логин: 
<< предыдущая заметкаследующая заметка >>
09 августа 2015
https

UPD: Из-за жалоб и проблем (у меня самого со смартфона не открывается) пока убрал переадресацию на https. Сейчас, пока я не разберусь, что там с сертификатом (а хрен знает, когда я теперь с этим разберусь), сайт работает в двух режимах: можно ходить по https, можно по http. Но по желанию.

Слава Кириллу, внезапно выяснилось, что мой сайт теперь поддерживает https.
Сделал жестко: сейчас стоит полная переадресация любых запросов к дневнику на https (только к дневнику, корня сайта это не касается — там другой движок).
Как вам? Работает?

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Linux Firefox
 Бельгия
4
0
hobbyte (#5324557)
mixed content
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Это нормально. Мало ли кто в комменты фотку с http вставит - что ж мне теперь, всё на свой сервер копировать?
Linux Firefox
 Бельгия
1
0
hobbyte (#5324557)
А я чего? Я ничего! это вон огнелис ругается.:)
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Счетчик Openstat тоже с http. Посетители его точно не ставили...
Windows Safari Chrome
 Химки
2
0
yalexey
Ghostery блокирует два счётчика.
Windows Firefox
 Тула
3
0
stream
Почти все аватары пользователей (кроме почему-то одного) идут с http - тут, похоже, надо будет уже скрипты править. Зачем-то они выдают в коде страницы URL полностью: img src="http://lleo.me/dnevnik/user/.../ хотя достаточно же /dnevnik/user/.... - и короче, и с протоколом проблем не будет.
Иконки всяких фейсбуков-твиттеров - тоже по http идут.
Windows
 Каменск-Уральский
0
0
D.iK.iJ
Просто использовать //lleo.me/dnevnik/... и так далее в ссылке на эту картинку вместо http
Windows Firefox
 Сингапур
0
0
Vitaly
Настроить image proxy например. В большинстве популярных движков присутствует "из коробки".
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
А чего ради? Какая угроза таится в картинках?
Linux Chrome
 New York
0
0
Дачнег (#5479255)
Это может быть скрипт picture.jpg, который заберет данные юзера, куки, выдаст ему апплет на джаваскрипте, сделает что-то еще, ну и заодно покажет картинку.
Windows Safari Chrome
 Хабаровск
0
0
quantum
Единственное, что можно сделать:
- посчитать посетителя на сервере, откуда картинка,
- поставить куки, чтобы потом узнать, что этот посетитель был у вам,
- выдавать разным посетителям разные картинки (вам микки-маусов, остальным половые органы)
- перенаправлять с картинки на адрес lleo.me/delete_blog (если по этому адресу без вопросов удаляется блог, то зайдя на страничку вы удалите блог).

Последнее опасно, только если опасные вещи делаются по get, остальное неприятно, но не опасно
Mac Safari
 Oshawa
0
0
bambr
Вроде усе работает. Тока авторизовываться пришлось.
Windows Safari Chrome
 Дубна
0
0
Ш.К. Мышь (#5480115)
А зачем?
Windows Safari Chrome
 Химки
0
0
yalexey
При соединении с социальными ресурсами https важен потому, что скрывает от промежуточных звеньев содержание комментариев, которые вы пишите.
Windows Safari Chrome
 Москва
1
1
Снова не воробей (#5374395)
ну сделали бы два варианта - хттп и хттпс.
кроме того, в грамотных конторах (если речь о конторах, например) на машину юзера все равно ставится корневой сертификат конторы и весь трафик великолепно мониторится.
От росдебилнадзора поможет немножко, пока какойнить хений не настучит, да.
Windows Safari Chrome
 Санкт-Петербург
0
0
oblamingo
юзерпик знык
Windows Safari Chrome
 Санкт-Петербург
0
0
oblamingo
а нет, не знык - из жежешечки притянул дефолтную
Windows Firefox
 Германия
7
1
Глeб
Ждём подробного рассказа Надоелыча о том, как он не знал, что такое https, но потом загуглил.
Windows Firefox
 Германия
15
1
Глeб
Гугль, что такое "https"? — спросил Надоелыч.
Вот тебе твои голые мужики! — привычно отозвался Гугль.
Windows Firefox
 Химки
10
0
Johny (#5310838)
Это не сайт поддерживает, а сервера CloudFlare через которые был стыдливо спрятан доступ к реальному серверу.
Они же бесплатный сертификат дают свой да.
Windows Firefox
 Москва
1
0
Сергей 127 (#5437959)
Не ожидал от Леонида такого пренебрежения к работе госбезопасности!
Linux Safari Chrome
 Москва
0
3
albedо
Работает. Кириллу слава!
Linux Ubuntu Safari Chrome
 Германия
2
2
kirushik
Спасибо. Мне приятно.
Windows Firefox
1
0
Иди0тъ (#5304824)
А я думал, он про патриарха...
Windows Firefox
 Калуга
23
0
aikr
Как вам? Работает?

«По итогам интернет-опроса, проведённого на нашем сайте, выяснилось, что 100% населения России имеют доступ к интернету и хотя бы раз в жизни заходили на наш сайт».
Windows Firefox
 Германия
6
0
Глeб
:)
Да. Не мешало бы дать слово тем, у кого не работает.

"О том, что дельфины спасают тонущих людей, мы знаем из рассказов спасённых."
Linux Firefox
 Санкт-Петербург
0
0
Михаил (#1684620)
Те, у кого не работает, по идее, могли бы написать в /blog, если бы на него была хотя бы ссылка с главной...
Windows Firefox
 Германия
1
0
Глeб
Могли бы.
Если бы вопрос смогли прочитать. :)
Linux Firefox
 Санкт-Петербург
1
0
Михаил (#1684620)
«МЕЯ ВИДО?» :)
Тут прочитать не смогли бы, но поскольку сам сайт ещё не на HTTPS, могли бы догадаться проверить там, почему дневник не работает.
Windows Firefox
 Москва
9
0
Сергей 127 (#5437959)
Ученым наконец-то удалось расшифровать крик дельфина, спасающего утопающего человека. Он кричит "отцепись сука".
Windows Firefox
 Израиль
3
0
garik64
Работает, разве что заново отдал десять последних статей по RSS.
А он одновременно не научился ли отправлять комменты на емейл? (Кто о чём, а вшивый о газовой камере).
И не понял ваших разговоров о картинках.
Mac Safari Chrome
 Mount Laurel
0
0
https://plus.google.com/+AlexanderLevitskiy
Работает! Осталось сделать сайт ipv6 only.
Linux Ubuntu Safari Chrome
 Германия
1
0
kirushik
dig lleo.me AAAA

lleo.me. 300 IN AAAA 2400:cb00:2048:1::6812:259d
lleo.me. 300 IN AAAA 2400:cb00:2048:1::6812:249d


Зачем при этом отключать IPv4 — я не понимаю.
Windows
 Москва
0
0
m (ngs_govno)
наверное, потому, что у автора комментария работает IPv6
Windows Firefox
 Симферополь
2
0
Южанин-K (#5503939)
opera 12.17 почему-то не хочет показывать :(
говорит: Безопасное подключение: критическая ошибка (40)
Включены TLS 1, TLS 1.1, TLS 1,2
Linux Ubuntu Safari Chrome
 Германия
0
0
kirushik
TLS 1.2 должен поддерживаться.

Можете сделать скриншот ошибки и залить его сюда из другого браузера?
Windows Firefox
 Подольск
1
0
dsafadf (#5336502)
Кстати, в старой опере есть еще такая особенность, что она периодически все TLS'ы отключяает и включает TLS 1.0
"по историческим причинам"

Энивей бесплатный cf'ный https в ней корректно работать не будет. А скорее не будет работать никак.
Linux Ubuntu Firefox
 Москва
2
0
123123 (#5541847)
Старая опера в пролете, либо будет ругаться на сертификат, либо не будет открывать вообще.

Не умеет она в новые технологии.
Windows Safari Chrome
 Санкт-Петербург
1
0
Дмитрий (lord-raven-spb)
Вот и у меня тоже беда с любимой 12-й оперой.
Безопасное подключение: критическая ошибка (80) с сервера
Windows Firefox
 Подольск
0
0
dsafadf (#5336502)
К сожалению, пора уже избавляться от этого раритета. В том числе из-за ECDSA

Мне это удалось с помощью все-то 25 дополнений.
Linux Safari Chrome
 Краснодар
0
0
Viveda
Днем не мог зайти - писал ошибку:
http lleo.me https - что-то в этом роде, не запомнил точно.
Сейчас нормально, и авторизовал сразу.
Windows Firefox
 Израиль
0
0
Artem P (#5534067)
«This website does not supply ownership information»
Linux Firefox
 Санкт-Петербург
0
0
Михаил (#1684620)
Дык, у него ещё и сертификат на самом деле выдан на sni116825.cloudflaressl.com плюс полтора десятка каких-то левых адресов. :–)
Windows Firefox
 Сингапур
1
0
Vitaly
Это нормально для CloudFlare.
Linux Safari
 Москва
1
0
Mike Novikoff
Блин, зачем??? :(((
Теперь с моей основной линуксовой машины нельзя зайти вообще никак. :(((
Ни через Оперу 9.64, ни через lynx.
А что-либо более новое на эту машину поставить в принципе не могу, ибо glibc-2.2.5.
Рассказать тебе о давнем неразрешимом конфликте между glibc-2.3 и rpm-4.0.2?
Именно из-за этого конфликта, а вовсе не из-за лени и не из-за каких-то там «принципов», я давно перестал апдейтить glibc. :(

Короче, если ты хочешь, чтобы я к тебе заглядывал как можно реже, только с Андроида или с каких-нибудь чужих виндов — тогда так держать!.. :(((
Linux Safari
 Москва
1
2
Mike Novikoff
Причём обычно-то у меня https всё-таки работает.
Хотя я напрочь не понимаю и не одобряю этой нынешней дурацкой моды: зачем, зачем даже Википедия стала редиректить на https не только авторизованного юзера (что я ещё мог бы понять), но даже незалогиненного анонимауса?! (Совсем не жалко чужих ресурсов, лишь бы выпендриться? Или ламерам-вебмастерам так проще?)

Но этот твой Слава-Кирилл сделал всё настолько криво, что моя Опера только и находит сказать: 'Secure connection: fatal error (80) from server.'
Lynx рассказывает чуть больше. Запостить лог сейчас не смогу, хотя стоило бы. (Вынужден писать из Андроида). Насколько могу понять, проблема связана с принудительной переадресацией не только на https, но ещё и на ipv6. (Именно тот адрес, который "Слава-Кирилл" привёл выше). Этот ipv6 я лично отключал у себя в линуксовом ядре (году ещё в 2001), он не требовался никогда и никому. Никогда и никому, Карл Кондратьевич!

'family 10' — это ведь оно? AKA 'net-pf-10'.
Как минимум, ядро мне пересобирать.
Зачем, зачем всё это??? :(((
Linux Ubuntu Firefox
 Москва
0
1
Leonid Kaganov
Поддерживаются у меня оба - IPV4 и IPV6.
Может, у тебя просто дырявая небезопасная Опера очень старой версии?

http://www.cvedetails.com/vulnerability-list/vendor_id-1961/[...]
Linux Safari
 Москва
1
0
Mike Novikoff
Однако lynx мне показывает именно принудительный редирект на ipv6. Пока что подозреваю, что именно в этом проблема.

И не в Опере моей тогда дело, а в линуксовом ядре. И не в версии, а в сборке (CONFIG_IPV6). Хм, а потом ещё и в юзерспейсе ставить кучу лишней херни, сознательно и давно удалённой оттуда мной лично... (Пересобирать тоже кучу пакетов).

А бедная Опера — ну кому и чем она реально «небезопасная»? Такой список можно нагуглить практически про любую сколь-нибудь популярную софтину. А была ли у тебя хоть одна реальная секьюрная проблема со мной за последние 4 года? Вот до сегодняшнего дня, пока ты сам проблему не создал...

Ты сам когда-то очень хорошо и правильно писал «про Зину и Дарью Петровну»... Мол, что если они тоже начнут экстенсивничать и разбрасываться ресурсами? Приведёт ли это к чему-то хорошему?

В любом случае, поменять эту Оперу я НЕ СМОГУ. Только вместе со всей системой, а систему — только вместе с железом. Чего делать не собираюсь в ближайшие годы. В эту машину я вложил очень до хрена — то, что другие вкладывают, может, в семью и детей. А я вот — сублимирую...

Лео, мне ОЧЕНЬ-ОЧЕНЬ не хотелось бы посылать твой сайт туда же, куда мною давно посланы всякие ливеджоурналы и прочие вовко-вконтактные факебооки, где меня совсем нет. Всё-таки твой сайт я пока ещё люблю и уважаю, в отличие от них. Больше скажу: твой сайт для меня сейчас вообще единственное место общения. С другой стороны, конечно, не привыкать мне посылать людей и вещи на (ПРОБЕЛ!) xyz. :(((

Заставляешь меня паниковать, короче. :(((
Пока ещё надеюсь, что созданная на ровном месте проблема будет решена как-нибудь проще, чем ценой моего полного изгнания.
Mac Safari
 Израиль
1
0
braintunic
На сайте CloudFlare они говорят, что их SSL поддерживается для "Opera 8 with TLS 1.1 enabled".
У тебя Opera 9 - то есть, вроде должна поддерживаться.
Проверь, разрешено ли TLS 1.1 в настройках.

Да, ниже zvitaly правильно рекомендует обновить пакет "ca-certificates".
Этот RPM пакет в архитектуре "noarch ", то есть, проблемы быть не должно.
Linux Safari Chrome
 Houston
0
1
kirushik
Lynx Version 2.8.8rel.2 — работает
w3m version w3m/0.5.3 — работает

При этом в системе установлены следующие пачки сертификатов:
Name: ca-certificates
Version: 1_201403302107-8.1.2

Name: ca-certificates-mozilla
Version: 2.2-3.4.1

У вас точно не устаревшие версии этих пакетов?
Linux Ubuntu Firefox
 Москва
4
0
Leonid Kaganov
У меня тоже со смартфона со вчерашнего дня не работает мой дневеник. НО Я ЖЕ ТЕРПЛЮ! ;)))
Windows Firefox
 Сингапур
9
1
Vitaly
> Хотя я напрочь не понимаю и не одобряю этой нынешней дурацкой моды: зачем, зачем даже Википедия стала редиректить на https не только авторизованного юзера

Чтобы мерзкие провайдеры не лезли в трафик своих абонентов, не встраивали в страницы свои скрипты и рекламу. Скоро все крупные ресурсы будут работать только посредством HTTPS и это замечательно.
Windows Firefox
 Сингапур
3
1
Vitaly
> Ни через Оперу 9.64, ни через lynx.

Не удивительно, т.к. база CA давно протухла. Необходимо обновить пакет ca-certificates. Также все современные ресурсы перешли на протокол TLS 1.x с дырявых и небезопасных SSL 2/3. Не знаю поддерживается ли он в данном раритетном ПО или нет. Если да, то после обновления базы корневых сертификатов всё должно работать нормально.
Windows
 Москва
1
2
m (ngs_govno)
как же ты надоел со своей чудо-машинкой, на которой почти ничего нормально не работает...

кстати, давно хотел спросить, че за баба с шизофреничным выражением лица на юзерпике?
Windows Firefox
 Германия
0
0
Глeб
>че за баба с шизофреничным выражением лица на юзерпике?
Эхм. Ну вы же сами, помнится, доступно объяснили, почему вы используете именно такой ник.
А другим разве нельзя похожие резоны иметь? Или любые другие.
Windows
 Москва
0
1
m (ngs_govno)
ну, возможно, да. тогда тем более её история интересна
Windows Firefox
 Сингапур
0
0
Vitaly
Некоторые IP-адреса системы CloudFlare находятся в Едином реестре запрещённых сайтов, поэтому если такой выпадет при резолвинге, пользователи увидят стандартную заглушку провайдера о блокировке доступа.

Мы уже сталкивались с этим неоднократно на своём сайте.
Windows Firefox
 Подольск
0
0
dsafadf (#5336502)
Значит стоит дополнить и напомнить про https://lleo.me/dnevnik/free
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
ignik
Чтобы поддерживал - нужно по-честному за деньги сертификат на lleo.me купить и вебсерверу подложить. А не на мистический sni116825.cloudflaressl.com
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Принципиально не хочу тратить деньги на подобные вещи. Считаю, что это кормушка непонятно для кого. У меня не сайт строительной фирмы или банка, чтобы были бюджеты на вебмастеров, сертификаты и проч. У меня вообще дома ремонт и нет денег ;) Увы.
Linux Firefox
 Санкт-Петербург
2
0
Christian Archer
на StartSSL и WoSign можно взять бесплатный. А к октябрю еще Let's Encrypt обещает добавиться
Linux Safari Chrome
 Houston
0
0
kirushik
Всё так. И у них у обоих поддержка в браузерах ещё слабее чем у CloudFlare — а тут и так дофига народу с браузера Mosaic сидит, как выяснилось.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
А на startssl (или freessl?) он будет хорошо работать?
Linux Firefox
 Санкт-Петербург
0
0
Christian Archer
ну на сертификат браузеры не ругаются :) а шифрование везде одинаковое. для интернет-магазина "уровень доверия" конечно недостаточен, но для личной странички норм

долго юзал StartSSL, но у них сертификаты всего на год. В этом году меня задолбало и я вязл серт от WoSign на 3 года. пока полет тоже норм. FreeSSL не пробовал
Windows Safari Chrome
 Monroe
0
0
Artem V. Ryabov (avryabov)
startssl нормально работает но на халяву только 1 адрес дают, без вилкардов (т.е. без звездочек) за деньги они же дают и больше. Относительно не дорого - вроде меньше 100 баксов на кучу доменов и вилкардов на 2 года.
Linux Ubuntu Firefox
 Новосибирск
0
0
taskmgr
Пользуюсь startssl - все устраивает, кроме процедуры аутентификации на их сайте. Более криворуко сложно сделать. Это не то что сапожник без сапог, а вообще без ног.
Windows Firefox
 Одесса
0
2
crispoid
А 128/256 бит, которые дают на StartSSL, не маловато ли по нынешним временам?
Linux Firefox
 Сингапур
0
0
Vitaly
Стойкость шифра, список поддерживаемых алгоритмов и протоколов задаётся сервером, а не УЦ.
Linux Ubuntu Firefox
 Москва
1
0
robin_locksley
Посещённые заметки перестали быть "посещёнными". В движке дневника absolute-ссылки?
Windows Safari Chrome
 Новосибирск
3
1
О, бложе! (#5349043)
А зачем всё это?
Linux Firefox
 Санкт-Петербург
0
0
Михаил (#1684620)
И оглянулся я на все дела мои, которые сделали руки мои, и на труд, которым трудился я, делая их: и вот, всё — суета и томление духа, и нет от них пользы под солнцем!
Windows Safari Chrome
 Краснодар
0
0
барисыч
всё гуд. Авторизация подхватилась старая.
Windows Firefox
 Подольск
0
0
dsafadf1 (#5543048)
А это не гуд. Правильно было бы на https авторизовываться по новой.
Windows Firefox
 Подольск
1
0
dsafadf (#5336502)
Напишу сразу здесь: если в браузере выключен localStorage, все скрипты обламываются еще на этапе проверки:
main.js?1438649781:633 Uncaught SecurityError: Failed to read the 'localStorage' property from 'Window': Access is denied for this document.

Проверять лучше как-то так https://mathiasbynens.be/notes/localstorage-pattern

Плюс мне на какой-то странице попался глюк логинзы, надо бы проверить, не сошла ли она с ума от такого обновления.
Windows Firefox
 Подольск
0
0
dsafadf (#5336502)
Про http-аватары написали, счетчики написали.

Еще фавиконки дергаются с внешних сайтов и по хттп:
<img width="16" height="16" src="http://livejournal.com/favicon.ico">
Windows Safari Chrome
 Самара
0
0
74FEBF78-28CF-48FA-B559-A92C62586ABD (#5543323)
Оперы 12.12, 12.16 и 12.17 перестали открывать сайт, выдают "Безопасное подключение: критическая ошибка (40) с сервера".
Это печально.

ЗЫ: TLS 1.0, 1.1 и 1.2 включены.
Linux Firefox
 Москва
0
0
phmagic (#2807267)
Работает.
Windows Firefox
 Израиль
11
0
braintunic


Linux Safari Chrome
 Запорожье
2
0
Теоретик (#5423881)
Если это кому-то интересно: без проблем вошел через встроенный браузер телевизора 2014 г.в. (LG, WebOS) и написал этот комментарий.
Linux Safari Chrome
 Москва
0
0
vivliofika
С Лего.
Linux Safari Chrome
 Запорожье
2
0
Теоретик (#5423881)
На холодильнике нет браузера, да и Windows CE я на нем боюсь обновлять.
Истинная правда, кстати. RL55VQBRS
Windows Safari Chrome
 Mississauga
1
0
Vadimus
Можно попробовать зайти со стиральной машины.
Linux Safari Chrome
 Запорожье
3
0
Теоретик (#5423881)
Не-а, нельзя попробовать. Там нет латиницы.
Хотя, кого я обманываю? У нее и IP-шник не всегда корректно подхватывается автоматом.
Linux Opera
 Москва
4
0
Mike Novikoff
> пока убрал переадресацию на https.
Ура!!!

> можно ходить по https, можно по http. Но по желанию.
Вот это правильно.

В самом деле очень рад, что казнь отменяется. :)
Linux Ubuntu Firefox
 Москва
3
0
Leonid Kaganov
Что не сделаешь ради друга!
Windows Safari Chrome
 Санкт-Петербург
1
0
frelvick
Может, для удобства, добавить в настройки карточки галочку "всегда открывать https"? и тех, у кого стоит галочка, редиректить, остальных нет. По ссылкам просто не удобно иначе переходить
Linux Ubuntu Safari Chrome
 Германия
0
0
kirushik
Такую настройку, кстати, браузерное расширение HttpsEverywhere даёт, для любого сайта.

всего комментариев: 95

<< предыдущая заметка следующая заметка >>