AIMP Forum

Разное => Сайт / Web site => Предложения / Suggestions => Topic started by: Алексей Долматов on December 03, 2016, 23:56:02

Title: HTTPS
Post by: Алексей Долматов on December 03, 2016, 23:56:02
Предлагаю начать подготовку к полноценному переходу на HTTPS
Quote from: https://geektimes.ru/post/280288/
компания Google сообщила, что с января 2017 (с Chrome версии 56) при просмотре в Chrome сайты, которые передают пароли и номера кредиток по протоколу HTTP (т.е. не по HTTPS), будут маркироваться как небезопасные
Уже сейчас в тестовом режиме (флаг 55 версии) можно увидеть такое сообщение:
(https://moemesto.ru/Alex_dolmatov/file/14991292/HTTP+S.png)

На текущем этапе у сайта сам сертификат есть, но сейчас не все ресурсу корректно обрабатываются
Quote
Mixed Content: The page at 'https://www.aimp.ru/' was loaded over HTTPS, but requested an insecure image 'https://www.aimp.ru/data/images/logo.png'. This content should also be served over HTTPS.

Mixed Content: The page at 'https://www.aimp.ru/forum/index.php' was loaded over HTTPS, but requested an insecure stylesheet 'https://www.aimp.ru/forum/Themes/Bliss/css/index.css?rc3'. This request has been blocked; the content must be served over HTTPS.
Title: Re: HTTPS
Post by: Artem on December 04, 2016, 11:08:53
Проблема в том, что нужно везде все ссылки переправить на https, в том числе на форуме и блоге.
Title: Re: HTTPS
Post by: Zhenya on December 04, 2016, 12:09:32
Проблема в том, что нужно везде все ссылки переправить на https, в том числе на форуме и блоге.
А вот это не поможет?:

Quote from: https://geektimes.ru/post/280288/#comment_9566366
Достаточно добавить http заголовок Strict-Transport-Security, и браузер сам перепишет все ссылки на https.
Title: Re: HTTPS
Post by: Artem on December 04, 2016, 13:26:03
Спасибо, посмотрю на досуге.
Title: Re: HTTPS
Post by: Tarik on December 09, 2016, 23:37:45
Проблема в том, что нужно везде все ссылки переправить на https, в том числе на форуме и блоге.
А нельзя ли на уровне сервера сделать автоматический редирект http на https?
Title: Re: HTTPS
Post by: Artem on December 09, 2016, 23:58:39
А нельзя ли на уровне сервера сделать автоматический редирект http на https?

Проблема в том, что warning-и в браузере не пропадает при этом.
Title: Re: HTTPS
Post by: Tarik on December 10, 2016, 15:16:20
Проблема в том, что warning-и в браузере не пропадает при этом.
Mixed-content? Да, с этим могут быть проблемы, если хотя бы один внешний ресурс будет скачиваться по HTTP. А так больше проблем никаких не должно быть (мы не раз переводили сайты на HTTPS, правда мы IIS юзаем).
Title: Re: HTTPS
Post by: Artem on December 10, 2016, 17:14:06
Mixed-content? Да, с этим могут быть проблемы, если хотя бы один внешний ресурс будет скачиваться по HTTP. А так больше проблем никаких не должно быть (мы не раз переводили сайты на HTTPS, правда мы IIS юзаем).

Да, mixed-content. только по умолчанию браузер блокирует этот миксед-контент и даже не пытается качать css / картинки по http.
Title: Re: HTTPS
Post by: Zhenya on January 10, 2017, 01:30:13
Оставлю это на всякий случай здесь - Деликатный переезд (или рекомендации Яндекса по переезду на HTTPS) (https://yandex.ru/blog/platon/2778), вдруг пригодится.
Title: Re: HTTPS
Post by: Xwansu on January 10, 2017, 01:35:28
Через поисковик google сайт не открывается https://www.aimp.ru/ в FF
Secure Connection Failed

А в Vivaldi все ok, хотя нет - форум сломан
Title: Re: HTTPS
Post by: Алексей Долматов on January 10, 2017, 08:55:18
Через поисковик google сайт не открывается https://www.aimp.ru/ в FF
Secure Connection Failed

А в Vivaldi все ok, хотя нет - форум сломан
Может от версии или от дополнений зависит, в FF 50.1 открылся без проблем (кроме корректности темы форума)
Title: Re: HTTPS
Post by: Zhenya on January 10, 2017, 15:52:30
Через поисковик google сайт не открывается https://www.aimp.ru/ в FF
Secure Connection Failed
Вроде в FF своё хранилище сертификатов, может с этим связано.
Title: Re: HTTPS
Post by: Xwansu on January 11, 2017, 00:45:28
Может от версии или от дополнений зависит, в FF 50.1 открылся без проблем (кроме корректности темы форума)
Вроде в FF своё хранилище сертификатов, может с этим связано.

Проверял в Firefox 51 beta.
Title: Re: HTTPS
Post by: Алексей Долматов on January 15, 2017, 14:52:47
Протестировал как выглядит на 57-ой версии хрома, пока серьёзных преград нет к использованию HTTP
(https://www.aimp.ru/forum/index.php?action=dlattach;topic=55134.0;attach=49104)
-
Не уверен, что платформа форума поддерживает вынос в отдельный фрейм HTTPS окна авторизации.
Title: Re: HTTPS
Post by: long on January 23, 2019, 15:48:32
я тоже плюсую за HTTPS, тем более есть такая классная вещь как Let's Encrypt где сертификаты бесплатные)) и самое главное признаваемые всеми браузерами как валидные. mixed content ерунда просто у ссылок меняем с http:// на //
Пример взял сейчас с сайта
ДО
Code: [Select]
<link rel="stylesheet" type="text/css" href="https://www.aimp.ru/forum/Themes/Bliss/css/index.css?rc3">ПОСЛЕ
Code: [Select]
<link rel="stylesheet" type="text/css" href="//www.aimp.ru/forum/Themes/Bliss/css/index.css?rc3">это делает универсальным подключение стилей, картинок, js и т.д. по любому протоколу(HTTP\HTTPS)

P.S. если надо хелпануть только напишите, я у себя сервер настраивал на HTTPS работает гуд
Title: Re: HTTPS
Post by: Алексей Долматов on January 23, 2019, 18:02:17
Quote
если надо хелпануть только напишите, я у себя сервер настраивал на HTTPS работает гуд
Здесь ещё SMF не обновлён.
SMF 2.0.14 поддерживает HTTPS, а SMF 2.0.13 не поддерживает.
Либо нужно ждать SMF 2.1 (релиза и его проверки), либо обновлять форум версией 2017-го года SMF 2.0.15   
Title: Re: HTTPS
Post by: Artem on January 23, 2019, 19:20:43
Здесь ещё SMF не обновлён.
SMF 2.0.14 поддерживает HTTPS, а SMF 2.0.13 не поддерживает.
Либо нужно ждать SMF 2.1 (релиза и его проверки), либо обновлять форум версией 2017-го года SMF 2.0.15   

Для последнего SMF нужен новый PHP, а чтобы поставить новый PHP надо обновить тонну сторонних скриптов. В рамках форума я не вижу профита от https
Title: Re: HTTPS
Post by: long on January 23, 2019, 21:54:01
Для последнего SMF нужен новый PHP, а чтобы поставить новый PHP надо обновить тонну сторонних скриптов. В рамках форума я не вижу профита от https
ну так то да, но зато поисковики будут лучше к сайту относится, HTTPS модно жи + зря не обновляете вопросы безопасности вещи такие, думаю вряд ли вы хотите чтобы какой-нибудь злой дядя воспользовался уязвимостью и заразил установочник aimp для винды и андроид на сайте, и бадумс плеер из популярного становится не популярным с приставкой "вирусный"
Title: Re: HTTPS
Post by: Artem on January 23, 2019, 22:23:19
чтобы какой-нибудь злой дядя воспользовался уязвимостью и заразил установочник aimp для винды и андроид на сайте, и бадумс плеер из популярного становится не популярным с приставкой "вирусный"

а HTTPS тут причем? HTTPS решает лишь вопрос вклинивания между клиентом и сервером. Все.


Title: Re: HTTPS
Post by: Алексей Долматов on January 23, 2019, 22:29:39
ну так то да, но зато поисковики будут лучше к сайту относится, HTTPS модно жи + зря не обновляете вопросы безопасности вещи такие, думаю вряд ли вы хотите чтобы какой-нибудь злой дядя воспользовался уязвимостью и заразил установочник aimp для винды и андроид на сайте, и бадумс плеер из популярного становится не популярным с приставкой "вирусный"
https://www.aimp.ru открывается с действующим сертификатом, только нет автопереадресации и чуть ругается браузер на Mixed Content.
Title: Re: HTTPS
Post by: long on January 24, 2019, 14:29:31
а HTTPS тут причем? HTTPS решает лишь вопрос вклинивания между клиентом и сервером. Все.
ну пароли в не зашифрованном виде можно перехватить, ваш например и по удалять тут всё и т.д.
а так я смотрю сервер nginx/1.0.15 древний, а php 5.3.3 я такого и не помню я только 5.4 застал ;D можно с помощью гугла найти уязвимости и как их использовать))) я просто параноик в этом плане, но решать вам. да и дело не только в безопасности и производительности, а сторонним фреймворкам думаю не сложно будет найти замену. а вы используете vps? под сайт? и если не секрет и я вас не достал еще ахахах почему SMF в качестве форума, а не phpbb?
Title: Re: HTTPS
Post by: long on January 24, 2019, 14:36:07
https://www.aimp.ru открывается с действующим сертификатом, только нет автопереадресации и чуть ругается браузер на Mixed Content.
видел, пробовал)