Errore di "contenuto misto" HTTP/HTTPS sul forum

Ti piacciono il sito e la community? Questo è il posto giusto per lasciare commenti, suggerimenti e... critiche.
Regole del forum
Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

Riprendo questo specifico problema per gestirlo meglio.
hashcat ha scritto:Problemi minori:
Persiste uno stato di "contenuto misto" nelle discussioni in cui vengono incorporate immagini esterne (richiamate via http). Soluzioni: forzare il richiamo via https: magari attraverso le RegEx (spunto) (è possibile con imageshack, imgur e dropbox ma non con posteimage ed imagebanana).
developerwinme ha scritto:- Quando visito alcuni topic (ad esempio, questo), IE 11 su Windows 8.1 continua a chiedermi se voglio visualizzare anche il contenuto non sicuro (credo sia colpa di una opzione che ho attivato nelle impostazioni, ma comunque indica che ci sono porzioni non https in alcune pagine del forum). EDIT: Problema simile con Firefox (viene visualizzato il cartellino triangolare di avviso nella barra degli indirizzi). Dal report di Firefox, sembra essere colpa di imageshack.
Confermo che il problema è dato dai siti di imagehosting.

Lato-server non è gestibile perché bisognerebbe moddare phpBB, cosa che rimane uno dei miei paletti fissi da evitare.

Cerco di capire se, in qualche modo, è gestibile via Javascript (come facciamo per la gestione dei link esterni). Rimane il problema che non lo possiamo fare indiscriminatamente perché non tutti i siti di img hosting supportano HTTPS, quindi lo implementeremo per quei 4-5 servizi più popolari. Aperto bug.
Zane - TurboLab.it

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da System » sab mag 03, 2014 6:10 pm


Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da hashcat »

Zane ha scritto:Confermo che il problema è dato dai siti di imagehosting.

Lato-server non è gestibile perché bisognerebbe moddare phpBB, cosa che rimane uno dei miei paletti fissi da evitare.

Cerco di capire se, in qualche modo, è gestibile via Javascript (come facciamo per la gestione dei link esterni). Rimane il problema che non lo possiamo fare indiscriminatamente perché non tutti i siti di img hosting supportano HTTPS, quindi lo implementeremo per quei 4-5 servizi più popolari. Aperto bug.
Posso proporti una soluzione un po' drastica ma, a mio parere, assolutamente ragionevole: filtrare i "contenuti misti" attraverso la Content Security Policy (CPS) che ho aggiornato recentemente e reputo definitiva (ho aggiunto il supporto ai plugin sociali di Facebook, Twitter e Google+ che prima era assente).
In caso affermativo ciò comporterebbe che tutte le immagini future (e quelle passate) vadano ospitate su servizi che offrono la possibilità di accesso via HTTPS (con un certificato valido (la policy prevede imgur, imageshack e dropbox)). Bisognerebbe quindi includere, nelle regole del sito, l'obbligo di utilizzare i suddetti host (pena la non visualizzazione dell'immagine).

Posto le policy aggiornate (in modalità report only).

Google Chrome, Firefox, Opera e Safari:

Codice: Seleziona tutto

Content-Security-Policy-Report-Only: "default-src https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdnjs.cloudflare.com www.google.com www.google-analytics.com ajax.googleapis.com www.googleapis.com html5shim.googlecode.com code.jquery.com connect.facebook.net apis.google.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com; style-src 'self' 'unsafe-inline' www.google.com cdnjs.cloudflare.com platform.twitter.com ajax.googleapis.com; img-src 'self' data: clients1.google.com www.google.com www.googleapis.com i.imgur.com dl.dropboxusercontent.com imageshack.com imageshack.us i.creativecommons.org encrypted-tbn0.gstatic.com encrypted-tbn1.gstatic.com encrypted-tbn2.gstatic.com encrypted-tbn3.gstatic.com caldera1.seflow.it:8444/banda/banda.php www.google-analytics.com pbs.twimg.com twitter.com o.twimg.com; frame-src 'self' www.youtube.com www.google.com apis.google.com s-static.ak.facebook.com accounts.google.com www.facebook.com twitter.com platform.twitter.com; font-src 'self' themes.googleusercontent.com fonts.googleapis.com; connect-src 'self'; report-uri https://turbolab.it/csp/report.php"
Internet Explorer (IE 10+):

Codice: Seleziona tutto

X-Content-Security-Policy-Report-Only: "default-src https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdnjs.cloudflare.com www.google.com www.google-analytics.com ajax.googleapis.com www.googleapis.com html5shim.googlecode.com code.jquery.com connect.facebook.net apis.google.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com; style-src 'self' 'unsafe-inline' www.google.com cdnjs.cloudflare.com platform.twitter.com ajax.googleapis.com; img-src 'self' data: clients1.google.com www.google.com www.googleapis.com i.imgur.com dl.dropboxusercontent.com imageshack.com imageshack.us i.creativecommons.org encrypted-tbn0.gstatic.com encrypted-tbn1.gstatic.com encrypted-tbn2.gstatic.com encrypted-tbn3.gstatic.com caldera1.seflow.it:8444/banda/banda.php www.google-analytics.com pbs.twimg.com twitter.com o.twimg.com; frame-src 'self' www.youtube.com www.google.com apis.google.com s-static.ak.facebook.com accounts.google.com www.facebook.com twitter.com platform.twitter.com; font-src 'self' themes.googleusercontent.com fonts.googleapis.com; connect-src 'self'; report-uri https://turbolab.it/csp/report.php"
Safari / iOS Mobile (versioni precedenti (5 e 6)) + BlackBerry 10:

Codice: Seleziona tutto

X-WebKit-CSP-Report-Only: "default-src https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdnjs.cloudflare.com www.google.com www.google-analytics.com ajax.googleapis.com www.googleapis.com html5shim.googlecode.com code.jquery.com connect.facebook.net apis.google.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com; style-src 'self' 'unsafe-inline' www.google.com cdnjs.cloudflare.com platform.twitter.com ajax.googleapis.com; img-src 'self' data: clients1.google.com www.google.com www.googleapis.com i.imgur.com dl.dropboxusercontent.com imageshack.com imageshack.us i.creativecommons.org encrypted-tbn0.gstatic.com encrypted-tbn1.gstatic.com encrypted-tbn2.gstatic.com encrypted-tbn3.gstatic.com caldera1.seflow.it:8444/banda/banda.php www.google-analytics.com pbs.twimg.com twitter.com o.twimg.com; frame-src 'self' www.youtube.com www.google.com apis.google.com s-static.ak.facebook.com accounts.google.com www.facebook.com twitter.com platform.twitter.com; font-src 'self' themes.googleusercontent.com fonts.googleapis.com; connect-src 'self'; report-uri https://turbolab.it/csp/report.php"
Come avevo specificato in QUESTO messaggio, puoi provare la policy a livello locale utilizzando il componente aggiuntivo per Chrome CSP Tester configurato come segue:
URL Pattern:

Codice: Seleziona tutto

*://turbolab.it/*
Campo Policy:

Codice: Seleziona tutto

default-src https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' cdnjs.cloudflare.com www.google.com www.google-analytics.com ajax.googleapis.com www.googleapis.com html5shim.googlecode.com code.jquery.com connect.facebook.net apis.google.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com; style-src 'self' 'unsafe-inline' www.google.com cdnjs.cloudflare.com platform.twitter.com ajax.googleapis.com; img-src 'self' data: clients1.google.com www.google.com www.googleapis.com i.imgur.com dl.dropboxusercontent.com imageshack.com imageshack.us i.creativecommons.org encrypted-tbn0.gstatic.com encrypted-tbn1.gstatic.com encrypted-tbn2.gstatic.com encrypted-tbn3.gstatic.com caldera1.seflow.it:8444/banda/banda.php www.google-analytics.com pbs.twimg.com twitter.com o.twimg.com; frame-src 'self' www.youtube.com www.google.com apis.google.com s-static.ak.facebook.com accounts.google.com www.facebook.com twitter.com platform.twitter.com; font-src 'self' themes.googleusercontent.com fonts.googleapis.com; connect-src 'self'
Casella Active: selezionata
Casella Report Only: deselezionata
Cliccare su Save (per apportare le modifiche)

E' possibile tenere traccia dei contenuti bloccati utilizzando la Console di Chrome (inclusa negli strumenti per sviluppatori del browser).

P.S.: Come puoi vedere QUI, adottando questa soluzione, risolviamo i problemi per la maggior parte dei browser (o quantomeno per quelli che generano avvisi espliciti).
Credo che come soluzione di transizione (da unire ad una policy riguardo agli host consentiti) sia una soluzione valida (semplice) ed efficace.

P.S.2: Scusa per il papiro... :fiu

;)
“The quieter you become, the more you can hear”

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da hashcat »

Zane ha scritto:Cerco di capire se, in qualche modo, è gestibile via Javascript (come facciamo per la gestione dei link esterni).
Dovrebbe esserlo:

Regular Expressions (MSDN) [JavaScript].
Ho dato uno sguardo veloce ma se ciò fosse fattibile, sarebbe un grosso piacere in quanto in questo caso potremmo utilizzare le regole (già pronte e testate) di HTTPS Everywhere.
Esempi: Imgur, Imagshack.US/.COM, Dropbox.
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

hashcat ha scritto:In caso affermativo ciò comporterebbe che tutte le immagini future (e quelle passate) vadano ospitate su servizi che offrono la possibilità di accesso via HTTPS (con un certificato valido (la policy prevede imgur, imageshack e dropbox)). Bisognerebbe quindi includere, nelle regole del sito, l'obbligo di utilizzare i suddetti host (pena la non visualizzazione dell'immagine).
Capisco il tuo nobile scopo, ma questa è una forzatura troppo forte per un motivo che interessa una fetta ristretta di utenza. Per tutti gli altri, non è facile da recepire e viene percepita come una presa di posizione.

Mi spiace, ma non possiamo imporre quale image hoster usare: quello che possiamo certamente fare è trasformare gli HTTP in HTTPS su una lista di image hoster che abbiamo definito insieme. Per tutti gli altri, il mixed-content rimane.
Zane - TurboLab.it

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da developerwinme »

Zane ha scritto:Capisco il tuo nobile scopo, ma questa è una forzatura troppo forte per un motivo che interessa una fetta ristretta di utenza. Per tutti gli altri, non è facile da recepire e viene percepita come una presa di posizione.
Capisco e condivido il tuo punto di vista, imparerò a convivere con l'avviso di IE :D

Correlato a questo, non dovremmo invece avere problemi con i contenuti inseriti sul portale vero e proprio? (i.e. lì va tutto correttamente in HTTPS, giusto?)
Marco Adriani
developerwinme.wordpress.com

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

Se facciamo un lavoro di liste fatto bene, comprendendo la conversione HTTP->HTTPS di quanti più servizi di hosting possibile ("ogni volta che ne viene usato uno nuovo, proviamo a capire se è aggiungibile alla lista), mi aspetto che il numero di avvisi cali drasticamente.

Relativamente al portale...
  1. le immagini degli articoli hanno tutte un src relativo (<img src="/immagini/17/med" />) quindi funzionano ok
  2. Il resto degli elementi (logo, icone ecc) viene caricato con un URL assoluto che usa il protocollo scelto dal visitatore: dato che ora il visitatore non può più scegliere ed è tutto HTTPS, non ci sono problemi
  3. Alcuni link interni negli articoli sono invece in HTTP normale, ma poi ci pensano HSTS e la redirezione automatica a gestirli
Per i topic di commento, invece: il link è ok grazie a HSTS e redirezione automatica, mentre l'immagine decorativa è più problematica: sugli articoli creati d'ora in avanti, non ci sono problemi ed è in HTTPS, mentre per alcuni di quelli vecchi è in HTTP normale (dipende se l'autore stava usando HTTP oppure HTTPS al momento della stesura del pezzo). Gestiremo questo scenario aggiungendo alla nostra lista di image hoster anche TurboLab.it fra i siti che supportano HTTPS ;)
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da hashcat »

Zane ha scritto:Se facciamo un lavoro di liste fatto bene, comprendendo la conversione HTTP->HTTPS di quanti più servizi di hosting possibile ("ogni volta che ne viene usato uno nuovo, proviamo a capire se è aggiungibile alla lista), mi aspetto che il numero di avvisi cali drasticamente.
Capisco l'obiezione.
Provvedendo in questa direzione ho stilato una lista degli "image hoster" che ho visto utilizzati, fino a questo momento, sul forum e del loro supporto (o meno) all'HTTPS (ordinati per frequenza):

Postimage: Certificato invalido (cloudflare)
Imgur: OK
Imageshack: OK
Imagebanana: servizio dismesso
img.tapatalk.com: OK
TinyPic: NO

Per quanto riguarda la CPS ne ho stilato una versione aggiornata che consente il caricamento di immagini da qualsiasi sorgente e richiede l'accesso via HTTPS a tutte le altre risorse. Ho apportato qualche revisione (cambiata la gestione della sorgente di default, aggiunta la direttiva object-src) e miglioria (aggiunte tre direttive non ancora implementate ma (dovrebbero esserlo) valide in futuro).

Posto le policy aggiornate (in modalità report only).

Google Chrome, Firefox, Opera e Safari:

Codice: Seleziona tutto

Content-Security-Policy-Report-Only: default-src 'self'; script-src https: 'unsafe-inline' 'unsafe-eval' cdnjs.cloudflare.com www.google.com www.google-analytics.com ajax.googleapis.com www.googleapis.com html5shim.googlecode.com code.jquery.com connect.facebook.net apis.google.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com; style-src https: 'unsafe-inline' www.google.com cdnjs.cloudflare.com platform.twitter.com ajax.googleapis.com; img-src *; frame-src https: www.youtube.com www.google.com apis.google.com s-static.ak.facebook.com accounts.google.com www.facebook.com twitter.com platform.twitter.com; font-src https: themes.googleusercontent.com fonts.googleapis.com; connect-src https:; object-src https: www.youtube.com; plugin-types application/x-shockwave-flash; referrer origin-when-cross-origin; reflected-xss block; report-uri https://turbolab.it/csp/report.php
Internet Explorer (IE 10+):

Codice: Seleziona tutto

X-Content-Security-Policy-Report-Only: default-src 'self'; script-src https: 'unsafe-inline' 'unsafe-eval' cdnjs.cloudflare.com www.google.com www.google-analytics.com ajax.googleapis.com www.googleapis.com html5shim.googlecode.com code.jquery.com connect.facebook.net apis.google.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com; style-src https: 'unsafe-inline' www.google.com cdnjs.cloudflare.com platform.twitter.com ajax.googleapis.com; img-src *; frame-src https: www.youtube.com www.google.com apis.google.com s-static.ak.facebook.com accounts.google.com www.facebook.com twitter.com platform.twitter.com; font-src https: themes.googleusercontent.com fonts.googleapis.com; connect-src https:; object-src https: www.youtube.com; plugin-types application/x-shockwave-flash; referrer origin-when-cross-origin; reflected-xss block; report-uri https://turbolab.it/csp/report.php
Safari / iOS Mobile (versioni precedenti (5 e 6)) + BlackBerry 10:

Codice: Seleziona tutto

X-WebKit-CSP-Report-Only: default-src 'self'; script-src https: 'unsafe-inline' 'unsafe-eval' cdnjs.cloudflare.com www.google.com www.google-analytics.com ajax.googleapis.com www.googleapis.com html5shim.googlecode.com code.jquery.com connect.facebook.net apis.google.com platform.twitter.com cdn.syndication.twimg.com syndication.twitter.com; style-src https: 'unsafe-inline' www.google.com cdnjs.cloudflare.com platform.twitter.com ajax.googleapis.com; img-src *; frame-src https: www.youtube.com www.google.com apis.google.com s-static.ak.facebook.com accounts.google.com www.facebook.com twitter.com platform.twitter.com; font-src https: themes.googleusercontent.com fonts.googleapis.com; connect-src https:; object-src https: www.youtube.com; plugin-types application/x-shockwave-flash; referrer origin-when-cross-origin; reflected-xss block; report-uri https://turbolab.it/csp/report.php
:approvo

EDIT:

Mi ero dimenticato di segnalare due lievi problemi individuati durante alcune prove della CSP:
  1. I link a contenuti esterni presenti nei commenti degli utenti in calce agli articoli (lato portale) non rispettano la convenzione di essere aperti, al click, in una nuova scheda (come sul forum)
  2. Le due risorse riportate di seguito vengono servite da Apache con un MIME type errato:

    Codice: Seleziona tutto

    Resource interpreted as Font but transferred with MIME type text/plain: "https://turbolab.it/fonts/accentbox/BebasNeue-webfont.woff" 
    Resource interpreted as Image but transferred with MIME type text/plain: "https://turbolab.it/cursors/zoom_in.cur"
“The quieter you become, the more you can hear”

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da hashcat »

Riporto in evidenza la discussione poiché temo che non sia stata presa visione dei due problemi (minori) segnalati in calce (nel precedente messaggio).
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

hash, per favore fai due discussioni con i due problemi aggiuntivi e due relativi bug perché altrimenti se non affrontiamo 1problema=1topic=1bug è ingestibile. Grazie.
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da hashcat »

Zane ha scritto:hash, per favore fai due discussioni con i due problemi aggiuntivi e due relativi bug perché altrimenti se non affrontiamo 1problema=1topic=1bug è ingestibile. Grazie.
Fatto!

:yes
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

Purtroppo via Javascript non si può fare (le immagini nel tag img src="" usato dal forum vengono caricate immediatamente dal browser...).

Ho allora provato con la funzione per la censura, ma non funziona con una stringa "complessa" come http://

Ho chiesto suggerimenti al supporto. Vediamo cosa mi rispondono e, al massimo, vado a capire se si può gestire il problema con una modifica da qualche parte (cosa che, sapete, voglio cercare di evitare, ma direi che il problema è sufficentemente importante da valerne la pena)
Zane - TurboLab.it

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

Purtroppo continuano a non arrivare suggerimenti.

A questo punto, se qualcuno mi dice dove, vado con le maniere forti...
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da hashcat »

La funzione censura non funziona perché non opera all'interno dei tag del bbcode?
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

hashcat ha scritto:La funzione censura non funziona perché non opera all'interno dei tag del bbcode?
Lo proviamo subito!

No, funziona anche nel bbcode. Non saprei dirti perché non riesce a gestire a dovere la trasformazione "http://i.imgur.com" => "https://i.imgur.com"
Zane - TurboLab.it

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da developerwinme »

Zane ha scritto:e viene bloccata da Internet Explorer
Dal mio IE11 (sia desktop che mobile) non viene bloccata, perché di default vengono bloccati tutti i contenuti misti tranne le immagini (approccio utilizzato sia da Internet Explorer che dalle più recenti versioni di Firefox).
Per quanto riguarda Chrome, l'approccio dovrebbe essere simile, ma vengono consentiti anche alcune tipologie aggiuntive di elementi, oltre alle immagini.

Comunque ottimo che questo problema stia per essere sistemato!

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da Zane »

Questa è un'immagine inserita così:

Codice: Seleziona tutto

[img]http://i.imgur.com/XI0OCg6.jpg[/img]
Ma va in HTTPS automaticamente, di conseguenza diventa...
Immagine
Il funzionamento è basato su una lista di image hoster che erogano le immagini anche via HTTPS. L'unico che ho inserito in questo momento è imgur.com, ma l'idea è di aggiungerne altri mano a mano che vengono utilizzato dagli utenti (eviterei di cercare di popolare la lista in modo preventivo, dato che i servizi sono tantissimi, nascono e muoiono come mosche e potrebbe diventare un'impegno notevole mantenerla aggiornata).

Capire se un servizio eroga immagini anche via HTTPS è semplicissimo: basta caricarla sul servizio da testare poi prendere il link diretto e provare a raggiungere l'immagine via HTTPS invece che via HTTP.

Esempio: Tapatalk. Caricando un'immagine via Tapatalk viene restituito un URL del genere:

Codice: Seleziona tutto

[img]http://tapatalk.imageshack.com/v2/15/02/15/ac7426f468f248c63fdaac973e14620f.jpg[/img]
Se provo ad aprire direttamente questa immagine via HTTPS, scopro che il servizio risponde con un certificato non-valido. Di conseguenza, imageshack.com non può essere inserito nella nostra lista.
Zane - TurboLab.it

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da Zane »

Dev,
a me IE blocca anche le immagini in mixed-content (è il motivo principale per cui sto facendo tutta sta menata..)

Immagine

Queto comportamento dovrebbe essere il default. Puoi confermare?
Zane - TurboLab.it

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da Zane »

Firefox 35, al contrario, mi funziona come sempre: immagini mostrate, ma iconcina di avviso in barra URL:

Immagine

L'unica circostanza in cui anche Firefox blocca è quando provi a caricare un'immagine via HTTPS da un image hoster con certificato non-valido. Ad esempio, questa non si vede neanche con Firefox (il certificato usato da imageshack.com è valido solo per il loro .us :acch :acch )

Codice: Seleziona tutto

[img]https://tapatalk.imageshack.com/v2/15/02/15/ac7426f468f248c63fdaac973e14620f.jpg[/img]
Immagine
Zane - TurboLab.it

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da developerwinme »

Zane ha scritto:Puoi confermare?
Stando a quanto leggo in questo post (e ho validi motivi di credere che non sia cambiato nulla nelle versioni successivi, visto che ho un paio di PC, la cui configurazione è praticamente quella di default, con cui ho verificato), il comportamento di default è che IE 9 e successivi bloccano tutto il contenuto misto con quell'avviso, TRANNE LE IMMAGINI.
Internet Explorer Team ha scritto:IE9 includes additional smarts to distinguish between what types of unsecure references exist in the page. If a HTTPS page contains unsecure images, the images are permitted by default
...
When an HTTPS contains unsecure images, the lock icon is removed from the address bar to indicate to the user that not all content was delivered securely
Per attivare il blocco delle immagini "miste", è necessario andare in Opzioni Internet -> Avanzate -> spuntare "Blocca immagini non sicure con altri contenuti misti". Di default, la spunta non è presente.

Vedo che nella barra dell'url del tuo screenshot, è presente il simbolo (di colore blu, accanto al pulsante ricarica) relativo al filtro dei contenuti tramite liste di monitoraggio/blocco ActiveX.
Non dovrebbe c'entrare nulla, ma magari è colpa sua?

Provato a caricare la pagina con gli strumenti di sviluppo (F12) aperti nella scheda "Console"? All'interno di quella pagina dovrebbero essere elencati tutti gli errori trovati, inclusi quelli relativi alla protezione da contenuto misto.

Spero di essere stato d'aiuto. :)
Marco Adriani
developerwinme.wordpress.com

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da developerwinme »

Zane ha scritto:L'unica circostanza in cui anche Firefox blocca è quando provi a caricare un'immagine via HTTPS da un image hoster con certificato non-valido
Questa circostanza non viene invece bloccata da IE di default (sembra che l'immagine venga scaricata comunque, ma dall'URL con http), ma fa scattare l'eliminazione del lucchetto dalla barra degli indirizzi.

EDIT: Contrariamente a quanto detto sopra, pulendo la cache, ora neanche IE (sia desktop che mobile) carica il contenuto fornito da HTTPS con un certificato errato.

Se invece si carica questa pagina con gli strumenti di sviluppo avviati, vengono segnalati, nella scheda "Console", due errori relativi alla sicurezza HTTPS, uno per la risorsa non servibile tramite HTTPS per via del certificato, l'altro per l'immagine servita tramite HTTP.

Servire tutte le immagini in HTTPS comunque, migliora l'esperienza anche con IE in default, perché viene mantenuto il "lucchetto" nella barra degli indirizzi, confermando la sicurezza della connessione all'utente.
Marco Adriani
developerwinme.wordpress.com

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da developerwinme »

Riflettendo sul problema, avrei una domanda da porti: hai aggiunto TurboLab.it all'elenco dei siti attendibili in Internet Explorer?
Mi sembra di ricordare che le zone di sicurezza di IE abbiano un ruolo, che non ricordo di preciso, nella visualizzazione dei messaggi sul contenuto misto, pertanto potrebbe essere per questo che vedi quell'avviso.
Marco Adriani
developerwinme.wordpress.com

Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1874
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Altrove
Contatta:

Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da The Doctor »

Oddio Zane, ma chi è il tuo parrucchiere? :mrgreen:

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4710
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: Nuovo esperimento con immagini caricabili via HTTPS

Messaggio da Zane »

Ho provato a fare il reset completo di IE e confermo che adesso nemmeno a me IE blocca più le immagini in mixed-content (se non sull'hoster con certificato invalido). Ad averlo saputo prima non averei perso tutto questo tempo, maledizione!!!!!! :cry: :cry:

Grazie Dev per avermelo segnalato, almeno ora sto davvero come stanno le cose!!!!

Procedo a spostare tutto nella discussione apposita.

@Doc: sono i miei capelli "al naturale"! Effettivamente in quelle foto avevo particolarmente bisogno di una spuntatina :lol: :lol:
Zane - TurboLab.it

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da developerwinme »

Zane ha scritto:...
Ulteriore novità, che dovrebbe migliorare ulteriormente la situazione: la prossima versione di IE (e Project Spartan) supporterà HSTS: http://blogs.msdn.com/b/ie/archive/2015 ... lorer.aspx

A tal proposito, nel post leggo:
Internet Explorer Team ha scritto:There are two important changes that impact users on sites using HSTS. First, when there is a certification error with a HSTS server, the user will not be able to click through and ignore the certificate error; they must abort their connection. Second, mixed content is not supported on servers supporting HSTS; all the content must be secure.
La 1) potrebbe crearci problemi sul bugtracker?
La 2) potrebbe comportare problemi nel forum?
Marco Adriani
developerwinme.wordpress.com

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da hashcat »

developerwinme ha scritto:Ulteriore novità, che dovrebbe migliorare ulteriormente la situazione: la prossima versione di IE (e Project Spartan) supporterà HSTS: http://blogs.msdn.com/b/ie/archive/2015 ... lorer.aspx
Finalmente! E' l'unico browser con una diffusione rilevante che ne è ancora sprovvisto (QUI).
developerwinme ha scritto:La 1) potrebbe crearci problemi sul bugtracker?
No, abbiamo esplicitamente elaborato una policy che sia valida solo per il dominio principale (non sotto-domini): nessun problema.
Se tutto andrà bene, in futuro, dovremmo avere un certificato valido sia per il dominio principale che per sotto-dominio (bug.turbolab.it) e CDN; a quel punto sarà possibile aggiornare la policy (includendo anche i sotto-domini) senza incorrere in malfunzionamenti.
developerwinme ha scritto:La 2) potrebbe comportare problemi nel forum?
Se quanto è riportato nel blog post (tutti i contenuti misti vengono bloccati, compresi i file d'immagine), l'inconveniente maggiore sarebbe quello relativo alle immagini inserite dagli utenti nei messaggi tramite url http (ospitate da servizi che non offrono la possibilità di reperirle via https) e, limitatamente, i video di YouTube incorporati utilizzando un url http.

;)

P.S.: Riguardo al punto 2, per valutare l'impatto del futuro blocco di tutti i contenuti misti in Internet Explorer, basta navigare (utilizzando un qualsiasi browser che supporti lo standard CSP 1.0), applicando (in locale) la seguente policy:

Codice: Seleziona tutto

Content-Security-Policy: default-src https: 'unsafe-inline' 'unsafe-eval'
Spiegazione: consente il caricamento di tutti e soli gli elementi serviti tramite https o incorporati nel codice della pagina.

:approvo
“The quieter you become, the more you can hear”

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Errore di "contenuto misto" HTTP/HTTPS sul forum

Messaggio da System » mer feb 18, 2015 10:55 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio