Man kann rubensfan.de in die Zeile eintippen ohne dass man auf die verschlüsselte Seite mit HTTPS umgeleitet wird. Man logt sich also auch unverschlüsselt ein.
Das sollte dringend geändert werden.
Wieso? Kannst doch das HTTPS davor machen?
Speicher dir nen Link und alles ist gut. :)
Jeder User hat es doch selbst in der Hand.
Das ist genau der Punkt. Man KANN, aber die Tatsache dass es nicht standardmäßig erzwungen wird ist ein klaffendes Sicherheitsrisiko.
Wieso? Jeder User hat es doch selbst in der Hand. Die wenigsten Seiten machen automatisches HTTPS?
Auch aus Kompatibilitätsgründen?
„Garmisch-Partenkirchen“ (Pseudonym)
@Shadow Das macht kaum einer. Macht schon Sinn erst die Umleitung und dann das Login zu schalten, damit das PW z.B. nicht unverschlüsselt übertragen wird. Kann man aber auch innerhalb der Seite machen. Habs mir - ehrlich gesagt- noch nie angeschaut, was da genau passiert.
EHHHM nein. HTTPS ist absoluter Standard, seit Jahren. Es gibt praktisch keine einzige Seite mehr im Internet in der die Einlogmaske unverschlüsselt ist. Aus gutem Grund.
Es gibt auch überhaupt gar keinen Grund, wenn man schon ein Zertifikat hat, HTTPS optional zu machen.
So. Seit gestern gibt's nur noch https :-)
Ich hatte so meine Zweifel ob die Server-Performance dafür reicht, aber es sieht ganz gut aus.
„Garmisch-Partenkirchen“ (Pseudonym)
*Daumen hoch*