https mixed content warning

Raven schreef op zaterdag 17 december 2016 @ 12:40:
https://gathering.tweakers.net/forum/view_message/49522865

http://cabforward.com/wp-...P-Crewmans-Smoke-Hood.png

Hero of Time schreef op maandag 19 december 2016 @ 21:20:
FreshMaker in "Het grote grappige plaatjes topic Editie Q4-2016" heeft ook een plaatje dat SSL errors geeft. Krijg helaas niet precies te zien wat er mis is, het certificaat of de chain.

Hero of Time schreef op woensdag 28 december 2016 @ 13:31:
Opnieuw: FreshMaker in "Het grote grappige plaatjes topic Editie Q4-2016"
Plaatje: https://content2.skoften....3/picdump_930_37__800.jpg
Ik dacht dat je skoften.net via de proxy laat lopen? Of is deze niet via de parser naar https omgezet maar door de poster zelf direct als https ingevuld?

Osiris schreef op zondag 1 januari 2017 @ 15:44:
Wat een zakken hooi bij DSLreports: CloudFront ondersteunt namelijk gewoon TLS, dus ze zouden hun redirects wel eens mogen ver-TLS-en

Raven schreef op zondag 5 februari 2017 @ 11:42:
McGryphon in "Het Grote Kleinemededelingentopic - Deel 358 (echt!)"
Reddit dit keer.

[ Voor 5% gewijzigd door _David_ op 05-02-2017 12:35 ]

Raven schreef op zondag 5 februari 2017 @ 11:42:
McGryphon in "Het Grote Kleinemededelingentopic - Deel 358 (echt!)"
Reddit dit keer.

crisp schreef op zondag 5 februari 2017 @ 12:27:
[...]

Dat plaatje is gewoon stuk..

Raven schreef op zaterdag 11 maart 2017 @ 10:00:
Weer eens een mixed content warning: Touchdomex in "Het grote kleinemededelingentopic - Deel 360"

_David_ schreef op zondag 19 maart 2017 @ 18:27:
De smiley in de quickreply alert van dit topic: [alg] Slechtste programmeervoorbeelden deel 5 is niet gereparsed naar https.

HTML:

1 2 3 4 5

<div class="bar warning topicwarning"> <strong>Let op:</strong> <br>Uiteraard is het in dit topic niet de bedoeling dat andere users en/of topics aangehaald worden om ze voor gek te zetten. Lachen om je eigen code, of over dingen die je "wel eens tegengekomen bent" is prima, maar hou het onderling netjes. <img src="http://tweakimg.net/g/s/smile.gif" alt=":)" /> </div>

Raven schreef op maandag 27 maart 2017 @ 10:25:
Weer een: Saffie_time in "Het grote kleineSmålandtopic - Deel 361"
host: www.112groningen.nl

Raven schreef op maandag 1 mei 2017 @ 19:08:
https://gathering.tweakers.net/forum/view_message/51081671
http://www.autoblog.nl dit keer.

Raven schreef op zaterdag 20 mei 2017 @ 10:52:
Weer een tegengekomen: https://gathering.tweakers.net/forum/view_message/51285219
www.112groningen.nl

Raven schreef op woensdag 14 juni 2017 @ 16:52:
Crim in "Betatest nieuwe redactionele layout"
https://imageshack.com/a/img924/2629/u0TACm.png

Raven schreef op zondag 25 juni 2017 @ 13:39:
CaptJackSparrow in "[Ervaringen] Oplaadbare Batterijen"
https://www.aldi.nl/image...batterijen_big_115610.jpg

[b][green]osiris@desktop [/][blue]~ $ [/][/]curl -vIL https://www.aldi.nl/images/oplaadbare_batterijen_big_115610.jpg
*   Trying 54.230.14.125...
* Connected to www.aldi.nl (54.230.14.125) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=DE; ST=Nordrhein-Westfalen; L=Essen; O=Aldi Einkauf GmbH & Co. oHG; CN=www.aldi.nl
*  start date: Apr 26 00:00:00 2017 GMT
*  expire date: Nov 14 23:59:59 2017 GMT
*  subjectAltName: host "www.aldi.nl" matched cert's "www.aldi.nl"
*  issuer: C=US; O=GeoTrust Inc.; CN=GeoTrust SHA256 SSL CA
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* TCP_NODELAY set
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x1bb01c0)
> HEAD /images/oplaadbare_batterijen_big_115610.jpg HTTP/1.1
> Host: www.aldi.nl
> User-Agent: curl/7.49.0
> Accept: */*
> 
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
< HTTP/2.0 302 
HTTP/2.0 302 
< content-type: text/html; charset=iso-8859-1
content-type: text/html; charset=iso-8859-1
< content-length: 253
content-length: 253
< location: http://www.aldi.nl/images_archiv/oplaadbare_batterijen_big_115610.jpg
location: http://www.aldi.nl/images_archiv/oplaadbare_batterijen_big_115610.jpg
< server: nginx
server: nginx
< date: Sun, 25 Jun 2017 12:28:13 GMT
date: Sun, 25 Jun 2017 12:28:13 GMT
< x-frame-options: *
x-frame-options: *
< expires: Sun, 25 Jun 2017 14:28:13 GMT
expires: Sun, 25 Jun 2017 14:28:13 GMT
< cache-control: max-age=7200
cache-control: max-age=7200
< x-cache-status: HIT
x-cache-status: HIT
< age: 24
age: 24
< x-cache: Hit from cloudfront
x-cache: Hit from cloudfront
< via: 1.1 36a14b9cb5cc947f05a9a38c2e38f707.cloudfront.net (CloudFront)
via: 1.1 36a14b9cb5cc947f05a9a38c2e38f707.cloudfront.net (CloudFront)
< x-amz-cf-id: EK43sa07LGt6nG8pMXzBJWtEN2zB_YTUp8MWo5B9OvJddGnDOSjQbQ==
x-amz-cf-id: EK43sa07LGt6nG8pMXzBJWtEN2zB_YTUp8MWo5B9OvJddGnDOSjQbQ==

< 
* Connection #0 to host www.aldi.nl left intact
* Issue another request to this URL: 'http://www.aldi.nl/images_archiv/oplaadbare_batterijen_big_115610.jpg'
*   Trying 54.230.128.156...
* Connected to www.aldi.nl (54.230.128.156) port 80 (#1)
> HEAD /images_archiv/oplaadbare_batterijen_big_115610.jpg HTTP/1.1
> Host: www.aldi.nl
> User-Agent: curl/7.49.0
> Accept: */*
> 
< HTTP/1.1 301 Moved Permanently
HTTP/1.1 301 Moved Permanently
< Server: CloudFront
Server: CloudFront
< Date: Sun, 25 Jun 2017 12:28:38 GMT
Date: Sun, 25 Jun 2017 12:28:38 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 183
Content-Length: 183
< Connection: keep-alive
Connection: keep-alive
< Location: https://www.aldi.nl/images_archiv/oplaadbare_batterijen_big_115610.jpg
Location: https://www.aldi.nl/images_archiv/oplaadbare_batterijen_big_115610.jpg
< X-Cache: Redirect from cloudfront
X-Cache: Redirect from cloudfront
< Via: 1.1 b2053f9f1abb60895bf31f80837ba9b6.cloudfront.net (CloudFront)
Via: 1.1 b2053f9f1abb60895bf31f80837ba9b6.cloudfront.net (CloudFront)
< X-Amz-Cf-Id: XEd8axI7ZYAqWk45hEgu6TIcEbhLNtQcgH9ceb0Y0kTI8qT4OV2s1g==
X-Amz-Cf-Id: XEd8axI7ZYAqWk45hEgu6TIcEbhLNtQcgH9ceb0Y0kTI8qT4OV2s1g==

< 
* Connection #1 to host www.aldi.nl left intact
* Issue another request to this URL: 'https://www.aldi.nl/images_archiv/oplaadbare_batterijen_big_115610.jpg'
* Found bundle for host www.aldi.nl: 0x1bc65f0 [can multiplex]
* Re-using existing connection! (#0) with host www.aldi.nl
* Connected to www.aldi.nl (54.230.14.125) port 443 (#0)
* Using Stream ID: 3 (easy handle 0x1bb01c0)
> HEAD /images_archiv/oplaadbare_batterijen_big_115610.jpg HTTP/1.1
> Host: www.aldi.nl
> User-Agent: curl/7.49.0
> Accept: */*
> 
< HTTP/2.0 200 
HTTP/2.0 200 
< content-type: image/jpeg
content-type: image/jpeg
< content-length: 130909
content-length: 130909
< server: nginx
server: nginx
< date: Sun, 25 Jun 2017 12:28:38 GMT
date: Sun, 25 Jun 2017 12:28:38 GMT
< x-frame-options: *
x-frame-options: *
< last-modified: Fri, 23 Jun 2017 13:19:41 GMT
last-modified: Fri, 23 Jun 2017 13:19:41 GMT
< expires: Sun, 25 Jun 2017 14:28:38 GMT
expires: Sun, 25 Jun 2017 14:28:38 GMT
< cache-control: max-age=7200
cache-control: max-age=7200
< x-cache-status: HIT
x-cache-status: HIT
< accept-ranges: bytes
accept-ranges: bytes
< x-cache: Miss from cloudfront
x-cache: Miss from cloudfront
< via: 1.1 36a14b9cb5cc947f05a9a38c2e38f707.cloudfront.net (CloudFront)
via: 1.1 36a14b9cb5cc947f05a9a38c2e38f707.cloudfront.net (CloudFront)
< x-amz-cf-id: ZufVknDqNyqOuI7UrjItKqWkuls1g5lBJ9m4n15aZQ5TLEqjbI8hFw==
x-amz-cf-id: ZufVknDqNyqOuI7UrjItKqWkuls1g5lBJ9m4n15aZQ5TLEqjbI8hFw==

< 
* Connection #0 to host www.aldi.nl left intact
[b][green]osiris@desktop [/][blue]~ $ [/][/]

crisp schreef op zondag 25 juni 2017 @ 14:36:
Dan maar via onze eigen proxy

Osiris schreef op zondag 25 juni 2017 @ 14:58:
[...]

Misschien wel interessant om een eventuele patch voor "follow redirects with non-HTTPS-checking" ook via GitHub aan te bieden?

Of blijft 't bij handmatig fixen van dit soort issues?

crisp schreef op zondag 25 juni 2017 @ 15:14:
[...]

Onze proxy volgt gewoon redirects? Het probleem was dat de link in 1e instantie niet geproxied werd omdat de https-versie an sich gewoon werkte. Het blijft handwerk om imagehosts die https redirecten naar/via http via onze proxy te forceren.

crisp schreef op zondag 25 juni 2017 @ 15:14:
(…) of echt alles gaan proxieën ook als https wel goed werkt...

[ Voor 26% gewijzigd door Osiris op 25-06-2017 15:20 ]

crisp schreef op zondag 25 juni 2017 @ 17:15:
@Osiris: de check of https 'werkt' wordt clientside al gedaan door te checken of het plaatje geen error-event afvuurt. Dan is dus niet te bepalen of er een http-redirect tussen zit.

[ Voor 15% gewijzigd door Osiris op 25-06-2017 17:26 ]

Osiris schreef op zondag 25 juni 2017 @ 17:25:
[...]

En er komt klaarblijkelijk geen error-event op een mixed-content-warning? Is er geen warning te vinden somehow in dat proces? Want de browser spuugt zo'n warning wel over de console heen, de vraag is alleen of je dat bij je client-side check t.b.v. de caching proxy kunt gebruiken

crisp schreef op zondag 25 juni 2017 @ 20:11:
[...]

Nope, het plaatje laadt immers wel...

Raven schreef op maandag 3 juli 2017 @ 14:46:
Ze germans are coming?
@crisp Geen specifieke post dit keer, het gaat op elke pagina mis

http://www.smartdodo.com/GOT/heilpompom.gif

Hero of Time schreef op donderdag 6 juli 2017 @ 12:05:
gambieter in "Het grote grappige plaatjes topic Editie Q3-2017" bevat een Fokke en Sukke plaatje gehost op http://www.cs.vu.nl//~fra...kke-sukke-consultancy.jpg. Het plaatje staat er met https in, maar redirect direct naar http. Met als gevolg dat in mijn geval het plaatje niet geladen wordt.

crisp schreef op donderdag 6 juli 2017 @ 12:07:
[...]

Fix0red

Raven schreef op woensdag 12 juli 2017 @ 11:36:
https://gathering.tweakers.net/forum/view_message/51792425

Mixed content warning via IPv4, via IPv6 laad de hele afbeelding niet:

[...]

Raven schreef op woensdag 23 augustus 2017 @ 10:28:
Weer een: keverjeroen in "Het Grote Lego Topic - Deel 5"
gamer.vjmedia.com

Raven schreef op zaterdag 12 augustus 2017 @ 15:25:
Zojuist weer eens een warning tegengekomen, alleen was ik verantwoordelijk
http://wp.tipsenweetjes.n.../uploads/2017/04/Toet.jpg
Het bericht is al aangepast door het plaatje via mijn eigen domeinnaam/hostingpakket weer te geven.

Kan de betreffende hoster (tipsenweetjes.nl) via de proxy geforceerd worden?

crisp schreef op zondag 25 juni 2017 @ 17:15:
@Osiris: de check of https 'werkt' wordt clientside al gedaan door te checken of het plaatje geen error-event afvuurt. Dan is dus niet te bepalen of er een http-redirect tussen zit.

.oisyn schreef op woensdag 23 augustus 2017 @ 11:14:
[...]


Waarom komt er eigenlijk geen error-event? De client zou op dat moment al last moeten hebben van mixed content warnings.

Met de fetch API zou je het overigens wel moeten kunnen detecteren.

.oisyn schreef op woensdag 23 augustus 2017 @ 11:44:
@crisp Het gaat niet zozeer om de error zelf, met de fetch API kun je redirects detecteren.

Raven schreef op zondag 10 september 2017 @ 15:10:
Jan Treur in "Elektrische auto's - Deel 2"

https://www.few.vu.nl/~tr...ngeindication20170806.jpg

[ Voor 3% gewijzigd door Hero of Time op 19-09-2017 08:14 ]

Hero of Time schreef op dinsdag 19 september 2017 @ 08:12:
Saffie_time in "19-9 Talk like a Pirate-day" heeft een plaatje https://stupidstuff.org/source/pirate05.jpg welke niet volledig HTTPS is. De site draait erop, maar bied geen certificaat aan. In mijn geval zie ik geen plaatje. Open ik de afbeelding direct in Firefox, dan krijg ik geen waarschuwing maar wel het plaatje (site zelf net zo), omdat het teruggaat naar http. Kan die via de proxy gaan?

Raven schreef op maandag 25 september 2017 @ 11:30:
Goldia in "Cities: Skylines - Deel 2"
https://goo.gl/EeYLfc -> http://members.ziggo.nl/w...images/Screenshot%206.png

Raven schreef op maandag 25 september 2017 @ 12:34:
[...]



[...]


Dat vond ik ook raar , wist niet eens dat de img-parser daar mee overweg kon

Raven schreef op dinsdag 3 oktober 2017 @ 22:56:
Verwijderd in "HELP-wat voor aansluiting heb ik en hoe krijg ik internet?"
https://extreme.pcgamesha...n-img_20130828_173847.jpg

.oisyn schreef op woensdag 23 augustus 2017 @ 11:14:
[...]


Waarom komt er eigenlijk geen error-event? De client zou op dat moment al last moeten hebben van mixed content warnings.

Met de fetch API zou je het overigens wel moeten kunnen detecteren.

Raven schreef op zaterdag 7 oktober 2017 @ 12:37:
Boegie in "Het Grote Kleine Mededelingentopic - Deel 369"
https://memeshappen.com/media/created/2017/02/BUT-WHY-.jpg

Raven schreef op woensdag 25 oktober 2017 @ 13:46:
Coffeemonster in "Het Grote Kleinemededelingentopic - Deel 370"
https://www.toxel.com/wp-...2011/06/privacydesk01.jpg

Raven schreef op zondag 10 december 2017 @ 17:44:
Daar gaan we weer

Ramzzz in "Het Grote Gitaartopic - deel 8"
profile.ultimate-guitar.com

[ Voor 11% gewijzigd door .oisyn op 04-10-2018 12:15 ]

Hero of Time schreef op donderdag 1 november 2018 @ 22:14:
Lijkt er dus ook op dat de image checker incorrect denkt dat https gewoon werkt omdat de server erop reageert.

ACM schreef op donderdag 1 november 2018 @ 22:24:
[...]

Sterker nog, hij ziet een https-url (zoals al eerder in dit topic gemeld) en vertrouwd erop dat dat klopt. Gaan we wmb ook niet fixen.

Het is in beginsel de verantwoordelijkheid van de gebruiker om afbeeldingen te linken die werken, maar doet ie dat met http; dan zetten wij dat om via onze https-proxy, de gebruiker heeft tenslotte niet altijd de keus om er https van te maken.

Wat mij betreft stoppen we ook met dit soort foutieve urls als 'bug' te beschouwen, het is uiteindelijk gewoon een onjuist geplaatste afbeelding. Daar zijn wmb de topicreports voor

Hero of Time schreef op donderdag 1 november 2018 @ 22:39:
Edit:
Verrek, het doet niet idioot https ervan maken. Is dat in de tussentijd verandert?

[ Voor 15% gewijzigd door ACM op 01-11-2018 22:46 ]

[ Voor 32% gewijzigd door .oisyn op 01-11-2018 23:10 ]

desnoods doe je dat alleen bij een handjevol bekende hosts, dan heb je al meteen de grote bulk van de plaatjes.

ACM schreef op donderdag 1 november 2018 @ 22:44:
[...]

Vast niet, maar wellicht deed dat plaatje het wel bij de topicstarter via https... Je weet maar nooit wat men allemaal aan certificaten whitelist

Overigens doet de afbeelding in de reactie waar jij naar verwijst het ook gewoon via https bij mij, zonder browser-warning.

Connection is insecure
The owner of assets.amuniversal.com has configured their page improperly. To protect your information from being stolen, connection to this website was aborted.

Hero of Time schreef op vrijdag 2 november 2018 @ 07:57:
[...]

Nu op werk in Firefox doet 'ie het idd, maar gisteravond thuis met Otter dus niet, daar krijg ik deze melding:

[...]

Als ik dan kijk naar het certificaat, staat er dan ook ssl.cdngc.net bij Common Name. Daar zal Otter over vallen denk ik zo. En het is ook volkomen terecht dat er zo'n melding komt, wat de naam in het certificaat komt niet overeen met de site die ik bezoek. Alsof ik een certificaat voor Google krijg als ik Tweakers bezoek. Valideert allebei, maar niet voor de juiste site.

crisp schreef op vrijdag 2 november 2018 @ 08:07:
Ik ben geen expert in certificaten, maar ik zie assets.amuniversal.com wel staan bij 'Certificate Subject Alt Name'...

ACM schreef op donderdag 1 november 2018 @ 22:24:
[...]

Sterker nog, hij ziet een https-url (zoals al eerder in dit topic gemeld) en vertrouwd erop dat dat klopt. Gaan we wmb ook niet fixen.

Het is in beginsel de verantwoordelijkheid van de gebruiker om afbeeldingen te linken die werken, maar doet ie dat met http; dan zetten wij dat om via onze https-proxy, de gebruiker heeft tenslotte niet altijd de keus om er https van te maken.

Het is niet ons doel om automatisch alle afbeeldingen te downloaden en te checken of e.e.a. ook echt werkt met https. Dat is bovendien onbetrouwbaar, want certificaten en protocollen verouderen/verlopen of kunnen in (specifieke) browsers uitgesloten worden. Dat zou dan betekenen dat we eigenlijk elke https-afbeelding steeds opnieuw zouden moeten controleren...

Wat mij betreft stoppen we ook met dit soort foutieve urls als 'bug' te beschouwen, het is uiteindelijk gewoon een onjuist geplaatste afbeelding. Daar zijn wmb de topicreports voor

crisp schreef op donderdag 1 november 2018 @ 23:46:
Omgekeerd: gaat het echt zo vaak nog fout dan?


[...]

Dat doen we serverside iig al

[ Voor 18% gewijzigd door .oisyn op 27-11-2018 16:06 ]

.oisyn schreef op dinsdag 27 november 2018 @ 16:03:
Wacht even, zeg je nu dat de image checker van een post niet eerst HTTPS probeert als je linkt naar HTTP? Want dat doet ie dus wel. En dat is imho gewoon een bug als het plaatje niet voor iedereen standaard beschikbaar is via HTTPS.

Ik zie het zo nu en dan gebeuren. Het probleem is dat de poster het niet opvalt, want bij hem werkt het gewoon, want die accepteert een fout certificaat.

Maar als je dat serverside al doet, waarom dan zo krampachtig volhouden proberen aan de clientkant al HTTPS te proberen?

Deze laatste vraag is niet eens bedoeld als rant, maar een serieus vraag

ACM schreef op dinsdag 27 november 2018 @ 20:18:
[...]

Er zijn twee dingen relevant hierbij:

We gaan dus niet (steeds) testen meer of de https-urls wel valide zijn

Dat is onbegonnen werk en een enorme verspilling van resources;

en dan waarschijnlijk alsnog onbetrouwbaar op het moment dat bijvoorbeeld bij een client strengere ssl-validatie aanstaat of de https-versie anders blijkt te zijn dan de http-versie (maar wel beide images).

Krampachtig? Zoals gezegd gaan we wmb geen resources verspillen aan server-side testen of afbeeldingsurls wel werken.

En ook als we niet zelf afbeeldingen om zouden zetten naar https via de client side, zouden jouw scenario's ook misgaan als de gebruiker van die sites zelf https-linkjes neerzet. Dat hebben we tenslotte ook gezien met gebruikers die plaatjes plaatsten waar authenticatie voor nodig was...

Wellicht moeten we gewoon stoppen met die proxy en iedereen verplichten https-images toe te voegen? Want effectief ondersteunen we nu een gebruiksscenario dat buiten de wens van diezelfde gebruikers viel.
Deze laatste vraag is niet eens bedoeld als rant, maar een serieus vraag

[ Voor 3% gewijzigd door .oisyn op 27-11-2018 20:59 ]

.oisyn schreef op dinsdag 27 november 2018 @ 20:54:
Niet echt. Voor jullie relevant, maar vanuit het oogpunt van de gebruiker totaal niet

Waarom staat die "steeds" daar? Hij staat dan wel tussen haakjes, maar ik zie niet hoe het ooit van toepassing is. Er is maar 1 moment: op het moment dat het plaatje wordt toegevoegd aan een post.

Jullie doen het ook voor niet-https-plaatjes, wat nog veel meer resources kost (het plaatje moet daadwerkelijk gedownload en opgeslagen worden), dus eerlijk gezegd denk ik het mijne bij deze stelling . Meer resources dan nu idd, dat is zeker waar.

Dat vind ik kortzichtig. Er is meer data nodig natuurlijk, maar je moet de afweging maken hoeveel van de plaatjes uiteindelijk succesvol worden geconverteerd van tevoren. Er is een reden dat de gebruiker een http link paste - zo is het plaatje hem geserveerd. Sites met goed werkende https hanteren in de regel sowieso al https URL's.

En daarnaast hebben jullie naar eigen zeggen een whitelist van de grote plaatjesserveerders.

Natuurlijk is dit wel een rant en totaal niet iets dat jullie willen .

• "Foute" urls, met http, laten staan en niet proxyen levert mixed content op
• De urls blind laten staan zorgt voor een zwaardere belasting van onze proxies (ik heb geen cijfers voor hoeveel). En die proxy is ook niet perfect, waardoor die imperfecties meer zichtbaar worden.
• Zoveel mogelijk alvast omzetten naar https (wat we nu doen) geeft de hier benoemde problemen
• Dat verplaatsten naar server-side geeft waarschijnlijk allerlei andere nieuwe problemen en waarschijnlijk ook daarnaast een deel van dezelfde die we nu hebben