| Autor | Zpráva | ||
|---|---|---|---|
| Yuhů Profil |
#1 · Zasláno: 6. 6. 2016, 13:53:57
Webhosting Nethost byl tak hodný a nasadil nám certifikát od Let's Encrypt s pravidelnou aktualizací. Znamená to, že se můžeme pomalu připravovat na přechod na https. Jestli se toho někdo chcete ujmout, tak hurá.
|
||
| Yuhů Profil |
#2 · Zasláno: 6. 6. 2016, 14:48:27
Počitadla jsem v šablonách už předělal, míří na https.
|
||
| Yuhů Profil |
test odesílání - zdá se, že odesílání příspěvku funguje a zůstává na https protokolu
|
||
| Keeehi Profil |
S přechodem pomůže hlavička
Content-Security-Policy-Report-Only: default-src https:; report-uri http://example.com. Pokud se nám nechce si repory posílat sobě a starat se o ně, je tu služba report-uri.io
Ono by se těch hlaviček mohlo hodit více. securityheaders.io/?q=https%3A%2F%2Fdiskuse.jakpsatweb.cz%2F |
||
| Chamurappi Profil |
#5 · Zasláno: 6. 6. 2016, 15:42:25
Jak přinutíme každého, kdo sem zkusí vložit obrázek, aby ho linkoval z HTTPS?
Reaguji na Keeehiho: To by nám reportovalo třeba i můj localhost, ze kterého si linkuji vlastní JS skrz HTML dodatek, ne? My tu de facto máme úmyslnou XSS díru pro přihlášené uživatele, což je spíš vlastnost než chyba.
Jinak, co se týče jádra diskuse, tak tu nikde nejsou absolutní odkazy na HTTP už cca od té doby, co vznikl sandbox. Takže všechno tu zvládne běžet i na HTTPS, vyjma uživatelského obsahu, který je skoro neregulovatelný. |
||
| Yuhů Profil |
Keeehi:
s přechodem striktně na https bych asi počkal, to je přibližně to poslední. Chamurappi: „Jak přinutíme každého, kdo sem zkusí vložit obrázek, aby ho linkoval z HTTPS?“ Já bych je nenutil. Klidně bych akceptoval, že to rozbije zelený zámeček. Bránit příchodu na stránky to snad nikomu nebude. Furt lepší, než aby nám případný MITM odposlouchával hesla. |
||
| Keeehi Profil |
Chamurappi:
„To by nám reportovalo třeba i můj localhost, ze kterého si linkuji vlastní JS skrz HTML dodatek, ne?“
Nejspíše ano. Nepředpokládm, že bys localhost provozoval na https. Ale šel by do toho přidat tak, aby ho to nereportovalo. „Jinak, co se týče jádra diskuse, tak tu nikde nejsou absolutní odkazy na HTTP už cca od té doby, co vznikl sandbox.“ Téměř. Až na <script src="http://diskuse.jakpsatweb.cz/statistika.js" type="text/javascript"></script>
Yuhů: „Bránit příchodu na stránky to snad nikomu nebude.“ Ano, obrázky jen rozbijí zelený zámeček. |
||
| Chamurappi Profil |
#8 · Zasláno: 6. 6. 2016, 17:13:09
Reaguji na Keeehiho:
„Ano, obrázky jen rozbijí zelený zámeček.“ Aha, to jsem nevěděl. Myslel jsem, že se vůbec nenačtou. Jestli se načítají ve všech prohlížečích, tak tady asi žádná velká překážka pro přechod na HTTPS není. Ještě jsme kdysi plánovali, že nějak půjdou přímo do stránky embedovat ukázky z kod.djpw.cz (což Str4wberrymu funguje jen na HTTP), ale žádné kroky tímto směrem zřejmě nikdo nepodnikl. |
||
| Keeehi Profil |
#9 · Zasláno: 6. 6. 2016, 17:19:50
Chamurappi:
„tak tady asi žádná velká překážka pro přechod na HTTPS není.“ Problémem budou právě ty html dodatky. Obrázky jen rozbijí zámeček a vyrobí varování o mixed content. Ale javascripty loadované přes http jsou blokované. Alespoň v mám Chromiu 50. Ale to by nejspíše mohlo jít povolit právě úpravou hlaviček, co odesílá server. |
||
| Jan Tvrdík Profil |
#10 · Zasláno: 6. 6. 2016, 17:50:12
„Jak přinutíme každého, kdo sem zkusí vložit obrázek, aby ho linkoval z HTTPS?“
Obrázky tu skoro nikdo nevkládá, těch pár, co se objeví bychom mohli schovat za triviální PHP skript, který by obrázek vrátil. |
||
| Yuhů Profil |
#11 · Zasláno: 6. 6. 2016, 18:12:00
Skript načítaný přes http ([#7] Keeehi) jsem teď v šablonách zrelativnil, takže se při volání z https bude také načítat z https. Tam už by tedy problém už být neměl.
Co formuláře? Neodkazuje nějaké action na http? Chromu to vadí. |
||
|
Časová prodleva: 4 dny
|
|||
| Yuhů Profil |
#12 · Zasláno: 10. 6. 2016, 14:50:54
Tak jestli nebudou nějaké další připomínky, tak můžeme udělat přesměrování na https verzi. Jestli se toho někdo chcete ujmout, dejte mi vědět. Jinak to udělám sám, pravděpodobně do konce června.
|
||
| Davex Profil |
Šlo by nějak ošetřit, aby při přesměrování na https všichni nepřišli o rozepsané příspěvky?
Chamurappi: „Jinak, co se týče jádra diskuse, tak tu nikde nejsou absolutní odkazy na HTTP už cca od té doby, co vznikl sandbox.“ Není tomu tak u odkazů pro umístění a změnu rozvržení kategorií. <p class="flip"><a href="http://diskuse.jakpsatweb.cz?twoCols=0" class="flipV" title="Umístit kategorie a poslední diskusi nad sebe">Nad sebe</a></p>
<p class="flip">
<a href="http://diskuse.jakpsatweb.cz?numCols=0" class="flipCols3" title="Změnit počet sloupců">
<span>
</span>Rozvržení kategorií</a>
<i class="flip-separator"> • </i>
<a href="http://diskuse.jakpsatweb.cz?twoCols=1" class="flipH" title="Umístit kategorie vedle poslední diskuse?">Vedle sebe</a>
<i class="flip-separator"> • </i>
<a href="http://diskuse.jakpsatweb.cz?last=1" class="flipV">
<span>
</span>Prohodit poslední diskusi s kategoriemi</a>
</p> |
||
| Yuhů Profil |
#14 · Zasláno: 10. 6. 2016, 20:20:19
Já nevím, jak jsou realizovány rozepsané příspěvky. Nevím, na jakou entitu jsou navázané. Pokud na URL, tak se o ně přijde. Ale to bychom nemohli přejít na https nikdy, kdybychom na to brali ohledy. Prosím o informaci, jak jsou ty rozepsané příspěvky realizované.
Pokud jde o odkazy na http, tak odkazy na http nevadí. Sice tam přibude jedno přesměrování, ale to nebude tak bolet. Přesměrování se děje včetně query stringu, takže by se funkčnost neměla ztratit. Až budeme fungovat jen na https, postupně se http odkazy vymění. |
||
| Keeehi Profil |
#15 · Zasláno: 10. 6. 2016, 20:40:56
Rozepsané příspěvky jsou ukládané do local storage. Ta je vázaná na doménu a protokol.
Nevím jak ostatní, ale já rozepsané příspěvky využívám jen v případě, že si stránku omylem zavřu. Rozhodně ne na nějaké dlouhé skladování, což není ani účelem. Pokud se ten převod udělá někdy hodně brzo ráno, když tu je klid, je vysoce pravděpodobné, že to nikomu rozepsaný příspěvek nerozbije, protože nikdo nic psát nebude. |
||
| Yuhů Profil |
#16 · Zasláno: 10. 6. 2016, 20:49:35
Brzo ráno je dobrý nápad, ale já brzo ráno spím.
Přehodil jsem to teď, dokud na to mám čas a focus. Kdyby se něco rozbilo, dejte vědět. |
||
| Keeehi Profil |
#17 · Zasláno: 10. 6. 2016, 21:01:02
Nevěděl jsem, jestli napsat brzy ráno, nebo pozdě v noci :)
Sandbox jede stále na http. |
||
| Yuhů Profil |
#18 · Zasláno: 10. 6. 2016, 21:55:49
Keeehi:
„Sandbox jede stále na http.“ Nemám tušení, jak funguje sandbox nebo kde je. Ví někdo, kde má svůj adresář nebo .htaccess? |
||
| Yuhů Profil |
#19 · Zasláno: 10. 6. 2016, 21:59:58
Přehodil jsem v setup_options.php main URL na hodnotu s https. Možná, že to ovlivní i sandbox.
|
||
| Yuhů Profil |
#20 · Zasláno: 10. 6. 2016, 22:04:53
Tak jsem našel .htaccess sandboxu. Ale nedokážu napsat rewrite pravidlo, protože nevím, na jakém URL sandox jede. Do normální diskuse jsem přidal tyto dva řádky:
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://diskuse.jakpsatweb.cz/$1 [R=301,QSA]Poradíte mi, jak má vypadat ten druhý řádek v případě sanboxu? Nebo to někdo rovnou můžete udělat. |
||
| Keeehi Profil |
#21 · Zasláno: 10. 6. 2016, 23:38:38
Yuhů:
Nevím kdo za to může ale teď už na https je. |
||
| Chamurappi Profil |
#22 · Zasláno: 10. 6. 2016, 23:46:18
Nejsem z toho moc nadšený.
Já mívám v localStorage příspěvky třeba půl roku :-) … zejména u vláken k vývoji diskuse mívám rozepsané drobné připomínky, ke kterým se teď nedostanu.
Také si u přispívajících ukládáme do localStorage čas prvního přispění, pomocí kterého jdou lépe poznávat stejní lidé za různými IP adresami, to teď také pojede nanovo…
Upřednostnil bych, kdyby se nejprve našel způsob, jak localStorage u všech přemigrovat. Stávající řešení mi přijde takové dost destruktivní :-(
Krom toho bych chtěl mít možnost HTTPS ve svém uživatelském profilu vypnout, protože si sem linkuji skript z localhostu a ten na HTTPS nikdy nepoběží. |
||
| Keeehi Profil |
#23 · Zasláno: 11. 6. 2016, 00:50:38
Chamurappi:
„skript z localhostu a ten na HTTPS nikdy nepoběží“ I localhost může běžet na https. Nebo by se sem ten script dal možná dostat nějakým pluginem do prohlížeče. Mají celkem velkou moc a mohli by vkládat přímo obsh toho souboru. |
||
| Taurus Profil |
#24 · Zasláno: 11. 6. 2016, 09:51:21
S dlouhodobě rozepsaným příspěvkem se přidávám k Chamurappimu. Slouží mi to k vychladnutí nebo i rozmyšlení příspěvku.
Jde, prosím, nějak vyřešit html dodatek, který teď neběží? Tak jsem si zvykl na upravený vzhled, že ten původní mě... dostal. :-) |
||
| Bubák Profil |
#25 · Zasláno: 11. 6. 2016, 11:24:34
|
||
| juriad Profil |
#26 · Zasláno: 11. 6. 2016, 11:25:46
Rozbilo se odkazování:
HTTPS: Když napíšu https://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku
Tak to dopadne takto: diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku Když následně stisknu Ctrl+K, je výsledek stejný: diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku HTTP: Napsáno: http://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=2111#zkraceni-clanku
Výsledek: 301 Moved Permanently Při Ctrl+K: 301 Moved Permanently + Jak píše Bubák. |
||
| Dan Charousek Profil |
#27 · Zasláno: 11. 6. 2016, 13:48:45
Taurus:
„Tak jsem si zvykl na upravený vzhled, že ten původní mě... dostal“ Omlouvám se, že odbočím od tématu, ale: Taure, je tvůj vzhled někde volně k dispozici? Popřípadě, mohl bych požádat o zveřejnění (ovšem pokud to není přísně tajné, nebo jakýmkoli způsobem veřejnosti nepřístupné)? :) |
||
| Jan Tvrdík Profil |
#28 · Zasláno: 11. 6. 2016, 13:53:41
Yuhů:
Myslím, že ti tam chybí příznak NE, tj. mělo by to vypadat takto
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://diskuse.jakpsatweb.cz/$1 [R=301,QSA,NE]Viz článek od Davida Grudla. |
||
| Tomáš123 Profil |
#29 · Zasláno: 11. 6. 2016, 14:02:49
Yuhů:
Pri pomalom pripojení sa mi často v prípade HTTPS vypisuje chyba o nestihnutí nadviazať spojenie. Väčšinou to neviem nijako vyriešiť (niekedy to nejde ani po troch hodinách, inokedy to o chvíľku naskočí). Neviem, či sa to stáva aj niekomu inému. Nemohlo by niečo ostať bežať na HTTP? Niečo ako predvolene smerovať na HTTPS, ale v prípade explicitnej voľby v podobe napísania http://djpw.cz použiť HTTP?
Dan Charousek: Keď to bude znovu fungovať, môžeš si do HTML dodatku vložiť link na Taurovo CSS: <link rel="stylesheet" type="text/css" media="screen, projection" href="http://jpw.odemne.com/css-djpw/djpw.css"> |
||
| Yuhů Profil |
Chamurappi:
„Upřednostnil bych, kdyby se nejprve našel způsob, jak localStorage u všech přemigrovat. Stávající řešení mi přijde takové dost destruktivní :-(“
To mě mrzí. Local storage nerozumím natolik, abych věděl, jestli se to dá řešit nějak jednoduše. Napadá mě toto: vytvoř skript, který poběží na http (v .htaccess pro něj uděláme výjimku). Ten bude moci číst staré local storage v http verzi a předávat ho nějakému jinému skriptu na https, který ho bude přepisovat do https verze. Šlo by to? Po nějakém čase (10 měsíců ?) ho zase vypneme. Pokud by to nešlo, tak potřebujeme jiné řešení. Můžeme kvůli němu i dočasně zpět na http. Nemůžeme ale navždy zůstat na http. Bubák: „Míchají se sem sandboxové odkazy.“ Lituji, ale nevím, co to znamená. Mám něco hledat ve zdroji těch odkazů? Jan Tvrdík: „Myslím, že ti tam chybí příznak NE,“
OK, přidám, děkuji. Tomáš123: „Pri pomalom pripojení sa mi často v prípade HTTPS vypisuje chyba o nestihnutí nadviazať spojenie.“ A nebude tam spíš problém přesměrování než to https? Neslyšel jsem nikdy o tom, že by https s pomalým spojením dělalo problém. Nemáš prosím víc podrobností o té chybě? Něco by na http zůstat mohlo, ale jenom krátkodobě. Z dlouhodobého hlediska musí být vše na https. Chamurappi: „Krom toho bych chtěl mít možnost HTTPS ve svém uživatelském profilu vypnout, protože si sem linkuji skript z localhostu a ten na HTTPS nikdy nepoběží.“ Z dlouhodobého hlediska rozhodně nesmíme mít možnost vypínat https v uživatelském profilu. Krátkodobě se mi to nechce programovat. Jako řešení bych doporučil hodit si ten skript na nějaký server, kde běží https. Pokud je to něco hodně užitečného pro diskusi, můžeme to klidně dát někam na diskuse.jakpsatweb.cz (hoď si to někam ftpkem). Pokud někdo má alternativní css styl, tak také: můžeme ho dát na server. Možná by možnost jiného vzhledu uvítali i další uživatelé. |
||
|
Téma pokračuje na další straně.
|
|||
0