Ich wünsche mir eine TLS-Verschlüsselung. Diese ist eigentlich auch schon seit 2015 Pflicht wenn personenbezogene Daten verarbeitet werden. Dazu zählen auch private Nachrichten, Login und E-Mail-Adresse. Außerdem zeigen künftige Chrome-Browser unverschlüsselte Seiten deutlich als "Nicht sicher" an.
Firefox zeigt die Seite schon seit geraumer Zeit mit dem Hinweis "Die Verbindung ist nicht sicher" an und ich hatte das Problem bereits einmal hier angesprochen.
Mir ist auch aufgefallen, dass als ich manuell freigeschaltet wurde, das Passwort nochmals zugesendet wurde, was ich eingegeben hatte, das ist mittlerweile ein No-Go, da das Passwort anscheinend auch unverschlüsselt gespeichert wurde.
Zitat von Inaba-san im Beitrag #3Mir ist auch aufgefallen, dass als ich manuell freigeschaltet wurde, das Passwort nochmals zugesendet wurde, was ich eingegeben hatte, das ist mittlerweile ein No-Go, da das Passwort anscheinend auch unverschlüsselt gespeichert wurde.
Das war mir so gar nicht bewusst. Die offizielle Erklärung des Forenanbieters Xobor dazu war, dass dies eine automatisch erstellte E-Mail sei, bei der die zugeschickten Zugangsdaten direkt aus dem Anmeldeformular entnommen würden, ohne zwischengespeichert zu werden. Da diese Mail aber offensichtlich erst nach Freischaltung generiert oder wenigstens abgeschickt wird (ich habe es eben selbst getestet), habe ich die Passwortangabe nun aus der Bestätigungsmail-Vorlage herausgenommen.
SSL/TLS ist schon eine kompliziertere Geschichte. Eine Freischaltung wäre schon möglich, aber mit Kosten verbunden. Eine allgemeine Lösung für alle Foren wäre vermittels Let's Encrypt oder dgl. vermutlich inzwischen realisierbar, aber Xobor befindet sich seit etwa eineinhalb Jahren im Entwicklungsstillstand und will erst demnächst mal wieder weitertreten. Nach deren Ansicht ist SSL/TLS keineswegs so Standard, wie oft kolportiert - zumindest für "private" Foren - und ich denke, solange sich die Rechtssprechung weiter nur auf eindeutig kommerzielle Angebote stürzt, wird sich an dieser Haltung auch nicht so schnell etwas ändern.
Ein "echte" SSL-Zertifizierung wird aufgrund der zahlreichen aus Fremdquellen eingebundenen Elemente (Videos, Audiodateien) ohnehin unpraktikabel sein.
du hast schon recht bzgl. externe Inhalte, da würde entweder nur ein Bilder-Proxy (dann kommt allerdings wieder die Urheberrechtsdiskussion) helfen oder dass der Benutzer explizit darauf klicken muss. Wenn Xobor meint, dass sei kein Standard würde ich denen einfach die Rechtslage erklären (und die gab es schon vor der DSGVO), es gab ein Fall wo ein Kontaktformular abgemahnt wurde, weil es nicht per SSL/TLS übertragen wurde.
Die Let's encrypt wäre die einfachste Variante, zu mal die auch seit kurzem auch Wildcard-Zertifikate unterstützen.