[feat] HTTPS/SSL op Tweakers/GoT

NMe schreef op zaterdag 04 juli 2015 @ 18:22:
Die absolute link is het probleem helemaal niet

Wellus.

, je kan ook prima absolute urls gebruiken zonder protocol, zoals Alex) hierboven al zegt.

Kan ook, maar naar mijn idee blijft het ranzig. Wat nu als men in de toekomst GoT liever via got.tweakers.net laat lopen? Of Tweakers krijgt een nieuwe naam en daarmee een nieuw domein? Of tweakers.nl?

Er zal (hopelijk) wel een reden zijn om een absolute URL te gebruiken hier, maar in het algemeen is het niet echt netjes om een absolute URL te gebruiken voor een link op dezelfde host.

Maar stel Tweakers gaat inderdaad de hele codebase nalopen op elk gebruik van harde links over HTTP. Dat kost heel wat werk en dus tijd en geld,

Larie. Tweakers hoeft alleen maar te wachten op bugreports en die dan af te handelen. De community kan dus aanleveren waar het mis gaat (het kostbare zoekwerk) en de uiteindelijke aanpassingen in de code is ook geen uren werk.

Maar op dit moment doet men afaik niets met bugs die zich alleen met HTTPS voordoen. Ik zou meer dan tevreden zijn met "best effort" wat dit betreft.

en uiteindelijk zijn de enige mensen die je daarmee helpt het handjevol mensen dat per se via HTTPS wil browsen

In absolute aantallen zijn het er misschien niet vreselijk veel, maar getuige dit topic bestaat de behoefte wel. Het is niet uitzonderlijk moeilijk en het gaat niet ten koste van HTTP-gebruikers.

middels een addon

Een zeer populaire add-on van EFF, dat wel.

Ik gok dat Tweakers ook support heeft voor de CookiesOK add-on. Die is van een onbekende developer waarvan we de betrouwbaarheid niet vast kunnen stellen. Daarmee bedien je toch ook maar een handjevol gebruikers dat niet op "accepteer" wil klikken?

terwijl er eigenlijk helemaal geen belangrijke data over de lijn gaat. Inloggen gaat al middels HTTPS en 99% van het andere spul is allemaal publiek of semi-publiek.

99%? DM's, mail via V&A, crewfora en als je het netwerk van je werkgever gebruikt kan die zien welke topics je opzoekt. Iets wat je mogelijk liever niet met je baas zou delen.

Dat je het "ik heb niets te verbergen" argument voor jezelf gebruikt is prima, maar waarom is het een probleem als Tweakers de keuze hebben? En is HTTPS Everywhere een halve oplossing? Misschien, maar ik denk dat het veel meer werk is voor de devvers om HTTPS als officiële optie aan te bieden. Terwijl het op dit moment al voor 99% werkt als je mixed-content geneuzel negeert. Iets waar HTTPS Everywhere gebruikers over het algemeen minder problemen mee zullen hebben.

Absolute interne links zijn voor mij sowieso een teken van slordigheid, iets wat later problemen op kan gaan leveren. Ook zonder HTTPS. Bugreports voor absolute links afhandelen zie ik niet als tijdverspilling. Ik zeg niet dat de devvers er actief naar moeten gaan zoeken.

[ Voor 13% gewijzigd door Mentalist op 04-07-2015 19:55 ]

W3ird_N3rd schreef op zaterdag 04 juli 2015 @ 19:41:
Kan ook, maar naar mijn idee blijft het ranzig. Wat nu als men in de toekomst GoT liever via got.tweakers.net laat lopen? Of Tweakers krijgt een nieuwe naam en daarmee een nieuw domein? Of tweakers.nl?

Er zal (hopelijk) wel een reden zijn om een absolute URL te gebruiken hier, maar in het algemeen is het niet echt netjes om een absolute URL te gebruiken voor een link op dezelfde host.

Dat er een absolute URL wordt afgedrukt hoeft niet te betekenen dat hij ook hard zo in de code staat. Dat zou best wel eens configureerbaar kunnen zijn of uit het framework gehaald kunnen worden. Als dat niet het geval is, dan is het inderdaad niet zo netjes. Maar tegelijkertijd niet relevant hier.

Larie. Tweakers hoeft alleen maar te wachten op bugreports en die dan af te handelen. De community kan dus aanleveren waar het mis gaat (het kostbare zoekwerk) en de uiteindelijke aanpassingen in de code is ook geen uren werk.

Dat levert alleen maar meer werk op omdat je steeds reactief stukjes code moet gaan opzoeken en aanpassen, in plaats van dat je het in één moeite door doet.

In absolute aantallen zijn het er misschien niet vreselijk veel, maar getuige dit topic bestaat de behoefte wel. Het is niet uitzonderlijk moeilijk en het gaat niet ten koste van HTTP-gebruikers.

Ik zeg niet dat er geen vraag is naar SSL, ik zeg dat je in absolute aantallen bijna niemand helpt door veel tijd te gaan steken in een tussenoplossing als HTTPS Everywhere. Dat Tweakers er ooit een keer aan moet geloven om op HTTPS over te stappen zijn we vast allemaal wel met elkaar eens. Die tussenoplossing om 100% HTTPS Everywhere-compatible te zijn is echter gewoon tijdverspilling, IMO.

