AIMP Forum
Разное => Сайт / Web site => Предложения / Suggestions => Topic started by: Алексей Долматов on December 03, 2016, 23:56:02
-
Предлагаю начать подготовку к полноценному переходу на HTTPS
компания Google сообщила, что с января 2017 (с Chrome версии 56) при просмотре в Chrome сайты, которые передают пароли и номера кредиток по протоколу HTTP (т.е. не по HTTPS), будут маркироваться как небезопасные
Уже сейчас в тестовом режиме (флаг 55 версии) можно увидеть такое сообщение:
(https://moemesto.ru/Alex_dolmatov/file/14991292/HTTP+S.png)
На текущем этапе у сайта сам сертификат есть, но сейчас не все ресурсу корректно обрабатываются
Mixed Content: The page at 'https://www.aimp.ru/' was loaded over HTTPS, but requested an insecure image 'https://www.aimp.ru/data/images/logo.png'. This content should also be served over HTTPS.
Mixed Content: The page at 'https://www.aimp.ru/forum/index.php' was loaded over HTTPS, but requested an insecure stylesheet 'https://www.aimp.ru/forum/Themes/Bliss/css/index.css?rc3'. This request has been blocked; the content must be served over HTTPS.
-
Проблема в том, что нужно везде все ссылки переправить на https, в том числе на форуме и блоге.
-
Проблема в том, что нужно везде все ссылки переправить на https, в том числе на форуме и блоге.
А вот это не поможет?:
Достаточно добавить http заголовок Strict-Transport-Security, и браузер сам перепишет все ссылки на https.
-
Спасибо, посмотрю на досуге.
-
Проблема в том, что нужно везде все ссылки переправить на https, в том числе на форуме и блоге.
А нельзя ли на уровне сервера сделать автоматический редирект http на https?
-
А нельзя ли на уровне сервера сделать автоматический редирект http на https?
Проблема в том, что warning-и в браузере не пропадает при этом.
-
Проблема в том, что warning-и в браузере не пропадает при этом.
Mixed-content? Да, с этим могут быть проблемы, если хотя бы один внешний ресурс будет скачиваться по HTTP. А так больше проблем никаких не должно быть (мы не раз переводили сайты на HTTPS, правда мы IIS юзаем).
-
Mixed-content? Да, с этим могут быть проблемы, если хотя бы один внешний ресурс будет скачиваться по HTTP. А так больше проблем никаких не должно быть (мы не раз переводили сайты на HTTPS, правда мы IIS юзаем).
Да, mixed-content. только по умолчанию браузер блокирует этот миксед-контент и даже не пытается качать css / картинки по http.
-
Оставлю это на всякий случай здесь - Деликатный переезд (или рекомендации Яндекса по переезду на HTTPS) (https://yandex.ru/blog/platon/2778), вдруг пригодится.
-
Через поисковик google сайт не открывается https://www.aimp.ru/ в FF
Secure Connection Failed
А в Vivaldi все ok, хотя нет - форум сломан
-
Через поисковик google сайт не открывается https://www.aimp.ru/ в FF
Secure Connection Failed
А в Vivaldi все ok, хотя нет - форум сломан
Может от версии или от дополнений зависит, в FF 50.1 открылся без проблем (кроме корректности темы форума)
-
Через поисковик google сайт не открывается https://www.aimp.ru/ в FF
Secure Connection Failed
Вроде в FF своё хранилище сертификатов, может с этим связано.
-
Может от версии или от дополнений зависит, в FF 50.1 открылся без проблем (кроме корректности темы форума)
Вроде в FF своё хранилище сертификатов, может с этим связано.
Проверял в Firefox 51 beta.
-
Протестировал как выглядит на 57-ой версии хрома, пока серьёзных преград нет к использованию HTTP
(https://www.aimp.ru/forum/index.php?action=dlattach;topic=55134.0;attach=49104)
-
Не уверен, что платформа форума поддерживает вынос в отдельный фрейм HTTPS окна авторизации.
-
я тоже плюсую за HTTPS, тем более есть такая классная вещь как Let's Encrypt где сертификаты бесплатные)) и самое главное признаваемые всеми браузерами как валидные. mixed content ерунда просто у ссылок меняем с http:// на //
Пример взял сейчас с сайта
ДО
<link rel="stylesheet" type="text/css" href="https://www.aimp.ru/forum/Themes/Bliss/css/index.css?rc3">
ПОСЛЕ
<link rel="stylesheet" type="text/css" href="//www.aimp.ru/forum/Themes/Bliss/css/index.css?rc3">
это делает универсальным подключение стилей, картинок, js и т.д. по любому протоколу(HTTP\HTTPS)
P.S. если надо хелпануть только напишите, я у себя сервер настраивал на HTTPS работает гуд
-
если надо хелпануть только напишите, я у себя сервер настраивал на HTTPS работает гуд
Здесь ещё SMF не обновлён.
SMF 2.0.14 поддерживает HTTPS, а SMF 2.0.13 не поддерживает.
Либо нужно ждать SMF 2.1 (релиза и его проверки), либо обновлять форум версией 2017-го года SMF 2.0.15
-
Здесь ещё SMF не обновлён.
SMF 2.0.14 поддерживает HTTPS, а SMF 2.0.13 не поддерживает.
Либо нужно ждать SMF 2.1 (релиза и его проверки), либо обновлять форум версией 2017-го года SMF 2.0.15
Для последнего SMF нужен новый PHP, а чтобы поставить новый PHP надо обновить тонну сторонних скриптов. В рамках форума я не вижу профита от https
-
Для последнего SMF нужен новый PHP, а чтобы поставить новый PHP надо обновить тонну сторонних скриптов. В рамках форума я не вижу профита от https
ну так то да, но зато поисковики будут лучше к сайту относится, HTTPS модно жи + зря не обновляете вопросы безопасности вещи такие, думаю вряд ли вы хотите чтобы какой-нибудь злой дядя воспользовался уязвимостью и заразил установочник aimp для винды и андроид на сайте, и бадумс плеер из популярного становится не популярным с приставкой "вирусный"
-
чтобы какой-нибудь злой дядя воспользовался уязвимостью и заразил установочник aimp для винды и андроид на сайте, и бадумс плеер из популярного становится не популярным с приставкой "вирусный"
а HTTPS тут причем? HTTPS решает лишь вопрос вклинивания между клиентом и сервером. Все.
-
ну так то да, но зато поисковики будут лучше к сайту относится, HTTPS модно жи + зря не обновляете вопросы безопасности вещи такие, думаю вряд ли вы хотите чтобы какой-нибудь злой дядя воспользовался уязвимостью и заразил установочник aimp для винды и андроид на сайте, и бадумс плеер из популярного становится не популярным с приставкой "вирусный"
https://www.aimp.ru открывается с действующим сертификатом, только нет автопереадресации и чуть ругается браузер на Mixed Content.
-
а HTTPS тут причем? HTTPS решает лишь вопрос вклинивания между клиентом и сервером. Все.
ну пароли в не зашифрованном виде можно перехватить, ваш например и по удалять тут всё и т.д.
а так я смотрю сервер nginx/1.0.15 древний, а php 5.3.3 я такого и не помню я только 5.4 застал ;D можно с помощью гугла найти уязвимости и как их использовать))) я просто параноик в этом плане, но решать вам. да и дело не только в безопасности и производительности, а сторонним фреймворкам думаю не сложно будет найти замену. а вы используете vps? под сайт? и если не секрет и я вас не достал еще ахахах почему SMF в качестве форума, а не phpbb?
-
https://www.aimp.ru открывается с действующим сертификатом, только нет автопереадресации и чуть ругается браузер на Mixed Content.
видел, пробовал)