Nach Update 5.2.7 -> Fotos über HTTP-Adressen einbinden erzeugt Fehler

  • Hallo zusammen,


    direkt nach dem Release der 5.2.7 am Wochenende hatte ich wieder das Update durchgeführt.

    Nun meldet sich ein User, dass er exakt seit dem keine Fotos mehr von Hostern und seinem eigenen Webspace einbinden könne, die NICHT mit dem SSL/TLS Zertifikat (also auf gut Deutsch dem HTTPS Protokoll) arbeiten, einbinden könne.

    Dieses würde neuerdings mit einer Fehlermeldung abgelehnt, bis zum Update sei das noch gegangen.


    Das Forum hatte ich schon vor langer Zeit (und unter der vorigen Software bereits) auf HTTPS umgestellt.

    Mir persönlich ist es ohnehin völlig unverständlich, dass manche deutsche Bilder-Hoster auch heute noch ohne TLS arbeiten und ich halte das für unverantwortlich. Aber das ist ein anderes Thema.


    Da ich persönlich keine Anhänge/Fotos von unverschlüsselten Seiten nutze/einbinde, kann ich diese Meldung gerade nicht selber prüfen.

    Umgekehrt hatte ich aber auch im Änderungs-Protokoll nichts gelesen, was auf eine derartige Änderung in 5.2.7 hindeuten würde.

    Ist dazu irgend etwas bekannt?

    Gruß

    Jörg

    (Jaydee)

  • Für mein Verständnis wurde hier nicht die Frage gestellt, ob man Bilder aus potentiell unsicheren Quellen zulassen soll, sondern ob es mit dem jüngsten Update eine diesbezüglich relevante Änderung gegeben hat.





    Gruß norse

  • Genau das hatte ich dem User auch sinngemäß geantwortet.

    Dennoch wäre es interessant zu klären, wo da der Zusammenhang mit der Software (nach dem Update) besteht. Denn offenbar hat sich etwas in dem Punkt geändert.


    Sonst war es ja so, dass zwar einige Browser noch "unsichere Inhalte" anmeckern, beispielsweise wenn externe Seiten verlinkt bzw. von dort Inhalte geholt werden, sie aber nicht per se verweigern.


    Dass ein Einbinden jetzt mit einer Fehlermeldung geblockt wird, war mir nach der Meldung völlig neu.

    Mein Unverständnis über derartige Seiten im Jahre 2020 habe ich aber auch dort ausgedrückt.

    Spätestens bei Übertragung persönlicher und sensibler Daten wie Passwörter, PIN etc. sollte es eigentlich heute selbstverständlich sein, diese über das HTTPS Protokoll zu übermitteln.

    Gruß

    Jörg

    (Jaydee)

  • Hallo,


    es gibt keine Änderungen von unserer Seite, denn die Browser selbst blockieren Inhalte aus unsicheren Quellen, wenn die Seite selbst über https geladen wird. Das können wir als Software-Hersteller nicht einmal beeinflussen, der Browser selbst entscheidet, was dieser damit macht.


    PS: Das Einbinden von Bilder aus wahllosen Drittseiten ist im Hinblick auf die DSGVO auch rechtlich sehr problematisch, sollte dies nicht ausreichend über die Datenschutzerklärung abgedeckt sein: Umsetzung der DSGVO.

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Danke, genau so war es mir auch bisher bekannt. Ich sehe ebenfalls keinen Zusammenhang, wie eine Software das abseits des Browsers beeinflussen sollte.

    Die Antwort bestätigt mich darin, mich hatte nur genau dieser Zeitpunkt am Wochenende stutzig gemacht.


    PS: Das Einbinden von Bilder aus wahllosen Drittseiten ist im Hinblick auf die DSGVO auch rechtlich sehr problematisch, sollte dies nicht ausreichend über die Datenschutzerklärung abgedeckt sein:


    Korrekt, da mache ich mir auch keine Sorgen. Der dortige Betreiber ist selbst Jurist (und ich zumindest juristisch "vorbelastet") und die vorige Datenschutzerklärung hatte ich sehr detailliert zusammen mit ihm verfasst.

    Nach der Umstellung auf WoltLab hatten wir jetzt aber erst mal die der Software übernommen.


    Danke für die Antwort, damit ist das Thema erledigt.

    Gruß

    Jörg

    (Jaydee)