Freitag, 29. Januar 2016
Umstellung auf HTTPS
Seit ein paar Minuten läuft Blogger.de in einem HTTPS-Only-Modus. Aufrufe per HTTP werden auf HTTPS umgeleitet.

Je nach Browser kann es nun dazu kommen, dass ihr (oder eure Besucher) Warnmeldungen auf euren Blogs bekommt, oder unsichere Inhalte nicht mehr angezeigt werden.

Schaut euch dann mal den Quelltext eures Blogs an, wo ihr noch HTTP-Inhalte einbindet. Bei neuren Browsern sind HTTP-Einbindungen von z.B. Bildern von Blogger.de kein Problem, da ich auch HSTS implementiert habe, so dass sich die Browser merken, dass die Inhalte von Blogger.de alle per HTTPS ausgeliefert werden sollen und das deshalb auch dann tun, wenn der Zugriff über eine HTTP-Url erfolgt.

Übrigens wurde damit auch erst einmal der Einsatz von AWS als CDN abgeschaltet. Mir ist es aktuell noch zu umständlich, dort ein entsprechendes SSL-Zertifikat zu hinterlegen. Die URLs mit cdn.blogger.de funktionieren aber weiterhin, werden nun aber von diesem Server hier ausgeliefert.

Falls euch sonst Probleme auffallen sollten, meldet euch bitte.

... comment

 
Ah, hatte vorhin mal kurz Fehlermeldung

Wrapped java.lang.RuntimeException: Error retrieving Node (/var/www/helma/apps/antville/code/MemberMgr/objectFunctions.js#283)

dann lief es aber wieder.

... link  

 
Ich hatte die Gelegenheit auch genutzt um ein Datenbank-Update einzuspielen. Kurzzeitig war die also nicht verfügbar. Ich nehme an, dass die Fehlermeldung daher kam.

... link  

 
Ach ja,
und heute Mittag (so gegen halb zwei, als ich meinen Beitrag veröffentlichte, bekam ich gemeldet, der angegebene Pfad oder was auch immer sei nicht verfügbar, aber zu meiner Verblüffung war der Beitrag dann doch online. Mit einem Antwort-Kommentar paar Minuten vorher genau dasselbe.

... link  

 
Okay... Dann waren meine Arbeiten in der Mittagspause doch nicht ganz so geräuschlos, wie ich dachte :/

... link  

 
Großer Lärm war das nicht, nur so'n bisschen Gerumpel im Untergrund. ;-)

... link  


... comment
 
Je nach Browser kann es nun dazu kommen, dass ihr (oder eure Besucher) Warnmeldungen auf euren Blogs bekommt, oder unsichere Inhalte nicht mehr angezeigt werden.

Genau solche meldung bekam ich (Firefox 44.0).
Irgendwie bekam ich eine "Ausnahmereglung".
Was genau tun, damit's nicht wieder passiert?
Was und wo genau einstellen?

... link  

 
Diese Meldung kam:

www.jeeves.blogger.de verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für folgende Namen: *.blogger.de, blogger.de (Fehlercode: ssl_error_bad_cert_domain)

Wie behebe ich den Fehler?
Oder ist das recht kompliziert? (bin kein Informatiker)

... link  

 
Verwendet einfach https://jeeves.blogger.de - also ohne das "www." davor. Das war schon immer unnötig, das SSL-Zertifikat gilt allerdings nur für Subdomains von Blogger.de und nicht Sub-Sub-Domains.

Ich werde auch mal schauen, ob ich diese überflüssigen www. vor den Domains (Du bist nicht der einzige) durch Rewrite-Rules auf dem Server entfernt bekomme. Dann tappen andere nicht in die selbe Falle.

... link  

 
Das ging aber fix !
DANKE
Jetzt klappt's.
.

... link  

 
Gerne.

Wenn man so große Änderungen macht, sollte man auch ein Auge auf die Rückmeldungen der User haben :)

... link  


... comment
 
Mein Blog sieht nun leider total zerschossen aus. Optisch erinnert es an die Kreidezeit des Internets. Ich habe aber am Layout nichts herumgeschraubt.

Update um 23:14 h: Jetzt sieht wieder alles normal aus.

... link  

 
Ich habe nun ihr CSS direkt über https ausgeliefert - in ihrem Layout. Warum das jetzt nicht auch so funktioniert hat, kann ich gerade nicht sagen, da ich nicht vor dem Rechner sitze.

... link  

 
Ich nutze das Standardlayout, das ich nur geringfügig modifiziert habe (am CSS habe ich seinerzeit nix herumgeschraubt).

Jedenfalls vielen Dank, dass der Fehler nun behoben ist.

... link  

 
Ich hatte das eigentlich überflüssige www immer davor geschrieben (Visitenkarten, Mail- und Post-Absender, etc.), um auch schlichteren Menschen klar zu machen: hey, dies ist eine Internet-Adresse, und zwar die einer Website. Denn wohl jeder verbindet inzwischen das "www" mit Website. Und: "www" sieht netter aus, spricht sich einfacher und tippt sich auch einfacher auf der Tastatur, als dies sperrige "http://" und nun "https://". Viele wissen sogar, es bedeutet: World Wide Web. Wer aber weiß schon, was https heißt? ...und kann sich das auch noch merken?
(Techniker werden & dürfen das latürnich ganz anders sehen :-)

... link  

 
Dass man vor eine Internetadresse im Browser http:// oder https:// schreiben musste, ist aber auch schon einige Jahre her...

... link  


... comment
 
Fehlermeldung
Von einer Leserin bekam ich die Meldung, dass sie bei meinem Blog andersdeutsch eine Fehlermeldung bekommt: https://support.mozilla.org/de/kb/verbindung-ist-nicht-sicher-fehlermeldung?redirectlocale=de&redirectslug=tls-fehlerberichte

Ich bekomme den Fehler nur dann, wenn ich die Adresse mit www eingebe.

... link  

 
Dirk hat neulich schon etwas dazu geschrieben.

... link  

 
Ja, das habe ich durchgelesen. Ich kann den Blog auch aufrufen und habe der Leserin geschrieben, dass sie es ohne www auch kann. Für die eine ist das damit geklärt, aber nicht für andere, die es mit www versuchen und sich nicht bei mir melden.

... link  


... comment
 
Counter kaputt
Bei mir funktioniert der alte "Trendcounter.de" nicht mehr richtig, zeigt nur noch ganz gelegentlich Besucher an (habe jetzt einen neuen eingebaut, vermisse allerdings ein bisschen die alten Zahlen zum Vergleich).
Ach ja, und die Facebook-"Gefällt"-Unterzeile ist auch nicht mehr da...

... link  

 
Dein Browser wird vermutlich unsichere Elemente auf der Seite unterdrücken.

Damit das in allen Browsern angezeigt wird, brauchst Du einen Counter, der ebenfalls https unterstützt. Den Facebook-Like-Button sollte auf jeden Fall vorhanden sein. So etwas bietet Facebook sicherlich an.

... link  

 
Ich bin mir nicht sicher, ob nicht auch das Skript des Counters angepaßt werden muß auf die neue "https" URL? Ich hatte das Zählproblem ebenfalls, bis ich einen aktualisierten Code einbaute.

... link  

 
Ich habe das beim Blogcounter irgendwann umgestellt auf https, aber das alleine reißt es nicht raus, die Zahlen sind immer noch im Keller (obwohl der Traffic, den ich in den Referrern sehe, ganz normal geblieben ist). Da wird wohl irgendwas geblockt.

... link  

 
Ihr Blog ist sicherer als meins, sehe ich gerade. Da wird nur einzelnes geblockt. Ich muß mir die Elemente bei mir noch mal anschauen. Die Counter scheinen tatsächlich Probleme zu machen.

... link  

 
Der Blogcounter versucht eine Datei via http von track.blogcounter.de nachzuladen. Der aktuelle Firefix blockiert den Zugriff von unsicheren Elementen auf sicheren Seiten.

... link  

 
@mark wie, Blogcounter. Ich las neulich, die Kommentare seien wichtig, nicht die Klicks.

... link  

 
@novemberregen. Da fühle ich mich jetzt nicht exakt wiedergegeben. ;-) Aber tatsächlich stammt der Counter noch aus meiner Frühphase, in der mich die Klicks auch noch etwas mehr interessiert haben als heute. Wenn ich den Blogcounter deaktiviere, werde ich mir wohl keinen neuen mehr installieren, das lohnt nicht wirklich.

... link  


... comment
 
Leider Problem immernoch
Hallo,

ich habe das Problem der Warnmeldung immer noch und weiß jetzt nicht genau, wo ich etwas ändern muss.

Ich gebe die Adresse auch bereits so ein:

https://moonyworld.blogger.de/

Vielen Dank für die Hilfe im Voraus

... link  

 
Eventuell liegt es an diesen beiden Grafiken ohne https, die im Layout eingebunden sind:

http://png.findicons.com/files/icons/72/harmonia_pastelis/128/hp_mail_2.png

http://leanderwattig.de/wp-content/uploads/wasmitbuechern/wasmitbuechern_120.jpg

... link  

 
Du must schon mit angeben, was für eine Warnmeldung Du bekommst und welchen Browser Du in welcher Version Du nutzt, damit wir konkretere Angaben machen können.

Die von kid37 angegebenen Dateien wären aber z.B. Schuld an einer Warnmeldung, dass sowohl sichere, als auch unsichere Elemente auf der Website geladen wrden.

Generell sollte man keine Dateien fremder Websites einfach so einbinden. Zum einen ist das unfair, weil Ressourcen der Websites genutzt werden und zum anderen ist es darüberhinaus meist auch aus Gründen des Urheberrechts nicht erlaubt, einfach so fremde Inhalte zu benutzen.

... link  

 
Ich besuche das oben genannte Blog regelmäßig und hatte in den letzten Monaten nie eine Fehler- oder Warnmeldung.

... link  

 
Im Firefox 45 wird in der Adressleiste ein Icon eingeblendet und im IE 11 wird unten im Browserfenster eine Einblendung angezeigt. Beide weisen darauf hin, dass sichere und unsichere Inhalte geladen werden.

Die Ausgabe kann je nach Browser sehr unterschiedlich sein.

... link  

 
Die Icons waren es
Vielen Dank für die schnellen Antworten!
Ich habe nun die beiden empfohlenen Icons entfernt und nun gibt es sowohl bei Firefox, als auch bei Opera keine Probleme bzw. Hinweise mehr.

Also nochmals Danke

Grüße!

... link  


... comment
 
iframe
Kann es sein, dass deshalb jetzt keine iframe-Einbettungen mehr in meinem blog funktionieren?

Was sollte überhaupt die Umstellung auf https mit den ganzen Kollateralschäden? Hier geht es ja nicht um Online-Banking und es ist doch sowieso alles öffentlich, also braucht man auch keine verschlüsselte Übertragung (außer vielleicht bei Anmeldung und Login).

... link  

 
allowfullscreen Attribut wird entfernt - warum?
Youtube bietet zum Glück auch https-Links an. Das natürlich gilt nicht für alle Seiten, über Counter habe ich dazu hier schon viel gelesen.

Leider wird beim Speichern aber das Attribut "allowfullscreen" herausgefiltert, dadurch laufen die Clips nur in der iframe-Box. Man kann zwar auf Klick zu Youtube wechseln, möchte das aber vielleicht nicht.

Weiter bleibe ich bei meiner Meinung, dass diese Umstellung auf https hier unnötig war, nur viel Arbeit mit "alten" Blogeinträgen macht. Aber die Schäfchen der Blogschreiber werden ja nicht gefragt, bevor sowas Einschneidendes gemacht wird. Was mich wirklich wundert ist, dass ich anscheinend der einzige bin, der das kritisch sieht.

... link  

 
Du darfst gerne woanders hin gehen.

... link  

 
Whow, das nenn ich ja mal eine souveräne Reaktion auf Kritik.

... link  

 
Kritik? Du hast nur gefordert, ohne Dich weiter mit den Inhalten auseinanderzusetzen. Das Herausfiltern von einzelnen Tags und Attributen wurde am 3. September 2008 eingeführt: https://info.blogger.de/stories/1211688/

Anschließend wurden damals in den Wochen danach allenfalls Kleinigkeiten angepasst.

Und jetzt kommst Du daher und beschwerst Dich, weil irgendwas (was genau weiß man auch nicht, da Du keine konkreten Beispiele oder Links angeführt hast) nicht bei Dir funktioniert und stellst gleich noch in Frage, ob eine Umstellung auf https sinnvoll war, ohne dass Du auch nur die geringste Ahnung hast, was diese Umstellung bedeutet.

Aber hier als großer Zampano auftreten. Da habe ich wirklich überhaupt keine Lust drauf und entsprechend darfst Du Dich auch gerne wo anders mit den Betreibern rumschlagen.

... link  

 
Eine Weile bleibe ich noch, bis die ca. 250 Stories und 750 Bilder umgezogen (und repariert) sind, die in den letzten 5 Jahren entstanden waren.

... link  


... comment