Tweakers over op https - Bugs en andere opmerkingen

Als ik niet ingelogd ben en wil reageren op een post, kom ik op een pagina terecht waar wordt aangegeven dat alleen inloggen via de 'reguliere loginpagina' beveiligd is:

"Gebruik het reguliere loginformulier om in te loggen via een beveiligde verbinding."

Dat is nu volgens mij achterhaald?

Edit:
Ik had gezocht op reguliere en die andere melding niet gevonden, bovendien is die subtiel anders.
Ik bedoel deze:

[ Voor 24% gewijzigd door RudolfR op 17-06-2016 14:00 ]

Was al gemeld: TomPlant0 in "Tweakers over op https - Bugs en andere opmerkingen".

De smilies in oude userreviews lijken nog via http binnen gehaald te worden. Bijvoorbeeld op gallery: CallmeGod de review van Chaosstorm op 6 april 2013.

<Laat maar, was niet secure wegens een verouderde link in mijn custom CSS, is fixed.>

[ Voor 109% gewijzigd door Zorian op 19-06-2016 23:23 ]

Zorian schreef op zondag 19 juni 2016 @ 23:19:
<Laat maar, was niet secure wegens een verouderde link in mijn custom CSS, is fixed.>

Oooh dat is een goede!

Ik had ook nog 2 linkjes in mijn custom css staan die naar http://static.tweakers.net verwezen. Na hier https van gemaakt te hebben was het forum weer secure

Jammer dat firefox wel meld dat je mixed content hebt, maar niet waar deze vandaan komt Tenminste niet dat ik makkelijk kon vinden. Heb hem nu zelf gefixed, maar zou het mogelijk zijn custom css met http linkjes te autofixen, danwel een melding bij te geven? Geen idee hoe dat elegant kan overigens, auto fixen kan best wel ingewikkeld zijn, en niet iedereen zal op meldingen zitten te wachten...

Dorus schreef op maandag 20 juni 2016 @ 02:13:
Jammer dat firefox wel meld dat je mixed content hebt, maar niet waar deze vandaan komt

Ctrl+U -> ctrl+F -> http: ?

Ik wijt dit ook maar even aan de vernieuwingen van de laatste paar weken: Als ik op de titel van een topic klik dan krijg ik sinds enige tijd standaard de laatste pagina van dat topic. Zelfde gedrag dus als klikken op 'Laatste'...

Lijkt me niet helemaal de bedoeling, handiger om dan de eerste pagina te krijgen, dan worden de OP's ook nog eens gelezen wellicht...

Hmm, daar staat inderdaad inderdaad een vinkje en dat vinkje weghalen lost het 'probleem' inderdaad op...

Maar ik weet toch behoorlijk zeker dat ik dat vinkje niet zelf heb gezet en dat die wijziging vrij recent was...

Anyway, opgelost en dank voor de tip!

Ik heb nu het eerste probleem ontdekt wat er gebeurt als je plaatjes cachet om ze als https te serveren:

Chakotay in "Het grote motortopic deel 17"

Polls werken niet meer, omdat het plaatje gecached word

crisp schreef op dinsdag 21 juni 2016 @ 11:28:
[...]

Daar kunnen wij dan helaas niets aan doen... Het beste zou zijn als die server ook gewoon https zou ondersteunen

Om een exception list aan te maken voor plaatjes die niet gecachet moeten worden gaat wel weer te ver zeker?

Hooglander1 schreef op dinsdag 21 juni 2016 @ 11:49:
[...]

Om een exception list aan te maken voor plaatjes die niet gecachet moeten worden gaat wel weer te ver zeker?

Maar dan krijg je weer mixed content waarschuwingen in de browser, toch?

Raven schreef op dinsdag 21 juni 2016 @ 11:58:
[...]

Maar dan krijg je weer mixed content waarschuwingen in de browser, toch?

Dat is als je ze via HTTP laat komen, ik zou ze wel via de proxy laten gaan, maar plaatjes die van poll.dezeserver.nl afkomen dan niet laten cachen.

crisp schreef op dinsdag 21 juni 2016 @ 12:02:
[...]

Dan moeten wij dus custom aanpassingen gaan doen aan die proxy. Liever niet om eerlijk te zijn

Dat soort polls (en vergelijkbare dynamische afbeeldingen) is wel iets dat regelmatig gebruikt word op het forum, niet iets om alsnog rekening mee te houden? Ligt er natuurlijk aan hoe lang dat soort spul nog op http blijft, ik zal iig eens kijken of bootz van die pollgenerator een duwtje kan krijgen

Edit: en reactie, poll.dezeserver.nl word over ongeveer een week omgezet naar https.

[ Voor 23% gewijzigd door Chakotay op 21-06-2016 15:15 ]

Het is weer eens tijd voor deze:

Misschien ook een idee om Poll functionaliteit in te bouwen voor het forum? Ipv een derde partij.

_David_ schreef op dinsdag 21 juni 2016 @ 17:51:
Misschien ook een idee om Poll functionaliteit in te bouwen voor het forum? Ipv een derde partij.

Naast het feit dat dit verzoek niet in dit topic hoort, hebben we dat al een relatief lange tijd. Echter moet er een poll aangevraagd worden en goedgekeurd voordat je 'm kan zien/gebruiken. Dit loopt vziw nog via Zeef, er is geen ander crewlid die polls kan goedkeuren.

Edit:
Sinds iteratie #74: plan: Development-round-up - Iteratie #74

Met deze release kunnen crewleden polls in forumtopics integreren. Dit zijn dezelfde polls als die je al op de frontpage en onder artikelen kon tegenkomen. Daardoor hoeven we niet meer op tools van derden te leunen om jullie mening in het forum te vragen.

Crewleden kunnen die toevoegen dus, niet gebruikers. Maar wij moeten dus weer wachten op goedkeuring.

[ Voor 35% gewijzigd door Hero of Time op 21-06-2016 20:30 ]

Titel: "en andere opmerkingen" - als Tweakers voor gebruikers een pollfunctionaliteit zou aanbieden zouden gebruikers niet afhankelijk zijn van externe partijen die niet meer werken dankzij caching

[ Voor 14% gewijzigd door Migrator op 21-06-2016 20:44 ]

Migrator schreef op dinsdag 21 juni 2016 @ 20:29:
Titel: "en andere opmerkingen" - als Tweakers voor gebruikers een pollfunctionaliteit zou aanbieden zouden gebruikers niet afhankelijk zijn van externe partijen die wellicht mixed content meldingen opleveren

Dat laatste is nooit het geval geweest.

Enige wat hier gebeurde is dat caching normaal goed is voor statische content. Ik ben er zelf wel blij mee, want die gif hier boven is dus nu gecachet, scheelt mij weer een boel hits

Maar voor de poll is dat niet erg, het aantal hits blijft gelijk, alleen wat meer hits van 1 plek, maar dat zal BOOTZ niks uitmaken. Dus voor hem veranderd er niks.

Dus Mixed content is geen sprake van geweest, alleen een situatie waar caching niet altijd gewenst is.

Euh ohja, want caching zodat geen mixed content. Tuurlijk. Nu staat er wel wat ik bedoelde

Hero of Time schreef op dinsdag 21 juni 2016 @ 20:28:
[...]

Naast het feit dat dit verzoek niet in dit topic hoort, hebben we dat al een relatief lange tijd. Echter moet er een poll aangevraagd worden en goedgekeurd voordat je 'm kan zien/gebruiken. Dit loopt vziw nog via Zeef, er is geen ander crewlid die polls kan goedkeuren.

Edit:
Sinds iteratie #74: plan: Development-round-up - Iteratie #74

[...]

Crewleden kunnen die toevoegen dus, niet gebruikers. Maar wij moeten dus weer wachten op goedkeuring.

Het is een opmerking op het feit dat er nu een uitzondering toegevoegd moet worden (mbt tot de https proxy) voor een externe partij voor iets wat een basis functionaliteit is in forum software.

En forum polls die puur door een iemand van de crew aangemaakt kan worden hebben gebruikers dus niks aan.

_David_ schreef op dinsdag 21 juni 2016 @ 20:57:
[...]

Het is een opmerking op het feit dat er nu een uitzondering toegevoegd moet worden (mbt tot de https proxy) voor een externe partij voor iets wat een basis functionaliteit is in forum software.

En forum polls die puur door een iemand van de crew aangemaakt kan worden hebben gebruikers dus niks aan.

En ik geef aan dat dit topic niet de juiste plek is daarvoor, met redenen waarom en wat de beperkingen momenteel zijn van de 'native' polls. Trap een topic uit de grond in MF, maar ga er niet hier om vragen.

Allereerst hulde voor het algemeen overstappen op https. Ik gebruik al een tijdje HTTPS everywhere voor t.net maar dit is een goede verbetering. Ook hulde voor de dual-stack configuratie.

Als jullie nog eens tijd hebben zou je eens kunnen kijken naar je cipher-suite-volgorde. Ik vind sommige punten wat vreemd. Hoewel bijna niets hier inarguably "het beste" is:

1. Forward Secrecy zou altijd prioriteit moeten hebben (ECDHE, DHE)
2. daarna zouden AEAD ciphers altijd prioriteit moeten hebben (AES-GCM)
3. daarna ECC boven RSA
4. 128bit ciphers boven 256bit ciphers is prima, goed zelfs. Maar de 256bit ciphers helemaal onder alle 128bit ciphers zetten is nogal zinloos. liever groeperen per bovenstaande 3 regels.

Een paar (theoretische) voorbeelden van clients die potentieel slechter af zijn dan ze zouden kunnen:
- clients die geen ECC kunnen krijgen onnodig geen Forward Secrecy
- clients die geen ECDHE maar wel DHE krijgen onnodig geen DHE

In principe is de Mozilla recommended intermediate compatibility een hele goede plek om te beginnen. Persoonlijk heb ik daar nog wat combinaties uitgezet die clients toch nooit gebruiken zoals ECDHE+DES-CBC3-SHA, maar nodig is dat niet.

Ik geloof dat Kees ergens had gezegd dat de configuratie niet zo makkelijk aan te passen omdat het op de loadbalancers/proxy draait, maar dat kan ik niet meer vinden. Als je toch een keer bezig gaat

DHE is performance-wise beroerd. Zijn er überhaupt clients die wél DHE doen, maar géén EDHE?

Antieke browsers en mobiele apparaten?

Osiris schreef op woensdag 29 juni 2016 @ 15:39:
DHE is performance-wise beroerd. Zijn er überhaupt clients die wél DHE doen, maar géén EDHE?

Moderne clients hebben natuurlijk allemaal wel support voor ECDHE, maar bijvoorbeeld alles gelinkt aan OpenSSL 0.9.8 heeft wel DHE maar geen ECDHE. Dus dan heb je het inderdaad over oude mobiele browsers.

https://tweakers.net/advertorials/onlinejavaacademy/

De plaatjes van afl. 5, 7 en 9 zorgen voor mixed content.
_{of hoeven deze dingen niet gemeld te worden?}

ongekend41 schreef op donderdag 30 juni 2016 @ 13:09:
https://tweakers.net/advertorials/onlinejavaacademy/

De plaatjes van afl. 5, 7 en 9 zorgen voor mixed content.
_{of hoeven deze dingen niet gemeld te worden?}

Op de hoofdpagina bij deze gefixed. Zie dat het ook bij de andere pagina's voorkomt. Lijkt een scriptje niet alles meegenomen te hebben bij het omzetten naar https.

Niet helemaal relevant aan HTTPS-gebruik van de website, maar in Gmail zie ik deze melding:

De link 'meer informatie' verwijst naar: https://support.google.com/mail/answer/7039474?hl=nl

Nu men toch bezig is met versleuteling van het verkeer van de website dit misschien ook meepakken?
Het ging om een mailtje met notificatie dat ik een DM had ontvangen. Aangezien de eerste zoveel karakters van de DM getoond worden in dat mailtje is versleuteling geen overbodige luxe lijkt mij?

[ Voor 36% gewijzigd door ThinkPad op 01-07-2016 13:17 ]

ThinkPadd schreef op vrijdag 01 juli 2016 @ 13:14:
Nu men toch bezig is met versleuteling van het verkeer van de website dit misschien ook meepakken?
Het ging om een mailtje met notificatie dat ik een DM had ontvangen. Aangezien de eerste zoveel karakters van de DM getoond worden in dat mailtje is versleuteling geen overbodige luxe lijkt mij?

Je bent bang dat er iemand het SMTP verkeer gaat zitten sniffen op de AMS-IX tussen tweakers en google?

Zou op zich wel mooi zijn ja als ook voor het uitgaande SMTP verkeer TLS aangezet wordt. Al weet ik verder natuurlijk niet in hoeverre Tweakers daarbij nog afhankelijk is van derde partijen die het mailverkeer verder afhandelen.

Voor uitgaand SMTPS hoef je i.p. verder ook niets te roggelen naast een instelling omzetten, scheelt ook weer. I.p.v. bij inkomend SMTP ofcourse.

Ik zag in Firefox met de prestatieanalyse in tabblad netwerk in de webontwikkelaar dat media.tweakers.tv geen https gebruikt.

Dit heb ik getest met de Battlefield 1 Preview.

Apart naar media.tweakers.tv gaan en dan https er voor zetten wordt wel geaccepteerd.

Ik zag geen vermelding hierover in dit topic staan, dus bij deze.

ACM schreef op woensdag 06 juli 2016 @ 08:06:
[...]

Om wat voor request ging dat? De mp4-file? Hier gaat alles via https, ook die ene request voor de mp4 van media.tweakers.tv.

En waar testte je dit? In het artikel die op de frontpage staat (tweakers.net/review in de url) of in de losse videospeler (tweakers.net/video in de url)?

Het is inderdaad de mp4 file.
Ik heb vanaf de frontpage op de titel van het artikel geklikt en daarna heb ik gekeken wat er geladen werd.

Hier heb ik dat getest. Firefox knop - Webontwikkelaar - Netwerk

crisp schreef op donderdag 07 juli 2016 @ 11:11:
[...]

Gebruik je misschien een of andere extentie die dat zou kunnen veroorzaken?

Jah.

Ik gebruik HTTPS Everywhere, uBlock Origin en Privacy Badger. uBlock Origin is uitgeschakeld voor Tweakers.net, HTTPS Everywhere kon het ook niet zijn.

Dan blijft Privacy Badger over en die blokkeerde 1 tracker helemaal en bij 2 alleen de cookie, toen Privacy Badger ook uit stond voor Tweakers.net werkte de mp4 file weer via een versleutelde verbinding.

Daarna nog een keer geprobeerd met Privacy Badger ingeschakeld en toen was de mp4 file ook weer versleuteld.

Misschien dat Privacy Badger gekke dingen doet. Dus bij jullie is er niks aan de hand.

Het plaatje in deze reactie wordt via HTTP aangeleverd.

hcQd schreef op dinsdag 12 juli 2016 @ 14:05:
Het plaatje in deze reactie wordt via HTTP aangeleverd.

Hier komt ie via HTTPS binnen hoor?

DennusB schreef op dinsdag 12 juli 2016 @ 14:38:
[...]


Hier komt ie via HTTPS binnen hoor?

ik gok dat Xav (degene die dat plaatje erin geedit heeft) in eerste instantie een normale http link geplaatst had.
Vond het al raar dat het mogelijk as afbeeldingen in een reactie te plaatsen

[ Voor 13% gewijzigd door Puc van S. op 12-07-2016 14:49 ]

Ik denk dat Xav hem later nog aangepast heeft zodat 'ie het https-plaatje pakt inderdaad. Maar zo'n enkel plaatje lijkt me verder niet de moeite van het melden hier waard; er zijn ook nog zat forumtopics waarbij er geen https is vanwege html in de TW o.i.d...

ThinkPadd schreef op vrijdag 01 juli 2016 @ 13:14:
Niet helemaal relevant aan HTTPS-gebruik van de website, maar in Gmail zie ik deze melding:
[afbeelding]
De link 'meer informatie' verwijst naar: https://support.google.com/mail/answer/7039474?hl=nl

Nu men toch bezig is met versleuteling van het verkeer van de website dit misschien ook meepakken?
Het ging om een mailtje met notificatie dat ik een DM had ontvangen. Aangezien de eerste zoveel karakters van de DM getoond worden in dat mailtje is versleuteling geen overbodige luxe lijkt mij?

Waarom maken jullie niet gewoon gebruik van Office 365 of Google Apps? Beide ontvangen en versturen standaard alles met SSL.

Net een bug in de link parser gevonden. Ik heb een aantal notes die ik snel kan invullen. Een paar hiervan zijn links naar het beleid e.d. Deze zijn nog voor de verandering gemaakt, dus geen https. Deze plakken geeft dus geen https variant en de omschrijving verandert ook niet.

Zonder: http://gathering.tweakers.net/forum/faq/beleid
Met: Het algemeen beleid

Is dit een bug of gewoon niet over nagedacht?

ThinkPadd schreef op vrijdag 01 juli 2016 @ 13:14:
Niet helemaal relevant aan HTTPS-gebruik van de website, maar in Gmail zie ik deze melding:
[afbeelding]
De link 'meer informatie' verwijst naar: https://support.google.com/mail/answer/7039474?hl=nl

Nu men toch bezig is met versleuteling van het verkeer van de website dit misschien ook meepakken?
Het ging om een mailtje met notificatie dat ik een DM had ontvangen. Aangezien de eerste zoveel karakters van de DM getoond worden in dat mailtje is versleuteling geen overbodige luxe lijkt mij?

Ik zie dat dit inmiddels is opgelost, nice! Goed bezig!

verzonden door: tweakers.net
versleuteling: Standaard (TLS)

Ah, jammer dat het protocol er ook zo hard naar gekeken wordt. Er is al een check bij plaatjes om te zien of die via https bereikbaar is, is dat ook niet toe te passen voor links? Of zit daar een andere intelligentie achter wat niet zo 1-2-3 is over te nemen of uit te breiden?

crisp schreef op woensdag 20 juli 2016 @ 22:31:
[...]

Voor een deel doen we dat al, maar of dat makkelijk is uit te breiden kan ik zo vanaf het terras van mijn vakantiebungalow niet zeggen

Ja zeg, ga lekker vakantie vieren! Werken doe je maar als je weer terug op kantoor bent.

Sinds tweakers naar https overgeschakeld is kan ik vanuit chrome canary (versie 53) de site niet meer bereiken.
Ik krijg steeds:
"this site can't provide a secure connection
tweakers.net sent an invalid response.
ERR_SLL_FALLBACK_BEYOND_MINIMUM_VERSION"

met IE kan ik de site wel nog bereiken.
Is hier een oplossing voor ?

The-Dude schreef op woensdag 27 juli 2016 @ 10:37:
chrome canary (versie 53)

Heb je dit met een niet-beta versie ook?

The-Dude schreef op woensdag 27 juli 2016 @ 10:37:
Sinds tweakers naar https overgeschakeld is kan ik vanuit chrome canary (versie 53) de site niet meer bereiken.
Ik krijg steeds:
"this site can't provide a secure connection
tweakers.net sent an invalid response.
ERR_SLL_FALLBACK_BEYOND_MINIMUM_VERSION"

met IE kan ik de site wel nog bereiken.
Is hier een oplossing voor ?

Wordt er een proxy of iets anders gebruikt dat aan SSL inspectie doet (denk aan antivirus)? Want welk certificaat zie je als je deze opvraagt?

Hero of Time schreef op woensdag 27 juli 2016 @ 11:14:
[...]

Wordt er een proxy of iets anders gebruikt dat aan SSL inspectie doet (denk aan antivirus)? Want welk certificaat zie je als je deze opvraagt?

Ja, het is op het netwerk van mijn werk. Daar worden wel dingen gefilterd. Maar met IE lukt het dus wel...

The-Dude schreef op woensdag 27 juli 2016 @ 16:10:
[...]

Ja, het is op het netwerk van mijn werk. Daar worden wel dingen gefilterd. Maar met IE lukt het dus wel...

Dat is dan niet zo gek, daar zit het certificaat van de anti-virus of proxy server in, zodat die geaccepteerd wordt. Andere browsers gaan klagen omdat het certificaat niet overeenkomt met de oorspronkelijke uitgever.

Ik had zojuist bij deze post dat de url van de 2e foto (thumbnail) toen ik hem opende om te editten, automatisch aangepast was naar https, waardoor deze niet meer werkte.

https://gathering.tweaker...nd/poster/468821/messages
Krijg hier een heleboel mixed content errors (die ook allemaal gestuurd zijn als CSP Report) van techtesters.eu

Zo ver ik kan zien zijn alle images die van techtesters.eu komen geladen via de camo proxy, maar krijg toch de mixed content errors...

De eerste pagina ervan heeft 1 plaatje van een host die het prima doet, alle andere plaatjes (die van de behuizing) zijn van bit.ly. Dat is een URL shortner dienst. Het zou mij niet verbazen als daar het hele probleem ligt.

Ik krijg een mixed content melding bij https://tweakers.net/wot/

[ Voor 3% gewijzigd door Jerrythafast op 05-08-2016 13:07 ]

Wauw, blast from the past zeg. Kan je achterhalen welk(e) element(en) hier de boosdoener is/zijn? Zou je met de developer tools van je browser moeten kunnen achterhalen.

Hero of Time schreef op vrijdag 05 augustus 2016 @ 13:41:
Wauw, blast from the past zeg. Kan je achterhalen welk(e) element(en) hier de boosdoener is/zijn? Zou je met de developer tools van je browser moeten kunnen achterhalen.

De dev-tools heb je daar niet eens voor nodig, niet voor de afbeeldingen dan Dit zijn iig de afbeeldingen die via http ingeladen lijken te worden, aldus FF. Eens kijken of ik nog meer kan vinden.

http://tweakers.net/wot/wot/grafx/whitepix.gif
http://tweakers.net/wot/wot/grafx/topleft1.gif
http://tweakers.net/wot/wot/grafx/top.jpg
http://tweakers.net/wot/wot/grafx/blackpix.gif
http://tweakers.net/wot/wot/grafx/nerd1.gif
http://tweakers.net/wot/wot/grafx/pixel.gif
http://tweakers.net/wot/wot/grafx/topleft3.gif
http://tweakers.net/wot/wot/grafx/blue1pix.gif
http://tweakers.net/wot/wot/grafx/topleft2.gif
http://tweakers.net/wot/wot/grafx/menu_home1.gif
http://tweakers.net/wot/wot/grafx/menu_nieuws1.gif
http://tweakers.net/wot/wot/grafx/menu_hardware1.gif
http://tweakers.net/wot/wot/grafx/menu_gaming1.gif
http://tweakers.net/wot/w...nu_prijsvergelijking1.gif
http://tweakers.net/wot/wot/grafx/menu_forum1.gif
http://tweakers.net/wot/wot/grafx/menu_kletsdoos1.gif
http://tweakers.net/wot/wot/grafx/menu_links1.gif
http://tweakers.net/wot/wot/grafx/menu_adverteren1.gif
http://tweakers.net/wot/wot/grafx/menu_aboutus1.gif
http://tweakers.net/wot/wot/grafx/sidetabtop.gif
http://tweakers.net/wot/wot/grafx/yellowpix.gif
http://tweakers.net/wot/wot/grafx/blackpix.gif
http://tweakers.net/wot/wot/grafx/sidetabbottom.gif
http://tweakers.net/wot/wot/grafx/trueserver.gif
http://tweakers.net/wot/wot/grafx/yellowpix.gif
http://tweakers.net/wot/wot/grafx/blue2pix.gif
http://tweakers.net/wot/wot/grafx/poll/begin.gif
http://tweakers.net/wot/wot/grafx/poll/groen.gif
http://tweakers.net/wot/wot/grafx/poll/geel.gif
http://tweakers.net/wot/wot/grafx/poll/oranje.gif
http://tweakers.net/wot/wot/grafx/poll/rood.gif
http://tweakers.net/wot/wot/grafx/poll/sluiten.gif
http://tweakers.net/wot/wot/grafx/arrow.gif
http://tweakers.net/wot/wot/grafx/nerd2.gif
http://ic.tweakimg.net/ext/i/970274769.gif
http://ic.tweakimg.net/ext/i/970275086.gif
http://ic.tweakimg.net/ext/i/970275295.gif
http://tweakers.net/wot/wot/grafx/rightbreak.gif
http://tweakers.net/wot/wot/grafx/bottom.gif

edit: De console lijkt hetzelfde aan te geven.

[ Voor 3% gewijzigd door Raven op 05-08-2016 13:53 ]

Mixed content warning op pagina:
productreview: Sapphire Radeon RX 470 4G D5 review door Foritain

Boosdoener is:
http://techtesters.eu/pic/1.png

crisp schreef op zaterdag 06 augustus 2016 @ 14:26:
[...]

Vreemd, de RML parser had dat af moeten vangen...

ah wacht, dat is https://bit.ly/tt-msi1060t welke redirect naar een http plaatje... Hetzelfde dus als _David_ in "Tweakers over op https - Bugs en andere opmerkingen"

Ik denk dat we shortener-url's dus ook maar via de camo proxy moeten gaan laten lopen, zelfs als die al https is...

Jep want de shortened url leidt naar een plaatje dat wordt opgehaald via een non-https verbinding.

Ik krijg een mixed content warning op pagina 108 (25ppp) van GKMT, directe link naar post dat bovenaan die pagina staat: BlackEyedAngel in "Het Grote Kleinemededelingentopic - Deel 341"

Zal zo even kijken of ik kan vinden wat het veroorzaakt.

edit: http://icons.iconarchive....Special-Olympics-icon.png lijkt de oorzaak te zijn, toevallig het bericht waar ik naar linkte.

Content Security Policy: De instellingen van de pagina hebben het laden van een bron op http://icons.iconarchive....Special-Olympics-icon.png (‘default-src https: data: 'unsafe-inline' 'unsafe-eval'’) waargenomen. Er wordt een CSP-rapport verzonden.

Zie dit trouwens staan achter de link: [HTTP/1.1 304 Not Modified 28ms]

[ Voor 53% gewijzigd door Raven op 16-08-2016 13:10 ]

Dat komt omdat het plaatje via https is opgegeven (waarschijnlijk door de parser), maar als je die link volgt, wordt je teruggestuurd naar http. Daar gaat dus iets niet goed in de parser en wordt er onterecht vanuit gegaan dat deze fatsoenlijk via https geserveerd wordt.

Weer een mixed content warning, zelfde user, andere host: BlackEyedAngel in "Het Grote Kleinemededelingentopic - Deel 341" , maar dan met https://www.imfdb.org/ima...g/600px-Aliens_Sentry.jpg

Nog zo'n host die https redirect naar http.

BEA weet ze wel uit te kiezen zeg

Oke met het risico dat deze al gemeld is ik krijg geen partially encrypted connection op de pagina waar de voorwaarden voor de HK genoemd staan:
Voorwaarden aanvragen huiskamer (HK) toegang

En de browser geeft de volgende content de schuld:
Loading mixed (insecure) display content "http://tweakers.net/~kees/userid.php" on a secure page

crisp schreef op woensdag 24 augustus 2016 @ 21:58:
[...]

Fixed

Joepie