"unsichere Seite" bei neuen Browsern trotz SSL-Zertifikat

Kein System ist vollkommen, findet Ihr Fehler im System, könnt ihr diese hier gerne Posten. Wir werden auch kurzfistige Lösungen und Fixes hier schreiben.

Moderatoren: Magnus, mmaass, ablass

"unsichere Seite" bei neuen Browsern trotz SSL-Zertifikat

Beitragvon Magnus » Do 2. Feb 2017, 22:17

Hallo,

gestern bekam ich über die WebmasterTools eine Nachricht von Google, mit folgender Info
Ab Januar 2017 kennzeichnet Chrome (Version 56 und höher) Seiten, die Passwörter oder Kreditkarteninformationen erfassen, als "nicht sicher", es sei denn, die Seiten werden über HTTPS bereitgestellt.


Ich habe dann rausgefunden, dass in Shops (ab version 1.7 bis aktuell 2.4), die nicht vollständig über SSL laufen (müssen sie ja auch nicht) beim Kundenlogin in der Adressleiste von Chrome "nicht sicher" steht.
Firefox zeigt wegen dem Loginormular (das per css nicht angezeigt wird) schon auf der Startseite das rot durchgestrichene Schloss an.

Übrigens ist es hier im Forum ähnlich, wenn ich auf anmelden klicke, wird in beiden Browsern "nichtsicher", bzw. das rot durchgestrichene Schloss gezeigt.


Ursache ist, dass die Startseite standardmäßig nicht über SSL läuft und ein Loginformular für die Kundenanmeldung enthält.
Dieses Loginform ist zwar über display: none; unsichtbar gemacht, die Browser entdecken den Code aber im SeitenQuellcode und bringen dann die o.g. Meldung.

Hier im Forum war ja auch schon mal Thema, dass die Links zu den Kundenanmeldeseiten nicht auf https stehen. Das ist technisch zwar korrekt, sieht für kritische Kunden aber unsicher aus.

Das mit der Startseite gilt dann wieder für alle (nicht verschlüsselt übertragenen) Seiten des Shops, da das Loginform in der index.tpl drin steckt und die halt Basis für alle Seiten ist (ohne Checkout und CMS, die haben jeweils eigene index.tpl).

Meine Abhilfe sieht jetzt so aus:

Ich will den Shop nur für den Checkout verschlüsseln. Und zwar ab den Kundenseiten und dem Warenkorb.

Dazu habe ich folgende Anpassungen vorgenommen:

in der index.tpl, checkout_index.tpl und cms_index.tpl:

- die Links zu den Kundenseiten von URLPFAD auf URLPFAD_SSL gestellt, sind mehrere, weil da die Links zu Meine Downloads, Meine Bestellungen usw. auch drin sind (nicht nötig in checkout_index.tpl und cms_index.tpl)
- Link zum Logo von URLPFAD auf URLPFAD_NOSSL
- Link zu News von URLPFAD auf URLPFAD_NOSSL (Oben und im Footer)

in themes/bestellen/index.php :

bei "// Nicht angemeldet" von URLPFAD auf URLPFAD_SSL gestellt, damit die Weiterleitung aus dem Warenkorb auf eine verschlüsselt übertragene Kundenseite führt

in themes/warenkorb/index.php :

von URLPFAD_NOSSL auf URLPFAD_SSL umgestellt, das URLPFAD_NOSSL macht hier überhaupt keinen Sinn, hätte vorher schon URLPFAD (besser URLPFAD_SSL) heißen müssen.


Damit werden die Seiten nun immer über SSL angezeigt, vorausgesetzt natürlich es ist ein Zertifikat installiert und in der config.inc.php auch entsprechend angestellt.

das jetzt nur mal auf die Schnelle, vielleicht kann das ja jemand beim eigenen Shop überprüfen. Sollten genauere Codeangaben notwendig sein, einfach melden ;-) dann bau ich das aus.

viele Grüße

Magnus
Magnus
 
Beiträge: 1593
Registriert: Mi 21. Feb 2007, 21:10

Re: "unsichere Seite" bei neuen Browsern trotz SSL-Zertifika

Beitragvon mmaass » Di 28. Feb 2017, 09:55

Dein Aufwand in allen Ehren aber da Google in Zukunft generell auf SSL zielt, sollte man den Shop komplett auf SSL stellen.
Alles andere ist eine nette Lösung aber leider nur kurz bis maximal mittelfristig.
www.randshop.com
Entwicklung - Anpassung - Support
Benutzeravatar
mmaass
Admin
 
Beiträge: 5116
Registriert: Di 24. Aug 2004, 17:44
Wohnort: Berlin

Re: "unsichere Seite" bei neuen Browsern trotz SSL-Zertifika

Beitragvon Magnus » Mi 1. Mär 2017, 18:37

Hallo Micha,

hast ja Recht. Die "Fehlerchen" habe ich entdeckt, als ich, erschrocken über die neuen "unsicher" Meldungen der Browser, das gerade gezogen habe. Ich fands ganz interessant und durchaus wert es zu korrigieren.

Habe dann tatsächlich den gesamten Shop auf ssl umgestellt. Per .htaccess habe ich dann auch sichergestellt, dass jede erstmalig aufgerufene Seite auch verschlüsselt aufgerufen wird. Im Google-Index sind ja erstmal noch die http-Adressen drin.
Hat auch den Vorteil, dass jetzt auch der admin über ssl läuft. Da hatte die Anmeldung bisher ja die Eigenschaft Benutzernamen und Passwort im Klartext zu übertragen, ging aber über Jahre auch ohne Probleme.

Allerdings wird jetzt auf der admin-Startseite weder die Übersicht des randshop-Blog, noch die Links zu den Modulen auf eurem Shop angezeigt. Liegt daran, dass der Browser unverschlüsselt übertragene Inhalte in iframes nicht anzeigen will.
Vielleicht für dich ganz gut zu wissen.

Ansonsten ist das komplett über ssl-Laufenlassen ja OK.

viele Grüße

Magnus
Magnus
 
Beiträge: 1593
Registriert: Mi 21. Feb 2007, 21:10

Re: "unsichere Seite" bei neuen Browsern trotz SSL-Zertifika

Beitragvon mmaass » Mi 8. Mär 2017, 10:53

Ja, dass Problem ist, weil die Abrufe noch in http sind.
Müssen wir uns noch was einfallen lassen, damit egal, wie man aufruft, die Inhalte in den Boxen noch kommen.
www.randshop.com
Entwicklung - Anpassung - Support
Benutzeravatar
mmaass
Admin
 
Beiträge: 5116
Registriert: Di 24. Aug 2004, 17:44
Wohnort: Berlin


Zurück zu Bugmeldungen

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast