« 1 2 »
Autor Zpráva
Yuhů
Profil
Webhosting Nethost byl tak hodný a nasadil nám certifikát od Let's Encrypt s pravidelnou aktualizací. Znamená to, že se můžeme pomalu připravovat na přechod na https. Jestli se toho někdo chcete ujmout, tak hurá.
Yuhů
Profil
Počitadla jsem v šablonách už předělal, míří na https.
Yuhů
Profil
test odesílání - zdá se, že odesílání příspěvku funguje a zůstává na https protokolu
Keeehi
Profil
S přechodem pomůže hlavička Content-Security-Policy-Report-Only: default-src https:; report-uri http://example.com. Pokud se nám nechce si repory posílat sobě a starat se o ně, je tu služba report-uri.io

Ono by se těch hlaviček mohlo hodit více. securityheaders.io/?q=https%3A%2F%2Fdiskuse.jakpsatweb.cz%2F
Chamurappi
Profil
Jak přinutíme každého, kdo sem zkusí vložit obrázek, aby ho linkoval z HTTPS?


Reaguji na Keeehiho:
To by nám reportovalo třeba i můj localhost, ze kterého si linkuji vlastní JS skrz HTML dodatek, ne? My tu de facto máme úmyslnou XSS díru pro přihlášené uživatele, což je spíš vlastnost než chyba.
Jinak, co se týče jádra diskuse, tak tu nikde nejsou absolutní odkazy na HTTP už cca od té doby, co vznikl sandbox. Takže všechno tu zvládne běžet i na HTTPS, vyjma uživatelského obsahu, který je skoro neregulovatelný.
Yuhů
Profil
Keeehi:
s přechodem striktně na https bych asi počkal, to je přibližně to poslední.

Chamurappi:
Jak přinutíme každého, kdo sem zkusí vložit obrázek, aby ho linkoval z HTTPS?

Já bych je nenutil. Klidně bych akceptoval, že to rozbije zelený zámeček. Bránit příchodu na stránky to snad nikomu nebude. Furt lepší, než aby nám případný MITM odposlouchával hesla.
Keeehi
Profil
Chamurappi:
To by nám reportovalo třeba i můj localhost, ze kterého si linkuji vlastní JS skrz HTML dodatek, ne?
Nejspíše ano. Nepředpokládm, že bys localhost provozoval na https. Ale šel by do toho přidat tak, aby ho to nereportovalo.

Jinak, co se týče jádra diskuse, tak tu nikde nejsou absolutní odkazy na HTTP už cca od té doby, co vznikl sandbox.
Téměř. Až na <script src="http://diskuse.jakpsatweb.cz/statistika.js" type="text/javascript"></script>

Yuhů:
Bránit příchodu na stránky to snad nikomu nebude.
Ano, obrázky jen rozbijí zelený zámeček.
Chamurappi
Profil
Reaguji na Keeehiho:
Ano, obrázky jen rozbijí zelený zámeček.
Aha, to jsem nevěděl. Myslel jsem, že se vůbec nenačtou. Jestli se načítají ve všech prohlížečích, tak tady asi žádná velká překážka pro přechod na HTTPS není.

Ještě jsme kdysi plánovali, že nějak půjdou přímo do stránky embedovat ukázky z kod.djpw.cz (což Str4wberrymu funguje jen na HTTP), ale žádné kroky tímto směrem zřejmě nikdo nepodnikl.
Keeehi
Profil
Chamurappi:
tak tady asi žádná velká překážka pro přechod na HTTPS není.
Problémem budou právě ty html dodatky. Obrázky jen rozbijí zámeček a vyrobí varování o mixed content. Ale javascripty loadované přes http jsou blokované. Alespoň v mám Chromiu 50. Ale to by nejspíše mohlo jít povolit právě úpravou hlaviček, co odesílá server.
Jan Tvrdík
Profil
Jak přinutíme každého, kdo sem zkusí vložit obrázek, aby ho linkoval z HTTPS?
Obrázky tu skoro nikdo nevkládá, těch pár, co se objeví bychom mohli schovat za triviální PHP skript, který by obrázek vrátil.
Yuhů
Profil
Skript načítaný přes http ([#7] Keeehi) jsem teď v šablonách zrelativnil, takže se při volání z https bude také načítat z https. Tam už by tedy problém už být neměl.

Co formuláře? Neodkazuje nějaké action na http? Chromu to vadí.
Yuhů
Profil
Tak jestli nebudou nějaké další připomínky, tak můžeme udělat přesměrování na https verzi. Jestli se toho někdo chcete ujmout, dejte mi vědět. Jinak to udělám sám, pravděpodobně do konce června.
Davex
Profil
Šlo by nějak ošetřit, aby při přesměrování na https všichni nepřišli o rozepsané příspěvky?

Chamurappi:
Jinak, co se týče jádra diskuse, tak tu nikde nejsou absolutní odkazy na HTTP už cca od té doby, co vznikl sandbox.
Není tomu tak u odkazů pro umístění a změnu rozvržení kategorií.

<p class="flip"><a href="http://diskuse.jakpsatweb.cz?twoCols=0" class="flipV" title="Umístit kategorie a poslední diskusi nad sebe">Nad sebe</a></p>

<p class="flip">
  <a href="http://diskuse.jakpsatweb.cz?numCols=0" class="flipCols3" title="Změnit počet sloupců">
    <span>
    </span>Rozvržení kategorií</a>
    <i class="flip-separator">&nbsp;&bull;&nbsp;</i>
  <a href="http://diskuse.jakpsatweb.cz?twoCols=1" class="flipH" title="Umístit kategorie vedle poslední diskuse?">Vedle sebe</a>
  <i class="flip-separator">&nbsp;&bull;&nbsp;</i>
  <a href="http://diskuse.jakpsatweb.cz?last=1" class="flipV">

    <span>
    </span>Prohodit poslední diskusi s kategoriemi</a>
</p>
Yuhů
Profil
Já nevím, jak jsou realizovány rozepsané příspěvky. Nevím, na jakou entitu jsou navázané. Pokud na URL, tak se o ně přijde. Ale to bychom nemohli přejít na https nikdy, kdybychom na to brali ohledy. Prosím o informaci, jak jsou ty rozepsané příspěvky realizované.

Pokud jde o odkazy na http, tak odkazy na http nevadí. Sice tam přibude jedno přesměrování, ale to nebude tak bolet. Přesměrování se děje včetně query stringu, takže by se funkčnost neměla ztratit. Až budeme fungovat jen na https, postupně se http odkazy vymění.
Keeehi
Profil
Rozepsané příspěvky jsou ukládané do local storage. Ta je vázaná na doménu a protokol.

Nevím jak ostatní, ale já rozepsané příspěvky využívám jen v případě, že si stránku omylem zavřu. Rozhodně ne na nějaké dlouhé skladování, což není ani účelem. Pokud se ten převod udělá někdy hodně brzo ráno, když tu je klid, je vysoce pravděpodobné, že to nikomu rozepsaný příspěvek nerozbije, protože nikdo nic psát nebude.
Yuhů
Profil
Brzo ráno je dobrý nápad, ale já brzo ráno spím.

Přehodil jsem to teď, dokud na to mám čas a focus. Kdyby se něco rozbilo, dejte vědět.
Keeehi
Profil
Nevěděl jsem, jestli napsat brzy ráno, nebo pozdě v noci :)

Sandbox jede stále na http.
Yuhů
Profil
Keeehi:
Sandbox jede stále na http.

Nemám tušení, jak funguje sandbox nebo kde je. Ví někdo, kde má svůj adresář nebo .htaccess?
Yuhů
Profil
Přehodil jsem v setup_options.php main URL na hodnotu s https. Možná, že to ovlivní i sandbox.
Yuhů
Profil
Tak jsem našel .htaccess sandboxu. Ale nedokážu napsat rewrite pravidlo, protože nevím, na jakém URL sandox jede. Do normální diskuse jsem přidal tyto dva řádky:

RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://diskuse.jakpsatweb.cz/$1 [R=301,QSA]

Poradíte mi, jak má vypadat ten druhý řádek v případě sanboxu? Nebo to někdo rovnou můžete udělat.
Keeehi
Profil
Yuhů:
Nevím kdo za to může ale teď už na https je.
Chamurappi
Profil
Nejsem z toho moc nadšený.
Já mívám v localStorage příspěvky třeba půl roku :-) … zejména u vláken k vývoji diskuse mívám rozepsané drobné připomínky, ke kterým se teď nedostanu.
Také si u přispívajících ukládáme do localStorage čas prvního přispění, pomocí kterého jdou lépe poznávat stejní lidé za různými IP adresami, to teď také pojede nanovo…
Upřednostnil bych, kdyby se nejprve našel způsob, jak localStorage u všech přemigrovat. Stávající řešení mi přijde takové dost destruktivní :-(

Krom toho bych chtěl mít možnost HTTPS ve svém uživatelském profilu vypnout, protože si sem linkuji skript z localhostu a ten na HTTPS nikdy nepoběží.
Keeehi
Profil
Chamurappi:
skript z localhostu a ten na HTTPS nikdy nepoběží
I localhost může běžet na https. Nebo by se sem ten script dal možná dostat nějakým pluginem do prohlížeče. Mají celkem velkou moc a mohli by vkládat přímo obsh toho souboru.
Taurus
Profil
S dlouhodobě rozepsaným příspěvkem se přidávám k Chamurappimu. Slouží mi to k vychladnutí nebo i rozmyšlení příspěvku.

Jde, prosím, nějak vyřešit html dodatek, který teď neběží? Tak jsem si zvykl na upravený vzhled, že ten původní mě... dostal. :-)
Bubák
Profil
Míchají se sem sandboxové odkazy.
diskuse.jakpsatweb.cz/?action=vthread&forum=3&topic=167397#3
diskuse.jakpsatweb.cz/.sandbox/?action=vthread&forum=9&topic=2111#zkraceni-clanku
juriad
Profil
Rozbilo se odkazování:

HTTPS:
Když napíšu https://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku
Tak to dopadne takto: diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku
Když následně stisknu Ctrl+K, je výsledek stejný: diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku

HTTP:
Napsáno: http://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku
Výsledek: 301 Moved Permanently
Při Ctrl+K: 301 Moved Permanently

+ Jak píše Bubák.
Dan Charousek
Profil
Taurus:
Tak jsem si zvykl na upravený vzhled, že ten původní mě... dostal
Omlouvám se, že odbočím od tématu, ale: Taure, je tvůj vzhled někde volně k dispozici? Popřípadě, mohl bych požádat o zveřejnění (ovšem pokud to není přísně tajné, nebo jakýmkoli způsobem veřejnosti nepřístupné)? :)
Jan Tvrdík
Profil
Yuhů:
Myslím, že ti tam chybí příznak NE, tj. mělo by to vypadat takto

RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://diskuse.jakpsatweb.cz/$1 [R=301,QSA,NE]

Viz článek od Davida Grudla.
Tomáš123
Profil
Yuhů:
Pri pomalom pripojení sa mi často v prípade HTTPS vypisuje chyba o nestihnutí nadviazať spojenie. Väčšinou to neviem nijako vyriešiť (niekedy to nejde ani po troch hodinách, inokedy to o chvíľku naskočí). Neviem, či sa to stáva aj niekomu inému. Nemohlo by niečo ostať bežať na HTTP? Niečo ako predvolene smerovať na HTTPS, ale v prípade explicitnej voľby v podobe napísania http://djpw.cz použiť HTTP?

Dan Charousek:
Keď to bude znovu fungovať, môžeš si do HTML dodatku vložiť link na Taurovo CSS:
<link rel="stylesheet" type="text/css" media="screen, projection" href="http://jpw.odemne.com/css-djpw/djpw.css">
Yuhů
Profil
Chamurappi:
Upřednostnil bych, kdyby se nejprve našel způsob, jak localStorage u všech přemigrovat. Stávající řešení mi přijde takové dost destruktivní :-(

To mě mrzí. Local storage nerozumím natolik, abych věděl, jestli se to dá řešit nějak jednoduše. Napadá mě toto: vytvoř skript, který poběží na http (v .htaccess pro něj uděláme výjimku). Ten bude moci číst staré local storage v http verzi a předávat ho nějakému jinému skriptu na https, který ho bude přepisovat do https verze. Šlo by to? Po nějakém čase (10 měsíců ?) ho zase vypneme.

Pokud by to nešlo, tak potřebujeme jiné řešení. Můžeme kvůli němu i dočasně zpět na http. Nemůžeme ale navždy zůstat na http.

Bubák:
Míchají se sem sandboxové odkazy.
Lituji, ale nevím, co to znamená. Mám něco hledat ve zdroji těch odkazů?

Jan Tvrdík:
Myslím, že ti tam chybí příznak NE,
OK, přidám, děkuji.

Tomáš123:
Pri pomalom pripojení sa mi často v prípade HTTPS vypisuje chyba o nestihnutí nadviazať spojenie.
A nebude tam spíš problém přesměrování než to https? Neslyšel jsem nikdy o tom, že by https s pomalým spojením dělalo problém. Nemáš prosím víc podrobností o té chybě? Něco by na http zůstat mohlo, ale jenom krátkodobě. Z dlouhodobého hlediska musí být vše na https.

Chamurappi:
Krom toho bych chtěl mít možnost HTTPS ve svém uživatelském profilu vypnout, protože si sem linkuji skript z localhostu a ten na HTTPS nikdy nepoběží.
Z dlouhodobého hlediska rozhodně nesmíme mít možnost vypínat https v uživatelském profilu. Krátkodobě se mi to nechce programovat.
Jako řešení bych doporučil hodit si ten skript na nějaký server, kde běží https. Pokud je to něco hodně užitečného pro diskusi, můžeme to klidně dát někam na diskuse.jakpsatweb.cz (hoď si to někam ftpkem).

Pokud někdo má alternativní css styl, tak také: můžeme ho dát na server. Možná by možnost jiného vzhledu uvítali i další uživatelé.
« 1 2 »

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: