Mixed Content Verhindern

  • Das Forum läuft ja nun auch über HTTPS, was gut und wichtig ist, allerdings habt ihr hier massive "Mixed Content"-Probleme, hauptsächlich durch eingebettete Bilder in Beiträgen und Signaturen.


    Das lässt mit dem folgenden Plugin größtenteils beheben:


    https://pluginstore.woltlab.com/file/1919-imageproxy/


    Hier werden alle externen Bildern über einen Proxy gejagt, der die Sachen dann per HTTPS ausliefert. Ich habe das Ding auch bereits testen können, funktioniert sehr gut. Nur bei internen Links auf Bilder greift es (leider) nicht, was beispielsweise bei den fünftausend bebilderten Newsthreads von mir dann immer noch ein Problem ist. Sorry. xD

  • Interessante Methode damit umzugehen. Unsere eigenen Bilder sollten alle über HTTPS verlinkt sein, was also erst einmal kein Problem ist. Für userverlinkte Bilder wäre das dagegen durchaus sinnvoll.


    Ich müsste mir genau den Code ansehen, wie das Plugin arbeitet, aber so wie ich das momentan verstehe, sehe ich da noch ein Paar Dinge auf die wir achten sollten:

    1. Wie sieht das Rechtlich aus? Jedes von einem User verlinktes Bild würde von dem Plugin heruntergeladen, auf unserem Server gespeichert und von dort ausgeliefert werden. Wie sieht da die Copyright-Situation aus?
    2. Wenn der Server eine erhöhte Menge Bilder ausliefern muss, könnte das zu Bandbreitenbeschränkungen führen. Diese Situation halte ich zwar bei unserer Nutzeranzahl für unwahrscheinlich, aber dessen sollte man sich bewusst sein.
    3. Fremde Seiten könnten unseren Server als Bot markieren und die Downloads sperren. Die User hätten dann keine Möglichkeit mehr von dieser Seite Bilder einzubetten. Das könnte zum Beispiel passieren, wenn ein User ca. 20 Bilder vom gleichen Hoster verlinkt.

    Auf der Anderen Seite wissen viele User nicht, dass ihre Browser auf HTTPS-geschützten Seiten standardmäßig keine ungeschützten Inhalte laden und wissen somit auch nicht, dass sie selbst schuld sind, wenn ZE ihnen manche Bilder nicht anzeigt. In dem Plugin steht auch, dass das WCF 3.0 diese Funktion schon mitbringt, also kann das rechtlich nicht so schlimm sein. Ich bin da leider nicht so in der Materie drin...

  • Das ist im Endeffekt nichts anderes als ein Cache und hier wurde schon mehrfach rechtlich entschieden, dass dies kein Copyright-Infringement darstellt, siehe zum Beispiel Google. Natürlich will ich dafür nicht meine Hand ins Feuer legen... ^^ In der Vergangenheit hatten wir eher Probleme, wenn bestimmte externe Bilder eingebunden wurden und wir dann bitte die Links löschen sollten. Das sollte hier sogar vermieden werden, weil die Zugriffe nicht mehr da sind.


    Und dadurch, dass die Bilder gecachet werden, entsteht da auch kein Bot-Verdacht, weil im Idealfall der Proxy nur einmal auf ein Bild zugreift und dann für die externen Server nur wie ein einzelner User ins Gewicht fällt. Tatsächlich nimmt man dadurch ja den Hostern der Originalbilder viele Zugriffe und damit Last ab. Wie der eigene Server damit umgeht, wird man ja merken, aber das sollte imho zu vernachlässigen sein.


    Unsere eigenen Bilder sollten alle über HTTPS verlinkt sein, was also erst einmal kein Problem ist.

    Nun, das trifft halt nicht zu, wenn Bilder vom ZE-Server via [img]http://www.zeldaeurope.de/...[/img] in Beiträge eingebunden wurden. Das habe ich beispielsweise bei den News oft gemacht. Aber das ist nichts, was man über ein einfaches SQL-Statement nicht auch beheben könnte.



    Die Sache ist natürlich nur ein Vorschlag und hat jetzt keine Eile, allerdings plant Google demnächst nicht-sichere Seiten demnächst in Chrome zu blocken. Ob das auch bei Mixed Content passiert, weiß ich nicht, aber wäre denkbar.

  • @TourianTourist @Evelyn Jade
    Ich habe jetzt mal nachgeforscht und anscheinend wird die Reproduktion von Urheberrechtlich geschütztem Material ohne die Zustimmmung des Rechteinhabers unter folgenden Regeln gestattet:



    Ich denke jedes dieser Kriterien trifft zu:

    1. Die Daten werden täglich um 04:00 Uhr gelöscht.
    2. transient bzw. flüchtig, vorübergehend sind die zwischengespeicherten Daten dadurch, dass sie täglich um 4 Uhr in der Nacht gelöscht werden.
    3. Unser Ziel eine vollständig Verschlüsselte Verbindung anzubieten verlangt von uns, dieses technologische Werkzeug.
    4. Das ist haargenau was wir machen. Vgl. 2.
    5. Nein, wir verdienen damit ganz sicher kein Geld. Würden wir für unsere Bandbreite bezahlen würde uns das sogar leicht mehr kosten.

    Ich denke man kann das Plugin also sicher installieren :)

  • @For the Record Wunderbar, danke für deinen Einsatz und TT für den Hinweis. Dann liegt es an dem Wal der Liebe, das Plugin zu installieren. :uglydance: Sag mir bitte Bescheid, wenn du Zeit bzw. installiert hast. :red_heart:


    Nachtrag: (Wobei wait... ah die Google API Sache, fu-). Kommt.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!