« 1 2
Autor Zpráva
Chamurappi
Profil
Reaguji na Yuhůa:
vytvoř skript, který poběží na http (v .htaccess pro něj uděláme výjimku)
Aby skript viděl localStorage z HTTP protokolu, musí být načtený v HTTP stránce. To znamená, že musíme poznat, jestli člověk potřebuje přemigrovat data, dřív, než ho přesměrujeme na HTTPS – načíst mu HTTP stránku, v té mít <iframe>, do něj načíst HTTPS stránku a poslat jí data z nadřazeného dokumentu. Přemigrovat data potřebují nejspíš všichni, kdo mají nastavenou jakoukoliv cookie. Přemigrovaným by se mohla nastavit nějaká jiná cookie, která by řekla, že se mají přesměrovávat bez migrace.

Tím, že je to teď překlopené na HTTPS, vznikají u návštěvníků v HTTPS-localStorage nové záznamy a nebude úplně triviální je sesynchronizovat s těmi z HTTP-localStorage. Tohle se mělo řešit před přepnutím na HTTPS.
Krom toho je porouchané zjišťování titulku, pokud z příspěvku odkážu na jiné vlákno, jak píše juriad.

Nemůžeme ale navždy zůstat na http.
Jaký je s tím přesně problém? Já těmto protokolovým bezpečnostním věcem příliš nerozumím.
To, že tu má člověk účet, většinou znamená pouze to, že nikdo jiný tady nemůže používat jeho přezdívku, jinak to nemá moc velkou hodnotu (výjimkou jsou moderátoři). Pokud je uživatel přihlášený, v cookie má na 200 let hash hesla, což je samo o sobě trochu nebezpečné, ne?

Jako řešení bych doporučil hodit si ten skript na nějaký server, kde běží https.
Nepříjemná komplikace.
Je fakt, že bych ho v mém případě mohl hodit přímo do sandboxu, protože je to rozvrtaná verze hlavního djpw.js :-)

Pokud někdo má alternativní css styl, tak také: můžeme ho dát na server. Možná by možnost jiného vzhledu uvítali i další uživatelé.
Kdo chce, tak už Taurův styl dlouho používá, linkují ho od něj. Přes HTML dodatek si můžou přilinkovat cokoliv odkudkoliv… teda, mohli, teď už mají v cestě bezpečnostní bariéru.


Reaguji na Keeehiho:
Nebo by se sem ten script dal možná dostat nějakým pluginem do prohlížeče.
Neprovozuji. Musel bych si shánět plugin do všech prohlížečů, ve všech počítačích i telefonech.

Ale to by nejspíše mohlo jít povolit právě úpravou hlaviček, co odesílá server.
Content-Security-Policy dokáže přebít zákaz skriptu z HTTP adresy?

já rozepsané příspěvky využívám jen v případě, že si stránku omylem zavřu. Rozhodně ne na nějaké dlouhé skladování, což není ani účelem.
Je to příliš spolehlivé na to, aby se to nepoužívalo k dlouhodobému skladování.


Reaguji na Bubáka:
To jsem opravil…


Reaguji na juriada:
… a tohle ne. V bb_codes.php je přímo fsockopen s portem 80. Asi se to bude muset upravit radikálněji, stejná funkce se totiž používá ke zjištění titulku i u jiných známých webů a ty jedou všechny na HTTP. Měl bys čas a chuť se v tom šťourat?
Možná by bylo chytřejší, kdyby se titulek v případě diskuse zjišťoval z databáze a ne přes webový požadavek… i když, vlastně možná ne, ono to teď umí (nebo spíš umělo) zjistit i nadpisy odkázané přes kotvu.
Keeehi
Profil
Chamurappi:
Neprovozuji. Musel bych si shánět plugin do všech prohlížečů, ve všech počítačích i telefonech.
To je jeden z návrhů. Někomu by to mohlo stačit. Osobně si myslím, že nejčistší řešení je linkovat z https. Pokud je ten obsah neměnný (jako že pro spoustu lidí bude) může se buď vložit přímo do dodatku, nebo linkovat z https. Těch možností, kam ho uložit je více. Třeba na gist - linkovatelné Taurovo CSS. Pro ty, co si s tím často hrají lokálně a často to tedy mění (Chamurappi a pár dalších) by bylo nejlepší zprovoznit https i na lokále. V důsledku to znamená vygenerovat si vlastní certifikát pro doménu localhost a pak si ho v prohlížeči přidat jako důvěryhodný. Pokud byste s tím někdo potřeboval pomoct, mohu se o to pokusit. Mám osobní zkušenosti s kombinací linux/apache/chrome ale myslím, že bych měl být schopen to vhodně upravit a navést správným směrem.

Content-Security-Policy dokáže přebít zákaz skriptu z HTTP adresy?
Testoval jsem to a bohužel ne.
Jan Tvrdík
Profil
Ad HTTPS na localhostu, tohle používám já na Windows (spustitelné třeba přes Git Bash), třeba to někomu pomůže gist.github.com/JanTvrdik/d22f53604f3bfd78df3863cf1ad87b8a


Chamurappi:
To znamená, že musíme poznat, jestli člověk potřebuje přemigrovat data, dřív, než ho přesměrujeme na HTTPS
Můžeš ho přece z HTTPS přesměrovat zpátky třeba na http://diskuse.jakpsatweb.cz/migrace.html, co tu migraci vyřeší, ne?
Tomáš123
Profil
Yuhů:
Ja sa v tom tak nevyznám. Ale robí mi to hlavne Facebook. Ja som si to spojil s HTTPS. Možno to s tým nesúvisí. Hláška vyzerá takto:


Ale nič moc som k tomu nenašiel.
Fisir
Profil
Reaguji na Tomáše123:
Možná bys měl spíš kontaktovat poskytovatele tvého pseudo-připojení.
Davex
Profil
Yuhů:
Úpravy kódu diskuse by se měly přenést i do sandboxu, aby se po jeho nasazení do provozu o změny nepřišlo.

Chamurappi:
… a tohle ne. V bb_codes.php je přímo fsockopen s portem 80.
Nevím, kam se přesně připojuje skript doplňující titulek do odkazů, ale možná by stačilo ten skript nepřesměrovávat na https vyloučením jeho IP adresy.

Také by se nemělo přesměrovávat:

1) Metoda POST, protože se odeslaná data po přesměrování zahodí.
2) Internet Explorer 6 a starší, protože se nedomluví se serverem na použitém šifrování a odpojí se.
3) Internet Explorer včetně 8 na Windows XP, protože se na serveru používá SNI, se kterým neumí pracovat, což tedy zrovna na diskusi nevadí, ale na Moved Permanently ano, protože se tam použije certifikát diskuse a prohlížeč před přechodem na web zobrazí varování o špatném certifikátu, které je nutné potvrdit.

Přesměrování v .htaccess by se mohlo upravit přibližně nějak takto:

RewriteCond %{HTTPS} !=on
RewriteCond %{REMOTE_ADDR} !=127.0.0.1
RewriteCond %{REQUEST_METHOD} !=POST
RewriteCond %{HTTP_USER_AGENT} !\bMSIE\ [5-8].+Windows\ NT\ 5\.[0-1]
RewriteRule ^(.*) https://diskuse.jakpsatweb.cz/$1 [R=301,QSA,NE]

Jinak koukám, že do diskuse nejde vložit odkaz na https variantu Moved Permanently, protože se převede na http (alespoň tedy v náhledu příspěvku).
Taurus
Profil
Dan Charousek:
Taure, je tvůj vzhled někde volně k dispozici?

Ostatní už reagovali. Jen dodám, že to není žádný zázrak, věnoval jsem tomu omezený čas. :-)

Keeehi:
Třeba na gist - linkovatelné Taurovo CSS.

Díky za odkaz, Keeehi.
Chamurappi
Profil
Zkouška zjišťování textu odkazů z HTTPS:
Jak psát web
Nejčastější potíže s PHP (FAQ) » Zkrácení článku pro výpis perexu
Fíha, já jsem ale šikovný. Přečetl jsem si dokumentaci k tomuto bizarnímu jazyku, upravil bb_codes.php… a ono mi to začalo celkem spolehlivě sestřelovat prohlížeče. Tak jsem upravoval dál a dál a dál a pak jsem si všiml, že jsem na všechna místa napsal špatné číslo portu, psal jsem 334 místo 443. Takže jsem serveru šahal někam, kde mu to asi bylo nepříjemné a skončilo to ostudným přílivem chybových hlášek. Nemám rád pondělí.


Reaguji na Jana Tvrdíka:
Můžeš ho přece z HTTPS přesměrovat zpátky třeba na http://diskuse.jakpsatweb.cz/migrace.html, co tu migraci vyřeší, ne?
Asi můžu. Když mi někdo napíše, co přesně mám dát do .htaccess. Teď je tam tohle:
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://diskuse.jakpsatweb.cz/$1 [R=301,QSA,NE]
… při čemž bych tam asi měl dát spíš to, co píše Davex.


