Na co se připravit při přechodu Webtrhu na HTTPS: Https/obrázky a skrytý referer

Experimentálně jsme spustili Webtrh přes HTTPS. Pokud půjde vše dobře, očekávám, že Webtrh přejde do několika týdnů plně na HTTPS.

To přinese dvě změny:

1) Přestanou se zobrazovat obrázky z externích nezabezpečených (HTTP) zdrojů.
Nezabezpečený obsah (HTTP) na zabezpečené stránce (HTTPS) zruší zabezpečení. Starší prohlížeče zobrazí modální varování o smíšeném obsahu/mixed content. Novější prohlížeče se zeptají decentněji, obsah zobrazí spolu s varováním, nebo obsah nezobrazí vůbec.



Z toho důvodu se všechny http/obrázky automaticky změní na odkazy.

Pokud chcete, aby se v textu zobrazoval váš obrázek, hostujte jej přes HTTPS.

A. Obrázek vložte do přílohy na Webtrhu. - Doporučené řešení
V takovém případě jej ale nemůžete vložit přímo do textu.
Můžete jej pak vložit i přímo do textu, ačkoliv to v této chvíli vyžaduje poněkud krkolomný postup: Musíte nejdřív zjistit skutečnou adresu přílohy, pak ji vložit do kódu [ IMG ].
Doplnění 21.8.2013: Obrázkové přílohy lze už jednoduše vkládat přímo do textu.

B. Nebo jej hostujte a o zabezpečení se postarejte na svém hostingu.

C. Můžete využít některý z SSL hostingů
http://www.sslpic.com/
http://www.freehttpshosting.com/
Vyžadují zadání emailu pro každý nahraný obrázek. Nemám s nimi zkušenost.

D. Nebo můžete obrázek hostovat na Dropboxu. Je to ale vedlejší využití Dropboxu a při přetížení se obrázek může přestat zobrazovat.

2) Neuvidíte referer z Webtrhu, pokud odkazujete na nezabezpečenou stránku
Podle standardu HTTP od W3C prohlížeče nepředávají referer, pokud návštěvník přejde ze zabezpečené na nezabezpečenou stránku.
HTTPS -> HTTP: Prohlížeč nepředá referer.

Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.

Pokud vyhodnocujete úspěšnost inzerátů na Webtrhu pomocí refereru a posíláte návštěvníky na http/stránku, měření přestane fungovat.

Můžete sledování vyřešit dvěma způsoby:

A. Otagujte všechny odkazy pomocí parametrů utm_.
Váš analytický nástroj pozná odkazy z Webtrhu jako kampaně a budete je moci dál vyhodnocovat.
K otagování odkazů vám pomůže třeba tento nástroj od Google.

B. Přejděte na HTTPS.

Doplnění 21.8.2013: Do diskusí a uživatelských profilů jsme přidali kód

Kód:

<meta name="referrer" content="always">

Referrer se nyní předává u všech uživatelů používajících prohlížeče Chrome a Safari. V budoucnu se připojí i Firefox.

Viz Where did all the HTTP referrers go?

Jaký byl důvod k přechodu?

Nespočet lidí se přihlašuje z veřejných sítí, ať už z kanceláře, kavárny nebo školy a řeší tu byznys. HTTP je v takovém případě jako korespondenční lístek, který si může každý cestou přečíst, nebo domovní telefon, kde kdokoliv zvedne sluchátko a zaposlouchá se.

Kromě toho si myslím, že přirozený protokol webu je HTTPS, ne HTTP, a všechny stránky k němu časem dospějí.

OT: Ano, Google má HTTPS nabízet brzy již i nepřihlášeným = další růst v Analytics zdroje Not Provided.

https sme riesili asi pred polrokom. Problemy neskutocne + opravujeme chyby doteraz. Takisto SEO uplne odislo... Tieto eshopove problemy sa ale zrejme webtrhu netykaju

Co byly největší problémy?

To by mě taky zajímalo. Teoreticky pokud máš správně nastavený přesměrování www => bez www, plus http => https, neměl by se vyskytnout žádný problém

Neviem ci sa vyjadrim spravne (nie som programator) ale napr. niektore CRONy nefungovali (vraj boli naviazane na http ci co), v admine nefungovalo pridavanie obrazkov do blogu a podobne veci. Postupne sa to doriesuje ako na to prichadzame... (uz je to hadam vsetko OK). So SEO to ale vyzera na dlhsie bohuzial...

To je chyba programátora (špatně navrhnutý systém). Já cca předevčírem taky řešil https (zakládal jsem tu i vlákno). Když jsem měl certifikát, v kódu jsem změnil dva řádky, přidal do htaccess přesměrování, a všechno funguje bez problému. I s certifikátem práce na půl hoďky. Když to přeženu :)

BumbleBeee: Je mozne ze mate pravdu. Jedna sa o pomerne komplikovany system s mnozstvom modulov na mieru.
Martin: Boli nejake problemy s webtrhom v tomto smere? Jedna sa o standardny system, alebo su upravy na mieru?

Igore dovolím si nesouhlasit, routování ("vzhled" adres), by měl být základ systému - frameworku nehledně na počet / složitost modulů. Já si přidám modul, přidám tři řádky do routování (pokud nechci základní typ - například chci použít subdoménu), a jede to bez dalších problémů. Osobně bych to bral jako velkou chybu / nedostatek aplikace.

EDIT:// Ale to je na jiné téma :)

Firefox na Windows původně hlásil neověřený certifikát, bylo potřeba nainstalovat ještě jeden intermediate certifikát, aby byl chain of trust kompletní. Ostatní kombinace OS/prohlížeč ho nepotřebovaly.

Kromě smíšeného obsahu (HTTPS + HTTP) v diskusích a v CSS se objevila jedna neočekávaná chyba - na HTTPS se nenačítaly některé soubory Javascriptu kvůli znenadání zdvojeným lomítkům v cestě (?!).
Navenek to vypadalo, že nefungují formátovací tlačítka v editoru, navigační menu atd.

Takže věřím, že u složitějšího systému to není jen na překliknutí.

HTTPS obrázky lze nahrát jako přílohu a pak vložit přes BB kód [ IMG ] přímo do textu.
To je podle mě nejlepší řešení.

Upravil jsem první příspěvek.

Nejsem si jistý, že všechny potíže, které tu kladeš diskutérům do cesty použitím HTTPS přinesou užitek, oproti dalšímu úbytku diskuzí na úkor snadnosti používání.

Kdo tu řeší bussiness na takové úrovni aby bylo potřeba https? Větší obchody se tu jen načnou a pak se řeší emaily, osobně a smlouvami. Pro pár stovek/tisíců u malých obchodů mi to nepřijde moc adekvátní.

- Stará vlákna s obrázky budou nutit k prokliku (špatná user experience) - možná dobré leda tak pro to, že to někomu přivede trochu návštěvnosti
- Obrázky se tudíž přestanou z velké části používat. Rozhodně kvůli tobě weby na https překlápět nebudu a než řešit složité připojení obrázku zjišťováním URL, to ho radši nevložím. Nebo holt udělám ten prolink.
- meření refererů, prima, takže u každého odkazu co jsem tu kdy dal mám dopsat utm? Protože jak jsem říkal já převádět obyčejné weby na https nehodlám. To se radší smířím s tím, že měřit z webtrhu se návštěvnost nedá (tzn. nebudu mít relevantní data pro rozhodování o případné inzerci v budoucnosti).

Nejsem rád negativistický, ale tady opravdu moc nevidím nějaký kladný přínos.

Zveličuješ dopad změn a podceňuješ důležitost zabezpečení.

Diskuse je textová, pár obrázků z minulosti tu je na ozdobu a lze je vyřešit přílohami, bez nutnosti externího hostingu.

Schovaný referer je problém HTTP webů, ne webů na HTTPS.

• Gmail používá HTTPS od ledna 2010.
• Google používá HTTPS pro všechny přihlášené uživatele od října 2011.
• Od ledna 2013 je HTTPS defaultní protokol pro všechny, i nepříhlášené uživatele Google, kteří používají Chrome.
• Facebook přesouvá všechny uživatele na HTTPS od listopadu 2012.
• Twitter nabídl opt-in HTTPS v březnu 2011
• Od února 2012 je HTTPS defaultní protokol pro všechny uživatele Twitteru.
• SPDY, update HTTP od Google, s nezabezpečeným připojením už ani nepočítá.
  
  We believe that the long-term future of the web depends on a secure network connection
• Webtrh nabízí HTTPS volitelně od ledna 2013.

Jaké a jak se tu řeší obchody je jen tvůj dohad a s HTTPS nesouvisí.

Ok, asi to moc řeším. Prostě se přizpůsobím ;)

Nebylo by úplně nejpraktičtější nechat webtrh na HTTP a až po přihlášení (nebo spíš před ním) přepnout na HTTPS? To vyřeší problém zabezpečení zcela dostatečně (u nepřihlášeného není moc co zabezpečovat) a nemusí se řešit případné problémy s Google a podobně.

Guidance for implementors of HTTPS-only sites
Living with HTTPS (od člověka zodpovědného za HTTPS infrastrukturu Google a implementaci SSL v Chrome)
Keep your HTTPS site secure using HSTS

Ve zkratce: HTTP je bezpečnostní díra do HTTPS. Všechny moderní guidelines doporučují přejít na HTTPS kompletně, tj. včetně HSTS.

Kam HTTPS zmizelo? Neosvědčilo se?

Zatím je volitelné a možná ho nakonec necháme volitelné, nebo, jak jsi navrhoval, povinné jen pro klientskou část.

procpak ?

Upravili jsme vkládání obrázkových příloh do příspěvků. Je to nyní doporučený způsob vkládání obrázků, protože nemá problém se změnou protokolu.
Povolili jsme předávání referrerů z diskusí a uživatelských profilů. V současnosti předávání referrerů z HTTPS na HTTP podporují Chrome a Safari, v budoucnu se připojí Firefox.