Kun en ole kirjautunut Ohjelmointiputkaan, ilmoitti Chromen developer tools (F12) seuraavaa: (index):1 This page includes a password or credit card input in a non-secure context. A warning has been added to the URL bar. For more information, see https://goo.gl/zmWq3m. Onkohan sivulla joku tietoturva-aukko? Tätä ongelmaa ei tule jos käyttäjä on kirjautunut sivulle.
Se tulee koska sivusto ei ole https:n takana. https:llä sivusto menee jonnekkin louhen ilmoitukseen. ps. sen ssl:n saa ilmaiseksi tänä päivänä, Lets encrypt!
groovyb, vielä kun saisi sen ilmaiseksi webhotelliin...
Putka voitaisiin siirtää virtuaalipalvelimelle, jos Antti järjestäisi domainin siirron. Sitten saataisiin myös SSL (ja HTTP2 ym. hyvää) käyttöön.
Saman kaltainen ilmoitus mutta selkeämpi tulee uusimmassa Firefox-selaimessa josta ymmärtää heti että kyseessä on ilmoitus siitä, että sivusto ei ole SSL-salauksen takana eli osoite on http eikä https.
”Ongelma” on nyt korjattu. Ainakin omasta mielestäni sivusto toimii muutenkin entistä nopeammin. :)
Hyvä. Uskaltaa taas kirjautua tänne.
Oho, huomasin vasta nyt että putka tukee SSL. Hienoa!
Mites muuten linkkien toimivuus, oliko tällä muutoksella vaikutusta asiaan?
Esim tuo ylläoleva linkki Lets Encrypt! -sivustolle ohjaa suoraan tähän samaan sivuun. Kuitenkin itse linkin tägi näyttäisi olevan ihan oikein. Huomasin myös, että jos muokkauksen jälkeen painaa linkkiä joka on muokkauksen kohteessa olevassa viestissä, tulee ilmoitus CSRF suojauksesta.
Virhe! Epäilyttävä pyyntö! (CSRF-kenttä puuttuu.)
**EDIT**
Ongelma näyttäisi koskevan systemaattisesti kaikkia linkkejä, jotka on Linkki -tägin kautta tehty.
vesikuusi kirjoitti:
Oho, huomasin vasta nyt että putka tukee SSL. Hienoa!
"vasta nyt" = 5 tuntia tuen lisäämisestä ;D
groovyb kirjoitti:
Esim tuo ylläoleva linkki Lets Encrypt! -sivustolle ohjaa suoraan tähän samaan sivuun.
Oli näköjään yksi !=-merkki lipsahtanut väärin päin, ja sivuston sisäiset ja ulkopuoliset linkit menivät käsittelyssä sekaisin. Tarkoitus oli juuri huolehtia oikeasta https-alusta sivuston linkeissä.
groovyb kirjoitti:
Huomasin myös, että jos muokkauksen jälkeen painaa linkkiä joka on muokkauksen kohteessa olevassa viestissä, tulee ilmoitus CSRF suojauksesta.
Itse en ainakaan nyt näe tällaista ongelmaa. Kyse oli varmaan edellä mainitun bugin vuoksi rikkoutuneista linkeistä, jotka saattoivat AJAX-muokkauksen jäljiltä osoittaa virheellisesti AJAX-käsittelijään.
Hyvin mahdollista, en jäänyt asiaa sen tarkemmin tutkimaan, kunhan tuli moinen ilmiö vastaan.
Grez kirjoitti:
vesikuusi kirjoitti:
Oho, huomasin vasta nyt että putka tukee SSL. Hienoa!
"vasta nyt" = 5 tuntia tuen lisäämisestä ;D
Tarkoitin että vasta luettuani ketjun! ;) Muuten olisi varmaan jäänyt huomaamatta.
Aihe on jo aika vanha, joten et voi enää vastata siihen.