[bug] https site werkt niet - Stoute bugs

donderdag 18 oktober 2012 14:29

Acties:

Topicstarter

1. Bestemming
https://tweakers.net/

2. URL
https://tweakers.net/

3. De omschrijving & steps to reproduce
als men er voor kiest om van het https protocol gebruik te maken ipv regulier http ziet de site er nogal gedefaced uit, teven als je op een willekeurige link klikt word je terug gestuurd naar de http versie.

In iedergeval gebeurd dat bij mij in Chrome 22.0.1229.94 (op fedora 17), in firefox(16.0.1) lijkt het wel te werken, alleen krijg ik melding dat sommige delen van de pagina niet encrypted zijn en de indentiteit van de website niet vastgesteld kan worden.

4. Je browserversie
Chrome 22.0.1229.94

5. Door jou gebruikte plug-ins
geen

6. Besturingssysteem
Fedora 17

7. error'd:
Console log:

[blocked] The page at https://tweakers.net/ ran insecure content from http://tweakers.net/x/min/framework.css?1350470730.
[blocked] The page at https://tweakers.net/ ran insecure content from http://tweakers.net/x/min/layout_v3.css?1350470730.
[blocked] The page at https://tweakers.net/ ran insecure content from http://tweakers.net/x/min/general.js?1350470730.
[blocked] The page at https://tweakers.net/ ran insecure content from http://tweakers.net/x/min/frontpage+banners.js?1350470730.
Uncaught ReferenceError: loadJS is not defined https://tweakers.net/:31
The page at https://tweakers.net/ displayed insecure content from http://tweakimg.net/g/if/v3/framework/logo_transparent.png.
Uncaught ReferenceError: Menu is not defined https://tweakers.net/:80
The page at https://tweakers.net/ displayed insecure content from http://tweakimg.net/g/if/v3/framework/truelogo.png.
Uncaught ReferenceError: MainSearchSuggest is not defined https://tweakers.net/:86
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/thumbs_fpa_small/1350554722.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/thumbs_fpa_small/1350547514.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/thumbs_fpa_small/1350549931.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/thumbs_fpa_small/1350549877.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/thumbmini/1340880269.png.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/thumbmini/1329997021.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/thumbmini/1349957569.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/1350547567.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/1350547539.jpeg.
The page at https://tweakers.net/ displayed insecure content from http://ic.tweakimg.net/ext/i/1350547591.jpeg.
Uncaught ReferenceError: sitestat is not defined https://tweakers.net/:157
Uncaught ReferenceError: dblc_writeTag is not defined https://tweakers.net/:160
Uncaught ReferenceError: bannerCheck is not defined https://tweakers.net/:160
Uncaught ReferenceError: dblc_writeTag is not defined https://tweakers.net/:161
Uncaught ReferenceError: bannerCheck is not defined https://tweakers.net/:161
Uncaught ReferenceError: dblc_writeTag is not defined https://tweakers.net/:162
Uncaught ReferenceError: bannerCheck is not defined https://tweakers.net/:162

Vond dit nog in de elements tab, wat eventueel nog van toepassing kan zijn:

<!-- Server: Plutus, Server time: 0,0896 s (C: 0,0680; Q: 5; 0,0053; E: 0; 0,0000 s, M: 11; 0,0033 s, A: 2; 0,0021 s), Mem: 14334 KB, User: ameesters -->

8. Possible fix:
http veranderen naar https:

<link rel="shortcut icon" type="image/png" href="http://tweakimg.net/g/if/icons/tnet.png">
<link rel="alternate" title="Tweakers Mixed RSS feed" type="application/rss+xml" href="http://tweakers.net/feeds/mixed.xml">

<script type="text/javascript">
			var starttime=new Date().getTime();
			var BaseURL='http://tweakers.net/',ImgURL='http://tweakimg.net/',sidName='TnetID';
			var UserID=263806;
			var relaxedDomain='tweakers.net';try{document.domain=relaxedDomain}catch(e){relaxedDomain=''};
var tnet_google_ad_client='pub-6863650218525502',adsense_page_url='http://tweakers.net/';
		</script>
<div id="logo"><a href="http://tweakers.net/"><img src="http://tweakimg.net/g/if/v3/framework/logo_transparent.png" width=213 height=85 alt="Tweakers"></a></div>

en https toevoegen aan:

<link rel="stylesheet" href="//tweakers.net/x/min/framework.css?1350470730" type="text/css" media="screen, handheld, projection">
<link rel="stylesheet" href="//tweakers.net/x/min/layout_v3.css?1350470730" type="text/css" media="screen, handheld, projection">
<script type="text/javascript" src="//tweakers.net/x/min/general.js?1350470730"></script>
<script type="text/javascript" src="//tweakers.net/x/min/frontpage+banners.js?1350470730"></script>

natuurlijk zal dit niet alles zijn, moet ook nog een beetje aan jullie over laten

.

Alex

[ Voor 106% gewijzigd door ameesters op 18-10-2012 15:23 ]

vrijdag 19 oktober 2012 11:54

Acties:

ACM

Software Architect

Werkt hier

't Probleem zit 'm waarschijnlijk deels in de base-href

vrijdag 19 oktober 2012 12:46

Acties:

ameesters

Topicstarter

hmm die ook idd... maar goed, zoals ik al zei, moet ook wat voor jullie overlaten he ;-)

vrijdag 19 oktober 2012 17:32

Acties:

crisp

Devver

Pixelated

mja, de site is inderdaad nog steeds niet helemaal geschikt om https-only te bezoeken, en dat was ook geen uitgangspunt in Tweakers 7 hoewel het op een paar punten wel is verbeterd volgens mij.

Dit is dus feitelijk een feature request (en niet de eerste op dit punt).

Intentionally left blank

vrijdag 26 oktober 2012 00:15

Acties:

ameesters

Topicstarter

nee een bug, de site is via https beschikbaar maar ziet er gedefaced uit, een feature request is meer van:"ik wil jullie site graag met een beveiligde verbinding bezoeken maar dat kan niet.". Nu kan het wel, maar werkt het niet.

Dus feitelijk, of https offline halen, of fix het zodat het fatsoenlijk werkt. Maar op een tech site dit zo laten rondslingeren is gewoon niet netjes. maar goed, steek de kop maar in het zand, privacy ligt toch al overal voor het oprapen.

vrijdag 26 oktober 2012 01:36

Acties:

MueR

Admin Devschuur® & Discord

is niet lief

ameesters schreef op donderdag 18 oktober 2012 @ 14:29:
en https toevoegen aan:

<link rel="stylesheet" href="//tweakers.net/x/min/framework.css?1350470730" type="text/css" media="screen, handheld, projection">
<link rel="stylesheet" href="//tweakers.net/x/min/layout_v3.css?1350470730" type="text/css" media="screen, handheld, projection">
<script type="text/javascript" src="//tweakers.net/x/min/general.js?1350470730"></script>
<script type="text/javascript" src="//tweakers.net/x/min/frontpage+banners.js?1350470730"></script>

Juist niet, dit zijn protocol-independent aanroepen. Wanneer je via HTTPS browsed krijg je netjes de CSS/JS via een HTTPS verbinding, anders HTTP.

Anyone who gets in between me and my morning coffee should be insecure.

vrijdag 26 oktober 2012 11:18

Acties:

crisp

Devver

Pixelated

MueR schreef op vrijdag 26 oktober 2012 @ 01:36:
[...]

Juist niet, dit zijn protocol-independent aanroepen. Wanneer je via HTTPS browsed krijg je netjes de CSS/JS via een HTTPS verbinding, anders HTTP.

Niet als de base href http:// is natuurlijk

[ Voor 40% gewijzigd door MueR op 27-10-2012 11:41 . Reden: verkeerde knopje :x ]

Intentionally left blank

zaterdag 27 oktober 2012 11:21

Acties:

ACM

Software Architect

Werkt hier

ameesters schreef op vrijdag 26 oktober 2012 @ 00:15:
nee een bug, de site is via https beschikbaar maar ziet er gedefaced uit, een feature request is meer van:"ik wil jullie site graag met een beveiligde verbinding bezoeken maar dat kan niet.". Nu kan het wel, maar werkt het niet.

Dat die servers toevallig https draaien zegt nog niet dat wij de site-in-https als volledige service aanbieden. De belangrijkste reden dat ze https draaien is namelijk voor 'https://secure.tweakers.net' die gebruikt wordt voor het inloggen en voor je bewerkingen aan je profiel.

Dus feitelijk, of https offline halen, of fix het zodat het fatsoenlijk werkt.

Voor de plek waar we https gebruiken en standaard naar linken werkt het prima... Dat jij het ook op andere manieren wilt gebruiken dan wij aanbieden is jouw keuze, maar zorgt er ook voor dat je dan moet accepteren dat e.e.a. wellicht niet helemaal conform jouw eisen werkt.
Op het moment dat wij links standaard als https aanbieden danwel je de keuzeoptie geven mag je van ons eisen dat we het dan ook goed doen

Hoedanook, ik maak er een interne ticket voor de base-url omdat het wel wat slordig is. Dan kunnen we net zo goed geen protocol-loze urls voor die scripts en css-files neerzetten. De linkjes is weer een ander verhaal, die kunnen we niet zomaar protocol-loos maken en/of allemaal fixen omdat bijvoorbeeld de redactie en gebruikers ook links gebruiken die domweg met http beginnen.

[ Voor 7% gewijzigd door ACM op 27-10-2012 11:26 ]

zaterdag 27 oktober 2012 11:41

Acties:

MueR

Admin Devschuur® & Discord

is niet lief

crisp schreef op vrijdag 26 oktober 2012 @ 11:18:
[...]

Niet als de base href http:// is natuurlijk

Moet je de base href aanpassen, niet de aanroepen van de stylesheets

Ik word alleen niet uit de RFC wijs of base url nou verplicht een http(s):// moet bevatten.

Anyone who gets in between me and my morning coffee should be insecure.

dinsdag 30 oktober 2012 08:16

Acties:

Osiris

ACM schreef op zaterdag 27 oktober 2012 @ 11:21:
[...]

Dat die servers toevallig https draaien zegt nog niet dat wij de site-in-https als volledige service aanbieden. De belangrijkste reden dat ze https draaien is namelijk voor 'https://secure.tweakers.net' die gebruikt wordt voor het inloggen en voor je bewerkingen aan je profiel.

Tja, dan is 't handiger om https://tweakers.net te redirecten naar http://tweakers.net lijkt me? Je kunt wel makkelijk zeggen dat jullie de URL niet zelf aanbieden, dús niet jullie verantwoordelijkheid, maar die vlieger gaat natuurlijk niet op. Lekker simpel gedacht, want dan hoef ik zeker ook geen zorg te dragen over alle $_POST-variabelen die m'n users inputten, want hey, da's niet míjn verantwoordelijkheid als beheerder toch zeker?

woensdag 7 november 2012 23:26

Acties:

Vulcanor

Ik zou deze bug oplossen door gebruik te maken van "protocol-less URLs".
Zie ook: http://stackoverflow.com/...all-my-http-links-to-just

woensdag 7 november 2012 23:38

Acties:

MueR

Admin Devschuur® & Discord

is niet lief

Die zitten er al in hoor, alleen bij de base href niet.

Anyone who gets in between me and my morning coffee should be insecure.

zaterdag 17 november 2012 04:23

Acties:

Gammort

Ik ben het er mee eens dat als tweakers geen volledige https:// kan aanbieden het verstandig is om dit ook niet te doen. Ik denk dat er momenteel genoeg redenen zijn voor mensen om via een beveiligde verbinding te surfen en zonder CSS is dit op tweakers niet te doen, dus de keuze tot http:// beperken is logischer dan https:// 'halfbakken' aanbieden.

Het is wellicht geen echte bug maar absoluut een discussiepunt, ik had verwacht dat de beste website van 2012 toch wel via https volledig beschikbaar zou zijn...

zaterdag 17 november 2012 05:06

Acties:

heinhuiz

Gammort schreef op zaterdag 17 november 2012 @ 04:23:
Het is wellicht geen echte bug maar absoluut een discussiepunt, ik had verwacht dat de beste website van 2012 toch wel via https volledig beschikbaar zou zijn...