Reaguji na Keeehiho:
V důsledku to znamená vygenerovat si vlastní certifikát pro doménu localhost a pak si ho v prohlížeči přidat jako důvěryhodný.
V mobilu načítám svůj skript z lokální IP adresy. Tam ani nevím, jak bych přidal certifikát mezi důvěryhodné, není tam moc nastavení. (Zrovna mobilní ladění je přes HTML dodatek dokonalé.)
Pro localhost jsem si nějaký self-signed certifikát na IIS vygeneroval, ale na jednom z počítačů mě tam Explorer 11 stejně nepustí.
Keeehi
Profil
Chamurappi:
Co se týče mobilů, tak tam to pravděpodobně závisí na operačním systému, ne přímo prohlížeči. Třeba můj Android to má v Settings > Security > Install from SD cart.
S explorerem nevím jestli zvládnu poradit. Pomohlo by vědět, jak vypadá to nepuštění a verzi OS.
Chamurappi
Profil
Reaguji na Keeehiho:
Pomohlo by vědět, jak vypadá to nepuštění a verzi OS.
Vyfoceno. Téměř totožnou hlášku vidím i v ostatních počítačích (všude Windows 7), akorát v ní bývá možnost vstoupit navzdory varování.

Kdyby alespoň sandbox nejel přes HTTPS, mohl bych si pohodlně linkovat jako dřív :-)
Keeehi
Profil
V té hlášce se píše o tom, že nesedí adresa. Začal bych tedy tím, že bych překontroloval, zda jsem si vygeneroval certifikát pro doménu localhost a do prohlížeče zadávám https://localhost. No a pak je tu druhá možnost. Na windows už dlouho lokálně nevyvýjím a už vůbec ne v exploreru, takže jsem na takový problém nenarazil ale to co je popsané v tom příspěvku mi přidadá, že by mohlo mít za následek tvé problémy.
Davex
Profil
Chamurappi:
Když mi někdo napíše, co přesně mám dát do .htaccess.
To už bude ověšené jako vánoční stromeček.

RewriteCond %{HTTPS} !=on
RewriteCond %{REMOTE_ADDR} !=127.0.0.1
RewriteCond %{REQUEST_URI} !=/migrace.html
RewriteCond %{REQUEST_METHOD} !=POST
RewriteCond %{HTTP_USER_AGENT} !\bMSIE\ [5-8].+Windows\ NT\ 5\.[0-1]
RewriteRule ^(.*) https://diskuse.jakpsatweb.cz/$1 [R=301,QSA,NE]
Kajman
Profil
Na migrační stránce by se po migraci měly i smazat přihlašovací cookies na http a mít je nově jen pro https díky flagu secure. Ono by to https pak nemělo moc význam, když by uživatelé přicházející na starý http odkaz z bookmarků či vyhledávání posílali cookie při prvním požadavku stále na nešifrovaném protokolu.

Edit: nebo stačí na https stránce všechny cookies přeuložit jako secure a na toto migrační stránku netřeba?
Kubo2
Profil
Rád by som poznamenal, že vďaka HTTPS sa mi v zahraničí (India) predĺžilo načítavanie Diskusie+JakPsatWeb.cz z časov pod 1s na niekoľko sekúnd, zjavne kvôli naväzovaniu spojenia a handshaku s veľmi vzdialeným serverom (predpokladám v Čechách). Možno by nebol zlý nápad umiestniť niekde na druhej strane sveta mirror pre JPW/DJPW.
Martin2
Profil *
Kubo2:
Možno by nebol zlý nápad umiestniť niekde na druhej strane sveta mirror pre JPW/DJPW.
Zlý asi ne, bizarní určitě ano. Znamenalo by to přesunout weby z konvenčního hostingu nejspíše do cloudu s podporou mezinárodního CDN a k nákladům na provoz připsat dvě nuly. To vše kvůli hrstce Čechů v zahraničí.


* pardon, i Slováků
Justýna
Profil
A co krátká adresa djpw.cz? https na ní zatím nefunguje.
pcmanik
Profil
Justýna:
Krátka adresa predsa presmeruje na plnú adresu kde je https nasadené nie?
TomášK
Profil
pcmanik
Ano, ale i krátká adresa běží na HTTPS. Používá však neplatný certifikát, viz djpw.cz nebo i diskuze.jakpsatweb.cz.
Keeehi
Profil
Justýna:
A co krátká adresa djpw.cz?
Ta nepatří Yuhůoči ale Str4wberrymu. IP směřuje na jiný server. Takže přidat certifikát i tam třeba ani nemusí být momentálně možné.
« 1 2

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: