[Wydzielono] Brak szyfrowania na portalu?

Czy tylko ja jestem częstowany takim komunikatem przy kliknięciu w powiadomienie? Zostaję przekierowywany do strony https://dp.do/c2194754

edit.
Teraz już cały portal padł, a nie tylko powiadomienia…

Może coś robią “z domeną”, mówili dawno temu że mają tam pełno usługi pod nią podpięta i czegoś już by raczej nie uruchomili.

Dziwne że do linka wkradł się https.

Jak nie robią, to się popsuł system generowania skróconego linka i wypadł z niego zadeklarowany protokół i przeglądarka dopisuje z obecnie otwartej (http://blog.httpwatch.com/2010/02/10/using-protocol-relative-urls-to-switch-between-http-and-https)

Zwróciłeś mi na ten https uwagę i wyłączyłem na chwilę dodatek “https everywhere” co rozwiązało problem.
Ciekawe, że wcześniej ten dodatek nie konfliktował z DP i właściwie nie ma prawa skoro cała komunikacja idzie po https? Czy może jednak nie cała i to tylko pic na wodę?

Widać nie idzie przez nią nic co wymaga szyfrowania.

Co do tych dodatków na wymuszanie szyfrowania bywa różnie, podobny (Smart HTTPS) po pól roku zaczął się zachowywać inaczej na stronie z sklepem i w panelu nie cofa do http (jakiś błąd chyba w php że po zalogowaniu włączało się na http).

https everywhere wersja stara (5.2.20) czy testujesz nowe zgodne z Firefox 57+ (www.eff.org/files/https-everywhere-test/index.html)

Korzystam z wersji 5.2.20, sprawdziłem jeszcze raz i problem ze stroną DP jest przy zaznaczonej opcji
"Blokuj wszystkie nieszyfrowane próby połączenia"
Znaczy się, to szyfrowanie jest tylko żeby ładnie wyglądało, bo ruch nie jest w całości szyfrowany.

Jakoś mnie to nie dziwi.

Co dokładnie jest nieszyfrowane? Chętnie się dowiem :wink:

Widać że nawet w redakcji czytanie ze zrozumieniem kuleje. To wy powinniście nam powiedzieć co nie jest szyfrowane skoro wymuszenie szyfrowania powoduje błędy.

chodzi o domenę dp.do:


(temat powiązany)

1 polubienie

Mniej złośliwości, a więcej konkretów… Ja wchodzę przez Chrome na stronę główną i kilka najważniejszych podstron serwisu i za każdym razem mam “zieloną kłódkę”, co oznacza że wszystkie elementy są pobierane przez szyfrowanie połączenie. Chrome poza tym nie renderuje zasobów, które z szyfrowanej strony są pobierane w sposób niezaszyfrowany.

Zatem ponawiam pytanie, które zasoby rzekomo są nieszyfrowane i na czym polega ten “pic na wodę”? Bo moim zdaniem szyfrowane jest wszystko co leci z naszych serwerów.

Co do domeny dp.do, to faktycznie tam jeszcze https nie ma, ale nic z tej domeny nie ładujemy (żadnych zasobów), więc nie ma to żadnego wpływu na działanie samego portalu.

Chodzi im o sekcje powiadomienia, tam są krótkie linki przekierowujące do nowej wersji programu, komentarza etc. - widać taki link wielu nie odpowiada jakby wykradał dane po kliknięciu.

U mnie się klika, dp.do robi przekierowanie i przechodzę nadal do zaszyfrowanej strony w domenie www.dobreprogramy.pl.

Jeśli komuś się wydaje, że dp.do coś wykrada, to polecam przeanalizowanie nagłówków i ruchu który tam idzie - nie są wysyłane np. żadne cookiesy z serwisu.

Pic na wodę dosyć, że określenie żartobliwe to był użyty w formie pytającej :wink: Już nie przesadzaj :smiley: A sprawa faktycznie tyczy się braku szyfrowania na domenie dp.do co zostało już wcześniej wyjaśnione. Napisałem też przez jaki dodatek tak się dzieje i że nie można normalnie przez to korzystać z portalu jeśli wytnie się cały ruch nieszyfrowany z przeglądarki.

Wracam do tematu po fajnym artykule na z3s :wink:

1 polubienie

Trzeba sobie zdawać sprawę z istnienia niezabezpieczonej i mieszanej treści na wielu stronach. To trzeba w przeglądarce naleźć.
W Firefoxie - Ustawienia dla niezbezpieczonej i częsiowo szyfrowanej strony:
security.mixed_content.block_display_content false
security.mixed_content.block_active_content false
Na DP jest b dużo takich http, czyli większość linków do pobierania programów ma adres zaczynający się od http.
Albo umiemy korzystać z ustawień (ustawień ukrytych), albo narzekamy. W slimjet można znaleźć w ustawieniach i w ukrytych ustawieniach odpowiednie wpisy, tylko trzeba przełączyć - np oznacz niezabezpieczone źródło jako neutralne .

Swoja drogą, nie uznaję poczty onetu, WP, czy interii. Na gmailu nie ma takich brewerii. Mam konto priv, mam też ogólne.

Ten temat został automatycznie zamknięty 180 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.