Ik gok dat Tweakers ook support heeft voor de CookiesOK add-on. Die is van een onbekende developer waarvan we de betrouwbaarheid niet vast kunnen stellen. Daarmee bedien je toch ook maar een handjevol gebruikers dat niet op "accepteer" wil klikken?

Het verschil is dat support daarvoor geen enkel stukje legacy code raakt en gewoon op één plek zit, en niet verspreid over de hele codebase. Totaal niet vergelijkbaar...

99%? DM's, mail via V&A, crewfora en als je het netwerk van je werkgever gebruikt kan die zien welke topics je opzoekt. Iets wat je mogelijk liever niet met je baas zou delen.

Als je baas niet mag zien wat je op Tweakers doet dan is het per definitie niet werkgerelateerd en zou je het niet op je werk moeten doen. Verder heb ik geen cijfers maar ik weet vrij zeker dat de publieke delen van de site veel meer hits krijgen dan de afgeschermde delen.

Dat je het "ik heb niets te verbergen" argument voor jezelf gebruikt is prima, maar waarom is het een probleem als Tweakers de keuze hebben?

Ik gebruik niet dat argument. Ik zeg dat er dermate weinig gebruikers zijn die zo op hun privacy gesteld zijn dat ze die addon gebruiken dat het weinig zin heeft om extra tijd te steken in een tussenoplossing.

Absolute interne links zijn voor mij sowieso een teken van slordigheid, iets wat later problemen op kan gaan leveren. Ook zonder HTTPS. Bugreports voor absolute links afhandelen zie ik niet als tijdverspilling. Ik zeg niet dat de devvers er actief naar moeten gaan zoeken.

Nogmaals, absolute links zijn geen bugs.

W3ird_N3rd schreef op zaterdag 04 juli 2015 @ 19:41:

[...]

Kan ook, maar naar mijn idee blijft het ranzig. Wat nu als men in de toekomst GoT liever via got.tweakers.net laat lopen? Of Tweakers krijgt een nieuwe naam en daarmee een nieuw domein? Of tweakers.nl?

Dan passen we onze config aan en klaar Het zorgen voor redirects is dan nog wel het meeste werk, en eigenlijk ook een goede reden om een dergelijke operatie niet te doen.

Er zal (hopelijk) wel een reden zijn om een absolute URL te gebruiken hier, maar in het algemeen is het niet echt netjes om een absolute URL te gebruiken voor een link op dezelfde host.

De belangrijkste reden is dat content niet beperkt is tot publicatie via onze website. Denk aan RSS, API's, widgets e.d. waarvoor het heel onpraktisch is om relatieve url's te gebruiken.

[...]

Larie. Tweakers hoeft alleen maar te wachten op bugreports en die dan af te handelen. De community kan dus aanleveren waar het mis gaat (het kostbare zoekwerk) en de uiteindelijke aanpassingen in de code is ook geen uren werk.

Tien jaar geleden konden we daar bij onze bezoekers wel mee wegkomen, maar we zijn ondertussen meer dan alleen een tech-site en een brakke site kunnen we ons niet permitteren.

Maar op dit moment doet men afaik niets met bugs die zich alleen met HTTPS voordoen. Ik zou meer dan tevreden zijn met "best effort" wat dit betreft.

We houden wel degelijk rekening met https bij alles wat we nu doen, en bugjes ism HTTPS Everywher proberen we ook op te lossen.Dat HE geen form actions rewrite is echter iets dat HE in eerste instantie zelf op zou kunnen lossen.

[...]

Ik gok dat Tweakers ook support heeft voor de CookiesOK add-on. Die is van een onbekende developer waarvan we de betrouwbaarheid niet vast kunnen stellen. Daarmee bedien je toch ook maar een handjevol gebruikers dat niet op "accepteer" wil klikken?

Daar bieden wij iig niet bewust support voor. Ik zou ook niet weten of het wel of niet werkt bij onze cookiewall...

[...]

99%? DM's, mail via V&A, crewfora en als je het netwerk van je werkgever gebruikt kan die zien welke topics je opzoekt. Iets wat je mogelijk liever niet met je baas zou delen.

DM zou m.i. inderdaad via HTTPS moeten gaan, daar is al een ticket voor om dat tzt op te pakken:)

NMe schreef op zaterdag 04 juli 2015 @ 19:25:
Ik zeg nergens dat Tweakers niet over SSL moet gaan. Ik zeg dat die laffe tussenoplossing om HTTPS Everywhere aan de praat te krijgen waardeloos is omdat je er stapels tijd mee verspilt en bijna niemand mee helpt.

Dat snap ik wel, ik reageerde alleen even op de drogreden "HTTPS is niet nodig want er gaan geen belangrijke data over de lijn". Was dus meer een reactie bedoeld aan Tweakers in het algemeen, niet specifiek naar jou.

Ik zeg niet dat er geen vraag is naar SSL, ik zeg dat je in absolute aantallen bijna niemand helpt door veel tijd te gaan steken in een tussenoplossing als HTTPS Everywhere. Dat Tweakers er ooit een keer aan moet geloven om op HTTPS over te stappen zijn we vast allemaal wel met elkaar eens. Die tussenoplossing om 100% HTTPS Everywhere-compatible te zijn is echter gewoon tijdverspilling, IMO.

Het punt is dat het oplossen van die bugs ook nodig is als Tweakers voor iedereen HTTPS aanzet. Met andere woorden: die bugs zijn niet specifiek voor HTTPS Everywhere, maar specifiek aan HTTPS in het algmeen. Sterker nog, ik zie niet wat het verder nog tegenhoudt; zoals ik al zei werkt de site verder prima over HTTPS, minus die bugs. Als die bugs opgelost zijn zijn de HTTPS Everywhere-gebruikers tevreden én ligt de weg open om een HSTS-header mee te sturen waardoor de hele site HTTPS-only wordt.

[ Voor 46% gewijzigd door Compizfox op 04-07-2015 20:29 ]

NMe schreef op zaterdag 04 juli 2015 @ 20:06:
[...]

Dat er een absolute URL wordt afgedrukt hoeft niet te betekenen dat hij ook hard zo in de code staat. Dat zou best wel eens configureerbaar kunnen zijn of uit het framework gehaald kunnen worden. Als dat niet het geval is, dan is het inderdaad niet zo netjes. Maar tegelijkertijd niet relevant hier.

Ook als het in de configuratie zit (daar dacht ik zelf ook al aan) kan ik me nog geen goede reden bedenken waarom dat zo moet in dit geval.

[...]

Als je baas niet mag zien wat je op Tweakers doet dan is het per definitie niet werkgerelateerd en zou je het niet op je werk moeten doen.

Wat als je het in de pauze doet?

En dat je liever niet hebt dat je baas het ziet wil niet per defintie zeggen dat het niet werkgerelateerd is. Misschien zei je baas "Ik wil géén X omdat Y!" en ga jij als werknemer dan tòch informatie over X opzoeken om te zien of X ook kan zonder Y om zo tot een betere oplossing te komen.

Maar zodra je baas spot dat jij naar X kijkt zwaait er misschien wel wat.

Verder heb ik geen cijfers maar ik weet vrij zeker dat de publieke delen van de site veel meer hits krijgen dan de afgeschermde delen.

Ik heb ook geen cijfers, maar bij ruige balsporten krijg je veel vaker een bal tegen je borst/benen/armen dan in je kruis of tegen je hoofd.

De reden dat je toch een beschermer voor je hoofd en je kruis gebruikt.. Juist omdat die plekken kwetsbaarder zijn. Aantal hits heeft er niets mee te maken.

Ik gebruik niet dat argument. Ik zeg dat er dermate weinig gebruikers zijn die zo op hun privacy gesteld zijn dat ze die addon gebruiken dat het weinig zin heeft om extra tijd te steken in een tussenoplossing.

Ik vraag me af hoeveel het er eigenlijk zijn. Maar degenen die het doen zijn denk ik gemiddeld wel users die hier ook veel doen/bijdragen.

Nogmaals, absolute links zijn geen bugs.

Nee, maar features zijn het ook niet.

crisp schreef op zaterdag 04 juli 2015 @ 20:08:
[...]

De belangrijkste reden is dat content niet beperkt is tot publicatie via onze website. Denk aan RSS, API's, widgets e.d. waarvoor het heel onpraktisch is om relatieve url's te gebruiken.

Valt me nu op dat er inderdaad overal absolute URLs staan.

Ik zou er eens in moeten duiken, maar ik blijf het vreemd vinden dat dit nodig is. Lijkt meer een issue met de programma's die niet met een relatieve URL om kunnen gaan?

[...]

We houden wel degelijk rekening met https bij alles wat we nu doen, en bugjes ism HTTPS Everywher proberen we ook op te lossen.

Wist ik niet. Dan zal ik dingen melden als ik ze tegenkom.

Dat HE geen form actions rewrite is echter iets dat HE in eerste instantie zelf op zou kunnen lossen.

Eens.

Gegeven trouwens dat dit in een configuratieoptie zit.. Die optie is nu dus fixed. Hoe ernstig zouden de risico's zijn als gebruikers in hun profiel/cookie via die configoptie voor HTTPS kunnen kiezen? Dan zou je alle URLs met het gewenste protocol krijgen. ja dan krijg je mixed content errors, maar so what. opt-in optie voor de echte Tweaker, net als b.v. devicedetect en limit. garantie tot de deur.

[...]

DM zou m.i. inderdaad via HTTPS moeten gaan, daar is al een ticket voor om dat tzt op te pakken:)

Zou heel mooi zijn.

[ Voor 7% gewijzigd door Mentalist op 04-07-2015 20:47 ]

Wat is vooral jammer vind, is dat dit soort dingen met zoveel moeite en discussie moeten gaan.

Het is wel duidelijk dat jullie HTTPS niet belangrijk vinden. Als er dan vanuit de community naar gevraagd wordt doen jullie veel moeite om het uitstellen van HTTPS te onderbouwen. Hetzelfde geldt trouwens voor IPv6.

Dit soort dingen zou een site als Tweakers juist uit zich zelf moeten doen, ik vind het eigenlijk een beetje belachelijk dat Tweakers zo achterloopt op gebieden waar het juist in voorop zou moeten lopen.

Compizfox schreef op zaterdag 04 juli 2015 @ 20:44:
Wat is vooral jammer vind, is dat dit soort dingen met zoveel moeite en discussie moeten gaan.

Het is wel duidelijk dat jullie HTTPS niet belangrijk vinden. Als er dan vanuit de community naar gevraagd wordt doen jullie veel moeite om het uitstellen van HTTPS te onderbouwen. Hetzelfde geldt trouwens voor IPv6.

Dit soort dingen zou een site als Tweakers juist uit zich zelf moeten doen, ik vind het eigenlijk een beetje belachelijk dat Tweakers zo achterloopt op gebieden waar het juist in voorop zou moeten lopen.

Dan moet je het hele topic even lezen, er zijn wel een aantal goede redenen. Onder meer dat men niet weet of advertentienetwerken ermee overweg kunnen en het feit dat gebruikers plaatjes van externe hosts kunnen posten.

Het feit dat browsers zo janken over mixed content terwijl ze geen enkel probleem hebben met http maakt de overstap minder aantrekkelijk. Daar kan t.net niks aan doen. Hetzelfde met browsers die janken over self-signed certificaten (https zonder certificaat mag niet), dat maakt het onaantrekkelijk voor een hobbysite. Maar http is prima.

[ Voor 8% gewijzigd door Mentalist op 04-07-2015 20:52 ]

W3ird_N3rd schreef op zaterdag 04 juli 2015 @ 20:50:
[...]

Dan moet je het hele topic even lezen, er zijn wel een aantal goede redenen. Onder meer dat men niet weet of advertentienetwerken ermee overweg kunnen en het feit dat gebruikers plaatjes van externe hosts kunnen posten.

Het feit dat browsers zo janken over mixed content terwijl ze geen enkel probleem hebben met http maakt de overstap minder aantrekkelijk. Daar kan t.net niks aan doen.

Hmmm, daar heb ik nooit last van gehad terwijl ik Tweakers wel bezoek via HTTPS. Is het toevallig Chrome in het bijzonder die daar moeilijk over doet? In Firefox krijg je alleen een waarschuwing in de adresbalk over mixed content, maar geen popup over iets dergelijks.

Hetzelfde met browsers die janken over self-signed certificaten (https zonder certificaat mag niet), dat maakt het onaantrekkelijk voor een hobbysite. Maar http is prima.

Tja, maar dat heeft wel een reden natuurlijk: met een self-signed certificaat valt de authenticiteit van de server niet vast te stellen.

Als je bij een site die wél HTTPS (met echt certificaat) gebruikt ineens een self-signed certificaat voorgeschoteld krijgt, dan weet je dat er iets mis is (waarschijnlijk een MitM-attack). Maar je hebt wel een punt: eigenlijk zouden browsers dan ook moeilijk moeten doen over HTTP.

Ik ben het dus wel met je eens dat browsers self-signed certificaten zouden moeten accepteren (met passieve waarschuwing in adresbalk, net als bij mixed content), tenzij er een HSTS-header is geset natuurlijk.

[ Voor 44% gewijzigd door Compizfox op 04-07-2015 21:32 ]

Viel mij vandaag ook op dat het forum na de login weer terugswitched naar http ipv https.

Loop je dan een risico op mitm/session hijacking?

Deze zal vast al genoemd zijn https://istlsfastyet.com/

Verbaast mij wel dat tweakers 2x zo traag wordt na het aanzetten van SSL.

Over het algemeen zie je een performance penalty van ongeveer 10%.

Alle web applicaties waar ik aan meegewerkt heb is deze overhead niet merkbaar.

Sinds recent heb ik ook HTTPS Everywhere draaien. En dan valt het inderdaad op dat tweakers het gewoon niet goed voor elkaar heeft. Ja, en ik zie alle redenen daarvoor langskomen, maar géén daarvan vind ik overtuigend om het niet te doen. Voor mij zou het ook gewoon beroepseer zijn om het voor elkaar te krijgen. Tweakers krijgt van mij daarvoor puntenaftrek van hun Nerd Score. Just my €0.02.

Wat probeer je precies met die post te bereiken? Je noemt geen nieuwe argumenten, je rant alleen een keer omdat je de tegenargumenten niet valide vindt. Dat mag je vinden, maar dat verandert niks aan het feit dat de mensen die erover gaan die mening niet met je delen...

Fuzzillogic schreef op woensdag 07 oktober 2015 @ 22:56:
Sinds recent heb ik ook HTTPS Everywhere draaien. En dan valt het inderdaad op dat tweakers het gewoon niet goed voor elkaar heeft. Ja, en ik zie alle redenen daarvoor langskomen, maar géén daarvan vind ik overtuigend om het niet te doen. Voor mij zou het ook gewoon beroepseer zijn om het voor elkaar te krijgen. Tweakers krijgt van mij daarvoor puntenaftrek van hun Nerd Score. Just my €0.02.

[afbeelding]

Voor specifiek die melding moet H-E de URL van een form rewriten.. Al zou het aardig zijn als je de baseURL van t.net zelf aan kan passen zou dit ook in H-E aangepast moeten worden.

De meldingen door mixed content zijn niet te voorkomen, dat is gewoon fout gedrag van browsers.

NMe schreef op woensdag 07 oktober 2015 @ 23:12:
Wat probeer je precies met die post te bereiken? Je noemt geen nieuwe argumenten, je rant alleen een keer omdat je de tegenargumenten niet valide vindt. Dat mag je vinden, maar dat verandert niks aan het feit dat de mensen die erover gaan die mening niet met je delen...

Argumenten ervoor zijn reeds lang en breed aangedragen, daar heb ik niks meer op aan te vullen. Jullie mening is blijkbaar dat die argumenten nog onvoldoende zwaarwegend zijn om het aan te pakken. Mijn mening, als gebruiker van deze site, is dat het wél hoog tijd wordt om https te ondersteunen en te prefereren. En zijn gebruikers niet jullie belangrijkste asset?

W3ird_N3rd schreef op woensdag 07 oktober 2015 @ 23:13:
[...]
De meldingen door mixed content zijn niet te voorkomen, dat is gewoon fout gedrag van browsers.

Die melding hierboven is geen melding over mixed content. Het is een waarschuwing dat het form wordt gepost over HTTP, terwijl de website wordt bekeken over HTTPS.

Ik heb onder Firefox nog nooit een popup gehad over mixed content trouwens. Ik krijg enkel een ander icoontje in de adresbalk, wat prima gedrag is wat mij betreft. Is dat niet alleen IE die in zo'n geval een popup geeft? Of doet Chrome dat ook?

En ik erger me er ook flink aan (al is het gaan wennen). Het punt is is dat het heel simpel op te lossen is. Nu staat het protocol van de form action er hardcoded in (http://gathering.tweakers.net/forum/insert_message/1601768 bijvoorbeeld). Als je daar //gathering.tweakers.net/forum/insert_message/1601768 ben je al klaar...

Sterker nog, die URL hoeft helemaal niet absoluut te zijn. Een nog veel logischere oplossing is om er gewoon forum/insert_message/1601768 van te maken. Ik snap dan ook niet dat dat niet gewoon gedaan wordt.

En ja, ik vind dit eigenlijk best wel vallen onder dat "Tweakers het niet goed voor elkaar heeft". Zo'n absolute URL in een form action is om precies deze reden een slecht idee.

[ Voor 31% gewijzigd door Compizfox op 07-10-2015 23:38 ]

Fuzzillogic schreef op woensdag 07 oktober 2015 @ 23:27:
[...]

Argumenten ervoor zijn reeds lang en breed aangedragen, daar heb ik niks meer op aan te vullen. Jullie mening is blijkbaar dat die argumenten nog onvoldoende zwaarwegend zijn om het aan te pakken. Mijn mening, als gebruiker van deze site, is dat het wél hoog tijd wordt om https te ondersteunen en te prefereren. En zijn gebruikers niet jullie belangrijkste asset?

Dus een beargumenteerd betoog is waardeloos wanneer jij van mening bent dat het allemaal kut is?

Als we naar alle gebruikers zouden luisteren die een bepaalde mening hadden dan konden we volgende week nog de site opdoeken. Om te beginnen omdat er ook gebruikers zijn die precies een tegenovergestelde mening hebben. Je maakt het dus wel erg simpel zo...

NMe schreef op woensdag 07 oktober 2015 @ 23:29:
[...]

Dus een beargumenteerd betoog is waardeloos wanneer jij van mening bent dat het allemaal kut is?

Nee hoor, ik ben slechts van andere mening. Mag dat? Ik geef slechts een +1 aan de [feat]-request om https te gebruiken, om te laten zien dat meer mensen achter dat verzoek staan.

Soms mag je best gewoon dingen vinden, vind ik.

Compizfox schreef op woensdag 07 oktober 2015 @ 23:28:
[...]

Die melding hierboven is geen melding over mixed content. Het is een waarschuwing dat het form wordt gepost over HTTP, terwijl de website wordt bekeken over HTTPS.

Ik heb onder Firefox nog nooit een popup gehad over mixed content trouwens. Ik krijg enkel een ander icoontje in de adresbalk, wat prima gedrag is wat mij betreft. Is dat niet alleen IE die in zo'n geval een popup geeft? Of doet Chrome dat ook?

En ik erger me er ook flink aan (al is het gaan wennen). Het punt is is dat het heel simpel op te lossen is. Nu staat het protocol van de form action er hardcoded in (http://gathering.tweakers.net/forum/insert_message/1601768 bijvoorbeeld). Als je daar //gathering.tweakers.net/forum/insert_message/1601768 ben je al klaar...

Sterker nog, die URL hoeft helemaal niet absoluut te zijn. Een nog veel logischere oplossing is om er gewoon forum/insert_message/1601768 van te maken. Ik snap dan ook niet dat dat niet gewoon gedaan wordt.

En ja, ik vind dit eigenlijk best wel vallen onder dat "Tweakers het niet goed voor elkaar heeft". Zo'n absolute URL in een form action is om precies deze reden een slecht idee.

Ik noemde precies dit al eerder in deze thread. Alle URLs op t.net zijn absoluut en worden gemaakt a.d.h.v. een baseURL.

Zie ook crisp in "[feat] HTTPS/SSL op Tweakers/GoT".

Relatieve URLs komen er dus sowieso niet, of de baseURL met // mogelijk is zonder complicaties weet ik niet.

W3ird_N3rd schreef op woensdag 07 oktober 2015 @ 23:46:
[...]

Ik noemde precies dit al eerder in deze thread. Alle URLs op t.net zijn absoluut en worden gemaakt ad.h.v. een baseURL.

Zie ook crisp in "[feat] HTTPS/SSL op Tweakers/GoT".

Relatieve URLs komen er dus sowieso niet, of de baseURL met // mogelijk is zonder complicaties weet ik niet.

Aha, OK. Apart.

Blijkbaar rewrite HTTPS-Everywhere al die absolute links dan naar https://? Blijkbaar doet ie dat dan niet voor form actions.

Compizfox schreef op woensdag 07 oktober 2015 @ 23:49:
[...]

Aha, OK. Apart.

Blijkbaar rewrite HTTPS-Everywhere al die absolute links dan naar https://? Blijkbaar doet ie dat dan niet voor form actions.

Maar bij gebruik van de zoekfunctie krijg je die melding niet. Dat is het rare. Overigens:

quote: https://www.eff.org/https-everywhere/

Sadly, many sites still include a lot of content from third party domains that is not available over HTTPS. As always, if the browser's lock icon is broken or carries an exclamation mark, you may remain vulnerable to some adversaries that use active attacks or traffic analysis. However, the effort that would be required to eavesdrop on your browsing should still be usefully increased. Update: in recent versions of Firefox, Mozilla has removed the broken padlock indicator. Now, the only difference between a secure and insecure HTTPS deployment is the blue or green tint on the left of the address bar for secure deployments

Als alle grote browsers het zo gaan doen staat niets https voor t.net meer in de weg volgens mij.

Gaat het registratie- inlogproces wel volledig over https? Vele websites werken al onder https maar het verbaast me dat jullie achterblijven.

Verwijderd schreef op donderdag 21 januari 2016 @ 14:09:
Gaat het registratie- inlogproces wel volledig over https?

Ja

Vele websites werken al onder https maar het verbaast me dat jullie achterblijven.

Wij zijn een grote website met behoorlijk wat legacy (zowel in code als in content), dus het is niet zo makkelijk om om te switchen (en mixed content daarbij te voorkomen). Voor sites als Facebook en Twitter is dit een stuk makkelijker...

Mixed content zul je op een forum altijd wel houden (door gebruikers die plaatjes over HTTP includen bijvoorbeeld), maar is dat nou zo'n groot probleem dan?

Compizfox schreef op donderdag 21 januari 2016 @ 14:22:
Mixed content zul je op een forum altijd wel houden (door gebruikers die plaatjes over HTTP includen bijvoorbeeld), maar is dat nou zo'n groot probleem dan?

Ja, want een gebruiker weet dan niet welk deel van het verkeer wel secure is en welk deel niet, en daarmee mis je dan eigenlijk het doel Als je het doet moet je het goed doen. Ons idee is om non-secure content (voor zover we dat niet kunnen omzetten naar https wat we voor de meestgebruikte externe domeinen zullen moeten onderzoeken) soort van click-to-activate te maken, of wellicht een voorkeurkeuze voor bezoekers.

Maar op dit moment kan ik verder geen uitspraken doen over of en wanneer we hiermee aan de slag gaan. We hebben nog wel meer wensen liggen, en sec gezien is voor onszelf de noodzaak ook niet zo heel groot (we zijn ook geen bank of belastingdienst ). Wel merken we dat gebruikers het wel heel belangrijk vinden en het ook steeds meer gaan verwachten (waarvan akte hierboven dus )

Compizfox schreef op donderdag 21 januari 2016 @ 14:22:
Mixed content zul je op een forum altijd wel houden (door gebruikers die plaatjes over HTTP includen bijvoorbeeld), maar is dat nou zo'n groot probleem dan?

Of plaatjes (via proxy) zelf hosten? Sowieso zijn er tegenwoordig genoeg gratis image hosters die ook https ondersteunen.

HSTS zou wel een Google ranking boost geven.

crisp schreef op donderdag 21 januari 2016 @ 14:27:
[...]

(…) en sec gezien is voor onszelf de noodzaak ook niet zo heel groot (we zijn ook geen bank of belastingdienst

Da's wel een errûg ouderwetse gedachte hoor

Denk aan initiatieven als Let's Encrypt die als doel heeft het complete web te TLS-eren d.m.v. gratis DV-certificaten.

Non-HTTPS-verkeer is simpelweg zooo 2014!

crisp schreef op donderdag 21 januari 2016 @ 17:22:
[...]

Denken dat https je veiligheid en privacy geeft is zooo 2016 (maar best wel naief )

Depends, bedoel je zaken als SNI, waardoor een deel alsnog zichtbaar is bij een MitM of bedoel je dat `secp521r1` (of de andere 2 standaard curves) een onveilige curve is en daardoor door de NSA te kraken?

[ Voor 12% gewijzigd door Osiris op 21-01-2016 17:26 ]

Osiris schreef op donderdag 21 januari 2016 @ 17:19:
[...]

Da's wel een errûg ouderwetse gedachte hoor

Denk aan initiatieven als Let's Encrypt die als doel heeft het complete web te TLS-eren d.m.v. gratis DV-certificaten.

Non-HTTPS-verkeer is simpelweg zooo 2014!

Een beetje grote site dat zichzelf serieus neemt heeft wel een certificaat van een bekende CA als Symantec, of Comodo. Let's Encrypt is denk ik meer voor de wat kleinere websites.

Verwijderd schreef op donderdag 21 januari 2016 @ 17:34:
[...]
Een beetje grote site dat zichzelf serieus neemt heeft wel een certificaat van een bekende CA als Symantec, of Comodo. Lets Encrypt is denk ik meer voor de wat kleinere websites.

Ik zei ook niet dat T.net gebruik van LE moest gaan maken Sowieso hebben ze allang een certificaat, volgens mij zelfs met wildcard

[ Voor 9% gewijzigd door Osiris op 21-01-2016 17:36 ]

Osiris schreef op donderdag 21 januari 2016 @ 17:26:
[...]

Depends, bedoel je zaken als SNI, waardoor een deel alsnog zichtbaar is bij een MitM of bedoel je dat `secp521r1` (of de andere 2 standaard curves) een onveilige curve is en daardoor door de NSA te kraken?

Er gaat amper data over de lijn die niet sowieso al publiek of semi-publiek gemaakt wordt. Zolang het inloggen en registreren achter SSL zit is het niet alsof er veel buit te maken is dat anders niet te krijgen zou zijn. Hooguit in DM's misschien, maar die zouden misschien ook achter SSL weggestopt kunnen worden omdat externe content daar veel minder speelt.

Osiris schreef op donderdag 21 januari 2016 @ 17:26:
[...]

Depends, bedoel je zaken als SNI, waardoor een deel alsnog zichtbaar is bij een MitM of bedoel je dat `secp521r1` (of de andere 2 standaard curves) een onveilige curve is en daardoor door de NSA te kraken?

Ik bedoel dat het niet iets is wat je beschermt tegen malware, tracking of zelfs dit soort praktijken... Het is geen wondermiddel, en een groen slotje is geen garantie. Voor de doorsnee internetter biedt het niet veel meer dan een gevoel van (schijn?)veiligheid, en juist weer onterecht ongerustheid als ze met foutmeldingen worden geconfronteerd als ze een of andere hobbysite per ongeluk via https bezoeken

NMe schreef op donderdag 21 januari 2016 @ 17:38:
[...]

Er gaat amper data over de lijn die niet sowieso al publiek of semi-publiek gemaakt wordt. Zolang het inloggen en registreren achter SSL zit is het niet alsof er veel buit te maken is dat anders niet te krijgen zou zijn. Hooguit in DM's misschien, maar die zouden misschien ook achter SSL weggestopt kunnen worden omdat externe content daar veel minder speelt.

Maar da's ook helemaal niet de gedachte van de hedendaagse opinie van sommigen/velen over het gebruik van TLS: het gaat simpelweg niemand wat aan welke nieuwsposts/topics mij interesseren. Het hele web zou achter TLS moeten hangen. Ook al is de site nog zo nutteloos/oninteressant

crisp schreef op donderdag 21 januari 2016 @ 17:43:
[...]

Ik bedoel dat het niet iets is wat je beschermt tegen malware, tracking of zelfs dit soort praktijken... Het is geen wondermiddel, en een groen slotje is geen garantie. Voor de doorsnee internetter biedt het niet veel meer dan een gevoel van (schijn?)veiligheid, en juist weer onterecht ongerustheid als ze met foutmeldingen worden geconfronteerd als ze een of andere hobbysite per ongeluk via https bezoeken

Dat claim ik gelukkig dan ook niet

DV-certificaten zijn sowieso geen reden om de site ultiem vertrouwen toe te kennen. Projecten als LE die een 100 % coverage van TLS nastreven, zal daarin mogelijk een cultuurverschuiving teweeg brengen: elk random (sub)domein kan achter een groen slotje zitten en een groen slotje van een DV-certificaat zegt in principe niets over de veiligheid van die site zélf. En da's sowieso altijd al zo geweest, maar nu wordt 't hooguit wat "reeëler" nu elke puisterige tiener een gratis certificaat kan krijgen. Konden ze sowieso al overigens
En hobbysites zul je altijd blijven houden, inc self signed certificaten enzo

[ Voor 46% gewijzigd door Osiris op 21-01-2016 17:47 ]

Osiris schreef op donderdag 21 januari 2016 @ 17:43:
[...]
En hobbysites zul je altijd blijven houden, inc self signed certificaten enzo

Yep, en daarom ook mijn mening dat *als* we hier https gaan ondersteunen we dat ook goed moeten doen (en dus ook mixed content moeten voorkomen)

crisp schreef op donderdag 21 januari 2016 @ 17:56:
[...]

Yep, en daarom ook mijn mening dat *als* we hier https gaan ondersteunen we dat ook goed moeten doen (en dus ook mixed content moeten voorkomen)

Uiteraard.. En da's ook allemaal niet zo makkelijk.

D'r zijn ook forumsoftwares die volledig automagisch plaatjes lokaal backuppen enzo, maar dan zit je weer met zaken als storage space en eventueel copyright e.d..

Je zóu theoretisch ook een soort TLS enabled image-proxy kunnen maken: on-the-fly 't plaatje vanaf die proxy downloaden en doorpaassen naar de client via TLS. Maar dan zit je weer met nóg meer CPU-verbruik

Maargoed, da's iets voor jullie om te bedenken Wij willen gewoon TLS

[ Voor 4% gewijzigd door Osiris op 21-01-2016 18:05 ]

Persoonlijk vind ik mixed content helemaal geen probleem. Het is gewoon iets wat lastig op te lossen is (ik kan me voorstellen dat jullie alles zelf hosten of een proxy niet zien zitten).

Ik browse Tweakers al jaren over HTTPS en ondervindt totaal geen problemen, behalve één heel makkelijk te voorkomen warning bij het POSTen van een reactie. Maar dat heb ik al wel drie keer genoemd in dit topic.

---

Osiris schreef op donderdag 21 januari 2016 @ 17:26:
[...]

Depends, bedoel je zaken als SNI, waardoor een deel alsnog zichtbaar is bij een MitM of bedoel je dat `secp521r1` (of de andere 2 standaard curves) een onveilige curve is en daardoor door de NSA te kraken?

Ik denk eerder dat hij doelt op het probleem met PKI. Er staan tegenwoordig zoveel root-certificaten in een truststore dat het onmogelijk te controleren valt of al die CAs wel te vertrouwen zijn. Misschien zijn er wel overheden die toegang hebben tot de private keys van bepaalde CAs, bijvoorbeeld.

---

Verwijderd schreef op donderdag 21 januari 2016 @ 17:34:
[...]
Een beetje grote site dat zichzelf serieus neemt heeft wel een certificaat van een bekende CA als Symantec, of Comodo. Let's Encrypt is denk ik meer voor de wat kleinere websites.

Waar haal je dat vandaan? Een certificaat is een certificaat. Een gratis certificaat is niet minder dan die van een (veel te) dure CA.

[ Voor 49% gewijzigd door Compizfox op 21-01-2016 19:49 ]

Compizfox schreef op donderdag 21 januari 2016 @ 19:44:
Persoonlijk vind ik mixed content helemaal geen probleem. Het is gewoon iets wat lastig op te lossen is (ik kan me voorstellen dat jullie alles zelf hosten of een proxy niet zien zitten).

Ik browse Tweakers al jaren over HTTPS en ondervindt totaal geen problemen, behalve één heel makkelijk te voorkomen warning bij het POSTen van een reactie. Maar dat heb ik al wel drie keer genoemd in dit topic.

Waar haal je dat vandaan? Een certificaat is een certificaat. Een gratis certificaat is niet minder dan die van een (veel te) dure CA.

Ik heb hier ook Tweakers in https via https everywhere alleen je weet niet wat wel en niet encrypted wordt verzonden.

Bij een grote CA is het wel zo dat het een stukje extra vertrouwen geeft, waarom maken MS en Yahoo dan gebruik van Symantec wat één van de duurste tenten is?

Verwijderd schreef op donderdag 21 januari 2016 @ 21:19:
[...]
Ik heb hier ook Tweakers in https via https everywhere alleen je weet niet wat wel en niet encrypted wordt verzonden.

Ik dit topic wordt bij mij alles encrypted verzonden, omdat er geen externe plaatjes over HTTP in staan.

Ik ben het wel met je eens dat het in browsers vaak niet duidelijk is wat de unencrypted content is (ik heb in Firefox tevergeefs lopen zoeken naar een lijst met unencrypted content). Je kunt het echter wel gokken.

Firefox blokkeert by default actieve mixed content (zoals JavaScript. fonts, CSS) maar laat passieve mixed content (images, video) gewoon zien. Dat vind ik wel een mooie oplossing.

Als er actieve mixed content geblokkeerd is gaat het negen van de tien keer om ads of trackers. Als er passieve mixed content is gaat het bijna altijd om plaatjes.

Bij een grote CA is het wel zo dat het een stukje extra vertrouwen geeft, waarom maken MS en Yahoo dan gebruik van Symantec wat één van de duurste tenten is?

Ik vertrouw een grote CA zoals Symantec zeker niet meer dan Mozilla of de EFF. In tegendeel eigenlijk.

Compizfox schreef op donderdag 21 januari 2016 @ 19:44:
[...]

Ik denk eerder dat hij doelt op het probleem met PKI. Er staan tegenwoordig zoveel root-certificaten in een truststore dat het onmogelijk te controleren valt of al die CAs wel te vertrouwen zijn. Misschien zijn er wel overheden die toegang hebben tot de private keys van bepaalde CAs, bijvoorbeeld.

Wikipedia: HTTP Public Key Pinning

Verwijderd schreef op donderdag 21 januari 2016 @ 21:19:
[...]
Bij een grote CA is het wel zo dat het een stukje extra vertrouwen geeft, waarom maken MS en Yahoo dan gebruik van Symantec wat één van de duurste tenten is?

Omdat prijs voor die toko's zo goed als niets uitmaakt en het zal gewoon van oudsher zo zijn plus dat ze nog wel een zooitje legacy dingen zullen hebben draaien.

Bijv een MS die zal de 1e 20 jaar oid niet over kunnen naar iets als Let's Encrypt want volgens mij hebben ze extended support contracts op WinXP bij enkele overheden lopen en WinXP basis instap zonder updates moet wel zonder problemen bij windows update kunnen komen dus oftewel windows updates zal enkel kunnen kiezen uit CA's die ten tijde van WinXP bestonden.

En de winXP support contracten zullen wel ergens aflopen en dan kunnen ze die CA's dumpen, maar het spelletje begint dan weer opnieuw met de volgende oude windows versie met extended support contracten.

Al kost een symantec een miljoen, alsnog is het voor MS dan goedkoper om gewoon daar te blijven dan over te stappen en de support calls te helpen en de mogelijke claims te moeten aanvechten, hence het bedrag maakt ze geen ene donder uit.

Jij hebt het over software, dat is anders dan bij websites die certificaten van een veel kortere levensduur gebruiken.

Ik verbaas me wel over het enorme prijsverschil tussen de CA bedrijven onderling zoals Verisign en Startcom. Iemand die dit kan verklaren?

reviews: Tweakers stapt over op https

Deze kan inderdaad dicht