Kirjautuminen

Haku

Tehtävät

Keskustelu: Ohjelmointiputka: Ohjelmointiputka ja HTTPS

Sivun loppuun

Jaska [05.04.2017 09:28:51]

#

Kun en ole kirjautunut Ohjelmointiputkaan, ilmoitti Chromen developer tools (F12) seuraavaa: (index):1 This page includes a password or credit card input in a non-secure context. A warning has been added to the URL bar. For more information, see https://goo.gl/zmWq3m. Onkohan sivulla joku tietoturva-aukko? Tätä ongelmaa ei tule jos käyttäjä on kirjautunut sivulle.

groovyb [05.04.2017 13:29:45]

#

Se tulee koska sivusto ei ole https:n takana. https:llä sivusto menee jonnekkin louhen ilmoitukseen. ps. sen ssl:n saa ilmaiseksi tänä päivänä, Lets encrypt!

Metabolix [05.04.2017 17:21:41]

#

groovyb, vielä kun saisi sen ilmaiseksi webhotelliin...

Putka voitaisiin siirtää virtuaalipalvelimelle, jos Antti järjestäisi domainin siirron. Sitten saataisiin myös SSL (ja HTTP2 ym. hyvää) käyttöön.

walkout_ [08.04.2017 19:58:44]

#

Saman kaltainen ilmoitus mutta selkeämpi tulee uusimmassa Firefox-selaimessa josta ymmärtää heti että kyseessä on ilmoitus siitä, että sivusto ei ole SSL-salauksen takana eli osoite on http eikä https.

Metabolix [11.04.2017 17:16:43]

#

”Ongelma” on nyt korjattu. Ainakin omasta mielestäni sivusto toimii muutenkin entistä nopeammin. :)

qeijo [11.04.2017 17:24:51]

#

Hyvä. Uskaltaa taas kirjautua tänne.

vesikuusi [11.04.2017 22:08:16]

#

Oho, huomasin vasta nyt että putka tukee SSL. Hienoa!

groovyb [12.04.2017 08:59:36]

#

Mites muuten linkkien toimivuus, oliko tällä muutoksella vaikutusta asiaan?
Esim tuo ylläoleva linkki Lets Encrypt! -sivustolle ohjaa suoraan tähän samaan sivuun. Kuitenkin itse linkin tägi näyttäisi olevan ihan oikein. Huomasin myös, että jos muokkauksen jälkeen painaa linkkiä joka on muokkauksen kohteessa olevassa viestissä, tulee ilmoitus CSRF suojauksesta.

Virhe!

Epäilyttävä pyyntö! (CSRF-kenttä puuttuu.)

**EDIT**

Ongelma näyttäisi koskevan systemaattisesti kaikkia linkkejä, jotka on Linkki -tägin kautta tehty.

Grez [12.04.2017 09:19:22]

#

vesikuusi kirjoitti:

Oho, huomasin vasta nyt että putka tukee SSL. Hienoa!

"vasta nyt" = 5 tuntia tuen lisäämisestä ;D

Metabolix [12.04.2017 15:00:36]

#

groovyb kirjoitti:

Esim tuo ylläoleva linkki Lets Encrypt! -sivustolle ohjaa suoraan tähän samaan sivuun.

Oli näköjään yksi !=-merkki lipsahtanut väärin päin, ja sivuston sisäiset ja ulkopuoliset linkit menivät käsittelyssä sekaisin. Tarkoitus oli juuri huolehtia oikeasta https-alusta sivuston linkeissä.

groovyb kirjoitti:

Huomasin myös, että jos muokkauksen jälkeen painaa linkkiä joka on muokkauksen kohteessa olevassa viestissä, tulee ilmoitus CSRF suojauksesta.

Itse en ainakaan nyt näe tällaista ongelmaa. Kyse oli varmaan edellä mainitun bugin vuoksi rikkoutuneista linkeistä, jotka saattoivat AJAX-muokkauksen jäljiltä osoittaa virheellisesti AJAX-käsittelijään.

groovyb [13.04.2017 14:59:45]

#

Hyvin mahdollista, en jäänyt asiaa sen tarkemmin tutkimaan, kunhan tuli moinen ilmiö vastaan.

vesikuusi [17.04.2017 13:16:50]

#

Grez kirjoitti:

vesikuusi kirjoitti:

Oho, huomasin vasta nyt että putka tukee SSL. Hienoa!

"vasta nyt" = 5 tuntia tuen lisäämisestä ;D

Tarkoitin että vasta luettuani ketjun! ;) Muuten olisi varmaan jäänyt huomaamatta.


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta