this post was submitted on 23 Jun 2023
18 points (90.9% liked)

de_EDV

3805 readers
1 users here now

Ableger von r/de_EDV auf Lemmy.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Weitere IT Communitys:

[email protected]

[email protected]

[email protected]

[email protected]

founded 1 year ago
MODERATORS
 

Das Thema wurde sicher schon mal in ähnlicher weise ausgekotzt. Firefox macht aus jedem expliziten http:// ein https://. Ganz gleich, ob das nun eine lokale Adresse ist oder eben das gefährliche WWW. Die Idee dahinter ist mir natürlich klar. Im Internet will ich https:// und auch weniger technisch versierte Personen sollten in den Genuss von Verschlüsselung kommen. Aber im lokalen Netz?

Ich habe einen kleinen Pi laufen, auf dem ich eine kleine, feine Webseite für mich betreibe (http://[hostname]/). Einfach nur ein privates lokales Projekt, an dem ich sowohl für Desktop, als auch für die mobile Ansicht vor mich hin schreibe. Und von Firefox wird mir in meinem eigenen "sicheren" Netzwerk obtruiert, dass ich diese Spielerei verschlüssle. Es könnte ja meine Katze bei HTTP mitlesen. Oder noch schlimmer irgendwelche Gäste, die erst mal ihr Notebook mit Matrix- und Hackerman-Aufkleber auf den Küchentisch stellen und Wireshark anschmeißen, ehe sie sich mit mir unterhalten wollen?

Klar, mit unnötig komplizierten Kniffs (about:config) kann man die Nutzung von http:// erlauben, aber Firefox for Android scheint es einfach so zu machen, wie es gerade am liebsten passt. Parallelen zur Mondstellung? Abhängigkeiten zum Wetter? Man weiß es nicht. Eine Konfiguration neben "HTTPS Only" (deaktiviert!) gibt es nicht. Sollte es nicht möglich sein, einen Hostname auf Ursprung (LAN/WAN) zu prüfen?

Ich komme dann also wieder, wenn Firefox an meinem Self-Signed Certificate scheitert...

tl;dr Firefox zwingt zu HTTPS weshalb ich auf privaten Intranet-Webseiten zu self-signed TLS/SSL wechseln muss, worauf ich keine Lust habe

Edit Ihr habt ja Recht, meine Spielereien sollten sich in die 'echte' Welt integrieren können. Hacks, damit sie eine Sonderrolle spielen, sind also auch Quatsch.

"Kommt maximal auf die Todo." hat mich kalt erwischt, dort steht SSL schon eine Weile ;-) Ich habe nun ein bisschen herum schrauben müssen, komische Fehler erhalten und auch irgendwelche kruden Dinge mit Android und exportierten Zertifikaten gemacht. Aber das Thema ist nun durch, so unnötig ich es immer noch auch finden mag

you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 8 points 1 year ago (2 children)

Sollte es nicht möglich sein, einen Hostname auf Ursprung (LAN/WAN) zu prüfen?

Das ist für Firefox denke ich out-of-scope und ist halt eigentlich etwas, das nur den router interessieren sollte.

Kann dein Problem auch nicht wirklich reproduzieren, meistens reicht es explizit http://* anzugeben oder eben den http Port hinter die Adresse zu hängen. Bei self-signed Zertifikaten muss ich das nur einmal akzeptieren und jeder weitere Besuch danach läuft normal ab. Habe glaube ich auch nie iwas darüber in about:config ändern müssen.

[–] [email protected] 2 points 1 year ago (1 children)

Finde ich schwierig, über "out-of-scope" kann man streiten. Wenn sie nicht validieren (wollen), ob sie überhaupt zu HTTPS wechseln können/sollten, warum machen sie es dann? Das wirkt ein wenig so, wie den Regenschirm zu öffnen, ohne nach oben zu sehen, ob es überhaupt regnet.

Schwierig wird es für DAUs, die sich für teuer Geld ein Gerät für das Intranet kaufen und das gar kein HTTPS anbietet. Darüber kann man noch viel mehr streiten, aber diese Szenarien gibt es eben auch

[–] [email protected] 2 points 1 year ago

Finde ich schwierig, über “out-of-scope” kann man streiten.

Firefox wird ja nicht nur in Standard Heimnetzen verwendet. Von einem „sicheren“ Browser würde ich auf jeden Fall nicht erwarten, sich auf einen redirect im target host zu verlassen.

Schwierig wird es für DAUs, die sich für teuer Geld ein Gerät für das Intranet kaufen und das gar kein HTTPS anbietet. Darüber kann man noch viel mehr streiten, aber diese Szenarien gibt es eben auch

Ich denke, es geht genau darum, DAUs zu schützen. Wenn das Gerät nicht mindestens self-signed Zertifkate ausstellen kann, ist das Gerät halt heutzutage unbrauchbar. Sobald da mehrere Geräte im Netzwerk hängen (gerade iwelche Smart Appliances oder sowas) wird eine Nutzung ohne https fahrlässig. Da finde ich den "opt-out" von https redirect, für Leute die wissen was sie tun, doch um einiges sinnvoller.