Tijd voor https ?

blaatpraat
Pro Member
Pro Member
Berichten: 442
Lid geworden op: 10 Jan 2014

Re: Tijd voor https ?

Berichtdoor blaatpraat » 09 Jul 2017, 09:32

Splitter schreef:
blaatpraat schreef:Er bestaan genoeg oplossingen die je als forumeigenaar kan toepassen, waarbij je je leden niet hoeft lastig te vallen.
Als je je leden verplicht om een HTTPS avatar te gebruiken, vallen er veel externe webhosts uit de boot, aangezien die geen HTTPS aanbieden. Dit mag niet het probleem van UB vormen, noch het probleem van de leden hier. Dit mag enkel het probleem van die specifieke webhost vormen, de dag dat HTTP als onveilig aanzien wordt door de browsers.
wut?

1) http is altijd al onveilig geweest (het ligt maar net aan wat je veilig noemt... log jij op de bank in op http?)
Aangezien ik weet wat het verschil is tussen HTTP en HTTPS, weet ik dat ja.
Maar voorlopig wordt een certificaat die 1 minuut vervallen is, nog steeds als onveilig aangeduid, waar een webhosting zonder TLS als neutraal aangeduid door webbrowsers.
Jan met de pet zal dus een HTTP site als veiliger aanzien dan een HTTPS site met een certificaat die 1 minuut vervallen is, en even veilig als met een geldig certificaat.
Dit zal binnenkort veranderen, als de browsermakers eindelijk HTTP als onveilig zullen aanduiden.
2) ben benieuwd welke oplossingen jij kan aanhalen dat je op een forum kan toepassen zonder dat de leden "lastiggevallen" moeten worden of hun avatar kwijt zijn, en toch https zonder waarschuwing kan krijgen? afaik... zijn er geen. mixed content is mixed content.
Atmos Camo, zelf in gebruik, net als veel grote sites waar men leden heeft die avatars en/of onderschriften gebruikten.
3) "vallen er veel externe webhosts uit de boot" again wut? noem er mij 3 die populair zijn en geen https ondersteunen... en geef me vervolgens een reden waarom ze het niet zouden in orde brengen, het kost letterlijk niets meer.
Uit mijn hoofd: geen idee.
Een half jaar geleden waren er alvast nog veel leden op mijn forum die een externe avatar hadden over HTTP.
Als ik manueel dit omvormde naar HTTPS, werkte dit niet.
Met camo is dit opgelost: alles loopt over HTTPS, behalve de image ophaling door mijn server (en niet door de bezoeker). Mijn eigen content is volledig over HTTPS, en je krijgt geen mixed content als eindgebruiker.
En geen last van forumleden waarbij hun avatar plots niet meer werkt.
@beheer: gewoon een sql statement doen van replace http door https... en de avatars die breken, "tant pis"
Mooi staaltje klantvriendelijkheid.

Gebruikersavatar
James.
Premium Member
Premium Member
Berichten: 518
Lid geworden op: 20 Okt 2008

Re: Tijd voor https ?

Berichtdoor James. » 09 Jul 2017, 09:53

Splitter schreef:2) ben benieuwd welke oplossingen jij kan aanhalen dat je op een forum kan toepassen zonder dat de leden "lastiggevallen" moeten worden of hun avatar kwijt zijn, en toch https zonder waarschuwing kan krijgen? afaik... zijn er geen. mixed content is mixed content.
Bij tweakers.net zijn ze onlangs overgeschakeld op HTTPS-only. De problematiek van mixed content (zeer courant op hun forum) hebben ze aangepakt door een eigen HTTPS(-reversed)-proxy (niet zeker) te gebruiken om alle mixed content 'achter te verbergen'.

blaatpraat
Pro Member
Pro Member
Berichten: 442
Lid geworden op: 10 Jan 2014

Re: Tijd voor https ?

Berichtdoor blaatpraat » 09 Jul 2017, 10:02

@James.: ook zij maken gebruik van Atmos Camo, dacht ik.

Dan even een ander bericht:
Ik heb zonet mijn Chrome geüpdatet naar 60 (59 is buggy onder Windows 10, hopelijk werkt deze beter).
Vanaf nu krijg ik inderdaad de melding dat UB niet veilig is om te bezoeken.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 2870
Lid geworden op: 10 Mar 2010

Re: Tijd voor https ?

Berichtdoor Splitter » 09 Jul 2017, 10:07

blaatpraat schreef:Atmos Camo, zelf in gebruik, net als veel grote sites waar men leden heeft die avatars en/of onderschriften gebruikten.
ok, kende ik niet... al lijkt het me een beetje oplapwerk om de echte issues te negeren (de internet versie van klimaatopwarming?)
blaatpraat schreef:
splitter schreef: @beheer: gewoon een sql statement doen van replace http door https... en de avatars die breken, "tant pis"
Mooi staaltje klantvriendelijkheid.
het is nu niet dat ze op een technisch forum niet in staat zijn hun avatar even aan te passen, he?
en again, ik denk dat er érg weinig avatars geladen worden van plaatsen waar https niet mogelijk is.
ooit zal hier iets nuttigs staan

blaatpraat
Pro Member
Pro Member
Berichten: 442
Lid geworden op: 10 Jan 2014

Re: Tijd voor https ?

Berichtdoor blaatpraat » 09 Jul 2017, 10:11

Splitter schreef:
blaatpraat schreef:Atmos Camo, zelf in gebruik, net als veel grote sites waar men leden heeft die avatars en/of onderschriften gebruikten.
ok, kende ik niet... al lijkt het me een beetje oplapwerk om de echte issues te negeren (de internet versie van klimaatopwarming?)
Je zou dit inderdaad zo kunnen zien.
Ik zie het eerder als een manier waarmee je je eigen problemen oplost, zodat jij perfect in orde bent en niet meer afhankelijk van derde partijen die niet in orde zijn.
Gezien het feit dat TLS meer en meer afgedwongen zal worden, zullen die derde partijen wel snel overschakelen, hoop ik, al vrees ik voor een nieuw IE6 debacle (gewoon op hun website plaatsen dat ze geen nieuwere browsers ondersteunen). Met zo'n proxies kunnen deftige webbeheerders dit toch al tackelen voor zichzelf.

Wat als iemand

Code: Selecteer alles

[img][/img]
gebruikt, met een HTTP afbeelding? Tenzij custom code voor je BB-parsing kun je dit niet tegenhouden, of je moet iedere nacht een SQL query draaien die het allemaal wijzigt. :P

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 3417
Lid geworden op: 17 Nov 2009

Re: Tijd voor https ?

Berichtdoor raf1 » 09 Jul 2017, 10:11

blaatpraat schreef:Er bestaan genoeg oplossingen die je als forumeigenaar kan toepassen, waarbij je je leden niet hoeft lastig te vallen.
Ik vind het juist wel nuttig om forumgebruikers lastig te vallen en bewust te maken van https-gebruik en veiligheid op internet in het algemeen. Op die manier zullen de externe hosts ook verplicht worden om https te gebruiken en dat kan je alleen maar toejuichen.

Een privébericht met de aankondiging van deze wijziging is misschien wel aangewezen zodat iedereen op voorhand z'n avatar kan aanpassen.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 2870
Lid geworden op: 10 Mar 2010

Re: Tijd voor https ?

Berichtdoor Splitter » 09 Jul 2017, 10:15

blaatpraat schreef: Gezien het feit dat TLS meer en meer afgedwongen zal worden, zullen die derde partijen wel snel overschakelen, hoop ik, al vrees ik voor een nieuw IE6 debacle (gewoon op hun website plaatsen dat ze geen nieuwere browsers ondersteunen).
zoals proximus met hun proximustv... "oh, firefox schakelt npapi support uit dus silverlight werkt niet meer? oh well, "vereisten: internet explorer 11"... done :)
blaatpraat schreef: Wat als iemand

Code: Selecteer alles

[img][/img]
gebruikt, met een HTTP afbeelding? Tenzij custom code voor je BB-parsing kun je dit niet tegenhouden, of je moet iedere nacht een SQL query draaien die het allemaal wijzigt. :P
hmm, tgoh.. ik denk als je de code maakt dat die // doet ipv http of https te kiezen dat dat wel zal meevallen? dan gaat die voor https enabled zowiezo https kiezen als userbase over https geladen is.
maar idd, je krijgt dan wel weer mixed content of gebroken afbeeldingen.

nobody said it would be easy, maar het "we moeten zoveel mogelijk https gebruiken" verhaal gaat toch vlotter als het ipv6 verhaal.

EDIT:

kijk meon, zo moet het: https://observatory.mozilla.org/analyze ... peeters.io :angel:
(maar das maar een utopie, ik zou voor userbase *NOOIT* CSP toepassen, f*ing pain in the ass)
ooit zal hier iets nuttigs staan

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4119
Lid geworden op: 16 Feb 2011

Re: Tijd voor https ?

Berichtdoor MClaeys » 10 Jul 2017, 07:17

In mijn geval kon ik de url van men avatar gewoon naar https veranderen, blijkbaar is die site inmiddels ook daarmee beschikbaar. Mooi meegenomen :).
Xbox Live: MClaeys

Gebruikersavatar
James.
Premium Member
Premium Member
Berichten: 518
Lid geworden op: 20 Okt 2008

Re: Tijd voor https ?

Berichtdoor James. » 10 Jul 2017, 09:08

blaatpraat schreef:@James.: ook zij maken gebruik van Atmos Camo, dacht ik.
Dat klopt idd: https://tweakers.net/reviews/4555/3/twe ... ntent.html


Terug naar “Userbase: Aankondigingen, vragen en suggesties”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast