Bitte schaltet die Umleitung von HTTP nach HTTPS in eurem Webserver standardmäßig ein

  • Wenn man eure Webseite www.ledstyles.de ohne https davor in der URL Leiste direkt eingibt, dann wird die Webseite im Klartext aufgerufen. Also http://www.ledstyles.de anstatt das sicherere und verschlüsselte https://www.ledstyles.de.

    Wenn nun die Nutzer das nicht selber bemerken und bei der Anmeldung ins Forum ihr Passwort eingeben, dann wird dieses Passwort oder falls korrekt konfiguriert, ein Hash davon, im Klartext über das Internet an euren Webserver geleitet.

    Das bietet Routerbetreibern und sonstige Rechner zwischen dem Rechner des Nutzers und eurem Server die Möglichkeit diese Passwörter bzw. deren Hash im Klartext einfach abzugreifen. Außerdem sehen Außenstehende so auch, was bspw. für Daten über die private Nachricht Funktion des Forums übertragen werden, die können somit im Klartext jede Nachricht mitlesen und private Nachrichten sollen anders als die Forenbeiträge ja nicht im Klartext für jeden lesbar oder öffentlich sein.


    Das Problem wäre durch eine Einstellung in eurem Webserver, dass alle Anfragen über HTTP nach HTTPS umgeleitet werden, ganz einfach aus dem Weg zu schaffen. Mit HTTPS würde die Übertragung grundsätzlich verschlüsselt stattfinden. Es wäre nett, wenn ihr euren Webserver entsprechend umkonfigurieren würdet.