Das Thema Sicherheit im Internet wird immer wichtiger, auch weil es sehr viele Möglichkeiten gibt an sensible Daten zu kommen, die sich der Otto-Normal-Verbraucher nicht mal vorstellen könnte. Deswegen wird auf PSD-Tutorials, im Shop und auf Tutkit auch darauf geachtet. Zusätzlich entwickeln sich Browser immer weiter, ältere Versionen bleiben jedoch auf dem Stand den sie einst waren und werden nicht mehr upgedatet.
Daher haben wir bei PSD-Tutorials nun eine offizielle Liste gemacht, welche Browser wir in Zukunft unterstützten werden und für welche wir nicht garantieren können, daß alles funktionieren wird bzw. wir dafür nicht mehr testen werden oder Bugs beheben werden - auch um dadurch schneller entwickeln zu können.
Die Faktoren die eine entscheidende Rolle spielen, sind: Verschlüsselungs-Support & Sicherheit, Betriebssystem-Support der Hersteller, Vorwärtskompatibilität mit neueren Technologien, Aufwand zur individuellen Unterstützung und regelmässigem Testen
Warum können nicht alle (alten) Browser unterstützt werden?
In den letzten Jahren wurden Browser immer fähiger, auch durch den Einzug von HTML5 und CSS3 kann man heute sogar Sachen wie z.B. interaktive 3D Modelle live rendern und Vielem anderen, und das so gut, daß sie alte Technologien wie Flash nicht nur überflüssig sondern auch schwerfälliger und wie Balast aussehen lassen, diese dadurch immer weniger unterstützt werden. Auch ist es immer schwieriger dadurch die Balance zwischen neuen Features und Rückwärtskompatibilität zu wahren.
Leider fügen Rückwärtskompatibilitätslayer einer Seite auch zu mehr Balast der geladen werden muss und irgendwann kann man neuere Features nicht mehr sinnvoll einsetzen, weil es für ältere Browser bei bestimmten Features es einfach keinen sinnvollen Ersatz gibt. Limitierungen mancher alter Browser - wie z.B. in der Anzahl an Styles und der Geschwindigkeit von Javascript (hier und hier)- machen es auch unmöglich mehr davon zu unterstützen.
Welche Verschlüsselungsverfahren (SSL/TLS) werden unterstützt?
Nach unserem Serverumzug gab es eine kurze Debatte im Forum, warum wir bestimmte SSL-Verfahren nicht unterstützen. Kurz nach dieser Debatte habe ich noch den Support für TLS v1.1 eingeschaltet. Somit unterstützen wir aktuell alle Browser und Geräte die über TLS1.1- und TLS1.2-Support verfügen.
Warum wird TLS v1.0 nicht unterstützt? Dazu muss man ein wenig erklären. Die SSL-Verfahren SSLv2 und SSLv3 wurden durch Sicherheitsexperten als unsicher und sehr gefährdet eingestuft, weil es doch aktive Versuche gab dessen Sicherheitsverfahren zu umgehen, leider mit Erfolg. Im Jahre 2014 kam dann das Aus für SSLv3 mit der sog. POODLE-Attacke. Da es hierfür ausreicht in einer Webseite simplen Javascript-Code einzuschleusen, war dies die Attacke vor der jeder Angst hatte. Man dachte, daß TLS 1.0 jedoch sicher sei. Leider stellte man paar Wochen danach fest, daß manche TLS v1.0 Implementationen in Software und die meisten großen Seiten von der POODLE-Attacke auch betroffen waren. Damit gilt TLS 1.0 als genau so unsicher wie SSLv3 und wird nicht unterstützt werden. Millionen Webseiten haben dieses schon abgeschaltet und immer mehr tun es.
Da solche Attacken oftmals auf Cookie-Daten zugreifen um Sessions zu stehlen (einfach gesagt: auf einen Account ohne Zugangsdaten zuzugreifen), habe ich vor kurzem auch die Länge der Cookie-Identifikation von PSD-Tutorials erhöht um dies zu erschweren. Auch sonst ist eine Brute Force Attacke für Session-Cookies dadurch extrem erschwert worden. Dazu wurden dann auch alle Sessions gelöscht beim Umzug, womit alte Sessions ungültig wurden und der Browser gezwungen wurde eine neue (sicherere) Cookie-Identifikation anzufordern.
Wir werden auch weiterhin darauf achten, daß eure Daten und auch die hinterlegten Zahlungsdaten im Shop sicher sind und wo notwendig, die Sicherheit verbessern.
Welche Browser werden konkret unterstützt und welche nicht?
Wir haben darauf geachtet, daß diese Änderungen nur eine sehr minimale Anzahl der Nutzer beeinflusst. Einzelne Browser sind in der Regel unter 0.01%, insgesamt sind weniger als 1% der Nutzer von nicht-unterstützten Browsern betroffen. In vielen Fällen gibt es eine Upgrade-Möglichkeit oder einen alternativen Browser für das gleiche Betriebssystem. Auch erläutere ich kurz, wie man bestimmte Browser auf TLS 1.1 oder 1.2 upgraden kann.
Daher haben wir bei PSD-Tutorials nun eine offizielle Liste gemacht, welche Browser wir in Zukunft unterstützten werden und für welche wir nicht garantieren können, daß alles funktionieren wird bzw. wir dafür nicht mehr testen werden oder Bugs beheben werden - auch um dadurch schneller entwickeln zu können.
Die Faktoren die eine entscheidende Rolle spielen, sind: Verschlüsselungs-Support & Sicherheit, Betriebssystem-Support der Hersteller, Vorwärtskompatibilität mit neueren Technologien, Aufwand zur individuellen Unterstützung und regelmässigem Testen
Warum können nicht alle (alten) Browser unterstützt werden?
In den letzten Jahren wurden Browser immer fähiger, auch durch den Einzug von HTML5 und CSS3 kann man heute sogar Sachen wie z.B. interaktive 3D Modelle live rendern und Vielem anderen, und das so gut, daß sie alte Technologien wie Flash nicht nur überflüssig sondern auch schwerfälliger und wie Balast aussehen lassen, diese dadurch immer weniger unterstützt werden. Auch ist es immer schwieriger dadurch die Balance zwischen neuen Features und Rückwärtskompatibilität zu wahren.
Leider fügen Rückwärtskompatibilitätslayer einer Seite auch zu mehr Balast der geladen werden muss und irgendwann kann man neuere Features nicht mehr sinnvoll einsetzen, weil es für ältere Browser bei bestimmten Features es einfach keinen sinnvollen Ersatz gibt. Limitierungen mancher alter Browser - wie z.B. in der Anzahl an Styles und der Geschwindigkeit von Javascript (hier und hier)- machen es auch unmöglich mehr davon zu unterstützen.
Welche Verschlüsselungsverfahren (SSL/TLS) werden unterstützt?
Nach unserem Serverumzug gab es eine kurze Debatte im Forum, warum wir bestimmte SSL-Verfahren nicht unterstützen. Kurz nach dieser Debatte habe ich noch den Support für TLS v1.1 eingeschaltet. Somit unterstützen wir aktuell alle Browser und Geräte die über TLS1.1- und TLS1.2-Support verfügen.
Warum wird TLS v1.0 nicht unterstützt? Dazu muss man ein wenig erklären. Die SSL-Verfahren SSLv2 und SSLv3 wurden durch Sicherheitsexperten als unsicher und sehr gefährdet eingestuft, weil es doch aktive Versuche gab dessen Sicherheitsverfahren zu umgehen, leider mit Erfolg. Im Jahre 2014 kam dann das Aus für SSLv3 mit der sog. POODLE-Attacke. Da es hierfür ausreicht in einer Webseite simplen Javascript-Code einzuschleusen, war dies die Attacke vor der jeder Angst hatte. Man dachte, daß TLS 1.0 jedoch sicher sei. Leider stellte man paar Wochen danach fest, daß manche TLS v1.0 Implementationen in Software und die meisten großen Seiten von der POODLE-Attacke auch betroffen waren. Damit gilt TLS 1.0 als genau so unsicher wie SSLv3 und wird nicht unterstützt werden. Millionen Webseiten haben dieses schon abgeschaltet und immer mehr tun es.
Da solche Attacken oftmals auf Cookie-Daten zugreifen um Sessions zu stehlen (einfach gesagt: auf einen Account ohne Zugangsdaten zuzugreifen), habe ich vor kurzem auch die Länge der Cookie-Identifikation von PSD-Tutorials erhöht um dies zu erschweren. Auch sonst ist eine Brute Force Attacke für Session-Cookies dadurch extrem erschwert worden. Dazu wurden dann auch alle Sessions gelöscht beim Umzug, womit alte Sessions ungültig wurden und der Browser gezwungen wurde eine neue (sicherere) Cookie-Identifikation anzufordern.
Wir werden auch weiterhin darauf achten, daß eure Daten und auch die hinterlegten Zahlungsdaten im Shop sicher sind und wo notwendig, die Sicherheit verbessern.
Welche Browser werden konkret unterstützt und welche nicht?
Wir haben darauf geachtet, daß diese Änderungen nur eine sehr minimale Anzahl der Nutzer beeinflusst. Einzelne Browser sind in der Regel unter 0.01%, insgesamt sind weniger als 1% der Nutzer von nicht-unterstützten Browsern betroffen. In vielen Fällen gibt es eine Upgrade-Möglichkeit oder einen alternativen Browser für das gleiche Betriebssystem. Auch erläutere ich kurz, wie man bestimmte Browser auf TLS 1.1 oder 1.2 upgraden kann.
Zuletzt bearbeitet:
