[Wydzielono] Brak szyfrowania na portalu?


(pocolog) #1

Czy tylko ja jestem częstowany takim komunikatem przy kliknięciu w powiadomienie? Zostaję przekierowywany do strony https://dp.do/c2194754

edit.
Teraz już cały portal padł, a nie tylko powiadomienia…


[wydzielono] brak szyfrowania linków na forum
(krystian3w) #2

Może coś robią “z domeną”, mówili dawno temu że mają tam pełno usługi pod nią podpięta i czegoś już by raczej nie uruchomili.

Dziwne że do linka wkradł się https.

Jak nie robią, to się popsuł system generowania skróconego linka i wypadł z niego zadeklarowany protokół i przeglądarka dopisuje z obecnie otwartej (http://blog.httpwatch.com/2010/02/10/using-protocol-relative-urls-to-switch-between-http-and-https)


(pocolog) #3

Zwróciłeś mi na ten https uwagę i wyłączyłem na chwilę dodatek “https everywhere” co rozwiązało problem.
Ciekawe, że wcześniej ten dodatek nie konfliktował z DP i właściwie nie ma prawa skoro cała komunikacja idzie po https? Czy może jednak nie cała i to tylko pic na wodę?


(krystian3w) #4

Widać nie idzie przez nią nic co wymaga szyfrowania.

Co do tych dodatków na wymuszanie szyfrowania bywa różnie, podobny (Smart HTTPS) po pól roku zaczął się zachowywać inaczej na stronie z sklepem i w panelu nie cofa do http (jakiś błąd chyba w php że po zalogowaniu włączało się na http).

https everywhere wersja stara (5.2.20) czy testujesz nowe zgodne z Firefox 57+ (www.eff.org/files/https-everywhere-test/index.html)


(pocolog) #5

Korzystam z wersji 5.2.20, sprawdziłem jeszcze raz i problem ze stroną DP jest przy zaznaczonej opcji
"Blokuj wszystkie nieszyfrowane próby połączenia"
Znaczy się, to szyfrowanie jest tylko żeby ładnie wyglądało, bo ruch nie jest w całości szyfrowany.


(~MacG) #6

Jakoś mnie to nie dziwi.


(Docent) #7

Co dokładnie jest nieszyfrowane? Chętnie się dowiem :wink:


(~MacG) #8

Widać że nawet w redakcji czytanie ze zrozumieniem kuleje. To wy powinniście nam powiedzieć co nie jest szyfrowane skoro wymuszenie szyfrowania powoduje błędy.


(krystian3w) #9

chodzi o domenę dp.do:


(temat powiązany)


(Docent) #10

Mniej złośliwości, a więcej konkretów… Ja wchodzę przez Chrome na stronę główną i kilka najważniejszych podstron serwisu i za każdym razem mam “zieloną kłódkę”, co oznacza że wszystkie elementy są pobierane przez szyfrowanie połączenie. Chrome poza tym nie renderuje zasobów, które z szyfrowanej strony są pobierane w sposób niezaszyfrowany.

Zatem ponawiam pytanie, które zasoby rzekomo są nieszyfrowane i na czym polega ten “pic na wodę”? Bo moim zdaniem szyfrowane jest wszystko co leci z naszych serwerów.

Co do domeny dp.do, to faktycznie tam jeszcze https nie ma, ale nic z tej domeny nie ładujemy (żadnych zasobów), więc nie ma to żadnego wpływu na działanie samego portalu.


(krystian3w) #11

Chodzi im o sekcje powiadomienia, tam są krótkie linki przekierowujące do nowej wersji programu, komentarza etc. - widać taki link wielu nie odpowiada jakby wykradał dane po kliknięciu.


(Docent) #12

U mnie się klika, dp.do robi przekierowanie i przechodzę nadal do zaszyfrowanej strony w domenie www.dobreprogramy.pl.

Jeśli komuś się wydaje, że dp.do coś wykrada, to polecam przeanalizowanie nagłówków i ruchu który tam idzie - nie są wysyłane np. żadne cookiesy z serwisu.


(pocolog) #13

Pic na wodę dosyć, że określenie żartobliwe to był użyty w formie pytającej :wink: Już nie przesadzaj :smiley: A sprawa faktycznie tyczy się braku szyfrowania na domenie dp.do co zostało już wcześniej wyjaśnione. Napisałem też przez jaki dodatek tak się dzieje i że nie można normalnie przez to korzystać z portalu jeśli wytnie się cały ruch nieszyfrowany z przeglądarki.


(pocolog) #14

Wracam do tematu po fajnym artykule na z3s :wink:


(Bogdan_G) #15

Trzeba sobie zdawać sprawę z istnienia niezabezpieczonej i mieszanej treści na wielu stronach. To trzeba w przeglądarce naleźć.
W Firefoxie - Ustawienia dla niezbezpieczonej i częsiowo szyfrowanej strony:
security.mixed_content.block_display_content false
security.mixed_content.block_active_content false
Na DP jest b dużo takich http, czyli większość linków do pobierania programów ma adres zaczynający się od http.
Albo umiemy korzystać z ustawień (ustawień ukrytych), albo narzekamy. W slimjet można znaleźć w ustawieniach i w ukrytych ustawieniach odpowiednie wpisy, tylko trzeba przełączyć - np oznacz niezabezpieczone źródło jako neutralne .

Swoja drogą, nie uznaję poczty onetu, WP, czy interii. Na gmailu nie ma takich brewerii. Mam konto priv, mam też ogólne.