Extra beveiliging in de vorm van een (groen) slotje

het slotje is niet groen omdat er in de pagina een link zit die niet https is, of geen groen slotje heeft. Ik weet niet hoe je dat afdwingt, dat als mensen een link posten dat die dan https wordt?
 
alle links naar motormeuk, motorshopper e.d. hebben http:// vandaar dat het slotje op de site niet groen wordt. Het wordt heel eventjes groen, totdat de content is geladen. Alleen als al die links ook https zijn, wordt het slotje groen.

Maar ook als het slotje grijs is, is de site op zich veilig. Alleen kun je dan op een "onveilige" link klikken, maar dat is dan je eigen keus.

Heel mooi dat MF nu ssl gebruikt!
 
Laatst bewerkt:
Met Firefox zie ik op de MF homepage een groen slotje, maar op deze pagina een geel driehoekje erbij, vanwege "parts of this page are not secure (such as images)".
Met Chrome zie ik nergens een groen slotje.
Ik had al 's eerder gemerkt dat Chrome soms wat kritischer is dan Firefox, maar Firefox geeft betere meldingen.

Mixed content blocking in Firefox | Firefox Help
 
Laatst bewerkt:
Xtine zei:
Je probeert http:// niet https:// en ik denk dat je met je post veroorzaakt dat de hele pagina dan ook geen groen slotje heeft.

Ik neem aan dat de web server een redirect heeft om alle verkeer van http via https te sturen?
Klik om te vergroten...
Ik weet heus wel wat ik in de adresbalk intyp ;)
Het lijkt dus (als je naar de foutmelding kijkt) alsof er iets met redirecten misgaat.

In Safari op ios werkt het overigens prima.
 
Laatst bewerkt:
Hier geen slotje te zien, mf werkt verder prima.

Chrome op een android telefoon.

Ik heb voor de volledigheid even een screenshot gemaakt:

full
 
Laatst bewerkt:
Redirecten gaat goed want in Firefox werkt het. Chrome is veel kritischer met "onveilige" links en content.
 
Ik heb nu een groen slotje in Chrome, op de home page, maar niet op deze page. Door caching kan het ff duren voor dat het goed werkt in je browser.
 
Nou, ik kan via chrome nog alleen maar naar binnen als ik handmatig de https naar http verander.

In FF laadt 'ie wel, alleen krijg je wel zo'n waarschuwingsdriehoekje bij het slotje:

9qlZ91R.png


Firefox wijst ons op die leuke avatarretjes en de single_login:

Aei6SZk.png
 
... en na het clearen van mijn Chrome cache data redirect http me nu altijd naar https en kan ik er met chrome dus helemaal niet meer in (tenzij ik mijn security settings verlaag, presumably :) )
 
Slotje is nu wel te zien op de homepage en bij actieve onderwerpen, maar zodra ik een topic open niet meer.
 
Nou, er zijn nog altijd een heleboel profice pics (avatars?) die mixed content warnings veroorzaken. Kan MF niet gewoon al het laaghangend fruit plukken met een query op alle profile pics om http:// te replacen door https://? Dan valt er wel een berg profile pics om, maar goed, het lijkt me toch voor een goed doel. Eventueel informeer je alle gebruikers die een http avatar linkje hadden via een bulk pm of zo?
 
Startpost bijgewerkt.

We kunnen van onze bezoekers niet verwachten dat ze een ssl-link gaan opzoeken van hun extern gehoste icoon. Het is een beetje behelpen zo, ik weet het, maar we zullen moeten wachten tot de nieuwe software om dit echt op te lossen.

(De nieuwe software, Xenforo, bevat een proxy die alle extern gehoste data lokaal opslaat om mixed content te voorkomen.)
 
Ik neem toch aan dat hosters een ssl link hebben, dus als je alle http:// vervangt door https:// zou het toch goed moeten gaan?
 
Nog eventjes en alle grote browsers gaan http-zonder-s weren, dus bij alle services die daar klaar voor zijn kun je veilig de s toevoegen inderdaad. :)
 
Heb nu zelf maar een groen slotje aan mijn laptop gehangen. Dat voelt toch veiliger.
 
Xtine zei:
Ik neem toch aan dat hosters een ssl link hebben, dus als je alle http:// vervangt door https:// zou het toch goed moeten gaan?
Klik om te vergroten...
Niet iedere "hoster" natuurlijk. Mijn pic kwam bijvoorbeeld bij warmplace.ru vandaan, een Bond villains platform maker van Sunvox, een van mijn favoriete chiptune trackers/softsynths. Die hebben dus ook nog geen ssl geïmplementeerd. Nu even op imgur gezet, kon de oorsprong van het plaatje niet vinden maar leek me open-source-achtig genoeg en bovendien educatief, dus toch maar even zelf op imgur gezet (die natuurlijk wel https serveren) en nu MF profiel daarnaartoe gelinkt.

Maar goed, warmplace.ru is dus een "hoster zonder ssl link". Dus ik ben zelf een van degenen bij wie het niet goed zou zijn gegaan. Maar Bosso bijvoorbeeld heeft "http://www.behindthevoiceactors.com/_img/voice_compare/2737.jpg", en die is wel gewoon met https te benaderen.

Xtine zei:
We kunnen van onze bezoekers niet verwachten dat ze een ssl-link gaan opzoeken van hun extern gehoste icoon. Het is een beetje behelpen zo, ik weet het, maar we zullen moeten wachten tot de nieuwe software om dit echt op te lossen.
Klik om te vergroten...
Ik vind er persoonlijk wel wat voor te zeggen om, in deze tijd van security awareness campaigning, van je gebruikers te verwachten dat ze elkaar geen onversleutelde content voeren, en ze tegen zichzelf en elkaar te beschermen als ze dat onbedoeld toch doen. Veel andere softwares met avatar pics eisen daarom toch ook dat je toch i.i.g. je avatar pic gewoon uploadt met een upload-systeempje, zodat ze het kunnen scannen, converten/sanitizen/resizen en lokaal hosten.

Xtine zei:
(De nieuwe software, Xenforo, bevat een proxy die alle extern gehoste data lokaal opslaat om mixed content te voorkomen.)
Klik om te vergroten...
Dat lijkt me een integrity risk. Nou zit ik niet vaak op de stoel van een CIA-rating auditor, maar hier zou ik toch wel een vraagje over hebben op het I-vlak :) Als er data ergens langs de keten onversleuteld doorkomt (en dus blootstaat aan sniffing/MitM-attacks etc.) dan wil je dat toch niet onder je eigen naam versleutelen en aan je gebruikers geven die daar dan nooit meer een waarschuwing van krijgen? (En je daarmee potentieel laten misbruiken als trojan payload delivery vehicle?)

Het kan natuurlijk zijn dat jouw bron zelf https uitlevert maar intern het plaatje ook weer uit een andere onversleutelde bron heeft gekregen, maar dan ben jij tenminste slachtoffer in plaats van medeplichtige :)

Maar veel verder gaat mijn kennis op dat gebied niet, dus misschien mis ik van alles :? Ik laat me graag corrigeren en onderwijzen :Y
 
Laatst bewerkt:
SadBunny zei:
Dat lijkt me een integrity risk. Nou zit ik niet vaak op de stoel van een CIA-rating auditor, maar hier zou ik toch wel een vraagje over hebben op het I-vlak :) Als er data ergens langs de keten onversleuteld doorkomt (en dus blootstaat aan sniffing/MitM-attacks etc.) dan wil je dat toch niet onder je eigen naam versleutelen en aan je gebruikers geven die daar dan nooit meer een waarschuwing van krijgen? (En je daarmee potentieel laten misbruiken als trojan payload delivery vehicle?)
Klik om te vergroten...
:^
Het lijkt mij ook een vrij spannende feature om dezelfde reden. Hoop ellende meegemaakt met dit soort features van verschillende pakketten in mijn tijd als beheerder bij een webhoster.

Dan lijkt het me veiliger om avatars gewoon altijd zelf op te slaan (dus bij opgave van een url gewoon een GET te doen en 't bestandje in de documentenbak van de gebruiker kieperen) en plaatjes in topics gewoon niet toe te staan zonder https en/of de 's' toe te voegen aan de url. Jammer dan voor mensen die nog linken naar iets zonder https.
 
Ik zie nog staan "<form action="http ://www.motor-forum.nl/motorshopper/producten///Nieuwe-producten-Beta.html" method="get" id="list_categories_products_form">" en ik denk dat dat een grijs slotje veroorzaakt in chrome.
 
Laatst bewerkt:
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer

Vergelijkbare onderwerpen

Duderuud
MF heeft er een nieuwe mod bij
2 3 4
Reacties
89
Weergaven
5K
Nightbat®
Nightbat®
Duderuud
Nieuwe functionaliteit: negeren van forums en topics
2 3
Reacties
73
Weergaven
2K
Rob RD
Rob RD
Duderuud
Wat onnodige en nutteloze statistiekjes... deel 18 (2023)
2
Reacties
38
Weergaven
2K
LePensZeur
LePensZeur
Duderuud
Bug in statistieken pagina opgelost
Reacties
0
Weergaven
584
Duderuud
Duderuud
Duderuud
Wat nutteloze statistiekjes... deel 17 (2022)
Reacties
10
Weergaven
999
gixxer-san
gixxer-san
Terug
Bovenaan Onderaan