logo

Na co se připravit při přechodu Webtrhu na HTTPS: Https/obrázky a skrytý referer

27.01.2013 18:15
1
Experimentálně jsme spustili Webtrh přes HTTPS. Pokud půjde vše dobře, očekávám, že Webtrh přejde do několika týdnů plně na HTTPS.

To přinese dvě změny:

1) Přestanou se zobrazovat obrázky z externích nezabezpečených (HTTP) zdrojů.
Nezabezpečený obsah (HTTP) na zabezpečené stránce (HTTPS) zruší zabezpečení. Starší prohlížeče zobrazí modální varování o smíšeném obsahu/mixed content. Novější prohlížeče se zeptají decentněji, obsah zobrazí spolu s varováním, nebo obsah nezobrazí vůbec.



Z toho důvodu se všechny http/obrázky automaticky změní na odkazy.

Pokud chcete, aby se v textu zobrazoval váš obrázek, hostujte jej přes HTTPS.

A. Obrázek vložte do přílohy na Webtrhu. - Doporučené řešení
V takovém případě jej ale nemůžete vložit přímo do textu.
Můžete jej pak vložit i přímo do textu, ačkoliv to v této chvíli vyžaduje poněkud krkolomný postup: Musíte nejdřív zjistit skutečnou adresu přílohy, pak ji vložit do kódu [ IMG ].

Doplnění 21.8.2013: Obrázkové přílohy lze už jednoduše vkládat přímo do textu.

B. Nebo jej hostujte a o zabezpečení se postarejte na svém hostingu.

C. Můžete využít některý z SSL hostingů
http://www.sslpic.com/
http://www.freehttpshosting.com/
Vyžadují zadání emailu pro každý nahraný obrázek. Nemám s nimi zkušenost.

D. Nebo můžete obrázek hostovat na Dropboxu. Je to ale vedlejší využití Dropboxu a při přetížení se obrázek může přestat zobrazovat.

2) Neuvidíte referer z Webtrhu, pokud odkazujete na nezabezpečenou stránku
Podle standardu HTTP od W3C prohlížeče nepředávají referer, pokud návštěvník přejde ze zabezpečené na nezabezpečenou stránku.
HTTPS -> HTTP: Prohlížeč nepředá referer.
Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.
Pokud vyhodnocujete úspěšnost inzerátů na Webtrhu pomocí refereru a posíláte návštěvníky na http/stránku, měření přestane fungovat.

Můžete sledování vyřešit dvěma způsoby:

A. Otagujte všechny odkazy pomocí parametrů utm_.
Váš analytický nástroj pozná odkazy z Webtrhu jako kampaně a budete je moci dál vyhodnocovat.
K otagování odkazů vám pomůže třeba tento nástroj od Google.

B. Přejděte na HTTPS.

Doplnění 21.8.2013: Do diskusí a uživatelských profilů jsme přidali kód
Kód:
<meta name="referrer" content="always">
Referrer se nyní předává u všech uživatelů používajících prohlížeče Chrome a Safari. V budoucnu se připojí i Firefox.

Viz Where did all the HTTP referrers go?

Co se právě děje na Webtrhu?

27.01.2013 18:41
2
Jaký byl důvod k přechodu?
27.01.2013 19:04
3
Nespočet lidí se přihlašuje z veřejných sítí, ať už z kanceláře, kavárny nebo školy a řeší tu byznys. HTTP je v takovém případě jako korespondenční lístek, který si může každý cestou přečíst, nebo domovní telefon, kde kdokoliv zvedne sluchátko a zaposlouchá se.

Kromě toho si myslím, že přirozený protokol webu je HTTPS, ne HTTP, a všechny stránky k němu časem dospějí.
27.01.2013 20:25
4
OT: Ano, Google má HTTPS nabízet brzy již i nepřihlášeným = další růst v Analytics zdroje Not Provided.
27.01.2013 20:34
5
https sme riesili asi pred polrokom. Problemy neskutocne + opravujeme chyby doteraz. Takisto SEO uplne odislo... Tieto eshopove problemy sa ale zrejme webtrhu netykaju
27.01.2013 20:50
6
Co byly největší problémy?
27.01.2013 20:58
7
To by mě taky zajímalo. Teoreticky pokud máš správně nastavený přesměrování www => bez www, plus http => https, neměl by se vyskytnout žádný problém
27.01.2013 21:47
8
Neviem ci sa vyjadrim spravne (nie som programator) ale napr. niektore CRONy nefungovali (vraj boli naviazane na http ci co), v admine nefungovalo pridavanie obrazkov do blogu a podobne veci. Postupne sa to doriesuje ako na to prichadzame... (uz je to hadam vsetko OK). So SEO to ale vyzera na dlhsie bohuzial...
27.01.2013 21:50
9
To je chyba programátora (špatně navrhnutý systém). Já cca předevčírem taky řešil https (zakládal jsem tu i vlákno). Když jsem měl certifikát, v kódu jsem změnil dva řádky, přidal do htaccess přesměrování, a všechno funguje bez problému. I s certifikátem práce na půl hoďky. Když to přeženu :)
27.01.2013 22:14
10
BumbleBeee: Je mozne ze mate pravdu. Jedna sa o pomerne komplikovany system s mnozstvom modulov na mieru.
Martin: Boli nejake problemy s webtrhom v tomto smere? Jedna sa o standardny system, alebo su upravy na mieru?
27.01.2013 22:25
11
Igore dovolím si nesouhlasit, routování ("vzhled" adres), by měl být základ systému - frameworku nehledně na počet / složitost modulů. Já si přidám modul, přidám tři řádky do routování (pokud nechci základní typ - například chci použít subdoménu), a jede to bez dalších problémů. Osobně bych to bral jako velkou chybu / nedostatek aplikace.

EDIT:// Ale to je na jiné téma :)
27.01.2013 22:30
12
Firefox na Windows původně hlásil neověřený certifikát, bylo potřeba nainstalovat ještě jeden intermediate certifikát, aby byl chain of trust kompletní. Ostatní kombinace OS/prohlížeč ho nepotřebovaly.

Kromě smíšeného obsahu (HTTPS + HTTP) v diskusích a v CSS se objevila jedna neočekávaná chyba - na HTTPS se nenačítaly některé soubory Javascriptu kvůli znenadání zdvojeným lomítkům v cestě (?!).
Navenek to vypadalo, že nefungují formátovací tlačítka v editoru, navigační menu atd.

Takže věřím, že u složitějšího systému to není jen na překliknutí.
29.01.2013 11:44
13
HTTPS obrázky lze nahrát jako přílohu a pak vložit přes BB kód [ IMG ] přímo do textu.
To je podle mě nejlepší řešení.

Upravil jsem první příspěvek.
29.01.2013 12:21
14
Nejsem si jistý, že všechny potíže, které tu kladeš diskutérům do cesty použitím HTTPS přinesou užitek, oproti dalšímu úbytku diskuzí na úkor snadnosti používání.

Kdo tu řeší bussiness na takové úrovni aby bylo potřeba https? Větší obchody se tu jen načnou a pak se řeší emaily, osobně a smlouvami. Pro pár stovek/tisíců u malých obchodů mi to nepřijde moc adekvátní.

- Stará vlákna s obrázky budou nutit k prokliku (špatná user experience) - možná dobré leda tak pro to, že to někomu přivede trochu návštěvnosti
- Obrázky se tudíž přestanou z velké části používat. Rozhodně kvůli tobě weby na https překlápět nebudu a než řešit složité připojení obrázku zjišťováním URL, to ho radši nevložím. Nebo holt udělám ten prolink.
- meření refererů, prima, takže u každého odkazu co jsem tu kdy dal mám dopsat utm? Protože jak jsem říkal já převádět obyčejné weby na https nehodlám. To se radší smířím s tím, že měřit z webtrhu se návštěvnost nedá (tzn. nebudu mít relevantní data pro rozhodování o případné inzerci v budoucnosti).

Nejsem rád negativistický, ale tady opravdu moc nevidím nějaký kladný přínos.
29.01.2013 12:43
15
Zveličuješ dopad změn a podceňuješ důležitost zabezpečení.

Diskuse je textová, pár obrázků z minulosti tu je na ozdobu a lze je vyřešit přílohami, bez nutnosti externího hostingu.

Schovaný referer je problém HTTP webů, ne webů na HTTPS.

Jaké a jak se tu řeší obchody je jen tvůj dohad a s HTTPS nesouvisí.
29.01.2013 17:30
16
Ok, asi to moc řeším. Prostě se přizpůsobím ;)
29.01.2013 18:22
17
Nebylo by úplně nejpraktičtější nechat webtrh na HTTP a až po přihlášení (nebo spíš před ním) přepnout na HTTPS? To vyřeší problém zabezpečení zcela dostatečně (u nepřihlášeného není moc co zabezpečovat) a nemusí se řešit případné problémy s Google a podobně.
29.01.2013 18:35
18
Guidance for implementors of HTTPS-only sites
Living with HTTPS (od člověka zodpovědného za HTTPS infrastrukturu Google a implementaci SSL v Chrome)
Keep your HTTPS site secure using HSTS

Ve zkratce: HTTP je bezpečnostní díra do HTTPS. Všechny moderní guidelines doporučují přejít na HTTPS kompletně, tj. včetně HSTS.
28.03.2013 02:10
19
Kam HTTPS zmizelo? Neosvědčilo se?
28.03.2013 12:07
20
Zatím je volitelné a možná ho nakonec necháme volitelné, nebo, jak jsi navrhoval, povinné jen pro klientskou část.
28.03.2013 16:31
21
procpak ?
21.08.2013 14:45
22
Upravili jsme vkládání obrázkových příloh do příspěvků. Je to nyní doporučený způsob vkládání obrázků, protože nemá problém se změnou protokolu.
Povolili jsme předávání referrerů z diskusí a uživatelských profilů. V současnosti předávání referrerů z HTTPS na HTTP podporují Chrome a Safari, v budoucnu se připojí Firefox.