeldeformulare und andere
Bereiche, wo personenbezogene Daten übermittelt werden.

Wenn Anwender den Hinweis ihrer Browser in der URL-Zeile ignorieren,
dass eine Website *NICHT* sicher ist (siehe z.B.
<http://berger-odenthal.de> - die gibt es nur via HTTP), dann kann auch
ein Gesetz daran nichts ändern.
--
Arno Welzel
https://arnowelzel.de
Christian @Soemtron
2022-08-28 16:54:00 UTC
Permalink
Post by Joerg Lorenz
Post by Markus Ammann
Wie verhält sich Firefox auf den folgenden Websites?
<http://www.geektools.com/> <- keine https-Version vorhanden
Nur-HTTPS-Modus-Warnung
Sichere Website nicht verfügbar
Hier dauert es ca. 3 Minuten, aber das liegt wohl an der TOR-
Feindlichkeit der Seite.

Was die ganzen about:config-Einstellungen, die "https" enthalten
bedeuten, wäre mal interessant.

cu,
Christian

PGP Key available.
Loading...