Firefox 76 bekommt HTTPS-only-Modus

Du benötigst Hilfe bezüglich Firefox? Bitte stelle deine Frage im öffentlichen Bereich des Forums und nicht per Konversation an wahllos ausgesuchte Benutzer. Wähle dazu einen passenden Forenbereich, zum Beispiel „Probleme auf Websites“ oder „Erweiterungen und Themes“ und klicke dann rechts oben auf die Schaltfläche „Neues Thema“.
  • Gestern habe ich mir den Artikel noch einmal zu Gemüte geführt und es hatte einen positiven Effekt bei mir ausgelöst, nämlich dass ich eine private Webseite von mir jetzt mit HTTPS-only ausgestattet habe. Ich hatte früher schon einmal probiert ob es grundsätzlich möglich wäre, somit gab es schon das Zertifikat, aber die Webseite sah, wenn ich https (statt http) vorne ran stellte, zerrupft aus.

    Beispiel (nicht meine Seite), wäre: ruft man im aktuellen Browser (74.0) die Webseite mit HTTP http://www.fishlore.com/imagehost/gallery.php auf sieht sie gut aus. Ruft man die gleiche Seite mit HTTPS auf https://www.fishlore.com/imagehost/gallery.php ist alles zerrupft.

    Das gleiche im aktuellen Nightly 76.0a1 (2020-03-27) (64-Bit) mit dom.security.https_only_mode auf true wird die Seite automatisch von HTTP auf HTTPS umgeleitet und sie sieht trotzdem gut aus, also nix ist zerrupft.

    Das liegt wohl daran, dass Firefox erfolgreich auch die eingebundene Sub-Ressourcen über HTTPS lädt. :thumbup:


    Somit habe ich an meiner Seite einiges an Verlinkungen und Sub-Ressourcen geändert und es gibt nun dadurch eine Seite mehr mit HTTPS im Internet :D Dafür noch mal herzlichen Dank für die unermüdlich guten und ausführlichen Artikel von dir Sören:!:


    Heute verglich ich mal mit dem Tor Browser, weil dort automatisch die Erweiterung HTTPS Everywhere vorhanden ist, wie es dort aus sieht:

    Die gleiche HTTP Seite http://www.fishlore.com/imagehost/gallery.php wird nicht auf HTTPS umgeleitet mit den Standardeinstellungen in HTTPS-Everywhere. Standard ist dort: "Alle geeigneten Seiten verschlüsseln ist AUS". Stellt man diese auf AN, wird die Seite mit HTTPS neu geladen und sieht auch wieder zerrupft aus. (also genau gleich als würde man es per Hand machen wie oben beschrieben)

    Ein deutliches PLUS für dom.security.https_only_mode

    Die HTTP Seite http://wdrmedien-a.akamaihd.ne…9249/2119249_26302162.mp4 wird sowohl mit HTTPS Everywhere (egal ob "Alle geeigneten Seiten verschlüsseln" AN oder AUS ist) als auch mit dom.security.https_only_mode auf true automatisch auf HTTPS umgeleitet/aufgerufen und funktioniert mit beiden einwandfrei. (dort gibt es halt auch keine Sub-Ressourcen)


    Jetzt aber auch zu den negativen Auswirkungen mit dom.security.https_only_mode auf true:

    Kontent von HTTP Seiten können gar nicht mehr betrachtet werden wie zb. http://noip.magix.net führt bei HTTPS zur Fehlermeldung Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN und wenn man da die Ausnahme bestätigt wird man auf die HTTPS Hauptseite von magix.net geleitet und bekommt somit den eigentlichen Kontent (der nur aus dem Wort "Test" besteht) niemals zu sehen.

    Weiteres Beispiel: http://mixed-favicon.badssl.com/favicon.ico

    Zitat

    Die aufgerufene Website leitet die Anfrage so um, dass sie nie beendet werden kann.

    Dieses Problem kann manchmal auftreten, wenn Cookies deaktiviert oder abgelehnt werden.

    verwirrende Fehlermeldung, denn mit Cookies hat das wohl eher wenig zu tun.

    Mit HTTPS-Everywhere mit "Alle geeigneten Seiten verschlüsseln ist AN" bekommt man eine Meldung, in der man für diese Seite eine Ausnahme definieren kann.


    Auf https://badssl.com/ findet man bestimmt noch vieles mehr an Seiten, wo man die Funktionalität vergleichen kann.


    Mein Fazit: der HTTPS-only Modus könnte sich zu einer tollen Sache entwickeln, wenn er mehr Einstellungen (für Ausnahmen) bekäme.

    Aber er steckt wohl noch in den Kinderschuhen und per Default wird der Wert auf true wohl nicht so schnell umgestellt werden (hoffe ich)

    Hilfe auch im deutschsprachigen Firefox-Chat möglich. Ab 1.3.20 ist dieser Firefox Chat gültig
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • Dafür noch mal herzlichen Dank für die unermüdlich guten und ausführlichen Artikel von dir Sören:!:


    Gerne und Danke! :)



    Das Problem kann mit Cookies zusammenhängen. Das ist wohl eine häufige Ursache für diese Fehlermeldung. Firefox kann aber nicht tatsächlich wissen, was der Grund für eine Weiterleitung ist.


    Jedoch ist es geplant, die Fehlermeldungen in diesem Modus zu verbessern. Wie genau das aussieht, kann ich noch nicht sagen. Die Lösung könnte aber darin bestehen, dass bei aktiviertem HTTPS-only-Modus das als mögliche Ursache mit erwähnt wird.


    Die HTTPS-Version von http://mixed-favicon.badssl.com/favicon.ico leitet auf die unverschlüsselte HTTP-Seite um. Denn das ist eine Testseite, die keinen Sinn hat, wenn sie nicht so aufgerufen wird, wie sie gedacht ist. Und wenn Firefox von http:// auf https:// umleitet, kommt es zu einer Endlosschleife. Daher die Fehlermeldung, dass die Anfrage nie beendet werden kann. Weil es immer hin und her geht.


    Die Seiten von badssl.com sind zum Testen nicht wirklich geeignet, weil sie genau deswegen Weiterleitungen eingerichtet haben, da die Tests sonst nicht wie gedacht funktionieren.


    Mein Fazit: der HTTPS-only Modus könnte sich zu einer tollen Sache entwickeln, wenn er mehr Einstellungen (für Ausnahmen) bekäme.

    Aber er steckt wohl noch in den Kinderschuhen und per Default wird der Wert auf true wohl nicht so schnell umgestellt werden (hoffe ich)


    Keine Kinderschuhe, da das Feature genau so funktioniert, wie es gedacht ist. Es heißt ja "HTTPS-only", nicht "HTTPS-teilweise". ;) Eine Ausnahmefunktion ist zumindest derzeit seitens Mozilla nicht geplant.


    Eine standardmäßige Aktivierung wird auf absehbare Zeit auch nicht erfolgen. Vielleicht in ein paar Jahren. Vielleicht auch nie. Vielleicht auch erstmal nur im privaten Modus. Der ganze Modus wird derzeit als experimentell betrachtet. Das hängt ja auch ein wenig davon ab, wie sich die Zahlen entwickeln, was langfristig als Standard möglich ist und was nicht.